Biometrie Hacker tricksen Venenscanner mit Wachs aus 

Der BND benutzt sie, in asiatischen Geldautomaten stecken sie auch: Venenerkennungssysteme. Der Biometrie-Hacker Starbug hat einen Weg gefunden, sie zu überlisten - mit filmreifen Methoden.

Fingervenen
Jan Krissler

Fingervenen

Von


Venenerkennung ist neben Fingerabdruck- und Iriserkennung eines der bekanntesten biometrischen Identifikationsverfahren. Es kommt in der neuen Zentrale des Bundesnachrichtendienstes (BND) in Berlin zum Einsatz, als Zugangskontrolle in Hochsicherheitsbereichen von Unternehmen, ebenso an Geldautomaten unter anderem in Japan. Und auch einige Notebooks haben ein entsprechendes System eingebaut.

Es funktioniert so: Spezielle Scanner durchleuchten eine Hand oder einen Finger mit Infrarotlicht, erkennen dabei die individuell einzigartigen Venenmuster eines Menschen und gleichen sie mit den hinterlegten Mustern ab.

Die Fehlerrate ist vergleichbar mit der einer Iriserkennung. Für einen Angreifer ist es aber schwieriger, an die Muster eines Opfers heranzukommen, weil man sie - anders als einen Fingerabdruck oder eine Iris - nicht ohne Weiteres fotografieren und auf eine Holzattrappe kleben kann.

Handvenenerkennung an einem Geldautomaten
Jan Krissler

Handvenenerkennung an einem Geldautomaten

Niemand weiß das besser als der Berliner Sicherheitsforscher Jan Krissler alias Starbug, der wohl bekannteste Biometrie-Hacker des Landes. 2013 überlistete er Apples Touch ID auf dem iPhone 5s, 2017 die Iriserkennung von Samsungs Galaxy S8. Mittlerweile lässt sich Apple von ihm beraten, aber hauptsächlich forscht Krissler an der Technischen Universität Berlin.

Am Donnerstag will er auf dem 35. Chaos Communication Congress (35C3) in Leipzig zeigen, dass auch gängige Venenerkennungssysteme unsicher sind. Mit dem SPIEGEL sprach Krissler im Vorfeld des Kongresses.

Auf der Jagd nach dem Venenmuster

Zwei Probleme hatten er und der Student Julian Albrecht zu lösen, und sie waren dabei äußerst kreativ. Erstens: Wo bekommt man unbemerkt die Venenmuster einer Person her, als die man sich ausgeben will? Zweitens: Wie macht man daraus eine künstliche Hand oder einen künstlichen Finger?

Jan Krissler alias Starbug (l.) und Julian Albrecht
DPA

Jan Krissler alias Starbug (l.) und Julian Albrecht

Ein Weg, die Muster zu fotografieren, sei die Verwendung einer präparierten Spiegelreflexkamera mit einem ausreichend starken Blitz, aus der man "einfach den Infrarotfilter ausbaut", sagt Krissler. Es gibt Anleitungen auf YouTube dazu, alternativ bieten einige Bastler das als Service an.

Infolge der Anpassung kann der Sensor auch infrarotes Licht aufnehmen. Fotografiert man damit eine menschliche Hand, absorbiert das venöse Blut das Licht eines bestimmten Wellenbereichs, während der Rest des Gewebes das Licht reflektiert, wodurch die Muster der Venen auf dem Bild dunkel abgesetzt sichtbar werden. Mit solchen Kameras bekomme man selbst aus fünf bis sieben Metern Entfernung ausreichend gute Bilder hin, sagt Krissler.

Das funktioniere allerdings nur, um die Venenmuster der Handflächen sichtbar zu machen. "In den Fingern liegen die Venen tiefer, da muss man durchstrahlen", sagt der Forscher. Sprich: Auf der einen Seite des Fingers muss eine Infrarot-LED positioniert sein, auf der anderen das Objektiv. Aus der Ferne ist das schwierig. Dann zeigt er, wo es vielleicht heimlich ginge: versteckt in einem Handtrockner, wie er in Waschräumen hängt:

imago/ZUMA Press

Dann kommt die Wachshand ins Spiel

Hat man ein Bild vom Muster, baut man es in eine Wachsattrappe ein. Krissler zeigt eine Hand aus gelbem Wachs, auf die ein Ausdruck des Musters gelegt wird, darüber kommt eine zweite, rote Wachsschicht, die für einen Scanner wie menschliche Haut wirkt. Das Muster scheint durch, wenn die Wachshand mit infrarotem Licht beleuchtet wird.

