RSAC
De presentatie van Zoom tijdens de RSA Conference 2021 was gefocust op end-to-end-encryptie in Zoom Cloud Meetings. Het bedrijf legde uit waarom de ontwikkelaars zich op het probleem concentreren, hoe ze gesprekken veiliger willen maken en welke andere nieuwe aan veiligheid gerelateerde functies gebruikers kunnen verwachten.
Een stukje geschiedenis
De pandemie dwong velen van ons om over te schakelen op langdurig werken op afstand en om met collega’s en dierbaren te communiceren via teleconferentiesoftware. De grote populariteit van Zoom wekte de belangstelling van zowel beveiligingsexperts als cybercriminelen, waarna velen er al snel achter kwamen dat niet alles goed zat met de beveiliging van het platform. Zo bleek de software kwetsbaarheden te bevatten waardoor aanvallers gebruikers via hun camera’s en microfoons konden bespioneren, en kregen invallen door online trollen zelfs hun eigen naam: Zoombombing. De reactie van Zoom was snel en verregaand, maar er bleven problemen optreden.
Een belangrijk punt van kritiek op Zoom was dat het platform point-to-point-encryptie (P2PE) gebruikte in plaats van end-to-end-encryptie (E2EE).
E2EE versus P2PE
Op het eerste gezicht lijken beide systemen erg op elkaar: Beide versleutelen de gegevens die gebruikers met elkaar uitwisselen. Maar met P2PE heeft de server toegang tot de berichten van de gebruikers, terwijl E2EE de informatie op het toestel van de verzender versleutelt en alleen aan de kant van de ontvanger weer decodeert. Dit detail heeft echter de potentie om problemen op te leveren, wat Zoom-ontwikkelaars tijdens de conferentie ook aanstipten:
- Cybercriminelen zouden de server kunnen kraken, de daar opgeslagen encryptiesleutels kunnen stelen en aan vergaderingen kunnen deelnemen in de plaats van echte genodigden of hun berichten kunnen vervalsen;
- Opportunistische werknemers van de cloud-provider of Zoom zelf zouden toegang kunnen verkrijgen tot sleutels en gegevens van gebruikers kunnen stelen.
Niemand wil dat privégesprekken met familie en vrienden, laat staan geheime zakelijke gesprekken, openbaar worden. Bovendien, als een hacker de gestolen sleutels alleen zou gebruiken voor passieve afluisterpraktijken, zou dat uiterst moeilijk op te sporen zijn.
E2EE lost die problemen op door de decryptiesleutels op te slaan op de apparaten van gebruikers zelf, en alleen daar. Dat betekent dat het hacken van de server niet genoeg is voor indringers om een videoconferentie af te luisteren.
Velen hebben er dan ook naar uitgekeken dat Zoom zou overschakelen op E2EE, nu al een de facto standaard voor berichten-apps.
End-to-end-encryptie in Zoom: de stand van zaken
De ontwikkelaars hebben naar de kritiek geluisterd en hebben stappen ondernomen om de platformbeveiliging te verbeteren, door onder andere E2EE te implementeren.
Zoom gebruikt E2EE sinds het najaar van 2020 voor audio- en videogesprekken, evenals voor chats. Als dit is ingeschakeld, beschermt Zoom de gegevens van gebruikers met een zogenaamde conferentie-encryptiesleutel. Deze sleutel is niet opgeslagen op de servers van Zoom, dus zelfs de ontwikkelaars kunnen de inhoud van gesprekken niet decoderen. Het platform slaat alleen versleutelde gebruikers-ID’s en wat metadata van vergaderingen op, zoals de duur van gesprekken.
Ter bescherming tegen verbindingen van buitenaf introduceerden de ontwikkelaars ook de Heartbeat-functie, een signaal dat de app van de leider van de vergadering automatisch naar andere gebruikers stuurt. Dit bevat onder andere een lijst met de deelnemers naar wie de leider van de vergadering de huidige encryptiesleutel heeft gestuurd. Als iemand die niet op die lijst staat aan de vergadering deelneemt, weet iedereen meteen dat er iets mis is.
Een andere manier om ongenode deelnemers buiten te houden, is door de vergadering te vergrendelen (met de toepasselijk getitelde functie Vergadering vergrendelen) zodra alle gasten aanwezig zijn. U moet vergaderingen handmatig vergrendelen, maar zodra dat is gebeurd, kan niemand anders meer deelnemen, zelfs niet als ze het vergaderings-ID en wachtwoord hebben.
Zoom beschermt ook tegen man-in-the-middle-aanvallen met vervanging van de encryptiesleutel. Om er zeker van te zijn dat een buitenstaander niet afluistert, kan de leider van de vergadering op elk moment op een knop klikken om een beveiligingscode te genereren op basis van de huidige encryptiesleutel van de vergadering. De code wordt ook automatisch gegenereerd voor de andere deelnemers aan de vergadering. Het is aan de leider om deze code hardop voor te lezen; als hij overeenkomt met die van de anderen, gebruikt iedereen dezelfde sleutel en is alles in orde.
Tot slot, als de leider van de vergadering de vergadering verlaat en iemand anders neemt het over, meldt de app deze overdracht. Als dit verdacht lijkt voor anderen in het gesprek, kunnen ze eventuele geheime discussies pauzeren om alles te controleren.
