Overheidsfunctionarissen in India mogen Zoom niet meer gebruiken

Het Indiase overheidsorgaan Cyber Coordination Centre heeft een negatief advies gegeven over het gebruik van videobelapp Zoom door overheidsfunctionarissen. Het land voegt zich daarmee in een groeiend rijtje landen en organisaties die Zoom afraden of verbieden.

"Zoom is niet een veilig platform", staat er ondubbelzinnig in het advies. Verdere onderbouwing voor de beslissing is niet inbegrepen, maar in het nieuws zijn meerdere voorbeelden te vinden van hoe tekortkomingen op het gebied van Zooms privacy en veiligheid de laatste weken aan het licht zijn gekomen.

Zoom heeft meerdere van deze euvels zelf erkend in een excuus dat het onlangs maakte. Het ging daarbij om lekken in de Mac-app die toegang geven tot de microfoon en de camera en een fout in de manier waarop de Windows-app omgaat met links, waardoor het Windows-wachtwoord van gebruikers te achterhalen was.

In het rijtje instanties die Zoom afraden of verbieden, zitten Taiwan, het Nederlandse ministerie van Defensie, het Duitse ministerie van Buitenlandse Zaken, het onderwijs in Singapore, meerdere Amerikaanse scholen, SpaceX en NASA.

In de strijd om deze klachten weg te nemen, heeft Zoom begin april een periode van negentig dagen ingelast waarin het niet meer aan features werkt, maar alleen aan de veiligheid en privacy van de videobelapp. Ook komt er een beter bug bounty-programma en mogen externe onderzoekers de code van de apps onderzoeken om lekken te vinden. Daarnaast komt er een penetratietest. Het gebruik van Zoom is gestegen van 10 miljoen gebruikers enkele maanden geleden naar 200 miljoen gebruikers nu.

Reacties (59)

ictall 19 april 2020 15:29

Persoonlijk heb ik het gevoel dat iedereen op dit moment aan het Zoom bashen is, omdat het trending is.

Ok, ze hebben/hadden een "handige" feature waarbij ze ervan uit gingen dat iedereen waarbij het e-mailadres op hetzelfde domain eindigde bij 1 organisatie/bedrijf behoorde. Dit ging mis bij mensen die e-mail adressen gebruikte van internet- of mailproviders zoals bv. xs4all.nl (hierbij zijn e-mails eindigend op @xs4all.nl toch vaak verschillende organisaties/bedrijven/mensen).

Zoom gebruikt geen end-to-end encrypty, waardoor zij intern jouw gesprekken zouden kunnen afluisteren, echter datzelfde heb je ook bij: Discord, Hangouts, Hangout Meets, HouseParty, Facebook Messenger, Skype (bij niet privé gesprekken), Microsoft Teams.
https://autoriteitpersoon...p_privacy_videobellen.pdf

Bij Zoom krijgt iedereen voor het gemak standaard een meetings ID (waarbij het wachtwoord uit staat). Door dit nummer aan iemand anders te geven, kan die persoon snel aanhaken aan jouw Zoom-meeting.
Om het nog makkelijker te maken zette Zoom dat nummer ook linksboven in het Zoom-venster. Hierdoor hoefde je het niet elke keer op te zoeken. Makkelijk voor de computerNOOB

Maar dan moet je niet net zoals meneer Boris Johson een screenshot met je zoom ID plaatsen op het internet (in dit geval Twitter). https://metro.co.uk/2020/...cabinet-meeting-12489236/

Verder zie ik dat zij wat minder bekende klanten hebben

die wellicht niet zoveel verstand van security hebben waardoor zij Zoom toch (blijven) gebruiken: https://zoom.us/customer/all

Ook het zo geroemde Microsotf Teams heeft issues https://borncity.com/win/...t-teams-and-its-security/ echter die worden wellicht niet zo breed naar buiten gebracht (p.s. leuk zoeken op issues met een generiek naam als "Teams").
Wanneer ik de keuzehulp van de Autoriteit Persoonsgegevens bekijk, valt Zoom m.i. niet per definitie slecht uit of de andere apps beter.

*diverse keren schrijf en tikfouten gecorrigeerd.

[Reactie gewijzigd door ictall op 22 juli 2024 18:33]

xbeam @ictall • 19 april 2020 16:00

Zelf heb ik eerder het idee dat zoom momenteel heel veel geld en energie steekt in het bagatelliseren van de problemen via influencer marketing.

Iedereen die het voor zoom opneemt vergeet steeds 3 hele belangrijke dingen

1: Er zit een hele grote bug in hun MacOS cliënt waardoor je via zoom als hacker admin toegang kan krijgen. Door zoom te blijven gebruiken breng je bewust al je collega’s/ klanten die een Mac gebruiken in risicovolle situatie.
nieuws: Onderzoeker: lekken in Mac-app Zoom geven aanvaller toegang mic en ca...

2: Het uploaden van je Windows login gegevens is niet zomaar een foutje. Wat je af kan doen met oeps foutje. Stel je voor dat de loodgieter bij iedereen waar hij komt de sleutel van de voordeur Zou kopiëren. Dat zou iedereen dat een schande vinden niemand zou geloven dat hij dit perongeluk deed en dat een foutje was.

nieuws: Zoom liet e-mailadressen uitlekken

3: Het is niet de eerste keer, zoom heeft vaker laten zien het niet zo nauw te nemen met de veilheid van hun gebruikers. Vorig jaar zijn ze ook vaker in nieuws geweest omdat hun client software vreemde web services bevatten waar mee andere de computer konden overnemen.

Het blijkt gewoon een onbetrouwbaar partner. Sommige bedrijven worden voor minder geboycot. Dit was voor zoom al een 2e kans en die hebben ze verprutst. Het is dus 100 procent terecht dat media en bedrijven/ landen zoom gaan boycotten.

Verder over je als je goed kijkt naar keuze hulp lvan de AP. Zie Je dat Zoom er als slechtst uitkomt en deze lijst is zelf gebaseerd op basis van zoom zelf op hun eigen site vermelden. Dus niet eens op wat er in de praktijk gebeurd.

Daarnaast is het niet aan de AP om een oordeel of advies of verbod uit te spreken zonder dat zij gedegen onderzoek hebben gedaan.
Vandaar dat ze een neutrale schema hebben op basis van de bedrijven zelf melden.

[Reactie gewijzigd door xbeam op 22 juli 2024 18:33]

ictall @xbeam • 19 april 2020 18:16

@xbeam Ik zeg niet dat er niks mis is met Zoom. Echter "Wie zonder zonde is werpe de eerste steen."

En wat is een goede definitie van een onbetrouwbare partner?
Microsoft heeft bijna elke maand zo'n honderd updates, waarvan sommige critical en waarbij sommige bugs soms al actief misbruikt worden....
https://krebsonsecurity.c...esday-april-2020-edition/
Ik zelf zal Microsoft om die reden geen onbetrouwbare partner te noemen.
Maar ook de diverse Linux distributies, en Apple OS'en hebben elke maand met ettelijke bugs en vulnerabilities te maken.

Hoge bomen vangen nou eenmaal veel wind....

xbeam @ictall • 19 april 2020 21:09

Maar die gaan niet eerst lopen ontkennen tot dat er een compleet uitgevoerde en werkende hack onder hun neus wordt geschoven en er dus niet meer onderuit kunnen. En niets anders meer kunnen dan toegeven en excuus maken.

Met zulk gedrag laat je duidelijk zien wat je bedrijf cultuur is en dat je omzet boven privacy klant veiligheid hebt staat. Dan kan nog inbrengen dat ze hebben toegezegd dat ze gaan verbeteren. Maar dat zeiden ze de vorige keer ook al. En gedrag uit het verleden is een goede voorspeller voor toekomstige gedrag.

En daarnaast wil je zeggen dat we dit gedrag moeten accepteren omdat er meer bedrijven zijn de zelfde fout maken? Het is niet dat zoom een klein bedrijf zonder budget is.

Er zijn genoeg grote en kleinere spelers die wel duidelijk privacy en veiligheid boven groei hebben staan en het ook goed doen.

[Reactie gewijzigd door xbeam op 22 juli 2024 18:33]

SED @ictall • 19 april 2020 17:15

Wat teams betreft:

Additionally, Teams features two-factor authentication and encrypted data (in transit and at rest). Get more nitty gritty details around security on Microsoft’s Compliance Page.

https://www.brainstorminc...e-is-it-really-a-rundown/

ictall @SED • 19 april 2020 17:54

@SED De conclusie in eigen woorden, die ik uit jouw link haal: "Teams security valt en staat met het leren van de gebruikers veilig met Teams te werken."
Dit geldt voor meer programma's

De encryptie die je als gebruiker zou willen, is een encryptie waarbij alleen jij en je gesprekspartner de sleutel hebben, zodat de app leverancier (bv. Zoom, Skype, Teams, Hangouts) je gesprekken niet kan inkijken of afluisteren.
Teams lijkt in dit geval wel te encrypten, echter Microsoft heeft (ook) de sleutel om jouw video's/gesprekken en data in te kunnen zien en eventueel aan een regering, politie etc. te kunnen overhandigen.

SED @ictall • 19 april 2020 20:11

Elke security oplossing heeft als zwakste punt de gebruiker.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@ictall • 19 april 2020 16:56

Wanneer ik de van de Autoriteit Persoonsgegevens bekijk, valt Zoom m.i. niet per definitie slecht uit of de andere apps beter.

Wat een onzin. Er staat notabene een disclaimer onder het overzicht alleen voor Zoom welke waarschuwd voor de gevaren!

Trommelrem @ictall • 19 april 2020 20:10

Het verschil is echter dat alle platformen, mede doordat ze wat meer ervaring hebben, vanuit de basis al securityfeatures hebben. Zoom is vanuit de basis brak en krijgt nu securityfeatures toegevoegd, en dat maakt het nog steeds niet goed genoeg. Als de fundering brak is, zal het pand nooit zo goed worden als het pand van de buren met fundering.

Dus als Zoom een compleet nieuw platform zou maken op basis van proven technology, bijv. op basis van AzureAD, dan maken ze al stappen. Voor nu lijkt het meeste bashen terecht te zijn.

[Reactie gewijzigd door Trommelrem op 22 juli 2024 18:33]

magician2000 @ictall • 20 april 2020 01:43

Wellicht is het bashen, maar kan het ook niet zo zijn dat mensen het zat beginnen te worden dat keer op keer de één of andere communicatie app niet blijkt te deugen (even grof gezegd)?

Wellicht dat het nu de ogen van mensen langzaam gaat openen en dat ze slimmer omgaan met dit soort apps en kiezen voor (betaalde) opties waarbij je als gebruiker niet het product bent (niet zeggende dat dit bij zoom het geval was).

Bonez0r @ictall • 20 april 2020 09:46

Ik ben echt stomverbaasd dat niemand—de auteur van het artikel niet én geen van de commenters—China vermeldt. Zoom mag dan officieel een Amerikaans bedrijf zijn, maar de eigenaar komt uit China, het personeel werkt in China en de servers staan in China.

Ik weet niet of jullie het nieuws volgen, maar China voert een informatie-oorlog tegen de rest van de wereld. We weten nu dat het coronavirus wel degelijk uit China komt, en dus niet uit de VS zoals China beweerde. China liegt over hun coronavirus cijfers waardoor andere landen geen gepaste respons konden geven, wat veel mensen het leven heeft gekost. Ze hebben de WHO in hun zak die ook leugens en Chinese propaganda verspreidt. Ze sturen gebrekkige 'hulpmiddelen' naar andere landen (zoals mondmaskers en testkits), onder andere naar Nederland.

Verder steelt China al lange tijd intellectuele eigendommen, staan ze de export van fentanyl toe en hebben ze concentratiekampen waar ze meer dan een miljoen van hun eigen burgers gevangen houden en op aanvraag vermoorden om hun organen te verkopen als iemand met genoeg geld een transplantatie nodig heeft.

Ik kan blijven doorgaan, bijvoorbeeld over hoe China betrapt is op het smokkelen van virussen over landsgrenzen en hoe ze westerse universiteiten hebben geïnfiltreerd om propaganda te verspreiden en research te stelen, maar het mag duidelijk zijn dat China, of in ieder geval de Chinese Communistische partij, niet de vriend is van de rest van de wereld.

