Wat is er aan de hand?
Voordat een aantal weken geleden de lockdown was begonnen, was het geschatte aantal gebruikers van Zoom ongeveer 10 miljoen. Nu we wereldwijd vanuit huis werken is er een explosieve groei van het aantal gebruikers van deze populaire video app. De laatste schattingen gaan uit van ongeveer 300 miljoen Zoomers dus de populariteit van Zoom is op dit moment ongekend.
Het aandeel van Zoom Technologies INC (ZTNO) ging in een maand tijd van 2 naar 20 USD om vervolgens binnen 24 uur terug te gaan naar minder dan een dollar toen men erachter kwam dat dit niet het bedrijf is dat de populaire app aanbiedt. Zoom Video Communications INC ging zelf van 70 USD naar 170 USD.
Met de toename van de populariteit van Zoom ontstonden er ook meer discussies rondom de veiligheid van het product. Het product heeft last van beveiligingslekken en het lijkt erop dat de privacy van gebruikers niet voldoende geborgd is. In een tijd dat er een dunne lijn is tussen emotie en ratio ben ik op zoek gegaan naar feiten.
Wat is er gebeurd?
Afgelopen maand verscheen er in het nieuws dat er, tijdens een online les op het Erasmus college in Zoetermeer, plotseling porno op het scherm is verschenen. Dit bericht verscheen zo’n beetje in elke krant van Nederland want dit is natuurlijk nieuws. Kinderen die plotseling geconfronteerd worden met porno terwijl ze les krijgen in economie of wiskunde (welke les het was is helaas om privacyredenen niet gedeeld).
Dit fenomeen wordt ‘Zoombombing’ genoemd wat een afgeleide is van de term photobombing. Photobombing is het verschijnsel ‘dat iemand zichzelf in een foto plaatst, vaak om een grapje uit te halen met de fotograaf of de gefotografeerden’ (bron: taalbank.nl). Met Zoombombing wordt dus bedoeld dat iemand zichzelf in een video conference plaatst, vaak om een grapje uit te halen met de host of de deelnemers in de video conference call.
Er zijn een aantal voorbeelden van Zoombombing in de Verenigde Staten waarbij er hetzelfde gebeurde of dat er geweldadige of rascistische beelden werden getoond. Deze kinderen die in hun vrije tijd zoveel mogelijk mensen proberen af te schieten in Fortnite, moeten hier natuurlijk tegen beschermd worden. Er is zelfs in sommige gevallen een team aangesteld om de slachtoffers te helpen om met deze tragedie te dealen.
Volgens de meeste nieuwsbronnen moet dit het werk van hackers zijn geweest. Nare mensen die zichzelf door middel van bruut geweld, toegang hebben verschaft tot het klaslokaal om daar moedwillig de tere kinderzieltjes voor altijd schade toe te brengen. De vraag die ik me dan vervolgens stel is:
Hoe heeft deze ‘hacker’ dat dan gedaan?
Zoom staat bekend om de hoge mate van gebruikersvriendelijkheid. Het is redelijk eenvoudig om, zonder veel technische kennis, een video conference call op te zetten en mensen uit te nodigen. Deze laagdrempeligheid voor de deelnemers, zorgt er ook voor dat Zoom kwetsbaar is voor Zoombombing. Met andere woorden, hoe makkelijker het is voor deelnemers om aan te sluiten bij een video conference call hoe makkelijker het voor derden is om in te breken in de call. De methode die Zoom gebruikt om mensen uit te nodigen voor een conference call is door middel van een zogenaamde secret link zoals hieronder:
https://us04web.zoom.us/j/2795458283?pwd=3rXJnwPHHvJjS6CnUYmrEYpyYudDKxMW
Deze secret link bevat zowel het ID van de meeting (2795458283) als het versleutelde wachtwoord (3rXJnwPHHvJjS6CnUYmrEYpyYudDKxMW).
Dit betekent dus dat iemand die deze secret link in zijn bezit heeft, zowel weet naar welke ‘kamer’ hij moet gaan als dat hij de ‘sleutel’ heeft om toegang te krijgen tot deze kamer. In de meeste gevallen is dit voldoende om toegang te krijgen tot de les en als de “hacker” dan ook nog de mogelijkheid heeft om zijn scherm te delen dan zijn we aangekomen op de ongewilde porno uitzending op het Erasmus College.
