Assistenza Informatica & Sistemistica - Xion Informatica Milano
Assistenza Informatica & Sistemistica - Xion Informatica Milano

All’inizio del mese si è parlato di una grave vulnerabilità riguardante il software Zoom disponibile per i computer della linea Mac, dedicato a videoconferenze e meeting da remoto, particolarmente diffuso in ambito professionale. In sintesi, come svelato dal ricercatore Jonathan Leitschuh esperto di cybersecurity, l’installazione di un web server locale permetteva a una qualsiasi pagina Web di attivare la webcam, in modo del tutto inavvertibile (mediante l’inclusione di un iframe nascosto), mettendo così in serio pericolo la privacy degli utenti.

 

Zoom: tre software, una vulnerabilità

Stando alle nuove informazioni emerse, lo stesso problema ha riguardato anche altri due software, RingCentral e Zhumu, basati sulla stessa tecnologia impiegata da Zoom. Apple ha reso noto attraverso la redazione del sito TechCrunch di essere intervenuta con la distribuzione di un fix per macOS, già in fase di rollout, mettendo in campo dunque lo stesso approccio già visto la scorsa settimana.

La decisione di ricorrere all’installazione di un web server locale è da etichettare come un workaround adottato al fine di aggirare una protezione introdotta di recente dalla mela morsicata nel browser Safari proprio con l’obiettivo di impedire che un sito possa eseguire operazioni di questo tipo senza prima chiedere un’esplicita autorizzazione all’utente, solitamente tramite la comparsa di un pop-up sullo schermo. Zoom, così come RingCentral e Zhumu, ha scelto di aggirare l’imposizione evitando un click aggiuntivo, innescando però una dinamica potenzialmente pericolosa.

Zhumu, software per videoconferenze

L’aggiornamento destinato ai computer macOS in fase di rollout viene applicato al sistema operativo di Cupertino senza richiedere un’interazione attiva. Tornando ai due software citati, Zhumu è destinato principalmente al mercato orientale, mentre RingCentral vanta tra i suoi clienti (stando a quanto afferma il sito ufficiale) l’operatore Orange, l’emittente televisiva Canal+ e la squadra di basket dei Golden State Warriors.

Pubblicato in News

Tra le app più scaricate in Italia in questi giorni emergono nomi che molto hanno a che vedere con le videoconferenze (o le videochiamate), con il telelavoro (e le necessità di incontro virtuale in ottica di smart working) e in generale con la comunicazione da remoto. Sono dunque tre i nomi che si fanno notare più di ogni altro nella speciale classifica apptopia che misura i download in tutto il mondo, sia su App Store che su Google Play:

  • Zoom
  • Skype
  • Hangout

Due altre app, invece, si confermano nella top 5 portando in auge il fronte dell’intrattenimento: Disney+, la grande novità di queste ore, e Houseparty.

Zoom, Skype, Hangout

Nel momento in cui l’obbligo della “distanza sociale” ci ha portato ad un forzato isolamento, le app per i contatti sociali in remoto sono emerse come le più utili, gradite e ricercate.

Le app più scaricate su App Store

  1. Disney+
  2. Zoom Cloud Meetings
  3. Houseparty
  4. Hangout Meet
  5. Skype for iPhone
  6. TikTok
  7. Google Classroom
  8. Jitsi Meet
  9. Park Master
  10. Tellonym

Seguono Nike Training Club per l’attività fisica e Microsoft Teams. Nomi come Netflix e Tik Tok non sono più ai vertici, insomma, il che ben esplica quanto l’emergenza Coronavirus abbia sovvertito i gusti, le priorità e le aspettative antecedenti.

Le app più scaricate su Google Play

  1. Zoom Cloud Meetings
  2. Hangout Meet
  3. Disney+
  4. Skype
  5. Houseparty
  6. Jitsi Meet
  7. Google Classroom
  8. TikTok
  9. Easy Game
  10. Park Master

Anche in questo caso Microsoft Teams è appena fuori dalla top ten, ma anche in questo caso si conferma in ascesa.

Pubblicato in News

Aggiornamento (04/05/2020, 16.20) La notizia è stata ripresa nel fine settimana dal Times, a circa venti giorni dalla sua iniziale comparsa. Pubblichiamo un update all’articolo originale, visibile di seguito, per allegare una dichiarazione attribuita a un portavoce di Zoom che testimonia come la software house si sia mossa con l’obiettivo di fronte al problema anche avviando un’indagine con il coinvolgimento di esperti esterni.

