|
RFID; Radyo Dalgaları ile çeşitli mesafelerden otomatik olarak kimlik denetimini gerçekleştirebilen teknolojik bir yapıdır. RFID yapıları, genel olarak RFID Reader ve RFID Tag olmak üzere iki parçadan oluşur.
- RFID Reader, kimlik denetimi için sorgulama yapan okuyucu yapısıdır.
- RFID Tag ise kimliği denetlenecek olan yapının üzerinde yer alan ve içinde kimlik bilgilerini taşıyan bir işlemci yapısıdır. Bu işlemci yapısı, RFID Reader tarafından yapılan sorgulamalara cevap verir.
RFID Tag’ler aktif ve pasif olmak üzere iki farklı şekilde olabilirler.
Daha yaygın olarak kullanılan ve maliyeti düşük olan Pasif RFID Tag yapıları, üzerinde herhangi bir güç kaynağı bulundurmayıp kendilerine sorgulama yapan RFID Reader yapısından güç alırlar. Çalıştıkları frekans bandına göre 10 metreye kadar mesafelerde kimlik denetimi yapılmasını sağlayabilirler. Otomatik Geçiş Sistemi, Güvenli Geçiş Kapıları, Araç Güvenlik Sistemleri, vb. uygulamalar Pasif RFID Tag yapılarını içermektedir.
Aktif RFID Tag yapıları ise üzerinde bir güç kaynağı bulundururlar ve 10 metre üzeri mesafelerden kilometreler düzeyine kadar kimlik denetimi imkanı sağlayabilirler. Ancak maliyet olarak ek yük getirmeleri sebebiyle yalnızca özel uygulamalar (ör: Interrogation Friend or Foe-IFF, vahşi veya evcil hayvanların izlenmesi) için tercih edilirler.
RFID Teknolojisi ve Kullanım Alanları
RFID teknolojisi üzerine yapılan çalışmalarla ilgili olarak IDC (International Data Corporation) kurumu tarafından Amerika Birleşik Devletleri temel alınarak gerçekleştirilen bir araştırma sonucuna göre; 2002 yılından itibaren RFID teknolojisinin gelişimi için yapılan yatırımlar sürekli artarken 2008 yılından sonra araştırma ve geliştirmeye yönelik yatırımlar yavaşlamış, sistemlerin uygulamaya sunulmasına yönelik yatırımlar artmıştır. Bu araştırma sonucu, Amerika Birleşik Devletleri için şu anda RFID teknolojisinin araştırılması ve geliştirilmesine yönelik faaliyetlerde bir doyum noktasına ulaşıldığını ve artık daha çok geliştirilen teknolojinin uygulamaya sunulmasına yönelik çalışıldığını göstermektedir. Araştırmanın sonuçları Şekil 1'de belirtilmektedir:
Şekil 1. ABD'de yıllık RFID teknolojisine harcanan bütçeler
RFID yapıları ilk olarak 2. Dünya Savaşı döneminde Dost Düşman Tanıma sistemlerinde (Interrogation Friend or Foe-IFF) kullanılarak yaygın hale gelmişlerdir. Sivil olarak ilk kullanımı ise hırsızlığı önleme amaçlı olarak 1960’lı yıllarda gerçekleşmiştir.
Bugün ise günlük hayatımızın pek çok alanında RFID yapıları insanlara hizmet vermektedir. En fazla bilinen ve gerçekleştirilen uygulama örnekleri aşağıda belirtilmiştir:
Güvenli Geçiş Uygulamaları
Ev, işyeri, garaj gibi pek çok bölgenin girişlerinde bu uygulamalara rastlamak mümkündür. RFID yapıları ile yapılan kimlik denetimi sayesinde bu bölgelere yalnızca kullanım hakkı olan kişilerin girebilmesinin sağlanmasının yanı sıra, yapılan giriş ve çıkış saatlerinin denetiminin de yapılması mümkün olmaktadır.
Araç Kimlik Denetimi
Araç hırsızlığını önleme amaçlı olarak gerçekleştirilen bu sistemde araç anahtarlarına bir RFID Tag yerleştirilir. Araç sahibi, aracını kullanmak istediğinde araç üzerinde bulunan RFID Reader, uygun RFID Tag bilgisini doğruladıktan sonra araca girişe ve aracın kullanımına izin verecektir. Bu sayede aracı yalnızca uygun RFID Tag’e sahip olan kişi kullanabilir.
Otomatik Ödeme Sistemleri
Özellikle otoyol gişelerinde sıkça kullanılan bu uygulamada RFID teknolojisi sayesinde kimlik denetimi yapılarak önceden para yatırılmış bir hesaptan veya benzeri bir noktadan otomatik olarak hizmet karşılığı para kesintisi yapılır. Kullanılan bu teknoloji otoyol gişelerinde sıklıkla yaşanan yığılmaları engellemektedir.
