Zoom online-undervisning – farligt eller harmløst?
lørdag, april 4, 2020 by Kristian Langborg-Hansen
Zoom er et af mest udbredte værktøjer til online-undervisning og online-møder, når folk arbejder hjemmefra eller er i hjemmeskole.
Der har været mange historier om dårlig håndtering af persondata, sikkerhedsfejl og andre problemer med Zoom.
På denne side prøver jeg at samle op på alle historierne. Jeg opdaterer løbende siden; du kan se historik over opdatering nederst på siden.
Konlusionen først
Orker du ikke at læse alle detaljerne, så start med konklusionen her, og se om det er nok.
Det gør en stor forskel, om din virksomhed eller organisation har sin egen installation af Zoom, eller om du bruger Zooms servere. Sørg for at opdatere din Zoom på computer eller telefon/tablet ofte – der kommer mange opdateringer.
Der har været en del (også alvorlige) sikkerhedshuller og en del uhensigtsmæssigheder i Zoom, men virksomheden har generelt været hurtig til at løse problemerne og sikre softwaren.
Al software indeholder fejl (tænk bare på, hvor tit Microsoft udsender sikkerhedsopdateringer til Windows), og en af grundene til, at der er meget fokus på fejl i Zoom er, at brugen af Zoom er eksploderet under Covid-19-nedlukningen.
Hvis du ikke er i risikogruppen for målrettet spionage, er det min vurdering at Zoom er ganske sikkert for dig at bruge. Det er i øvrigt en holdning, som deles af redaktøren på Motherboard.
Hvilken Zoom har du?
Når du kigger på sikkerheden i Zoom, er det vigtigt, at du ved, hvilken Zoom installation, du har. Hvis din virksomhed eller institution har sin egen installation – den såkaldte on-premise løsning – er du meget sikrere end hvis du kører på Zooms servere.
Du kan typiske kende en on-premise installation på, at linket til møderne starter med navn-på-virksomhed.zoom.us
Bruger du Zoom via en uddannelsesinstitution, der er tilknyttet Deic, så sker det på betingelser, der overholder GDPR med restriktioner for, hvilke data Zoom må indsamle, og hvordan de bruges. Du kan tjekke om et mødelink er dækket af Deics databehandleraftale med Zoom på denne liste.
Fokus på sikkerhed
Efter at Zoom har fået sit masse-gennembrug i forbindelse med hele verdens hjemmearbejde under COVID-19 epidemien, har selskabet bag fået mere fokus på sikkerheden.
En opdatering af Zoom-klienten og app’en har samlet alle sikkerhedsrelaterede indstillinger ét sted for mødets host. En ny opdatering (til Zoom 5) vil forbedre sikkerheden yderligere. Den version forventes i slutningen af april 2020.
Samme opdatering har også fjernet møde-id’et fra app’en. Når folk deler skærmbilleder fra deres videomøder, kunne id’et bruges til at få adgang til mødet, hvis det ikke var beskyttet med adgangskode eller venteværelse.
Zoom har også ansat IT-sikkerhedseksperten Alex Stamos, som tidligere har arbejdet med at sikre Facebook.
Interessen for sikkerhedshuller er stor og på det sorte marked tilbydes der lige nu (15. april 2020) viden om to nye sikkerhedshuller i Zoom for 500.000 dollars.
Der er tale om såkaldte 0-days sikkerhedshuller; altså huller som Zoom ikke selv er klar over findes, og som der derfor ikke findes en opdatering i mod.
Det er i sagens natur svært at verificere, om der er tale om den ægte vare eller falsknere, men Motherboard har en ret grundig vurdering af, at fejlene nok er reelle, men ikke virkeligt alvorlige – og nok ikke en halv million dollars værd.
En historie fra den 3. april om en alvorlig sikkerhedsfejl i Zooms venteværelse er ikke blevet bekræftet.
Zoom-bombing
Zoom-møder identificeret med et unikt idé. Tidligere har det bestået af 9 cifre som gav knap 10 milliarder forskellige møde-id’er.
