RSAC
Zoom’un 2021 RSA Konferansı’nda yaptığı sunumun odak noktasında Zoom Cloud Meetings’teki uçtan uca şifreleme yer aldı. Şirket, geliştiricilerinin bu konuya odaklanma nedenlerini, aramaların daha güvenli hale getirilmesine dair planlarını ve güvenlik konusunda kullanıcıları ne gibi yeni özelliklerin beklediğini açıkladı.
Biraz geriye gidelim
Pandemi nedeniyle çoğumuz, uzun süreler boyunca uzaktan çalışmak, iş arkadaşlarımız ve sevdiklerimizle telekonferans yazılımları üzerinden iletişim kurmak zorunda kaldık. Sahip olduğu yüksek popülarite Zoom’un, hem güvenlik uzmanlarının hem de siber suçluların ilgisini çekmesine neden oldu ve bu da platformun, güvenlik konusunda sanıldığı kadar iyi olmadığının herkes tarafından bilinmesine yol açtı. Örneğin yazılımda, saldırganların, kamera ve mikrofonlar üzerinden kullanıcıları gözetlemesine izin veren güvenlik açıkları bulunduğu ortaya çıktı. Hatta internet trollerinin yapılan görüşmeleri basması Zoombombing adında yeni bir kavramın doğmasına neden oldu. Her ne kadar Zoom’un bu konuya yanıtı oldukça hızlı ve geniş kapsamlı olsa da sorunlar devam etti.
Kullanıcıların Zoom hakkındaki en büyük şikayeti, platformun uçtan uca şifreleme (E2EE) yerine noktadan noktaya şifreleme (P2PE) kullanmasıydı.
E2EE ve P2PE karşılaştırması
İlk bakışta, iki sistem de birbirine benzer görünebilir: Her ikisi de kullanıcıların veri değişimlerini şifreliyor. P2PE’de sunucu, kullanıcı mesajlarına erişebilirken, E2EE’de gönderenin cihazındaki bilgiler şifrelenir ve şifre yalnızca alıcı tarafında çözülüyor. Ancak Zoom geliştiricilerinin konferansta altını çizdiği üzere, bu detaydan kaynaklanan bazı potansiyel sorunlar da var:
- Siber suçlular sunucuya sızabilir ve sunucuda saklanan şifreleme anahtarlarını çalabilir, gerçek toplantı katılımcılarının yerine toplantılara katılabilir veya gönderilen mesajları taklit edebilir,
- Bulut hizmeti sağlayıcısının veya Zoom’un fırsatçı çalışanları, şifreleme anahtarlarına erişebilir ve kullanıcıların verilerini çalabilir.
Bırakın gizli iş görüşmelerini, ailesi ve arkadaşlarıyla yaptığı özel konuşmaların dahi herkes tarafından görülmesini hiç kimse istemez. Ayrıca, bir hacker çaldığı şifreleme anahtarını yalnızca pasif dinleme amacıyla kullasaydı, bu durumun tespit edilmesi daha da zor olurdu.
Bu sorunlar E2EE’de şifre çözme anahtarlarının yalnızca kullanıcıların cihazlarında saklanmasıyla çözülür. Yani bu sunucu hacklense dahi, video konferansların davetsiz misafirler tarafından dinlenemeyeceği anlamına da gelir.
Doğal olarak birçok kişi, Zoom’un, mesajlaşma uygulamaları için halihazırda bir standart sayılan E2EE’ye geçmesini istiyor.
Zoom’daki uçtan uca şifreleme: Mevcut durum
Geliştiriciler eleştirileri dikkate aldı ve E2EE’nin uygulanması da dahil olmak üzere, platformun güvenliğinin artırılmasına yönelik bazı adımlar attı.
Zoom 2020 sonbaharından bu yana sohbetlerin yanı sıra sesli ve görüntülü aramalar için de E2EE’yi kullanıyor. Bu şifreleme özelliğinin etkinleştirilmesi halinde Zoom, katılımcıların verilerini konferans şifreleme anahtarı adı verilen bir anahtarla koruyor. Anahtar, Zoom sunucularında saklanmadığı için konuşmalardaki içeriğin şifresi geliştiriciler tarafından bile çözülemiyor. Platform yalnızca şifrelenmiş olarak kullanıcı kimliklerini ve arama süresi gibi görüşmelere ait meta verileri saklıyor.