Continuiamo a investigare e a bloccare gli account che abbiamo scoperto essere stati compromessi, chiedendo agli utenti di cambiare le loro password scegliendone di più sicure. Stiamo inoltre implementando soluzioni tecnologiche aggiuntive per sostenere il nostro impegno.

Al momento non è dato a sapere quali siano queste “misure aggiuntive”. Ricordiamo che di recente il client del servizio ha ricevuto un update alla versione 5.0 andando a migliorare alcuni aspetti legati a privacy e sicurezza.

Articolo originale (14/04/2020, 08.20) Nuova settimana, nuovo grattacapo per Zoom. Le credenziali di oltre 500.000 account sono finite sul Dark Web, ognuna in vendita per una cifra irrisoria e in alcuni casi liberamente accessibili. Sono quelle relative agli utenti che per collegarsi al servizio di smart working hanno utilizzato la stessa accoppiata login-password già sottratta in precedenti data breach.

Sul Dark Web oltre mezzo milione di account Zoom

A renderlo noto la redazione del sito BleepingComputer. Secondo la testimonianza del team Cyble specializzato in cybersecurity, le prime avvisaglie dell’operazione sono state avvistate all’inizio di aprile. Nello screenshot di seguito, opportunamente mascherato, un elenco di chiavi per l’accesso ai profili appartenenti a college come University of Vermont, University of Colorado, Dartmouth, Lafayette e University of Florida.

Alcune delle password di Zoom rubate e diffuse sul Dark Web

In seguito alla scoperta Cyble si è messa in contatto con i venditori per acquistare le password in blocco così da poter avvisare i legittimi proprietari, riuscendo a mettere le mani su un pacchetto contenente circa 530.000 account con una spesa complessiva pari a circa 1.000 dollari. Per ogni vittima sono specificati anche URL personale dei meeting e HostKey (un PIN da sei cifre).

Alcune delle password di Zoom rubate e diffuse sul Dark Web

Un’ennesima conferma di come utilizzare gli stessi username e password per più servizi sia una pessima idea poiché una volta compromesso un account si rischia così di veder messi in pericolo anche gli altri. È bene precisare che la vicenda non nasce da un attacco diretto a Zoom, ma si basa sullo sfruttamento di credenziali già finite nelle mani sbagliate da tempo. Segnaliamo infine due strumenti utili per capire se i propri profili sono stati violati partendo dall’analisi dell’indirizzo email associato, i cui database sono stati aggiornati tenendo conto di quanto emerso: Have I Been Pwned e AmIBreached di Cyble.

Pubblicato in News

Nel tentativo di rendere lo Zoombombing un brutto ricordo del passato, il team al lavoro su Zoom introdurrà nel fine settimana un nuovo aggiornamento per il servizio: arriverà il 9 maggio e tra le altre cose porterà con sé l’obbligo di impostare una password per ogni meeting, anche quelli già programmati. L’obiettivo è quello di evitare intrusioni indesiderate.

Il 9 maggio un update per la sicurezza di Zoom

Per le videochiamate organizzate tramite PMI o Personal Meeting ID (il codice univoco che identifica la “stanza virtuale” di ogni account) sarà poi attivata una sorta di “sala d’attesa” così che se anche un malintenzionato o un utente non invitato dovesse entrare in possesso del codice non potrebbe far irruzione poiché il suo ingresso nella conversazione sarebbe comunque soggetto a un via libera.

Infine, un’altra aggiunta inclusa nell’update è quella legata alla condivisione dello schermo: di default sarà consentita solo a chi ospita il meeting, senza comunque impedire il cambiamento dell’impostazione.

Circa un mese fa Zoom ha deciso di interrompere il rilascio di nuove funzionalità annunciando un Feature Freeze di 90 giorni con l’obiettivo di lavorare solo ed esclusivamente ad aggiornamenti mirati per quanto riguarda sicurezza e privacy. A fine aprile è arrivata la versione 5.0 contenente una serie non indifferente di novità su questo fronte a partire dall’adozione della crittografia AES 256-bit GCM, poi il servizio ha deciso di affidarsi all’infrastruttura cloud di Oracle così da garantire performance e una gestione rispettosa delle informazioni trasmesse.

Tutti passi in avanti, ma un ennesimo scivolone è stato registrato la scorsa settimana quando la società ha reso noto che quei 300 milioni di utenti attivi quotidianamente sul servizio dichiarati in precedenza in realtà non ci sono mai stati: la cifra era relativa ai partecipanti alle riunioni ogni giorno, dunque se una persona ha preso parte a più meeting è stata conteggiata più volte.

