Güvenli bir binaya girdiğinizi ve elinizin yanına yaklaştığınızda kapının açıldığını hayal edin. Anahtar kartı yok, PIN yok, parmak izi yok. Bunun yerine sistem sizi, avucunuzun çevredeki Wi-Fi sinyalini bozma biçimine göre tanımlar. Brezilya’daki Havacılık Teknoloji Enstitüsü’ndeki (ITA) araştırmacıların gerçekleştirdiği yeni bir çalışmanın ardındaki fikir bu.
Wi-Fi sinyallerini kimlik verilerine dönüştürme
Çalışma, Wi-Fi Kanal Durumu Bilgisinin (CSI) her kişinin elini benzersiz kılan küçük fiziksel farklılıkları nasıl yakalayabildiğini araştırıyor. CSI, kablosuz bir sinyalin havada hareket ederken, nesnelerden ve insanlardan yansıyarak nasıl davrandığını gösteren verilerdir. Bu varyasyonlar, belirli bir kişiye bağlı tekrarlanabilir kalıpları bulmak için kaydedilebilir ve analiz edilebilir.
Ekip bu araştırmada avuç içi şekli ve yapısına odaklandı. El büyüklüğüne, parmak uzunluğuna ve parmakların birbirinden ne kadar uzak olduğuna baktılar. Bu ayrıntılar, el verici ve alıcının yakınında olduğunda Wi-Fi sinyalini biraz değiştirir. Araştırmacılar, özel bir akrilik kutuya yerleştirilen Raspberry Pi bilgisayarını kullanarak küçük bir test düzeni oluşturdular. Dış paraziti sınırlamak ve küçük sinyal farklılıklarını yakalamak için cihazın anten gücü 1 dBm’ye düşürüldü.
Wi-Fi sinyalleri gönderilip alınırken her katılımcı elini kutunun üzerine koydu. Sistem, ortaya çıkan CSI verilerini kaydetti ve kimin eli olduğuna karar vermek için makine öğrenimi algoritmalarını kullandı.
Deneyler nasıl çalıştı?
Araştırmacılar fikirlerini yarısı erkek, yarısı kadın olan 20 gönüllüyle test etti. Herkes sağ elini Raspberry Pi cihazının bulunduğu küçük bir akrilik kutunun üzerine koydu. Sistem, kişinin elinin onu nasıl etkilediğini izlerken kutu Wi-Fi sinyalleri gönderip aldı.
Her el birkaç saniye boyunca birkaç kez tarandı. Bu, ekibin incelemesi için binlerce veri noktası oluşturdu. Sinyaller, güç ve zamanlamada değişiklikler gösterdi; bunların her ikisi de, her kişinin elinin benzersiz şeklini ve boyutunu ortaya çıkarmaya yardımcı oldu.
Veriler toplandıktan sonra araştırmacılar, sisteme bir kişinin avucunu diğerinden nasıl ayırt edeceğini öğretmek için makine öğrenimini kullandı. En iyi sonucu vereni bulmadan önce birçok ortak algoritmayı denediler.
Deneyler (Kaynak: Araştırma makalesi)
Tutarlılık neden daha büyük bir zorluk olabilir?
Çalışma kontrollü bir ortamda yüksek doğruluğa ulaşırken, bu performansın gerçek dünya ortamlarında sürdürülmesi daha karmaşık olabilir. Secure Technology Alliance İcra Direktörü Christina Hulka, Help Net Security’ye CSI verilerinin sinyali bozabilecek küçük çevresel değişikliklere karşı hassas olduğunu söyledi.
“CSI özellikleri duvarlardan, zeminden, camdan ve metalden gelen çok yollu yansımalarla sıkı bir şekilde bağlantılıdır. Kalın beton ve metal nesneler sinyal gücünü etkileyebilir ve sinyalleri engelleyebilir” diye açıklıyor. “Hareketli bir arabanın yerini değiştirmek veya bir gizlilik ekranı eklemek kadar basit bir şey bile kanalı, modeli ‘etkili noktasından’ uzaklaştıracak kadar değiştirebilir. İnsan vücudu aynı zamanda mükemmel RF emici ve yansıtıcıdır. Etrafta veya kalabalık alanlarda hareket eden insanlar sinyali engelleyebilir veya yanlış reddedilmelere neden olabilir.”
