Zoom uçtan uca şifrelemeye nasıl geçti?

Zoom güvenliği nasıl gelişiyor, hangi tehditler hala geçerli ve geliştiriciler bunları nasıl ortadan kaldırmayı planlıyor.

Zoom’un RSA Konferansı 2021’deki sunumu, Zoom Bulut Toplantılarında uçtan uca şifrelemeye odaklandı. Şirket, geliştiricilerinin neden bu soruna odaklandığını, aramaları nasıl daha güvenli hale getirmeyi planladıklarını ve kullanıcıların güvenlikle ilgili diğer yeni özelliklerin neler bekleyebileceğini açıkladı.

Biraz tarih

Pandemi, çoğumuzu uzun vadeli uzaktan çalışmaya geçmeye ve telekonferans yazılımı aracılığıyla meslektaşlarımız ve sevdiklerimizle iletişim kurmaya zorladı. Zoom’un yüksek popülaritesi, hem güvenlik uzmanlarının hem de siber suçluların ilgisini çekti ve bunun üzerine birçok kişi, platformun güvenliğinde her şeyin yolunda gitmediğini çabucak öğrendi. Örneğin, yazılımın, saldırganların kameraları ve mikrofonları aracılığıyla kullanıcıları gözetlemesine izin veren güvenlik açıkları içerdiği ve çevrimiçi troller tarafından yapılan baskınların kendi adlarına bile sahip olduğu bulundu: Zoombombing . Zoom’un yanıtı hızlı ve kapsamlıydı, ancak sorunlar devam etti.

Zoom ile ilgili büyük bir yakınma, platformun uçtan uca şifreleme (E2EE) yerine noktadan noktaya şifreleme (P2PE) kullanmasıydı .

E2EE vs P2PE

İlk bakışta, iki sistem benzer görünebilir: Her ikisi de kullanıcıların değiş tokuş ettiği verileri şifreler. Ancak P2PE ile sunucu, kullanıcıların mesajlarına erişebilirken, E2EE gönderenin cihazındaki bilgileri şifreler ve yalnızca alıcının tarafında şifresini çözer. Ancak Zoom geliştiricilerinin konferansta altını çizdiği bu ayrıntının sorun yaratma potansiyeli var:

  • Siber suçlular sunucuyu ihlal edebilir, orada depolanan şifreleme anahtarlarını çalabilir ve gerçek davetlilerin yerlerindeki toplantılara katılabilir veya mesajlarını taklit edebilir;
  • Bulut sağlayıcısının veya Zoom’un fırsatçı çalışanları, anahtarlara erişebilir ve kullanıcıların verilerini çalabilir.

Hiç kimse aile ve arkadaşlarla özel sohbetler yapmak istemez, bırakın gizli iş görüşmelerini, kamuya açık hale getirmeyi. Dahası, bir bilgisayar korsanı çalınan anahtarları yalnızca pasif dinleme için kullansaydı, bunu tespit etmek son derece zor olurdu.

E2EE , bu sorunları , şifre çözme anahtarlarını yalnızca orada ve kullanıcıların cihazlarında depolayarak çözer. Bu, sunucunun hacklenmesinin davetsiz misafirin bir video konferansı dinlemesine izin vermeyeceği anlamına gelir.

Doğal olarak, çoğu kişi Zoom’un mesajlaşma uygulamaları için zaten fiili bir standart olan E2EE’ye geçmesini istiyor .

Zoom’da uçtan uca şifreleme: Oyunun durumu

Geliştiriciler eleştirileri dinledi ve E2EE’yi uygulamak da dahil olmak üzere platform güvenliğini artırmak için adımlar attı.

Zoom, 2020 sonbaharından bu yana sesli ve görüntülü aramaların yanı sıra sohbet için E2EE’yi kullanıyor . Etkinleştirildiğinde Zoom, katılımcıların verilerini sözde konferans şifreleme anahtarıyla koruyor. Anahtar, Zoom sunucularında saklanmaz, bu nedenle geliştiriciler bile konuşmaların içeriğinin şifresini çözemez. Platform yalnızca şifrelenmiş kullanıcı kimliklerini ve arama süresi gibi bazı toplantı meta verilerini depolar.

