Her er hvad du skal vide om sikkerheden i Zoom

Den version af Zoom, som DeiC tilbyder universiteterne, er på en række punkter anderledes end den kommercielle udgave, som alle kan købe sig adgang til. Her forklarer vi forskellene og giver svar på dine spørgsmål om sikkerheden i Zoom.

Senest opdateret 14. maj 2020.

Videokonferencetjenesten Zoom har for mange været et uundværligt værktøj siden DeiC tog det på programmet i 2017 og i helt særlig grad i forbindelse med Corona-krisen.

Derfor har Zoom også været under mediernes lup – ikke mindst i forhold til om sikkerheden i programmet lever op til krav og forventninger.

Her kan du læse om, hvad der er gældende for den version af Zoom, som DeiC tilbyder til universiteterne.

# Er den version af Zoom, som DeiC tilbyder brugerne af forskningsnettet, anderledes end den kommercielle version som alle kan købe?

Ja, DeiCs version er anderledes.

På de sociale medier har mange taget dette emne op, og bekymret sig over de betingelser, der gælder for slutbrugere af Zoom, der bruger den gratis version eller køber licenser online til den almindelige cloud-version af Zoom. Det er dog ikke de betingelser, der gælder for brugen af Zoom hos DeiC.

DeiCs Zoom-tjeneste er resultatet af et fælleseuropæisk udbud (2016/S 236-430854) lavet via GÉANT, den fælles organisation for alle forskningsnet i Europa.

Det nordiske netværkssamarbejde NORDUnet har på baggrund heraf indgået en leveranceaftale med Zoom, som ikke er baseret på en amerikansk tekst, men på teksten udformet af landene i fællesskab i GÉANT. Den indeholder alle de betingelser om databeskyttelse som man almindeligvis vil forvente af en europæisk aftale.

Brugere af Zoom via DeiC benytter således ikke den samme infrastruktur som individuelle Zoom-brugere, men en serverpark, der drives af NORDUnet på to lokationer i det storkøbenhavnske område, og DeiC har så en aftale med NORDUnet om levering af denne service.

Her under Corona-krisen er denne serverpark blevet suppleret med, at Zoom har stillet et tilsvarende dedikeret miljø op med brug af AWS-cloud, der er geografisk låst til deres datacenter i Stockholm.

Disse aftaler er fulgt op af databehandleraftaler hele vejen i leverandørkæden: Uddannelsesinstitutioner - DeiC - NORDUnet - Zoom - AWS.

# Hvilke data opbevares hvor?

Metadata om mødet (navn, mail, brugernavn, institutionsnavn, evt. gruppetilhørsforhold som afleveret via WAYF, IP-adresser, klienttyper og tidspunkter) opbevares af Zoom til statistikformål og til kontrol af, at DeiC lever op til licensaftalen. Det fremgår af aftalerne, at Zoom ikke må bruge disse data til andre formål - herunder heller ikke dele dem med nogen parter uden for Zoom.

Man skal dog være opmærksom på, at hvis man bruger en af de mange integrationer, som Zoom har med f.eks. Google eller Skype, kommer man via Zoom til at videregive nogle data, men det er styret af dig som bruger. Hvis du sidder i et Zoom-møderum og derfra beder Zoom ringe ud til en Skype-bruger (det kan man faktisk), så vil Zoom rimeligvis overføre dit navn til Skype, så personen der får Skype-opkaldet kan se, hvem det kommer fra.

En del af Zoom er også den såkaldte IM-klient, der åbnes ved at trykke på Chat i appen, før man åbner selve videomøde-klienten. Den er ikke brugt af særligt mange og må ikke forveksles med den Chat, der findes inde i selve videomøde-klienten, men ud over at sende tekstbeskeder, kan man her også uploade filer til deling.

Disse filer, og chatten i øvrigt, oplagres på de dedikerede serverinfrastrukturer hos NORDUnet (og i den dedikerede AWS-cloud i Stockholm her i medens der er høj belastning).

# Kører mit Zoom-møde via DeiC?

De møder, der er omfattet af DeiCs Zoom-tjeneste, er dem hvor mødelederen kommer fra en af institutionerne på listen  og er logget ind via sin institution på sædvanlig vis (via WAYF eller institutionens SSO-løsning).

Hvis du ikke har logget ind eller logget ind på andre måder, bruger du ikke DeiCs Zoom-tjeneste.

Hvis du bare har modtaget en invitation til et møde via et link eller møde-id, behøver du ikke logge ind. I det tilfælde kan du i videomøde-klienten klikke på det lille (i), som befinder sig i øverste venstre hjørne og se møde-URL'en.

De URL'er der er omfattet af DeiCs Zoom-tjeneste kan ses på DeiCs hjemmeside under punktet Zoom > ’Kom i gang’.

