Siber Güvenliğin Fiziksel Boyutu; Biyometrik Güvenlik Orkun Önen Başar Özpulat 26 Nisan, 2018
Kimlik Doğrulama (Authentication) Sizin bildiğiniz bir şey Size ait olan bir şey Sizin olduğunuz bir şey (biyometrik) Çoklu doğrulama (MFA) uygulanmadığı takdirde yöntemlerin güvenilirliği tartışmaya ve uygulanma yöntemlerine göre değişiklik gösterir. 2
Biyometrik Güvenlik Pros: Eşsizlik Kullanım kolaylığı Yeniden yapılandırma metotlarına ihtiyaç duymaması Cons: Değiştirilemezlik Yakınsama ile kimlik doğrulama Doğrulama metodu yerine öz datanın kullanılması Maliyet 3
Parmak İzi Optik Okuyucu 2 boyutlu görüntü üzerinden çalışır. Kapasitif Okuyucu (CMOS) Işık kullanmaz, elektrik akımı göndererek parmak izi şeklini çıkatır. Ultrason Okuyucu Yüksek frekanslı ses dalgaları kullanarak derinin altındaki katmanı algılar. Diğer okuyuclar temiz yüzeye ihtiyaç duyarken ultrason okuyucularda ihtiyaç yoktur. En pahalı çözümdür. Termal Okuyucu Parmak izi yüzeyindeki girintiler ve çıkıntıların arasındaki sıcaklık farklarını algılayarak çalışır. Ortam ısısı isabetlilik oranını etkilediği için çok fazla tercih edilmez. Pros: Ucuzluk Kullanım kolaylığı Hata oranı diğer biyometrik çözümlere göre yüksektir. Cons: Taklit edilebilirlik Data sızıntısı Kaybedilebilirlik 4
Parmak İzi Tehdit Vektörleri Sahte yetkilendirme (Confused Authorization) Ön planda «Giriş yapmak için parmağınızı okutun» olarak görünen bir uygulama, arka planda işlem gerçekleştirme yetkisi verebilir. Kimlik doğrulama ve yetki verme işlemlerini karıştırır. Güvensiz veri saklama Üretici veya hizmet veren firmaların değiştirilemez parmak izi bilgilerini ne derecede güvenli sakladığı önemlidir. Doğrudan sensör erişimi Sensör modülünün sıkılaştırmasının yetersiz olduğu durumlarda, saldırgan veya zararlı yazılım doğrudan sensör modülü ile iletişime geçerek bilgileri kopyalayabilir, silebilir veya tekrarlayabilir. Önceden yerleştirilmiş arka kapı (backdoor) Cihaz üzerinde ayarlarda görünenden daha fazla parmak izi kaydı yapılabilir. Bu parmak izi de arka kapı olarak kullanılabilir. 5
Göz ve Avuç İçi Tarama Iris Okuyucu Kamera gözün ön kısmının fotoğrafını alır ve eşleşme algoritmalarından geçirerek işleme alır. Retina Okuyucu Göz arkasındaki kılcal damarlarının özgün dizilimini algılar. En düşük hata oranına sahiptir. (1/10,000,000) Avuç içi Okuyucu Kan damarlarının özgün dizilimini algılar. Pros: Düşük hata payı Taklit edilemezlik Cons: Maliyet Kullanım zorluğu Veri hırsızlığı 6
Biyometrik Veri Sızıntıları 7
Geleceğin Biyometrik Kullanımları Devamlı kimlik doğrulama (continuous authentication) Kullanıcı hareketleri, davranışsal analizler, el yazısı ve tuşlama tanımlama İnkar edilemezlik Biohacker DNA dizileme DIY kit ler 8
Teşekkürler
www.kpmg.com.tr Bu dokümanda yer alan bilgiler genel içeriklidir ve herhangi bir gerçek veya tüzel kişinin özel durumuna hitap etmemektedir. Doğru ve zamanında bilgi sağlamak için çalışmamıza rağmen, bilginin alındığı tarihte doğru olduğu veya gelecekte olmaya devam edeceği garantisi yoktur. Hiç kimse özel durumuna uygun bir uzman görüşü almaksızın, bu dokümanda yer alan bilgilere dayanarak hareket etmemelidir. 2018 KPMG Bağımsız Denetim ve SMMM A.Ş., bir İsviçre kuruluşu olan KPMG International Cooperative e bağlı bağımsız üye firmalardan oluşan KPMG ağının üyesi bir Türk şirketidir. Tüm hakları saklıdır. KPMG adı ve KPMG logosu KPMG International Cooperative in tescilli ticari markalarıdır.