Zoom og IT-sikkerhed (FAQ)

På ABSALON har vi i forbindelse med COVID-19 oplevet et markant øget behov for værktøjer til fjernundervisning og online mundtlig prøve. Dette har medført en øget opmærksomhed fra medarbejdere og studerende omkring Zoom og IT-sikkerhed - bl.a. er Zoom beskyldt for at tilegne sig adgang til data om brugen fra den enkelte bruger.

Absalon har valgt at anvende Zoom som en service igennem DeiC (under Styrelsen for Forskning og Uddannelse) - dvs. data ligger på danske servere bag sikre firewalls. Vi tilbyder derfor Absalons medarbejdere og studerende en sikker digital Zoom platform til fjernundervisning, møder og online mundtlige prøver.

Pr. 27. september 2020 er brug af enten adgangskode eller "venteværelse" et sikkerhedskrav i alle afholdte Zoom-møder. 

Sikre anbefalinger fra DIGITAL

Vil du sikre dig mod uvedkommendes adgang til dine private oplysninger, skal du anvende Zoom via Absalon (phabsalon.zoom.us) samt logge ind via SSO med dit ABSALON-login, når du bruger Zoom. 

Installer Zoom-klienten til computeren, da denne sikrer en TLS-krypteret forbindelse mellem deltagerne. Zoom udvikler løbende sikkerhedsforbedringer, så det vil være en god idé at du acceptere løbende opdateringer, når Zoom-klienten beder dig om det. Dette giver dig samtidig en bedre visuel oplevelse (bl.a. mulighed for at se samtlige deltagere på én gang).

Ofte stillede spørgsmål vedr. Zoom og IT-sikkerhed

Vi kender til rygter fra dagspressen, studerende m.fl., der går på at data i Zoom ikke er sikre. Imidlertid er disse rygter baseret på Zooms gratis løsning, der hostes på Zooms egne webservere rundt om i verden.

Herunder har vi samlet de mest efterspurgte sikkerhedsspørgsmål til Zoom:

Har du yderligere spørgsmål til Zoom og IT-sikkerhed, er du velkommen til at kontakte Svend Tveden-Nyborg ved Absalon DIGITAL (svtn@pha.dk). 

Opdateret 08.04.2020

# Er den version af Zoom, som Absalon anvender, anderledes end den kommercielle version som alle kan købe?

Ja, Absalons version er anderledes.

På de sociale medier har mange taget dette emne op, og bekymret sig over de betingelser, der gælder for slutbrugere af Zoom, der bruger den gratis version eller køber licenser online til den almindelige cloud-version af Zoom. Det er dog ikke de betingelser, der gælder for brugen af Zoom hos DeiC.

DeiCs Zoom-tjeneste er resultatet af et fælleseuropæisk udbud (2016/S 236-430854) lavet via GÉANT, den fælles organisation for alle forskningsnet i Europa.

Det nordiske netværkssamarbejde NORDUnet har på baggrund heraf indgået en leveranceaftale med Zoom, som ikke er baseret på en amerikansk tekst, men på teksten udformet af landene i fællesskab i GÉANT. Den indeholder alle de betingelser om databeskyttelse som man almindeligvis vil forvente af en europæisk aftale.

Brugere af Zoom via DeiC benytter således ikke den samme infrastruktur som individuelle Zoom-brugere, men en serverpark, der drives af NORDUnet på to lokationer i det storkøbenhavnske område, og DeiC har så en aftale med NORDUnet om levering af denne service.

Disse aftaler er fulgt op af databehandleraftaler hele vejen i leverandørkæden: Uddannelsesinstitutioner - DeiC - NORDUnet - Zoom - AWS.

# Hvilke data opbevares hvor?

Metadata om mødet (navn, mail, brugernavn, institutionsnavn, evt. gruppetilhørsforhold som afleveret via WAYF, IP-adresser, klienttyper og tidspunkter) opbevares af Zoom til statistikformål og til kontrol af, at DeiC lever op til licensaftalen. Det fremgår af aftalerne, at Zoom ikke må bruge disse data til andre formål - herunder heller ikke dele dem med nogen parter uden for Zoom.

Man skal dog være opmærksom på, at hvis man bruger en af de mange integrationer, som Zoom har med f.eks. Google eller Skype, kommer man via Zoom til at videregive nogle data, men det er styret af dig som bruger. Hvis du sidder i et Zoom-møderum og derfra beder Zoom ringe ud til en Skype-bruger (det kan man faktisk), så vil Zoom rimeligvis overføre dit navn til Skype, så personen der får Skype-opkaldet kan se, hvem det kommer fra.