# Hvem har adgang til lyd og video?

Deltagerne i et videomøde har selvfølgelig adgang til lyd og video medens mødet foregår. Mødeværten kan give den enkelte deltager - herunder sig selv - mulighed for at optage mødet på sin egen PC. Men muligheden for at optage "til clouden", som ellers findes i Zoom, er slået fra i vores tjeneste. Selve trafikken er krypteret og bliver altså ikke lagret på nogen servere nogen steder - hverken hos DeiC, NORDUnet eller Zoom.

Berlingske Tidende har bl.a. haft en artikel om, at administratorer hos Zoom Inc. kan få adgang til lyd og billede, men det er ikke relevant i forhold til DeiCs Zoom tjeneste, fordi vi netop ikke tillader optagelser andre steder end på deltagernes egen PC.

# Hvad med Zoom-bombing og uautoriserede deltagere?

Som standard er det tilstrækkeligt at kende et møde-id for at deltage i mødet. Dette møde-id er typisk et tal på 7 eller 8 cifre, men kan også være en anden følge af tegn, defineret af mødeværten. Alle deltagerne kan undervejs i mødet se hvem, der deltager ved at åbne vinduet "Participants".

Det er enkelt og praktisk, men hvis man ikke ønsker, at mødet skal være åbent, er der flere muligheder for at gøre det mere lukket, særligt ved at bruge mulighederne for at sætte et password og for at mødedeltagerne skal lukkes ind af mødeværten. Zoom har også udgivet en længere vejledning til det, som kan findes her.

'Zoom-bombing' er den populære betegnelse for, at hackere gætter på møde-id'er og prøver at komme ind i møderne. Men det er altså ganske enkelt for mødeværten at forhindre.

# Er trafikken krypteret?

Ja - trafikken fra din webbrowser og Zoom-klient er altid krypteret (med TLS 1.2 eller AES-256). Se de nærmere detaljer i Zooms Encryption Whitepaper (PDF).

At nogle sikkerhedsspecialister anbefaler endnu stærkere kryptering, har enkelte debattører strammet op til, at der nærmest slet ikke er kryptering, når man bruger Zoom, men det er der altså ikke belæg for at konkludere.

Dog skal man være opmærksom på, at hvis man ringer ind i et Zoom-møde fra en gammeldags analog telefon, så er trafikken i sagens natur ikke krypteret, før den rammer den infrastruktur, der hører til Zoom-tjenesten.

På samme måde kan man sige, at forbinder man sig til et Zoom-møde med andre tredieparts-løsninger, er det heller ikke Zoom-tjenesten, der håndterer en evt. kryptering for Skype-opkald, ZIP-telefoner, GSM-telefoner eller H.323 videokonferenceudstyr.

En mødevært kan konfigurere, om man vil tillade den slags forbindelser ind i mødet, og det er muligt kun at acceptere H.323-endepunkter, der forbinder sig krypteret til mødet.

Som mødedeltager kan man spørge værten, eller selv åbne deltagerlisten, hvor man ud for hver deltager kan se hvilken type forbindelse de har.

# Hvilke vilkår gælder egentlig?

Brugernes institutioner har indgået aftale med DeiC om Zoom. Denne aftale er fulgt op af en databehandleraftale, og der er tilsvarende aftaler om tjenesten og databehandleraftaler ned gennem hele leverandørkæden.

Disse aftaler handler primært om de data leverandørerne behandler for brugerne, altså konfiguration vedr. administratorer og møder, samt chat og filer, der deles i IM-klienten og brugeroplysninger, der gives til Zoom-tjenesten i forbindelse med login.

Disse data må ikke deles med nogen uden for leverandørkæden og må ikke bruges til nogen andre formål.

Zoom indsamler selv (som selvstændigt dataansvarlig) en række data såsom brugernavn, IP-adresse, OS-version og tidspunkter. Disse data deler Zoom ikke med nogen og bruger dem ikke selv til markedsføring.

Det kan man se i detaljer i Zoom's privacy policy.

Som bruger bliver man bedt om at acceptere denne politik, når man installerer Zoom-klienten. Den strider ikke mod de aftaler, der iøvrigt styrer Zoom-tjenesten ved DeiC.

Denne privacy policy er blevet opdateret d. 29/3-20, således at der netop ikke skulle kunne herske tvivl om hvilke data, der bliver indsamlet og hvad Zoom må bruge dem til.

# Kan Zoom se mødetitler og mødeindkaldelser?

Nej - mødetitler er en del af de data, der opbevares på den dedikerede serverpark, der drives af NORDUnet til formålet på to lokationer i det københavnske område. Mødeindkaldelser bliver sendt fra klient til klient.

# Har Zoom adgang til kreditkort-oplysninger?

Nej - når man benytter Zoom hos DeiC, er der slet ikke indblandet nogen kreditkort-data.

# Bruges data til markedsføring?

Mange indlæg på de sociale medier har kloget sig på dette emne baseret på nogle vilkår, som ikke længere er aktuelle. Data som Zoom kommer i besiddelse af (både som databehandler og som dataansvarlig) må ikke bruges til andre formål, end de er indsamlet til. De må ikke deles med andre og de må ikke bruges til markedsføring fra Zoom selv.

