Zoom'un gizlilik ve güvenlik sorunları ortaya çıktı, CEO Yuan Zheng: Süreç gerçekten acı verici
COVID-19 salgınının küresel olarak yayılması ve uzak ofis çalışmasına olan talebin artmasıyla birlikte, çok kişili video konferansa odaklanan bir şirket olan Zoom, gittikçe daha fazla ilgi gördü. Sadece küresel kullanıcı sayısı artmakla kalmadı, aynı zamanda geçen yılki halka arzdan bu yana piyasa değeri de trend karşısında yükseldi. İki kez ilgi odağı bir süre aynıydı.
Ancak çok sayıda popüler insan var Zoom çok sayıda kullanıcının ilgisini çekerken, ağ güvenliği uzmanlarının ve medyanın da dikkatini çekiyor.Ürünleri neredeyse 9 yıl önce kuruluşundan bu yana hiç görülmemiş bir gözlem için mikroskop altında.
Sonuç olarak, geçen yarım ay içinde, bu video konferans yazılımı birbiri ardına güvenlik ve gizlilik açıklarına maruz kaldı ve SpaceX ve NASA tarafından dahili olarak devre dışı bırakıldı ve hatta ABD Federal Araştırma Bürosu (FBI), kullanıcılara Zoom'u kullanırken ağa dikkat etmeleri gerektiğini hatırlatmak için bir uyarı yayınladı. Güvenlik konuları, gizli bilgilerin bilgisayar korsanları tarafından ele geçirilmesini önlemek için sosyal medyada konferans bağlantılarını geniş bir şekilde paylaşmayın.
(Kaynak: Threatpost)
İstatistiklere göre Zoom'un yaşadığı sorunlar ve şüpheler şu şekilde özetlenebilir:
- Zoom yazılımının varsayılan ayarları nedeniyle, birisi davet edilmeden video konferansa katılabilir ve kötü niyetle bozabilir, bu da konferansı iptal etmeye zorlayabilir. Bu tür bir aldatmacaya "Zoom bombası (Zoom bombası)" denir;
- Zoom, videonun uçtan uca şifreleme kullandığını iddia ediyor, ancak durum böyle değil;
- Veri toplama ve kullanma şeffaf değildir, şeffaflık raporu yoktur ve Zoom uygulamasının iOS sürümü analiz verilerini kullanıcı izni olmadan Facebook'a gönderir;
- Zoom programının masaüstü sürümünde, Windows ve MacOS kullanıcılarının oturum açma kimlik bilgilerini ortaya çıkarabilecek güvenlik açıkları vardır;
- Kuzey Amerikalı kullanıcılar video görüşmeleri yaptığında, Zoom zaman zaman veri şifreleme anahtarlarını Çin sunucularından alıyor.
Zoom CEO'su Eric Yuan, büyük ve küçük güvenlik açıkları ve şüpheler karşısında 1 Nisan'da resmi olarak özür diledi ve önümüzdeki 90 gün içinde tüm yeni özelliklerin geliştirilmesini askıya alacağına, mevcut sorunları çözmek için tüm mühendislik kaynaklarını kullanacağına ve süreci onaracağına söz verdi. Şeffaf olun ve güven oluşturmak için kullanıcı verileriyle ilgili şeffaflık raporları yayınlayın. Aynı zamanda, mevcut hata ödül programı güçlendirilecek ve her Çarşamba, sorun onarımının en son ilerlemesini topluluğa açıklamak için bir video konuşması yapılacak.
Yuan Zheng mektupta, "Soru sormaya ve geri bildirim sağlamaya devam etmenizi memnuniyetle karşılıyoruz. Öncelikli hedefimiz her zaman kullanıcıları memnun etmek ve platformumuzun güvenliğinin ve gizliliğinin herkesin güvenine layık olmasını sağlamak olmuştur."
Başkalarına zarar veren "yakınlaştırma bombası"
Mart ayının ortalarında, Kuzey Amerika'daki COVID-19 salgını gittikçe daha ciddi hale geldi.Büyük şirketler yalnızca çalışanları evden çalışmaya zorlamakla kalmadı, aynı zamanda birçok okul da uzaktan eğitim vermeye başladı. Zoom daha önce temel olarak iş kullanıcılarını hedeflemiş olsa da, kullanımı ücretsiz bir çevrimiçi video konferans yazılımı olarak, birçok öğretmen tarafından da tercih edilmiş ve bir "bulut sınıfı" aracı olarak kabul edilmiştir.
Bu aslında Zoom için kullanıcı tabanını genişletmek için harika bir fırsattı ancak 15 Mart'tan bu yana birçok medya, Zoom'u kullanarak sınıflara giden öğrencilerin ortaokul öğrencilerinden üniversite profesörlerine ve yoga öğretmenlerine kadar kimliği belirsiz kişilerin dahil olduğu kazalarla karşılaştığını bildirdi. Hiçbiri bağışlanmadı.
Pek çok insan sosyal medyada kusturuyor, sahtekarların kasıtlı olarak bağırdığından, şarkı çaldığından ve bazılarının ırkçı resimler yayınladığından ve hatta açık bir şekilde yetişkin videoları oynattığından, dersleri veya toplantıları kesintiye uğratarak çok kötü bir etkiye neden olduğundan şikayet ediyor.
Dahası, toplantı sahibi Yakınlaştırma ayarlarına aşina değilse, davetsiz misafir engellenmiş olsa bile, yeleğini değiştirecek ve tekrar girecek ve toplantının devam etmesini imkansız hale getirecektir.
Bu fenomen nadir olmadığı için "Zoom bombası (Zoom bombası)" olarak adlandırılır.
Güney Kaliforniya Üniversitesi Rektörü Carol L. Folt, bu davranışı kınayan açık bir mektup yayınladı: "Öğrenciler ve öğretmenlerin bu alçakça davranışa tanık olmaları gerektiğine çok üzülüyorum."
Etkili denetimin yokluğunda ve birçok insan evde aşırı derecede sıkılıyor, bu davranışı taklit etme eğilimi yoğunlaştı. Bir keresinde, birileri bazı forumlara nasıl "Zoom bombası" yapılacağını yazdı.
Pek çok insan, bir toplantıyı bozmak için kasıtlı olarak güçlerini birleştirmek için sosyal platformda silah arkadaşlarını toplamak için acele edecek. Bulut konferanslarının mekanizması, insanların cezalandırmak bir yana onları takip etmesini zorlaştırıyor.
Kötü niyetli sahtekarların suçlu olduğu vurgulanmalıdır, ancak Zoom yazılımının kamuoyunda kınanması mantıksız değildir.
Yakınlaştırma toplantı kimliğinin (9-11 basamaklı) düzenliliği nedeniyle, bir ağ güvenliği uzmanı şifrelenmemiş toplantıları otomatik olarak tarayabilen bir program yazdı ve bir saat içinde yaklaşık 100 tane bulabilirsin.
Şekil | Güvenlik uzmanları, Yakınlaştırma toplantı kimliği otomatik arama aracını yayınladı (Kaynak: Twitter)
Sorun çıkaranlar için, Zoomun varsayılan ayarlarının çoğu, kapıyı açıp onları bir şeyler yapmaya davet etmeye eşdeğerdir; bu, toplantıların davetsiz misafirler tarafından kesintiye uğrama olasılığını büyük ölçüde artırır. Örneğin, revizyondan önceki konferans bağlantısı varsayılan olarak bir parola gerektirmez, herkes katılabilir ve "Diğer katılımcıların ekran içeriğini paylaşmasına izin ver (yöneticinin onayı olmadan)" da varsayılan seçenektir.
Birlikte, bu ikisi bir yabancıya söylemek gibidir: burası benim ev adresim, anahtarsız girebilirsiniz, geldiğinizde kibar olmayın ve burayı evinizmiş gibi davranın. Buna karşılık, Microsoft gibi şirketlerin benzer bulut ofis yazılımları daha kısıtlıdır ve toplantı sahibi genellikle varsayılan olarak ekran paylaşımını ve diğer işlevleri kontrol eder.
Neyse ki, Zoom durumu düzeltti. Birkaç hafta içinde, toplantıları nasıl daha güvenli hale getireceğine ilişkin öğreticiler ve davetsiz kişilerin gelmesini veya toplantı sahibi hazır olmadan önce toplantı şifrelerinin ve bekleme odası seçeneklerinin varsayılan olarak açılmasını içeren iyileştirici önlemleri ve kurulum yönergelerini arka arkaya yayınladı. Sorun çıkarmak için toplantıya girin.
Şekil | FBI, video konferansları işgal eden "Zoom bombaları" ile ilgili kazaların sayısının arttığını belirten bir uyarı yayınladı (kaynak: FBI)
"Zoom bombası" ile daha fazla mücadele etmek için, ABD Adalet Bakanlığı'na bağlı Michigan Doğu Bölgesi Avukat Bürosu, video konferansları yasadışı olarak işgal eden kişilerin eyalet veya federal suçlarla suçlanabileceğini ve tacize uğrayan herkesin FBI'a rapor verebileceğini belirten bir açıklama yaptı. .
Eyalet Savcısı Matthew Schneider, "Zoom bombasının eğlenceli olduğunu mu düşünüyorsunuz? Bir göz atalım ve tutuklandıktan sonra hala eğlenceli olup olmadığını görelim mi?" Dedi.
Uçtan uca şifreleme krizi
"Zoom bombası" kazasında bir adım geriye gidilerek, Zoomun tasarım mantığı boşlukları haklı çıkarılabilir. Sonuçta, salgın patlak vermeden önce, hedef grup şirketin iç çalışanlarıydı. "İzinsiz ekran paylaşımı" ürün mantığı, toplantı katılımcılarına güvenildiği gerekçesiyle haklı çıkarıldı.Ağ güvenliğinin temel konusuna dokunmuyor. Bununla birlikte, daha sonra güvenlik sorunlarına maruz kalması, karşılaştığı testi yeni bir seviyeye çıkardı.
Birincisi, Zoom, videolarının uçtan uca şifrelenmiş olduğunu iddia etmesidir; bu, kullanıcıların iletişim içeriğini üçüncü şahıslardan (Zoom'un kendisi dahil) etkili bir şekilde koruyabilen en özel İnternet iletişim yöntemi olarak kabul edilmektedir.
Ancak The Intercept raporuna göre, aslında Zoom, bazı modlarda metin mesajının bir kısmında ve sesin bir kısmında yalnızca uçtan uca şifreleme kullanıyor ve bu şifreleme yöntemini hayati önem taşıyan video ve telefon iletişimlerinde kullanmıyor.
Aslında Zoom, resmi bir belgede toplantı içeriği için uçtan uca şifreleme kullanacağına söz verdi ve uygulama şifreleme modunda video konferans için kullanıldığında bile, "arayüzün üst kısmında uçtan uca şifreleme kullanılıyor" mesajı var. "
Ancak bir Zoom sözcüsü, video konferansın gerçekten uçtan uca şifreleme kullanıp kullanmadığı sorulduğunda şunları söyledi: Bu aşamada, Zoom platformunda video konferans için uçtan uca şifrelemeyi etkinleştirmek imkansızdır.
Şekil | Ekran görüntüsü, Zoom'un kasıtlı olarak onu kullanırken uçtan uca şifreli bir bağlantı kullandığını vurguladığını gösteriyor, sol üst köşeye bakın (kaynak: The Intercept)
Uçtan uca şifreleme modunda, video ve ses içeriğinin şifrelenmesi gerekir ve yalnızca konferanstaki katılımcılar anahtara sahiptir ve verilerin şifresini çözme yeteneğine sahiptir. Bu süreçte Zoom, şifrelenmiş içeriğe erişebilmesine rağmen, anahtara sahip olmadığı için kilidi açma özelliğine sahip değildir.
Gerçek işlemlerde Zoom, konferansın video içeriğini korumak için TLS'yi (Taşıma Katmanı Güvenliği) kullanır; bu, birçok web sitesi tarafından kullanılan HTTPS aktarım protokolüyle aynıdır. Başka bir deyişle, güvenlik seviyesi, web trafiğinin izlenmesini önlemeye benzer.
Özellikle, bir kullanıcı Zoom'u bir bilgisayarda veya cep telefonunda çalıştırdığında, Zoom sunucusuna giden cihaz terminali şifrelenir. Ancak uçtan uca şifrelemeden farklı olan temel nokta, Zoom'un kendisinin şifrelenmemiş video ve ses içeriğine erişme yeteneğine sahip olmasıdır.
Bu nedenle, TLS şifreleme kullanımı altında, kullanıcının video veya ses içeriğinin WIFI izleme gibi üçüncü şahıslar tarafından çalınması engellenebilir, ancak bu içerik ve veriler Zoom tarafından garanti edilemez.
Bu konuda Zoom, Zoom'un kullanıcı verilerine erişmeyeceğini, çalmayacağını veya satmayacağını söyledi.
Şekil | Zoom'un resmi web sitesi, bağlantının ve verilerin sırasıyla TLS ve AES-256 tarafından şifrelendiğini belirtir (kaynak: Zoom)
Bir Zoom sözcüsü, belgede bahsedilen şirketin "uçtan uca" farklı Zoom uç noktaları arasındaki şifrelemeye atıfta bulunduğunu açıkladı. Bu ifade, Zoom'un sunucusunu, geçmişteki geleneksel anlayışla aynı olmayan bir uç nokta olarak ele almaktır.
Johns Hopkins Üniversitesi'nde bir kriptograf ve bilgisayar bilimi profesörü olan Matthew Green, platformun toplantı sırasında hangi kullanıcının aradığını belirlemesi gerektiğinden, birden fazla katılımcının bulunduğu çevrimiçi videonun uçtan uca şifrelenmesinin zor olduğuna dikkat çekti. , Ve kullanıcının yüksek çözünürlüklü video akışını diğer katılımcılara dağıtın, diğer konuşmayan katılımcılar için ise platform yalnızca düşük çözünürlüklü video akışları sağlayacaktır.
"Uçtan uca şifreleme söz konusuysa, daha fazla adıma ihtiyacınız var." Matthew Green, "Bu mümkün, ancak kolay değil." Apple'ın kendi görüntülü arama yazılımı Facetime'da uçtan uca kullandığına dikkat çekti. Uçtan uca şifreleme. Bu şüpheli aldatmacayla ilgili olarak, Zoom'un uçtan uca şifreleme yorumunun biraz belirsiz olduğunu söyledi.
Sistem oturum açma kimlik bilgileri sızdırılıyor
Tartışmalı şifreleme yöntemine ek olarak, Zoom, Windows ve Mac yazılımının kullanıcı oturum açma kimlik bilgilerini ifşa etme riski altında olduğunu iddia eden birçok bilgi güvenliği uzmanı tarafından da adlandırıldı.
Windows sürümünü örnek olarak alırsak, Zoomun sohbet sistemi URL adresini otomatik olarak tıklanabilir bir bağlantıya dönüştürür, böylece diğer kullanıcılar ilgili web sitesine gidebilir. Örneğin, google.com metni gönderirseniz, bağlantı olarak gönderilir.
Bununla birlikte, Zoom, Windows sisteminin UNC yolunu da bir bağlantıya dönüştürecektir. UNC yolları genellikle bir yerel alan ağındaki yazıcıları bağlamak gibi ağ yollarına, cihazlara veya dosyalara erişmek için kullanılır.