Krissler weist darauf hin, dass nur manche Laserdrucker mit Partikeln arbeiten, die dieses Licht absorbieren und das gewünschte Ergebnis bringen - aber als wirkliche Einschränkung betrachtet er das nicht.

Wachshand mit ausgedrucktem Venenmuster
Jan Krissler

Wachshand mit ausgedrucktem Venenmuster

Überwunden haben er und Albrecht damit unter Laborbedingungen die Systeme der japanischen Hersteller Fujitsu (Handvenenerkennung) und Hitachi (Fingervenen), die zu den Marktführern in diesem Segment zählen. In zwei Videos, die Krissler in Leipzig vorführen will, ist zu sehen, wie die Scanner auf die Attrappen hereinfallen. "Ich behaupte, das funktioniert so zuverlässig, dass wir es auch woanders machen könnten", sagt Krissler. "Ich weiß, dass in the wild die gleichen Sensoren und die gleiche Software eingesetzt werden, die wir getestet haben."

Fujitsu spricht von unrealistischen Bedingungen

Die Reaktionen auf seine Forschung fallen unterschiedlich aus. Der BND möchte über seine Sicherheitssysteme nicht öffentlich Auskunft geben. "Der Zugang zum Kernbereich der Liegenschaft des Bundesnachrichtendienstes" sei aber "mit einer Vielzahl von Sicherheitsmaßnahmen geregelt", teilte der Nachrichtendienst auf SPIEGEL-Anfrage mit.

Hitachi, sagt Krissler, habe sich sehr kooperativ verhalten, nachdem er das Unternehmen eingeweiht habe.

Fujitsu hingegen antwortete auf eine Anfrage des SPIEGEL, den von Krissler beschriebenen "unbemerkten Diebstahl des Handflächenvenenmusters mit entsprechender praxisnaher Qualität" halte man "für nicht durchführbar".

Zudem habe Krissler bei der Registrierung der echten Hand "sehr niedrige und unrealistische" Einstellungen für die Bildqualität gewählt, was die Täuschung vereinfache. Überwunden habe er auch nur ein Element des gesamten Systems, nämlich die "Fake Objective Detection" (Falschobjekterkennung). Welche weiteren Sicherheitsmaßnahmen Fujitsus Technik enthält, will das Unternehmen jedoch "nicht öffentlich preisgeben".

Krissler weist die Kritik zurück: "Wir haben keine Änderungen an irgendwelchen Konfigurationswerten vorgenommen". Zudem habe er in einer Vorführung in Anwesenheit von Fujitsu-Mitarbeitern "die aktuelle Software auf dem Rechner der Mitarbeiter getestet. Auch da wurden keine Schwellenwerte angepasst".

Nächste Idee: Mit künstlichen Adern den Blutfluss simulieren

"Die aktuellen Systeme der beiden Hersteller sind richtig schlecht", lautet sein Fazit, "besonders, da sie als Hochsicherheitssysteme angepriesen werden". Ließen sie sich verbessern, sodass sie nicht mehr auf Wachsattrappen hereinfallen? In biometrischen Identifikationsverfahren wird zu diesem Zweck gern eine sogenannte Lebenderkennung eingesetzt. Sie soll sicherstellen, dass der Nutzer ein lebender Mensch ist. Bei der Gesichtserkennung etwa könnte eine Kamera darauf warten, dass der Nutzer blinzelt. Für Venenscanner, sagt Krissler, gebe es den Versuch der Blutflusserkennung. Aber man könne mit 3D-Druckern ja auch schon Blutgefäße herstellen, an die man dann eben eine Pumpe und ein Ventil klemmt, um einen künstlichen Blutfluss zu erzeugen.

