‘Zoom kan veilig worden gebruikt’
Na een ernstig incident waarbij kinderporno werd gedeeld tijdens een videoconferentie van twee Vlaamse organisaties, klinkt de vraag luider dan ooit: is de hyperpopulaire software Zoom wel te vertrouwen? En hoe kun je een veilig online evenement houden?
In maart werd Zoom op slag een internationaal fenomeen: het bleek de eenvoudigste en vlotste manier om een les, lezing of vergadering online te houden. Maar bijna onmiddellijk dook het fenomeen op van zoombombing: ongenode gasten die meetings verstoren. Vaak door racistische boodschappen of pornografie op de andere deelnemers los te laten.
Wat dinsdagavond gebeurde bij de sessie van burgerwetenschapsplatform Scivil en de Jonge Academie, die jonge onderzoekers en kunstenaars samenbrengt, was nog van een andere orde: de indringer op hun inspiratiesessie over citizen science bombardeerde het publiek met kinderporno. Het gaat dus zonder meer om criminele feiten.
Hoe liep het mis? Om extra publiek naar de meeting te krijgen, hadden de organisatoren de dag voordien een link gepost op Facebook. Wie op die link klikte, zat meteen in de meeting. Er was geen wachtwoord voorzien.
Het is bekend dat zogenoemde zoombombers – die van over de hele wereld kunnen komen – Facebook en andere media afspeuren naar dergelijke open links. Waarom? Wellicht gewoon omdat ze niets beters te doen hebben. En omdat de pakkans gering tot onbestaande is.
Veel kritiek
Publiekelijk gepubliceerde links zijn niet de enige ingang voor zoombombers. Een andere is software die willekeurig adressen uitprobeert om aan de gang zijnde, niet met een wachtwoord beveiligde Zoommeetings te vinden.
De organisatoren hebben aangifte gedaan van het voorval. Ze hebben geen idee of de ongenode gast, die de naam Sarah Miller hanteerde, uit het binnen of buitenland kwam.
Bij Scivil zijn ze niet van plan om Zoom nog te gebruiken. ‘Wellicht gaan we overschakelen op Microsoft Teams’, klinkt het. Die software biedt gelijkaardige functies en is ook in opmars. De Universiteit Gent, waarvan een aantal onderzoekers deelnamen aan de sessie, heeft al laten weten dat zij het gebruik van Zoom afraadt.
Zoom heeft de jongste weken veel kritiek gekregen vanwege de krakkemikkige beveiliging. Dat ging lang niet alleen over zoombombing, maar ook over enkele gevaarlijke lekken die onder meer toelieten om de controle over een pc over te nemen. Maar eigenlijk werd het bedrijf vooral een slachtoffer van zijn plotse populariteit, zegt ITbeveiligings
expert Eddy Willems van G Data. ‘Hoe populairder een platform is, hoe meer het wordt aangevallen. Want dan wordt het interessant om het te misbruiken.’
Volgens Willems heeft Zoom de jongste drie à vier weken enorme vooruitgang geboekt. ‘Ze halen de problemen er in een ongelofelijk tempo uit. Twee weken geleden vermeed ik het nog, maar intussen ben ik geneigd om Zoom weer te gebruiken’.
Twee belangrijke wijzigingen die Zoom al doorvoerde, zijn dat het gebruik van een wachtwoord nu de standaardinstelling is, en dat alle deelnemers eerst in een soort virtuele ‘wachtruimte’ worden ondergebracht alvorens ze in de conferentie terechtkomen (de citizen sciencesessie gebruikte geen van beide opties).
Link niet delen
Het Centrum voor Cybersecurity België (CCB) ziet momenteel geen reden om Zoom af te raden. ‘Zoom kan veilig worden gebruikt als alle veiligheidsvoorschriften in acht worden genomen’, zegt woordvoerder Andries Bomans. Zo moet de organisator van een conferentie zijn Zoomaccount met een sterk wachtwoord beveiligen (het hacken van die accounts is ook een veel voorkomend probleem).
Maar het belangrijkste advies is om de link naar een meeting niet publiekelijk te delen, en om elke meeting met een wachtwoord te beveiligen. Dat betekent wel heel wat administratie om deelnemers te registeren en een link door te sturen, tenzij je beschikt over een goed systeem om dat automatisch te doen.
Scivil en de Jonge Academie hadden het trouwens niet zo slecht aangepakt: er was een onlineformulier waar kandidaatdeelnemers zich konden melden om een link te krijgen. Pas op het laatste moment werd beslist de link ook op Facebook te delen.
Inhaaloperatie
Terwijl Zoom zijn inhaaloperatie op het vlak van veiligheid voortzet, zitten concurrenten in een race om hun eigen videoconferentiesystemen te voorzien van de aantrekkelijkste eigenschappen van Zoom. Microsoft Teams en Skype (dat ook van Microsoft is) hebben sinds enkele weken bijvoorbeeld de optie om een foto als achtergrond te gebruiken voor je videobeeld. Google Meet imiteert sinds deze week een ander populair aspect van Zoom: dat je de gezichten van alle deelnemers tegelijk kunt zien in een groot mozaïekbeeld.
Wie een videoconferentie wil organiseren, hoeft zich dus niet te laten afschrikken. Zoom wordt stilaan veiliger, en er komen steeds meer alternatieven die gelijkaardige functies en gebruiksvriendelijkheid bieden. Maar de
zoombombers buitenhouden zal een inspanning blijven vergen.
Waarom zoombombers doen wat ze doen? Wellicht gewoon omdat ze niets beters te doen hebben. En omdat de pakkans gering tot onbestaande is