Abo
  • Services:

Biometrie hacken: Mit Toner und Bienenwachs Venenerkennungssysteme überwinden

Venenerkennungssysteme gelten als eines der sichersten biometrischen Verfahren und kommen im Hochsicherheitsbereich zum Einsatz. Doch sie können mit einfachen Mitteln umgangen werden.

Artikel von veröffentlicht am
Mit dem richtigen Licht können die Venen in den Händen sichtbar gemacht werden.
Mit dem richtigen Licht können die Venen in den Händen sichtbar gemacht werden. (Bild: PublicDomainPictures/CC0 1.0)

Ein gut belichtetes Foto einer Hand oder eines Fingers, einen Laserdrucker und etwas Bienenwachs, mehr braucht es nicht, um Venenerkennungssysteme zu umgehen. Mit den Materialien bastelten die Sicherheitsforscher Jan Krissler alias Starbug und Julian Albrecht Handattrappen, die sie auf dem Hackerkongress 35C3 in Leipzig vorführten. Betroffen sind vor allem Hochsicherheitsbereiche von Banken, Krankenhäusern, Kernkraftwerken oder vom BND, der die Technik in seiner neuen Berliner Zentrale einsetzt.

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart
  2. CSL Behring GmbH, Marburg, Hattersheim am Main

Venen sind so etwas wie die neuen Fingerabdrücke. Die einzelnen Verästelungen der Venen in Händen und Fingern bilden sich zufällig aus und lassen so die eindeutige Erkennung eines Menschen anhand seines Venenmusters zu. Sie gilt als eines der sichersten Verfahren der biometrischen Identifizierung von Menschen und kommt vor allem im asiatischen Raum zum Einsatz. In Japan wird die Technik beispielsweise in Geldautomaten genutzt.

Um die Venen sichtbar zu machen, braucht es zuerst einmal Licht. Die Venenerkennungsgeräte strahlen die Hand oder den Finger an. Die Haut wird hell und die Venen lassen sich mit einer Kamera ohne Infrarotfilter aufnehmen. Das lässt sich auch zuhause im Wohnzimmer nachstellen: Eine Hand wird mit einer Spiegelreflexkamera (ohne Infrarotfilter) und Blitz fotografiert. Auf dem Bild sind die Venen bereits erkennbar, müssen für einen Venenabdruck aber noch weiter bearbeitet werden. Krissler und Albrecht haben ein Pythonscript geschrieben, um die Arbeit zu automatisieren.

Vom Bild zur Attrappe

Das entstandene Venen-Bild wird mit einem Laserdrucker ausgedruckt - Tintenstrahler funktionieren nicht. Um eine echte Hand besser zu imitieren, haben die beiden Sicherheitsforscher Handattrappen aus Bienenwachs gegossen, das Blatt aufgebracht und mit einer weiteren Schicht Wachs übergossen. Mit den Attrappen konnten sie die biometrischen Systeme der beiden Hersteller Hitachi und Fujitsu überlisten. "Wenn man weiß, wie es geht, ist es eine Sache von 15 Minuten", sagt Krissler. In der Realität funktioniere ein solcher Angriff mit einer 80-prozentigen Wahrscheinlichkeit.

Doch wie an die Venen-Bilder kommen? Auch hier haben Krissler und Albrecht einen Bausatz: Ein Handtrockner, in den man seine Hände mit gespreizten Finger steckt, ist in vielen Toiletten zu finden. Wird dieser mit einem Raspberry Pi mit Infrarot-LED und Kamera bestückt, liefert er gutes Ausgangsmaterial für die Venen-Attrappe.

Laut Starbug gibt es nach dem Hack der Venenerkennung kaum noch biometrische Systeme, die nicht bereits umgangen wurden. Auf dem 31C3 2014 hatte er Angriffe auf Gesichts- und Iriserkennungssysteme präsentiert, im Jahr zuvor konnte er binnen weniger Tage Apples Fingerabdrucksystem Touch ID des iPhone 5S überwinden.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

avbln2014 08. Jan 2019 / Themenstart

Wenn man sich das Video anschaut, wird jedem aufgefallen sein, dass das Test-System mit...

Eheran 31. Dez 2018 / Themenstart

Genau dafür ist es doch auch gold richtig. Diese Sachen müssen komfortabel, schnell und...

Eheran 31. Dez 2018 / Themenstart

1. Der Fingerabdruck kann irgendwo her kommen, z.B. von einem Glas, welche man ja...

xMarwyc 28. Dez 2018 / Themenstart

Dieser Post hat mir den Freitag gerettet.

Prinzeumel 28. Dez 2018 / Themenstart

Erzähl uns mehr von diesem phantastischen Sensor.

Kommentieren


Folgen Sie uns
       


Mit dem C64 ins Internet - Tutorial

Wir zeigen, wie man den C64 ins Netz bringt.

Mit dem C64 ins Internet - Tutorial Video aufrufen
Datenleak: Die Fehler, die 0rbit überführten
Datenleak
Die Fehler, die 0rbit überführten

Er ließ sich bei einem Hack erwischen, vermischte seine Pseudonyme und redete zu viel - Johannes S. hinterließ viele Spuren. Trotzdem brauchte die Polizei offenbar einen Hinweisgeber, um ihn als mutmaßlichen Täter im Politiker-Hack zu überführen.

  1. Datenleak Bundestagsabgeordnete sind Zwei-Faktor-Muffel
  2. Datenleak Telekom und Politiker wollen härtere Strafen für Hacker
  3. IT-Sicherheit 12 Lehren aus dem Politiker-Hack

Europäische Netzpolitik: Schlimmer geht's immer
Europäische Netzpolitik
Schlimmer geht's immer

Lobbyeinfluss, Endlosdebatten und Blockaden: Die EU hat in den vergangenen Jahren in der Netzpolitik nur wenige gute Ergebnisse erzielt. Nach der Europawahl im Mai gibt es noch viele Herausforderungen für einen digitalen Binnenmarkt.
Eine Analyse von Friedhelm Greis


    Eden ISS: Raumfahrt-Salat für Antarktis-Bewohner
    Eden ISS
    Raumfahrt-Salat für Antarktis-Bewohner

    Wer in der Antarktis überwintert, träumt irgendwann von frischem Grün. Bei der Station Neumayer III hat das DLR vor einem Jahr ein Gewächshaus in einem Container aufgestellt, in dem ein Forscher Salat und Gemüse angebaut hat. Das Projekt war ein Test für künftige Raumfahrtmissionen. Der verlief erfolgreich, aber nicht reibungslos.
    Ein Interview von Werner Pluta

    1. Eden ISS DLR will Gewächshaus-Container am Südpol aus Bremen steuern
    2. Eu-Cropis DLR züchtet Tomaten im Weltall
    3. NGT Cargo Der Güterzug der Zukunft fährt 400 km/h

      •  /