www.emsalhaber.com

Zoom kullanıcı sayısı 10 milyondan 200 milyon çıkınca güvenlik sıkıntıları oluştu

TEKNOLOJİ

Dünya nüfusunun üçte biri koronavirüs nedeniyle evine kapandı. Uzaktan çalışma veya eğitim nedeniyle görüntülü konferans sistemlerinin kullanımında yüzde 200 artış görülürken, dünyada olduğu kadar Türkiye’de de Zoom uygulaması hiç olmadığı kadar öne çıktı. Siber güvenlik kuruluşu ESET, Zoom’un karşı karşıya kaldığı sorunları inceledi ve kullanıcıların dikkat etmesi gereken unsurları sıraladı.

Türkiye dahil pek çok ülkede hem işyerleri hem de öğretmenler tarafından tercih edilen görüntülü konferans platformu Zoom’un kullancı sayısı son üç ay içinde günlük 10 milyondan 200 milyon kişiye kadar çıktı. Ancak bu hızlı yükseliş, pek çok sorunu da beraberinde getirdi. ABD’de New York Eğitim Departmanı, İngiltere’de Savunma Bakanlığı ve daha pek çok kuruluş, bu platformun kullanımını kısıtladı veya yasakladı. Siber güvenlik kuruluşu ESET’in tespitlerine göre sorunlar, özellikle güvenlik ve gizlilik konularında odaklandı. Firmanın kurucusu ve CEO’su Eric S. Yuan’da bir açıklama yaparak, beklenmedik kullanıcı artışından doğan sorunlardan ötürü özür diledi, şirketin tüm mühendislik kaynaklarını ‘güven, güvenlik ve gizlilik konularına odaklanmak‘ üzere yönlendirdiğini duyurdu.

İşte Zoom'un geçen haftadan bu yana karşı karşıya kaldığı 5 önemli sorun:

Uygulamanın iOS sürümü, kullanıcıların Facebook hesabı olmasa bile Facebook'a istatistikler gönderiyor ve Zoom'un gizlilik anlaşmasında bundan hiç bahsedilmiyor. Şirket sorunu kabul etti ve iOS için Facebook Yazılım Geliştirme Kiti‘ni (SDK) kaldırdı.

Aksi yöndeki iddialara rağmen ama bazı araştırmalara göre uygulama, video ve sesli toplantıları uçtan uca şifrelemeyi desteklemiyor. Zoom daha sonra özür diledi ve TLS olarak bilinen aktarım şifrelerini kullandığını açıklığa kavuşturdu.

Uygulamanın aynı zamanda birkaç güvenlik açığı içerdiği tespit edildi, ancak hepsi kısa sürede düzeltildi. Windows istemcisi, kullanıcıların Windows oturum açma kimlik bilgilerini ortaya çıkarabilecek ve hatta cihazlarında keyfi komutların yürütülmesine yol açabilecek bir UNC yolu enjeksiyon kusuruna duyarlı bulundu.

Zoom ayrıca, toplantı sahibinin ekran paylaşımı modundayken katılımcıların gerçekten dikkat edip etmediğini kontrol etmesini sağlayan bir özellik olan 'katılımcı izleme' özelliğini de kaldırdı.

ABD Fedenal Soruşturma Bürosu FBI, yetkisiz kişilerin özel toplantılar ve okul sınıflarına erişerek, rahatsız edici görüntüler yayabildikleri “Zoom Bombalama (Zoom-Bombing)“ adlı bir saldırı türüne karşı uyarıda bulundu.

Nasıl güvende kalabiliriz?

Antivirüs ve internet güvenliği kuruluşu ESET, yaşadığımız uzaktan çalışma çağında da gizliliğin ve güvenliğin göz ardı edilmemesi gerektiği uyarısında bulundu. ESET, Zoom kullanırken alınabilecek etkili önlemleri şöyle sıraladı:

Zoom'un 'Bekleme Odası' özelliğiyle ve/veya parolalar kullanarak toplantı katılımcılarını inceleyin.

Ekran paylaşımını ana bilgisayar ile sınırlayın.

Zoom'un en son (güncel) sürümünü kullanın.

Bağlantı veya toplantı kimliklerini sosyal medyada paylaşmayın.

Katılımcıları davet ederken bağlantılar yerine toplantı kimliklerini kullanmaya çalışın, çünkü uygulamanın beklenmedik başarısından faydalanmaya çalışan Zoom temalı ama kötü amaçlı yazılımlar var.