Als een docent een uitnodiging verstuurt naar zijn studenten door middel van een secret link dan verstuurt hij daarmee dus ook de toegangspas tot het virtuele klaslokaal. Deze studenten kunnen deze toegangspas vervolgens naar iedereen doorsturen die zij willen en de ontvanger van de link heeft dan vervolgens dezelfde onbelemmerde toegang als de studenten. Het is voor een docent niet te controleren wie deze toegangspas heeft, waarmee het risico dat er iemand anoniem en ongevraagd de virtuele klas in komt lopen redelijk groot is.
Ik weet natuurlijk niet precies wat er gebeurd is maar het lijkt me zeer waarschijnlijk dat er één of meerdere studenten bewust of onbewust betrokken zijn bij deze onrechtmatige inbreuk op de virtuele les. Alleen al het doorsturen van de link is voldoende om iemand in de les te introduceren die daar niet hoort. Daarnaast is degene die de link gebruikt in principe anoniem. Het verzoek om je naam in te vullen wanneer men toegang krijgt tot de sessie is natuurlijk geen identificatiemethode. Op een middelbare school is dit dus vragen om problemen.
Hoe gebruik je Zoom dan wel?
Gebruik ALTIJD een wachtwoord
Het is op dit moment nog steeds mogelijk om een Zoom meeting aan te maken zonder wachtwoord waardoor het voor een eventuele hacker alleen maar nodig is om het meeting ID te raden door middel van heel veel meeting ID’s te proberen (een zgn. brute force attack). Er zijn maar 10 miljard meeting ID’s dus bij een groot aantal meetings is de kans groot dat een hacker een meeting ID tegenkomt die op dat moment in gebruik is.
zWarDial, een geautomatiseerd hulpmiddel om onbeschermde Zoom-vergaderingen te vinden.
Met bovenstaande tool (zWarDial) zijn hackers in staat om binnen een uur tijd 100 actieve Zoom meetings te vinden die niet beveiligd zijn door een wachtwoord. Een meeting aanmaken zonder password is daarom ook bijzonder onverstandig. De kans dat een hacker een meeting ID in combinatie met het juiste password ‘raadt’ door middel van een zgn. brute force attack is redelijk te verwaarlozen. Daarnaast heeft Zoom tegenwoordig een mechanisme ingebouwd die dit gedrag opmerkt en vervolgens het adres van de hacker blokkeert. Hiermee sluit men dus niet uit dat de link doorgestuurd wordt door studenten maar de kans dat een willekeurige derde in de les wordt daarmee wel beperkt.
Maak gebruik van een lobby
Bij het aanmaken van de meeting is het mogelijk om aan te geven dat een deelnemer aan de meeting eerst in een lobby terechtkomt. Deze lobby zorgt ervoor dat een docent elke student die aanlogt, zelf toegang moet verschaffen tot de virtuele les. Bij het gebruik van de camera door de leerling kan de docent ook nog eens vaststellen of de leerling inderdaad is wie hij zegt dat hij is alvorens de docent toegang verleent. Eventuele indringers kunnen dan in de lobby al onderschept worden waarmee leerlingen niet geconfronteerd worden met een vreemde. De docent kan vervolgens ook controleren of de leerling de juiste naam heeft ingevoerd bij het aanmelden. Deze naam kan hij vervolgens ook nog ‘locken’ waardoor een leerling na aanmelden niet meer terug kan in de ‘anonimiteit’.
Beperk het delen van het scherm tot de docent
In de instellingen van de Zoom meeting is het mogelijk om het delen van het scherm te beperken tot de host. Daarna is het voor de deelnemers niet meer mogelijk om het scherm van de les over te nemen en moreel schadelijke content te presenteren aan de overige deelnemers. Desgewenst kan een individuele student tijdelijke ontheffing krijgen hierop wanneer hij bijvoorbeeld een spreekbeurt moet geven.
Zet de studenten op ‘mute’ tijdens de les
Waar dit in real life nog wel eens een uitdaging kan zijn, kan de docent met één druk op de knop alle studenten in de les het zwijgen opleggen. Als de leerling het woord wenst dan kan hij virtueel zijn hand opsteken en kan de docent hem het woord geven door hem te ‘unmuten’. Hiermee creëert de docent natuurlijk de nodige rust in de les maar als deze ook ‘mute participants on entry’ heeft aangezet dan kan hiermee voorkomen worden dat een eventuele indringer bedreigende of anderszins kwetsende taal ongevraagd onderdeel maakt van het lesmateriaal.
Gebruik voor elke les een ander meeting ID en password
Zoals besproken, krijgen de studenten een secret link opgestuurd waarin zowel een meeting ID als een password zit. Als de docent bij het maken van de uitnodiging van de studenten ervoor kiest om een automatisch gegenereerd meeting ID en password aan te maken dan is de eventuele toegang tot de les eenmalig. Als dus één van de studenten de secret link heeft doorgestuurd dan is dat alleen maar bruikbaar voor die ene les.
Bovenstaande foto is door Boris Johnson gedeeld op social media en is een Zoom meeting van de Minister President met zijn belangrijkste ministers. Dit heeft voor de nodige Engelse humor gezorgd maar ook voor veel ophef omdat het standaard meeting ID zichtbaar was. Met deze informatie wordt het dus makkelijker voor hackers om in deze Zoom meeting te komen omdat ze al weten in welke ‘kamer’ ze moeten zijn. Nu moeten ze alleen de deur nog open zien te krijgen.
Gebruik daarom dus ook altijd een automatisch gegenereerd meeting ID en doe dat voor elke meeting. Dit betekent in de praktijk dat je ook voor wekelijks terugkerende meetings, losse meetings aan moet maken.
Sluit het klaslokaal zodra de les begonnen is
Met deze functie (lock meeting) kan de docent de toegang tot de les voor nieuwe deelnemers sluiten. Dit is natuurlijk bijzonder vervelend voor studenten die te laat zijn voor de les maar dit zorgt er wel voor dat er rust ontstaat zodra de les eenmaal begonnen is. Er kunnen dus ook geen ongenode gasten meer bij de virtuele les aanschuiven. Het leslokaal is daarmee op slot en alleen de docent kan dit slot er afhalen. Overigens werkt dit maar één kant op. Leerlingen kunnen nog wel weglopen uit de les door de sessie af te sluiten. Zij kunnen vervolgens niet meer terugkomen in de les in als het klaslokaal ‘gelocked’ is.
Zet de chatfunctie uit
Met de chatfunctie kunnen deelnemers berichten sturen aan iedereen of aan individuele deelnemers. Het is natuurlijk niet te voorkomen dat studenten berichten aan elkaar sturen door middel van bijvoorbeeld Whatsapp maar het is wel fijn als dat niet plenair in Zoom gebeurt. De chatfunctie zorgt voor veel onrust bij de les en de toegevoegde waarde is redelijk beperkt.
Zet de telefoniefunctie uit
Tijdens het aanmelden bij de sessie wordt er gevraagd of er gebruik gemaakt moet worden van computer audio. Het is namelijk ook mogelijk om door middel van een telefoon in te bellen in Zoom. Door de inbelfunctie uit te zetten kunnen er geen anonieme bellers in de virtuele les komen. Studenten zullen sowieso niet graag gebruik maken van een belbundel voor het volgen van de les dus de toegevoegde waarde hiervan is redelijk beperkt.
Met bovenstaande technische maatregelen wordt het risico op de problemen die men op het Erasmus college heeft ervaren tot een minimum beperkt. Het grootste beveiligingslek in IT omgevingen is in bijna alle gevallen de eindgebruiker zelf. Het is daarom ook verstandig om docenten te wijzen op de risico’s en de juiste middelen aan te reiken die deze risico’s tot een minimum beperkt.
Hoe zit het dan met de zorgen rondom de privacy?
De General Data Protection Regulation (GDPR) is een Europese verordening die de regels voor de verwerking van persoonsgegevens door bedrijven en de overheid in de hele Europese Unie standaardiseert. Omdat Zoom een Amerikaans bedrijf is, is de GDPR in beginsel niet van toepassing op de data die verzameld wordt bij het gebruik van Zoom. Dit geldt vanzelfsprekend ook voor de data die verzameld wordt door bedrijven als Microsoft, Cisco en Google.