Bunun yanı sıra geliştiriciler, Heartbeat adını verdikleri, toplantıyı yöneten kişinin uygulamasının diğer kullanıcılara otomatik bir sinyal göndererek toplantılara dışarıdan bağlanılmasını önleyen yeni bir özellik tanıttılar. Bu özellikte diğer bilgilerle birlikte, toplantıyı yöneten kişinin geçerli şifreleme anahtarını gönderdiği katılımcıların listesi de yer alıyor. Listede olmayan biri toplantıya katılırsa, bu durum tüm katılımcılar tarafından hemen fark ediliyor.
Davetsiz katılımcıları dışarıda tutmanın başka bir yolu da, tüm katılımcılar toplantıya katıldıktan sonra Toplantıyı Kilitle adlı özelliğin kullanılarak toplantının kilitlenmesi. Bu yöntemde toplantıyı manuel olarak kilitlemeniz gerekiyor ve toplantı bir kez kilitlendiğinde, toplantı kimliğine ve parolasına sahip olsa bile kimsenin toplantıya katılması mümkün olmuyor.
Zoom ayrıca, şifreleme anahtarı değişimi ile man-in-the-middle saldırılarına karşı da koruma sağlıyor. Toplantıyı yöneten kişi, toplantının dışarıdan biri tarafından dinlenmediğinden emin olmak için rastgele bir anda bir butona basarak mevcut toplantı şifreleme anahtarına dayalı bir güvenlik kodu oluşturabiliyor. Kod, diğer toplantı katılımcıları için de aynı şekilde otomatik olarak oluşturuluyor. Toplantıyı yöneten kişiye yalnızca bu kodu yüksek sesle okumak kalıyor; kod diğer katılımcıların kodlarıyla eşleşiyorsa, bu herkesin aynı anahtara sahip olduğu ve her şey yolunda olduğu anlamına geliyor.
Son olarak, toplantıyı yöneten kişinin toplantıdan ayrılması ve bu rolün başka birine geçmesi durumunda uygulama, bu değişimi katılımcılara bildiriyor. Herhangi şüpheli bir durum katılımcıların dikkatini çekerse, durumu netleşene kadar yaptıkları gizli görüşmeleri duraklatabiliyorlar.
Tabii ki tek yaptığınız arkadaşlarınızla bir Zoom partisi vermekse tüm bu güvenlik mekanizmalarını kullanmanız muhtemelen gerekmez. Ancak oturduğunuz sanal masada ticari (veya başka) sırlar görüşülüyorsa, bu koruma araçları gerçekten işe yarayabilir. Bu nedenle bu koruma araçları ve nasıl kullanılacaklarının, önemli toplantılara katılan kişiler tarafından bilinmesi gerekiyor.
Sunulan bir çok yeniliğe rağmen katedilecek çok yol olduğunu Zoom’un geliştiricileri de biliyor. RSA 2021’de yapılan sunum Zoom’un gelişim sürecine de ışık tuttu.
Gelecekte Zoom’u neler bekliyor?
Geliştiriciler henüz etkili önlemler uygulayamadıkları bir dizi tehdit belirlediler. Bunlardan biri, davetli kullanıcılar gibi davranan kişilerin toplantılara sızması. Bir diğeri ise, E2EE korumasının saldırganların arama süresi, katılımcıların isimleri ve IP adresleri gibi bazı meta verileri öğrenmesini engellememesi. Ve tabi ki programın beraberinde gelen güvenlik açıklarını da riskler listesinden çıkaramayız; teorik olarak siber suçlular Zoom’a kötü amaçlı kod yerleştirebilir.
