Parmak izi sistemlerinin ve biyometrik teknolojilerin güvensizliğinden daha önce bahsetmiştik. Böyle düşünen sadece biz değiliz.
Sanırım yazılarımız işe yaramış. Barselona’da düzenlenen Mobile World Congress (MWC) 2017’de akıllı sensör geliştiricileri beklediğimizden çok daha güvenli sistemlerini tanıttılar.
Parmak izi sensörünün gelişimi
LG ve diğer firmalara parmak izi sensörleri satan Norveçli firma IDEX, iş yaptıkları akıllı telefon firmalarının parmak izi ile erişilebilir verilerin sadece güvenli ortamlarda çalışmalarına izin veriyorlar.
MWC’de birçok parmak izi sensörü yapımcıları ile görüştüm, ve hepsi bu tarz verileri korumak için tamamen korunan bir şema kullanıyor. Başlangıçta, parmak izi sensöründen “ham” veri şifreleniyor, daha sonra sistem ayırt edici farklılıkları buluyor, onları da şifreliyor, ve daha sonra güvenli depolamaya gönderiyor. Tüm bu süreçler güvenilir çevrede gerçekleşiyor – ki burası diğer uygulamaların erişemeyeceği bir birim.
Yine de birçok sensör üreticisi hala elektronik araç gereç üreten firmaların koruma mekanizması isteyip istemediğini soruyor. Veri, sensörden işlemciye giderken daima güvenle şifrelenmiş oluyor, ve bu iyi bir haber: Daha önceden yaşanan güvenlik sorunları tam bu noktada yaşanıyordu.
CruicialTec isimli sensör yapım firması biyometrikleri biraz daha şey yapıyor… nasıl desek… daha biyometrik yapıyor. Parmak izi tarayıcılarına kalp atış ritmi sensörü ekliyor. Bu koruyucu bir önlem: 3D yazıcı ile parmak izi çıkartılır, parmak izi çalınır hatta gerçek parmak koparılırsa bile sistem çalışmıyor.
Bu sistem parmak izini tamamen tarıyor, doğru olsa dahi kalp atışı tutmadan kilidi açmıyor. Bu, parmak izi güvenlik konusunda ciddi bir adım. Becerikli suçlular için bu da aşılamayacak bir sorun değil – mesela, orijinal parmak izini kopyalayarak parmağı taratabilir, başka birinin de kalp atış ritmini kullanabilirsiniz. Tabi bunu başarmak çok zor.
Çinli bir firma pek alışık olmadığımız bir şey gösterdi: parmak izi okuyucu ama parmağınızı direkt olarak telefonun ekranına okutuyorsunuz. Bazı kısıtlamaları var: Öncelikle, tek örnek cihaz Çin’de, dolayısıyla firma getirip gösteremedi. Ek olarak, kullanıcıların ekranın neresinde sensör olduğunu anlamaları biraz zor çünkü ekranda görünür bir işaret yok. Geçtiğimiz sene IDEX benzer bir çözüm sunmuştu, ama görünen o ki konseptten ileri pek gidemediler.
Bu arada, geliştiricilere göre parmak izi sensörleri sadece elektronik araçlarla kısıtlı değil; kapı kilitlerine veya araba anahtarlarına da entegre edilebilirler. Bazı firmalar kredi kartları için son derece esnek ve ince sensörler öneriyorlar.
Bu teknoloji birçok şekilde kullanılabilir: Örneğin, IDEX ek bir elektrik enerjisi gerektirmeyen çözüm önerirken, CrucialTec kullanıcının yetkili olup olmadığını görmek için pilin içine bir ekran yerleştirdi. Parmak izleri PIN kodları yerine alternatif olabilirler: kullanımı daha kolay, aldatması daha zor – ayrıca PIN kodunu giren birini izleyerek bile parolasını öğrenebilirsiniz.
Biraz daha biyometri
İki yıl önce Qualcomm, SenseID’yi tanıttı – daha güvenli ve hızlı ultrasonik parmak izi tarayıcıları. Şimdi bu firma kullanıcılar için başka bir güvenlik metodu öneriyor – irisi taramak. Her insanın irisi farklıdır, dolayısıyla bu güvenlik yolu gayet güvenilir.
Qualcomm’un sistemi yeni, yani şimdilik sadece prototiplere entegre edilebiliyor, fakat son derece iyi çalışıyor: hızlı ve hatasız. Bu teknolojinin akıllı telefonlara niye yeni geldiğini merak ediyorsanız, cevap son derece basit: önceden kameralar çok yavaştı ve görüntüleme işlemcisi çok daha güçsüzdü.
Bu arada, Qualcomm’un iris tanıma sistemi gerçek iris ile sahte irisi ayırt edebiliyor. Qualcomm’un kabininde 3D yazıcı ile çıkartılmış son derece gerçekçi yüz vardı. Yazılım gerçek ile sahteyi karıştırmadı. Anladığım kadarıyla, sistem ufak göz hareketlerine bakıyor.
Şunu da belirtmekte fayda var, bu sistem irisi siyah güneş gözlüğünün arkasından bile seçebiliyor. Ama maalesef, Qualcomm bu başarıyı nasıl elde ettiğini açıklamamayı tercih ediyor. Kısacası iris tanımlama birçok şeyden – mesela yüz tanımadan – daha güvenli.
Buna rağmen, iris teknolojisi de diğer biyometrik teknolojiler ile aynı problemi paylaşıyor: Bir defa suçlular bunu aşmanın yolunu bulursa (Ki emin olun deneyecekler. Çünkü bu teknoloji ATM’lerde kullanılabilir) hepimiz için çok zor olacak. Çünkü kimse yüzünü, gözünü ya da parmak izini değiştiremez.
MWC 2017’den diğer değişik konseptler
Bu yıl Barselona’da bilgi güvenliği konusunda son derece ilgi çekici yenilikler gördük. Örneğin, Qualcomm cihaz üzerinde öğrenebilen teknolojisini sundu. Bu, Snapdragon mobil işlemcilerinin sinir ağını eğitebilecek kadar güçlü olduğu anlamına geliyor. Qualcomm ilk adımlarını geçtiğimiz sene fotoğraflardaki objeleri ayırt edebilmesiyle gösterdi. Şimdi bu teknoloji birçok çerçeveye uyumlu bir motor haline getirildi ve geliştiricilere verildi.
Bu bir adım daha ötesi: Öğrenebilen teknoloji, kullanıcıların verilerini buluta göndermek zorunda kalmamasını sağlayabilir. Bu gizlilik konseptini daha önce hayal edemediğimiz yerlere taşıtabilir. Bahsedilen teknoloji şimdilik sadece bir motor, tüketime hazır değil.
Ancak, bir şey bu teknolojiyi şimdiden kullanıyor. Doğal olarak Qualcomm, kendi geliştirdiği teknolojiyi App Project için kullanıyor. Donanım – yazılım düzeyinde kötü amaçlı yazılımları tepist etmek için sezgisel algoritmanın uygulanmasını sağlıyor. Bir uygulama gizlice kullanıcının konumunu öğrenmeye çalışıyorsa, rehber bilgilerine ulaşıyorsa, gelen veya giden SMS’lere karışıyorsa veya benzer bir davranışta bulunuyorsa, Qualcomm bunu zararlı olarak kabul ediyor. App Project bu tarz uygulamaları bularak hassas verilere erişimlerini engelliyor. Bu teknoloji ayrı bir çözüm olarak kullanıma hazır değil, mutlaka bir güvenlik uygulamasına entegre edilmeli. Kısacası, Kaspersky Antivirus & Security ürünümüz bunu yazılım seviyesinde başarıyla gerçekleştiriyor.
MWC 2017 geçen seneye oranla bu sene güvenlik konusuna daha fazla ağırlık verdi. Bugün, “güvenlik” kelimesini hemen hemen her noktada görebilirsiniz. Bir şey gerçekten güvenilir değilse bile, size güven konusunu önemsedikleri izlenimini veriyorlar.
Biyometrik doğrulama şimdilik tek başına birçok sorunu çözebilir. Ancak hiçbir zaman tamamen güvenli olmayacak – tamamen güvenlilik diye bir şey söz konusu dahi olamaz. Ancak doğru doğru tarafa doğru ilerliyoruz, bu da bizi son derece mutlu ediyor.