Geliştiriciler, dış bağlantılara karşı koruma sağlamak için toplantı liderinin uygulamasının otomatik olarak diğer kullanıcılara gönderdiği bir sinyal olan Heartbeat özelliğini de tanıttı. Diğer şeylerin yanı sıra, toplantı liderinin geçerli şifreleme anahtarını gönderdiği katılımcıların bir listesini içerir. Listede olmayan biri toplantıya katılırsa, herkes bir şeylerin yanlış olduğunu hemen anlar.

Davetsiz katılımcıları dışarıda tutmanın bir başka yolu, tüm konuklar toplandıktan sonra toplantıyı kilitlemektir (uygun başlıklı Toplantıyı Kilitle özelliğini kullanarak). Toplantıları manuel olarak kilitlemeniz gerekir, ancak bir kez kilitlediğinizde, toplantı kimliğine ve parolasına sahip olsalar bile başka hiç kimse katılamaz.

Zoom ayrıca şifreleme anahtarının değiştirilmesiyle ortadaki adam saldırılarına karşı da koruma sağlar. Dışarıdan birinin dinlemediğinden emin olmak için, toplantı lideri herhangi bir zamanda mevcut toplantı şifreleme anahtarına dayalı bir güvenlik kodu oluşturmak için bir düğmeye tıklayabilir. Kod, diğer toplantı katılımcıları için de otomatik olarak oluşturulur. Liderin bu kodu yüksek sesle okuması kalır; herkesinkiyle eşleşiyorsa, o zaman herkes aynı anahtarı kullanıyordur ve her şey yolundadır.

Son olarak, toplantı lideri toplantıdan ayrılırsa ve başka biri devralırsa, uygulama aktarmayı bildirir. Çağrıdaki diğer kişilere şüpheli görünüyorsa, her şeyi çözmek için çok gizli görüşmeleri duraklatabilirler.

Tabii ki, sadece arkadaşlarınızla bir Zoom partisi veriyorsanız, muhtemelen tüm bu güvenlik mekanizmalarını kullanmanıza gerek yoktur. Ancak sanal masada iş (veya diğer) sırlar varsa, bu koruma araçları gerçekten işe yarayabilir, bu nedenle önemli toplantıların katılımcıları bunların farkında olmalı ve bunları nasıl kullanacaklarını bilmelidir.

Yeniliklere rağmen, Zoom geliştiricileri hala yapacak çok şeyleri olduğunu kabul ediyor. RSA 2021 konuşması, Zoom’un geliştirme yoluna da ışık tuttu.

Gelecekte Zoom için neler var?

Geliştiriciler, henüz etkili karşı önlemleri uygulamadıkları bir dizi tehdit belirlediler. Biri, davetli kullanıcılar gibi davranan kişiler tarafından toplantıların dışarıdan sızmasıdır. Bir diğeri, E2EE korumasının, saldırganların arama süresi, katılımcıların adları ve IP adresleri gibi bazı meta verileri öğrenmesini engellememesidir. Programdaki güvenlik açıklarını da riskler listesinden çıkaramayız; teorik olarak, siber suçlular Zoom’a kötü amaçlı kod yerleştirebilir.

Bu tehditleri göz önünde bulunduran Zoom geliştiricileri , aşağıdaki hedefleri sıraladı :

  • Davet edilen ve onaylanan katılımcılar dışında herkesin etkinliklere erişmesini engelleyin;
  • Bir etkinlikten çıkarılan katılımcıların etkinliğe yeniden bağlanmasını önleyin;
  • Toplantıya kabul edilmeyen herhangi birinin müdahalesini önlemek;
  • Gerçek katılımcıların kötüye kullanımları Zoom’un güvenlik ekibine bildirmesine izin verin.

Yol haritası

Bu hedeflere ulaşmak için geliştiriciler dört aşamalı bir yol haritası oluşturdu. Birinci aşama zaten uygulandı. Söylediğimiz gibi, konferans şifreleme anahtarını yönetme sistemini, yalnızca kullanıcıların cihazlarında depolanacak şekilde değiştirdiler ve ayrıca toplantılara katılan yabancılara karşı koruma araçlarını geliştirdiler.

