Bedenimizi güvenli kimlik yerine kullanmak

BEDENİNİZ, YÜRÜYÜŞÜ­NÜZDEN KALBİNİZİN ATI­ŞINA KADAR BENZERSİZ

ve güvenlik sektörü bundan faydalanmak istiyor. Kötü bir niyetleri olduğundan değil; ge­leneksel kimlik doğrulama yak­laşımları, özellikle de internet­ten kimlik doğrulama artık işe yaramadığı için.

Sofistike araçlara sahip, ni­yeti bozmuş bir saldırgan ya da karanlık vveb’den birkaç kötü niyetli yazılım satın almış be­ceriksiz bir fırsatçı bile kolayca internetteki hesapları hackleye- bilir ve kredi kartı bilgilerinizi ve daha fazlasını cebine atabilir. Özellikle kurbanın parolası “pa- rola”ysa, evcil Japon balığının adıysa ya da sadece geçtiğimiz yıl 20 farklı sitede kullanıldıysa.

İnternete bağlı çalışan şir­ketlerin de müşterilerin de şurasına kadar geldi artık. So­runun çözümü, her seferinde akılda tutması daha zor parola­lar oluşturup hatırlamak değil. Çok besleyici ama zahmetli bir diyet programını takip etmeye benzetebilirsiniz bu durumu. Sizin için iyi olduğunuzu bilir­siniz ama her günün 20 dakika­sını meyve suyu sıkacağını te­mizlemeye ayırınca parlak cilt, sonsuz zindelik vaatleri albeni­sini yitiriverir. Güçlü güvenlik, en azından kullanıcı için rahat­lık ve sadelik gerektirir.

Kimlik sektörü ve doğru kimlik tespiti ve tanımlamaya gereksinim duyan kurum ve kuruluşlar (bankalar, sağlık hiz­metleri, teknoloji şirketlerinin yanı sıra gümrük kontrol gibi hükümet kuruluşları) birçoğu bedenimizin içini ve dışını kap­sayan yeni seçenekleri değer­lendirmeye başladı.

Vücut ve teknoloji: içte mi dışta mı?

Kabaca iki tür yaklaşım var. İl­kinde teknoloji vücudun dışın­da kalıyor ve her bireye özgü, tümüyle benzersiz özellikler­den faydalanıyor. İkinci tekno- lojiyse derialtıııa yerleştirilen küçücük mikroişlemciler halin­de, vücudun içinde bulunuyor.

Biz bunlardan ilkine bakaca­ğız. Sizin kesinlikle siz olduğunu­zu özellikle de dijital dünyada en iyi doğrulayabilen unsur­larınız yüzünüz, parmak izle­riniz, gözleriniz, kulaklarınız, damar deseniniz, kalp atışınız, duruşunuz, yazış tarzınız ve se- sinizdir. Teknoloji bunları ikilik sistemde verilere dönüştürür ve çevrimiçi hesaplarınıza, diji­tal aygıtlarınıza ve daha birçok şeyde, mesela pasaportlarda kimlik saptamada kullanır. Kullanıcı için zahmet gerektir­meyen, güvenli, şirket içinse hata payı düşük bir yöntemdir bu. Artık o can sıkıcı parolaları ezberlemeniz de gerekmez. İş böylece biter. Tabii ki aslında o kadar kolay değil.

Başlıca biyolojik tanımlayıcılar Gözler

İris tarama, gözün arkasındaki damar desenlerini kullanan retina taramanın yeri­ni büyük ölçüde aldı. Diğer bi- yometrik tanımlayıcıların çoğu gibi iris de kişiye özgüdür ve zamanla değişmez. Ne var ki bu biyometrik ölçütü kullanmak için gereken donanım maliyet­li olduğu için genelde şirketler tarafından, özellikle de fiziksel tesislere giriş izni sağlamada kullanılıyor. Mesela Büyük Hadron Çarpıştırıcısı’nın da yer aldığı CERN, erişimleri de­netlemek için iris taramadan faydalanıyor. Bunu demişken, iris tarama teknolojisi artık akıllı telefonlarda da karşımıza çıkmaya başladı. Samsung’un Galaxy Note 7’si, Lumia Wiıı- dows’un ve Fujitsu’nun bazı modelleri ve birtakım İOS ay­gıtları da artık bu taramayı ya­pabiliyor. Ne var ki 2015 ‘te Star- bug adlı bir araştırmacı, Alman Şansölyesi Angela Merkebin internetteki bir fotoğrafından elde ettiği iris verileriyle iris tarama teknolojisini başarıyla atlattığını duyurdu.

Parmak izi – Biyometrik ölçüt­lerin belki de en iyi bilinen ve en yaygın kullanılanı olan par­mak izi tanıma, 20i3*te Apple tarafından cep telefonlarında kullanmaya başladığından beri popülerleşti. Starbug ise bu olaydan bir gün sonra, telefo­nun üstündeki parmak izlerin­den sahte bir parmak yaparak bu özelliği dize getirdiğini açık­ladı.

