Türkiye'de daha önce Xpeech markasıyla dağıtımı yapılan telefon santrali modelleri Yeastar üretimi olan ürünlerdir. Yeastar'ın aldığı karar gereği OEM satışını…
Zoom Güvenli mi sorusu son zamanlarda iyice yaygınlaşan video konferans talebiyle daha da fazla gündeme gelmeye başladı.
Dünyanın dört bir yanında uygulanan sosyal mesafe ve karantina önlemleriyle, insanlar hızla etkili iletişim araçları aramaya başladılar. Zoom’un kanıtlanmış kullanım kolaylığı ve cazip fiyatı ile Zoom hızla popülerlik kazandı, ancak insanlar Zoom geliştiricilerinin incelemeleri için tam olarak hazırlanmadığını keşfetti. Çok fazla kullanılınca, Zoom’un eksik olduğu noktalar hızla ortaya çıktı. Şirket, iş yükündeki muazzam artışı sorunsuz bir şekilde aştı ve güvenlik araştırmacılarının bulguları üzerinde hızla harekete geçti. Ancak, herhangi bir hizmette olduğu gibi, kod güncellemeleri her şikayeti kapsamaz, ancak bazı sorunlar akılda bulundurulmaya değer.
Bu makalede, Zoom kullanıcıları için 10 güvenlik ve gizlilik ipucunu açıklayacağız.
Hesabınızı koruyun
Zoom hesabı aynı diğer hesaplarınız gibidir ve hesabınızı oluştururken temel hesap korumaları uygulamanız gerekir. Güçlü ve benzersiz bir şifre kullanın ve hesabınızı, hesap verileriniz sızdırılmış olsa bile (ve daha önce hiçbir şey olmamışsa) hesabınızın saldırıya uğramasını ve daha iyi korunmasını sağlayan iki faktörlü kimlik doğrulama ile hesabınızı koruyun. Zoom’a özgü en az bir güvenlik önlemi daha vardır: Kaydolduktan sonra, oturum açma adınıza ve şifrenize ek olarak bir Kişisel Toplantı Kimliği alırsınız. Bu kimlik kodunu başkalarıyla paylaşmaktan kaçının. Bu Kişisel Toplantı Kimlik Kodu ile halka açık toplantılar oluşturma olanağı sunduğundan, Zoom’a sızmak çok kolaydır. Kodunuz sızarsa, bu kodu bilen herkes yaptığınız herhangi bir sohbete katılabilir. Bu nedenle, bu bilgileri dikkatlice paylaşmak çok önemlidir.
Zoom’a kaydolmak için iş e-postanızı kullanın
Bu yazma sırasında henüz düzeltilmemiş olan Zoom’daki ilginç bir güvenlik açığı, aynı etki alanına sahip e-postaların –@gmail.com veya yahoo.com gibi yaygın olarak kullanılan bir etki alanı adı değilse – bir ve bu gruptaki iletişim bilgileri, şirketin her bir üyeyle paylaşılmasına neden olur. Örneğin, bu, Kazakistan’da genel bir e-posta hizmeti olan @ yandex.kz ile biten e-posta adreslerini kullanarak Zoom hesaplarını açan kullanıcılara oldu ve bu, daha küçük e sağlayan daha küçük etki alanlarıyla oluşturulan e-posta adreslerinde tekrar olabilir -posta hizmetleri.
Bu nedenle, Zoom’a kaydolmak için iş e-postanızı kullanın. İşletmenizin iletişim bilgilerini gerçek iş arkadaşlarınızla paylaşmak sizin için sorun olmamalı. Bir işletme e-postanız yoksa, kişisel iletişim bilgilerinizi gizli tutmak için iyi bilinen, herkese açık bir alan kullanın.
Sahte Zoom uygulamalarına karşı dikkatli olun
Kaspersky güvenlik araştırmacısı Denis Parinov, bu Mart ayında Webex, GoToMeeting ve Zoom gibi popüler video konferans hizmetlerinin adlarını içeren kötü amaçlı dosya sayısının, geçen yıldan bu yana aydan beri bulduğu rakamlara göre ortalama üç kat arttığını açıkladı. Bu, saldırganların Zoom ve diğer benzeri uygulamaların popülaritesine bağlı olarak kötüye kullanımlarını artıracağı ve kötü amaçlı yazılımları video konferans istemcileri olarak gizlemeye çalışacağı anlamına gelir.
Dikkatli olun! Zoom’u Mac’inize ve PC’nize güvenle indirmek için resmi web sitesini (zoom.us) kullanın ve mobil cihazlarınız için App Store’u veya Google Play’i kullanın.
