Zoom 5 maakt stappen op het gebied van veiligheid

Zoom-ontwikkelaars hebben hun dienst veiliger gemaakt. Wij kijken wat er is veranderd.

Nog niet zo heel lang geleden legden we uit hoe u Zoom instelt voor veiliger gebruik. Maar technologieën kunnen zich erg snel ontwikkelen, zeker als ze in de spotlights staan. Zoom is hier een voorbeeld van, en de ontwikkelaars van deze dienst hebben de app zoals beloofd, een make-over gegeven wat betreft gegevensbescherming. Hierdoor zijn er in de versie 5.0 tal van veranderingen ten opzichte van Zoom vóór het coronatijdperk.

De veranderingen in de beveiligingsfocus wierpen al snel hun vruchten af. Eerder haalden grote bedrijven en instellingen hun neus op voor Zoom, maar inmiddels heeft de dienst het zegel van goedkeuring gekregen van de procureur-generaal van New York en is het weer in gebruik op scholen in New York, en versie 5 biedt tevens een aantal handige functies.

Handig te vinden beveiligingsinstellingen

Bij Zoom 5 zijn alle instellingen voor het beheren van conferentiedeelnemers op één plek te vinden. Beveiliging staat niet boven gebruiksgemak.

Hier kunt u gebruikersrechten instellen, toegang tot vergaderingen weigeren om ongewenste gasten buiten de deur te houden, watermerken aan screenshots en audio-opnames toevoegen voor het geval er iemand besluit om deze te publiceren, enzovoorts. Klik op het schild-pictogram in het conferentiemenu om de beveiligingsinstellingen te openen.

Anti-trolbescherming

Er zijn een aantal nieuwe instellingen om lastige anonieme trollen weg te houden. Ten eerste zijn er de functies wachtwoorden en Wachtkamer, waardoor de toestemming van de host vereist is om aan een conferentie deel te nemen, die beide standaard zijn ingeschakeld. Ten tweede kunt u nu voorkomen dat deelnemers zichzelf een nieuwe naam geven.

Eigenaars van betaalde accounts kunnen ook eisen dat leden informatie over zichzelf vertrekken, zoals hun naam, e-mailadres en meer. Met een zakelijk account kunt u voorkomen dat ongeautoriseerde gebruikers of gebruikers met een bepaald soort e-mailadresdomein (bijvoorbeeld een openbaar in plaats van zakelijk domein) verbinding maken.

Data routing

Zooms aanpak wat betreft data routing is ook veranderd. Uw videogesprek zal nu niet per ongeluk naar een Chinese of andere buitenlandse server worden omgeleid. Als het gesprek om welke reden dan ook in uw thuisland moet blijven, dan hoeft u zich nergens zorgen om te maken: gratis conferenties blijven in het binnenland, en betaalde abonnees kunnen sinds 18 april kiezen via welke landen hun informatie loopt.

Bovendien kunnen alle deelnemers van de conferentie nu zien met welk datacentrum ze zijn verbonden door op het “i”-pictogram te klikken, links bovenin het scherm. Dus als uw gegevens ergens anders naar worden omgeleid, kunt u dit zien en een klacht indienen bij de ontwikkelaar.

Beveiliging bij het delen van uw scherm

De oude Zoom-versies lieten altijd previews van chatberichten zien in de meldingen. Dat kon tot ongemakkelijke situaties leiden als iemand u bijvoorbeeld een privébericht stuurde terwijl u uw scherm deelde. Tijdens de gratis conferenties laat de dienst nu helemaal geen meldingen meer zien, en ook het chatscherm wordt tijdens het delen van uw scherm niet meer weergegevens, zelfs niet als dit open staat.

Geüpdatete encryptie

De ontwikkelaars hebben ook het encryptie-algoritme een upgrade gegeven. Ten eerste gebruikt Zoom nu langere (en dus betrouwbaardere) encryptiesleutels. Ten tweede wordt de integriteit van verzonden gegevens nu gecontroleerd. Dit is een beschermingsmaatregel tegen indringers die wellicht een versleuteld bericht willen beschadigen of wijzigen zonder het te decoderen.

Als u van dit soort esoterische details houdt (en wie houdt daar nu niet van?), zult u het ook interessant vinden dat Galois/Counter Mode nu de integriteitscontrole doet. Behalve het feit dat dit veiliger is, wordt GCM als minder veeleisend beschouwd  voor het computergeheugen, dus betere encryptie betekent niet dat u hierbij aan computerprestaties inboet.

End-to-end-encryptie

Tot slot kunnen gebruikers binnenkort communiceren zonder dat iemand (buitenstaanders of Zoom-werknemers) u kan afluisteren. De dienst is van plan om end-to-end-encryptie aan videogesprekken toe te voegen, waarvoor het zelfs Keybase heeft overgenomen, een bedrijf dat zich specialiseert in veilige messengers en apps voor gegevensoverdracht.

Eerst was Zoom van plan om alleen maximale privacy aan te bieden aan betalende abonnees. Maar het nieuws dat gratis gebruikers hierdoor niet van end-to-end-encryptie zouden genieten, leverde veel kritiek op: Zoom werd beschuldigd van het samenwerking met inlichtingendiensten, of dat ze op hun minst de deur voor deze instellingen open lieten staan.

Dit soort beschuldigingen negeren voor het gemak een belangrijk punt: vrijwel geen van de concurrenten van Zoom gebruiken e2e. Videogesprekken met end-to-end-encryptie zijn alleen beschikbaar in instant messengers met beperkte mogelijkheden voor videogespreken of in duurdere zakelijke tools die dit alleen op verzoek aanbieden, en natuurlijk niet gratis.

Ontwikkelaars hebben een goede reden waarom ze niet zo dol zijn op end-to-end-encryptie voor videogesprekken, aangezien dit incompatibel is met tal van handige features, waaronder de mogelijkheid om conferenties in de cloud op te slaan, ze op YouTube uit te zenden of het deelnemen aan vergaderingen via de telefoon: bijna alles waarvoor beheer via een server nodig is. Wat betreft gebruiksgemak zijn de meeste gebruikers beter af zonder deze encryptie.

Dat gezegd hebbende, Zoom kondigde op 17 juni aan dat end-to-end-encryptie voor iedereen beschikbaar zal worden, ook voor de gratis gebruikers. Dit zal echter niet van de ene op de andere dag gebeuren, maar het bedrijf verwacht in juli met bètatests te beginnen

Geen tijd voor ontspanning

Al bij al is Zoom 5 een stuk veiliger dan zijn vorige versies. De ontwikkelaars hebben de beveiliging op een zeer verantwoordelijke manier aangepakt, en hebben de meeste problemen die tijdens de lockdown-periode aan het licht kwamen snel opgelost.

Dat betekent echter niet dat u nu volledig onbezorgd kunt zijn. Is uw conferentie open of gesloten? Zijn opnames toegestaan of niet? De ontwikkelaars kunnen deze en sommige andere vragen niet voor iedereen beantwoorden. Dus u moet uw conferenties nog altijd instellen op basis van uw eigen vereisten. Gelukkig heeft Zoom nu meer instellingen om dat op de juiste manier te doen.

Ten tweede is absolute beveiliging onmogelijk. Er werden bijvoorbeeld twee kwetsbaarheden ontdekt in de relatief recente versie Zoom 4.6.10. Eén van deze kwetsbaarheden zorgde ervoor dat een schadelijk chatbericht willekeurige code kon uitvoeren op de Zoom-server. Deze bug werd vóór de release van versie 5 opgelost.

De tweede kwetsbaarheid was gerelateerd aan de integratie van de chatoptie met de online GIF-bibliotheek GIPHY. Door deze bug konden er willekeurige bestanden in plaats van bewegende afbeeldingen worden gedownload op de computers van deelnemers aan de vergadering. De ontwikkelaars schakelden de kwetsbare functie tijdelijk uit en beloofden dat hij weer beschikbaar zou komen zodra het probleem is opgelost.

Tot dusver zijn er geen grote problemen gevonden in Zoom 5, maar dat wil nog niet zeggen dat die er niet zijn. Zolang een dienst in de spotlights blijft staan, zal er geen tekort zijn aan mensen die zwakke plekken proberen te vinden. Dus als u Zoom gebruikt: houd eventuele updates dan goed in de gaten en installeer deze meteen.

Tips