"Nesnelerin İnterneti"nin kullanımının geniş bir alana yayılması sonucu akıllı sensörlerin ve uygulamaların giyilebilir ürünlerde de kullanımıyla kıyafet ve aksesuarlarımız da dijitalleşmeye başlamıştır. Akıllı ürünler dediğimiz bir yazılım ve donanım entegrasyonuyla çevreyle iç içe olan her ürün gibi giyilebilir teknolojiler de siber saldırılara uğrayacak ve güvenlik önlemleri alınması gerekecektir. Yapılan araştırmalar bir kullanıcının PIN ve parolaları kırmak için giyilebilir teknolojilerde bulunan gömülü sensörlerin kullanılabileceğini göstermiştir. Binghamton Üniversitesi ve New York'taki Stevens Institute of Technology arasındaki işbirliğiyle yapılan bir araştırma sonucunda özellikle akıllı sporcu aksesuarları ve saatlerin güvenlik ihlallerine karşı savunmasız oldukları kanıtlanmıştır.
ATM gibi tuş tabanlı sistemler için en büyük güvenlik tehdidi, banka kartlarının manyetik şeritlerinden veri çalmak amacıyla ATM'lere takılan sıyırıcı dediğimiz özel cihazlar ya da kullanıcıların şifrelerini okumak için kullanılan gizli kameralar olmuştur. Sıyırıcılar ATM’lerde kart yuvalarına yerleştirilir ve onlarım özel şifrelerini içeren hassas verileri kopyalamak ve ele geçirmek için kullanılır. Sıyırıcıları bir kullanıcının fark etmesi oldukça zor olmakla birlikte çoğu banka bu cihazların ATM’lere yerleştirilmesini engellemek amacıyla çeşitli güvenlik önlemleri almıştır.
Bir başka yöntem de klavye ile yazılan anahtarı bulmak için dilsel modelleri kullanarak ses kaydı yapmaktır. Yine veri korsanları tarafından klavyede basılan tuşları bulmak için ses sinyallerinin çok yollu sönümlenmesi de kullanılabilir. Ayrıca makine öğrenmesi bazlı kullanılan yöntemler de vardır. Veri korsanlarının geliştirdikleri tüm bu teknikler anahtar tabanlı sistemlerde kullanıcı PIN ve parolalarını ele geçirmeye yöneliktir. Kısaca kullanıcılar veri korsanları için bir araçtır. Direkt olarak üzerinde gömülü sensörler bulunan tüm dijital cihazlarla etkileşim içinde bulunan bir kullanıcı ise veri korsanları için çok kolay bir lokma haline gelebilir.
Giyilebilir Teknoloji terimi sporcular için izleme, epileptik nöbetler tespiti, kullanıcı kimlik doğrulaması gibi geniş bir uygulama alanını hatta daha fazlasını içerir. Bu uygulamalar geniş bir yelpazeye sahip olduğundan, çeşitli sensörlerin kıyafetler ve aksesuarlara dahil edilmesi gerekir. Bu yüzden akıllı aksesuar ve kıyafetlerin, amacına uygun ve başarılı bir şekilde kullanılması için çevreden büyük miktarda veri toplaması ve bu verileri değerlendirmesi gerekmektedir. Akselerometreler, jiroskop ve manyetometreler giyilebilir cihazlarda yaygın olarak kullanılan sensörlerden sadece bazılarıdır. Bu sensörler aracılığıyla bir kişinin hareketlerinin tüm takip edebilirsiniz. Bu yazının amacı ise bizim tüm bu teknolojinin bilgilerimizi kaydedip değerlendirmesine hazır olup olamayacağımızdır.
Peki ya biz bankamatikten para çekerken kıyafet ve aksesuarlarımızın kaydettiği hareketlerimiz bir veri korsanının eline geçerse? Belki de en önemli soru: Bir giyilebilir cihaz PIN Numarası veya şifreler gibi hassas bilgilerimizi ifşa edebilir mi?
Bu sorunun cevabı ise en basit anlamıyla evettir. Verileri direkt olarak giyilebilir cihazlar üzerinden almak için teknikler basit olmasa da, eğer güvenlik önlemleri alınmazsa korsanlar tarafından akıllı kıyafetlerimiz ve aksesuarlarımızdan hassas verilerimiz ele geçirilebilir. En basitinden parmaklarında ısıya ya da basınca duyarlı sensörler olan hacklenmiş bir akıllı eldivenle para çekmek tüm şifrelerinizi karşı tarafta heyecanla bekleyen bir veri korsanına gönderebilir. Bu yaklaşımla, tüm teknikleri bir kenara bırakıp basitçe kendimiz şifrelerimizi teslim edebiliriz.
Yeni bir araştırma gerekli verileri ayıklamak için giyilebilir cihazdaki düşük kalitede sensörleri kullanan bir algoritma sunar. Gömülü sensörlerin şifrelenmemiş çıkış verileri, bluetooth aracılığıyla veri süzme yöntemi veya bir malware uygulaması yükleyerek elde edilebilir.
