Zoom

Allgemein Allgemeines zum Unibetrieb
1

Disclaimer: Dieser Thread wurde aus dem alten Forum importiert. Daher werden eventuell nicht alle Formatierungen richtig angezeigt. Der ursprüngliche Thread beginnt im zweiten Post dieses Threads.

2

Zoom
Nachdem heute beschlossen wurde, dass für das kommende Semester Zoom als Videokonferenz-Software genutzt werden soll und ich vor 5 Minuten gelesen habe, dass Zoom anscheinend Userdaten verkauft, wollte ich hier mal fragen, ob jemand dazu etwas genaueres weiß. Das klingt ja nicht sehr vertrauenerweckend.

Edit: Und anscheinend auch noch fragwürdige Webserver-Software installiert, die bei der Deinstallation nicht entfernt wird und als Einfallstor genutzt werden kann:
https://www.tagesschau.de/ausland/zoom-101.html

3

Die Content-Security-Policy Headers (CSP Headers) auf der https://zoom.us Website sind auch fragwürdig: https://cspvalidator.org/#url=https://zoom.us/

Eine kleine Googlesuche ergab, dass einige der dort gelisteten Domains in Verbindung mit Adware und Malware stehen.

4

Hier noch eine Liste an mehr Abfuck…

2 „Gefällt mir“
5

Vielleicht ein Aprilscherz der Uni? :huh:

Die WhatsApp Version von End-To-End Encryption :smiley:

6

Ich habe mich schon gewundert, weil ich dieses hier gesehen hab, und dachte das die RRZE auf Jitsi setzen wird…

Und hier auch noch ein Artikel: https://www.bbc.com/news/business-52115434

7

Ist kein Aprilscherz – an vielen Stellen, wo Leute grade Videokonferenz-Lösungen evaluieren, entscheiden sie sich unabhängig voneinander für Zoom. Jetzt unter dem Druck, dass schnell eine Lösung her muss, erst recht; aber eigentlich auch schon vorher.
Zoom hat, bei aller berechtigten Kritik, gegenüber dem meisten anderen halt einen Vorteil: Es funktioniert recht zuverlässig, auch in größeren Gruppen.

Naja, WhatsApp hat ordentliche E2E-Crypto ¯_(ツ)_/¯.

1 „Gefällt mir“
8

Hat WhatsApp nicht irgendwie nur Client - Server E2E und auf den Server plain, oder irre ich mich da? Vielleicht verwechsel ich was. Ändert aber an der Kritik gegenüber Zoom nichts.

Ja, besondere Zeiten, besondere Massnahmen. Ich fand es nur wichtig, dass Leute zumindest wissen, was sie sich evtl. ins Haus holen.

Ist Zoom wirklich das einzige Tool, dass die Anforderungen erfüllt? Professionelle Videoconference-Lösungen gibt es doch einige und bestimmt auch sicherer? Firmen sind doch generell nicht so glücklich über Industriespionage.

Edit: WhatsApp hat Metadaten gesammelt, die den Konvopartner identifizieren können und Timestamps von Nachrichten.

9

WhatsApp hat seit 2016 E2E-Crypto basierend auf dem Signal-Protokoll. Die Metadaten kriegt Facebook natürlich weiterhin. Plus sie könnten es natürlich jederzeit aushebeln

Soweit ich mitbekomm, setzen Firmen neben Zoom aktuell vor Allem auf MS Teams (bzw. Skype for Business/Lync) oder Cisco WebEx. Ob die Beiden irgendwas besser machen, sei mal dahin gestellt.

Zudem gibts für größere Zoom-Kunden die Möglichkeit eines Meeting-Connectors, mit dem die Audio- und Video-Nutzdaten (meistens) lokal bleiben. Alle selbst gehosteten Lösungen nützen der Uni aber derzeit wenig, da dafür die Ressourcen nicht da wären.

Firmen sind natürlich besorgt über Industriespionage, aber dass eine Anwendung aus der Cloud und/oder den USA kommt, ist kein absolutes Ausschlusskritierium. Vertraglich sichert man sich eh ab, und alles Weitere ist halt eine Kosten/Nutzen/Risiko-Abwägung.

10

Diese Scheisze ist einfach oberpeinlich.
Für Geisteswissenschaftler die eh keine Ahnung haben ist Zoom ok.
Für Firmen, auf die kein Student* angewiesen ist, ebenfalls.

Für die Informatik ist das aber absolut lächerlich. Da erzählt man den StudierendInnen(m/w/d) dauernd von Datenschutz, Open Source und Kryptographie und bei der ersten Gelegenheit heißt es “lol war nur Spaß, alles nicht so wichtig”.
Nur ein paar sozial distanzierte Studenten mit Kernelbart und Horsccht leisten Widerstand.
Wenn Zoom dicht macht, die Preise erhöht oder vom Chinesen gekauft wird, steht das deutsche Bildungssystem wieder vor dem Aus.
Klar, das Grundproblem ist, dass die Digitalisierung in der Informatik noch in den Kinderschuhen steckt, aber das sollte man auch genau so erwähnen wenn man mit Zoom daher kommt.