En del af Zoom er også den såkaldte IM-klient, der åbnes ved at trykke på Chat i appen, før man åbner selve videomøde-klienten. Den er ikke brugt af særligt mange og må ikke forveksles med den Chat, der findes inde i selve videomøde-klienten, men ud over at sende tekstbeskeder, kan man her også uploade filer til deling.

Disse filer, og chatten i øvrigt, oplagres på de dedikerede serverinfrastrukturer hos NORDUnet (og i den dedikerede AWS-cloud i Stockholm her i medens der er høj belastning).

# Hvem har adgang til lyd og video?

Deltagerne i et videomøde har selvfølgelig adgang til lyd og video medens mødet foregår. Mødeværten kan give den enkelte deltager - herunder sig selv - mulighed for at optage mødet på sin egen PC. Men muligheden for at optage "til clouden", som ellers findes i Zoom, er slået fra i ABSALONS Zoom-installation. Selve trafikken er krypteret og bliver altså ikke lagret på nogen servere nogen steder - hverken hos DeiC, NORDUnet eller Zoom.

Berlingske Tidende har bl.a. haft en artikel om, at Zoom-administratorer kan få adgang til lyd og billede, men det er ikke relevant i forhold til ABSALONS Zoom-installation hos DeiC, fordi vi netop ikke tillader optagelser andre steder end på deltagernes egen PC.

# Hvilke vilkår gælder egentlig?

Brugernes institutioner har indgået aftale med DeiC om Zoom. Denne aftale er fulgt op af en databehandleraftale, og der er tilsvarende aftaler om tjenesten og databehandleraftaler ned gennem hele leverandørkæden.

Disse aftaler handler primært om de data leverandørerne behandler for brugerne, altså konfiguration vedr. administratorer og møder, samt chat og filer, der deles i IM-klienten og brugeroplysninger, der gives til Zoom-tjenesten i forbindelse med login.

Disse data må ikke deles med nogen uden for leverandørkæden og må ikke bruges til nogen andre formål.

Zoom indsamler selv (som selvstændigt dataansvarlig) en række data såsom brugernavn, IP-adresse, OS-version og tidspunkter. Disse data deler Zoom ikke med nogen og bruger dem ikke selv til markedsføring.

Det kan man se i detaljer i Zoom's privacy policy.

Som bruger bliver man bedt om at acceptere denne politik, når man installerer Zoom-klienten. Den strider ikke mod de aftaler, der iøvrigt styrer Zoom-tjenesten ved DeiC.

Denne privacy policy er netop blevet opdateret d. 29/3-20, således at der netop ikke skulle kunne herske tvivl om hvilke data, der bliver indsamlet og hvad Zoom må bruge dem til.

# Gemmes Absalons login-oplysninger hos Zoom?

Det korte svar: Absalons brugeres passwords gemmes IKKE på Zooms servere.

Det uddybende svar: Absalons brugere anvender SSO til at logge ind Zoom.
Teknisk set foregår SSO udelukkende ved en session key, som kommer fra den autoritative enhed. I dette tilfælde vil ZOOM anmode Absalon om at en given bruger autentificeres. Det gør Absalon på egne servere, og der sendes en "Bruger Godkendt session key" til ZOOM, som derefter acceptere brugeren og logger vedkommende ind.

# Bruges data til markedsføring?

Mange indlæg på de sociale medier har kloget sig på dette emne baseret på nogle vilkår, som ikke længere er aktuelle. Data som Zoom kommer i besiddelse af (både som databehandler og som dataansvarlig) må ikke bruges til andre formål, end de er indsamlet til. De må ikke deles med andre og de må ikke bruges til markedsføring fra Zoom selv.

# Kan Windows-credentials aflures?

Nej - men der har været rapporteret en fejl - det såkaldte "UNC link issue" - som måske/måske ikke muliggjorde dette for andre konference-deltagere, men det er blevet rettet ved en softwareopdatering 1/4-2020.

# Er der sårbarheder på macOS?

De seneste dage er en sårbarhed rapporteret, der tillader en lokal bruger på en macOS maskine at blive root. Det kan de fleste brugere af deres egne maskiner alligevel blive på andre måder, så det er måske ikke så alarmerende, men det er selvfølgelig en fejl. Den er blevet rettet med en softwareopdatering 1/4-2020.

# Hvad med Zoom-bombing og uautoriserede deltagere?

'Zoom-bombing' er den populære betegnelse for, at hackere gætter på møde-id'er og prøver at komme ind i møderne. Som standard er det tilstrækkeligt at kende et møde-id for at deltage i mødet. Dette møde-id er typisk et tal på 7 eller 8 cifre, men kan også være en anden følge af tegn, defineret af mødeværten. Alle deltagerne kan undervejs i mødet se hvem, der deltager ved at åbne vinduet "Participants".