Als u gewoon met vrienden op Zoom praat, is het waarschijnlijk niet nodig om al deze beveiligingsmechanismes te gebruiken. Maar als er zakelijke (of andere) geheimen op de virtuele tafel liggen, kunnen deze beschermingstools echt van pas komen, dus deelnemers aan belangrijke vergaderingen moeten ze kennen en weten hoe ze gebruikt moeten worden.
Ondanks de innovaties, geven de Zoom-ontwikkelaars toe dat er nog een hoop werk te doen is. De RSA 2021-presentatie scheen ook zijn licht op het ontwikkelingstraject van Zoom.
Wat de toekomst voor Zoom in petto heeft
De ontwikkelaars hebben een aantal bedreigingen geïdentificeerd waarvoor ze nog doeltreffende tegenmaatregelen moeten nemen. Eén daarvan is infiltratie van buitenaf in vergaderingen door mensen die zich voordoen als uitgenodigde gebruikers. Een ander probleem is dat E2EE-bescherming niet verhindert dat aanvallers sommige metadata, zoals de duur van gesprekken, namen van deelnemers en IP-adressen, te weten komen. Kwetsbaarheden in het programma kunnen evenmin van de lijst van risico’s worden uitgesloten; in theorie zouden cybercriminelen schadelijke code in Zoom kunnen inbouwen.
Met deze bedreigingen in het achterhoofd hebben de ontwikkelaars van Zoom de volgende doelstellingen geformuleerd:
- Voorkomen dat wie dan ook, behalve de genodigde en goedgekeurde deelnemers, toegang tot evenementen verkrijgt;
- Voorkomen dat deelnemers die van een evenement zijn verwijderd opnieuw verbinding kunnen maken;
- Storingen van iedereen die niet in de vergadering is toegestaan voorkomen;
- Bona fide deelnemers in staat stellen om misbruik te melden bij het beveiligingsteam van Zoom.
Stappenplan
Om deze doelstellingen te behalen, hebben de ontwikkelaars een vierdelig stappenplan ontwikkeld. Fase één daarvan is al geïmplementeerd. Zoals gezegd hebben ze het systeem voor het beheer van de encryptiesleutel voor conferenties gewijzigd, zodat die alleen op de apparaten van de gebruikers wordt opgeslagen, en hebben ze de beveiliging tegen buitenstaanders die aan vergaderingen deelnemen verbeterd.
Voor fase twee willen ze gebruikersauthenticatie introduceren die niet afhankelijk is van de servers van Zoom, maar in plaats daarvan gebaseerd zal zijn op single sign-on (SSO)-technologie waarbij onafhankelijke identiteitsproviders (IDP’s) betrokken zijn.
Hierdoor zou een indringer niet langer de identiteit van een gebruiker kunnen nabootsen, zelfs niet door controle over de Zoom-server te verkrijgen. Als iemand aan een evenement deelneemt en zich hierbij voordoet als genodigde, maar met een nieuwe openbare sleutel, worden anderen op de hoogte gesteld van een mogelijke dreiging.
Fase drie zal het transparency tree-concept introduceren, waarbij alle identiteiten in een geauthenticeerde, controleerbare gegevensstructuur worden opgeslagen om ervoor te zorgen dat alle gebruikers een consistent beeld van elke identiteit hebben en om aanvallen met nabootsingen van anderen te detecteren. Het doel van Zoom is om het platform beter te beschermen tegen man-in-the-middle-aanvallen.
In de laatste en vierde fase zijn de ontwikkelaars van plan om het controleren van een identiteit gemakkelijker te maken wanneer een gebruiker vanaf een nieuw apparaat verbinding maakt. Om een nieuw apparaat te koppelen, moet de gebruiker de legitimiteit ervan bevestigen, bijvoorbeeld door een QR-code te scannen op het scherm van een vertrouwde telefoon of computer. Dit voorkomt dat een aanvaller een apparaat aan iemand anders zijn of haar account kan koppelen.
Veiligheid zonder aan kwaliteit in de boeten
Bij de invoering van aanvullende beveiligingsmechanismen is het van belang na te gaan welke gevolgen die zullen hebben voor de gewone gebruikers. De ontwikkelaars van Zoom houden ook rekening met dit aspect. Een van de voorgestelde innovaties is bijvoorbeeld het gebruik van persoonlijke apparaat-clouds. Dit soort technologie zal het toevoegen van nieuwe apparaten aan een account vereenvoudigen en tegelijk helpen beveiligen.
Wordt Zoom veiliger?
Het korte antwoord is ja, de beveiliging van Zoom blijft zich verbeteren. Het bedrijf heeft al veel gedaan om zich te beschermen tegen inmenging van buitenaf, en het heeft nog meer beschermingsinstrumenten in ontwikkeling. Daarnaast mag ook vermeld worden dat het goed is om te zien dat Zoom probeert om beveiliging te mengen met gebruiksgemak.
Veel blijft natuurlijk wel afhankelijk van de gebruikers van Zoom zelf. Net zoals bij alles wat online gebeurt, is er bij videoconferenties gezond verstand en kennis van de beschikbare beveiligingsmechanismes nodig. Het is belangrijk de waarschuwingen van het platform ter harte te nemen en af te zien van vertrouwelijke gesprekken als iets er verdacht uitziet en u een gegevenslek niet kunt uitsluiten.