Şekil | Kullanıcının oturum açma kimlik bilgilerini elde etmek için UNC enjeksiyon saldırılarını ve araçlarını kullanın. Sağdaki iletişim kutusundaki bağlantının normal URL adresinden farklı olduğuna dikkat edin. Bu, gizli bir UNC yoludur (Kaynak: Twitter / Hacker Fantastic)
Kullanıcı bu bağlantıya tıklarsa, Windows adresle iletişim kurmak için SMB dosya paylaşım protokolünü kullanacaktır. Varsayılan olarak, sistem cihaza veya ağ klasörüne erişmek için bir kullanıcı adı ve NTLM şifre karması ile oturum açmaya çalışacaktır. Deneyimli bilgisayar korsanları, hesaplamayı tersine çevirmek ve şifreyi kırmak için Hashcat gibi ücretsiz araçları kullanabilir.
Genel olarak konuşursak, birçok yazılım URL ve UNC'yi farklı şekilde ele alır. İkincisi varsayılan olarak tıklanabilir bir bağlantı stiliyle eklenmemeli, ancak birinin yanlışlıkla tıklamasını önlemek için düz metin biçiminde gönderilmelidir.
Güvenlik açığını ilk duyuran güvenlik personeli, yalnızca oturum açma kimlik bilgilerini yakalamak ve kırmakla kalmayıp, aynı zamanda komut istemi (CMD) gibi yerel programları da başlatarak UNC enjeksiyon saldırısının uygulanabilirliğini doğruladı.
Şu anda Zoom, güvenlik açığının varlığından haberdar ve düzeltilip düzeltilmediği belli değil.
Veri opak ve Çin sunucuları
Son olarak, bir video konferans yazılımı olarak diğer bir yaygın konu, kullanıcı verilerini toplama ve şeffaflıktır. Bu bağlamda, Zoom'un açıkça daha fazla çalışmaya ihtiyacı var.
Motherboardun analizine göre, Zoomun iOS uygulaması Facebookun Graph API'sini kullandığından, kullanıcının bir Facebook hesabı olmasa bile, uygulama açıldığında Facebook'a bildirimde bulunmak ve cihaz modelini, saat dilimini göndermek gibi bazı analiz verilerini Facebook'a gönderecektir. Şehir, telekom operatörü ve reklam kimliği gibi bilgiler.
Medyaya maruz kaldıktan sonra, Zoom artık veri gönderme kodunu sildi.
Aslında bu davranış alışılmadık bir davranış değil, Amazon'un akıllı kapı zili Ringi de benzer sorunlar yaşadı. Bu veri gönderme davranışının Zoom ve yazılımın gizlilik maddelerinde açıkça görünmediği gerçeği göz önüne alındığında, bazı kişiler, verilerin kullanıcının izni olmadan Facebook'a gönderildiği gerekçesiyle buna karşı toplu dava açmıştır.
Şekil | Zoom CEO'su Yuan Zheng (Kaynak: Reuters / Carlo Allegri)
Bazı kullanıcılar ayrıca Zoom toplantı yöneticilerinin, katılımcıların Yakınlaştırma penceresinin etkin olup olmadığı, diğer sayfaların kısa sürede açılıp açılmadığı, IP adresleri, cihaz bilgileri ve konumları vb. Dahil olmak üzere birçok denetim bilgisi edinebileceğini de keşfetti. Bu, insanları mahremiyetlerinin aşırı derecede ifşa olup olmadığı konusunda endişelendirir.
New York Başsavcısı Letitia James de geçtiğimiz günlerde Zoom'a yazarak şirketin veri gizliliğini ve güvenliğini korumak için ayrıntılı bilgi sağlamasını istedi, "güvenlik açıklarını çözdüğünü" söyledi ve kötü niyetli üçüncü tarafların kullanıcıların web kameralarına gizlice erişebileceğinden endişelendi.
Buna ek olarak, jeopolitik güreş bağlamında, Zoom kurucusu Yuan Zheng'in Çin geçmişi ve şirketin Ar-Ge ekibi de mercek altına alındı.
Kanada Toronto Üniversitesi Citizen Lab araştırmacıları 3 Nisan'da Zoom yazılımının, kullanıcı Kuzey Amerika'da olsa bile zaman zaman şifreleme anahtarları içeren verileri Çin'deki sunuculara gönderdiğini açıkladı.
Birçok testten sonra, yazılım tarafından kullanılan AES-128/256 anahtarının yeterince etkili olduğunu buldular, ancak ABD veya Çin anahtar sunucularının kullanımının düzensiz olduğu görülüyor.
Şekil | Zoom ara sıra anahtarları Pekin'deki bir anahtar sunucudan alır (Kaynak: Citizen Lab, Toronto Üniversitesi)
Araştırmacılar, güvenlik testi raporunda konferans bekleme odasında güvenlik açıklarının varlığı (düzeltmeden sonra açıklanacak) gibi başka sorunlara da işaret etseler de Zoom'un şifreleme önlemlerinden bazılarını onayladılar; ancak en çok dikkatleri yalnızca Çin'deki anahtar sunucu çekmiştir. .
Ayrıca Toronto Üniversitesi'ndeki araştırmacıların "sorunları oluşmadan önlemek" için gizli ve hassas bilgiler içeren toplantılarda Zoom kullanılmasını önermedikleri de bu soruna dayanmaktadır. Zoom için, değişiklik yapmazsanız, gelecekte İngiltere Başbakanı'nın Zoom'u kullandığını artık göremeyebilirsiniz ve korkarım kapınıza daha fazla sorun çıkacaktır.
Zoom bunu açıkça biliyor ve bu beklenmedik hatanın giderildiğini ve Çin sunucusunun artık Kuzey Amerika için bir yedek yol olmayacağını söyleyerek kamuoyuna yanıt vermesi bir günden kısa sürdü.
Resmi neden, son iki ayda kullanıcı sayısının keskin bir şekilde artması ve bu da Kuzey Amerika sunucularında aşırı baskıya yol açmasıdır. Baskıyı azaltmak için ek sunucular eklenmiştir, ancak iki Çin veri merkezi beyaz listede yanlış yapılandırılmıştır. Daha önce, Kuzey Amerika trafiğinin Çin sunucularından geçmesini kısıtlıyordu.
Sözde ağaç, kısa bir süre içinde bu kadar yüksek bir ilgi gördüğü için, Google ve Microsoft bu tür bir muameleden hoşlanmamış olabilir. Ayrıca Zoom'un bu ay gerçekten zor olduğunu ve bunu bir dizi sorunun izlediğini kabul etmeliyiz.
Ancak son tahlilde, jeopolitik sorunların yanı sıra, ürün kalitesi mükemmelse, teknoloji sağlamsa, mantık mükemmelse ve inceleme ve sökülmeye dayanabilirse, doğal olarak deneyimlenmeyecektir. Piyasa değeri 30 milyar ABD dolarının üzerinde olan 9 yaşındaki bir şirket için veri, gizlilik ve güvenlik gereksinimleri sert değil.
Söylenecek bir şey, Zoomun problemlerle başa çıkmadaki mevcut tutumunun dikkate değer olduğu, uzun biçimli ifadelerin zamanında, samimi sözlerle verildiğini görür ve problemleri düzeltme etkinliği düşük değildir. Kriz fırsata dönüştürülebilirse acıyı yaşamak iyi olur.
"Her gün belli bir gücün gizlice oyun oynadığını, bizi yok etmeye çalıştığını hissediyorum. Ama bu komplo teorileri hakkında düşünmek için çok meşgulüm." The Wall Street Journal CEO'su Yuan Zheng ile yakın zamanda yapılan bir röportajda, açıkçası Dedim.
"Salgından sonra ticari müşteri tabanına geri dönmeyi umuyorum, ancak dersten öğrenip daha iyi ve daha güçlü hale gelirsek, tüm bunlar faydalı olabilir, ancak süreç gerçekten acı verici."