# Hvad med falske Zoom-domæner?

Enhver type af service man skal tilgå via en URL kan udsættes for forsøg på spoofing - altså at man laver en URL, hvor domænedelen ligger så tæt på den rigtige at hackerne håber, at vi klikker på linket. Zoom er ingen undtagelse. Det er ikke som sådan noget, der kan lastes Zoom-tjenesten, men er derimod en generel egenskab ved links vi får tilsendt i mails.

Er man nervøs omkring hvorvidt man kan huske at genkende zoom.us i en invitations-URL hver gang, kan man i stedet starte klienten selv og så klippe møde-id'et ind i den.

# Afleverer man data til Facebook ved login?

Nej - tidligere har Zoom brugt et Facebook-toolkit som en del af deres iOS-klienter, men ved en software-opdatering d. 27/3-20 er dette fjernet. Det var i øvrigt kun aktuelt hvis man brugte sin Facebook-credentials til at logge ind i Zoom, hvad ingen af vores brugere jo nogensinde har gjort.

# Kan Windows-credentials aflures?

Nej - men der har været rapporteret en fejl - det såkaldte "UNC link issue" - som måske/måske ikke muliggjorde dette for andre konference-deltagere, men det er blevet rettet ved en softwareopdatering 1/4-20.

# Er der sårbarheder på macOS?

Op til marts 2020 blev en sårbarhed rapporteret, der tillader en lokal bruger på en macOS maskine at blive root. Det kan de fleste brugere af deres egne maskiner alligevel blive på andre måder, så det er måske ikke så alarmerende, men det er selvfølgelig en fejl. Den er blevet rettet med en softwareopdatering 1/4-20.

# Hvad er attention tracking?

Zoom har en funktion kaldet "attention tracking", der som udgangspunkt har været deaktiveret i DeiCs Zoom-tjeneste. Denne funktion giver mødeværten en indikator på hvorvidt deltagere har Zoom-vinduet aktivt under skærmdeling. Mødeværten kan ikke få andre oplysninger fra deltagernes PC. Den er også blevet deaktiveret i forbindelse med softwareopdateringen 1/4-20.

# Kører trafikken faktisk til USA?

Nej, normalt ikke. Når man starter et møde, og dermed tilgår en adresse som f.eks. deic.zoom.us, hører denne adresse til i Zooms infrastruktur. Baseret på møde-id får klienten besked tilbage om at mødet hører til den dedikerede serverinfrastruktur, og resten af trafikken kører så mod denne infrastruktur. Zooms infrastruktur fungerer populært sagt som en slags omstillingsbord inden mødet går i gang.

Adresser af typen deic.zoom.us bliver betjent af et CDN (Content Delivery Network), der er globalt, og hvis IP-adresser typisk står i de forskellige geo-lokations-databaser som USA, men som i det danske tilfælde normalt er i Frankfurt. Lige så snart forbindelsen er etableret, kører trafikken mod NORDNets servere.

En længere analyse af dette kan ses her.

Hvis man tilgår en møde-URL fra et andet sted i verden, kan man møde Zooms CDN-infrastruktur andre steder end Frankfurt, inden trafikken bliver re-dirigeret til NORDUNets dedikerede infrastruktur. Det samme gælder hvis infrastrukturen i Frankfurt er ude af drift.

Det ser også ud til, at trafik med Skype for Business normalt udveksles i USA.

# Zoom flytter til Oracles cloud. Betyder det noget for os?

Nej. Der har været omtale i nogle medier af, at Zoom flytter fra AWS til Oracle som cloud-udbyder, uden at der dog endnu er klarhed om, hvornår det tænkes at ske og i hvilken takt. Det er imidlertid ikke noget, der har betydning for DeiCs Zoom-tjeneste, da den jo netop er baseret på, at vi (NORDUnet) kører vores egen dedikerede cloud-infrastruktur.

# Har Zoom en ordentlig sikkerhedskultur?

Ja - det er vores vurdering, som det ser ud nu. Det er nærmere uddybet i en sikkerhedsvurdering foretaget af DKCERT.

Kan vi så love, at der ikke kommer flere bekymringer omkring sikkerheden i Zoom? Det kan vi selvfølgelig lige så lidt, som man kan det om alle mulige andre tilsvarende produkter og tjenester. Det vigtige er her, om vi har med en leverandør at gøre, som har en fornuftig sikkerhedskultur og en hurtig respons på de problemer man bliver opmærksom på.

Det er vores indtryk at NORDUnet, som har den direkte kontakt med Zoom, oplever en god dialog og respons, og man kan selv se af dette blog-indlæg fra Zooms CEO, at det er noget de tager alvorligt.

For yderligere spørgsmål eller afklaringer, kontakt Divisionsdirektør Martin Bech.

Revideret 05/05/20

Relaterede nyheder

Relateret indhold