Envanter Yönetimi
Büyük boyutlu ürün depoları veya değerli eserlerin sergilendiği müze vb. ortamlarda güvenli bölge olarak kabul edilen yerlere giren ve çıkan ürünlerin tespit edilmesi veya sürekli olarak elde bulunan ürünlerin miktarlarının tespit edilmesi oldukça zor bir iştir. Bu noktada devreye RFID teknolojisi girmektedir. Ürün veya eserlerin üzerine yerleştirilen RFID Tag’ler sayesinde istenilen anda mevcut bulunan ürünlerin tür ve miktarları tespit edilebilmektedir.
Vahşi Hayvanların İzlenmesi
RFID teknolojisi, vahşi olmaları veya ulaşılması zor yaşam ortamları nedeniyle normal yollarla takip edilmesi mümkün olmayan hayvanların izlenmesinde ve haklarında bilgi toplanmasında büyük kolaylık sağlamaktadır RFID teknolojisi ile hayvanların izlenmesi konusunda ilginç ve yararlı bir uygulama da Los Angeles’ da gerçekleşmiştir. Şehir yönetimi öncelikle bütün evcil hayvanlara bir RFID Tag takılması konusunda kanun çıkarmış, bu sayede sürekli yaşanan evcil hayvanların kaybolması sorununa kesin bir çözüm getirmiştir. [1]
Biyotelemetri Uygulamaları
RFID teknolojisi pek çok alanda olduğu gibi insan sağlığı konusunda da büyük faydalar sağlamaktadır. Bu teknoloji ile durumu kritik olan bir hastanın kalp atışı gibi hayati fonksiyonlarının uzaktan izlenmesi ve gerektiği takdirde müdahale edilmesi mümkün olabilmektedir.
RFID Teknolojisine İlişkin Tehditler
RFID teknolojisi insan yaşamına pek çok katkı sağlamakla beraber bazı tehditleri de beraberinde getirmektedir. Bu tehditleri temel olarak iki ana başlık altında toplamak mümkündür:
- RFID Teknolojisinin Kişilik Haklarına Yönelik Oluşturduğu Tehditler
- RFID Sistemlerine Yönelik Tehditler
RFID Teknolojisinin Kişilik Haklarına Yönelik Oluşturduğu Tehditler
RFID teknolojisinin bir parçası olan RFID Tag’lerin her biri yalnızca kendine özgü ve ait olduğu kişiye yönelik bilgiler taşımaktadır. Bu durumda bu Tag’leri taşıyan kişiler de adeta bu aygıtlarla birlikte etiketlenmiş olmaktadırlar [1]. Ve yaygın olarak kullanılan RFID Tag’leri sorgulandıklarından haberi olmayan ve her türlü sorguya yanıt veren yapıdadırlar. Bunun sonucu olarak RFID Tag’lerini taşıyan kişilerin habersiz olarak izlenmesi, özel hayatları hakkında istemedikleri bilgilerin ortaya dökülmesi durumu ortaya çıkmaktadır.
RFID Teknolojisine Karşın Kişilik Haklarının Korunmasına Yönelik Önlemler
RFID teknolojisinin kişilik haklarına yönelik oluşturduğu tehditlere karşın teknolojik ve yasal önlemlerin alınması gerekmektedir.
Teknolojik olarak üretilen çözümlerin bir kısmı (satılan ürünler üzerindeki RFID Tag’lerinin iptali vb.) RFID teknolojisinin sağladığı ve ileride sağlaması düşünülen pek çok faydayı da birlikte ortadan kaldıracağından kabul görmemektedir. Diğer bir teknolojik çözüm ise RFID Tag’lerinin daha akıllı aygıtlar (kriptografik yapılar ile gizliliğinin ve seçiciliğinin artırılması, yapılan sorgulama ve cevaplamalardan kullanıcının haberdar edilmesi, kullanıcının isteğine bağlı olarak bu cihazların devre dışı bırakılması ve sonradan tekrar etkin hale getirilmesi vb...) haline getirilmesi esasına dayanmaktadır. Bu çözümler ise özellikle yüksek maliyetleri ve teknolojinin etkin kullanımına sağlayacağı kısıtlamalar nedeniyle tercih edilmemektedir.
İstenmeyen sorgulamaların önüne geçmeyi sağlayarak insan yaşamının gizliliğini korumayı amaçlayan teknolojik önlemlere güzel bir örnek olan Blocker Tag yapıları ise özellikle hırsızlar tarafından kötü amaçlarla kullanılma ihtimalinden dolayı kabul görmemiştir [2].