Aşağıda bazı önemli hususları özetliyoruz. Çalışma ortamı

Paylaştığınız video akışının hassas bilgiler içermediğinden emin olmak için ortamınızı kontrol edin. Arkanızdaki tahtada önceki bir toplantının kalıntıları olabilir, tüm gizli veya hassas materyallerin kameranın açısından çıkarıldığından emin olun. Muhtemelen hepimiz bir video röportajı veya toplantıya giren evcil hayvanların veya yeni yürümeye başlayan çocukların sevimli viral videolarına gülsek de bu tür kesintilerin toplantılarınızda oluşturabileceği etkileri göz önünde bulundurun ve toplantınıza başlamadan önce uygun önlemleri aldığınızdan emin olun.

Denetim erişimi

Çoğu görüntülü konferans platformu, kullanıcı gruplarının oluşturulmasına veya internet etki alanı tarafından erişimi kısıtlama yeteneğine izin verir, böylece yalnızca şirketinizden bir e-posta adresine sahip kullanıcılar çağrıya katılabilir. Alternatif olarak, çağrıyı planlarken davete e-posta adreslerini ekleyerek yalnızca davet edilen katılımcılara izin verebilirsiniz.

Toplantı oluştururken tipik bir seçenek olan toplantı parolası ayarlayın. Bu seçenek, davetlilerin girmesi gereken rasgele oluşturulmuş bir parola ekleyecektir. Telefonla bağlanan kullanıcıların kimliklerini doğrulamak için sayısal bir şifre kullanılabilir. Parolayı toplantı bağlantısına gömmeyin.

Katılımcıları bir “bekleme odasında” tutmak ve her birinin bağlantısını onaylamak, toplantı sahibinin toplantıda kimlerin olduğu üzerinde nihai kontrol sağlayacaktır. Bunu daha büyük toplantılara uygulamak için diğer güvendiğiniz katılımcıları organizatör veya moderatör rolüne yükseltebilirsiniz.

İletişim ve dosya aktarımı

Şifreli trafiği mecbur kılın. Video iletişimi ürünlerinin bu seçeneğin varsayılan olarak etkinleştirdiğini var saymayın. Bazı hizmetler sohbeti varsayılan olarak şifreler, ancak videoyu özel olarak istenmedikçe şifrelemezler.

Üçüncü taraf uç nokta istemci yazılımına izin veriliyorsa, uçtan uca şifreleme gereksinimlerine uyduğundan emin olun.

Dosya aktarımı gerekiyorsa, gönderilebilecek dosya türlerini sınırlayın; örneğin, yürütülebilir dosyalara (.exe dosyaları gibi) izin vermeyin.

Katılımcıları ve angajmanları yönetme

Konferans görüşmeleri, e-posta ve diğer açılır pencere bildirimlerinin dikkatinizi dağıtması kolaydır. Ana bilgisayar, konferans katılımcılarına birincil (etkin) pencere olmadığında bildirim gönderme yeteneğine sahip olabilir. Öğretmenseniz ve tüm öğrencilerinizin dikkatini çekmek istiyorsanız bu özellik son derece yararlı olabilir.

Bağlanmak için kayıt işlemini zorunlu tutarak veya çağrıdan sonra katılımcı listesini indirerek çağrıya katılanları kontrol edebilirsiniz. Bu, kullanıcının tüm çağrı için orada olup olmadığını gösteren bağlantı ve bağlantı kesme süresini de içerir.

Ekran paylaşımı

Ana bilgisayara veya ana bilgisayarın seçtiği bir kişiye ekran paylaşma yeteneğini sınırlayın. Bu, bir kişinin yanlışlıkla içerik paylaşma olasılığını ortadan kaldırır.

Ekran paylaşımı sırasında, tüm masaüstünün yerine yalnızca gereken uygulamayı paylaşın. Masaüstündeki bir dosyanın simgesi veya adı bile hassas şirket bilgilerini verebilir.

Apple'ın iOS'u, uygulamalar arasında geçiş yaparken kullanılan ekran görüntülerini alır. Yanlışlıkla hassas bilgilerin elde edilmesi de dahil olmak üzere bu duruma karşı koruma sağlamak için konferans sisteminin bu görüntüyü bulanıklaştırıp alamayacağını kontrol edin.

Tedbiri elden bırakma

Zaten sahip olabileceğiniz veya kullanmayı düşündüğünüz video konferans sisteminin ayarlarındaki tüm seçenekleri gözden geçirmek için zaman ayırın. Yukarıdaki hususlardan da anlayabileceğiniz gibi, birçok ayar bulunmaktadır ve şirket iletişimlerinin güvenli kalmasını sağlamak için doğru yapılandırmayı bulmak üstlenmeniz gereken önemli bir görevdir.

Son olarak, kullandığınız hizmetin gizlilik politikasını kontrol edin. 'Eğer ücretsizse, muhtemelen ürün sizsiniz' atasözü, şirketin 'ücretsiz' hizmetini finanse etmek için verilerinizi topladığını, sattığını veya paylaştığını bilmenizde fayda var.

Sitemizden en iyi şekilde faydalanmanız için çerezler kullanılmaktadır.