L’occasione è molto seria: un convegno sul tema della pubblica amministrazione trasparente e del recepimento della direttiva UE Public Sector Information, organizzato online su Zoom da un movimento politico italiano e trasmesso dalla Web TV del Senato in diretta il 17 gennaio scorso. Fra gli ospiti c’è anche il premio Nobel 2021 per la fisica Giorgio Parisi.
A un certo punto del convegno, sullo schermo dell’austera Sala dei Presidenti di Palazzo Giustiniani e sui monitor dei relatori collegati via Zoom e del pubblico che sta seguendo il convegno tramite Internet compare un video molto esplicito: un’animazione digitale che mostra le attività intime di un personaggio che molti gamer avranno riconosciuto immediatamente: è Tifa Lockhart di Final Fantasy VII.
Le immagini rimangono sullo schermo per un’interminabile manciata di secondi nel silenzio e nel gelo dei partecipanti, intanto che la regia del convegno tenta disperatamente di eliminare dallo schermo il video, nel quale gli osservatori più attenti e impassibili noteranno l’indirizzo del suo creatore, l’animatore digitale juicyneko. La regia cerca di rimuovere dalla sessione Zoom l’intruso, anzi gli intrusi che sono entrati nella riunione e hanno sommerso la relatrice non solo con immagini poco pertinenti ma anche con grida in lingua straniera fortemente distorte (se qualcuno riesce a decifrarle, me lo segnali nei commenti) e poi con un video musicale tratto da YouTube.
L’intero incidente è stato immortalato sul sito di Radio Radicale qui (dal minuto 26 in poi; immagini ovviamente non adatte a un pubblico sensibile).
La senatrice Maria Laura Mantovani, che ha aperto il convegno, ha dichiarato che si è trattato di “un episodio gravissimo, un vero e proprio attacco” e ha annunciato che avrebbe sporto denuncia alla polizia postale.
Può sembrare strano e preoccupante che degli intrusi riescano a violare la sicurezza di un sito istituzionale e irrompere in una riunione politica, ma c’è un dettaglio che potrebbe ridimensionare parecchio la vicenda.
L’informatico Andrea Lazzarotto ha infatti notato che il link per collegarsi al convegno tramite Zoom era stato pubblicato alcuni giorni prima sui social network dalla senatrice stessa (e, notano altri, anche da un suo collega, il senatore Mario Turco), con tanto di passcode, ossia il codice numerico necessario per accedere a una riunione Zoom. Il link era https://ift.tt/3fNh75j e il passcode era 631228.
Durante un convegno, la senatrice #M5S Maria Laura Mantovani ha lamentato l'accesso di un tale che ha riprodotto un porno in computer grafica.
— Andrea Lazzarotto (@thelazza) January 19, 2022
Ma come avrà fatto l'ignoto a introdursi nella videoconferenza #Zoom? L'immagine suggerisce un'ipotesi... https://t.co/L5IpzbTDAT pic.twitter.com/RAorFRcYre
Con questo link e questo passcode e senza le opportune impostazioni restrittive di Zoom, irrompere nel convegno sarebbe stata solo questione di cliccare sul link e digitare il codice. La dinamica dettagliata dell’incursione non è stata resa nota, ma sulla base di quello che si sa fin qui non sembra che si sia trattato di un attacco particolarmente sofisticato dal punto di vista tecnico.
Si tratterebbe insomma di un semplice caso molto visibile di zoombombing: vandali che entrano in videoconferenze i cui codici di accesso sono stati incautamente pubblicati dagli organizzatori.
Ma come si fa a evitare questo tipo di incidente? Ci sono alcune precauzioni fondamentali, che conviene ripassare a chiunque abbia intenzione di organizzare videoconferenze con qualunque piattaforma, da Zoom a Teams.
Se si tratta di una riunione chiusa, nella quale tutti i partecipanti devono poter parlare e condividere il proprio video e delle immagini, come avviene per esempio nelle lezioni scolastiche a distanza, le coordinate della riunione non vanno assolutamente pubblicate ma vanno date in privato soltanto a quei partecipanti, con la raccomandazione di non condividerli con nessuno al di fuori dei partecipanti.
Se invece la videoconferenza prevede un certo numero di partecipanti che parlano e condividono video e immagini e un numero più ampio di persone che possono soltanto assistere senza poter intervenire, allora ci sono due soluzioni: usare l’apposita modalità webinar di Zoom oppure diffondere in streaming la videoconferenza su Facebook, Twitch o Youtube, e dare al pubblico soltanto il link che porta allo streaming.
Se si usa la modalità webinar di Zoom, il link può essere pubblicato tranquillamente, perché soltanto chi entra nella videoconferenza con gli specifici account Zoom preventivamente impostati dalla regia come relatori può apparire in video e condividere immagini.
Gli strumenti per fare videoriunioni in sicurezza e senza interruzioni imbarazzanti ci sono, insomma: basta usarli e farli usare.
Commenti
Posta un commento