Makale

3D Yazıcılarla Üretilen Sahte Parmak İzleri, Parmak İzi Doğrulamalarını Etkisiz Kılabilir

Bilgi Güvende

tarafından

17 Nisan 2020

tarihinde yayımlandı

Siber güvenliğe dair tehditlere bir yenisi daha eklendi. Yeni bir araştırma 3D yazıcı teknolojisi kullanılarak “sahte parmak izi” oluşturabileceğini ortaya çıkardı. Cisco Talos araştırmacıları 3D yazıcı teknolojisi ile oluşturdukları sahte parmak izlerini iPhone 8, Samsung Galaxy S10 gibi akıllı telefonlar, Samsung Notebook 9, Lenovo Yoga ve HP Pavilion X360 gibi dizüstü bilgisayarlar ile çeşitli akıllı cihazlarda denedi. Sahte parmak izleri ile %80 oranında başarı elde edildiği ve güvenlikle ilgili teknolojilerin en az bir kez aldatılabildiği kaydedildi. Yöntem, Microsoft Windows 10 cihazları üzerinde ise yaramadı, ancak araştırmacılar spesifik yöntemin değiştirilebileceğini not düştü.

Sahte parmak izleri üretebilmek için önemli bir zaman ve bütçe gerekiyor. Araştırmacılar, tüm testlerde kullandıkları 50 kalıbı hazırlamanın aylar sürdüğünü ve hedefledikleri bütçe olan 2 bin doları aşmamak için çok zorlandıklarını belirtti. Söz konusu tablo, biyometrik güvenliğini aşmak için 3D yazıcı teknolojisinin yakın zamanda yaygınlaşmayacağına dair bir öngörüyü beraberinde getiriyor.

Cisco Talos adına açıklamada bulunan Craig Williams, “Biyometrikler bir cihazın kullanımını son derece kolaylaştırıyor. Bir şifreyi hatırlamak zorunda kalmıyorsunuz. Şifre girmek zorunda olmamanız erişimi daha hızlı kılıyor. Yanınızda ek bir cihaz taşımak zorunda değilsiniz. Bu yüzden birçok kullanıcı için en iyi sistem olduğunu düşünüyorum” ifadelerini kullanıyor.

“Birkaç yıl önce aklınıza gelmeyecek yöntemler gerçek oluyor. Şurası önemli; 3D yazıcı alanında son yıllarda çok büyük atılımlar yapıldı. Bugün evinizde kullanabildiğiniz uygun bütçeli 3D yazıcılar ile 1 mikron boyutunca baskı yapılabiliyor. Parmak izlerinin 400-500 mikron boyutunda olduğunu düşünürsek, parmak izinizi ele geçiren biri sahtesini evinde basabilir. Burada önemli engel bütçe olarak beliriyor. Araştırmada 2.000 doların aşılmaması hedeflendi. Ancak bu bütçe ile başarı elde edebileceğiniz kalıplar hazırlamak kolay değil, ayrıca uzun bir zaman gerekiyor. Mükemmel kalıbı hazırlamak için onlarca saat çalışıldı. Kısacası bu yöntem herkesin kalkışacağı bir uğraş gibi görünmüyor. Birisi telefonunuza 20 dakika boyunca elini koyarak bunu yapamaz. Yine de önceden birisi parmak izinizi önceden kopyalamış ise buna kalkışabilir.” Diyen William, sözlerine şöyle devam ediyor:

“Dikkat çekilmesi gereken nokta, sahte parmak izi saldırısının uygulanabilir olduğu. Mağazalardan alıp evinizde kullanacağınız malzemeler ile bunu yapabilirsiniz. Bir yandan da çok zor. Malzeme konusunda belli bir yatırım yapmanız, kullandığınız malzemeler ve yöntem üzerinde uzman olmanız, üstüne üstlük deneme-yanılma yöntemi ile birçok test gerçekleştirmeniz gerek. Eğer başarıya ulaşırsanız, en gelişmiş biyometrik sistemleri bile kandırabilirsiniz.”

Sahte parmak izi geliştirmek için katlanılması gereken zorluklarla ilgili de bilgi paylaşan güvenlik uzmanı, “Öncelikle reçine kullanan ve bu tür işlemler için ideal bir 3D yazıcı alınmalı. Ortalama 1,000 dolar 3D yazıcı için harcanırsa bir de bakım için ek malzemelerin alınması gerekiyor. 2,000 dolarlık bütçenin büyük kısmını bunlar oluşturuyor. Gerisi, yorucu deneme-yanılma sürecinde harcanacak malzemeleri içeriyor.” Diyor.

Güvenlik araştırmacısı Williams’ın konuyla ilgili olarak akıllardaki bazı sorulara yönelik yanıtları şöyle:

Sahte parmak izi yöntemi cihaz güvenliği hakkında ne gibi fikirler veriyor?