Bu tehditleri göz önünde bulunduran Zoom’un geliştiricilerinin belirlediği hedefler arasında şunlar yer alıyor:
- Davet edilen ve onaylanan katılımcılar dışındaki tüm kişilerin etkinliklere erişiminin engellenmesi,
- Bir etkinlikten çıkarılan katılımcıların yeniden etkinliğe katılmasının önlenmesi,
- Toplantıya kabul edilmeyen herhangi birinin toplantıya müdahalede bulunmasının önlenmesi,
- Gerçek katılımcıların, kötüye kullanımları Zoom’un güvenlik ekibine bildirebilmesinin sağlanması.
Yol haritası
Bu hedeflere ulaşmak için geliştiriciler dört aşamalı bir yol haritası oluşturdular. Birinci aşamanın uygulama süreci tamamlandı. Bahsettiğimiz gibi, şifreleme sistemini, konferans şifreleme anahtarının yalnızca kullanıcıların cihazlarında saklanacak şekilde değiştirdiler ve toplantılara dışarıdan katılımın önlenmesine yönelik koruma araçları geliştirdiler.
İkinci aşamada, Zoom sunucularına bağlı olmak yerine bağımsız kimlik sağlayıcılarının (IDP’ler) sürece dahil olduğu, tek oturum açma (SSO) teknolojisine dayalı kullanıcı kimlik doğrulamasını sunmayı planlıyorlar.
Bu sayede olası bir davetsiz misafirin, Zoom sunucusunun kontrolünü ele geçirse bile bir kullanıcının kimliğini taklit edebilmesinin önüne geçiliyor. Davetli gibi davranan birinin yeni bir ortak anahtarla etkinliğe katılması halinde, diğer katılımcılar potansiyel tehdide karşı uyarılıyor.
Üçüncü aşamada, şeffaflık ağacı konsepti yer alıyor. Tüm kullanıcıların kimliği, doğrulanmış ve denetlenebilir bir veri yapısında saklanarak bir kimlik hakkında tüm kullanıcıların tutarlı bir görüşe sahip olması ve başkası gibi davrananlar tarafından gerçekleştirilen saldırıların tespit edilmesi sağlanıyor. Zoom bu özellikle, platformun man-in-the-middle saldırılarına karşı sahip olduğu korumayı güçlendirmeyi amaçlıyor.
Son olarak, dördüncü aşamada geliştiriciler, bir kullanıcının yeni bir cihazdan bağlanması halinde gerçekleştirilecek kimlik kontrolünün kolaylaştırılmasını planlıyor. Kullanıcının yeni bir cihazı bağlamak için, örneğin güvenilir bir telefon veya bilgisayarın ekranındaki bir QR kodunu tarayarak gerçekliğini teyit etmesi gerekiyor. Bu, saldırgan tarafından bir cihazın başka birine ait bir hesaba bağlamasını önlüyor.
Ödünsüz güvenlik
Ek güvenlik mekanizmalarını uygularken bunların sıradan kullanıcıları nasıl etkileyeceğini de dikkate almak gerekir. Zoom’un geliştiricileri de işin bu yönünü kesinlikle göz önünde bulunduruyor. Örneğin, önerilen bir yenilik, kişisel cihaz bulutlarının kullanılması. Bu tür bir teknoloji, bir hesaba yeni cihazlar ekleme sürecini basitleştirirken, aynı zamanda hesap güvenliğinin sağlanmasına da yardımcı olur.
Zoom daha güvenli olacak mı?
Kısaca evet, Zoom’un güvenlik seviyesi artmaya devam ediyor. Şirket, dış müdahalelere karşı koruma sağlamak amacıyla bir çok çalışma yaptı ve daha da fazla koruma aracını geliştirmeye halen devam ediyor. Ayrıca şunu da belirtmeden geçmeyelim, Zoom’un, güvenliği kullanım kolaylığı ile birleştirmeye çalıştığını görmek oldukça sevindirici.
Tabii ki pek çok şey Zoom kullanıcılarına bağlı. Çevrimiçi her platformda olduğu gibi, video konferans da sağduyu ve mevcut koruma mekanizmaları hakkında bilgi gerektiriyor. Şüphe uyandıran bir şeyler varsa ve bir veri sızıntısı ihtimalini ortadan kaldıramıyorsanız, platformdan gelen uyarıları dikkate almak ve gizli görüşmeler yapmaktan kaçınmanız gerekir.
İpuçları