YoMarK @ictall • 20 april 2020 14:26

Het gaat niet eens om de technische dingen zoals encryptie en/of bugs.
Het gaat er wat mij betreft over dan Zoom een bedrijf zonder moraal is. Issues glashard ontkennen(liegen heet dat) en in de doofpot stoppen tot het niet anders meer kan, sneaky constructies onderwater uithalen, en ondertussen data verkopen aan 3e partijen zoals Facebook zonder dat je als klant daarvan op de hoogte wordt gesteld. Als ik dat als persoon bij jou zou doen, dan trok te toch ook je conclusies? Dus waarom zou je het van een bedrijf wel pikken? Het lijkt wel alsof mensen geen principes meer hebben tegenwoordig.

[Reactie gewijzigd door YoMarK op 22 juli 2024 18:33]

janbaarda 19 april 2020 13:17

Maar snel over op Jitsi in combinatie met Matrix. Totale keten voorzien van ETE encryptie. De Franse overheid is al overgestapt op Matrix.

svane @janbaarda • 19 april 2020 16:11

Mee eens dat Jitsi 't goed doet! maar ze zijn (nog) niet end-to-end encrypted voor groeps-gesprekken.

https://github.com/jitsi/jitsi-meet/issues/409

WebRTC today does not provide away of conducting multiparty conversations with end-to-end encryption. (As a matter of fact, unless you consistently vocally compare DTLS fingerprints with your peers, the same goes for one-to-one calls)
As a result: when talking on meet.jit.si your stream is encrypted on the network but decrypted on the machine that hosts the bridge.

Als je niet je eigen server gebruikt, kunnen anderen in principe bij je data. Als je wel je eigen server host (en deze volledig te vertrouwen is) dan zit je met een oplossing vergelijkbaar met ETE-encryptie, maar niet precies hetzelfde (je hebt de encryptie zelf in de hand, maar door de decryptie-stap op de server is 't niet helemaal ETE te noemen).

Gelukkig zijn ze er nu wel mee bezig, maar er moet o.a. nog gewacht worden op support in browsers:
https://jitsi.org/blog/e2ee/

janbaarda @svane • 19 april 2020 16:56

Inderdaad, dat is de reden dat ik een combinatie met [matrix] adviseer. (Matrix open standard for secure, decentralised, real-time communication).

Meer info : https://matrix.org

shades @janbaarda • 19 april 2020 23:28

Als er maar geen glitch in zit dan...

Flupkees @janbaarda • 21 april 2020 11:23

Hoe werkt die combinatie? Mijn eerste ervaringen met Jitsi waren positief, maar end-to-end encryptie van groepsgesprekken is een uitdaging en ik heb nog niks gevonden waar dat goed werkt. Jitsi is niet end-to-end encrypted voor wie het zich afvraagt.

dutchnltweaker 19 april 2020 13:23

Als student zijnde heb ik een tijd geleden een info mail gekregen van de hogeschool waar ik studeer over communicatie middelen mbt zoom.

Er is daarom de afgelopen weken met Zoom gewerkt aan een configuratie die past binnen de kaders voor privacy en veiligheid van onze organisatie. We kunnen daardoor nu Zoom op kleine schaal gebruiken, waarmee we ons eerdere verbod inruilen voor het uitgangspunt ‘Microsoft Teams tenzij’. Gebruik Zoom dus alleen voor onderwijssituaties waar het noodzakelijk is. Gebruik Zoom niet voor normaal overleg, teamvergaderingen en externe contact waar Microsoft Teams voor ingezet kan worden en helemaal niet voor privacy gevoelige gesprekken. De ontwikkelingen rondom Zoom en de gevolgen hiervan voor privacy en veiligheid worden de komende periode door onze privacy officers en security officers nauwgezet gevolgd.

Als het dus niet anders mogelijk is moet er gebruik gemaakt worden door Zoom, yeah right.. Gelukkig wordt er bij mijn colleges alleen gebruik gemaakt van teams. Sta je sterk als student zijnde als je weigert om van zoom gebruik te maken ivm al die privacy issues? Ik ben er zelf principieel tegen ook al zou zoom zijn zaakjes beetje bij beetje op orde krijgen.

GeoBeo @dutchnltweaker • 19 april 2020 13:58

Als het dus niet anders mogelijk is moet er gebruik gemaakt worden door Zoom, yeah right.. Gelukkig wordt er bij mijn colleges alleen gebruik gemaakt van teams. Sta je sterk als student zijnde als je weigert om van zoom gebruik te maken ivm al die privacy issues? Ik ben er zelf principieel tegen ook al zou zoom zijn zaakjes beetje bij beetje op orde krijgen.

Ik snap deze gedachtegang niet. Waarom is Teams beter dan Zoom als het aankomt op privacy?

Teams lekt toch ook van alles en nog wat weg naar de VS / Microsoft? (en heeft ongetwijfeld een directe of "per ongeluk lekke" backdoor naar de NSA zoals alle Amerikaanse software/servers/bedrijven)

Ik snap de hele ophef niet bij Zoom: elke populaire videobel app is gecentraliseerd en closed source en dus zonder enige limiet af te luisteren door de eigenaren.

Zijn er in de VS politiek en economisch gezien belangen die het de moeite waard maken wereld wijd Zoom af te luisteren? Absoluut, hele dikke ja. Teams? Exact hetzelfde.

Is er na Snowden enige reden om er vanuit te gaan dat dit niet op grote schaal gebeurd? Nee.

[Reactie gewijzigd door GeoBeo op 22 juli 2024 18:33]

blinchik @GeoBeo • 19 april 2020 14:13

Dat is nu echt eens de nagel op de kop!

De VS is nu, met het huidige politieke klimaat, en zeker wat betreft de bewezen spionage (bv cisco), belgacom hack in samenwerking met het VK, ... niet echt de meest betrouwbare partner.

Toch lijkt niemand zich bij Teams daar iets van aan te trekken. Ik ben er 100% zeker dat alle videogesprekken netjes bij de NSA worden opgeslagen, getranscribeerd in in tijden van noodzaak gewoon gebruikt / misbruikt zullen worden. Natuurlijk zal de grote meerderheid weer roepen dat Amerika wel braaf zal zijn, maar op de oorlogswet beroep doen, gebeurt zelfs nu al in Corona tijd. Uiteindelijk is het niet zo ver gekomen, maar je ziet wat er allemaal mogelijk is wanneer de kat in het nauw gedreven wordt.