Ich distanziere mich von diesem Posting.

11

Zu Industriespionage: Wenn das ein Problem ist sollte man überhaupt kein voip benutzen was eigene Netze verlässt. Audiokompressionscodecs sind anfällig gegenüber CRIME-artigen Angriffen, da hilft weder e2e-Verschlüsselung noch Transportverschlüsselung wirklich vollständig.

12

[quote=zge]
Ich habe mich schon gewundert, weil ich dieses hier gesehen hab, und dachte das die RRZE auf Jitsi setzen wird…

Und hier auch noch ein Artikel: https://www.bbc.com/news/business-52115434
[/quote]Als würde das RRZE in wenigen Tagen einen Dienst hinbekommen der unter tausenden Wissenschaftlern und Studenten skaliert…

13

Kleine Anmerkung: Ich finde Ausdrücke wie „Client-Server-E2E“ sehr unglücklich, da der ganze Zweck von E2E ist, alle Mittelsmaschinen auszuschließen. Das so zu nennen,
heißt den Marketingleuten auf den Leim zu gehen. Ansonsten was F30 sagt.

Als würde das irgendwer spontan hinkriegen…

Re Industriespionage:
Ich würde spekulieren, dass die eher nicht die Inhalte mitschneiden und absichtlich ausnutzen (unabsichtlich weil sie was falsch konfigurieren natürlich schon, aber das ist was anderes).
Das ist offensichtlich illegal, sogar in weniger datenschutsfreundlichen Regionen. Die für den Schutz der Privatsphäre relevanten Metadaten sind was völlig anderes und da sind so Klitschen ja generell schmerzbefreit.

2 „Gefällt mir“
14

Der gängige Begriff für Verschlüsselung zwischen Endgerät und Server (oder zwischen Servern in einem föderierten System) ist Transportverschlüsselung.

1 „Gefällt mir“
15

Noch mehr Details über unlautere Implementierungsdetails in Zoom Installern: https://objective-see.com/blog/blog_0x56.html (Danke einem bestimmten Tom fürs Weiterleiten :))

[quote=vulgrim][quote=Inf2017]
Als würde das RRZE in wenigen Tagen einen Dienst hinbekommen der unter tausenden Wissenschaftlern und Studenten skaliert…
[/quote]
Als würde das irgendwer spontan hinkriegen…[/quote]
Na klar. Du brauchst nur hinreichend qualifizierte Leute.

1 „Gefällt mir“
16

Noch ein paar weitere Links:
https://www.tagesschau.de/ausland/zoom-101.html
https://www.heise.de/security/meldung/Videokonferenz-Software-Ist-Zoom-ein-Sicherheitsalptraum-4695000.html
https://www.heise.de/mac-and-i/meldung/Videokonferenz-Tool-Zoom-Mac-Installer-mit-Malware-Tricks-4694978.html

1 „Gefällt mir“
17

[quote=Marcel[Inf]]
Na klar. Du brauchst nur hinreichend qualifizierte Leute.
[/quote]

Qualifizierte Leute die Zeit für sowas über haben gibts halt in den seltensten Fällen.
Und dann fehlt potentiell immer noch Hardware und, was im Moment ja auch ein großes Thema ist, die richtige Anbindung.

Edit: Und natürlich Zeit um das sauber zu machen und dann auch zu testen.

1 „Gefällt mir“
18

Qualifizierte Leute die Zeit für sowas über haben gibts halt in den seltensten Fällen.[/quote]

Sometimes you only get what you pay for shrugs

1 „Gefällt mir“
19

Aber ich könnte ja auch eine E2E so aufbauen:

Client < - > Server < - > Client

Das ist natürlich nicht Sinn der Sache wäre aber immernoch E2E. Ich nehm halt den PublicKey des Servers und der Server dann den PublicKey des Empfängers. Der Server kann logischerweise mitlesen. Und ich hatte mir eingbildet, dass WhatsApp das macht, könnte aber auch ne andere IM-App gewesen sein. Ist aber für die Diskussion nicht relevant.

20

[quote=TOKAMAK]

Aber ich könnte ja auch eine E2E so aufbauen:

Client < - > Server < - > Client

Das ist natürlich nicht Sinn der Sache wäre aber immernoch E2E. Ich nehm halt den PublicKey des Servers und der Server dann den PublicKey des Empfängers.[/quote]
Das ist aber nicht das, was man üblicherweise unter E2E versteht.

[quote=Englische Wikipedia]End-to-end encryption (E2EE) is a system of communication where only the communicating users can read the messages.

Quelle[/quote]

Ja, wir schweifen gerade alle sehr ab :smiley:

1 „Gefällt mir“