Wednesday, April 1, 2020

Zoom Kullanıyorsanız Dikkat!




Geçtiğimiz hafta Zoom videokonferans sisteminin Facebook’la veri paylaştığına dair bazı haberler çıkmıştı, meğer dertlerimiz yeni başlıyormuş. 

Uzaktan/evden çalışmaya başladığımızdan beri dünya genelinde çok popular olan Zoom’la ilgili güvenlik sorunlarına her gün bir yenisi ekleniyor gibi. Geçen yılın haziran ayında ortaya çıkan ve Zoom’u etkileyen güvenlik zafiyetini çok azınız duymuş olabilir, malum o günlerde evlere hapsolmamıştık. Bu hafta 2 yeni güvenlik açığından faydalanan istismar kodunun duyurulması pek çok kuruluş için can sıkıcı olabilir. Ayrıntılarına https://objective-see.com/blog/blog_0x56.html adresinden ulaşabileceğiniz güvenlik açıkları, görüşmelerin uçtan uca şifreli olmadığının ortaya çıkmasıyla birleşince oldukça sıkıntılı bir tablo belirmektedir.

Dünyanın en popüler videokonferans çözümlerinden biri haline gelen Zoom’un kullanıldığı sistem üzerinde komut çalıştırmaya imkan veren güvenlik açıklarının nasıl istismar edilebildiğini uzun uzun anlatmış. Görünen o ki Zoom’un MAC işletim sistemine kurulum için kullandığı teknik MAC işletim sistemini hedef alan zararlı yazılımlarla aynı. MAC’te virüs olmaz diyen tanıdığınız varsa bu fırsatla onunla da bir konuşmak isteyebilirsiniz.

Zoom özelinde bugüne kadar karşılaşılan güvenlik sorunları şunlar oldu;
  • Uyarı vermeden Facebook’la veri paylaşması
  • MAC işletim sistemine kurulum tekniğinin zararlı yazılımlarda görülenlere yakın olması
  • “Zoombombing” ile davetli olmayan kişilerin görüşmelere katılması
  • Uçtan uca şifreli olamadığının ortaya çıkması
Kullanım kolaylığı açısından bakıldığında faydalı gibi duran Zoom kullanırken aşağıdaki konuları hatırlamakta fayda var;

  1. Sosyal medya paylaşımlarınızda toplantı numarasının görünmemesine dikkat edin. Bunu okuyanların paylaştığını sanmıyorum ama çalışanlarınız “#evdencalis”, “#workathome” veya “#homeoffice” gibi minnoş hashtaglerle bu paylaşımları yapıyor olabilir. 
  2. Toplantılara giriş kodu ekleyin. Mümkünse giriş kodunu davet maili ile değil, SMS gibi farklı bir platform üzerinden paylaşım. 
  3. “Bekleme odası” seçeneğini aktif hale getirin.
Videokonferans için alternatif olarak JITSI (https://jitsi.org/) gibi açık kaynaklı alternatifleri de kullanabileceğinizi hatırlatmak isterim.

1 comment:

  1. Gören de Zoom'un açık kaynak kodlarına ulaştınız da açıklarını yakaladınız sanacak. Hurafe yaratmayın. Zoom'da bir güvenlik açığı olsa bundan emin ol şirket sahiplerinin de haberi olurdu.

    ReplyDelete