Zeker door de druk van partner organisaties die Microsoft en Teams gebruiken is het moeilijk om een alternatief aan te halen. Jitsi zou op termijn een goede optie kunnen zijn, maar als je met meer dan 6-8 mensen vergadert heb ik toch al problemen gemerkt. Dus alternatieven zijn ook niet zo evident.

Ik vrees dat, na de Corona crisis, we in ons leven nog wel eens met zo'n politiek conflict zullen te maken hebben waarbij we zullen merken dat we ons daar flink mee in de voet hebben geschoten.

[Reactie gewijzigd door blinchik op 22 juli 2024 18:33]

GoBieN-Be @blinchik • 19 april 2020 16:01

Microsoft heeft er alle baat bij om niet mee te werken aan het afluisteren van data van Europese burgers door de overheid van de V.S. Niet alleen door de GDPR en zijn mogelijk sancties maar ook gewoon omdat ze als betrouwbaar voor bedrijven willen overkomen.
Zo slaan ze data van Europese burgers op in Europese datacentra.
Gebruiken ze daarvoor ook hun Ierse dochteronderneming.

Dit zijn stappen die zij genomen hebben om toegang tot de data door de overheid van de V.S. te voorkomen. Toen de regering van de V.S. toch toegang eiste omdat het moederbedrijf in de V.S. gevestigd is, hebben ze dit op het hoogste niveau in rechtbank aangevochten.
https://en.wikipedia.org/...ft_Corp._v._United_States
Uiteindelijk is er nieuwe wetgeving gekomen die het sterk reguleert.

Dat de NSA 0-day exploits gebruikt om data te bemachtigen spreek ik niet tegen. Maar de NSA hebben volgens mij geen directe toegang tot alles van Microsoft zoals sommigen hier beweren zonder onderbouwing.

GeoBeo @GoBieN-Be • 19 april 2020 20:37

Dat de NSA 0-day exploits gebruikt om data te bemachtigen spreek ik niet tegen. Maar de NSA hebben volgens mij geen directe toegang tot alles van Microsoft zoals sommigen hier beweren zonder onderbouwing.

Dat hebben ze wel. En hier is de onderbouwing:

...the slides, President Obama’s admission of the program, and the tech companies’ denials paint a fairly clear picture: PRISM is enabled by the controversial Foreign Intelligence Surveillance Act (FISA), which lets agencies like the NSA ask for classified court orders to get information from American companies. PRISM itself is thought to be an automated means of issuing these orders. Facebook, Microsoft, and Google are named by the NSA slide as part of that program, but Twitter is not.

https://www.dailydot.com/...requests-google-facebook/

En de originele bron met het hele lange verhaal: https://www.theguardian.c...lance-revelations-decoded

En natuurlijk de talloze interviews met Snowden (te vinden op Youtube) waarin hij ondubbelzinnig bovenstaande bevestigd.

Microsoft kan nog zo veel willen. Als ze gevestigd zijn in de VS hebben ze geen andere keuze dan gewoon meewerken. En wel gedwongen in het geheim.

Het is wel heel naief om te denken dat dit nu niet (meer) gebeurd. Ik vind het enorm vreemd dat dit nog steeds tegengesproken en verdedigd wordt zonder onderbouwing. Om je eigen woorden te gebruiken.

[Reactie gewijzigd door GeoBeo op 22 juli 2024 18:33]

Anoniem: 1322 @GeoBeo • 19 april 2020 14:09

Simpel: betaal je voor de app, dan is jouw data, jouw data. Jouw data wordt dan niet gebruikt voor reclame of andere doeleinden. Onderwijs instellingen hebben meestal GSuite of Office 365. Voor beide betaald men (vrij weinig voor onderwijs instellingen) zodat men de data zelf in beheer kan houden. Hierdoor kan de onderwijs instelling privacy en security eisen instellen en garant staan voor de veiligheid van de student / instelling.

Als men een veilige oplossing heeft, waarom dan Zoom gebruiken?

GeoBeo @Anoniem: 1322 • 19 april 2020 14:30

Simpel: betaal je voor de app, dan is jouw data, jouw data.

Als je betaald dan wordt je automatisch niet afgeluisterd is jou logica?

Sorry, daar ga ik niet in mee. Geld verdienen is geld verdienen en als er extra geld (of macht) verdient kan worden met spionage van betaalde apps dan zal dat gewoon gebeuren. Zeker als het geheim gehouden kan worden en verder geen negatieve consequenties heeft.

En dat het kan met gecentraliseerde apps als Office 360 en Teams is gewoon een feit. In het allerbeste geval gebruikt Microsoft gebruikers data voor het verbeteren van hun software en marketing doeleinden. In het ergste geval is er gewoon een lijntje naar de NSA en mag de NSA gewoon willekeurig welke conversatie onbeperkt volgen, opslaan en linken aan andere data uit het 360 pakket, inclusief alle Word files, emails, etc. Om dat vervolgens te delen met concurrenten van bedrijven hier in Europa.

[Reactie gewijzigd door GeoBeo op 22 juli 2024 18:33]

Bensimpel @GeoBeo • 19 april 2020 14:40

Dan zijn die bedrijven iligaal bezig, of je hebt het contract niet goed gelezen/besproken.

Bij Office 365 voor bedrijven staat er heel erg duidelijk in dat data in Europa wordt opgeslagen, niks in de VS tenzij je het anders instelt.

https://docs.microsoft.co...prise/o365-data-locations

latka @Bensimpel • 19 april 2020 14:48

Dus? Op welk moment trekt de USA zich iets aan van waar de data staat? Het HQ staat gewoon in de USA. Dwangmiddelen genoeg (als er noodzaak is).

klakkie.57th @Bensimpel • 19 april 2020 15:18

Dit is nu echt een stokpaardje van mij ! Je moet me ook niet geloven, maar na eindeloos contracten uitpluizen, was het officiële antwoord van Microsoft aan ons bedrijf “no comment”.

Ze geven duidelijk aan dat indien ze van rechtswege gedwongen worden, ze je data zullen overhandigen.

SED @klakkie.57th • 19 april 2020 17:17

En deze stappen waren je niet bekend?
https://executive-people....zaak-rond-ierse-data.html
https://dutchitchannel.nl...ierse-data-microsoft.html
daarvoor:
nieuws: Microsoft wint zaak over overhandigen in EU opgeslagen e-mails aan VS

GeoBeo @Bensimpel • 19 april 2020 15:25

Dan zijn die bedrijven iligaal bezig, of je hebt het contract niet goed gelezen/besproken.

Bij Office 365 voor bedrijven staat er heel erg duidelijk in dat data in Europa wordt opgeslagen, niks in de VS tenzij je het anders instelt.

https://docs.microsoft.co...prise/o365-data-locations

Wel eens van Snowden gehoord? Alles wat hij aan het ligt bracht was de Amerikaanse overheid die als geheel illegaal bezig was.

Dat was zo ongeveer het hele punt van die hele ophef destijds. Dat het illegaal is, is dus compleet irrelevant als het aankomt op industriële spionage tussen landen.

[Reactie gewijzigd door GeoBeo op 22 juli 2024 18:33]

Anoniem: 1322 @GeoBeo • 19 april 2020 14:37

Als je betaald dan wordt je automatisch niet afgeluisterd is jou logica?
Dat zeg ik helemaal niet? Ik zeg alleen dat je het recht behoudt op jouw data. Bij GSuite en Office 365 kan je er dan ook beleid op uitvoeren. Zo werken deze zakelijke platformen nu eenmaal.

latka @Anoniem: 1322 • 19 april 2020 14:47

Je kunt wel rechten hebben op de data, maar dat betekent niet zoveel zolang de data:
1) Bij iemand anders op zijn computer staat
2) De partij van wie die computer is een 2e verdienmodel heeft wat gebaseerd is op zoveel mogelijk van je weten.
Zodra de marges omlaag gaan om een of andere reden zullen ze beginnen met het afbreken van de voorwaarden. Stapje voor stapje. En aangezien de data op de computer van die partij staat kun je eigenlijk geen kant op zonder vrij veel werk (migraties e.d.).

Dus betaald of niet: als het gegevens zijn waar veiligheid belangrijker is dan gemak, dan zet je het niet online.

Anoniem: 1322 @latka • 19 april 2020 14:55

Dat is het risico natuurlijk van iedere dienst die je aanschaft. En niet alleen SaaS diensten maar ook bijvoorbeeld het administratie pakket dat je op on-premise omgeving gebruikt. De data is misschien wel in fysiek in jou handen maar als het in een software pakket zit, kun je er nog niets mee buiten het pakket. Dit zijn de afwegingen die je maakt bij de aanschaf.

Bij een partij als Microsoft of Google hoef je daar natuurlijk niet heel bang voor te zijn. Die hebben hele teams advocaten en websites gebouwd om dit uit te leggen en te garanderen. Daarnaast zijn er vele externe tools en partijen die jouw data ook veilig kunnen stellen (backup of export).

Je moet je alleen uiteraard afvragen wat je er aan hebt als bijvoorbeeld de dienst eruit ligt.

latka @Anoniem: 1322 • 19 april 2020 15:04

Data eruit krijgen valt tegen: ben van GMail naar on-premise IMAP gegaan. Dat is geen druk op de knop. Dan nog het drama dat .docx heet: alleen Office leest ze lekker in. De papieren tijgers zijn geduldig, de praktijk is veel weerbarstiger.

Anoniem: 1322 @latka • 19 april 2020 18:41

Data eruit krijgen valt tegen: ben van GMail naar on-premise IMAP gegaan. Dat is geen druk op de knop.

Migraties zijn inderdaad nooit een druk op de knop maar goed te doen (draai zelf veel migraties). Sommige zaken zijn net even anders, zo kent Google geen ‘folders’ zoals Exchange dat kent. Je hebt dan dus een ‘translatie’ nodig van het een naar de ander.

Iedere cloud dienst geeft je toegang tot hun ‘migratie tooling’ maar bij een on-premise oplossing zit dat er meestal niet bij en ben je toegewezen tot externe tooling. Bittitan is een bekende oplossing die je daarbij kan helpen.

Je krijgt dus meestal gewoon waar je voor betaald.. Veeam of synology trekken ook alle data zo uit Office 365 of GSuite maar daarvoor moet je eerst betalen.

Dan nog het drama dat .docx heet: alleen Office leest ze lekker in.
Tja, dat komt nog uit een tijd dat Microsoft geen standaarden aanhield

Anoniem: 1350842 @Anoniem: 1322 • 19 april 2020 14:18

Niet altijd helemaal waar, zeker Zoom verdient denk ik vooral aan bedrijven die abonnementen afsluiten. Zoom abbonementen starten vanaf 14 euro per maand per host, dus duidelijk gericht op bedrijven.

Het is wel vaak zo, maar een gratis versie kan ook simpelweg promotie zijn om bedrijven de betaalde versie aan te laten schaffen. Zo is de gratis versie gelimiteerd op 40 minuten per gesprek (bij meer dan 2 deelnemers), dat gaat toch ook vrij snel vervelen als je iedere vergadering na 40 minuten moet herstarten. Door het aan te bieden kunnen mensen echter wel kijken of het wat is, bevalt het dan zullen ze moeten betalen.

En wat is een veilige optie in die zin? Zoom is vooral in het nieuws gekomen omdat letterlijk de hele wereld het ging gebruiken, als de hele wereld overstapt op een andere app komt daar weer iets naar boven. Daarnaast, dat je niet weet dat data gelekt is wil niet zeggen dat het veilig is, dus Teams is niet inherent veiliger, je weet alleen niet of het onveilig is, en die 'niet weten' is de gevaarlijkste vorm van zekerheid.

[Reactie gewijzigd door Anoniem: 1350842 op 22 juli 2024 18:33]

Anoniem: 1322 @Anoniem: 1350842 • 19 april 2020 14:34

Je maakt een goed punt dat ik inderdaad niet benoem. De ‘gratis’ teams is ook inderdaad slechts een promotie actie van Microsoft. Over 6 maanden moet plots de portemonnee getrokken worden door bedrijven terwijl al hun data dan in teams zit.

Als je zoom aanschaft zal het waarschijnlijk wel beter zitten met zowel privacy als security. Ik kan daar geen uitspraken over doen maar de beveiliging in GSuite en O365 zijn erg goed.

Echter zullen organisaties niet twee keer gaan betalen voor dezelfde oplossing en gezien onderwijs toch al betaald voor O365 of GSuite is zoom nogal redundant.

ari @Anoniem: 1322 • 19 april 2020 19:01

Als men een veilige oplossing heeft, waarom dan Zoom gebruiken?

