FAQ: Zoom og sikkerhed

Af Nicolai Devantier , 02/04/20
Vi får rigtig mange spørgsmål om Zoom og sikkerhed. Her har vi samlet de vigtigste.

Nu hvor Zoom kommer så meget i fokus for mange dele af samfundet - og ikke kun i vores sektor - er der også historier og bekymringer om sikkerheden i Zoom, som får spalteplads og opmærksomhed.

Generelt prøvede vi i en tidligere nyhedsartikel at beskrive hvilken konfiguration af leverandører og aftaler, som Zoom-tjenesten ved DeiC er bygget på. Vi gennemgår herunder nogle af de spørgsmål, vi har mødt siden.

# Hvem har adgang til lyd og video?

Deltagerne i et videomøde har selvfølgelig adgang til lyd og video medens mødet foregår. Mødeværten kan give den enkelte deltager - herunder sig selv - mulighed for at optage mødet på sin egen PC. Men muligheden for at optage "til clouden", som ellers findes i Zoom, er slået fra i vores tjeneste. Selve trafikken er krypteret og bliver altså ikke lagret på nogen servere nogen steder - hverken hos DeiC, NORDUnet eller Zoom.

Berlingske Tidende har bl.a. haft en artikel om, at Zoom-administratorer kan få adgang til lyd og billede, men det er ikke relevant i forhold til DeiCs Zoom tjeneste, fordi vi netop ikke tillader optagelser andre steder end på deltagernes egen PC.

# Hvad med Zoom-bombing og uautoriserede deltagere?

Som standard er det tilstrækkeligt at kende et møde-id for at deltage i mødet. Dette møde-id er typisk et tal på 7 eller 8 cifre, men kan også være en anden følge af tegn, defineret af mødeværten. Alle deltagerne kan undervejs i mødet se hvem, der deltager ved at åbne vinduet "Participants".

Det er enkelt og praktisk, men hvis man ikke ønsker, at mødet skal være åbent, er der flere muligheder for at gøre det mere lukket, særligt ved at bruge mulighederne for at sætte et password og for at mødedeltagerne skal lukkes ind af mødeværten. Zoom har også udgivet en længere vejledning til det, som kan findes her.

'Zoom-bombing' er den populære betegnelse for, at hackere gætter på møde-id'er og prøver at komme ind i møderne. Men det er altså ganske enkelt for mødeværten at forhindre.

# Er trafikken krypteret?

Ja - trafikken fra din webbrowser og Zoom-klient er altid krypteret (med TLS 1.2 eller AES-256). Se de nærmere detaljer i Zooms Encryption Whitepaper (PDF).

At nogle sikkerhedsspecialister anbefaler endnu stærkere kryptering, har enkelte debattører strammet op til, at der nærmest slet ikke er kryptering, når man bruger Zoom, men det er der altså ikke belæg for at konkludere.

Dog skal man være opmærksom på, at hvis man ringer ind i et Zoom-møde fra en gammeldags analog telefon, så er trafikken i sagens natur ikke krypteret, før den rammer den infrastruktur, der hører til Zoom-tjenesten.

På samme måde kan man sige, at forbinder man sig til et Zoom-møde med andre tredieparts-løsninger, er det heller ikke Zoom-tjenesten, der håndterer en evt. kryptering for Skype-opkald, ZIP-telefoner, GSM-telefoner eller H.323 videokonferenceudstyr.

En mødevært kan konfigurere, om man vil tillade den slags forbindelser ind i mødet, og det er muligt kun at acceptere H.323-endepunkter, der forbinder sig krypteret til mødet.

Som mødedeltager kan man spørge værten, eller selv åbne deltagerlisten, hvor man ud for hver deltager kan se hvilken type forbindelse de har.