Det er enkelt og praktisk, men hvis man ikke ønsker, at mødet skal være åbent, er der flere muligheder for at gøre det mere lukket, særligt ved at bruge mulighederne for at sætte et password og for at mødedeltagerne skal lukkes ind af mødeværten. 

Læs mere her: Fire gode råd til at undgå Zoombombing

Benyt venteværelse (waiting room)
Har du brug for at "parkere" dine mødedeltagere inden mødet starter, kan du under din mødeoprettelse aktivere et venteværelse (i Zoom et 'Waiting room'). Her vil deltagerne blive 'parkeret', når de starter mødedeltagelsen, og vente på, at du er klar til at holde mødet. Når du er klar "åbner" du møderummet og indkalder de ventende deltagere.

Lås Zoom-mødet
Når dine deltagere er startet kan du "låse" Zoom-mødet. Dvs. ingen andre kan få adgang. Med denne løsning får du ejheller besked om evt. personer, der venter på at blive lukket ind.

Sæt en adgangskode på Zoom-mødet
Med en adgangskode kan du sætte yderligere begrænsning på adgangen til et Zoom-møde. Password vil blive integreret i Zoom-invitationen, hvorfra du kan kopiere hele teksten ind i en e-mail.

Zoom har også udgivet en længere vejledning til det, som kan findes her.

# Er trafikken krypteret?

Ja - trafikken fra din webbrowser og Zoom-klient er altid krypteret (med TLS 1.2 eller AES-256). Se de nærmere detaljer i Zooms Encryption Whitepaper (PDF).

At nogle sikkerhedsspecialister anbefaler endnu stærkere kryptering, har enkelte debattører strammet op til, at der nærmest slet ikke er kryptering, når man bruger Zoom, men det er der altså ikke belæg for at konkludere.

Dog skal man være opmærksom på, at hvis man ringer ind i et Zoom-møde fra en gammeldags analog telefon, så er trafikken i sagens natur ikke krypteret, før den rammer den infrastruktur, der hører til Zoom-tjenesten.

På samme måde kan man sige, at forbinder man sig til et Zoom-møde med andre tredieparts-løsninger, er det heller ikke Zoom-tjenesten, der håndterer en evt. kryptering for Skype-opkald, ZIP-telefoner, GSM-telefoner eller H.323 videokonferenceudstyr.

En mødevært kan konfigurere, om man vil tillade den slags forbindelser ind i mødet, og det er muligt kun at acceptere H.323-endepunkter, der forbinder sig krypteret til mødet.

Som mødedeltager kan man spørge værten, eller selv åbne deltagerlisten, hvor man ud for hver deltager kan se hvilken type forbindelse de har.

# Kører trafikken faktisk til USA?

Nej, normalt ikke. Når man starter et møde, og dermed tilgår en adresse som f.eks. deic.zoom.us, hører denne adresse til i Zooms infrastruktur. Baseret på møde-id får klienten besked tilbage om at mødet hører til den dedikerede serverinfrastruktur, og resten af trafikken kører så mod denne infrastruktur. Zooms infrastruktur fungerer populært sagt som en slags omstillingsbord inden mødet går i gang.

Adresser af typen deic.zoom.us bliver betjent af et CDN (Content Delivery Network), der er globalt, og hvis IP-adresser typisk står i de forskellige geo-lokations-databaser som USA, men som i det danske tilfælde normalt er i Frankfurt. Lige så snart forbindelsen er etableret, kører trafikken mod NORDNets servere.

En længere analyse af dette kan ses her.

Hvis man tilgår en møde-URL fra et andet sted i verden, kan man møde Zooms CDN-infrastruktur andre steder end Frankfurt, inden trafikken bliver re-dirigeret til NORDUNets dedikerede infrastruktur. Det samme gælder hvis infrastrukturen i Frankfurt er ude af drift.

# Hvad er attention tracking?

Zoom havde en funktion kaldet "attention tracking", der gav mødeværten en indikator på, hvorvidt deltagere har Zoom-vinduet aktivt under skærmdeling. Funktionen er blevet deaktiveret i forbindelse med softwareopdateringen 1/4-20.

# Har Zoom en ordentlig sikkerhedskultur?

Ja - det er vores vurdering, som det ser ud nu.

Kan vi så love, at der ikke kommer flere bekymringer omkring sikkerheden i Zoom? Det kan vi selvfølgelig lige så lidt, som man kan det om alle mulige andre tilsvarende produkter og tjenester. Det vigtige er her, om vi har med en leverandør at gøre, som har en fornuftig sikkerhedskultur og en hurtig respons på de problemer man bliver opmærksom på.

Det er vores indtryk at DeiC og NORDUnet, som har den direkte kontakt med Zoom, oplever en god dialog og respons, og man kan selv se af det seneste blog-indlæg fra Zooms CEO, at det er noget de tager alvorligt: