{"id":8182,"date":"2020-05-01T14:23:36","date_gmt":"2020-05-01T11:23:36","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=8182"},"modified":"2020-05-01T14:24:46","modified_gmt":"2020-05-01T11:24:46","slug":"videoconference-software-security","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/videoconference-software-security\/8182\/","title":{"rendered":"Video konferans uygulamalar\u0131yla ilgili sorunlar"},"content":{"rendered":"

#evdekal, bug\u00fcnlerde sadece sosyal a\u011flarda pop\u00fcler bir etiket de\u011fil, ayn\u0131 zamanda koronavir\u00fcs pandemisi y\u00fcz\u00fcnden personelinin \u00e7o\u011funu uzaktan \u00e7al\u0131\u015fmaya g\u00f6ndermek zorunda kalan i\u015fletmeler i\u00e7in ger\u00e7e\u011fin ta kendisi. Y\u00fcz y\u00fcze toplant\u0131lar\u0131n yerini video g\u00f6r\u00fc\u015fmelerine b\u0131rakt\u0131. Ancak kurumsal konferanslarda sadece hava durumundan fazlas\u0131 tart\u0131\u015f\u0131ld\u0131\u011f\u0131 i\u00e7in, bir video konferans uygulamas\u0131na ge\u00e7meden \u00f6nce uygulaman\u0131n veri koruma mekanizmalar\u0131na g\u00f6z atmakta fayda var. A\u00e7\u0131k\u00e7as\u0131 biz de bu uygulamalar\u0131 laboratuvarda test etmedik; en yayg\u0131n kullan\u0131lan yaz\u0131l\u0131mlarda g\u00f6r\u00fclen sorunlar hakk\u0131nda bilgi edinmek i\u00e7in halka a\u00e7\u0131k kaynaklara g\u00f6z att\u0131k.<\/p>\n

Google Meet ve Google Duo<\/h2>\n

Google iki video g\u00f6r\u00fc\u015fme hizmeti sunuyor: Meet ve Duo. Meet, Google\u2019\u0131n di\u011fer hizmetleriyle (G Suite) entegre olan bir uygulama. \u015eirketiniz bu hizmetleri kullan\u0131yorsa Hangouts Meet \u015firketiniz i\u00e7in uygun.<\/p>\n

G\u00fcvenlik: Google Meet<\/h3>\n

Meet\u2019in avantajlar\u0131 aras\u0131nda, varsay\u0131lan olarak etkin olan g\u00fcvenilir veri i\u015fleme altyap\u0131s\u0131, (u\u00e7tan uca olmasa da) \u015fifreleme ve bir dizi koruma arac\u0131 g\u00f6steriliyor<\/a>. Google Meet da dahil olmak \u00fczere G Suite, di\u011fer bir\u00e7ok kurumsal \u00fcr\u00fcn gibi geli\u015fmi\u015f g\u00fcvenlik standartlar\u0131na uygun ve \u00f6zellikleri aras\u0131nda yap\u0131land\u0131rma ve eri\u015fim haklar\u0131 y\u00f6netimi se\u00e7enekleri sunuyor<\/a>.<\/p>\n

G\u00fcvenlik: Google Duo<\/h3>\n

Mobil uygulama Duo<\/a> ise u\u00e7tan uca \u015fifreleme kullanarak verileri koruyor. Ancak Duo, i\u015fletmeler i\u00e7in de\u011fil, \u00f6zel kullan\u0131c\u0131lar i\u00e7in tasarlanm\u0131\u015f bir uygulama. Video konferanslarda en fazla 12 kat\u0131l\u0131mc\u0131 olabiliyor.<\/p>\n