Når der er tilpas mange Zoom-møder i gang, så kræver det kun en smule held at gætte et zoom-id som faktisk er gældende. Det bruger folk til at logge på tilfældige zoom-møder og dele porno, racistiske budskaber med mere. Konceptet er så udbredt, at det endda har fået et navn: zoom-bombing.
Zoom har nu opdateret længden af id’er, så der nu bruges 11 cifre, hvilket gør det 100 gange sværere at gætte en møde-id.
Problemet bliver dog forværret af, at mange bruger deres personlige Zoom-rum til alle deres møder, og derfor bruger det samme møde-id.
Sådan undgår du det (der er mere baggrund i artiklerne How to Keep Uninvited Guests Out of Your Zoom Event og Best Practices for Securing Your Virtual Classroom og podcasten Anders Kjærullf: Nødradio 12: Zoom)
- Sæt adgangskode på dine møder eller lås dem, når du alle er med.
- Fjern muligheden Join before host, når du sætter mødet op
- Brug venteværelset til at sikre, at brugere ikke kan komme direkte ind i mødet (er automatisk slået til i Zoom 5)
- Sørg for, at det kun er host’en, der kan dele skærm.
- Lad være med at bruge dit personlige id til offentlige møder, hvor alle får dem
Tidligere har folk kommet til at dele deres møde-id’er når de delte skærmbilleder fra videomøder på sociale medier. Det skete blandt andet for den engelske premiereminister Boris Johnson. Det medførte, at Zoom fjernede møde-id’et fra titellinjen i Zoom-vinduet.
Zoom-bombing er forværret af, at hackere har taget email-adresse og adgangskoder fra forskellige hackede webtjenster og prøvet, om de også kan bruges på Zoom.
Det er lykkedes i en halv million tilfælde, hvor brugere af Zoom har brugt det samme kodeord på flere websites. Er du bekymret for, at det kan være dig, så skynd dig at skift dit kodeord – og brug eventuelt en password-husker, så du kan have unikke kodeord til alle de tjenester, du bruger.
I Zoom version 5 bliver det muligt at anmelde Zoom-brugere til Zoom, så det bliver muligt at håndtere Zoom-bombere centralt.
Omfanget af Zooms kryptering
Zoom fortæller, at deres online-møder er kryptering “end-to-end”. Det vil sige, at kommunikationen er krypteret fra start til slut, så det kun er deltagerne i møderne, der kan se indholdet. Det er altså ikke muligt at “følge med” i mødet, hvis man aflytter en router undervejs.
Zoom har dog en anden opfattelse af “end-to-end” kryptering. Alle forbindelse går nemlig til Zooms servere, så forbindelsen er kun krypteret fra bruger til Zoom-server, hvor den dekrypteres.
Hvis du og jeg taler sammen på Zoom betyder det altså, at det jeg siger, bliver krypteret og sendt til Zooms server. Her bliver det dekrypteret, for igen at blive krypteret og sendt ud til dig.
Mødets indhold er altså ikke fuldt krypteret mellem dig og mig. Alle, der har adgang til Zooms servere, kan følge med.
Hvis du har en on-premise installation, er forbindelsen krypteret til og fra den server, Zoom er installeret på. Det vil normalt være i dit eget netværk, og derfor er det kun dem, der har adgang til din Zoom-server, der kan tilgå møderne.
Fra 18. april kan administratoren hos betalende kunder vælger, hvilke datacentre Zooms trafik skal sendes igennem. Hvis man vil, kan man på den måde holde trafikken i Europa.
Brugere, der anvender den gratis udgave af Zoom, får ikke mulighed for at vælge datacentre, men deres trafik vil være låst til den region, de var i, da de oprettede deres konto. For danske brugere vil det betyde, at konti oprettet i Danmark får sin Zoom-trafik ledt gennem europæiske servere. På den måde undgår man, at data bliver underlagt amerikansk eller kinesisk lovgivning, og databehandlingen vil være underlagt EU’s GDPR-direktiv.
Zoom har præciseret, hvordan deres kryptering virker i artiklen The Facts Around Zoom and Encryption for Meetings/Webinars
Kvaliteten af Zooms kryptering
Zoom har lovet at adressere mange af problemerne, der er beskrevet i dette afsnit, i Zoom 5.
