Kabus gerçek (mi) oluyor?

Güvenlik başlığında geleneksel şifre yapısının yerini parmak izleri giderek daha fazla alırken, haklayıcılar da bu fırsatları değerlendirmek için açık arayışında. Uzmanlara göre, çalınan parmak izlerinin kötü amaçla kullanım potansiyeli şimdilik sınırlı. Ama teknoloji geliştikçe bu risk potansiyelinin değişeceği de herkesin kabul ettiği bir gerçek. 

Siber güvenlik tehditleri, ABD Personel Yönetimi Ofisi (Office of Personnel Management – OPM) saldırıları ile daha ürkütücü bir hal alıyor. 2015 yılı boyunca saptanan saldırılarda bir tarafta sosyal güvenlik numaraları ve adresleri çalınan 21 milyondan fazla eski ve halen görevdeki kamu çalışanları ile ilgili sorun durur, OPM ve Savunma Bakanlığı soruşturma kapsamında bu hırsızlığı incelerken, bu sefer de yeni parmak izi verilerinin çalındığı fark edildi. OPM açıklamasına göre, haklama kapsamında 5.6 milyon kişinin daha parmak izleri çalındı.

Parmak izi gibi biyometrik verileri içeren hırsızlıklar, bu tarz verilerin kalıcılığı yüzünden apayrı bir endişe konusu. Çünkü şifre ve hatta Sosyal Güvenlik numaralarının aksine, parmak izleri değiştirilemez. Bu nedenle bir açıktan etkilenenler, kendilerini yıllar sürebilecek sorunlar dizisinin tam ortasında bulabilir.

Bu tarz açıklardan genelde Amerikalılar hakkında güçlü bir veri tabanı inşa etme çabası içinde olduğu konuşulan Çin sorumlu tutulur. Ancak, ABD yetkilileri bu belirttiğimiz siber saldırılar konusunda resmi olarak (henüz) bir ülkeyi suçlamadı. Kim suçlu, kim kabahatli bunu zaman gösterecek. Ama zamanla bu tarz saldırıların artacağı da bir gerçek.

Resim olarak depolamayın

Çalınan parmak izi eğer resim olarak depolanmış bir parmak izi ise bundan sahte bir parmak izi üretmek mümkün. Bu durum, Ölçsan Satış Müdürü Tunç Pınar’ın da dikkat çektiği gibi, kullanılan geçiş kontrol ve kimlik doğrulama gibi sistemlerde, yani erişim sağlanabilen her yerde bir kötü kullanım riski doğurabilir. Yani sistemin tek doğrulama modeli parmak izi ise, yanında PIN, kart, SMS doğrulama gibi ek bir güvenlik katmanı yoksa, bu durum sakıncalı kullanımlar yaratabilir.

Bu arada, Hitachi Data Systems Türkiye Satış Danışmanlık Lideri Taylan Tandoğan’ın dikkat çektiği gibi, parmak izlerine ait örneklerin saklanmasında henüz oturmuş bir sistem de yok. Örnekler resim olarak, şifrelenerek ya da parmak izindeki belirli noktaların bir format içerisinde saklanması şeklinde depolanabiliyor. Ancak şifrelenmiş dahi olsa parmak izi verisi resim olarak saklandığında, tersine mühendislik ile yeniden yaratılması mümkün. Şifresiz olarak saklanan parmak izi verilerinde ise çalınan parmak izine ait örneklerden parmak izi oluşturmak kolay. Parmak izi insan vücudunun dışında olduğundan, okuma ve doğrulama işlemleri de bu temele dayandığından, asetat film gibi belirli materyaller kullanılarak sahte parmak izi görüntüleri oluşturulabilir. Tandoğan’ın belirttiği gibi, parmak izi tarama cihazları da herhangi başka bir test yapmadığından, oluşturulan bu sahte görüntü ile cihazlardan onay alabilmek çok kolay.

Parmak damar izinin farkı

Peki acaba parmak izi çalanlar, bunlarla neler yapabilir? Tunç Pınar, parmak izi ile geçiş kontrolü yapılabilen yerlerde, örneğin ofislerde, yüksek güvenlikli alanlarda, askeri ve adli binalarda bunların kullanılabileceğini belirtirken, ekliyor: “Ayrıca yine parmak izi ile bilgiye erişim sağlanan alanlarda, örneğin; elektronik bankacılık işlemlerinde, bilgisayar erişiminde kullanılabilir.”

Parmak izi verisi çalındığında sahte parmak izi oluşturularak, ki bunun en kolay yolu belirttiğimiz gibi asetat üzerine uygulamak, parmak izi güvenliği ile işlem yapılan her uygulama ve cihaz yanıltılabilir. Bu riske işaret eden Taylan Tandoğan, parmak damar izini farklı kılan başlıkları ise şöyle anlatıyor:

“Parmak damar izi örnekleri, şifrelenerek saklanır. Tüm veri alınıp saklanmadığı ve hiçbir zaman yüzde 100 aynı veri elde edilemediği için tersine mühendislik uygulanamaz. Parmak damarları parmağın içinde olduğu için kopyalanması imkânsız. Parmak damar okuyucular fiziksel temas ile bir yüzeyi değil, özel teknikler kullanarak parmağın içindeki damarların yapısına göre kimlik doğrular. Örneğin Hitachi parmak damar izi okuyucu cihazları, canlı doku testi yapar. Bu da parmak damar verisi kopyalansa, parmağın sahtesi oluşturulsa, hatta parmak kesilerek cihazda kullanılsa bile doğrulama yapılamayacağı anlamına geliyor.”

Algoritmanız ‘çözülemez’ olsun

Gelelim parmak izlerini doğru ve güvenli saklama yöntemlerine… Parmak izi alınırken güvenlik seviyesini yüksek tutmak şart. Alınacak biyometrik verinin, yani parmak izinin saklanma metodu da asla “image” şeklinde olmamalı. Bu hatırlatmayı yapan Tunç Pınar’ın önerisi, parmak izinin, resim olarak depolanmadan, bir algoritma türetilmesiyle şifrelenerek, yalnızca bir matris kod şeklinde saklanması yönünde. Bu sayede bu matris kodlar çalınsa bile, bu koddan tekrar parmak izi resmi oluşturulamayacağı için çalınan bilginin de çöpten başka bir değeri olmayacak. Yani parmak izi sistemlerinde veriyi doğru şekilde alıp saklamak, bunun en önemli koruma metodu. Bu vurgunun ardından Pınar, şu eklemeyi yapıyor:

“Biyometrik teknolojilerde sadece gelecekte değil, günümüzde de yeterli önlem metotları türetildi. Yalnızca parmak izi değil, parmak izi ve parmak damar izi de alınarak asla kopyalanamayacak, taşınamayacak bir veri olan bu metot güçlendirildi. Buna ek olarak, taşınamayan diğer biyometrik veriler de kullanılabilir.”

Çalınma riskine karşı kurum ve firmalar da parmak izi verilerinin depolandığı sistemleri yazılımsal ve donanımsal olarak saldırılara karşı korumaya çalışıyor. “HDS Obje Tabanlı Veri Depolama sistemleri sayesinde bu konuda, yedekleme gereksinimi olmaksızın veriyi güvenli olarak saklama imkânı sağlanmakta” bilgisini veren Taylan Tandoğan, ekliyor: “Parmak izi verilerinin, çalınsa bile yeniden kullanımını engellemek ancak çok ciddi şifreleme ve tersine mühendisliğin çalışamayacağı algoritmik yapılar ile mümkün olabilir.”

Riskler bir parmak uzakta

Ölçsan Satış Müdürü Tunç Pınar: “Parmak izi ya da biyometrik veriler doğru metotlarla kullanıldıkları zaman hayatımıza konfor getirmekte, fakat süreçleri sorgulamaları ve güvenlikleri iyi tasarlanmadığı zaman hayatımızda riskleri ile beraber taşımakta.  Biyometri kullanımı; kişileri gerçek manada doğrulaması ve konfor getirmesi sayesinde kamu ve özel sektörde yaygın. Yeterli önemler alındığı takdirde, bu sistemler yaygınlaşacak. Biyometrik sistemlerin kullanımında doğru metot ve doğru teknolojilerin yüksek güvenlikle uygulanması önemli. Bunun için özel algoritmalar, yüksek güvenlikli şifrelemeler, kullanılacak biyometrik cihazların güvenlik seviyeleri ve en önemlisi, verinin saklanma metodu son derece önemli.”

Hitachi Data Systems Türkiye Satış Danışmanlık Lideri Taylan Tandoğan: “Parmak izinin kullanımı; parmak damar okuyucu cihazlar yaygınlaşmaya başladıkça azalmakta. Bu nedenle, özellikle devlet kurumlarında parmak izi kullanımından uzaklaşılmakta. Ayrıca konunun kanuni yönü gözden kaçırılmakta. Kanunlarımıza göre, parmak izi toplama ve depolama yetkisi sadece kolluk kuvvetlerinde. Fakat kanunlardan bihaber hazırlanan uygulamalarda en küçük işletmede kullanılan PDKS (Personel Devam Kontrol Sistemleri) için bile parmak izleri alınmakta ve hiçbir ciddi güvenliği olmayan sunucularda saklanmakta. Gerekli önlemleriS etkin uygulamayan kurumların bu açılardan sorun yaşama riski yüksek.”