Eller – Bu bir parmağın ya da elin üç boyutlu geometrisini içerebileceği gibi, el ya da par­maktaki damar deseni de olabi­lir. Barclays Bankası kurumsal müşterileri için damar tanımayı hizmete soktu ve Japonya’da 8o.ooo’den fazla biyometrik ATM artık hesap sahiplerini par­mak ya da avuç damar tarama­sıyla tanıyor. Sistem Uzakdoğu ve Avrupa’da da kullanılıyor. Biyometrik işaretçi olarak kul­lanılabilen diğer yüz kısımlarına kulak şekli ya da yüz hatlarının veya desenlerinin daha geniş analizi dâhil. Bunu kullananlar arasında Microsoft’un Xbox ONE’ı ve Playstation 4 de var. Bu işaretçilerin suçlular tarafın­dan başarıyla ele geçirildiğini gösteren bir kanıt olmasa da siber suçluların iştahını kabart­maya başladıkları biliniyor.

Kaspersky Lab’ın yeraltı suç dünyasıyla ilgili yakın tarihli araştırması, en az on iki satıcı­nın kurbanların parmak izlerini çalabilen kart tarayıcı sattığını ortaya çıkardı. En azından üç kişi avuç damarlarından ve iris tanıma sistemlerinden yasadı­şı bilgi elde edebilen aygıtları araştırıyor. Araştırmacıların bulduğu bir diğer şey de çevri­miçi topluluklarda “sahte yüz maskesi” için mobil uygulama geliştirmekle ilgili tartışmalar oldu. Böylesi bir uygulama, sal­dırganların birinin fotoğrafını internetten indirdikten sonra yüz tanıma sistemlerini kan­dırmak için kullanmasına izin verebilir.

Kalp atışı – Bu çok yeni bir alan. Geliştirme aşamasında olan bir dizi ürün var. İçlerinden biri de kimliğinizi, kalp atışınızın üret­tiği benzersiz elektrik atımları sayesinde doğrulayabilen kol bandı Nymi. 2015’in Ağustos ayında Nymi ile MasterCard dünyanın ilk gerçek zamanlı ve kalp atışıyla doğrulanmış mobil ödeme işlemini gerçek­leştirdiklerini açıkladılar. Bu yaklaşımın güvenlik açığı olup olmadığını değerlendirmek için henüz çok erken.

Ses – Ses tanıma daha şimdiden finansal hizmetlerde birçok diğer kimlik doğrulama yön­teminin yanı sıra yaygın olarak kullanılıyor. Bu, tonlama, do­ğal konuşma kusurları, sözcük sırası gibi birçok parametreyi ve deseni analiz eden, sonra da birbirleriyle kıyaslayan karma­şık ve gelişmiş bir süreç.

İşlenmesi gereken muazzam veri hacmi ve analiz derinliği yüzünden sesle kimlik doğru­lamanın saldırganlarca aşıl­ması olasılığı şimdilik düşük. Fakat Kaspersky Lab uzmanları bunun değişeceği görüşünde. Adobe geçen sene Voco adında yeni bir ses düzenleme tekno­lojisini duyurdu. Voco, sırf 20 dakikalık konuşmayı kullana­rak ses kayıtlarının oluşturulmasına ve düzenlenmesine izin veriyor. Benzer çözümler hali­hazırda mevcut ama süreci bu kadar kolaylaştırmıyor. Eğer bu trende yeni ev bağlantı aygıt­larının (örneğin Eclıo Dot’un) topladığı ses kayıtlarının her dakika büyüyen veri tabanını da katarsanız, bir saldırganın kişinin sesiyle ilgili, kimlik doğ­rulama sistemlerini kandıracak kadar veri toplaması bir hayli gerçekçi görünüyor.

Yürüyüş, yazma tarzı ve diğer “davranışsal biyometrikler” Bunlar çoğu zaman diğer ölçümlerle bir arada kul­lanılarak akıllıca düşünülmüş ek bir güvenlik katmanı oluştu­ruyor. Yürüyüş başka şeylerin yanı sıra duruşunuzu, hızınızı, adım mesafesini; kol, bacak ve ayak hareketini ölçüyor. Fakat şu anda en çok ilgi gören konu, insanların bilgisayarlarla kur­duğu benzersiz etkileşimden faydalanmak (örneğin klavyede yazım tarzı, fare hareketleri).

Örneğin Kaspersky’nin yeni bulut tabanlı dolandırıcılık önleme yöntemi, çevrimiçi bankacılıkta şüpheli etkinlikleri saptamak için fare takip ve dolaşmasını entegre ediyor. 11er insanın fareyi ekranda gez­dirme biçimi kendine özgüdür. İster fareyi sürekli oynatanlar­dan olun ister kısa ve öz hare­ketleri yeğleyenlerden, sistem sizi tanıyor. Bir şeyler değişirse şüphelenip alarm veriyor. He­sabınızı bir başkası kullanıyor olabileceği için değil, kullanan başka bir şey, örneğin bir zararlı yazılım olabileceği için. Söz ge- limi sistem farenin sayfalarda sabit bir hızla kullanıldığını ya da hiç fare hareketinin gerçek­leşmediğini saptarsa bu oto­matikleştirilmiş yazılımların, örneğin zararlı kodların ya da bir uzaktan yönetim aracının (RAT diye de biliniyor) güçlü bir belirtisi olabilir.

İnternette dolaşmak da birçok şeyi ele veriyor. Hesap sahipleri genelde bankacılık sitelerinde önce fatura ve diğer ödemelerini yaparlar. Zararlı kodlar ve dolandırıcılarsa elekt­rik faturanızı ödemekle değil kredi limitinizi ve kişisel bilgi­lerinizi öğrenmekle ilgilenir. O yüzden kullanıcı dosdoğru bu sayfalara gidiyorsa alarm zilleri çalmaya başlar.

Bunun farkına varan ve he­sabınıza girdikten sonra fatura ödeme sayfalarında biraz vakit öldüren kurnaz zararlı kod ya­zarları yine de yakalanıyor çün­kü güvenlik çözümü, gözlemle­meyi asla bırakmıyor.

Tuş vuruş kalıplarını tanım­layıcı olarak kullanmak gün geçtikçe önemini yitiriyor çün­kü birçok çevrimiçi hizmete artık mobil aygıtlarla erişiliyor ve tuş takımı etkinliği genelde minimumda kalıyor.

Son olarak bir de sizi her şe­yinizle tanımlamak isteyenler var. Google’ın yeni “Abacus” projesi, kişileri kümülatif “gü­ven puanı ”yla tanımayı hedef­liyor. Telefonunuz gittiğiniz yerleri, nasıl yürüyüp yazdı­ğınızı, yüz hatlarınızı ve daha nicesini sürekli gözlemliyor ve tanıyor. Kendi deneyimlerimiz gösteriyor ki çoklu biyometrik işaretçiler daima tek bir işaret­çiden daha güvenli olacak. Ama bununla kişisel mahremiyetin potansiyel kaybını terazinin iki kefesine koymak lazım.

Güvenlik risklerini ele alırken

Biyometrik işaretçiler tanım­layıcı olarak kullanılmak üze­re biçilmiş kaftandır çünkü kişiye özgüdürler ve zamanla değişmezler. Tam da bu yüz­den savunmasızlardır. Eğer bu tanımlayıcılar başkasının eline geçerse bunun kurban için po­tansiyel sonuçları olan mahre­miyetin ve emniyetin kaybı, çok büyük risktir.

Biyometrik tanımlayıcılar doğaları gereği çoğu zaman halka açıktır. Şu an bile herhangi biri gözünüzün ya da kulağını­zın fotoğrafını çekiyor olabilir. Eğer bunlar en kişisel bilgileri­nize açılan kapıysa, farkına bile varmadan kendinizle ilgili her şeyi etrafa yayıyor olabilirsiniz. Sonu mahremiyetin tümden kaybıyla biten bir kâbus senar­yosu bu.

Dahası, biyometrik veriler ta­nımlama ve kimlik doğrulama için yaygın olarak kullanıldığı halde vücut parçalarınızla ilgili verinin kullanımı büyük oranda kanunen düzenlenmiyor. Sal­dırganlar nasıl kendi çıkarları­na kullanacaklarının bir yolunu bulmadan önce tüm bu açıkları gidermeliyiz.

Bundan iki yıl önce biz ve bi­zim gibi başkaları bu tarz şeyler­den endişe etmeye başladı. Tüm bunlar, iş dünyasının ve güven­lik sektörünün giderek daha faz­la farkına vardığı, tek bir ölçütün saldırıya açık olduğu teorisine dayanıyor. En etkili koruma şunlardan en az ikisini bir araya getirir: sizle (bedeninizle) ilgili bir şey, bildiğiniz bir şey (kişisel bilginiz) ve elinizde olan bir şey (parola ya da benzeri).

Sonuç

Biyometrik doğrulama ve ta­nımlama teknolojisi geliştirici­leri, güvenlik sektörü ve nihai ürünleri kullanacak olan kurum ve kuruluşlar arasında iş birliği kilit rol oynuyor. Hayatı masum kullanıcılar için daha kolaylaş­tırmak ve suçluları tamamen durdurmak mümkün olmasa da işlerini yokuşa sürmek bizim so­rumluluğumuz.

Hata yapma lüksümüz yok. Her birimizin tek bir bedeni var. Çalıntı kredi kartınızı ya da banka hesap numaranızı yeni­lersiniz; yeni bir paroladan hiç söz etmiyoruz bile. Ancak baş­kalarının eline geçmiş parmak izi, retina ya da kulak için ne yapacaksınız? Bir kutucuğu işa­retleyip yeni bir kalp atışı yara­tacak bağlantıyı içeren e-posta alamazsınız ki.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Güvenlik Kodu * Time limit is exhausted. Please reload the CAPTCHA.