Nieuws
image

Zoom maakt end-to-end encryptie niet beschikbaar voor gratis gebruikers

woensdag 3 juni 2020, 10:38 door Redactie, 14 reacties

Zoom maakt end-to-end encryptie niet beschikbaar voor gratis gebruikers, omdat het bedrijf ook met de FBI en opsporingsdiensten wil samenwerken in het geval van misbruik van de videoconferentiesoftware. Dat liet ceo Eric Yuan tijdens een conference call weten, zo meldt persbureau Bloomberg. Volgens Alex Stamos, voormalig chief security officer van Facebook en tegenwoordig adviseur van Zoom, is het een lastige balans om privacy te verbeteren en misbruik van het platform tegen te gaan.

Zoom kwam begin dit jaar onder vuur te liggen omdat het claimde dat het de communicatie van gebruikers end-to-end versleutelde, terwijl dat niet het geval was. Vorige week lanceerde Zoom versie 5.0 van de software waarmee de communicatie van alle gebruikers, zowel betaald als gratis, via 256-bit GCM encryptie wordt versleuteld. "Het is nog steeds geen end-to-end encryptie, en is gewoon een versleuteling van de datastream, maar het is een stap in de juiste richting", zegt hoogleraar cryptografie Bill Buchanan.

Zoom is nu nog steeds in staat om de inhoud van de communicatie van gebruikers te bekijken en ook een aanvaller zou dit kunnen doen. "In de huidige implementatie kan een passieve aanvaller die de serverinfrastructuur van Zoom kan monitoren en toegang tot het geheugen van de relevante Zoom-servers heeft de encryptie ongedaan maken. De aanvaller kan de shared meeting key observeren, session keys afleiden en alle meetingdata ontsleutelen", aldus Zoom over de huidige encryptiemethode.

Om de communicatie van gebruikers volledig te beschermen wil het bedrijf end-to-end encryptie gaan toevoegen. Een opzet voor de implementatie hiervan werd onlangs gepresenteerd (pdf). Wanneer end-to-end encryptie daadwerkelijk beschikbaar komt is nog onbekend. Daarnaast zal de optie alleen beschikbaar komen voor betalende gebruikers en in eerste instantie alleen voor Zoom-meetings.

"Gratis gebruikers willen we zeker geen end-to-end encryptie geven, omdat we ook met de FBI, met lokale opsporingsdiensten willen samenwerken in het geval mensen Zoom voor verkeerde zaken gebruiken", vertelde Yuan tijdens een conference call over de resultaten van het eerste kwartaal. Stamos, die door Zoom werd ingehuurd om de beveiliging te verbeteren, laat via Twitter weten dat de videconferentiesoftware met allerlei vormen van misbruik heeft te maken. Aan de ene kant wil Zoom de privacy verbeteren, terwijl het ook misbruik wil tegengaan, wat een lastige balans is, aldus Stamos.

Zoom heeft besloten om end-to-end encryptie alleen beschikbaar te maken voor klanten met een "business" en "enterprise" abonnement. Daarnaast zal de optie opt-in worden. Een groot deel van de Zoom-meetings maken gebruik van features die niet compatibel met end-to-end encryptie zijn, zoals PSTN-telefoons, cloudopnames, cloudtranscripties en streaming naar YouTube, voegt Stamos toe.

De bij nadruk bij het ontwerp van end-to-end encryptie zal komen te liggen op het authenticeren van de gebruikers en apparaten die er gebruik van maken. "Zal dit al het misbruik elimineren? Nee, maar aangezien het grootste deel van het misbruik afkomstig is van self-service gebruikers met valse identiteiten, zal dit voor frictie zorgen en misbruik verminderen", laat Stamos weten.

Image

Reacties (14)
03-06-2020, 11:03 door Anoniem
Zoom is dus lek en hun cybersecurity is een lachertje. Wát een kruipers voor die platte petten. Ik zou me als bedrijf /CEO doodschamen met deze policy. Een beetje groen licht geven voor deze perverselingen op de ministeries die als pedo’s het domme volkje moeten beschermen. Bah
03-06-2020, 11:06 door Anoniem
Gelukkig. Ik voel me nu al veel veiliger nu ik weet dat misbruik door encryptie niet mogelijk is.
03-06-2020, 12:17 door Anoniem
Veiligheid en privacy is te koop. Ik snap Zoom wel, die hangen gewoon bij de Amerikaanse overheid aan de mem en willen zich op dit moment geen vingers branden aan de encryptie discussie.
03-06-2020, 12:19 door Anoniem
Ja, want betalende klanten houden zich altijd aan de wet hoor.
Doen nooit aan kinderporno of terrorisme (kuch).
03-06-2020, 13:41 door Anoniem
In ieder geval weet je waar je staat. Er is ook een meerderheidsgroep (wat Zoom trouwens niet ontkent), die legitieme belangen heeft, maar geen encryptie kan krijgen. Zelf vind ik de opsomming van belangen en risicos uit de AVG, speciaal maar niet uitsluitend overweging #75, een goede leidraad. Indien je communicatie hebt die op enigerlei wijze een risico draagt zoals aangegeven in overweging #75 AVG (met name: waar de verwerking kan leiden tot discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, ongeoorloofde ongedaanmaking van pseudonimisering, of enig ander aanzienlijk economisch of maatschappelijk nadeel), dan kan ik althans gratis Zoom niet aanbevelen als het juiste communicatiemiddel.