İkinci aşamada , Zoom sunucularına bağlı olmayan, bunun yerine bağımsız kimlik sağlayıcıları (IDP’ler) içeren tek oturum açma (SSO) teknolojisine dayalı olacak kullanıcı kimlik doğrulamasını sunmayı planlıyorlar.

Sonuç olarak, olası bir davetsiz misafir, Zoom sunucusunun kontrolünü ele geçirse bile bir kullanıcının kimliğini taklit edemez. Birisi davetliymiş gibi davranarak ancak yeni bir ortak anahtarla bir etkinliğe katılırsa, diğerleri potansiyel tehdide karşı uyarılır.

Üçüncü aşama , tüm kullanıcıların herhangi bir kimlik hakkında tutarlı bir görüşe sahip olmasını ve kimliğe bürünme saldırılarını tespit etmesini sağlamak için tüm kimlikleri kimliği doğrulanmış, denetlenebilir bir veri yapısında saklayan şeffaflık ağacı konseptini tanıtacaktır . Zoom’un amacı, platformun ortadaki adam saldırılarına karşı korumasını güçlendirmektir.

Son, dördüncü aşamada , geliştiriciler, bir kullanıcı yeni bir cihazdan bağlandığında kimliğin kontrol edilmesini kolaylaştırmayı planlıyor. Yeni bir gadget’ı bağlamak için kullanıcının, örneğin güvenilir bir telefon veya bilgisayarın ekranındaki bir QR kodunu tarayarak meşruiyetini doğrulaması gerekir. Bu, bir saldırganın bir cihazı başka birinin hesabına bağlamasını önleyecektir.

fedakarlık olmadan güvenlik

Ek güvenlik mekanizmalarını uygularken, bunların sıradan kullanıcıları nasıl etkileyeceğini düşünmek önemlidir. Zoom’un geliştiricileri de bu yönü düşünüyor. Örneğin önerilen bir yenilik, kişisel cihaz bulutlarının kullanılmasıdır. Bu tür bir teknoloji, bir hesaba yeni gadget’lar ekleme sürecini basitleştirirken, hesabın güvenliğini sağlamaya yardımcı olacaktır.

Örneğin, Zoom aramaları için normalde bir bilgisayar kullanıyorsanız ancak ardından akıllı telefonunuzdan indirip oturum açarsanız, Zoom’u bilgisayarınızda bir sonraki açışınızda yeni bir gadget’ın oturum açtığını görürsünüz. Onaylarsanız, her ikisi de cihazlar tek bir buluta bağlanacak ve diğer toplantı katılımcıları, araya giren değil, siz olduğunuzu bilecek.

Cihaz bulutu ayrıca hesabınızda hangi gadget’ların oturum açtığını kontrol etmenize ve herhangi birinin güvenilir durumunu iptal etmenize olanak tanır. Bunun da ötesinde, geliştiriciler toplantı ortasında E2EE’ye geçiş seçeneği ve diğer birçok kullanışlı özellik eklemeyi planlıyor .

Zoom daha güvenli hale gelecek mi?

Kısa cevap evet, Zoom’un güvenliği gelişmeye devam ediyor. Şirket, dış müdahalelere karşı koruma sağlamak için şimdiden çok şey yaptı ve geliştirme aşamasında daha da fazla koruma aracına sahip. Ayrı bir notta, Zoom’un güvenliği kullanım kolaylığı ile harmanlamaya çalıştığını görmek güzel.

Tabii ki, çok şey Zoom kullanıcılarına bağlıdır. Çevrimiçi olan her şeyde olduğu gibi, video konferans da sağduyu ve mevcut koruma mekanizmaları hakkında bilgi gerektirir. Bir şey şüpheli görünüyorsa ve bir veri sızıntısını dışlayamıyorsanız, platformdan gelen uyarıları dikkate almak ve gizli görüşmelerden kaçınmak önemlidir.

Tepkiniz ne?

guest
0 Yorum
Inline Feedbacks
View all comments