Diğer bir çözüm yolu olan yasal önlemler ise yukarıda bahsedilen teknolojik önlemleri de kapsayan kişisel ve kurumsal hakları korumaya yönelik kanunların çıkarılmasına dayanmaktadır.
Ancak bu çözüm de gerek RFID teknolojinin kanunlarla kontrol altına alınması çok zor olan bir çeşitliliğe sahip olması, gerekse de teknolojik önlemlere benzer şekilde sistemin etkin kullanılmasını kısıtlaması nedeniyle tam olarak uygulamaya konulamamaktadır.
RFID Sistemlerine Yönelik Tehditler
RFID teknolojisinin insanların özel yaşamlarının gizliliğine karşı oluşturduğu tehditler önemli bir sorun olmakla beraber asıl büyük tehdit ve problem bu sistemlerin kontrolünün, teknik savunma zafiyetlerinden istifade edilerek istenmeyen kişiler tarafından elde edilmesi sonucu ortaya çıkmaktadır.
Çünkü yukarıda bahsedilen kullanım alanlarında da görüldüğü gibi RFID sistemleri artık insan hayatının önemli bir parçasını oluşturmakta ve insanlar kendileri için çok büyük önem taşıyan faaliyetlerini (ödemeler, sahip oldukları mülklerin korunması, kimlik denetim sistemleri ile kendilerini tanıtmaları vb...) bu sistemler üzerinden üzerinden gerçekleştirmektedirler.
Tüm bu süreç esnasında ise RFID sistemlerinin güvenli olduğunu varsayarak hareket etmektedirler. Ancak güvenlik uzmanlarının görüşleri bu varsayımın doğru olmadığını ortaya çıkarmaktadır. RFID teknolojisi uygulama alanlarında gerçekleştirilen araştırma faaliyetlerinin, güvenlik alanında gerçekleştirilen araştırma faaliyetlerinin çok üzerinde olduğu belirtilmektedir.
Uzmanların yakındığı diğer bir konu ise gerek RFID teknolojisi geliştiren üreticilerin gerekse de müşterilerin güvenlik konusunda yeterince duyarlı olmadıkları ve bu konu ile ilgili masraf yapmak yerine konuyu göz ardı etmeyi tercih etmeleridir. [2]
RFID teknolojisine yönelik yaygın saldırı yöntemlerine aşağıda örnekler verilmiştir:
RFID Tag’lerinin Değiştirilmesi
RFID sistemleri üzerine yapılan saldırıların büyük kısmı Tag’ler üzerinden gerçeklenir. Bu saldırılarla Tag içerisinde yer alan kimlik, sayı, para, vb. değerlerin değiştirilmesi sağlanabilir. DN-System Enterprise Internet Solution kurumunun geliştirdiği RFDump isimli bir yazılımla RFID Tag’leri üzerinde değişiklik yapılabildiğini gösterilmiş ve bu çalışma büyük yankı uyandırarak RFID teknolojisi ile envanter yönetimi yapan firmaların depolarındaki ürün sayı ve çeşidini ilkel yöntemlerle yeniden gözden geçirmelerine sebep olmuştur. [2]
RFID Tag’lerinin Kopyalanması
RFID sistemlerine karşı yapılan diğer bir saldırıda Tag’lerin kopyalanması esasına dayanır. Bu saldırı özellikle kimlik ve pasaport bilgilerinin elde edilerek kimlik denetimi konusunda yetkili organların yanıltılması veya RFID tabanlı güvenlik önlemlerinin aşılması amaçlı kullanılır.
Konu ile ilgili bir çalışma yapan RSA Laboratuarı ve John Hopkins Üniversitesi araştırmacıları Amerika Birleşik Devletleri’nde araç hırsızlığını önleme amaçlı olarak sıklıkla kullanılan DTS (Digital Signature Transponder) cihazlarındaki RFID yapısını protokol tabanlı bir zayıflık sayesinde cihaza dahi ulaşmadan kopyalamışlardır. [3]
Benzer şekilde Western Hepisphere Travel Initiative (özel bir bilgi güvenliği kurumu) yararına çalışan araştırmacı Chris Paget yalnızca basit bir RFID Reader, RFID anten ve bir dizüstü bilgisayar kullanarak 20 dakika gibi kısa bir süre içinde herhangi bir kişiye ait pasaport ve ehliyet üzerindeki RFID Tag’leri kopyalamış ve saldırıdaki başarısını bir video ile belgelemiştir. [4]
Aynı araştırmacı ilkine benzer bir teknikle gerçekleştirdiği diğer bir kopyalama saldırısını yine bir video ile belgeleyerek halen A.B.D ‘de kullanımda olan pasaport ve ehliyet kimliklerinin ne kadar zayıf bir güvenlik yapısına sahip oldukları konusunda yetkilileri uyarmıştır. [5]
Yan Kanal Analizi Saldırıları
RFID teknolojisine karşı kullanılan saldırı tekniklerinden bir diğeri de son yıllarda akıllı kart yapıları üzerine saldırı gerçeklemede sıklıkla kullanılan Yan Kanal Analizi saldırılarıdır. Bu teknikte RFID Tag ve Reader arasındaki haberleşme esnasında sinyaller yakalanır ve bu sinyaller üzerinde zaman, güç, elektromanyetik alan vb. parametrelerin değişimine bağlı olarak kriptografik varlıklar elde edilmeye çalışılır [6] .
