Un ricercatore di sicurezza di Rapid7 ha scoperto una grave vulnerabilità nei sistemi di videoconferenza utilizzati da diverse aziende durante le riunioni del consiglio di amministrazione. Un hacker può facilmente comandare la webcam da remoto con il mouse, ascoltare e registrare tutto ciò che viene detto all’interno della stanza.
HD Moore di Rapid7 ha dimostrato che le aziende prestano molta attenzione alle informazioni riservate, spesso impedendo ai dipendenti di utilizzare determinati servizi su Internet, e spendono milioni di dollari per garantire la sicurezza della propria infrastruttura informatica, ma raramente si preoccupano della facilità con cui è possibile “entrare” nella stanza della videoconferenza.
Fino a circa 10 anni fa, poche aziende sfruttavano questa tecnologia, in quanto troppo costosa e, in ogni caso, la trasmissione avveniva attraverso le comuni linee telefoniche. Con la diffusione di Internet, le videoconferenze sono sempre più diffuse. I protocolli utilizzati sono però stati progettati per offrire audio e video di alta qualità, con poca attenzione alla sicurezza. Gli amministratori di rete non configurano il sistema in modo corretto, per cui un hacker che conosce la vulnerabilità può vedere ed ascoltare senza essere scoperto.
I sistemi più diffusi di Polycom e Cisco hanno un costo di oltre 25.000 dollari e offrono video ad alta risoluzione e un audio talmente sofisticato che può rilevare il rumore di una porta che si apre a circa 90 metri di distanza. Questi sistemi però sono forniti di una funzione che permette di accettare automaticamente le chiamate in ingresso senza premere un pulsante. Quindi chiunque può effettuare una chiamata e osservare quello che accade nella stanza. Con un apposito programma, Moore ha trovato oltre 5.000 sistemi di videoconferenza collegati ad Internet con questa funziona attivata di default: studi legali, compagnie farmaceutiche, raffinerie di petrolio, università e centri medici.
Molti sistemi di videoconferenza integrano diverse funzionalità per la sicurezza, come password di protezione, blocco della webcam o disattivazione dell’audio, ma quasi nessuna delle aziende applica queste elementari regole per proteggere le informazioni riservate da orecchie e occhi indiscreti. Spesso non viene nemmeno posizionato il sistema dietro un firewall. La soluzione più sicura è installare un “gatekeeper”, ma la sua configurazione è molto complessa, per cui non viene quasi mai utilizzato.