Giyilebilir cihazlar önceki sürümlerle karşılaştırdığımızda daha az güvenli olan Bluetooth Low Energy (BLE) kullanırlar. BLE'nin Bluetooth’tan en büyük farkı isminden de anlaşılacağı üzere daha az enerji harcamasıdır. Fakat BLE ve Bluetooth için düşük enerji düşük güvenliktir demek yanlış olmaz. BLE’de korsanlar için veri süzmek çok daha basittir. Veri süzmenin dışında giyilebilir cihaza Mallware yazılımı yüklemek de bir başka veri çalma yöntemidir. Mallware karşı taraftan veri çalmak için yazılan kötü amaçlı yazılımlara verilen genel bir isimdir. Mallware aracılığıyla çalınan sensör verileri, korsana uzak bağlantı aracılığıyla gönderilebilir. Özellikle akıllı kıyafet ve aksesuarları kullanan kişilerin klavyeye parmak vuruş hareketlerinin çıkartılıp yorumlanması PIN ve parola hırsızları için önemli verilerdir.
Her ne kadar yeni yöntemler geliştirilse de bunları uygulayan korsanların önlerinde büyük engeller vardır. Örneğin kurbanın el hareketlerini inceleyen bir korsanın milimetrik algılama yapması gerekmektedir. Bu genellikle giyilebilir cihazlarda nispeten düşük dereceli sensörler mevcut olduğu göz önünde bulundurulduğunda veri hırsızları için büyük bir sorundur. Yani giyilebilir cihazda düşük dereceli sensör kullanmak bir güvenlik önlemi olarak düşünülebilir. Buna ek olarak, bu tür hassas sensörler kullanıcının bilinç dışı yaptığı el hareketleri sonucu meydana gelen titreşimleri de okuyacaktır. Özellikle parolalar rastgele sayı, harf ve sembol dizilerinden oluşturulursa yani bir kelime, önemli tarih, sıralı sayılar gibi kolay bulunabilir parolalar seçilmezse korsanın işi oldukça zor olacaktır. Kısaca her siber güvenlik konusunda olduğu gibi en önemli güvenlik yöntemi kullanıcının kendi güvenlik önlemlerini almasıyla başlar. Son olarak, sensörlerden toplanan veriler giyilebilir cihaz koordinatlarına dayanmaktadır. Bu koordinatlar tuş takımına uyumlu değildir. Özellikle ATM'lerde her tuş takımına her basışta sayı dizilerinin koordinatlarını rastgele değiştiren dokunmatik ekranlar kullanılırsa veri hırsızlarının işi oldukça zora girebilir.
Tüm bu engellere rağmen, tasarlanan saldırı çoğu durumda başarılı olur. Bu yöntem, yaygın iki akıllı saat türünde giyilebilir bir prototip kullanılarak test edilmiştir. Veri sıyırma metodu % 80 olarak ilk denemede başarılı olmuş. Test sayısı arttıkça bu oran %90'nın üzerine çıkmıştır.
Farklı tuşlar birbiri ardına basıldığında, biz bilinçsizce eşsiz hızlanma ve yavaşlama hareket kalıpları takip ederiz. Örneğin z ekseninin tuş düzlemine dik olduğunu varsayarsak, grafikteki kırmızı eğriye benzer şekilde ivmeyle hareket ederiz.
Tuşları birbiri ardına basarken oluşan hızlanma desenleri
Parmağımız tuşa anlık dokunduğunda ivme eğrisinde bir minimum oluşur. Tuş takımının altındaki tuşlara basıldığında is eğride maksimum oluşması beklenmektedir. Bu eşsiz desenler bize basılan tuşların neler olduğunu bulmak için yardımcı olur. Eğer iki yakın ardışık tuşa basarsak grafikteki 3 noktasına benzer bir desen elde ederiz. Bu noktada, X ve Y ekseni içinde bir yavaşlama ve ardından bir hızlandırma tanınabilir. Üç eksen göz önüne alındığında el hareketlerinin mesafeleri ve yönleri arasında çıkarımlar yapabiliriz.
Aşağıdaki grafik X ve Y eksenindeki hareket örneklerini göstermektedir. Yine bu eksenlerden, yukarı-aşağı hızlanma şekilleri kolayca tanınabilir.
X ve Y eksenindeki ivme grafiği
Sensör okumalarının,sabit olmayan giyilebilir cihaz koordinatına dayalı olduğunu unutmamalıyız. Yukarıdaki grafikleri kullanarak hareketlerin mesafe ve yönlerini bulmak mümkün olmasına rağmen, tuş takımı koordine etmek için bu verileri çevirmek ve yorumlamak gerekir.Bu, giyilebilir cihaz, tuş takımı ve dünya koordinatları arasındaki ilişkiyi bularak yapılabilir. El hareketleri, giyilebilir cihaz koordinatları ve dünya koordinatları arasındaki ilişkiyi bulmak için kullanılabilir.Öte yandan, tuş takımı koordinatları ve dünya koordinatları arasındaki ilişki bir sensör aracılığıyla kolaylıkla bulunabilir.
Bu yazı, giyilebilir cihazlar güvenliği sorununa çözüm sağlamaz. Ancak, özellikle daha az güvenli IOT iletişimi için, veri şifreleme ihtiyacını vurgulamaktadır. Araştırmacılar ayrıca sensörlerden elde edilen verilerdeki gürültünün olarak artırılması gerektiğini düşünmektedir. Bu gürültü veri hırsızlarının doğru verileri çalmasını engelleyebilir fakat bu giyilebilir cihazın performansını düşürmeden yapılmalıdır.
Kaynak:
► Allaboutcircuits
► Pgicyber