Pubblicato in News
Giovedì, 18 Giugno 2020 16:14

Zoom annuncia novità per meeting e privacy


In arrivo novità per la privacy e meeting su Zoom
Le novità riguardano la gestione degli account così come quella delle riunioni per consentire un controllo evoluto di quanto avviene durante un incontro su Zoom. Eccole:

aggiunta un’opzione che consente agli amministratori di disabilitare la possibilità di autenticazione attraverso l’accoppiata email-password costringendo gli utenti a utilizzare SSO (Single Sign-On) o altri metodi offerti dal servizio per il login;
gli amministratori possono inserire in una whitelist domini diversi dal proprio così che i partecipanti possano bypassare la sala d’attesa e unirsi direttamente al meeting;
gli amministratori possono disabilitare la possibilità offerta ai partecipanti di aggiungere annotazioni a una schermata condivisa, agendo in modo individuale, di gruppo o collettivo;
è ora possibile applicare il comando “Unmute All” per attivare il microfono a tutti i partecipanti in un colpo solo nei meeting che coinvolgono meno di 200 persone;
gli organizzatori e gli speaker dei webinar possono eliminare domande e commenti inviati tramite Q&A e chat durante gli incontri;
gli utenti e gli amministratori sono ora in grado di impostare per quanto tempo Zoom può salvare dati come log delle chiamate, registrazioni, messaggi vocali e trascrizioni.




Forte di una crescita importante registrata negli ultimi mesi, complice anche la corsa all’adozione delle soluzioni per smart working, didattica a distanza e comunicazione da remoto, Zoom si è trovata nella posizione di poter ampliare il proprio organico assumendo pezzi da novanta come Alex Stamos (ex Facebook), Velchamy Sankarlingam (ex VMware) e Damien Hooper-Campbell (ex eBay e Google) per migliorare la qualità e l’affidabilità del servizio offerto.

Pubblicato in News

Zoom

 

Forse con un po’ di ritardo rispetto a quanto annunciato in primavera, ma la crittografia end-to-end sta per fare il suo debutto ufficiale su Zoom. Una funzionalità chiesta a gran voce da chi si affida alla piattaforma per lavorare in smart working, per studiare o più semplicemente per comunicare da remoto, che la software house implementerà a partire dalla prossima settimana con una prima fase del rollout che prevede la raccolta dei feedback necessari ad apportare eventuali correzioni o modifiche.


La crittografia E2E su Zoom entro pochi giorni.


Sarà messa a disposizione di tutti gli utenti, a differenza di quanto deciso in un primo momento (avrebbe dovuto trattarsi di una caratteristica premium). Ad annunciarlo un post sul blog ufficiale firmato da Max Krohn, Head of Security Engineering.

Siamo entusiasti di annunciare che dalla prossima settimana la crittografia end-to-end di Zoom sarà disponibile come anteprima tecnica, ciò significa che solleciteremo in modo proattivo i feedback da parte degli utenti nei primi 30 giorni.

Tra le impostazioni di Zoom comparirà una nuova opzione dedicata proprio alla crittografia end-to-end: come si può vedere nello screenshot qui sotto, attivandola si rinuncia (almeno in un primo momento) ad alcune caratteristiche del servizio come le registrazioni cloud e le cosiddette Breakout Rooms. Prosegue Krohn.

Gli utenti di Zoom da tutto il mondo, con account gratuito o a pagamento, potranno organizzare meeting sulla piattaforma coinvolgendo fino a 200 partecipanti e beneficiando della crittografia end-to-end, beneficiando così di privacy e sicurezza migliorate.
L’implementazione della crittografia end-to-end in Zoom è resa possibile dalla tecnologia frutto dell’acquisizione della startup Keybase portata a termine proprio con questo scopo nel mese di maggio.

Pubblicato in News

 

 

Il falso messaggio INPS, una truffa

In periodo di bonus e contributi anche i malintenzionati si stanno organizzando di conseguenza con truffe studiate ad hoc per trarre in inganno i meno smaliziati. L’ennesima conferma giunge dalla Polizia Postale con l’avviso riguardante una campagna di phishing che fa leva su un fantomatico bonifico da 600 euro emesso da INPS e in attesa di essere incassato.
INPS e bonifico da 600 euro: occhio alla truffa.
Il testo del messaggio ricevuto è quello riportato qui sotto. Cita “coordinate bancarie non corrette” e l’esigenza di aggiornare i propri dati confermando l’identità per ottenere il denaro. Il mittente sembra essere Questo indirizzo email è protetto dagli spambots. E' necessario abilitare JavaScript per vederlo..">Questo indirizzo email è protetto dagli spambots. E' necessario abilitare JavaScript per vederlo.. In allegato un link che invitiamo caldamente a non aprire in quanto si tratta a tutti gli effetti di una truffa.