# Hvilke vilkår gælder egentlig?

Brugernes institutioner har indgået aftale med DeiC om Zoom. Denne aftale er fulgt op af en databehandleraftale, og der er tilsvarende aftaler om tjenesten og databehandleraftaler ned gennem hele leverandørkæden.

Disse aftaler handler primært om de data leverandørerne behandler for brugerne, altså konfiguration vedr. administratorer og møder, samt chat og filer, der deles i IM-klienten og brugeroplysninger, der gives til Zoom-tjenesten i forbindelse med login.

Disse data må ikke deles med nogen uden for leverandørkæden og må ikke bruges til nogen andre formål.

Zoom indsamler selv (som selvstændigt dataansvarlig) en række data såsom brugernavn, IP-adresse, OS-version og tidspunkter. Disse data deler Zoom ikke med nogen og bruger dem ikke selv til markedsføring.

Det kan man se i detaljer i Zoom's privacy policy.

Som bruger bliver man bedt om at acceptere denne politik, når man installerer Zoom-klienten. Den strider ikke mod de aftaler, der iøvrigt styrer Zoom-tjenesten ved DeiC.

Denne privacy policy er netop blevet opdateret d. 29/3-20, således at der netop ikke skulle kunne herske tvivl om hvilke data, der bliver indsamlet og hvad Zoom må bruge dem til.

# Kan Zoom se mødetitler og mødeindkaldelser?

Nej - mødetitler er en del af de data, der opbevares på den dedikerede serverpark, der drives af NORDUnet til formålet på to lokationer i det københavnske område. Mødeindkaldelser bliver sendt fra klient til klient.

# Har Zoom adgang til kreditkort-oplysninger?

Nej - når man benytter Zoom hos DeiC, er der slet ikke indblandet nogen kreditkort-data.

# Bruges data til markedsføring?

Mange indlæg på de sociale medier har kloget sig på dette emne baseret på nogle vilkår, som ikke længere er aktuelle. Data som Zoom kommer i besiddelse af (både som databehandler og som dataansvarlig) må ikke bruges til andre formål, end de er indsamlet til. De må ikke deles med andre og de må ikke bruges til markedsføring fra Zoom selv.

# Hvad med falske Zoom-domæner?

Enhver type af service man skal tilgå via en URL kan udsættes for forsøg på spoofing - altså at man laver en URL, hvor domænedelen ligger så tæt på den rigtige at hackerne håber, at vi klikker på linket. Zoom er ingen undtagelse. Det er ikke som sådan noget, der kan lastes Zoom-tjenesten, men er derimod en generel egenskab ved links vi får tilsendt i mails.

Er man nervøs omkring hvorvidt man kan huske at genkende zoom.us i en invitations-URL hver gang, kan man i stedet starte klienten selv og så klippe møde-id'et ind i den.

# Afleverer man data til Facebook ved login?

Nej - tidligere har Zoom brugt et Facebook-toolkit som en del af deres iOS-klienter, men ved en software-opdatering d. 27/3-20 er dette fjernet. Det var i øvrigt kun aktuelt hvis man brugte sin Facebook-credentials til at logge ind i Zoom, hvad ingen af vores brugere jo nogensinde har gjort.

# Kan Windows-credentials aflures?

Nej - men der har været rapporteret en fejl - det såkaldte "UNC link issue" - som måske/måske ikke muliggjorde dette for andre konference-deltagere, men det er blevet rettet ved en softwareopdatering 1/4-20.

# Er der sårbarheder på macOS?

De seneste dage er en sårbarhed rapporteret, der tillader en lokal bruger på en macOS maskine at blive root. Det kan de fleste brugere af deres egne maskiner alligevel blive på andre måder, så det er måske ikke så alarmerende, men det er selvfølgelig en fejl. Den er blevet rettet med en softwareopdatering 1/4-20.