Zoom bruger sin egen kryptering i stedet for en af de velafprøvede standarder, der findes. Det er i sig selv et faresignal, fordi de etablerede krypteringsteknikker er gennemprøvede og offentlige, så man ved, at der hverken er bagdøre eller svagheder.
Alle deltagere i et Zoom-møde deles om den samme krypteringsnøgle, som gør det muligt at afkode samtalerne i mødet. Nøglen udsendes af Zoom-serveren, og da flere af Zooms offentlige servere står i Kina, må man forvente, at Zoom kan blive pålagt at give det kinesiske styre adgang til at afkode al kommunikationen.
Hvis du anvender en on-premise installation (er du i tvivl, så læs starten af denne artikel igen). så bliver krypteringsnøglerne udstedt på dine egne servere, og så behøver du ikke bekymre dig om kinesisk indblanding.
Bruger du Zoom til almindelige undervisning, hyggesnak med familie eller fredagsbar med vennerne, behøver du næppe bekymre dig om kvaliteten af Zooms kryptering.
Fører du meget personlige samtaler, diskuterer forretningshemmeligheder eller andre meget fortrolige oplysninger, som fremmede magter kan være interesserede i, så skal du forstå begrænsningerne i den sikkerhed, Zoom kan tilbyde.
Hvem kan se chatbeskeder
Når du chatter med andre i et Zoom-møde, kan du enten skrive direkte til en person eller til alle deltagere.
Hvis Zoom-mødet bliver optager, bliver chatbeskeder sendt til alle vist sammen med optagelsen. Det forventer de fleste nok.
Til gengæld bliver de fleste overraskede over, at private beskeder sendt til den, der er host i mødet, også bliver gemt sammen med optagelsen, og når optagelsen bliver delt, bliver disse private meddelelser også delt!
Pas på hvor du gemmer optagelserne
Den, der er host, kan optage mødet, og gemme det; enten på sin egen computer eller på Zooms servere.
Nogen anbefaler, at man optager alle online møder, andre at man som minimum har en politik for optagelse af møder.
Uanset hvad skal du være påpasselig med, hvad du gør ved optagelsen. Washington Post har haft held til at finde adskillige Zoom-optagelser, der ligger frit tilgængeligt på nettet.
Det er egentlig ikke Zooms skyld, at brugerne lægger deres optagelser på nettet uden at beskytte dem med adgangskode.
En del af forklaringen på, hvorfor Washington Post kunne søge sig frem til optagelserne er dog, at Zoom automatisk foreslår filnavne til optagelserne, og at disse filnavne alle samme er opbygget over det samme mønster.
For at gøre optagelserne endnu sikrere bliver alle optagelser, gemt på Zooms platform, beskyttet af en adgangskode fra den 15. april 2020. Det betyder, at man både skal have et link til optagelsen og adgangskoden for at kunne se en optagelse.
Regulering
I USA er har senator Elizabeth Warren bedt Zoom om en redegørelse for, hvordan deres sikkerhedsfejl først er blevet opdaget efter at millioner af brugere – blandt andet amerikanske skoleelever – har brugt programmet. Hun er især bekymret for, at børnene udsættes for pornografisk materiale gennem Zoombombing.
Zoom svarer, at deres privatlivspolitik ikke tillader, at personer under 16 opretter en gratis konto – men det forhindrer naturligvis ikke brugeren i at vælge en højere alder, når de melder sig til.
Senator Markey har bedt FTC undersøge, om er skal være retningslinjer for brug af videotjenester.
En række lande og organisationer har fraråder eller forbyder brugen af Zoom. Det gælder blandt andet: (denne liste er ikke komplet, og der kan sagtens være udmeldinger fra organisationer, som er gået min næste forbi):
- Taiwan (pga risikoen for Zoom-bombing og usikkerhed om privatlivspolitkken)
- SpaceX (anbefaler i stedet at man skriver en mail, sms’er eller ringer)
- Google (anbefaler i stedet deres eget G Meet)
Der er dog også sikkerhedseksperter, som mener at kritikken af Zoom er urimelig, fordi Zoom ikke har flere sikkerhedsfejl end konkurrenterne; der er blot mere fokus på deres, fordi de har så mange brugere. Sikkerhedsvirksomheden Expel har en længere begrundelse for, hvor de stadig bruger Zoom.