G\u00fcvenlik a\u00e7\u0131klar\u0131 ve olumsuz y\u00f6nler<\/h3>\n

Bize Google\u2019\u0131n kullan\u0131c\u0131 verilerini toplad\u0131\u011f\u0131n\u0131 ve bu nedenle ticari s\u0131rlar i\u00e7in bir tehdit olabilece\u011fini hat\u0131rlatan baz\u0131 mesajlar d\u0131\u015f\u0131nda, bu uygulamalar\u0131n g\u00fcvenlik performans\u0131 hakk\u0131nda somut bilgiler bulamad\u0131k. Bu, Google hizmetlerinin kusursuz oldu\u011fu anlam\u0131na gelmiyor, ancak ortaya \u00e7\u0131kabilecek sorunlar\u0131 ba\u015f\u0131n\u0131za bela olmadan \u00e7\u00f6zme e\u011filimi g\u00f6steren \u00e7ok g\u00fc\u00e7l\u00fc bir g\u00fcvenlik ekibi taraf\u0131ndan destekleniyorlar.<\/p>\n

Slack<\/h2>\n

Slack\u2019te, ekipler i\u00e7in tek bir pencerede rahat\u00e7a g\u00f6sterilen birden \u00e7ok sohbet \u00e7al\u0131\u015fma alan\u0131 ve ayr\u0131ca \u00e7al\u0131\u015fma alan\u0131n\u0131zdaki farkl\u0131 projelere ayr\u0131lm\u0131\u015f kanallar olu\u015fturabilirsiniz. Konferanslar 15 kat\u0131l\u0131mc\u0131 ile s\u0131n\u0131rl\u0131.<\/p>\n

G\u00fcvenlik<\/h3>\n

Slack , SOC 2 dahil olmak \u00fczere bir dizi uluslararas\u0131 g\u00fcvenlik standard\u0131na uygun<\/a>. Hizmet, t\u0131bbi ve finansal verilerle \u00e7al\u0131\u015facak \u015fekilde yap\u0131land\u0131r\u0131labiliyor ve \u015firketlerin veri depolama i\u00e7in b\u00f6lge se\u00e7mesine olanak tan\u0131yor. Bir Slack \u00e7al\u0131\u015fma alan\u0131na kat\u0131lmak i\u00e7in kurumsal alan \u00fczerinden davet ya da kurumsal e-posta adresi gerekiyor<\/a>.<\/p>\n

Slack ayr\u0131ca m\u00fc\u015fterilerine esnek risk y\u00f6netimi ara\u00e7lar\u0131, Veri Kayb\u0131n\u0131 \u00d6nleme (DLP) \u00e7\u00f6z\u00fcmleri ile entegrasyon ve veri eri\u015fim kontrol ara\u00e7lar\u0131 da sunuyor. \u00d6rne\u011fin, y\u00f6neticiler Slack\u2019in ki\u015fisel cihazlardan kullan\u0131m\u0131n\u0131 ve kanallar\u0131ndan bilgilerin kopyalanmas\u0131n\u0131 k\u0131s\u0131tlayabiliyorlar<\/a>.<\/p>\n

G\u00fcvenlik a\u00e7\u0131klar\u0131 ve olumsuz y\u00f6nler<\/h3>\n

Slack\u2019in geli\u015ftiricilerine g\u00f6re, sadece s\u0131n\u0131rl\u0131 say\u0131da i\u015fletmenin<\/a> u\u00e7tan uca \u015fifrelemeye ihtiyac\u0131 var ve bu \u00f6zelli\u011fin uygulanmas\u0131 i\u015flevselli\u011fi s\u0131n\u0131rlayabiliyor. Dolay\u0131s\u0131yla, Slack\u2019in u\u00e7tan uca \u015fifreleme eklemek gibi bir plan\u0131 yok.<\/p>\n

Slack ayr\u0131ca g\u00fcvenli\u011fi Slack\u2019in sorumlulu\u011funda olmayan \u00fc\u00e7\u00fcnc\u00fc taraf uygulamalara da entegrasyon sa\u011fl\u0131yor.<\/p>\n

Ayr\u0131ca, ara\u015ft\u0131rmac\u0131lar Slack\u2019de ciddi bir tak\u0131m g\u00fcvenlik a\u00e7\u0131klar\u0131 da buldu<\/a>. Slack, sald\u0131rganlar\u0131n verileri \u00e7almas\u0131na ve kullan\u0131c\u0131 oturumunun ele ge\u00e7irilmesine<\/a> olanak tan\u0131yan iki hatay\u0131 d\u00fczeltti.<\/p>\n

Teams<\/h2>\n

Microsoft Teams\u2019in kurumsal kullan\u0131c\u0131lar i\u00e7in ana avantaj\u0131, Office 365 ile entegre olmas\u0131. Ev ara\u00e7lar\u0131ndan gelen artan i\u015f talebine yan\u0131t olarak Microsoft \u015fu anda alt\u0131 ayl\u0131k \u00fccretsiz bir Microsoft Teams denemesi sunuyor, ancak \u00fccretsiz kullan\u0131c\u0131lar kullan\u0131c\u0131 ayarlar\u0131n\u0131 ve politikalar\u0131n\u0131 yap\u0131land\u0131ramayacak<\/a>; bu da potansiyel bir g\u00fcvenlik tehlikesi.<\/p>\n

G\u00fcvenlik<\/h3>\n

Teams, bir dizi uluslararas\u0131 standarda uyumlu<\/a>, gizli t\u0131bbi verilerle \u00e7al\u0131\u015fmak \u00fczere ayarlanabiliyor ve esnek g\u00fcvenlik y\u00f6netimi se\u00e7enekleri sunuyor. Baz\u0131 servis planlar\u0131 kapsam\u0131nda, DLP veya giden dosya taramas\u0131 gibi ek ara\u00e7lar Teams\u2019e entegre edilebiliyor. MS Office 365\u2019e y\u00f6nelik koruma \u00e7\u00f6z\u00fcm\u00fcm\u00fcz<\/a>, k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlar\u0131n \u015firket a\u011f\u0131 \u00fczerinden yay\u0131lmas\u0131n\u0131 \u00f6nlemek i\u00e7in Teams arac\u0131l\u0131\u011f\u0131yla iletilen verileri de tar\u0131yor.<\/p>\n

Sohbetler veya video g\u00f6r\u00fc\u015fmeleri ile sunucuya g\u00f6nderilen veriler \u015fifreleniyor, ancak yine u\u00e7tan uca \u015fifrelemeden bahsetmiyoruz<\/em>. Depolama ve i\u015flemden bahsetmi\u015fken, bilgilerin asla \u015firketinizin faaliyet g\u00f6sterdi\u011fi b\u00f6lgeden ayr\u0131lmad\u0131\u011f\u0131n\u0131 eklemekte de fayda var.<\/p>\n

G\u00fcvenlik A\u00e7\u0131klar\u0131<\/h3>\n

Teams\u2019de g\u00f6r\u00fclen g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131 takip etmekte fayda var. Microsoft genellikle g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131 h\u0131zla yamalasa da zaman zaman ortaya baz\u0131 g\u00fcvenlik a\u00e7\u0131klar\u0131 \u00e7\u0131kabilir. \u00d6rne\u011fin, ara\u015ft\u0131rmac\u0131lar k\u0131sa s\u00fcre \u00f6nce hesab\u0131n ele ge\u00e7irilmesini sa\u011flayan bir g\u00fcvenlik a\u00e7\u0131\u011f\u0131 buldu<\/a> ve ard\u0131ndan bu a\u00e7\u0131k giderildi.<\/p>\n

Skype for Business<\/h2>\n

Office 365\u2019teki Teams\u2019in \u00f6nc\u00fcs\u00fc olan Skype for Business<\/a>\u2018\u0131n bulut s\u00fcr\u00fcm\u00fc, yava\u015f yava\u015f tarihe kar\u0131\u015f\u0131yor, ancak yine de yerel olarak y\u00fckleyebilirsiniz<\/a>. Baz\u0131 kullan\u0131c\u0131lar Skype for Business\u2019\u0131 Teams\u2019den daha kullan\u0131\u015fl\u0131 buluyor; Microsoft da \u00f6n\u00fcm\u00fczdeki birka\u00e7 y\u0131l boyunca Skype\u2019\u0131n yerel s\u00fcr\u00fcm\u00fcn\u00fc desteklemeye devam edecek.<\/p>\n

G\u00fcvenlik<\/h3>\n

Skype for Business bilgileri u\u00e7tan uca olmasa da \u015fifreliyor ve hizmetin korumas\u0131 yap\u0131land\u0131r\u0131labiliyor. Ayr\u0131ca yerel sunucu yaz\u0131l\u0131m\u0131 kullan\u0131yor, bu nedenle g\u00f6r\u00fcnt\u00fcl\u00fc g\u00f6r\u00fc\u015fmeler ve di\u011fer veriler hi\u00e7bir zaman \u015firket a\u011f\u0131n\u0131n d\u0131\u015f\u0131na \u00e7\u0131km\u0131yor; bu \u00f6nemli bir avantaj.<\/p>\n

G\u00fcvenlik a\u00e7\u0131klar\u0131 ve olumsuz y\u00f6nler<\/h3>\n

Bu \u00fcr\u00fcn sonsuza kadar desteklenmeyecek. Microsoft planlar\u0131n\u0131 de\u011fi\u015ftirmedi\u011fi s\u00fcrece uygulama deste\u011fi Temmuz 2021\u2019de sona erecek ve Skype for Business 2019 Sunucusuna verilen destek 14 Ekim 2025\u2019e kadar uzat\u0131lacak.<\/p>\n

WebEx Meetings ve WebEx Teams<\/h2>\n

Cisco WebEx Meetings, video konferans i\u00e7in olduk\u00e7a dar odakl\u0131 bir hizmet. Cisco WebEx Teams ise di\u011fer \u015feylerin yan\u0131 s\u0131ra video g\u00f6r\u00fc\u015fmelerini de destekleyen tam \u00f6zellikli bir birlikte \u00e7al\u0131\u015fma hizmeti. Bu yaz\u0131n\u0131n kapsam\u0131 i\u00e7erisinde aralar\u0131ndaki fark, \u015fifreleme yakla\u015f\u0131mlar\u0131nda.<\/p>\n

G\u00fcvenlik<\/h3>\n

Cisco WebEx Meetings, kurumsal ihtiya\u00e7lara y\u00f6nelik hizmetler ve u\u00e7tan uca \u015fifreleme i\u00e7eriyor. Bu se\u00e7enek varsay\u0131lan olarak kapal\u0131, ancak sa\u011flay\u0131c\u0131 istek \u00fczerine etkinle\u015ftirebiliyor<\/a>. Etkinle\u015ftirme, yard\u0131mc\u0131 program\u0131n i\u015flevselli\u011fini biraz s\u0131n\u0131rl\u0131yor, ancak \u00e7al\u0131\u015fanlar\u0131n\u0131z toplant\u0131larda gizli bilgiler payla\u015f\u0131yorsa dikkate al\u0131nmas\u0131 iyi olacak bir se\u00e7enek. Cisco WebEx Teams ise yaln\u0131zca yaz\u0131\u015fma ve belgeler i\u00e7in u\u00e7tan uca \u015fifreleme sa\u011fl\u0131yor<\/a>; video ve sesli g\u00f6r\u00fc\u015fme \u015fifreleri Cisco sunucular\u0131nda \u00e7\u00f6z\u00fcl\u00fcyor.<\/p>\n

G\u00fcvenlik a\u00e7\u0131klar\u0131 ve olumsuz y\u00f6nler<\/h3>\n

Yaln\u0131zca bu Mart ay\u0131nda sat\u0131c\u0131, kodun uzaktan y\u00fcr\u00fct\u00fclmesi tehdidi i\u00e7eren iki WebEx Meetings g\u00fcvenlik a\u00e7\u0131\u011f\u0131<\/a> i\u00e7in yama yay\u0131nlad\u0131. Ge\u00e7en y\u0131l\u0131n ba\u015f\u0131nda, WebEx Teams istemcisinde<\/a> ciddi bir hata bulundu. Bu hata, mevcut kullan\u0131c\u0131n\u0131n ayr\u0131cal\u0131klar\u0131yla komut y\u00fcr\u00fct\u00fclmesine izin veriyordu. Cisco\u2019nun g\u00fcvenlik konusunda ciddi oldu\u011fu biliniyor ve hizmetlerini h\u0131zl\u0131 bir \u015fekilde g\u00fcncelliyor.<\/p>\n

WhatsApp<\/h2>\n

WhatsApp i\u015f i\u00e7in de\u011fil, sosyal ileti\u015fim i\u00e7in kuruldu, ancak \u00fccretsiz uygulama k\u00fc\u00e7\u00fck \u015firketlerin veya ekiplerin video konferans ihtiya\u00e7lar\u0131n\u0131 kar\u015f\u0131layabiliyor. Program b\u00fcy\u00fck i\u015fletmeler i\u00e7in uygun de\u011fil; video konferans ayn\u0131 anda en fazla d\u00f6rt kat\u0131l\u0131mc\u0131<\/a> i\u00e7in kullan\u0131labiliyor.<\/p>\n

G\u00fcvenlik<\/h3>\n

WhatsApp, ger\u00e7ek u\u00e7tan uca \u015fifrelemenin<\/a> tart\u0131\u015f\u0131lmaz avantaj\u0131na sahip. Bu, ne \u00fc\u00e7\u00fcnc\u00fc taraflar\u0131n ne de WhatsApp \u00e7al\u0131\u015fanlar\u0131n\u0131n video g\u00f6r\u00fc\u015fmelerinizi g\u00f6r\u00fcnt\u00fcleyemeyece\u011fi anlam\u0131na geliyor. Ancak, kurumsal uygulamalar\u0131n\u0131n aksine WhatsApp, neredeyse hi\u00e7 sohbet ve \u00e7a\u011fr\u0131 g\u00fcvenlik y\u00f6netimi se\u00e7ene\u011fi sunmuyor, sadece yerle\u015fik olan\u0131 kullanabiliyorsunuz.<\/p>\n

G\u00fcvenlik a\u00e7\u0131klar\u0131 ve olumsuz y\u00f6nler<\/h3>\n

Ge\u00e7en y\u0131l sald\u0131rganlar, WhatsApp video g\u00f6r\u00fc\u015fmeleri yoluyla Pegasus casus yaz\u0131l\u0131m\u0131n\u0131<\/a> da\u011f\u0131tt\u0131. Hata d\u00fczeltildi, ancak uygulaman\u0131n kurumsal d\u00fczeyde koruma sunmay\u0131 ama\u00e7lamad\u0131\u011f\u0131n\u0131 unutmay\u0131n. Bu nedenle kullan\u0131c\u0131lar\u0131n en az\u0131ndan siber g\u00fcvenlik haberlerini dikkatle takip etmesi gerekiyor.<\/p>\n

Zoom<\/h2>\n

Bulut tabanl\u0131 video konferans platformu Zoom, salg\u0131n\u0131n ba\u015flang\u0131c\u0131ndan bu yana g\u00fcndemde. Esnek fiyatland\u0131rmas\u0131 (100 kat\u0131l\u0131mc\u0131ya kadar \u00fccretsiz 40 dakikal\u0131k konferanslar ile) ve kullan\u0131c\u0131 dostu olmas\u0131 bir\u00e7ok kullan\u0131c\u0131y\u0131 kendine \u00e7ekerken, platformun zay\u0131f yanlar\u0131 da bir o kadar dikkat \u00e7ekiyor<\/a>.<\/p>\n

G\u00fcvenlik<\/h3>\n

Hizmet, SOC 2<\/a> uluslararas\u0131 g\u00fcvenlik standard\u0131na uygun; sa\u011fl\u0131k hizmeti sa\u011flay\u0131c\u0131lar\u0131 i\u00e7in ayr\u0131 bir HIPAA uyumlu hizmet plan\u0131 sunuyor ve esnek yap\u0131land\u0131rmaya sahip. Oturum d\u00fczenleyicileri, do\u011fru k\u00f6pr\u00fcye ve parolaya sahip olan kat\u0131l\u0131mc\u0131lar\u0131 bile engelleyebiliyor, kay\u0131t yap\u0131lmas\u0131n\u0131 yasaklayabiliyor ve \u00e7ok daha fazlas\u0131n\u0131 yapabiliyor. Gerekti\u011fi takdirde Zoom, \u015firketten trafik \u00e7\u0131kmayacak \u015fekilde ayarlanabiliyor.<\/p>\n