Araştırmada her gün yanınızda taşıdığınız, yolda ve spor salonunda elinizde olan cihazların tümü incelendi. Belli anlarda hızlı erişim için biyometrik güvenliğin tercih edildiğini düşündüğümüz cihazların geneline bakıldı. Tek istisna Microsoft cihazları oldu. Microsoft teknolojisi en gelişmiş güvenlik sistemlerinden birine sahip ve kandırılamadı. Erişilen sonuç, sahte parmak izinin işe yaradığı ve Microsoft’un da gelecekte kandırabileceği. Bu durum şu örneğe benziyor: Evinizde bir alarm sistemi var, peki dünyanın bir numaralı hırsızını dışarıda tutabilir mi?

Donanım üreticileri risk oranını düşürmek için neler yapabilir?

Mobil cihaz üreticileri sahte erişimleri tespit için cihazlarına daha gelişmiş tespit ve analiz sistemleri kurabilirler. Önemli olan mevcut biyometrik sistemin daha da geliştirilmesi. Algoritmaları geliştirerek çözünürlüğü artırabilir, doğruluk oranı tespitini güçlendirebilirsiniz. Bu, iki adımlı faktör (2FA) kullanımına benziyor. Bir uygulamaya erişim için şifre belirliyorsunuz, ardından onu daha güçlü kılmak için ikinci bir güvenlik adımı daha ekliyorsunuz. Biyometrik sistemler güvenilir ve kolay olduğu için tercih edildi. Birçok kişiyi de dışarıda tutacağını çok iyi biliyoruz.

Gelecekte 3D yazıcı teknolojisinin daha ucuz olması tehdidi artırır mı?

Özellikle evde kullanılan 3D yazıcılar alanında önemli gelişmeler yaşanacağı düşünülüyor. Geliştirilen yeni metodoloji ve cihazlar ile siber suç tehdidinin artışına tanıklık edeceğiz. Evinizin tüm kapı ve pencerelerini kilitlediğinizde bu, kimsenin içeri giremeyeceği anlamına gelmiyor. Ancak bizler kilit kullanmaya devam ediyoruz. Biyometrik doğrulama da bir nevi minimum seviyede güvenliği temsil ediyor. Eğer kullandığınız yöntemin risk altında olduğunu düşünmüyorsanız, zayıf yönü ifşa edilemeyecek ise kullanıyorsunuz. Yine de kullandığımız sistemler karmaşık ve saldırıya açık. Araştırmanın amacı da bunu göstermekti.

Güvenlik uzmanları için her zaman öne çıkan sorulardan biri, “şifre kullanımını nasıl daha da kolaylaştırabiliriz” oldu. Kullanıcılar şifrelerini unutuyor, bir yerlere yazıyorlar. Güvenlikçiler de yeni teknolojiler ile orijinal şifreyi korumanın yeni yöntemlerini arıyor. Yıllar önce biyometrik teknolojisi hayatımıza girdi ve mobil cihaz kullanımında yayıldı. Bugün herkes bu teknolojiyi kullanabiliyor.

Biyometrik alıcılarla ilgili tehdit modelleri nasıl aşılıyor?

Geçmişte yaşanan sorunların ardından tüketicilerin normalde aklına getirmediği tehdit modelleri de değerlendirilmeye başlandı. Tehdit modeli çok alışkın olduğumuz bir terim değil, ancak koronavirüs ile daha iyi anlaşılabilir. İnsanlar bugün dışarı çıktıklarında “Eldiven takmam gerekir mi, yanımda maske ve el hijyen sıvısı taşımalı mıyım” gibi sorular soruyor. Bunlar normalde soracağımız sorular olmasa da günümüzde ilk akla gelenler. Parmak izi güvenliğine gelindiğinde de aslında birçok endişe ve soru işareti söz konusu. Yapılan araştırma ile tehdidin ne ölçüde olduğunu kamuoyunun anlayabileceği şekilde görmesi amaçlandı.

Sahte parmak izi saldırısı hazırlık süreci düşünüldüğünde hangi boyutta karşımıza çıkabilir?

Parmak izi adımının amacı, kullanıcılara siber suçlular tarafından çok kolay tahmin edilebilecek güvenlik sorularından daha güvenilir bir yöntem sunmaktı. Böylece güvenlik sağlanacağı gibi kullanımı kolay bir teknoloji olması amaçlanıyordu. Parmak izi, beklenen ve istenen bir yenilik olsa da bu sefer yeni soru işaretlerini akıllara getirdi. Eğer biri parmak izinize ulaşırsa ne olur? Örneğin bir güvenlik kontrol noktasından geçiyorsunuz ve birisi telefonunuzu geçici olarak alıyor. Hatta, komik bir düşünce olsa da birisinin başparmağınızın fotoğrafını çekmesi de işe yarayabilir. Buradan yola çıkan bir siber suçlu, 3D yazıcıda parmak izinize ait kalıp hazırlayabilir. Kısaca, herkes kendisi hakkında belli bilgileri orada burada ifşa ediyor, dolayısıyla biyometrik bilgilerini de çaldırma riski yaşıyor. Burada farklı olan, siber suçluların bir yerlere yazdığınız şifrenizi bulması değil, biyometrik bilginizi çalması. Retina taraması da buna dahil. Bir kameraya bakıyorsunuz ve retina taramasının yanı sıra dokunduğunuz her yerde parmak izi bırakıyorsunuz.