Efter flere ugers hjemmearbejde rapporterer mange om Zoom-træthed, og man bør overveje, om alle møder behøver at være med video.
Alternativer
De fleste danske skoler har via deres kommune en aftale med Microsoft eller Google.
Microsoft-aftalen giver adgang til Microsoft Teams, som – ifølge Microsoft selv – er mere sikkert end Zoom og med en mere transparent privatlivspolitik.
Googles G Suite for Education giver adgang til videomøder via Google Meet.
Du kan finde flere alternativer i slutningen af denne artikel på TV2 som Sebastian Goos har lavet baseret på et interview med Pernille Tranberg fra DataEthics.
Tidligere problemer
Zoom har gennem tiden været ramt af en række sikkerhedshuller, som alle er blevet løst.
Zoom gør det muligt at knytte sin Zoom-konto og sin Facebook-konto sammen. En fejl i den måde, der gøres på, gjorde det dog muligt at bruge den funktionalitet til det overtage andres Zoom-konti. Fejlen blev rettet dagen efter, at den blev meldt til Zoom.
Det gælder eksempelvis deling af data med Facebook, hvor Zoom’s iOS-app sendte data til Facebook om de brugere der brugte den. En integration til LinkedIn delte deltagernes LinkedIn-profiler med andre deltagere, selvom de ikke var logget ind med deres rigtige navne. Begge fejl er løst i en opdatering 27. marts 2020.
Derudover har der været problemer med installationen på Mac, som brugte en tvivlsom måde at få brugeren til at give installationsprogrammet rettigheder til at installere. En måde som senere kunne misbruges til at få adgang til computerens mikrofon og kamera, hvis man kunne køre programmer på computeren. Dette problem er løst den 1. april 2020.
Tilbage i juli 2019 lod en anden sikkerhedsfejl i Zoom Mac-brugeres computere stå med en åben adgang fra internettet efter installation af Zoom.
En sikkerhedsbrist, der gjorde det muligt at opsnappe Windows-brugeres brugernavn og adgangskode ved at få dem til at klikke på et bestemt link i en Zoom-chat, er også løst den 1. april 2020.
Samme dag er også funktionen attention tracking fjernet. Den gjorde det muligt at overvåge om brugerne rent faktisk kigger på det, der bliver delt i et Zoom-møde, eller bruger andre programmer i mens. Det blev aldrig helt klart, om Zoom indsamlede data om, hvilke andre programmer, der blev brugt, og hver der i givet fald havde adgang til disse oplysninger.
Når du opretter en konto på Zoom, så blev du tidligere automatisk placeret i et team på baggrund af din e-mail-adresse. Hvis man registrerede sig fra en generel e-mail-adresse (fx via sin internetudbyder) så ville man komme på team med alle andre brugere fra samme internetudbyder, og ens e-mail ville derfor blive delt med folk du ikke kender. Denne fejl er rettet den 19. april 2020.
Opdatering af denne artikel
Jeg opdaterer løbende denne artikel.
23. april 2020
Historien om en alvorligt sikkerhedshul Zooms venteværelse er ikke blevet bekræftet fra andre kilder, og er derfor fjernet.
Opdateret med oplysninger om den kommende Zoom 5 med bedre kryptering.
Afsnittet om deling af e-mail-adresser er flyttet til Tidligere problemer, fordi det nu er løst.
Tilføjet beskrivelse af muligheden for at anmelde Zoom-brugere i Zoom 5.
16. april 2020
Opdateret med info om 500.000 konti med genbrugte adgangskoder, to sikkerhedshuller til salg på nettet, mulighed for at styre Zoom-trafikken og automatiske adgangskoder på optagelser gemt på Zooms servere. Desuden tilføjet link til alternativer til Zoom på TV2.
Jeg har også tilføjet en kort konklusion øverst, så du ikke behøver læse artiklen helt herned til.