Hinweis: Die Videoaufzeichnung des Vortrags findet sich hier.



insgesamt 24 Beiträge
Alle Kommentare öffnen
Seite 1
shardan 27.12.2018
1. Was schon immer galt...
... gilt auch hier: Es gibt kein System, das 100% zuverlässig ist. Vor etlichen Jahren wurde der Fingerabdruck-Scanner als völlig sicher gepriesen - die ersten dieser Geräte konnten mit einem versehentlichauf einem Plastikbeutel hinterlassenen Fingerabdruck leicht ausgetrickst werden, später brauchte es schon einen Gummifinger dazu... Der Iris-Scan hat eine vergleichbare Geschichte hinter sich (Abfotografieren), nun ist der Venenscanner dran... Es ist wie mit der Verschlüsselung und dem Kopierschutz: Jede neue Technologie ist so lange sicher, bis sie es nicht mehr ist. (Oder bis einem Geheimdienst die "Hintertür" entfleucht...) Bisher hat noch keine Technik auf lange Sicht standgehalten.
o.schork 27.12.2018
2. Hacker?
Ein Hacker dringt mit krimineller Energie in ein System ein, um es unter seine Kontrolle persönliche Kontrollw zu bringen Daten zu entwenden oder ähnliches. Das oben beschriebene ist Sicherheitsforschung.
Paddel2 27.12.2018
3. Sicherheit durch Kombinationen
Kein System ist unüberwindbar. Sicherheit bieten kombinierte Systeme. Einen Fingerabdruck, ein Gesichtsmuster und ein Venenmuster zusammen von einem Menschen zu kopieren sollte wohl tatsächlich so gut wie unmöglich sein.
Emmi 27.12.2018
4. Hacker oder Cracker!?
Zitat von o.schorkEin Hacker dringt mit krimineller Energie in ein System ein, um es unter seine Kontrolle persönliche Kontrollw zu bringen Daten zu entwenden oder ähnliches. Das oben beschriebene ist Sicherheitsforschung.
http://www.informatik.uni-oldenburg.de/~iug10/sli/indexd46b.html?q=node/16 "Personen, die in fremde Computersysteme eindringen und dort Schaden anrichten, werden oftmals als Hacker bezeichnet. Innerhalb dieser Szene wird diese Bezeichnung eines Hackers aber nicht gerne gesehen. Dort findet oftmals eine Einteilung in drei Gruppen statt. Die ersten beiden Gruppen beinhalten Personen, welche wirklich als Hacker bezeichnet werden dürfen. In der dritten Gruppe hingegen sind die Cracker, welche trotz ihrer ihrerer illegalen Handlungen in den Medien oftmals fälschlicherweise einfach nur als Hacker bezeichnet werden. Die so genannten White-Hats sind quasi die richtigen Hacker. Diese Personengruppe hält halt sich an die Hackerethik und zum Großteil auch an geltende Gesetze. Die meisten Personen in der Gruppe hacken aus Spaß oder um Geld zu verdienen. Hacker werden zum Beispiel von professionellen Penetration-Testing-Firmen eingesetzt, um bei Systemen die Sicherheit zu überprüfen. Andere Hacker versuchen ebenfalls in andere Systeme einzudringen und dort Sicherheitslücken zu finden, begehen diese Tätigkeiten aber nur aus Spaß oder aus reinem Interesse, um Computersysteme besser zu verstehen. Da die meisten Aktivitäten der White-Hats legal sind, veranstalten diese auch oft Wettbewerbe, Wettbewerbe um ihre Fertigkeiten zu vergleichen oder treffen sich auf Messen wie dem Chaos Communication Congress, um über aktuelle Themen in der Hackerszene zu sprechen, Erfahrungen auszutauschen oder gemeinsam große Sicherheitslücken aufzudecken und auf die Probleme hinzuweisen."
ziehenimbein 27.12.2018
5. Danke an #4
Leider sind bestimmte Begriffe bei uns gerne negativ besetzt, vielleicht weil es so besser ins Weltbild passt. Hacker oder Linker sind da gute Beispiele. In beiden Gruppen gibt es Personen mit krimineller Energie, die aber eindeutig in der Minderheit sind. Bill Gates kann mit Sicherheit auch als Hacker bezeichnet werden und Sahra Wagenknecht ist definitiv links, vor beiden braucht aber wirklich niemand Angst haben. So ist auch nicht jeder Anhänger des Islam ein Terrorist oder jeder Priester ein Kinderschänder.
Alle Kommentare öffnen
Seite 1
Diskussion geschlossen - lesen Sie die Beiträge! zum Forum...

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.