Korona virüs salgını ile birlikte, yakınları ya da arkadaşları ile görerek konuşmak isteyen, evden çalışan veya uzaktan eğitim alanlar herkes video konferans platformu kullanıyor.
Çokca kullanılan platformlardan birisi “ZOOM”. Zoom’un kurulumu, kullanımı kolay ve 100 kişiye kadar da ücretsiz kullanım sağlıyor.
Ama bir dezavantajı var. Zoom’un kullanım kolaylığı, açık olan Zoom toplantılarına alakasız insanların (hackerlar olabilir) görüntü ya da ses yollamasını, bilgisayar korsanlarının Zoom çalıştıran bir makineye kötü amaçlı yazılım enjekte etmesini mümkün kılıyor.
Korona virüs salgını nedeniyle kullanımı artan Zoom platformunun yükselen kullanımı nedeniyle bağısmzı güvenlik uzmanları Zoom’u daha fazla incelemeye başladılar ve beraberinde de sorunlar keşfedilmeye başlandı. Bunları derledik. Bakalım neler var?
Sahte uçtan uca şifreleme
En önemli sorun şu anda bu; şifrelemesinde sorun var. Bu bireyler için kişisel verilerin korunması, kurumlar için ticari sırların korunması açısından problemli.
Zoom firması uygulamanın “uçtan-uca” şifrelendiğini iddia ediyor. Ancak Zoom bunu algı için kullanıyor gözüküyor. Zoom’un “uçtan uca” ve “uç nokta” tanımları diğerlerinden farklı.
Zoom uçları Zoom’da başlayıp, Zoom’da bitiyor. Zoom’un uçtan-uca şifrelemesi Zoom bağlantısının kendi sunucuları arasında oluyor. Diğer firmaların uçtan-uca şifreleme ile kastettiği, 2 kullanıcı (her biri uç olarak adlandırılır) arasındaki bağlantının şifrelenmesidir. Oysa Zoom bunu değil, kendi sunucuları arasındaki bağlantıyı şifreliyor.
Başka bir deyişle, veriler bir bilgisayardaki veya mobil cihazdaki bir Zoom istemci uygulamasından (ağ bağlantısında bir uç nokta) bir Zoom sunucusuna veya tersi yoldan geçtiğinde şifrelenir. Sunucuda şifresi çözülür ve Zoom bu verileri görebilir ve duyabilir.
Yani kişisel verilerin korunması açıkça mümkün değil. Bir hükümet talebi ile ya da Zoom’un kendi inisiyatifi ile bu verilere (konuşulanlara) erişim mümkün.
Bunu daha iyi anlamak için iPhone ile kıyaslayalım. Bir iPhone telefondan, başka bir iPhone kullanıcısına bir Apple Mesajı gönderildiğinde, Apple’ın sunucuları mesajın bir yerden başka bir yere ulaşmasına yardımcı olur, ancak içeriği okuyamazlar.
Zoom ile öyle değil. Toplantılarında neler olup bittiğini görebilir. Şirket yapmayacağını söylese de inanılacak bir durum değil.
Zoom yetkilileri, Amerikan (ya da başka) hükümetin gözetlemesinden endişe duyanlar için şöyle diyor;
“Zoom, canlı toplantıların şifresini çözmek için bir mekanizma bulundurmuyor. Çalışanlarımızı veya diğerlerini katılımcı listesine yansıtılmadan toplantılara dahil etmek de mümkün değil”
Ama bu kimseyi ikan etmedi. Etmeyince bu sefer şöyle bir açıklama yayınladılar;
“Bu yılın ilerleyen zamanlarında, firmaların Zoom’un bulut altyapısından yararlanmalarına, ancak kilit yönetim sistemini kendi ortamlarında barındırmalarına olanak tanıyacak bir çözüm sunulacak.”