# Hvad er attention tracking?

Zoom har en funktion kaldet "attention tracking", der som udgangspunkt har været deaktiveret i DeiCs Zoom-tjeneste. Denne funktion giver mødeværten en indikator på hvorvidt deltagere har Zoom-vinduet aktivt under skærmdeling. Mødeværten kan ikke få andre oplysninger fra deltagernes PC. Den er også blevet deaktiveret i forbindelse med softwareopdateringen 1/4-20.

Da Zoom-tjenesten ved DeiC netop ikke kører i Zoom's almindelige cloud, men i en dedikeret serverinfrastruktur, styret af NORDUnet, vil vi typisk være nogle få dage bagud i forhold til de seneste opdateringer fra Zoom, så i skrivende stund kan attention tracking endnu være tilgængelig på enkelte instanser.

# Kører trafikken faktisk til USA?

Nej, normalt ikke. Når man starter et møde, og dermed tilgår en adresse som f.eks. deic.zoom.us, hører denne adresse til i Zooms infrastruktur. Baseret på møde-id får klienten besked tilbage om at mødet hører til den dedikerede serverinfrastruktur, og resten af trafikken kører så mod denne infrastruktur. Zooms infrastruktur fungerer populært sagt som en slags omstillingsbord inden mødet går i gang.

Adresser af typen deic.zoom.us bliver betjent af et CDN (Content Delivery Network), der er globalt, og hvis IP-adresser typisk står i de forskellige geo-lokations-databaser som USA, men som i det danske tilfælde normalt er i Frankfurt. Lige så snart forbindelsen er etableret, kører trafikken mod NORDNets servere.

En længere analyse af dette kan ses her.

Hvis man tilgår en møde-URL fra et andet sted i verden, kan man møde Zooms CDN-infrastruktur andre steder end Frankfurt, inden trafikken bliver re-dirigeret til NORDUNets dedikerede infrastruktur. Det samme gælder hvis infrastrukturen i Frankfurt er ude af drift.

# Zoom flytter til Oracles cloud. Betyder det noget for os?

Nej. Der har været omtale i nogle medier af, at Zoom flytter fra AWS til Oracle som cloud-udbyder, uden at der dog endnu er klarhed om, hvornår det tænkes at ske og i hvilken takt. Det er imidlertid ikke noget, der har betydning for DeiCs Zoom-tjeneste, da den jo netop er baseret på, at vi (NORDUnet) kører vores egen dedikerede cloud-infrastruktur.

# Er LTI Pro-integration dækket af databehandleraftalen?

En del institutioner bruger LTI Pro til at integrere Zoom-møder med deres LMS. Det er ikke dækket af databehandleraftalen, men til gengæld er det kun de helt basale metadata, der bliver udvekslet via denne integration: brugerid og møderums-id, samt emne/titel, start- og sluttider.

Det er data som Zoom alligevel indsamler om alle brugere i egenskab af selvstændig dataansvarlig, og derfor indebærer brugen af LTI Pro-integrationen ikke en yderligere spredning af data.

Der er intet af det, som foregår inde i mødet (audio, video, chat, skærmdeling etc), der bliver udvekslet via LTI Pro.

# Har Zoom en ordentlig sikkerhedskultur?

Ja - det er vores vurdering, som det ser ud nu.

Kan vi så love, at der ikke kommer flere bekymringer omkring sikkerheden i Zoom? Det kan vi selvfølgelig lige så lidt, som man kan det om alle mulige andre tilsvarende produkter og tjenester. Det vigtige er her, om vi har med en leverandør at gøre, som har en fornuftig sikkerhedskultur og en hurtig respons på de problemer man bliver opmærksom på.

Det er vores indtryk at NORDUnet, som har den direkte kontakt med Zoom, oplever en god dialog og respons, og man kan selv se af det seneste blog-indlæg fra Zooms CEO, at det er noget de tager alvorligt:

For yderligere spørgsmål eller afklaringer, kontakt Divisionsdirektør Martin Bech.

Læs mere:

Relaterede nyheder

Relateret indhold