Video konferans uygulamalarıyla ilgili sorunlar

Popüler video konferans uygulamaları ne kadar güvenli?

#evdekal, bugünlerde sadece sosyal ağlarda popüler bir etiket değil, aynı zamanda koronavirüs pandemisi yüzünden personelinin çoğunu uzaktan çalışmaya göndermek zorunda kalan işletmeler için gerçeğin ta kendisi. Yüz yüze toplantıların yerini video görüşmelerine bıraktı. Ancak kurumsal konferanslarda sadece hava durumundan fazlası tartışıldığı için, bir video konferans uygulamasına geçmeden önce uygulamanın veri koruma mekanizmalarına göz atmakta fayda var. Açıkçası biz de bu uygulamaları laboratuvarda test etmedik; en yaygın kullanılan yazılımlarda görülen sorunlar hakkında bilgi edinmek için halka açık kaynaklara göz attık.

Google Meet ve Google Duo

Google iki video görüşme hizmeti sunuyor: Meet ve Duo. Meet, Google’ın diğer hizmetleriyle (G Suite) entegre olan bir uygulama. Şirketiniz bu hizmetleri kullanıyorsa Hangouts Meet şirketiniz için uygun.

Güvenlik: Google Meet

Meet’in avantajları arasında, varsayılan olarak etkin olan güvenilir veri işleme altyapısı, (uçtan uca olmasa da) şifreleme ve bir dizi koruma aracı gösteriliyor. Google Meet da dahil olmak üzere G Suite, diğer birçok kurumsal ürün gibi gelişmiş güvenlik standartlarına uygun ve özellikleri arasında yapılandırma ve erişim hakları yönetimi seçenekleri sunuyor.

Güvenlik: Google Duo

Mobil uygulama Duo ise uçtan uca şifreleme kullanarak verileri koruyor. Ancak Duo, işletmeler için değil, özel kullanıcılar için tasarlanmış bir uygulama. Video konferanslarda en fazla 12 katılımcı olabiliyor.

Güvenlik açıkları ve olumsuz yönler

Bize Google’ın kullanıcı verilerini topladığını ve bu nedenle ticari sırlar için bir tehdit olabileceğini hatırlatan bazı mesajlar dışında, bu uygulamaların güvenlik performansı hakkında somut bilgiler bulamadık. Bu, Google hizmetlerinin kusursuz olduğu anlamına gelmiyor, ancak ortaya çıkabilecek sorunları başınıza bela olmadan çözme eğilimi gösteren çok güçlü bir güvenlik ekibi tarafından destekleniyorlar.

Slack

Slack’te, ekipler için tek bir pencerede rahatça gösterilen birden çok sohbet çalışma alanı ve ayrıca çalışma alanınızdaki farklı projelere ayrılmış kanallar oluşturabilirsiniz. Konferanslar 15 katılımcı ile sınırlı.

Güvenlik

Slack , SOC 2 dahil olmak üzere bir dizi uluslararası güvenlik standardına uygun. Hizmet, tıbbi ve finansal verilerle çalışacak şekilde yapılandırılabiliyor ve şirketlerin veri depolama için bölge seçmesine olanak tanıyor. Bir Slack çalışma alanına katılmak için kurumsal alan üzerinden davet ya da kurumsal e-posta adresi gerekiyor.

Slack ayrıca müşterilerine esnek risk yönetimi araçları, Veri Kaybını Önleme (DLP) çözümleri ile entegrasyon ve veri erişim kontrol araçları da sunuyor. Örneğin, yöneticiler Slack’in kişisel cihazlardan kullanımını ve kanallarından bilgilerin kopyalanmasını kısıtlayabiliyorlar.

Güvenlik açıkları ve olumsuz yönler

Slack’in geliştiricilerine göre, sadece sınırlı sayıda işletmenin uçtan uca şifrelemeye ihtiyacı var ve bu özelliğin uygulanması işlevselliği sınırlayabiliyor. Dolayısıyla, Slack’in uçtan uca şifreleme eklemek gibi bir planı yok.

Slack ayrıca güvenliği Slack’in sorumluluğunda olmayan üçüncü taraf uygulamalara da entegrasyon sağlıyor.

Ayrıca, araştırmacılar Slack’de ciddi bir takım güvenlik açıkları da buldu. Slack, saldırganların verileri çalmasına ve kullanıcı oturumunun ele geçirilmesine olanak tanıyan iki hatayı düzeltti.