Gebruiksgemak en functionaliteiten. Het werkt bij zo goed als iedereen direct zonder problemen en je hebt handige tools zoals polls, reacties (duimpje) en een digitaal whiteboard. In een lesomgeving zijn die dingen best prettig om interactie mogelijk te maken. Ze zitten simpelweg niet ingebakken in bijvoorbeeld Google Meet. Met Teams ben ik niet bekend, maar onze leerlingen hebben Chromebooks dus dat gaat 'm waarschijnlijk niet worden.

Iets abstracts als 'beveiliging' is nu eenmaal voor veel mensen veel minder belangrijk dan 'handige functies'. Docenten zijn nog steeds mensen, dus daar zitten ook mensen tussen die vooral naar het tweede kijken. Voeg daarbij de grote zelfstandigheid die docenten hebben bij het uitvoeren van het onderwijs en je hebt toch wel een interessante mix. Afgelopen week begon iemand tijdens een vergadering over het gebruik van Zoom in plaats van Meet, precies vanwege de functionaliteit. Ik snapte heel goed waar de vraag vandaan komt, maar heb het toch expliciet ontraden.

[Reactie gewijzigd door ari op 22 juli 2024 18:33]

MPAnnihilator @ari • 19 april 2020 21:37

En het heeft geen issues met verschillende keyboard layouts. Zeer handig om support teams uit andere werelddelen toegang te geven tot je linux machines... die security issues zijn not done, maar Zoom deed op mijn laptop en terminal servers toch het minst moeilijk van alle remote support tools ooit nodig gehad op professioneel niveau...
Fingers crossed dat ze het terug allemaal OK krijgen door bij Zoom.

ari @MPAnnihilator • 19 april 2020 22:44

Ik heb een streep door dat bedrijf gezet, het komt er bij mij niet in. Ziet er allemaal fantastisch uit (en dat meen ik oprecht met de functionaliteit), maar het heeft simpelweg te veel verkeerd gedaan om mijn vertrouwen te kunnen houden. Het is een patroon en dat zegt in mijn ogen voldoende over het bedrijf, ook als ze alle huidige problemen weten op te lossen.

ATS @Anoniem: 1322 • 20 april 2020 07:35

Je gebruikt zoom als je behoorlijk met meer dan vier mensen in een meeting wil zitten... Wat ik tot nu toe van Teams gezien heb (school van de kinderen gebruikt het) werkt het daar absoluut niet voor. We gebruiken Zoom op het werk, en daar kan ik gewoon tot zelfs 49 deelnemers tegelijk zien. En dat werkt ook gewoon goed. Voor communiceren met een klas is het heel fijn als je gewoon iedereen kan zien.

Bij Jitsi kan je ook meerdere deelnemers zien, maar als er daar ook maar één deelnemer een mindere verbinding heeft begint het voor iedereen te stotteren.

Anoniem: 310408 @GeoBeo • 19 april 2020 14:55

Teams lekt toch ook van alles en nog wat weg naar de VS / Microsoft? (en heeft ongetwijfeld een directe of "per ongeluk lekke" backdoor naar de NSA zoals alle Amerikaanse software/servers/bedrijven)

Heb je daar enige aanwijzing voor of denk je dat gewoon? Waarom Microsoft interesse zou hebben in comminicatie tussen Nederlandse studenten ontgaat me overigens ook geheel.

klakkie.57th @Anoniem: 310408 • 19 april 2020 15:20

Industriële spionage is toch van alle tijden ?! Alleen maken we het ze nu nog wat makkelijker.

rene_fb @GeoBeo • 19 april 2020 15:46

Ik snap deze gedachtegang niet. Waarom is Teams beter dan Zoom als het aankomt op privacy?

Teams lekt toch ook van alles en nog wat weg naar de VS / Microsoft? (en heeft ongetwijfeld een directe of "per ongeluk lekke" backdoor naar de NSA zoals alle Amerikaanse software/servers/bedrijven)

Zulke constructies zal je ongetwijfeld bij beiden zien. Maar staat ook gelijk los van de eigenlijke problemen bij Zoom.
Lees voor de grap eens hier doorheen: https://objective-see.com/blog/blog_0x56.html

Het zijn dit soort grappen waarom die App overal verbannen wordt. Dit is geen bug die er toevallig in sluipt tijdens het proggen, omdat iemand niet opgepast heeft..
"If the App is already installed but the current user is not admin, they use a helper tool called “zoomAutenticationTool” and the AuthorizationExecuteWithPrivileges API to spawn a password prompt identifying as “System” (!!) to gain root (including a typo)."

Uit de conclusie:
"Today, we uncovered two (local) security issues affecting Zoom’s macOS application. Given Zoom’s privacy and security track record this should surprise absolutely zero people.

First, we illustrated how unprivileged attackers or malware may be able to exploit Zoom’s installer to gain root privileges.

Following this, due to an ‘exception’ entitlement, we showed how to inject a malicious library into Zoom’s trusted process context. This affords malware the ability to record all Zoom meetings, or, simply spawn Zoom in the background to access the mic and webcam at arbitrary times! 😱

The former is problematic as many enterprises (now) utilize Zoom for (likely) sensitive business meetings, while the latter is problematic as it affords malware the opportunity to surreptitious access either the mic or the webcam, with no macOS alerts and/or prompts."

Anoniem: 1350842 @dutchnltweaker • 19 april 2020 14:24

Ik ben er zelf principieel tegen ook al zou zoom zijn zaakjes beetje bij beetje op orde krijgen.

Zeker met die laatste toevoeging denk ik dat je niet erg sterk staat. Het lijkt er namelijk op dat jij principieel tegen Zoom bent omdat je ze niet mag of omdat je de app niet leuk vindt, zo komt het in ieder geval wel over door te zeggen dat je er hoe dan ook, wat ze ook doen, tegen bent. Dat is over het algemeen een heel slecht argument.
Daarnaast is er nog de vraag of jij als één student een hogeschool kan dwingen om een andere manier van lesgeven aan te bieden, ik denk dat het antwoord daar op is: nee. Als ze goed kunnen onderbouwen waarom iets wordt gebruikt, dan is het denk ik echt even pech.

Ik zie dat helaas op mijn hogeschool ook (en ik vermoed dat dat dezelfde is), waar heel veel mensen denken dat alles om hen draait en een hele arrogante houden hebben tegen de hogeschool. Prima, maar dan moet je ook accepteren dat jouw onderwijs pas weer door gaat als fysiek onderwijs er is en die studievertraging voor life nemen.

dutchnltweaker @Anoniem: 1350842 • 19 april 2020 14:53

Ik ben er zelf principieel tegen ook al zou zoom zijn zaakjes beetje bij beetje op orde krijgen.