Konferans bağlantılarını paylaşmak için sosyal medyayı kullanmayın
Bazen herkese açık etkinlikler yapmak istersiniz ve pek çok yerdeki çevrimiçi etkinlikler günümüzde mevcut olan tek genel etkinlik türüdür. Bu yüzden Zoom giderek daha fazla insanı kendine çekiyor. Ancak, etkinliğiniz herkese açık olsa bile, etkinlik bağlantısını sosyal medyada paylaşmaktan kaçınmalısınız.
Bu makaleyi okumadan önce Zoom hakkında bir şeyler biliyorsanız, muhtemelen Zoombombing denilen şeyi duymuşsunuzdur. Bu, Techcrunch gazetecisi Josh Constine’nin rahatsız edici içerikli Zoom konuşmalarını izleyen insanlar için bulduğu bir terimdir. Şu anda, her ikisi de trollerle popüler olan Discord ve 4Chan’deki çeşitli konuşmalarda, insanlar basacakları bir sonraki hedefi tartışıyorlar.
Peki, bu troller yaklaşan etkinlikler hakkında nereden bilgi alıyor? Doğru cevap: bu bilgiyi sosyal medyada buluyorlar. Bu nedenle, Zoom konuşmalarınızın bağlantılarını herkese açık olarak paylaşmaktan kaçının. Ancak yine de genel bir bağlantıyı herhangi bir nedenle paylaşmak istiyorsanız, Kişisel Toplantı Kimlik Kodunu Kullan seçeneğini etkinleştirmediğinizden emin olun.
Her toplantıyı bir parola ile koruyun
Arama için bir parola ayarlamak üzere, yalnızca aramanıza katılmak istediğiniz kişilerin katılabilmesini sağlamanın en iyi yolu. Yakın zamanda, Zoom iyi bir adım attı ve varsayılan olarak şifre koruması getirdi. Ancak, konuşma şifresini Zoom hesabı şifrenizle karıştırmayın. Görüşme bağlantıları gibi, konuşma şifreleri de hiçbir zaman sosyal medyada veya diğer genel ağlarda paylaşılmamalıdır. Aksi takdirde, aramalarınızı trollerden korumak için gösterdiğiniz tüm çabalar boşa gidecektir.
Bekleme Odasını Etkinleştir
Görüşmelerde size daha fazla kontrol sağlayan ve son zamanlarda varsayılan olarak etkinleştirilen bir başka ayar olan Bekleme Odası özelliği, görüşmeci her katılımcıyı onaylayana kadar katılımcıları bir “bekleme odasında” tutar. Bu, birisi şifreye erişmiş olsa bile, katılmaması gereken çağrıya kimlerin katılabileceğini ve katılamayacağını denetleme yetkisi verir. Bu özellik ayrıca istenmeyen bir kişiyi konuşmadan bekleme odasına atmanızı sağlar. Bu nedenle, bekleme odası kutusunu işaretli olarak bırakmanızı öneririz.
Ekran paylaşma özelliklerine dikkat edin
Her normal video konferans uygulaması, bir katılımcının ekranlarını başkalarıyla paylaşmasına olanak tanıyan bir ekran paylaşma özelliği sunar ve Zoom bu uygulamalardan biridir. Bu nedenle, bazı ayarlara dikkat etmek yararlıdır:
· Ekran paylaşımını görüşmeci ile sınırlayın veya görüşmedeki herkese izin verin. Başkalarının kendi ekranlarını paylaşmasını istemiyorsanız, hangi seçeneği seçeceğinizi bilirsiniz;
Birden fazla katılımcının ekranlarını aynı anda paylaşmasına izin verin. Toplantılarınızın neden bu özelliğe ihtiyaç duyacağını hemen göremiyorsanız, büyük olasılıkla bu özelliğe asla ihtiyacınız olmayacaktır. Ancak, etkinleştirmeniz gerekiyorsa, bu özelliğin göz önünde bulundurulması yararlı olacaktır.
Mümkünse Web istemcisine bağlı kalın
Çeşitli Zoom istemci uygulamalarının farklı güvenlik açıkları ortaya çıktı. Bazı sürümler, bilgisayar korsanlarının cihazın kamerasına ve mikrofonuna erişmesine izin verirken, bazı sürümler web sitelerinin izinleri olmadan kullanıcılara çağrı eklemesine izin verir. Zoom, yukarıda bahsedilen sorunlarla ilgili diğer benzer sorunları çözmek için hızlıydı ve kullanıcı verilerini Facebook ve LinkedIn ile paylaşmayı durdurdu. Bununla birlikte, uygun bir güvenlik değerlendirmesinin yokluğunda, Zoom uygulamalarının savunmasız olması muhtemeldir ve üçüncü taraflarla veri paylaşımı gibi işlemleri kullanabilir.
Bu nedenle, mümkünse, uygulamayı cihazınıza yüklemek yerine Zoom’un Web arayüzünü kullanmanızı öneririz. Web sürümü tarayıcısı korumalı alan etki alanında bulunur ve yüklü bir uygulamanın izinlerine sahip değildir. Bu, neden olabileceği potansiyel hasar miktarını sınırlar.
Bununla birlikte, bazı durumlarda, Web arayüzünü kullanmak isteseniz bile, Zoom’un yükleyiciyi ilerlettiğini ve indirdiğini ve istemciyi ayarlamak için toplantıya bağlanmak dışında başka bir seçenek olmadığını görebilirsiniz. Bu durumda, Zoom’un yüklü olduğu cihaz sayısını en az biriyle sınırlandırabilirsiniz. Yükleyeceğiniz cihazın yedek bir akıllı telefon veya yedek bir dizüstü bilgisayar olması. Kişisel bilgileri olmayan bir cihaz seçin. Biraz paranoyak gibi gelebilir, ancak daha sonra üzülmek yerine güvenliği geride bırakmak en iyisidir.
Bu arada, şirketiniz daha önce Lync olarak bilinen Skype Kurumsal’ı zaten kullanıyorsa, başka bir seçeneğiniz vardır. Skype Kurumsal, Zoom ile uyumludur ve yukarıda belirtilen sorunlar olmadan Zoom konferans görüşmelerini de yapabilir.
Zoom’un uçtan uca şifreleme reklamlarına inanmayın
Zoom sadece fiyatları ve özellik setiyle değil, aynı zamanda ürünün uçtan uca şifrelemesini başlattığı için de pazar payı kazandı. Uçtan uca şifreleme ile, sizinle aradığınız kişiler arasındaki tüm iletişim, yalnızca siz ve görüşmedeki kişilerin şifresini çözebilecek şekilde şifrelenir. Servis sağlayıcılar da dahil olmak üzere diğer tüm tarafların şifresi çözülemez.
Kulağa hoş gelse de, güvenlik araştırmacılarının işaret ettiği gibi neredeyse imkansız. Zoom durumunda, diğer uç Videonun şifreli olduğu anlamına gelen Zoom sunucusu anlamına gelir, ancak Zoom çalışanları ve potansiyel kolluk kuvvetleri erişime sahiptir. Sohbetlerdeki mesajlar gerçekten uçtan uca şifreli görünüyor. Diğer popüler video konferans hizmetleri de uçtan uca şifrelemede olmadığı için şifreleme eksikliği Zoom’u kullanmayı bırakmanın bir nedeni değildir. Bu nedenle, kişisel veya ticari sırları Zoom üzerinde tartışmaktan kaçınmalısınız.
İnsanların neler görebileceğini veya duyabileceğini düşünün
Bu, yalnızca Zoom için değil, tüm video konferans hizmetleri için geçerlidir. Röportaja başlamadan önce, katıldığınızda insanların görecek veya duyacaklarını düşünün. Evde yalnız olsanız bile, görüşeceğiniz insanlar dışarı çıkmış gibi giyinmenizi bekleyebilir. Temel bakım muhtemelen iyi bir fikir olsa da, ekranınızı paylaşmayı planlıyorsanız, aynı şey ekranınız için de geçerlidir.
Bu nedenle, Zoom’u arayan veya patronunuzun bilmediği bir iş arama yapan biri için internetten sürpriz bir hediye almış olsanız da, başkalarının görmesini istemediğiniz pencereleri kapatın. Hayal gücünüze başkalarının görmesini istemeyeceğiniz başka örnekler de veriyoruz.
Zoom Güvenilir mi? Güvenlik Ayarları Nelerdir?
Kendinizi izole etmek sıkıcı ve yalnız hissedebilirsiniz. Biraz da olumlu tarafından bakmak lazım, geniş bant, video konferansı ve birçok insan uzaktan çalışma fırsatı bulmadan önce hayatın nasıl olduğunu düşünün. Zoom gibi uygulamalara sahip olmaktan mutluluk duyuyoruz ve şimdi uygulamayı nasıl doğru kullanacağınızı biliyorsunuz.