O zamana kadar Zoom’a güvenecek misiniz? Eh bu sizin sorununuz. Siz karar verin…
Zoom Bombalama
Diğer bir sorun, dışarıdan bir kişinin toplantıya zıplama ihtimali. Toplantı numarasını bilen bir kişi açık bir Zoom toplantısını bombalayabiliyor. Bunun anlamı şu; toplantıya şok edici görüntüler veya sinir bozucu sesler yollayabilir. Toplantıyı düzenleyenin, bu şekilde davranan kişilerin sesini kesmesi ya da bu kişileri toplantıdan atması mümkün. Ama aynı kişiler başka isimle yeniden toplantıya bağlanabilirler. Bunun bir yolu, Zoom toplantı numaralarını hedeflenen katılımcılardan başka kimseyle paylaşmamaktır. Ayrıca katılımcıların toplantıda oturum açmak için bir parola kullanmasını da isteyebilirsiniz.
Windows Şifre Çalma
Zoom toplantılarında, katılımcıların metin tabanlı mesajlar ve linkler gönderebileceği yan sohbetler bulunur. Twitter kullanıcısı @ _g0dmode’a göre Zoom, normal web adresleri ile Evrensel Adlandırma Kuralı (UNC) yolu adı verilen farklı bir uzak ağ bağlantısı arasında ayrım yapmıyor . Bu, Zoom sohbetlerini saldırılara karşı savunmasız bırakıyor.
#Zoom chat allows you to post links such as \\x.x.x.x\xyz to attempt to capture Net-NTLM hashes if clicked by other users.
— Mitch (@_g0dmode) March 23, 2020
Yani kötü niyetli bir Zoom bombacısı, bir Zoom toplantısında UNC üzerinden bir uzak sunucuya link vermişse, farkında olmayan bir katılımcı tıklayabilir. Katılımcının Windows bilgisayarı daha sonra bilgisayar korsanının uzak sunucusuna ulaşmaya ve kullanıcının Windows kullanıcı adını ve şifresini kullanarak otomatik olarak oturum açmaya çalışacaktır.
Bilgisayar korsanı şifre hash’i yakalayabilir ve çözebilir. Bu da Zoom kullanıcısının Windows hesabına erişebilmesini sağlayabilir. Gerçi Zoom kurucusu Eric S.Yuan bu sorunu çözdüklerini iletti [1].
Windows’a kötü amaçlı yazılım yerleştirme
Güvenlik şirketi Seekurity’den Mohamed A. Baset aynı açık nedeniyle, bir bilgisayar korsanının bir Zoom toplantı sohbet odasına uzaktan yürütülebilir bir dosyaya UNC yolu eklemesine izin verdiğini söyledi.
Similar behavior on macOS but with more user interactions using smb:// UNC path! pic.twitter.com/1mwLgP5YBN
— Mohamed A. Baset (@SymbianSyMoh) April 1, 2020
Windows çalıştıran bir Zoom kullanıcısı bunu tıklarsa, kullanıcının bilgisayarına yazılım yüklenir ve çalıştırılabilir.
E-posta adresleri ve profil fotoğraflarının Sızma Olasılığı
Zoom otomatik olarak aynı e-posta alanını paylaşan herkesin birbirlerinin bilgilerini görebilecekleri bir “şirket” klasörüne yerleştirir. Gmail, Yahoo, Hotmail veya Outlook.com gibi büyük web posta istemcileri kullananlar bunun dışında kalır. Ancak Zoom’un bilmediği daha küçük web posta sağlayıcıları için bu şans yoktur.
ISS tarafından sağlanan e-posta adreslerini kullanan birkaç Hollandalı Zoom kullanıcısı birdenbire onlarca yabancıyla aynı “şirkette” olduklarını ve e-posta adreslerini, kullanıcı adlarını ve kullanıcı fotoğraflarını görebileceklerini fark etti. Bu sorun henüz devam ediyor.
Kişisel verilerin reklamverenlerle paylaşılması
Tüketici Raporları için çalışan birkaç gizlilik uzmanı, Zoom’un gizlilik politikasını gözden geçirdi ve bu raparlara göre Zoom, kullanıcılarının kişisel verilerini kullanma ve üçüncü taraf pazarlamacılarla paylaşma hakkına sahip. Bir Tüketici Raporları blog gönderisini takiben , Zoom en rahatsız edici pasajları çıkararak ve “kişisel verilerinizi satmıyoruz” diyerek gizlilik politikasını hızlı bir şekilde yeniden yazdı.