La videoconferenza è stata un fattore chiave per la crescita del lavoro a distanza. Da un lavoratore domestico solitario a un'azienda con team in tutto il mondo, VC consente una vera comunicazione faccia a faccia. Ma comporta un nuovo rischio per l'azienda?
Diamo per scontate le strutture VC, ci sforziamo di ottenere un audio migliore, una grafica più veloce e migliori strumenti per il lavoro di squadra, ma stiamo prestando sufficiente attenzione alla sicurezza? Piattaforme come FaceTime, WhatsApp e Skype utilizzano tecnologie comuni come WebRTC, quindi cosa succederebbe se un hacker potesse trovare e sfruttare una vulnerabilità ?
Qui diamo un breve sguardo alla ricerca condotta di recente sulle vulnerabilità e su come un hacker potrebbe sfruttarle. Infine, esaminiamo i modi migliori per proteggere le nostre chiamate VC.
Qual è il rischio?
Per le chiamate VC aziendali esiste un rischio potenziale significativo nell'esporre informazioni sensibili. Potrebbe trattarsi di dirigenti che discutono di informazioni finanziarie o di tecnici che condividono i dettagli della proprietà intellettuale. Le informazioni sensibili sono come una calamita per gli hacker. Al di fuori dell'attività , i dati compromessi di individui, come i loro account Facebook o WhatsApp, hanno valore.
Come si potrebbe fare?
Natalie Silvanovich del team Project Zero di Google ha recentemente scoperto vulnerabilità che potrebbero essere sfruttate da un hacker (da allora sono state corrette). Web Real-Time Communication (WebRTC) è una tecnologia open source ampiamente utilizzata che consente la comunicazione in tempo reale. Silvanovich ha trovato diverse vulnerabilità in WebRTC, abbastanza gravi da causare un arresto anomalo con errori fuori limite o overflow.
Gli hacker spesso avviano overflow dell'heap di memoria come strumento di effrazione. Avviando un overflow sul dispositivo del target, un hacker potrebbe impossessarsi del proprio account e intercettare il VC. Ci sono due metodi fattibili:
- L'hacker avvia una chiamata VC utilizzando un dispositivo non autorizzato, stabilisce una comunicazione peer-to-peer e attiva la vulnerabilità sul dispositivo del bersaglio
- Utilizzando una tecnica di phishing, l'obiettivo viene convinto ad avviare un VC, ma utilizzando un server di segnalazione che è sotto il controllo dell'hacker. L'hacker è quindi in grado di stabilire più facilmente una comunicazione peer-to-peer con il proprio dispositivo non autorizzato.
Influirà sulle tariffe di terminazione VoIP all'ingrosso?
Abbiamo assistito a un aumento delle frodi nel settore delle telecomunicazioni che incidono sui ricavi degli operatori. Attacchi come Voice fraud, SMS fraud e IPX fraud prendono di mira sia gli operatori che le aziende che li utilizzano. Gli esempi di metodi di hacking che descriviamo influenzerebbero aziende e consumatori, sebbene non dovremmo escludere l'escalation nel prendere di mira gli operatori.
Come possiamo proteggerci?
Silvanovich ha presentato le vulnerabilità come bug, che sono state poi corrette. Quindi non c'è motivo immediato di allarme nel contesto di questi casi specifici. Tuttavia, la vigilanza, come sempre, è fondamentale per evitare di portare rischi alle operazioni aziendali. Ecco tre suggerimenti per ridurre il rischio:
- Aggiorna lo strumento VC all'ultima patch di sicurezza non appena diventa disponibile. Gli sviluppatori correggono costantemente le vulnerabilità e le rilasciano, quindi è fondamentale tenersi aggiornati
- Addestrare il personale a non rispondere alle chiamate VC da numeri sconosciuti. Una chiamata in arrivo è il punto di ingresso naturale per un hacker
- Utilizzare un firewall per proteggere la comunicazione VC
Se stai cercando una soluzione di videoconferenza sicura e protetta, prova Huddle di Net2Phone. Huddle consente comunicazioni faccia a faccia virtuali sicure con persone di tutto il mondo.