Biyometrik Sistemlere Yapılan Saldırılar ve Güvenlik

Bazı biyometrik sistemler, kayıt ettikleri verileri, hızlı erişebilmek adına herhangi bir şifreleme ya da hashing yapmadan saklamakta, bu durum da sistemin genel güvenliğini tehlikeye atmaktadır. Özetle, bir biyometrik sistem, kendi içinden kaynaklanan sorunlar nedeniyle, ya da kasıtlı saldırılarla doğru çalışmaz hale getirilebilir. Örneğin kullanılan parçaların kalitesizliği nedeniyle yüksek FAR’a sahip bir ürün, yanlış kişiyi doğrulayabilir. Ya da sensöre veya veri tabanına yapılacak bir manipülasyon sayesinde, aslında doğrulanmaması gereken bir kişi eklenebilir.

Aynı zamanda, sisteme daha önce kayıt edilen bir kullanıcıya ait bir veri, değişik şekillerle kopyalanıp sisteme sunulabilir. Bunun en iyi örneği, 2 boyutlu yüz tanımalarda, kişinin vesikalık fotoğrafını kullanmak olabilir.

Cihaza fiziksel erişimin mümkün olduğu durumlarda, kötü niyetli kullanıcılar, sensörü değiştirerek, kimliğinin doğrulanmasını sağlayabilir.

Sistem bileşenlerinin arasındaki iletişimi sağlayan kanallarda, gizlice dinleme yapılabilir, Man-in-the-middle saldırıları ile veri manipüle edilebilir kaba kuvvet saldırıları yapılabilir, ele geçirilen veri tekrar tekrar kullanılarak kimlik doğrulama yapılabilir, eşleşme yapılabilmesi için yapay veri üretilebilir, eşleşme skoru veya karar mekanizması tahrif edilebilir.

Veri tabanına erişim söz konusu olduğunda, özellikle verinin gizliliği ve bütünlüğü tehlikeye girer. Şifrelenmemiş verinin okunması aynı zamanda kişisel verilere erişim anlamına gelebilir. Benzer şekilde, saldırgan, verileri okuyarak, şablonlara erişerek, kendine ait bilgiyi ekleyebilir ya da başkasına ait verileri değiştirebilir. Kimlik ile biyometrik arasındaki bağlantıyı değiştirerek, kimliğin doğrulanamamasına sebep olabilir.

Karar ve eşleşme mekanizmalarına erişim mevcut ise, girilen değere ait eşleşme skoru değiştirilebilir, daha önce girilen değer tekrar girilebilir ya da eşleşme skorları incelenerek, kaba kuvvet saldırıları yapılabilir (Hill climbing attack).

Bunların yanı sıra, otomatik kayıt özellikli ve gözetimsiz biyometrik tanıma sistemleri, her zaman kimlik yanıltmasına açıktır. Kayıt zamanında girilecek her yanlış bilgi, daha sonra kimlik doğrulamada yine yanlış kullanım ile sonuçlanabilir. Ya da doğru bir biyometrik, yanlış kimlik ile eşleştirilebilir.

Bu saldırılara karşın, ilk önemli güvenlik önlemi, sistemin fiziksel güvenliğini sağlamaktır. Aynı zamanda veri tabanındaki bilgilerin şifrelenerek ya da hashlenerek saklanması gerekmektedir. Kanallardaki sorunları gidermek için de bileşenler arası trafiğin şifrelenerek akması tercih edilmelidir. Maalesef bütün bu özellikler, cihazın (ya da sistemin) performansını sekteye uğratacak durumlardır. Her bir şifreleme işleme, makine hızında bile olsa, kimlik doğrulama esnasında süreyi uzatabilir. Ancak, güvenliğin ve kimlik kesinliğinin zorunlu olduğu ortamlarda bu tür önlemlerin alınması gerekmektedir. Bunun yanı sıra, biyometrik kimlik doğrulamasının içerdiği bu tür sorunlardan dolayı biyometrik doğrulamanın tek başına değil, ikincil yöntem olarak kullanılması tavsiye edilmektedir.

Kaynakça:

1-Rüya ŞAMLI, M. Erkan YÜKSEL İstanbul Üniversitesi Bilgisayar Mühendisliği Bölümü

2-https://www.biznet.com.tr/biyometrik-kimlik-dogrulama-sistemlerinin-guvenirligi

3-M. Akçay, H. H. Çetinkaya, Kampüslerde Uygulanan Yeni Biyometrik Sistemler, Akademik Bilişim, Malatya-Türkiye, (2011).