Zoom konusunda araştırma yapıldı. Zoom Güvenli mi? Değil mi?

Zoom konusunda teyit.org tarafından araştırma yapıldı. Güvenli mi? Değil mi?. İşte o haber

MEB 08.04.2020, 13:57 08.04.2020, 14:26
Zoom konusunda araştırma yapıldı. Zoom Güvenli mi? Değil mi?

Covid-19 salgınının dönüştürdüklerinden biri de iletişim biçimimiz oldu. Yüzyüze toplantılara, fiziki mekan paylaşılarak yapılan görüşmelere şimdilik ara verildi ve bütün aktiviteler çevrimiçine taşındı. Bu halden eğitim de nasibini aldı.

Türkiye, Covid-19 ülkeye resmen girdikten bir gün sonra, yani 12 Mart tarihinde ilk ve orta dereceli okullarda uzaktan eğitim kararı aldı. Milli Eğitim Bakanı Ziya Selçuk sistemle ilgili ayrıntıları 13 Mart tarihinde paylaştı ve derslerin EBA üzerinden verileceğini açıkladı. 

Dersler hem televizyon hem de internet üzerinden yayınlanmaya başlandı. Sistem ilk günlerinde içerik açısından eleştiriler alsa da, işleyişini sürdürdü. Ancak 6 Nisan sabahı Sözcü gazetesinde yayınlanan haber uzaktan eğitim konusunun başka bir boyutunu gündeme getirdi: Dijital güvenlik. Habere göre Zoom kullanan bir öğretmenin banka hesabından 58,5 dolarlık kesinti yapılmıştı. Çekim, Amerika Birleşik Devletleri’nin büyük perakende şirketlerinden Walmart’ın adıyla kredi kartı kayıtlarına yansıdı. Öğretmen “Zoom” hariç hiçbir yurtdışı teması olmadığı da söylüyordu. Konu hakkında bilgi aldığımız Sözcü gazetesi muhabiri Sultan Uçar’a göre, öğretmen yalnız da değili. Başka illerde de öğretmenlerden daha yüksek meblağlar çekildiği iddiaları vardı. Uçar belgeleri bakanlıkla paylaştığını da belirtti. 

Haber yayılınca bilhassa öğretmenlerin kafasında soru işaretleri belirdi: “Acaba bilgilerim tehlikede mi? Benim de kredi kartı bilgilerim çalınacak mı? Maaşımdan kesinti olacak mı?” Birçok öğretmenin bilgisayarından Zoom’u sildiği paylaşılırken, Teyit’e de birçok ihbar geldi. 

Zoom popüler bir video konferans programı
Zoom’dan kısaca bahsetmekte fayda var. Zoom uzun yıllardır kullanılan sesli ve görüntülü bir video konferans programı. Çok sayıda kullanıcının eş zamanlı görüntülü bir araya gelmesini, mesajlaşabilmesini ve dosya paylaşılabilmesini sağlıyor; genelde sorunsuz bağlantı sunması ve kullanılışlılığıyla tercih ediliyor. Zoom’un Jitsi, Microsoft Team, Hangouts gibi birçok alternatifi de var. Zoom.us üzerinden indirilen program ücretsiz sürümü ile 100 katılımcıya kadar 40 dakikalık ücretsiz görüşme imkanı sunuyor. Burada ilk olarak altı çizilmesi gereken nokta şu olsa gerek, Zoom’u kullanmak için kredi kartı bilgisi girmeye ya da ödeme yapmaya gerek yok. Ancak daha üst düzey bir kullanıma ihtiyacınız varsa karşınıza çeşitli planlar çıkıyor. 

Fiyat listesi incelendiğinde 58,51 dolarlık bir plana rastlanmıyor. Zoom’un görselde göründüğünden farklı planları da var. Bir paketi aldığınızda onu daha üst bir tarifeye de geçirebiliyorsunuz. Yani ortaya farklı fiyatlar çıkmış olabilir. Üstelik Uçar’ın bahsettiği gibi farklı meblağlar söz konusu olduğuna göre, mevzu göründüğü kadar basit olmayabilir. Yani işin içinde farklı bir dolandırıcılık söz konusu olabilir. Oltalama (phishing) adı verilen bir dolandırıcılık yöntemiyle kullanıcılar tuzağa çekilmiş olabilir. Yani kullanıcının hassas bilgilerini ele geçirmek isteyen suçlunun, güvenilir bir firma veya kişinin kimliğine büründüğü bir saldırıdan bahsediyoruz. Teyit’in bu konuda hazırladığı kapsamlı çalışmaya linkten ulaşabilirsiniz.

Oltalama, başlangıçta farklı mecra, söylem veya platformlar üzerinden yürüse de, kullanıcılar, finansal bilgilerini, kimlik bilgilerini veya kritik iletişim bilgilerini elde etmeye yönelik formlar veya onaylar isteyen sayfalara yönlendirilir. Dolandırıcılar, söz konusu sayfaları, taklit ettikleri kurum veya kuruluşun ilgili sayfalarından ayırt edilmesi zor nitelikte tasarlarlar. Örneğin bir bankayı taklit eden dolandırıcıların oluşturdukları sayfa, o bankanın ilgili sayfasının güncel görünümünün neredeyse aynısı olarak karşınıza çıkabilir.

Kartından para çekilen kişi veya kişilerin hikayesine tam anlamıyla vakıf olmadığımız için sürecin ilerleyişini tahmin etmemiz zor. Ancak mağduriyetin nedeninin, uygulamanın kendisinden ziyade, yeterli güvenlik önlemlerinin alınmamış olması da olabilir. Video konferanslara katılırken, kredi kartı gibi bilgilerinizi paylaşmanız gerekmiyor. Kredi kartı bilgilerinizi, herhangi bir şey satın almıyorsanız paylaşmayın. Gazetedeki örneği incelediğimizde de Walmart ismi dikkati çekiyor. Normal şartlarda Zoom’un yaptığı çekimin ZOOM.US ismiyle görünmesi gerekir. Bu da başka birinin, kullanıcının bilgilerine eriştiği izlenimini güçlendiriyor. 

Zoom ile yapılan ödemede gelen bildirim

Zoom son güvenlik bildiriminde kredi kartı bilgilerinin kesinlikle depolanmadığını, yalnızca kullanıcıya ait birkaç bilginin kaydedildiğini açıkladı.

Teyit 100’den fazla öğretmene sordu 
Teyit olarak Öğretmen Ağı ve Türkiye Teknoloji Geliştirme Vakfı’yla birlikte yaptığımız ortak çalışmayla, 100’den fazla öğretmene konuya yaklaşımlarını sorduk. Topluluk üyesi öğretmenler, Google dokümanlar üzerinden hazırlanan bir anketi yanıtladı. Kullanıcılara çalışmanın Teyit’le birlikte hazırlandığı anketin başında belirtilirken, ankette paylaşılan kişisel bilgilerden toplu ve ortalama sonuçlar çıkarılabileceği vurgulandı.

Katılan öğretmenlerin neredeyse tamamı Zoom uygulamasını kullandığını belirtti. Katılımcıların yüzde 8’i Zoom deneyimlerini olumsuz olarak işaretlerken, yüzde 20’si fikir belirtmedi, kalan kişilerse olumlu yanıt verdi. Olumsuz deneyimler incelendiğinde, velilerin çekinceleri ön plana çıkıyordu. Bu soruya verilen yanıtlar içinde, okul idaresinin Zoom kullanılmaması önerisinde bulunması da öne çıkıyordu. Katılımcılardan hiçbiri, kredi kartı bilgilerinin çalındığı ya da hesabından para çekildiğini bildirmedi. Öğretmenlerin yüzde 40’ı Zoom’u güvenli bulmadığını belirtirken, yüzde 11’i de güvenli olduğunu düşündüğünü paylaştı. Öğretmenlerin yüzde 32’si gelişmeler sonrası Zoom’u bırakacağını ifade etti, yüzde 23’ü ise hayır cevabını verdi.

MEB de açıklama yaptı
Konunun tartışma yaratmasının ardından Milli Eğitim Bakanlığı da bir açıklama yaptı. Bakanlık EBA dışındaki platformlar üzerinden sanal sınıf uygulaması yapıldığı takdirde güvenlik adımlarına dikkat edilmesi gerektiğini vurguladı. Bu tip programlarda kamera açılmaması, kişisel verilerin paylaşılmaması gibi önlemlerin altı çizildi.

Sözcü’deki haberde de yer aldığı gibi bakanlık Zoom kullanılması yönünde bir baskı uygulamıyor. Öğretmenler uzaktan ders verirken istediği programı kullanmakta özgür. Konu hakkında bilgi aldığımız Anadolu Eğitim Sendikası da, üyelerine Zoom konusunda baskı yapılmadığını belirtti. Bilgi aldığımız Eğitim-İş Başkanı Orhan Yıldırım ise öğretmenlerin bu tip programları kullanmak zorunda bırakıldığını ve yeterince bilgilendirmedikleri için çok sayıda mağduriyet yaşandığını kaydetti. Yıldırım, öğretmenlerin programa kredi kartı bilgisi girilmemesi gerektiğini bilemeyeceğini, nitelikli altyapı oluşturulmadığı için öğretmenlerin başlarının çaresine bakmak zorunda kaldığını ifade etti. 

Ancak daha önce de belirttiğimiz gibi günümüzde en popüler uygulamalardan birinin Zoom olması doğal bir eğilimin de oluşmasına neden oluyor. Milli Eğitim Bakanlığı da kurum içi eğitimlerini bu dönemde Zoom’la veriyor, diğer bakanlar da kendi teşkilatlarıyla Zoom aracılığıyla görüşüyor. 

Yüzde 100 güvenli bir program var mı?
Zoom güvenlik konusunda tartışılan bir program. Diğer alternatifleri de kusursuz değil, ancak Zoom ile ilgili güvenlik açıkları haberleri daha sık. Yakın zamanda The Guardian’da yayınlanan bir yazıda, programda uçtan uca şifreleme problemleri olduğu bilgisi paylaşıldı. Vice’da yayınlanan bir yazıda da, programın güvenlik kusurları olduğu, ancak bunun radikal sorunlar yaratmayacağı ve açıkların hızla kapatıldığı belirtildi. Kaygılı kullanıcılar için de şifreli toplantıların güvenli olabileceği bilgisi paylaşılmış. BBC Türkçe’nin hazırladığı bir haberde de konu ele alındı ve Zoom’un Britanya hükümeti tarafından da kullanıldığı vurgulandı. Zoom’un güvenliğiyle ilgili bir diğer önemli gelişmeyse New York’ta yaşandı. Fortune’un haberine göre uygulama, “zoombombing” yani davetli olmayan kişilerin sanal konferans odalarına girerek şiddet ve cinsel içerikli videolar paylaştığı siber saldırılar nedeniyle New York’ta okullarda yasaklandı. Uygulama bu soruna karşı yakın zamanda bir güncelleme yayınlamıştı. 

Birleşilen payda şu: Zoom da dahil hiçbir program yüzde 100 güvenli değil. Güvenliğin odağı kullanıcı. Salgının Türkiye’ye ulaşmasıyla 20 milyona yakın kişinin dijital eğitime geçmesi şüphesiz sancılı bir deneyim. Öğretmen, öğrenci ve velilerin kapsamlı bir güvenlik eğitiminden geçmesi gerek ve bu hemen olacak bir şey değil. Eğitim verilse de, güvenlik açıkları kapatılsa da, milyonlarca kişinin bir anda uyum sağlaması mümkün olmayabilir. 

Peki ne yapmalı?
Şu anda salgın devam ettiğine ve uzaktan eğitim de sürmek zorunda olduğuna göre, çare ne? Zoom’u silmek mi? Bu da bir alternatif. Ancak yerine ne yüklenecek? Hangisi daha güvenli? İstanbul Bilgi Üniversitesi Medya ve İletişim Bölümü Öğretim Üyesi Doç. Dr. Erkan Saka, Zoom’un alternatiflerinin de açıkları olduğunu vurguluyor. 

Yazar ve Dijital Güvenlik Eğitmeni Ahmet Sabancı da, güvenlik sorumluluğunun toplantıyı yöneten kişide olduğunu belirterek, bazı tavsiyeler veriyor:

Yöneticiler mutlaka şifreli oturum açmalı. Bu yabancı ve kötü niyetli kişilerin odaya girmesini engellemek için zaruri. 
Bilgi güvenliği için gizli sohbet ve kayıt özelliği kapatılmalı. Kullanıcının hesabının çalınması durumunda bu bilgilere de erişilebiliyor. Bu da şifre güvenliğinin önemini bir kez daha karşımıza çıkarıyor. Bu durumda şifre güvenliği programlarının kullanımına da başvurulabilir. 
Katılımcılara tarayıcıdan girme imkanı sağlamak. Bu da uygulamada çıkabilecek olası açıklara karşı kısmen bir önlem olabilir.
Teyit olarak bilgi aldığımız Ağ ve Güvenlik Uzmanı Yiğit Uslu ise, Zoom’un kötü niyetli bir yazılım olmadığına, ancak güvenlikle ilgili dikkat edilmesi gerekenler olduğuna işaret ediyor. Programın hızla popülerleşmesinin, güvenlik araştırmacıları ve hackerların ilgisini çektiğini ifade eden Uslu, programın sorunlarının daha yüksek sesle konuşulduğunu belirtiyor. Uslu, Zoom’un bilinen açıkları olarak ise kişilerin mail adresleriyle kendisiyle alakasız toplantılara dahil edilmesi, kişisel verilerin Facebook ile paylaşılması ve veri toplama yönünde kodlama problemlerini hatırlatıyor. Uslu, açık kaynaklı alternatiflerin de denenebileceğini ve bilgisayarları güncel tutmanın, antivirüs ve antimalware yazılımları kullanmanın önemini vurguluyor.

Alternatif Bilişim Derneği de yayınladığı açıklamayla, çevrimiçi görüşmelerde kişisel verilerin korunması önerilerinde bulundu. Metinde görüntü, fotoğraf ve belge paylaşımında dikkatli olunması gerekliliğinin altı çizildi.

Zoom, tıpkı muadilleri gibi mükemmel olmayan ve açıkları olan bir program. Kullanıcıların dikkat etmesi gereken birçok güvenlik önlemi var. Alternatifleri için de benzer sorunlardan bahsedilebilir, ama hangi program kullanıyor olursa olsun, dijital güvenlikten şaşmamak lazım. Milli Eğitim Bakanlığı tüm sınıflar için EBA üzerinden ders verme sisteminin yakında hayata geçeceğini belirtiyor. Ama şu anki boşluk kullanıcıları yeni arayışlara itiyor ve bu da sorunlu bir alanın ortaya çıkmasına neden oluyor. Tabii son cümle olarak EBA’nın da güvenlik sisteminin çok güçlü olması gerektiği vurgulanması gereken konulardan.

KAYNAK: teyit.org

Yorumlar (0)

Gelişmelerden Haberdar Olun

@