Dat is natuurlijk even kort door de bocht geschreven, natuurlijk heb ik wel argumenten waarom ik zoom niet wil gebruiken, zeker komende tijd niet. Deze bronnen zeggen voor mij genoeg om geen zoom te gebruiken:
https://www.theverge.com/...privacy-security-concerns
(Ja ze hebben het gefixt maar alleen toen het in de publiciteit kwam..)
nieuws: Zoom zegt sorry voor beveiligingslekken en pauzeert ontwikkeling nieu...
nieuws: Zoom stelt adviesraad met beveiligingsexperts aan
(een oud beveilingsexpert in dienst nemen die van facebook kwam wekt voor mij geen vertrouwen op)
nieuws: Zoom liet e-mailadressen uitlekken
nieuws: Onderzoeker: lekken in Mac-app Zoom geven aanvaller toegang mic en ca...
nieuws: Video-app Zoom verwijdert Facebook uit iOS-app en updatet privacybeleid
nieuws: Video-app Zoom verwijdert Facebook uit iOS-app en updatet privacybeleid

En eentje van deze week: https://www.techzine.nl/n...s-aangeboden-op-dark-web/
Helaas had ik nog een paar interessante bronnen maar die ben ik kwijt.

Ik zie dat helaas op mijn hogeschool ook (en ik vermoed dat dat dezelfde is), waar heel veel mensen denken dat alles om hen draait en een hele arrogante houden hebben tegen de hogeschool.

Snap niet waarom je dit er bij haalt, dit zijn gewone serieuze issues waar school (als het aangekaart wordt) niet naar je luistert. Maar ze bekommeren zich altijd wel zogenaamd aan ons studenten (zie het helaas niet snel terugkomen vanuit de directie/management).

Anoniem: 1350842 @dutchnltweaker • 19 april 2020 16:48

Snap niet waarom je dit er bij haalt,

Dat haal ik er bij omdat het wel gewoon een feit is, er wordt vooral gedaan alsof een hogeschool maar alles moet doen om aan iedere student zich aan te passen. Maar het feit is gewoon, je bent niet speciaal genoeg om het hele programma aan te passen voor één student. En ik zie dat dat laatste veel wordt opgevat als 'er wordt niet naar de studenten geluisterd' terwijl dat dus voornamelijk is omdat ze niet worden behandeld als de enige student die er is.

Uiteindelijk zal iedere service die genoeg aandacht krijgt problemen hebben en het voornamelijk pas fixen als er publiciteit is. Ook Teams is niet gegarandeerd veilig natuurlijk, het is puur dat je het niet weet en het daardoor meer vertrouwt.

Als je kijkt naar die artikelen. Eentje is een lek, wat is aangepast zodra het aan het licht kwam. De volgende is dat ze daar sorry voor zeggen, in mijn ogen niet echt een argument om iets niet te gebruiken. Daarna dat zie iemand aannemen die jij toevallig niet mag, iemand van Facebook heeft alsnog een bak meer ervaring dan de random personen op het internet die het allemaal zo goed weten.

Voornamelijk dus heel veel dingen die zijn aangepast omdat ze zo onder de loep kwamen, waarschijnlijk hebben extreem veel apps hetzelfde, maar die zijn niet zo in gebruik zoals Zoom.

Ik snap dat jij het persoonlijk niet wilt gebruiken, en dat is prima. Maar dat jij persoonlijk bijvoorbeeld geen vertrouwen hebt in iemand die bij Facebook heeft gewerkt is in mijn ogen geen reden om te zeggen dat het niet goed gefaciliteerd wordt. Daarmee denk ik dus niet dat jij een poot hebt om op te staan, omdat het vooral is gebaseerd op 'Ik vertrouw het niet' en slechts vrij weinig op actieve lekken oid.

dutchnltweaker @Anoniem: 1350842 • 19 april 2020 20:20

Dat haal ik er bij omdat het wel gewoon een feit is, er wordt vooral gedaan alsof een hogeschool maar alles moet doen om aan iedere student zich aan te passen. Maar het feit is gewoon, je bent niet speciaal genoeg om het hele programma aan te passen voor één student. En ik zie dat dat laatste veel wordt opgevat als 'er wordt niet naar de studenten geluisterd' terwijl dat dus voornamelijk is omdat ze niet worden behandeld als de enige student die er is.

Feit of jouw mening?
Bij mij gaat het er om dat er binnen de opleiding en school vaak over bepaalde dingen toezeggingen/beloftes zijn gedaan waar je naderhand achter aan moet gaan of het is opeens allemaal toch niet meer mogelijk.. dus denk wel dat ik kritisch mag wezen als student zijnde toch?

Uiteindelijk zal iedere service die genoeg aandacht krijgt problemen hebben en het voornamelijk pas fixen als er publiciteit is. Ook Teams is niet gegarandeerd veilig natuurlijk, het is puur dat je het niet weet en het daardoor meer vertrouwt.

Ik heb ook niet gezegd dat teams zo te vertrouwen is, in iedergeval heeft teams op dit moment geen gekke problemen zoals zoom op dit moment. Zou dit wel zijn of aangetoond worden zou ik precies hetzelfde zeggen natuurlijk.

Als je kijkt naar die artikelen. Eentje is een lek, wat is aangepast zodra het aan het licht kwam. De volgende is dat ze daar sorry voor zeggen, in mijn ogen niet echt een argument om iets niet te gebruiken. Daarna dat zie iemand aannemen die jij toevallig niet mag, iemand van Facebook heeft alsnog een bak meer ervaring dan de random personen op het internet die het allemaal zo goed weten.

Maar zoals je meerdere bronnen hebt gezien is het niet 1 lek he (zoals de meerdere bronnen), maar zijn er van de week weer meerdere dingen naar boven gekomen en daar gaat het om..
Het is niet dat ik die man niet mag, het gaat erom dat iemand vanuit Facebook als beveiliging deskundige gaat optreden voor zoom (Want Facebook staat bekend om zijn privacy).. Alsjeblieft geen woorden verdraaien over dat ik iemand persoonlijk niet mag.

