Güvenlik Kontrollerinde Biyometri

14.10.2017
24
Güvenlik Kontrollerinde Biyometri

Modern akıllı telefonlara PIN kodlarıyla veya sistemdeki bir biyometrik  erişim sistemi ile erişilebiliniyor. Fakat dezavantajı şu: Biyometrik özellikler PIN’den daha rahat olsalar da, tam anlamıyla daha güvenli değiller. Hackerlar telefonlardaki tüm önemli biyometrik kontrol sistemlerine karşı saldırılar geliştirdiler ve bu saldırılarla bu tarz koruma özelliklerini görece hızlı bir biçimde devre dışı bırasktılar. Fakat hackerlerın bunun için akıllı telefona fiziksel erişimi olmalı. Geleceğin biyometri prosedürleri manipülasyona karşı daha iyi koruma sağlamalı. Endüstrideki son cihazlar bunun nasıl yapılacağını bize gösteriyor.

Samsung’un akıllı telefonunda hassas işlemler

Samsung’un yeni amiral gemisi S8 modeli bu yılın nisan ayında piyasaya çıktığında, bu alışılmış 3 biyometrik güvenlik yöntemini de destekleyen ilk cihaz oldu: Yüz tanıma, parmak izi okuma ve iris tarama. Fakat, sadece bir kaç haftada, hackerler bunları bertaraf etmenin ne kadar basit olduğunu bizlere gösterdi. Bugün, bu üç prosedür de Samsung akıllı telefondan kaldırılmış durumda. Her halükarda, bu saldırıların çoğunluğu ciddi bir teknik efor gerektiriyor.

Yüz tanıma Yüz tanıma ile telefona erişim yeni bir fikir değil: Beş yıl önce, bu özellik Samsung S3’de mevcuttu. Google gibi başka üreticiler de bu tarz bir özelliği cihazlarına koymuştu. Fakat geçen zamanla birlikte bu prosedürü cihazlarına koymaktan vazgeçtiler. Sebebi şuydu: Cihazların kameraları basitçe yetersizdi ve yüzdeki net parametreleri keskin bir şekilde okuyamıyordu, örneğin gözler, burun ve ağız arasındaki mesafe gibi. Sonuç olarak, sadece gözlük takmak bile telefonun kullanıcıyı tanımasını engelleyebiliyordu. S8’deki kameraların bu sorunu çözmesi gerekiyordu, fakat bu böyle olmadı. Biz basitçe bunu devre dışı bırakabildik. Tek yapmamız gereken başka bir kamera ile selfie çekip bunu S8’in ön kamerasına okutmak oldu. True Key şifresi iyi ve görece basit bir şekilde yüz tanıyıcıyı daha güvenli şekilde kullanmayı mümkün kılıyor: Tek gereken kullanıcının kafasını çevirmesi.

Samsung bu saldırılara derhal karşılık aldı. Şirket yüz tanıma özelliğinin telefona erişim için tek güvenlik olarak kullanılmamasını rica etti. Bir süre sonra Samsung bu özelliğe bir güncelleme getirdi. >>Quick recognition<< seçeneği artık ayarlar menüsünde mevcut. Bu seçenek başta devrede geliyor, fakat kapatılmalı zira bunu yapmazsanız sistemi bir selfie ile kandırmak mümkün olabilecektir; fakat bunu yaptığınızda da tanılama çok uzun süreceği için kullanışlılık ciddi derecede azalıyor. Testimiz sırasında, artık kamerayı kandıramadığımızı fark ettik. Fakat internette okuduğumuz kadarıyla bu yeni güncellenmiş sistemin de cracklendiğini öğrendik. Bu arada, Samsung tedbiri elden bırakmadan yaptığı açıklamada,  mobil ödeme gibi hassas ürünleri kullananlar için yüz tanıma özelliğinin çok da uygun olmadığı yönünde bir beyanda bulundu.

Parmak izi Marc Rogers Lookout için çalışan bir güvenlik araştırmacısı ve akıllı telefonlarda parmak izi tarayıcısını hackleyen ilk kişilerden biri. Hem iPhone 5s’i hem de iPhone 6’ı hacklemeyi başardı. Bay Rogers’a göre tarayıcıdaki düşük çözünürlük bu güvenlik açığının sebebi. Tek yapmanız gereken parmağınıza biraz su veya toz değdirmek, o zaman tarayıcı çalışmıyor. Öte yandan, üreticiler kullanıcının parmaklarını gerekli yere götürdüğünde hızlıca cihazlarına ulaşmasını istiyor. Bu hataya tanınan geniş taviz sonuçta hackerların işine geliyor.

Bay Rogers’a göre, Apple ve Samsung eski tarayıcı modellerinden bir şeyler öğrendi; örneğin parmak izinin dış kısımları da artık taranıyor. Tek yapmanız gereken eskiden özel bir kağıda parmak izinin çıktısını almaktı. Artık çok daha kapsamlı bir çıktı almanız gerekiyor, eskisi gibi kolay değil. Özellikle çıktısı alınacak fotoğrafın çok çok kaliteli olması gerekmekte. Parmak izi ardından bir folyoya bastırılıp kalıbı çıkarılınca kullanılabiliyor. Bu sayede parmak izindeki girinti ve çıkıntılar oluşuyor ve bu kalıp telefonu açmak için kullanılabiliyor. Sonuç olarak bir parmak izi okuyucu hackerlardan öte profesyonelimsi kötü niyetlileri dahi uzak tutamamış oluyor. Bu durumun bir yenilikle bertaraf edilmesi planlanıyor: İris okuyucu.

İris okuyucu Samsung’a göre, iris tarayıcı parmak izi taramasından 100 kat daha güvenli. İris bir kızılötesi ışıkla aydınlatılırken telefonun ön kamerası onun bir resmini çekiyor. Bu özellik de CCC (Chaos Computer Club) araştırmacıları için pek sorun teşkil etmedi. Eski bir Sony kamera ile Samsung kullanıcısnın gözünün fotoğrafını çektiler. Bunu kameranın gece modunu kullanarak yaptılar. Aynı Samsung telefon gibi, bu modda Sony kamera da kızıl ötesi bir ışık kullanıyor. Bu noktada bu fotoğrafın lazer yazıcı ile bir çıktısını almak yeterli oldu.

Bir suni bombe iris tarayıcının kağıdı gerçek göz sanmasını sağlamaya yetiyor. CCC bunu bir lensin üstüne çıktıyı yerleştirerek rahatlıkla halledebildi. . Samsung bunu kabul etse de, açıklamalarında Chaos Computer Club’ın yaptığının tekrarı çok da mümkün olmayan şartlarda gerçekleşmiş olduğunu belirttiler.

Üreticiler saldırılara rağmen bu teknolojiye sahip çıkıyorlar: Apple iPhone 8’de Samsung’dakine benzer bir iris tarayıcı kullanıyor. Samsung’un modeli gibi kameranın kızıl ötesi ile kullanıcıyı tanıyor. Bugün itibarı ile bu teknolojinin Samsung’unkinden daha iyi veya güvenli olacağını kimse bilmiyor. Apple iPhone 8’de parmak izi tarayıcısını da bıraktı. Aslında bu teknolojilerden hangisinin galip geleceğini belirleyecek olan aslında iki faktör: Güvenlik ve konfor. Sonuçta, akıllı telefonu korumaya çalışırken kullanırlığını kısıtlamak da söz konusu olabilir. Bu profesyonel çözümler kullanan endüstri sektörüne bakılınca görülebiliyor, ayrıca bunlardan zaman içinde cep telefonlarında görebileceğimiz çözümleri de anlamak mümkün.

Neredeyse kırılamaz: Profesyonel biyometri

Aslında endüstriyel muadilleri de aynı temel prensiplerle çalışsa da, bunların tanılama ve hacker koruma yöntemleri genelde çok daha iyi. Yüz tanıma sistemi profesyonel çözümlerin hiç rağbet etmediği bir çözüm. Bunun yerine insan elindeki damarlar kullanılıyor.

Parmak izi: iPhone 7’nin parmak izi sensörünün çözünürlüğü sadece 500 dpi. Öte yandan, endüstriyel çözümlerdeki tarayıcının çözünürlüğü 1600 dpi. Ayrıca bunlar farklı dalga uzunluğu kullanan bir çok ışık kaynağı da kullanıyorlar. Bu yapıyı daha iyi tanıyabiliyor ve parmaktaki ter ve sıcaklık gibi diğer karakteristikleri de tanıyabiliyor. Fakat bunlar bir akıllı telefon için fazla büyük ve fazla pahalı.

İris: Modern iris tarayıcıları basit bir lens ve çıktı yöntemi ile kandırılamıyor. Bu cihazlar matematiksel Fourier analizi ile çıktısı alınmış bir irisi tanıyabiliyorlar. Tek bir şüpheli durum sahte irisi tanımaları için yetiyor da artıyor. Bu tarayıcılar ayrıca göz kırması ve göz bebeğinin tepkilerini de algılayabilmeleri sayesinde iyice güvenli hale geliyorlar.

Damar tanıma: Şu an en güvenli biyometrik önlem insan elindeki damar haritasına bakmak. Bu işlemin çok net bir avantajı var: Bu damar haritası, haliyle cildin altında olduğu için kopyalanması çok zor bir olgu olarak karşımıza çıkıyor. Kullanıcı elini tarayıcının önüne koyuyor, eli kızıl ötesi ışığı emiyor ve bu ışık damarlardaki kanlarca absorbe ediliyor. Bu neredeyse irisiniz kadar benzersiz bir harita oluşturuyor ve kopyalanması imkansıza yakın.

BİR YORUM YAZIN

ZİYARETÇİ YORUMLARI - 0 YORUM

Henüz yorum yapılmamış.

Bu sitede yayınlanan içeriklerin tamamı bilgi amaçlıdır. Kesinlik ya da doğruluğu güncel kriterlere göre değişiklik gösterebilmektedir.