Een ander aspect is, mag dit zomaar? De AVG eist ook een adequaat beschermingsniveau van de persoonsgegevens. Zoom heeft de intentie zaken te doen met klanten in de EU (ze bieden euros als mogelijke valuta voor betalen en dat is al genoeg om de AVG van toepassing te laten zijn (overweging 52). Is het niet bieden van end-to-end encryptie een overtreding van artikel 32 AVG, de verplichting passende technische en organisatorische maatregelen te nemen voor o.a. de vertrouwelijkheid van de gegevens? Dat is niet expliciet ja of nee gezegd, maar het kan de moeite waard zijn een klacht in te dienen bij de AP of een andere autoriteit in een EU lidstaat om te weten te komen hoe zij dat zien...
03-06-2020, 14:43 door souplost
Wat een antireclame zeg. Als je maar betaalt kan je zoom wel voor "verkeerde zaken" gebruiken.
Zoom heeft helemaal niets met privacy blijkt.
Ik gebruik voorlopig: https://meet.jit.si/ hoewel dat ook Amerikaans is, maar dat kan in ieder geval nog geforked worden.
03-06-2020, 15:19 door Anoniem
Door souplost: Wat een antireclame zeg. Als je maar betaalt kan je zoom wel voor "verkeerde zaken" gebruiken.
Zoom heeft helemaal niets met privacy blijkt.
Ik gebruik voorlopig: https://meet.jit.si/ hoewel dat ook Amerikaans is, maar dat kan in ieder geval nog geforked worden.

Amerikaans is niet per definitie slecht of privacy schendend, meestal wel met als einddoel om er flink mee te cashen bij een overname. Na een overname wordt zo'n product meetal helemaal kapot gemaakt zodat er weer minder keuze overblijft.
Die grote toko's kijken naar de popularitei van een programma (zo heette Apps vroegahhh) en nemen het dan eventueel over.
03-06-2020, 16:26 door Anoniem
Hoe komt het toch dat we voor VC eisen stellen waaraan gewone telefonie nog nooit heeft voldaan, iets wat iedereen gebruikt.
03-06-2020, 16:33 door Plutone
Overdrijven we hier niet een beetje? Gewone telefonie is toch verre van end-to-end encrypted, en iedereen gebruikt het.
03-06-2020, 16:57 door Anoniem
Door Anoniem: Ja, want betalende klanten houden zich altijd aan de wet hoor.
Doen nooit aan kinderporno of terrorisme (kuch).
Die zijn wat makkelijker op te sporen omdat er financiële stromen zijn.
Als het gratis is, kan je met een fake mailaccount en fake adres een account aanmaken. Verbinding maken via VPN en je bent bijna niet meer te traceren.
03-06-2020, 17:00 door Anoniem
Door Anoniem: Hoe komt het toch dat we voor VC eisen stellen waaraan gewone telefonie nog nooit heeft voldaan, iets wat iedereen gebruikt.
Een verstandige opmerking. Ik wil ze de kost niet geven die unencrypted SIP verbindingen gebruiken, om over PSTN/ISDN maar niet te spreken. Maar goed, PSTN/ISDN waren andere tijden (HackTic voor de oudere generatie :-))
03-06-2020, 17:05 door Anoniem
Door Plutone: Overdrijven we hier niet een beetje? Gewone telefonie is toch verre van end-to-end encrypted, en iedereen gebruikt het.
Zoom bashen lijkt een hype te zijn. Ze hebben in het begin qua beveiliging wat knulligheden gehad, maar ik vind het nog steeds vanuit gebruikersvriendelijkheid één van de beste tools. De knulligheden zijn inmiddels ook grotendeels opgelost. Alleen als je hele geheime zaken hebt (intellectual property e.d.) zou ik het niet gebruiken. Maar dat geldt voor alle Amerikaanse tools, dus ook WebEx en Teams.
03-06-2020, 20:59 door Anoniem
Zoom bashen lijkt een hype te zijn. Ze hebben in het begin qua beveiliging wat knulligheden gehad, maar ik vind het nog steeds vanuit gebruikersvriendelijkheid één van de beste tools. De knulligheden zijn inmiddels ook grotendeels opgelost.
Eh... de basis is toch elke keer weer: ligt de boel niet op straat. Pas als dat 100% dicht is, komen 'gebruikersvriendelijkheid' en soortgelijke management kreten aan de orde. Op dit moment dus nog niet.

Het is een hele mooie auto, alleen er zijn nog wat issues met de vierkante wielen. Ja, dat is een knulligheidje. Met de 8-kantige rijdt het erg goed!
03-06-2020, 21:09 door souplost
Door Anoniem:
Door Anoniem: Hoe komt het toch dat we voor VC eisen stellen waaraan gewone telefonie nog nooit heeft voldaan, iets wat iedereen gebruikt.
Een verstandige opmerking. Ik wil ze de kost niet geven die unencrypted SIP verbindingen gebruiken, om over PSTN/ISDN maar niet te spreken. Maar goed, PSTN/ISDN waren andere tijden (HackTic voor de oudere generatie :-))
Gewone telefonie was circuit switching, een dedicated verbinding tussen twee telefoons. Dat is iets heel anders dan packet switching zoals we nu kennen met VOIP
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure