Zoom\u2019un 2021 RSA Konferans\u0131\u2019nda yapt\u0131\u011f\u0131 sunumun odak noktas\u0131nda Zoom Cloud Meetings\u2019teki u\u00e7tan uca \u015fifreleme yer ald\u0131. \u015eirket, geli\u015ftiricilerinin bu konuya odaklanma nedenlerini, aramalar\u0131n daha g\u00fcvenli hale getirilmesine dair planlar\u0131n\u0131 ve g\u00fcvenlik konusunda kullan\u0131c\u0131lar\u0131 ne gibi yeni \u00f6zelliklerin bekledi\u011fini a\u00e7\u0131klad\u0131.<\/p>\n
Pandemi nedeniyle \u00e7o\u011fumuz, uzun s\u00fcreler boyunca uzaktan \u00e7al\u0131\u015fmak, i\u015f arkada\u015flar\u0131m\u0131z ve sevdiklerimizle telekonferans yaz\u0131l\u0131mlar\u0131 \u00fczerinden ileti\u015fim kurmak zorunda kald\u0131k. Sahip oldu\u011fu y\u00fcksek pop\u00fclarite Zoom\u2019un, hem g\u00fcvenlik uzmanlar\u0131n\u0131n hem de siber su\u00e7lular\u0131n ilgisini \u00e7ekmesine neden oldu ve bu da platformun, g\u00fcvenlik konusunda san\u0131ld\u0131\u011f\u0131 kadar iyi olmad\u0131\u011f\u0131n\u0131n herkes taraf\u0131ndan bilinmesine yol a\u00e7t\u0131. \u00d6rne\u011fin yaz\u0131l\u0131mda, sald\u0131rganlar\u0131n, kamera ve mikrofonlar \u00fczerinden kullan\u0131c\u0131lar\u0131 g\u00f6zetlemesine<\/a> izin veren g\u00fcvenlik a\u00e7\u0131klar\u0131 bulundu\u011fu ortaya \u00e7\u0131kt\u0131. Hatta internet trollerinin yap\u0131lan g\u00f6r\u00fc\u015fmeleri basmas\u0131 Zoombombing<\/a> ad\u0131nda yeni bir kavram\u0131n do\u011fmas\u0131na neden oldu. Her ne kadar Zoom\u2019un bu konuya yan\u0131t\u0131 olduk\u00e7a h\u0131zl\u0131 ve geni\u015f kapsaml\u0131 olsa da sorunlar devam etti.<\/p>\n Kullan\u0131c\u0131lar\u0131n Zoom hakk\u0131ndaki en b\u00fcy\u00fck \u015fikayeti, platformun u\u00e7tan uca \u015fifreleme (E2EE) yerine noktadan noktaya \u015fifreleme (P2PE) kullanmas\u0131yd\u0131<\/a>.<\/p>\n \u0130lk bak\u0131\u015fta, iki sistem de birbirine benzer g\u00f6r\u00fcnebilir: Her ikisi de kullan\u0131c\u0131lar\u0131n veri de\u011fi\u015fimlerini \u015fifreliyor. P2PE\u2019de sunucu, kullan\u0131c\u0131 mesajlar\u0131na eri\u015febilirken, E2EE\u2019de g\u00f6nderenin cihaz\u0131ndaki bilgiler \u015fifrelenir ve \u015fifre yaln\u0131zca al\u0131c\u0131 taraf\u0131nda \u00e7\u00f6z\u00fcl\u00fcyor. Ancak Zoom geli\u015ftiricilerinin konferansta alt\u0131n\u0131 \u00e7izdi\u011fi \u00fczere, bu detaydan kaynaklanan baz\u0131 potansiyel sorunlar da var:<\/p>\n B\u0131rak\u0131n gizli i\u015f g\u00f6r\u00fc\u015fmelerini, ailesi ve arkada\u015flar\u0131yla yapt\u0131\u011f\u0131 \u00f6zel konu\u015fmalar\u0131n dahi herkes taraf\u0131ndan g\u00f6r\u00fclmesini hi\u00e7 kimse istemez. Ayr\u0131ca, bir hacker \u00e7ald\u0131\u011f\u0131 \u015fifreleme anahtar\u0131n\u0131 yaln\u0131zca pasif dinleme amac\u0131yla kullasayd\u0131, bu durumun tespit edilmesi daha da zor olurdu.<\/p>\n Bu sorunlar<\/a> E2EE\u2019de \u015fifre \u00e7\u00f6zme anahtarlar\u0131n\u0131n yaln\u0131zca kullan\u0131c\u0131lar\u0131n cihazlar\u0131nda saklanmas\u0131yla \u00e7\u00f6z\u00fcl\u00fcr. Yani bu sunucu hacklense dahi, video konferanslar\u0131n davetsiz misafirler taraf\u0131ndan dinlenemeyece\u011fi anlam\u0131na da gelir.<\/p>\n Do\u011fal olarak bir\u00e7ok ki\u015fi, Zoom\u2019un, mesajla\u015fma uygulamalar\u0131 i\u00e7in halihaz\u0131rda bir standart<\/a> say\u0131lan E2EE\u2019ye ge\u00e7mesini istiyor.<\/p>\n <\/strong><\/p>\n Geli\u015ftiriciler ele\u015ftirileri dikkate ald\u0131 ve E2EE\u2019nin uygulanmas\u0131 da dahil olmak \u00fczere, platformun g\u00fcvenli\u011finin art\u0131r\u0131lmas\u0131na y\u00f6nelik baz\u0131 ad\u0131mlar att\u0131.<\/a><\/p>\n Zoom<\/a> 2020 sonbahar\u0131ndan bu yana sohbetlerin yan\u0131 s\u0131ra sesli ve g\u00f6r\u00fcnt\u00fcl\u00fc aramalar i\u00e7in de E2EE\u2019yi kullan\u0131yor. Bu \u015fifreleme \u00f6zelli\u011finin etkinle\u015ftirilmesi halinde Zoom, kat\u0131l\u0131mc\u0131lar\u0131n verilerini konferans \u015fifreleme anahtar\u0131 ad\u0131 verilen bir anahtarla koruyor. Anahtar, Zoom sunucular\u0131nda saklanmad\u0131\u011f\u0131 i\u00e7in konu\u015fmalardaki i\u00e7eri\u011fin \u015fifresi geli\u015ftiriciler taraf\u0131ndan bile \u00e7\u00f6z\u00fclemiyor. Platform yaln\u0131zca \u015fifrelenmi\u015f olarak kullan\u0131c\u0131 kimliklerini ve arama s\u00fcresi gibi g\u00f6r\u00fc\u015fmelere ait meta verileri sakl\u0131yor.<\/p>\n Bunun yan\u0131 s\u0131ra geli\u015ftiriciler, Heartbeat ad\u0131n\u0131 verdikleri, toplant\u0131y\u0131 y\u00f6neten ki\u015finin uygulamas\u0131n\u0131n di\u011fer kullan\u0131c\u0131lara otomatik bir sinyal g\u00f6ndererek toplant\u0131lara d\u0131\u015far\u0131dan ba\u011flan\u0131lmas\u0131n\u0131 \u00f6nleyen yeni bir \u00f6zellik tan\u0131tt\u0131lar. Bu \u00f6zellikte di\u011fer bilgilerle birlikte, toplant\u0131y\u0131 y\u00f6neten ki\u015finin ge\u00e7erli \u015fifreleme anahtar\u0131n\u0131 g\u00f6nderdi\u011fi kat\u0131l\u0131mc\u0131lar\u0131n listesi de yer al\u0131yor. Listede olmayan biri toplant\u0131ya kat\u0131l\u0131rsa, bu durum t\u00fcm kat\u0131l\u0131mc\u0131lar taraf\u0131ndan hemen fark ediliyor.<\/p>\n Davetsiz kat\u0131l\u0131mc\u0131lar\u0131 d\u0131\u015far\u0131da tutman\u0131n ba\u015fka bir yolu da, t\u00fcm kat\u0131l\u0131mc\u0131lar toplant\u0131ya kat\u0131ld\u0131ktan sonra Toplant\u0131y\u0131 Kilitle adl\u0131 \u00f6zelli\u011fin kullan\u0131larak toplant\u0131n\u0131n kilitlenmesi. Bu y\u00f6ntemde toplant\u0131y\u0131 manuel olarak kilitlemeniz gerekiyor ve toplant\u0131 bir kez kilitlendi\u011finde, toplant\u0131 kimli\u011fine ve parolas\u0131na sahip olsa bile kimsenin toplant\u0131ya kat\u0131lmas\u0131 m\u00fcmk\u00fcn olmuyor.<\/p>\n Zoom ayr\u0131ca, \u015fifreleme anahtar\u0131 de\u011fi\u015fimi ile man-in-the-middle sald\u0131r\u0131lar\u0131na<\/a> kar\u015f\u0131 da koruma sa\u011fl\u0131yor. Toplant\u0131y\u0131 y\u00f6neten ki\u015fi, toplant\u0131n\u0131n d\u0131\u015far\u0131dan biri taraf\u0131ndan dinlenmedi\u011finden emin olmak i\u00e7in rastgele bir anda bir butona basarak mevcut toplant\u0131 \u015fifreleme anahtar\u0131na dayal\u0131 bir g\u00fcvenlik kodu olu\u015fturabiliyor. Kod, di\u011fer toplant\u0131 kat\u0131l\u0131mc\u0131lar\u0131 i\u00e7in de ayn\u0131 \u015fekilde otomatik olarak olu\u015fturuluyor. Toplant\u0131y\u0131 y\u00f6neten ki\u015fiye yaln\u0131zca bu kodu y\u00fcksek sesle okumak kal\u0131yor; kod di\u011fer kat\u0131l\u0131mc\u0131lar\u0131n kodlar\u0131yla e\u015fle\u015fiyorsa, bu herkesin ayn\u0131 anahtara sahip oldu\u011fu ve her \u015fey yolunda oldu\u011fu anlam\u0131na geliyor.<\/p>\n Son olarak, toplant\u0131y\u0131 y\u00f6neten ki\u015finin toplant\u0131dan ayr\u0131lmas\u0131 ve bu rol\u00fcn ba\u015fka birine ge\u00e7mesi durumunda uygulama, bu de\u011fi\u015fimi kat\u0131l\u0131mc\u0131lara bildiriyor. Herhangi \u015f\u00fcpheli bir durum kat\u0131l\u0131mc\u0131lar\u0131n dikkatini \u00e7ekerse, durumu netle\u015fene kadar yapt\u0131klar\u0131 gizli g\u00f6r\u00fc\u015fmeleri duraklatabiliyorlar.<\/p>\n Tabii ki tek yapt\u0131\u011f\u0131n\u0131z arkada\u015flar\u0131n\u0131zla bir Zoom partisi vermekse t\u00fcm bu g\u00fcvenlik mekanizmalar\u0131n\u0131 kullanman\u0131z muhtemelen gerekmez. Ancak oturdu\u011funuz sanal masada ticari (veya ba\u015fka) s\u0131rlar g\u00f6r\u00fc\u015f\u00fcl\u00fcyorsa, bu koruma ara\u00e7lar\u0131 ger\u00e7ekten i\u015fe yarayabilir. Bu nedenle bu koruma ara\u00e7lar\u0131 ve nas\u0131l kullan\u0131lacaklar\u0131n\u0131n, \u00f6nemli toplant\u0131lara kat\u0131lan ki\u015filer taraf\u0131ndan bilinmesi gerekiyor.<\/p>\n Sunulan bir \u00e7ok yenili\u011fe ra\u011fmen katedilecek \u00e7ok yol oldu\u011funu Zoom\u2019un geli\u015ftiricileri de biliyor. RSA 2021\u2019de yap\u0131lan sunum Zoom\u2019un geli\u015fim s\u00fcrecine de \u0131\u015f\u0131k tuttu.<\/p>\n Geli\u015ftiriciler hen\u00fcz etkili \u00f6nlemler uygulayamad\u0131klar\u0131 bir dizi tehdit belirlediler. Bunlardan biri, davetli kullan\u0131c\u0131lar gibi davranan ki\u015filerin toplant\u0131lara s\u0131zmas\u0131. Bir di\u011feri ise, E2EE korumas\u0131n\u0131n sald\u0131rganlar\u0131n arama s\u00fcresi, kat\u0131l\u0131mc\u0131lar\u0131n isimleri ve IP adresleri gibi baz\u0131 meta verileri \u00f6\u011frenmesini engellememesi. Ve tabi ki program\u0131n beraberinde gelen g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131 da riskler listesinden \u00e7\u0131karamay\u0131z; teorik olarak siber su\u00e7lular Zoom\u2019a k\u00f6t\u00fc ama\u00e7l\u0131 kod yerle\u015ftirebilir.<\/p>\n Bu tehditleri g\u00f6z \u00f6n\u00fcnde bulunduran Zoom\u2019un geli\u015ftiricilerinin belirledi\u011fi hedefler aras\u0131nda \u015funlar yer al\u0131yor<\/a>:<\/p>\n Bu hedeflere ula\u015fmak i\u00e7in geli\u015ftiriciler d\u00f6rt a\u015famal\u0131 bir yol haritas\u0131 olu\u015fturdular. Birinci a\u015faman\u0131n<\/strong> uygulama s\u00fcreci tamamland\u0131. Bahsetti\u011fimiz gibi, \u015fifreleme sistemini, konferans \u015fifreleme anahtar\u0131n\u0131n yaln\u0131zca kullan\u0131c\u0131lar\u0131n cihazlar\u0131nda saklanacak \u015fekilde de\u011fi\u015ftirdiler ve toplant\u0131lara d\u0131\u015far\u0131dan kat\u0131l\u0131m\u0131n \u00f6nlenmesine y\u00f6nelik koruma ara\u00e7lar\u0131 geli\u015ftirdiler.<\/p>\n \u0130kinci a\u015famada<\/strong>, Zoom sunucular\u0131na ba\u011fl\u0131 olmak yerine ba\u011f\u0131ms\u0131z kimlik sa\u011flay\u0131c\u0131lar\u0131n\u0131n (IDP\u2019ler) s\u00fcrece dahil oldu\u011fu, tek oturum a\u00e7ma (SSO) teknolojisine dayal\u0131 kullan\u0131c\u0131 kimlik do\u011frulamas\u0131n\u0131 sunmay\u0131 planl\u0131yorlar.<\/a><\/p>\n Bu sayede olas\u0131 bir davetsiz misafirin, Zoom sunucusunun kontrol\u00fcn\u00fc ele ge\u00e7irse bile bir kullan\u0131c\u0131n\u0131n kimli\u011fini taklit edebilmesinin \u00f6n\u00fcne ge\u00e7iliyor. Davetli gibi davranan birinin yeni bir ortak anahtarla etkinli\u011fe kat\u0131lmas\u0131 halinde, di\u011fer kat\u0131l\u0131mc\u0131lar potansiyel tehdide kar\u015f\u0131 uyar\u0131l\u0131yor.<\/p>\nE2EE ve P2PE kar\u015f\u0131la\u015ft\u0131rmas\u0131<\/strong><\/h3>\n
\n
Zoom\u2019daki u\u00e7tan uca \u015fifreleme: Mevcut durum<\/h2>\n
Gelecekte Zoom\u2019u neler bekliyor?<\/h2>\n
\n
Yol haritas\u0131<\/strong><\/h3>\n