Zoombombing for dummies

Ho assistito recentemente ad uno spiacevole Zoombombing durante l’openday online di una scuola elementare e ho letto poi tante sciocchezze sui social e sulla stampa su presunti attacchi Hacker, minimizzazioni di responsabilità (della serie ‘so ragazzi) e un po’ di facili populismi (su scuola e stato italiano).
Mi sento quindi di dedicare un pochino del mio tempo a fare chiarezza e dare qualche consiglio, come sempre non richiesto, per prevenire il fenomeno.

Lo Zoombombing

Si definisce “Zoombombing” l’atto di condividere video, immagini, messaggi grafici di vario tipo, offensivi e in genere indesiderati nelle video-call. Le persone che solitamente attuano lo Zoombombing usano l’opzione di condivisione dello schermo dei principali strumenti (Meet, Zoom, Teams, etc.) per mostrare una varietà di materiali indesiderati ai partecipanti alla riunione.

Non si tratta di Hacker russi o cinesi o qualsivoglia altra nazionalità che tra un furto di carte di credito e di dati societari, in pausa pranzo si intromettono nelle video-call scolastiche. Nella maggior parte dei casi sono ragazzi preadolescenti che giocano a fare gli Hacker ignorando che se non usano almeno una VPN per nascondere le proprie tracce, saranno probabilmente poi denunciati e passeranno dei guai.

Perchè se condividi delle immagini pornografiche in una call in cui ci sono dei minori, quando la Polizia Postale riceve la segnalazione, coinvolge il fornitore del software e scarica i log delle tue attività, trova e chiama il tuo provider internet, che converte il tuo IP in indirizzo di casa, e vengono poi a prenderti in una giornata qualsiasi prima dell’alba.
In altre parole ti beccano e passi dei guai seri.

E ci mancherebbe.

La pratica dello Zoombombing (termine coniato a seguito delle prime attività di questo tipo durante il primo lockdown 2020 all’interno di call effettuate con il software Zoom) può danneggiare la reputazione di scuole, aziende, avere delle ripercussioni economiche e generare delle vere e proprie catastrofi.

Come prevenire lo Zoombombing

Bloccare lo Zoombombing non è difficile, basta prendersi il tempo per configurare bene la video-call (o il meeting) e se possibile, fare una prova prima di dare in pasto il link al pubblico.
Ecco 10 azioni da mettere in pratica per stare tranquilli:

  1. Disabilita o limita la funzione di condivisione dello schermo per i partecipanti alla call;
  2. Assicurati che la call sia solo su invito o protetta da password;
  3. Non disabilitare la funzione “sala d’attesa” perchè servirà per schermare i partecipanti alla call;
  4. Aggiungi un altro Admin (una persona che gestirà con te la piattaforma scelta per la call) per aiutarti a gestire eventuali interruzioni e l’accesso degli utenti;
  5. Disabilita l’opzione per partecipare prima dell’arrivo dell’ Admin (organizzatore);
  6. Disattiva la funzione “Consenti ai partecipanti rimossi di ricongiungersi” nel caso ci sia (per esempio Zoom ha questa opzione);
  7. Disattiva la funzione “Trasferimento file” per prevenire che gli utenti possano inviare quello che vogliono, nel peggiore dei casi malware / virus;
  8. Non ospitare mai una call con il tuo ID riunione personale , generane uno casuale (gli account Admin hanno un numero alfanumerico di riconoscimento che possono utilizzare per le loro call);
  9. Blocca la call immediatamente dopo l’inizio per impedire a nuovi utenti di partecipare (anche se dipende dal titpo di call organizzata);
  10. Disabilita la funzione di annotazione per impedire ai partecipanti di scrivere messaggi inderiderati durante l’utilizzo della condivisione dello schermo;

Queste buone pratiche valgono per qualunque software si scelga di utilizzare, anche se la raccomandazione è quella di utilizzare quelli più famosi: Meet, Teams, Webex e non solo, che si poggiano su host robusti, e offrono crittografia end-to-end e autenticazione a più fattori.

In ogni caso, come ultima considerazione da papà (consiglio.def.def), mi sento di dire di non lasciare mai, per nessun motivo i propri figli davanti alla call senza tenerli monitorati. Non è possibile infatti sapere a priori se chi ha organizzato la call è stato in grado di prendere tutte le dovute precauzioni oppure no.
Poter intervenire prontamente è l’unica arma a disposizione contro troll e organizzatori poco capaci.