Biometrie Hacker tricksen Venenscanner mit Wachs aus
Fingervenen
Foto: Jan KrisslerVenenerkennung ist neben Fingerabdruck- und Iriserkennung eines der bekanntesten biometrischen Identifikationsverfahren. Es kommt in der neuen Zentrale des Bundesnachrichtendienstes (BND) in Berlin zum Einsatz , als Zugangskontrolle in Hochsicherheitsbereichen von Unternehmen, ebenso an Geldautomaten unter anderem in Japan. Und auch einige Notebooks haben ein entsprechendes System eingebaut.
Es funktioniert so: Spezielle Scanner durchleuchten eine Hand oder einen Finger mit Infrarotlicht, erkennen dabei die individuell einzigartigen Venenmuster eines Menschen und gleichen sie mit den hinterlegten Mustern ab.
Die Fehlerrate ist vergleichbar mit der einer Iriserkennung. Für einen Angreifer ist es aber schwieriger, an die Muster eines Opfers heranzukommen, weil man sie - anders als einen Fingerabdruck oder eine Iris - nicht ohne Weiteres fotografieren und auf eine Holzattrappe kleben kann.
Handvenenerkennung an einem Geldautomaten
Foto: Jan KrisslerNiemand weiß das besser als der Berliner Sicherheitsforscher Jan Krissler alias Starbug, der wohl bekannteste Biometrie-Hacker des Landes. 2013 überlistete er Apples Touch ID auf dem iPhone 5s, 2017 die Iriserkennung von Samsungs Galaxy S8. Mittlerweile lässt sich Apple von ihm beraten, aber hauptsächlich forscht Krissler an der Technischen Universität Berlin.
Am Donnerstag will er auf dem 35. Chaos Communication Congress (35C3) in Leipzig zeigen, dass auch gängige Venenerkennungssysteme unsicher sind. Mit dem SPIEGEL sprach Krissler im Vorfeld des Kongresses.
Auf der Jagd nach dem Venenmuster
Zwei Probleme hatten er und der Student Julian Albrecht zu lösen, und sie waren dabei äußerst kreativ. Erstens: Wo bekommt man unbemerkt die Venenmuster einer Person her, als die man sich ausgeben will? Zweitens: Wie macht man daraus eine künstliche Hand oder einen künstlichen Finger?
Jan Krissler alias Starbug (l.) und Julian Albrecht
Foto: Peter Endig/ dpaEin Weg, die Muster zu fotografieren, sei die Verwendung einer präparierten Spiegelreflexkamera mit einem ausreichend starken Blitz, aus der man "einfach den Infrarotfilter ausbaut", sagt Krissler. Es gibt Anleitungen auf YouTube dazu, alternativ bieten einige Bastler das als Service an.
Infolge der Anpassung kann der Sensor auch infrarotes Licht aufnehmen. Fotografiert man damit eine menschliche Hand, absorbiert das venöse Blut das Licht eines bestimmten Wellenbereichs, während der Rest des Gewebes das Licht reflektiert, wodurch die Muster der Venen auf dem Bild dunkel abgesetzt sichtbar werden. Mit solchen Kameras bekomme man selbst aus fünf bis sieben Metern Entfernung ausreichend gute Bilder hin, sagt Krissler.
Das funktioniere allerdings nur, um die Venenmuster der Handflächen sichtbar zu machen. "In den Fingern liegen die Venen tiefer, da muss man durchstrahlen", sagt der Forscher. Sprich: Auf der einen Seite des Fingers muss eine Infrarot-LED positioniert sein, auf der anderen das Objektiv. Aus der Ferne ist das schwierig. Dann zeigt er, wo es vielleicht heimlich ginge: versteckt in einem Handtrockner, wie er in Waschräumen hängt:
Dann kommt die Wachshand ins Spiel
Hat man ein Bild vom Muster, baut man es in eine Wachsattrappe ein. Krissler zeigt eine Hand aus gelbem Wachs, auf die ein Ausdruck des Musters gelegt wird, darüber kommt eine zweite, rote Wachsschicht, die für einen Scanner wie menschliche Haut wirkt. Das Muster scheint durch, wenn die Wachshand mit infrarotem Licht beleuchtet wird.
Krissler weist darauf hin, dass nur manche Laserdrucker mit Partikeln arbeiten, die dieses Licht absorbieren und das gewünschte Ergebnis bringen - aber als wirkliche Einschränkung betrachtet er das nicht.
Wachshand mit ausgedrucktem Venenmuster
Foto: Jan KrisslerÜberwunden haben er und Albrecht damit unter Laborbedingungen die Systeme der japanischen Hersteller Fujitsu (Handvenenerkennung) und Hitachi (Fingervenen), die zu den Marktführern in diesem Segment zählen. In zwei Videos, die Krissler in Leipzig vorführen will, ist zu sehen, wie die Scanner auf die Attrappen hereinfallen. "Ich behaupte, das funktioniert so zuverlässig, dass wir es auch woanders machen könnten", sagt Krissler. "Ich weiß, dass in the wild die gleichen Sensoren und die gleiche Software eingesetzt werden, die wir getestet haben."
Fujitsu spricht von unrealistischen Bedingungen
Die Reaktionen auf seine Forschung fallen unterschiedlich aus. Der BND möchte über seine Sicherheitssysteme nicht öffentlich Auskunft geben. "Der Zugang zum Kernbereich der Liegenschaft des Bundesnachrichtendienstes" sei aber "mit einer Vielzahl von Sicherheitsmaßnahmen geregelt", teilte der Nachrichtendienst auf SPIEGEL-Anfrage mit.
Hitachi, sagt Krissler, habe sich sehr kooperativ verhalten, nachdem er das Unternehmen eingeweiht habe.
Fujitsu hingegen antwortete auf eine Anfrage des SPIEGEL, den von Krissler beschriebenen "unbemerkten Diebstahl des Handflächenvenenmusters mit entsprechender praxisnaher Qualität" halte man "für nicht durchführbar".
Zudem habe Krissler bei der Registrierung der echten Hand "sehr niedrige und unrealistische" Einstellungen für die Bildqualität gewählt, was die Täuschung vereinfache. Überwunden habe er auch nur ein Element des gesamten Systems, nämlich die "Fake Objective Detection" (Falschobjekterkennung). Welche weiteren Sicherheitsmaßnahmen Fujitsus Technik enthält, will das Unternehmen jedoch "nicht öffentlich preisgeben".
Krissler weist die Kritik zurück: "Wir haben keine Änderungen an irgendwelchen Konfigurationswerten vorgenommen". Zudem habe er in einer Vorführung in Anwesenheit von Fujitsu-Mitarbeitern "die aktuelle Software auf dem Rechner der Mitarbeiter getestet. Auch da wurden keine Schwellenwerte angepasst".
Nächste Idee: Mit künstlichen Adern den Blutfluss simulieren
"Die aktuellen Systeme der beiden Hersteller sind richtig schlecht", lautet sein Fazit, "besonders, da sie als Hochsicherheitssysteme angepriesen werden". Ließen sie sich verbessern, sodass sie nicht mehr auf Wachsattrappen hereinfallen? In biometrischen Identifikationsverfahren wird zu diesem Zweck gern eine sogenannte Lebenderkennung eingesetzt. Sie soll sicherstellen, dass der Nutzer ein lebender Mensch ist. Bei der Gesichtserkennung etwa könnte eine Kamera darauf warten, dass der Nutzer blinzelt. Für Venenscanner, sagt Krissler, gebe es den Versuch der Blutflusserkennung. Aber man könne mit 3D-Druckern ja auch schon Blutgefäße herstellen, an die man dann eben eine Pumpe und ein Ventil klemmt, um einen künstlichen Blutfluss zu erzeugen.
Hinweis: Die Videoaufzeichnung des Vortrags findet sich hier .