Teams

Microsoft Teams’in kurumsal kullanıcılar için ana avantajı, Office 365 ile entegre olması. Ev araçlarından gelen artan iş talebine yanıt olarak Microsoft şu anda altı aylık ücretsiz bir Microsoft Teams denemesi sunuyor, ancak ücretsiz kullanıcılar kullanıcı ayarlarını ve politikalarını yapılandıramayacak; bu da potansiyel bir güvenlik tehlikesi.

Güvenlik

Teams, bir dizi uluslararası standarda uyumlu, gizli tıbbi verilerle çalışmak üzere ayarlanabiliyor ve esnek güvenlik yönetimi seçenekleri sunuyor. Bazı servis planları kapsamında, DLP veya giden dosya taraması gibi ek araçlar Teams’e entegre edilebiliyor. MS Office 365’e yönelik koruma çözümümüz, kötü amaçlı yazılımların şirket ağı üzerinden yayılmasını önlemek için Teams aracılığıyla iletilen verileri de tarıyor.

Sohbetler veya video görüşmeleri ile sunucuya gönderilen veriler şifreleniyor, ancak yine uçtan uca şifrelemeden bahsetmiyoruz. Depolama ve işlemden bahsetmişken, bilgilerin asla şirketinizin faaliyet gösterdiği bölgeden ayrılmadığını eklemekte de fayda var.

Güvenlik Açıkları

Teams’de görülen güvenlik açıklarını takip etmekte fayda var. Microsoft genellikle güvenlik açıklarını hızla yamalasa da zaman zaman ortaya bazı güvenlik açıkları çıkabilir. Örneğin, araştırmacılar kısa süre önce hesabın ele geçirilmesini sağlayan bir güvenlik açığı buldu ve ardından bu açık giderildi.

Skype for Business

Office 365’teki Teams’in öncüsü olan Skype for Business‘ın bulut sürümü, yavaş yavaş tarihe karışıyor, ancak yine de yerel olarak yükleyebilirsiniz. Bazı kullanıcılar Skype for Business’ı Teams’den daha kullanışlı buluyor; Microsoft da önümüzdeki birkaç yıl boyunca Skype’ın yerel sürümünü desteklemeye devam edecek.

Güvenlik

Skype for Business bilgileri uçtan uca olmasa da şifreliyor ve hizmetin koruması yapılandırılabiliyor. Ayrıca yerel sunucu yazılımı kullanıyor, bu nedenle görüntülü görüşmeler ve diğer veriler hiçbir zaman şirket ağının dışına çıkmıyor; bu önemli bir avantaj.

Güvenlik açıkları ve olumsuz yönler

Bu ürün sonsuza kadar desteklenmeyecek. Microsoft planlarını değiştirmediği sürece uygulama desteği Temmuz 2021’de sona erecek ve Skype for Business 2019 Sunucusuna verilen destek 14 Ekim 2025’e kadar uzatılacak.

WebEx Meetings ve WebEx Teams

Cisco WebEx Meetings, video konferans için oldukça dar odaklı bir hizmet. Cisco WebEx Teams ise diğer şeylerin yanı sıra video görüşmelerini de destekleyen tam özellikli bir birlikte çalışma hizmeti. Bu yazının kapsamı içerisinde aralarındaki fark, şifreleme yaklaşımlarında.

Güvenlik

Cisco WebEx Meetings, kurumsal ihtiyaçlara yönelik hizmetler ve uçtan uca şifreleme içeriyor. Bu seçenek varsayılan olarak kapalı, ancak sağlayıcı istek üzerine etkinleştirebiliyor. Etkinleştirme, yardımcı programın işlevselliğini biraz sınırlıyor, ancak çalışanlarınız toplantılarda gizli bilgiler paylaşıyorsa dikkate alınması iyi olacak bir seçenek. Cisco WebEx Teams ise yalnızca yazışma ve belgeler için uçtan uca şifreleme sağlıyor; video ve sesli görüşme şifreleri Cisco sunucularında çözülüyor.

Güvenlik açıkları ve olumsuz yönler

Yalnızca bu Mart ayında satıcı, kodun uzaktan yürütülmesi tehdidi içeren iki WebEx Meetings güvenlik açığı için yama yayınladı. Geçen yılın başında, WebEx Teams istemcisinde ciddi bir hata bulundu. Bu hata, mevcut kullanıcının ayrıcalıklarıyla komut yürütülmesine izin veriyordu. Cisco’nun güvenlik konusunda ciddi olduğu biliniyor ve hizmetlerini hızlı bir şekilde güncelliyor.

WhatsApp

WhatsApp iş için değil, sosyal iletişim için kuruldu, ancak ücretsiz uygulama küçük şirketlerin veya ekiplerin video konferans ihtiyaçlarını karşılayabiliyor. Program büyük işletmeler için uygun değil; video konferans aynı anda en fazla dört katılımcı için kullanılabiliyor.

Güvenlik

WhatsApp, gerçek uçtan uca şifrelemenin tartışılmaz avantajına sahip. Bu, ne üçüncü tarafların ne de WhatsApp çalışanlarının video görüşmelerinizi görüntüleyemeyeceği anlamına geliyor. Ancak, kurumsal uygulamalarının aksine WhatsApp, neredeyse hiç sohbet ve çağrı güvenlik yönetimi seçeneği sunmuyor, sadece yerleşik olanı kullanabiliyorsunuz.

Güvenlik açıkları ve olumsuz yönler

Geçen yıl saldırganlar, WhatsApp video görüşmeleri yoluyla Pegasus casus yazılımını dağıttı. Hata düzeltildi, ancak uygulamanın kurumsal düzeyde koruma sunmayı amaçlamadığını unutmayın. Bu nedenle kullanıcıların en azından siber güvenlik haberlerini dikkatle takip etmesi gerekiyor.

Zoom

Bulut tabanlı video konferans platformu Zoom, salgının başlangıcından bu yana gündemde. Esnek fiyatlandırması (100 katılımcıya kadar ücretsiz 40 dakikalık konferanslar ile) ve kullanıcı dostu olması birçok kullanıcıyı kendine çekerken, platformun zayıf yanları da bir o kadar dikkat çekiyor.

Güvenlik

Hizmet, SOC 2 uluslararası güvenlik standardına uygun; sağlık hizmeti sağlayıcıları için ayrı bir HIPAA uyumlu hizmet planı sunuyor ve esnek yapılandırmaya sahip. Oturum düzenleyicileri, doğru köprüye ve parolaya sahip olan katılımcıları bile engelleyebiliyor, kayıt yapılmasını yasaklayabiliyor ve çok daha fazlasını yapabiliyor. Gerektiği takdirde Zoom, şirketten trafik çıkmayacak şekilde ayarlanabiliyor.

Zoom, bildirilen güvenlik açığı sorunlarını etkin bir şekilde ele alıyor ve yeni özellikler eklemektense ürün güvenliğine öncelik vermeyi planladığını söylüyor.

Güvenlik açıkları ve olumsuz yönler

Zoom, uçtan uca şifreleme uyguladığını iddia ediyor, ancak bu iddia tam olarak doğru değil. Uçtan uca şifreleme sayesinde gönderici ve alıcıdan başka kimse iletilen veriyi okuyamasa da Zoom, sunucularında video verilerinin şifresini çözüyor; üstelik bunu her zaman şirketinizin bulunduğu ülkede de yapmıyor.

Zoom uygulamalarında çeşitli ciddiyet düzeylerinde güvenlik açıkları keşfedildi. Zoom’un Windows ve macOS istemcilerinin, bilgisayar korsanlarının bilgisayarın hesap verilerini çalmasına izin veren bir hataya sahip olduğu bildirildi ve bu hata da düzeltildi. MacOS uygulamasında, potansiyel olarak saldırganların cihazı tamamen ele geçirmesine izin veren iki hata daha bulunuyor.

Buna ek olarak, şifreyle korunmayan açık konferanslarda şüpheli yorumlar yayınlayan ve müstehcen içerikli ekranlar paylaşan İnternet trolleri ortaya çıktı. Genel olarak konferansınızı düzgün bir şekilde yapılandırarak sorunu çözebilirsiniz, ancak Zoom güvenliği artırmak için varsayılan şifre koruması da ekledi.

Zoom’daki güvenlik sorunlarıyla ilgili haberler sebebiyle büyük oyuncular bu hizmeti küçümsüyor. Ancak tüm hizmetlerin güvenlik açıkları var ve Zoom’un birdenbire popülerleşmesi gözleri daha fazla üzerine çekti.

Size en uygun uygulamayı seçin

Tamamen güvenli bir video konferans uygulaması veya tamamen güvenli bir uygulama diye bir şey yok. Dezavantajları işletmeniz için sorunlu olmayan bir hizmet seçin. Doğru uygulamayı seçmenin yalnızca ilk adım olduğunu da unutmayın.

  • Hizmeti doğru yapılandırmak için zaman ayırın. Fazla serbest ayarlar, geçmişte birçok sızıntıya sebep oldu.
  • Güvenlik açıklarını en kısa sürede kapatmak için uygulamalarınızı hemen güncelleyin.
  • Çalışanlarınızın en azından temel güvenli internet davranışı becerilerine sahip olduğundan emin olun. Bu becerilere sahip değillerse, KASAP platformumuz aracılığıyla uzaktan eğitim kursu ayarlayabilirsiniz.
İpuçları