Ik snap dat jij het persoonlijk niet wilt gebruiken, en dat is prima. Maar dat jij persoonlijk bijvoorbeeld geen vertrouwen hebt in iemand die bij Facebook heeft gewerkt is in mijn ogen geen reden om te zeggen dat het niet goed gefaciliteerd wordt. Daarmee denk ik dus niet dat jij een poot hebt om op te staan, omdat het vooral is gebaseerd op 'Ik vertrouw het niet' en slechts vrij weinig op actieve lekken oid.

Die bronnen die ik aangaf hadden niks te maken met privacy of lekker?

Kan er nog veel meer opzoeken als het moet maar waarom zou ik, heb me punt wel gemaakt denk ik zo toch? tot nu toe heb ik bronnen gebruikt om mijn punten te onderbouwen dus ik denk dat ik zeker wel op dat vlak niet zomaar wat zeg.

ari @Anoniem: 1350842 • 19 april 2020 22:54

Het gaat hier meer om het patroon dan elke gebeurtenis op zich. Sommige gebeurtenissen zijn wat ernstiger (Windows-wachtwoorden lekken, backdoor installeren) dan andere gebeurtenissen (zoals iemand van Facebook in dienst nemen). Wanneer een bedrijf een voldoende lange reeks van dit soort dingen op z'n naam heeft staan, dan is dat een teken aan de wand en een goede reden om niet met ze in zee te gaan. Vertrouwen komt te voet en gaat te paard. En in dit geval heeft dat paard de laatste tijd aardig gegaloppeerd.

Horatius @dutchnltweaker • 19 april 2020 13:38

Aan de ene kant sta je misschien sterk omdat het vooraf nooit is aangekondigd dat je verplicht bent om dit te gebruiken, misschien had je je dan wel niet aangemeld voor de opleiding. Aan de andere kant is dit een akelige situatie en kan dit worden verworpen onder de omstandigheden.

Ik denk niet dat de meeste opleidingen een probleem maken van Zoom weigeren simpel om de reden dat Zoom al sterk afgeraden is door veel opleidingen.

ari @Horatius • 19 april 2020 22:47

Wat 'veel opleidingen' doen is helaas geen geldige reden waarom 'jouw opleiding' dat ook zou moeten doen. Ik hoop van harte dat alle opleidingen het overnemen of respecteren, maar vrees het ergste.

sonystar 19 april 2020 13:49

In mijn omgeving wordt op dit moment gebruik gemaakt van:
Microsoft Teams
Skype for Business
Cisco Webex for Business
en Zoom.

Voor gemeentelijke activiteiten wordt Microsoft Teams gebruikt, waarbij de beperking is opgelegd 2 personen zichtbaar, te weten burgemeester en het raadslid wat spreekrecht heeft. Overige raadsleden zijn gemute.
Binnen fractie overleg is het dwingende advies geen Zoom te gebruiken, maar of Teams of Webex.
Ook heb ik nadrukkelijk nogmaals uitgelegd waarom het onverstandig is om Zoom te gebruiken.

Bedrijfsmatig zijn we overgestapt van Webex naar Microsoft Teams en zal het nu nog in gebruik zijnde Skype for Business worden uitgefaseerd.

Ik ben ook betrokken binnen een kerkbestuur, waar we een Office 365 Non-Profit abonnement hebben, maar desondanks blijft men toch onbetaald Zoom benutten, puur en alleen vanwege gallery view van meerdere deelnemers. Men neemt dan de onderbreking van 40-45 minuten voor lief.
Indien ik een meeting organiseer is dit wel via Microsoft Teams.

Microsoft heeft aangeven eind april tot max 9 deelnemers zichtbaar te krijgen en zegt te werken aan meer.
Wellicht zijn dan meer mensen bereidt de switch naar Microsoft Teams te maken

Muncher @sonystar • 19 april 2020 15:02

Kijk eens naar Jitsi. Heeft ook gallery mode en kan je zelf hosten.

kramer65 @Muncher • 19 april 2020 15:16

En naast zelf hosten (waar natuurlijk weinig mensen zin in hebben) kan je ook gewoon de publiek gehoste versie gebruiken op https://meet.jit.si/

Wij gebruiken Jitsi nu ook dagelijks, in ons geval de in Nederland gehoste versie: https://jitsi.nluug.nl/

scholtnp @kramer65 • 19 april 2020 21:53

En er staan ook wat direkt te gebruiken jitsi hosts in Nederland, zie het lijstje bij vc4all.

twkr18526 @Muncher • 19 april 2020 16:42

Ik heb met Jitsi dat het goed werkt met mensen in NL die een goede verbinding hebben.

In mijn geval met mensen in het buitenland die een stabiele maar minder snelle verbinding hebben, valt het beeld bij de ander soms weg. Zelfs bij 1 op 1 gesprekken geprobeerd. Terwijl ter vergelijking whatsapp video en facetime bij diezelfde personen wel goed beeld gaf.

Jitsi is prima: geen account nodig, geen app (tenzij mobile). Er zitten geen admin functies op. Iedereen kan iedereen tegelijkertijd met 1 knop muten.

hawkeye73 @twkr18526 • 20 april 2020 00:39

Jitsi kun je gemakkelijk een account toevoegen... https://github.com/jitsi/jicofo

RobbieB 19 april 2020 13:36

Tja, gebruik het vooral verstandig. Voor overheid etc. zou ik het niet aanraden, maar voor onderwijs etc hoeft het niet persé een probleem te zijn als het puur educatief blijft. Beoordelingsgesprekken van leerlingen zou ik dan weer afraden. Gewoon logisch na blijven denken.

ari @RobbieB • 19 april 2020 22:57

Stap dan helemaal over. Niets erger dan een verzameling aan gelijksoortige tools die elk voor een ander doel gebruikt dienen te worden.

webster 20 april 2020 09:21

Ik ben geen Zoom gebruiker, maar als ik zie hoeveel -tamelijk fundamentele- issues er mee zijn, dan moet ik meteen aan Flash denken. Flash was ook een zeer handig stukje software, maar structureel zo lek als een mandje. Fixen is zinloos als het fundament niet goed is. Ik zou zeggen format c en overnieuw beginnen.

Op dit item kan niet meer gereageerd worden.

Overheidsfunctionarissen in India mogen Zoom niet meer gebruiken

Lees meer

Reacties (59)

Sorteer op:

Weergave: