Mobil cihaz güvenliği (2)

Konuyla ilgilenenler bilirler, Avrupa ülkelerindeki son 20 yıllık akıllı kart merakı nedense ABD’ye hiç bulaşmadı. Avrupa’nın akıllı kart devrimi, ABD’de pek dikkate alınmadı! Ancak, herkesin cebinde bir akıllı telefon cihazı olması bu ‘atlanmış’ devrimin yerine daha iyi çözümler sunuyor. Hayır, BDDK’mızın o çok sevdiği SMS ile doğrulamadan değil, daha yaratıcı, daha kullanışlı ve daha güvenli çözümlerden bahsediyorum.
Bu çözümlerden bir tanesi, one-time password üreten donanımların yerine geçecek, mobil cihaz uygulamaları. Bankalar tarafından müşterilere ülkemizde de dağıtılan bu minik donanımlar, üzerindeki anahtara her dokunuşunuzda yeni bir sayı üretiyor; sunucudaki yazılımla senkronize olan bu sayı sizin ancak bir kere kullanabileceğiniz login şifreniz.
Bu özellikte bir yazılım üretip, mobil telefonda koşturabilirsiniz, zaten ülkemizde örnekleri de var, örneğin ben de iPhone’da koşan İş Bankası Cep Anahtar uygulamasını kullanıyorum. Ancak böyle one-time password üreteçleri tamamıyla ‘yazılım’. Üzerinde koştuğu mobil donanıma ‘yapışık’ değil .. bu uygulamayı başka bir donanıma aktarırsanız, orda da koşar ve aynı sayıları üretir.
Mobil cihaz donanımında bir değişiklik yaparak donanımları seri numaralı hale getirerek, donanıma yapışık uygulamalar geliştirmek mümkün, ancak bunlar cihaz üreticisi ve işletim sistemi sahibinin becerebileceği çözümler. Her uygulama yaratıcısına verilecek bir hak değil.
Ancak size benim üzerinde çalıştığım bir teknolojiden bahsetmek isterim: Bizim yaptığımız, elimizdeki cihaza bir donanım farklılığı zorlamak yerine, cihaza ait kamera, ses sistemi (speaker & mic), hafıza ve diğer bileşenlerde var olan üretimden kaynaklanan farklılıkları ölçmek (bunlara, manufacturing variability deniyor) ve bu bilgilerden sadece o cihaza özgü bir seri numarası üretmek. Eğer, one-time password yazılım uygulaması bu seri numarasına bağlanırsa, donanıma özgü hale gelir ve o donanımda üretilen sayılar başka bir donanımda üretilemez. One-time password uygulaması koştuğu cihaza yapışır!
Ne yaptığımızı daha fazla öğrenmek isterseniz, lütfen bakın: http://intryca.com