Zoom, bildirilen g\u00fcvenlik a\u00e7\u0131\u011f\u0131 sorunlar\u0131n\u0131 etkin bir \u015fekilde ele al\u0131yor ve yeni \u00f6zellikler eklemektense \u00fcr\u00fcn g\u00fcvenli\u011fine \u00f6ncelik vermeyi<\/a> planlad\u0131\u011f\u0131n\u0131 s\u00f6yl\u00fcyor.<\/p>\n

G\u00fcvenlik a\u00e7\u0131klar\u0131 ve olumsuz y\u00f6nler<\/h3>\n

Zoom, u\u00e7tan uca \u015fifreleme uygulad\u0131\u011f\u0131n\u0131 iddia ediyor, ancak bu iddia tam olarak do\u011fru de\u011fil. U\u00e7tan uca \u015fifreleme sayesinde g\u00f6nderici ve al\u0131c\u0131dan ba\u015fka kimse iletilen veriyi okuyamasa da Zoom, sunucular\u0131nda video verilerinin \u015fifresini \u00e7\u00f6z\u00fcyor<\/a>; \u00fcstelik bunu her zaman \u015firketinizin bulundu\u011fu \u00fclkede de yapm\u0131yor<\/a>.<\/p>\n

Zoom uygulamalar\u0131nda \u00e7e\u015fitli ciddiyet d\u00fczeylerinde g\u00fcvenlik a\u00e7\u0131klar\u0131 ke\u015ffedildi. Zoom\u2019un Windows<\/a> ve macOS<\/a> istemcilerinin, bilgisayar korsanlar\u0131n\u0131n bilgisayar\u0131n hesap verilerini \u00e7almas\u0131na izin veren bir hataya sahip oldu\u011fu bildirildi ve bu hata da d\u00fczeltildi<\/a>. MacOS uygulamas\u0131nda, potansiyel olarak sald\u0131rganlar\u0131n cihaz\u0131 tamamen ele ge\u00e7irmesine izin veren iki hata daha bulunuyor<\/a>.<\/p>\n

Buna ek olarak, \u015fifreyle korunmayan a\u00e7\u0131k konferanslarda \u015f\u00fcpheli yorumlar yay\u0131nlayan ve m\u00fcstehcen i\u00e7erikli ekranlar payla\u015fan \u0130nternet trolleri<\/a> ortaya \u00e7\u0131kt\u0131. Genel olarak konferans\u0131n\u0131z\u0131 d\u00fczg\u00fcn bir \u015fekilde yap\u0131land\u0131rarak<\/a> sorunu \u00e7\u00f6zebilirsiniz, ancak Zoom g\u00fcvenli\u011fi art\u0131rmak i\u00e7in varsay\u0131lan \u015fifre korumas\u0131 da ekledi<\/a>.<\/p>\n

Zoom\u2019daki g\u00fcvenlik sorunlar\u0131yla ilgili haberler sebebiyle b\u00fcy\u00fck oyuncular bu hizmeti k\u00fc\u00e7\u00fcms\u00fcyor. Ancak t\u00fcm hizmetlerin g\u00fcvenlik a\u00e7\u0131klar\u0131 var ve Zoom\u2019un birdenbire pop\u00fclerle\u015fmesi g\u00f6zleri daha fazla \u00fczerine \u00e7ekti.<\/p>\n

Size en uygun uygulamay\u0131 se\u00e7in<\/h2>\n

Tamamen g\u00fcvenli bir video konferans uygulamas\u0131 veya tamamen g\u00fcvenli bir uygulama diye bir \u015fey yok. Dezavantajlar\u0131 i\u015fletmeniz i\u00e7in sorunlu olmayan bir hizmet se\u00e7in. Do\u011fru uygulamay\u0131 se\u00e7menin yaln\u0131zca ilk ad\u0131m oldu\u011funu da unutmay\u0131n.<\/p>\n