Pek çok ortamın zaten istikrarlı kimlik doğrulamayı zorlaştırabilecek örtüşen kablosuz etkinlik içerdiğini ekliyor. Hulka, “Aynı zamanda ‘RF işinin’ gerçekten zorlu olduğu bir dünyada yaşıyoruz” diyor. “Cep telefonu Bluetooth bağlantıları, Wi-Fi ağları, Zigbee trafiği ve bağlı cihazların çoğu, CSI akışlarına, kararlılığını ve sınıflandırıcının güvenini etkileyecek yapaylıklar katabilir. Şu anda bu sorun için kusursuz bir geçici çözüm mevcut değil.”
Sorunun donanım farklılıklarına kadar uzandığını belirtiyor. “Telsizlerdeki veya kablo gerilimlerindeki en küçük farklılıklar bile, modelin kimlik sapması olarak yorumlayacağı şekilde fazı veya genliği değiştirebilir” diyor. “Söylemek yeterli, burada dikkate alınması gereken çok şey var.”
Temassız erişim sistemi oluşturma
Araştırmanın amacı temassız, kullanımı kolay ve düşük maliyetli bir erişim kontrol yöntemi oluşturmaktı. Bu amaçla Wi-Fi kullanmak, çoğu binada halihazırda bulunan aynı altyapının kimlik doğrulama için uyarlanabileceği anlamına gelir. Araştırmada kullanılan Raspberry Pi kurulumunun maliyeti geleneksel biyometrik donanımlardan çok daha düşüktü ve çalışması için çok az güç gerekiyordu.
Verilerin tutarlı kalmasını sağlamak için kullanıcılar mücevherleri, saatleri ve sinyali bozabilecek diğer eşyaları kaldırdı. Akrilik kutu aynı zamanda paraziti en aza indirerek ve el ile alıcı arasında 3 santimetrelik sabit bir mesafeyi koruyarak da yardımcı oldu. Her yakalama, istikrarlı okumalar sağlamak için kayıt başlamadan önce kısa bir gecikme içeriyordu.
Deneyde analiz için yalnızca sağ taraftaki veriler kullanıldı, ancak tüm veri seti her iki eli de içeriyor. Araştırmacılar gelecekteki testleri daha büyük gruplara, daha uzun sürelere ve farklı fiziksel koşullara genişletmeyi planlıyor.
Gerçek basınç altında test etme
Hulka, bu tür bir Wi-Fi kimlik doğrulamasına güvenilmeden önce, daha katı ve daha şeffaf koşullar altında test edilmesi gerektiği konusunda uyarıyor.
“‘Mükemmel’e yakın’ sonuçlar, resmi bir biyometrik sertifikasyon veya doğrulama programı aracılığıyla onaylanmadan laboratuvar dışında pek bir anlam ifade etmiyor” diyor. “ISO/IEC 19795-1 metriklerini tek bir kontrollü ayar yerine günler arası ve sahalar arası koşullar altında raporlamanız gerekir. Bu nedenle farklı odaları, dış ortamları ve donanımları test edin.”
Aynı zamanda standartlara dayalı değerlendirmenin gerekliliğini de vurguluyor. Hulka, “Bağımsız bir laboratuvardan, hem PAD bileşeninin hedefli kontrollerini hem de tam uçtan uca sistem denemelerini içeren, ISO/IEC 30107-3 ile uyumlu bir sunum-saldırı tespit değerlendirmesi yürütmesini isteyin” diye açıklıyor. “Laboratuvar gerçekçi araçlar kullanmalı ve temel doğruluk rakamlarının yanı sıra temel hata oranlarını da yayınlamalıdır. Bunu standart performans ölçümleriyle eşleştirerek uygulayıcıların hem kullanılabilirliği hem de dayanıklılığı tek bir görünümde değerlendirebilmesi gerekir.”
Bunun CISO’lar için anlamı ne olabilir?
Yazarlar, geleneksel sensörlerin bakımının zor olduğu veya gizlilik endişelerini artırabileceği ortamlarda Wi-Fi tabanlı biyometri potansiyeli görüyorlar. Sistem mevcut kablosuz donanımı kullandığından, halihazırda Wi-Fi ağlarına bağlı olan IoT ortamlarına veya fiziksel erişim sistemlerine sığabilir.
Güvenlik liderleri için bu tür araştırmalar, fiziksel ve ağ sinyallerini harmanlayan farklı bir kimlik yönetimi katmanına işaret ediyor. Yakın zamanda parmak izlerinin veya kimlik kartlarının yerini alamayabilir ancak halihazırda mevcut olan kablosuz sistemler kullanılarak kimlik doğrulamanın nasıl gelişebileceğini gösteriyor.
e-Kitap: Kimlik Güvenliğini Tehdit Edildiği An Savunmak