Güvenlik kontrollerinde biyometri

Modern akıllı telefonlarda PIN kodlarıyla veya sistemdeki bir biyometrik erişim sistemi ile erişilebiliniyor. Fakat dezavantajı şu: Biyometrik özellikler PIN’den daha rahat olsalar da, tam anlamıyla güvenli değiller. Hackerler telefondaki tüm önemli biyometrik kontrol sistemlerine karşı saldırılar geliştirdiler ve bu saldırılara bu tarz koruma özelliklerini görece hızlı bir biçimde devre dışı bıraktılar. Fakat hackerlerın bunun için akıllı telefona fiziksel erişimi olmalı. Geleceğin biyometri prosedürleri manipülasyona karşı daha iyi koruma sağlamalı. Endüstri manipülasyona karşı daha iyi koruma sağlamalı. Endüstrideki son cihazlar bunun nasıl yapılacağını bize gösteriyor. 

Samsung’un akıllı telefonunda hassas işlemler

Samsung’un yeni amiral gemisi Galaxy S8 modeli bu yılın nisan ayında piyasaya çıktığında, bu alışılmış biyometrik güvenlik yönetimini de destekleyen ilk cihaz oldu: yüz tanıma, parmak izi okuma ve iris tarama. Fakat, Sadece birkaç haftada, hackerler bunları bertaraf etmenin ne kadar basit olduğunu bizlere gösterdi. Bugün, bu iç prosedür de Samsung akıllı telefondan kaldırılmış durumda. Her halükarda, bu saldırıların çoğunluğu ciddi bir teknik efor gerektiriyor.

Yüz tanıma ile telefon erişimi yeni bir fikir değil: beş yıl önce bu özellik Samsung S3’de mevcuttu. Google gibi başka üreticiler de bu tarz bir özelliği cihazlarına koymuştu. Fakat geçen zamanla birlikte bu prosedürü cihazlarına koymaktan vazgeçtiler. Sebebi şuydu: Cihazların kameraları basitçe yetersizdi ve yüzdeki net parametreleri keskin bir şekilde okuyamıyordu, örneğin gözler, burun ve ağız arasındaki mesafe gibi. Sonuç olarak, sadece gözlük takmak bile telefonun kullanıcıyı tanımasını engelleyebiliyordu. S8’deki kameraların bu sorunu çözmesi gerekiyordu, fakat bu böyle olmadı. Biz basitçe bunu devre dışı bırakabildik. Tek yapmamız gereken başka bir kamera ile selfie çekip bunu S8’in ön kamerasına okutmak oldu. True Key şifresi iyi ve görece basit bir şekilde yüz tanıyıcıyı daha güvenli şekilde kullanmayı mümkün kılıyor: Tek gereken kullanıcının kafasını çevirmesi.

Samsung bu saldırılara derhal karşılık aldı. Şirket yüz tanıma özelliğinin telefon erişim için tek güvenlik olarak kullanılmamasını rica etti. Bir süre sonra Samsung bu özelliğe bir güncelleme getirdi. >>Quick recognition<< seçeneği artık ayarlar menüsünde mevcut. Bu seçenek başta devrede geliyor, fakat kapatılmalı zira bunu yapmazsanız sistemi bir selfie ile kandırmak mümkün olabilecektir; fakat bunu yaptığınızda da tanılama çok uzun süreceği için kullanışlılık ciddi derecede azalıyor. Testimiz sırasında, artık kamerayı kandıramadığımızı fark ettik. Fakat internette okuduğumuz kadarıyla bu yeni güncellenmiş sistemin de cracklendiğini öğrendik. Bu arada, Samsung tedbiri elden bırakmadan yaptığı açıklamada, mobil ödeme gibi hassas ürünleri kullananlar için yüz tanıma özelliğinin çok da uygun olmadığı yönünde bir beyanda bulundu.

Parmak izi Marc Rogers Lookout için çalışan bir güvenlik araştırmacısı ve akıllı telefonlarda parmak izi tarayıcısını hackleyen ilk kişilerden biri. Hem iPhone 5S’i hem de iPhone 6’ı hacklemeyi başardı. Bay Rogers’a göre tarayıcıdaki düşük çözünürlük bu güvenlik açığının sebebi. Tek yapmanız gereken parmağınıza biraz su veya toz değdirmek, o zaman tarayıcı çalışmıyor. Öte yandan, üreticiler kullanıcının parmaklarını gerekli yere götürdüğünde hızlıca cihazlarına ulaşmasını istiyor. Bu hataya tanınan geniş taviz sonuçta hackerların işine geliyor.

Bay Rogers’a göre, Apple ve Samsung eski tarayıcı modellerinden bir şeyler öğrendi; örneğin parmak izinin dış kısımlarını da artık taranıyor. Tek yapmanız gereken eskiden özel bir kağıda parmak izinin çıktısını almaktı. Artık çok daha kapsamlı bir çıktı almanız gerekiyor, eskisi gibi kolay değil. Özellikle çıktısı alınacak fotoğrafın çok çok kaliteli olması gerekmekte. Parmak izi ardından bir folyoya bastırılıp kalıbı çıkarılınca kullanılabiliyor. Bu sayede parmak izindeki girinti ve çıkıntılar oluşuyor ve bu kalıp telefonu açmak için kullanılabiliyor. Sonuç olarak bir parmak izi okuyucu hackerlardan öte profesyonelimsi kötü niyetlileri daha uzak tutamamış oluyor. Bu durumun bir yenilikle bertaraf edilmesi planlanıyor: İris okuyucu.

İris okuyucu Samsung’a göre, iris tarayıcı parmak izi taramasından 100 kat daha güvenli. İris bir kızılötesi ışıkla aydınlatırken telefonun ön kameri onun bir resmini çekiyor. Bu özellik de XXX (Chaos Computer Club) araştırmacıları için pek sorun teşkil etmedi. Eski bir Sony kamera ile Samsung telefon gibi, bu modda Sony kamera da kızıl ötesi bir ışık kullanıyor. Bu noktada bu fotoğrafın lazer yazıcı ile bir çıktısını almak yeterli oldu.

Bir suni bombe iris tarayıcının kağıdı gerçek göz sanmasını sağlamaya yetiyor. CCC bunu bir lensin üstünde çıktıyı yerleştirerek rahatlıkla halledebildi. Samsung bunu kabul etse de, açıklamalarında Chaos Computer Club’ın yaptığının tekrarı çok da mümkün olmayan şartlarda gerçekleşmiş olduğunu belirttiler. Üreticiler saldırılara rağmen bu teknolojiye sahip çıkıyorlar: Apple iPhone8’de Samsung’dakine benzer bir iris tarayıcı kullanıyor. Samsung’un modeli gibi kameranın kızıl ötesi ile kullanıcıyı tanıyor. Bugün itibarı ile bu teknolojinin Samsung’unkinden daha iyi veya güvenli olacağını kimse bilmiyor. Apple iPhone 8’de parmak izi tarayıcısını da bıraktı. Aslında bu teknolojilerden hangisinin galip geleceğini belirleyecek olan aslında iki faktör: Güvenlik ve konfor. Sonuçta, akıllı telefonun korumaya çalışırken kullanırlığını kısıtlamak da söz konusu olabilir. Bu profesyonel çözümler kullanan endüstri sektörüne bakılınca görülebiliyor, ayrıca bunlardan zaman içinde cep telefonlarında görebileceğimiz çözümleri de anlamak mümkün. 

Nerdeyse kırılmaz: Profesyonel biyometri

Aslında endüstriyel muadilleri de aynı temel prensiplerle çalışsa da, bunların tanımlama ve hacker koruma yöntemleri genelde çok daha iyi yüz tanıma sistemi profesyonel çözümlerin hiç rağbet etmediği bir çözüm. Bunun yerine insan elindeki damarlar kullanılıyor.

Parmak izi iPhone 7’nin parmak izi sensörünün çözünürlüğü sadece500 dpi. Öte yandan, endüstriyel çözümlerdeki tarayıcının çözünürlüğü 1600 dpi. Ayrıca bunlar farklı dalga uzunluğu kullanan birçok ışık kaynağı da kullanıyorlar. Bu yapıya daha iyi tanıyabiliyor ve parmaktaki ter ve sıcaklık gibi diğer karakteristikleri de tanıyabiliyor. Fakat bunlar bir akıllı telefon için fazla büyük ve fazla pahalı.

İris Modern iris tarayıcıları basit bir lens ve çıktı yöntemi ile kandırılamıyor. Bu cihazlar matematiksel Fourier analizi ile çıktısı alınmış bir irisi tanıyabiliyorlar. Tek bir şüpheli durum sahte irisi tanımaları için yetiyor da artıyor. Bu tarayıcılar ayrıca göz kırması ve göz bebeğinin tepkilerini de algılayabilmeleri sayesinde iyice güvenli hale geliyorlar.

Damar tanıma şu an en güvenli biyometrik önlem insan elindeki damar haritasına bakmak. Bu işlemin çok net bir avantajı var: Bu damar haritası, haliyle cildin altında olduğu için kopyalanması çok zor bir olgu olarak karışımıza çıkıyor. Kullanıcı eline tarayıcının önüne koyuyor, eli kızıl ötesi ışığı emiyor ve bu ışık damarlardaki kanlarca absorbe ediliyor. Bu neredeyse irisiniz kadar benzersiz bir harita oluşturuyor ve kopyalanması imkansıza yakın. 

Geleceğe kısa bir bakış:

Kulaklar ve kalpler şifre olarak kullanılacak

Gelecekte, fark edilmeden kopyalanması zor olan biyometrik karakteristikler güvenlik önlemi olarak kullanılacak. Buna bir örnek olarak kalp atışı verilebilir. Nymi Band’ın eğlence sektöründe bunu kullanmaya başlayacağı söyleniyor. Band onu takanı nabzından tanıyor. Bu olduktan sonra, Band NFC radyo kominikasyon ile örneğin şirketteki PC’sine bağlanabilecek.

Öte yandan NEC kulağı bir tanılama gereci olarak kullanıyor. IT şirketinin geliştirdiği kulaklıklar kullanıcısını ses kanalları kullanarak tanıyabiliyor. Otoacoustic Authentication Technology(OAT, otoakustik tanıma teknolojisi) özel sesler çalarak taşıyıcısının ses kanalına yansıtıyor. Kulaktaki kamera bu yansıtılan sesleri yakalıyor ve bu sayede kulağın karakteristiğini çıkarıyor.

Kesinlikle belirginleşen bir trend var: Biyometrik karakteristiklerin mümkün olduğunca zor kopyalanması hedefleniyor ve bunun tercihen vücudun iç kısmında yer alması hedefleniyor. Bu önemli, zira bu gerçekleşirse, şifre- yani biyometrik karakteristik- kişinin ömrü boyunca aynı kalacaktır. Hackerların hem malzemeye hem de akıllı telefona ulaşarak telefona girmeleri söz konusu olursa tarayıcı kaynağın malzemesini daha iyi tanımalı- hem hızlı hem de kullanışlı olmalı.