Zoom Güvenlik Açığı Bülteni
ZSB | Tarih | Başlık | önem | CVE (varsa) |
---|---|---|---|---|
ZSB-21022 | 12/14/2021 | Windows için Keybase İstemcisinde keyfi komut yürütme | Orta | CVE-2021-34426 |
ZSB-21021 | 12/14/2021 | Toplantılar için Zoom İstemci sohbetinde Sunucu Tarafı Sahtecilik İsteği | Orta | CVE-2021-34425 |
ZSB-21020 | 24.11.2021 | Zoom Client ve diğer ürünlerde bellek maruziyetini işleme | Orta | CVE-2021-34424 |
ZSB-21019 | 24.11.2021 | Zoom Client ve diğer ürünlerde arabellek taşması | Yüksek | CVE-2021-34423 |
ZSB-21018 | 11/09/2021 | Windows için Keybase Client’ta dosya adlarının yol geçişi | Yüksek | CVE-2021-34422 |
ZSB-21017 | 11/09/2021 | Android ve iOS için Keybase istemcilerinde tutulan patlatılmış mesajlar | Düşük | CVE-2021-34421 |
ZSB-21016 | 11/09/2021 | Yakınlaştır Windows kurulumu yürütülebilir imza atlaması | Orta | CVE-2021-34420 |
ZSB-2115 | 11/09/2021 | Zoom Linux istemcisinde HTML enjeksiyonu | Düşük | CVE-2021-34419 |
ZSB-21014 | 11/09/2021 | Şirket içi web konsolunda ön-auth Null işaretçisi çökmesi | Orta | CVE-2021-34418 |
ZSB-21013 | 11/09/2021 | MMR’de web konsolu aracılığıyla kök ayrıcalıklarıyla kimliği doğrulanmış uzaktan komut yürütme | Yüksek | CVE-2021-34417 |
ZSB-21012 | 30.09.2021 | Webportal aracılığıyla Şirket İçi Görüntülere Karşı Uzaktan Kod Yürütme | Orta | CVE-2021-34416 |
ZSB-21011 | 30.09.2021 | Birçok ayırmaya neden olan bir PDU kullanarak ZC çökmesi | Yüksek | CVE-2021-34415 |
ZSB-21010 | 30.09.2021 | Webportal ağ proxy yapılandırması aracılığıyla Meeting Connector sunucusuna karşı Uzaktan Kod Yürütme | Orta | CVE-2021-34414 |
ZSB-21009 | 30.09.2021 | Zoom MacOS Outlook Eklenti Yükleyici Yerel Ayrıcalık Yükseltme | Düşük | CVE-2021-34413 |
ZSB-21008 | 30.09.2021 | Windows Installer Yerel Ayrıcalık Yükseltmesi için Yakınlaştır | Orta | CVE-2021-34412 |
ZSB-21007 | 30.09.2021 | Zoom Rooms Yükleyici Yerel Ayrıcalık Yükseltme | Orta | CVE-2021-34411 |
ZSB-21006 | 30.09.2021 | Microsoft Outlook (MacOS) Yükleyici Kök Uygulama Ayrıcalık Yükseltme için Yakınlaştırma Eklentisi | Orta | CVE-2021-34410 |
ZSB-2105 | 30.09.2021 | Zoom İstemci Yükleyici Yerel Ayrıcalık Yükseltme | Yüksek | CVE-2021-34409 |
ZSB-21004 | 30.09.2021 | Yakınlaştır MSI Yükleyici Bir Bağlantı Kullanarak Yükseltilmiş Yazma | Yüksek | CVE-2021-34408 |
ZSB-21003 | 30.09.2021 | Windows Yakınlaştırma Yükleyici Dijital İmza Atlama | Yüksek | CVE-2021-33907 |
ZSB-21002 | 13.08.2021 | XMPP mesajından statik arabellek denetlenmeyen yazmadan yığın taşması | Yüksek | CVE-2021-30480 |
ZSB-2101 | 03/26/2021 | Uygulama Penceresi Ekran Paylaşımı İşlevselliği | Orta | CVE-2021-28133 |
ZSB-20002 | 08/14/2020 | Yakınlaştırma Paylaşım Hizmetinde Windows DLL | Yüksek | CVE-2020-9767 |
ZSB- 2001 | 05/04/2020 | Windows için Yakınlaştır BT Yükleyici | Yüksek | CVE-2020-11443 |
ZSB-19003 | 07/12/2019 | ZoomOpener arka plan programı | Yüksek | CVE-2019-13567 |
ZSB-19002 | 07/09/2019 | Varsayılan Video Ayarı | Düşük | CVE-2019-13450 |
ZSB-19001 | 07/09/2019 | Hizmet reddi saldırısı – MacOS | Düşük | CVE-2019-13449 |
ZSB-18001 | 30.11.2018 | Yetkisiz Mesaj İşleme | Yüksek | CVE-2018-15715 |