RFID Teknolojisine Yönelik Saldırılara Karşı Önlemler
RFID sistemlerine yönelik saldırı çeşitleri temel olarak yukarıda anlatıldığı şekilde olmakla beraber, bunlarla sınırlı değildir. Ayrıca saldırı teknikleri, üzerine saldırı gerçeklenen sistemin yapısı, işlevi ve savunma mekanizmasına bağlı olarak da farklılık gösterebilmektedir. Bunun sonucu olarak, mevcut güvenlik önlemleri de her bir saldırı ve sistem için farklılık gösterebilecektir. Ancak bu güvenlik önlemleri genelde aşağıdaki maddeleri kapsamaktadır.
- RFID teknolojisinin etkin kullanılmasını engellemeyecek şekilde sistemlere kripto ve PIN yapıları eklenmelidir.
- RFID cihazlarının seçiciliği artırılmalıdır. Sadece yetkili sorgulayıcıların, sorgulamasına izin vermeli ve cevap vermelidir.
- RFID sistemi tasarımını, saldırgan tarafından anlamlı olabilecek yan kanal bilgilerini (güç, zaman, elektromanyetik alan gibi.) haberleşme hattına çıkarmaması gerekmektedir.
- RFID Tag’lerinde bulunan kritik verilerin fiziksel kurcalamayla elde edilmesine yönelik anti-tamper yapılarının tasarıma eklenmesi gerekir.
- Bağımsız kuruluşlar tarafından test edilmeyen veya sertifikalandırılmayan RFID yapılarının, kullanılmasına izin verilmemelidir.
SONUÇ
Mevcut teknolojik ortamda RFID teknolojisi, günlük yaşamın ayrılmaz bir parçası haline gelmiştir. Bununla beraber, günümüzde kullanılan mevcut RFID uygulamalarının yeterince güvenli olmadıkları gerçeği bilinmektedir.
Ancak bu gerçeğin varlığı sebebiyle RFID teknolojisinin kullanılmaması veya etkinliğinin azaltılması teknolojinin temel amacı olan insan yaşamının kolaylaştırılması prensibine ters düşmektedir.
Bu bağlamda yapılması gereken RFID sistemlerinin güvenliğinin artırılmasıdır. Bu çalışma ise ancak müşterilerin ve üretici firmaların RFID teknolojisindeki güvenlik açıklarının kapatılması için maliyetin artmasını kabul ederek gerekli duyarlılığı göstermeleri ile mümkün olabilecektir.
KAYNAKÇA
[1] S. L. Garfinkel, A. Jules, R.. Pappu “RFID Privacy: An Overview of Problems and Proposed Solutions”, IEEE Security&Privacy, 1540-7993/05/20000, 2005 IEEE JOURNAL. http://www.simson.net/clips/academic/2005.IEEE.RFID.pdf
[2] Thomas Claburn, George V. Hulme, “RFID's Security Challenge” , Information Week The Business Value of Technology, 15. Nov. 2007,[Online].Availible.http://www.informationweek.com/news/mobility/RFID/showArticle.jhtml?articleID=52601030&pgno=1&queryText=&isPrev=
[3] A.Jules “Attack on a Cyrptographic Device”, RFID JOURNAL, Feb.28.2005 , [Online].Availible. http://www.rfidjournal.com/article/print/1415
[4] Dan Goodin “Passport RFIDs cloned wholesale by $250 eBay auction spree” , Feb. 2009, [Online].Availible. http://www.engadget.com/2009/02/02/video-hacker-war-drives-san-francisco-cloning-rfid-passports/#continued
[5] [Online].Availible http://www.youtube.com/watch?v=fDimlEdeGjM
[6] A. .Jules “RFID Security and Privacy :A Research Survey”, IEEE JOURNAL, Feb. 2006 [Online].Availible.http://ieeexplore.ieee.org/stamp/stamp.jsp?arnumber=1589116&isnumber=33490
 Favori olarak ekle (1) | Görüntüleme sayısı: 2742
Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun. |