Siamo lieti di annunciare che abbiamo emesso il bonifico a vostro favore ID CVD – IT -SP – 12334124/2020 di euro 600,00 da I.N.P.S. – purtroppo le tue coordinate bancarie non sono corrette per ricevere il bonifico – aggiorna i tuoi dati e conferma la tua identità accedendo al link allegato in questa email – Aggiorna immediatamente le informazioni sul bottone sottostante.

Il falso messaggio INPS, una truffa

Un click e l’eventuale successiva compilazione di un modulo si tradurrebbe quasi certamente nell’invio di informazioni personali o sensibili a chi intende utilizzare con fini criminali. Ricordiamo in chiusura che per le comunicazioni con l’Istituto Nazionale della Previdenza Sociale è bene far riferimento solo ed esclusivamente al sito ufficiale raggiungibile all’indirizzo www.inps.it.

 

Pubblicato in News
Giovedì, 15 Ottobre 2020 11:52

Smart working, tutto confermato fino al 2021

Smart working oltre l’emergenza.


Quel che si va dicendo da più parti è che lo smart working sia a questo punto destinato a rimanere come forma stabile di organizzazione in molte aziende. Considerando come l’adozione di questa forma agile di lavoro sia una questione culturale prima ancora che organizzativa, non è chiaro cosa possa supportare tali certezze. Quel che è chiaro, invece, è che l’uscita dalla crisi sanitaria non farà altro che introdurci ad una crisi economica che, oltre alle ferite accumulate in questi mesi di difficoltà, metterà in campo una “nuova normalità” nella quale gli equilibri tradizionali saranno spesso eradicati. Nuove aziende emergeranno, vecchie aziende falliranno: in tutto ciò lo smart working sarà uno strumento di lavoro come tanti altri, utile a facilitare alcune modalità di espletamento delle proprie mansioni e al tempo stesso fulcro di nuove rivendicazioni (sindacali?) circa i diritti dei lavoratori.

Il lavoro agile (o smart working) è una modalità di esecuzione del rapporto di lavoro subordinato caratterizzato dall’assenza di vincoli orari o spaziali e un’organizzazione per fasi, cicli e obiettivi, stabilita mediante accordo tra dipendente e datore di lavoro; una modalità che aiuta il lavoratore a conciliare i tempi di vita e lavoro e, al contempo, favorire la crescita della sua produttività.

La situazione su questo fronte è per il momento semplicemente congelata. Le scadenze di oggi, 15 ottobre, sono procrastinate al 31 dicembre in parallelo allo spostamento nel tempo dell’orizzonte dell’emergenza. Lo smart working sarà un modo per ridurre i carichi sui trasporti pubblici, sarà un modo per garantire assistenza ai figli in caso di isolamento, sarà un modo per facilitare il distanziamento individuale in ufficio. Più che uno strumento aziendale, quindi, è uno strumento sociale di abnorme utilità per garantire al lavoro ed alle famiglie di poter portare avanti i propri ritmi.

E poi cosa succederà? In primavera ci si troverà costretti a sedere ad un tavolo di concertazione per capire cosa sia successo nel frattempo, cosa avranno detto i dati e cosa potrà offrire lo smart working al mondo del lavoro di domani. Tutte le parti saranno chiamate a contribuire a questo passaggio: politici, sindacati, confederazioni e giuslavoristi saranno chiamati a discutere, improvvisamente, del domani. Per molti versi sarà uno sprone importante per un’Italia che troppo a lungo ha discusso del mondo del lavoro seguendo i paradigmi di un passato ormai ampiamente archiviato.

Il regime attuale scade il 31 dicembre 2020. A partire dal 1 gennaio 2021 le aziende dovranno cercare di stipulare accordi individuali con i lavoratori per rientrare in quello che era il regime antecedente a partire dal 1 febbraio. Delle due, una: o lo Stato lascerà la situazione in una sorta di laissez-faire spesso caro all’impresa, oppure interverrà in anticipo senza arrivare alla scadenza. Ma la terza via sembra essere ancora la più probabile, poiché legata ad una inestricabile necessità: si arriverà ad un nuovo rinvio, portando la situazione verso l’estate e – chissà – traslando lo smart working direttamente nei programmi politici della prossima campagna elettorale.

Pubblicato in News
Copyright © Xion Informatica S.n.c. - P. IVA 06455280963
Powered by Rubedo Marketing & Web Solution
Security by Ermeteus