Dat de GDPR niet van toepassing is op data van Europese burgers die opgeslagen wordt door een Amerikaanse dienstverlener heeft menig CISO in het verleden grijze haren bezorgd. In 2016 is er daarom een overeenkomst gesloten tussen de Europese Commissie en de US Department of Commerce genaamd het EU-US Privacy Shield. Dit betekent dat gecertificeerde bedrijven voldoen aan de wereldwijde eisen die gesteld worden door de Europese Unie voor het opslaan en transporteren van persoonlijke gegevens van natuurlijke personen in de Europese Unie. Zoom is zo’n gecertificeerd bedrijf en voldoet daarmee ook aan de eisen voor de bescherming van de persoonsgegevens.
Dit betekent dus dat daarmee de gegevens die herleidbaar zijn naar een persoon zijn beschermd. Dit zijn gegevens waarmee een individu kan worden geïdentificeerd zoals bijvoorbeeld een naam, adres, telefoonnummer, email-adres of IP-adres (en nog veel meer). Dit is tegelijkertijd ook de achilleshiel van het privacy shield want alle overige gegevens zijn dus niet beschermd.
Maar hoe zit het dan met de beveiligingslekken in Zoom?
Zoom CEO Yuan erkent ook dat zijn bedrijf moeite heeft gehad om de sterk groeiende vraag naar zijn diensten bij te houden. Hij heeft begin april gesteld dat zij voor 90 dagen alle ontwikkeling van nieuwe functies binnen Zoom worden bevroren, zodat zij zich volledig kunnen concentreren op beveiligingsproblemen. Dit heeft ervoor gezorgd dat er inmiddels al grote stappen gemaakt zijn voor wat betreft de beveiliging van Zoom en dat veel van de eerdere problemen inmiddels verholpen zijn.
Zoom is hier niet uniek in, getuige dit artikel over een kwetsbaarheid in Microsoft Teams. Zodra er een kwetsbaarheid wordt ontdekt, zal de leverancier van het product deze zo snel mogelijk dichten. Zij zullen daarbij ook aangeven welke maatregelen er zijn genomen. Dit betekent dat de kwetsbaarheden in een product op dat moment ook openbaar gemaakt worden door de leverancier zelf.
Dit betekent ook dat het belangrijk is dat men gebruik maakt van de laatste versie van het product want het is pas echt een groot risico als men gebruik maakt van verouderde software die niet voorzien is van de laatste security patches.
Moeten we dan geen Zoom meer gebruiken?
In mijn vorige blog ‘is thuiswerken nu echt het nieuwe normaal?’ heb ik mijn mening over de sociale bezwaren gedeeld met betrekking tot deze wijze van communiceren. Op dit moment kunnen we helaas niet anders dus dan is het mooi dat we elkaar nog op deze manier kunnen ontmoeten.
Ik ben van mening dat Zoom zeker problemen heeft gehad met betrekking tot beveiligings- en privacyproblemen, maar ik vind tegelijkertijd ook dat sommige ‘experts’ op het gebied van beveiliging op dit moment de problemen onnodig chargeren en dat er veel oude koeien uit de sloot gehaald worden. Elke applicatie en clouddienst heeft zo zijn kwetsbaarheden en het dichten van beveiligingslekken is voor iedere dienstverlener ‘business as usual’.
De belangrijkste reden voor de populariteit van Zoom is de toegankelijkheid en de gebruikersvriendelijkheid en dat zorgt ervoor dat er tientallen miljoenen gebruikers per dag op Zoom vertrouwen voor hun dagelijkse lessen en ontmoetingen. Als je Zoom niet gebruikt om de blauwdruk van een nieuwe kernonderzeeër te bespreken of het recept van Coca Cola te delen dan zie ik het probleem niet zo. Als je dat wel doet dan kun je je afvragen of een publieke video conferencing applicatie wel het juiste medium is.
Als je Zoom gebruikt om bijvoorbeeld aardrijkskundeles te geven dan is er niet zo veel aan de hand mits men de eerdergenoemde maatregelen heeft toegepast. Al is het huis nog zo goed beveiligd, als je zelf de voordeur open laat staan dan kan iedereen zo naar binnen lopen.