Abo
  • Services:

Biometrie hacken: Mit Toner und Bienenwachs Venenerkennungssysteme überwinden

Venenerkennungssysteme gelten als eines der sichersten biometrischen Verfahren und kommen im Hochsicherheitsbereich zum Einsatz. Doch sie können mit einfachen Mitteln umgangen werden.

Artikel von veröffentlicht am
Mit dem richtigen Licht können die Venen in den Händen sichtbar gemacht werden.
Mit dem richtigen Licht können die Venen in den Händen sichtbar gemacht werden. (Bild: PublicDomainPictures/CC0 1.0)

Ein gut belichtetes Foto einer Hand oder eines Fingers, einen Laserdrucker und etwas Bienenwachs, mehr braucht es nicht, um Venenerkennungssysteme zu umgehen. Mit den Materialien bastelten die Sicherheitsforscher Jan Krissler alias Starbug und Julian Albrecht Handattrappen, die sie auf dem Hackerkongress 35C3 in Leipzig vorführten. Betroffen sind vor allem Hochsicherheitsbereiche von Banken, Krankenhäusern, Kernkraftwerken oder vom BND, der die Technik in seiner neuen Berliner Zentrale einsetzt.

Stellenmarkt
  1. ITC Consult GmbH, Wiesbaden
  2. signTEK GmbH & Co. KG, Mannheim

Venen sind so etwas wie die neuen Fingerabdrücke. Die einzelnen Verästelungen der Venen in Händen und Fingern bilden sich zufällig aus und lassen so die eindeutige Erkennung eines Menschen anhand seines Venenmusters zu. Sie gilt als eines der sichersten Verfahren der biometrischen Identifizierung von Menschen und kommt vor allem im asiatischen Raum zum Einsatz. In Japan wird die Technik beispielsweise in Geldautomaten genutzt.

Um die Venen sichtbar zu machen, braucht es zuerst einmal Licht. Die Venenerkennungsgeräte strahlen die Hand oder den Finger an. Die Haut wird hell und die Venen lassen sich mit einer Kamera ohne Infrarotfilter aufnehmen. Das lässt sich auch zuhause im Wohnzimmer nachstellen: Eine Hand wird mit einer Spiegelreflexkamera (ohne Infrarotfilter) und Blitz fotografiert. Auf dem Bild sind die Venen bereits erkennbar, müssen für einen Venenabdruck aber noch weiter bearbeitet werden. Krissler und Albrecht haben ein Pythonscript geschrieben, um die Arbeit zu automatisieren.

Vom Bild zur Attrappe

Das entstandene Venen-Bild wird mit einem Laserdrucker ausgedruckt - Tintenstrahler funktionieren nicht. Um eine echte Hand besser zu imitieren, haben die beiden Sicherheitsforscher Handattrappen aus Bienenwachs gegossen, das Blatt aufgebracht und mit einer weiteren Schicht Wachs übergossen. Mit den Attrappen konnten sie die biometrischen Systeme der beiden Hersteller Hitachi und Fujitsu überlisten. "Wenn man weiß, wie es geht, ist es eine Sache von 15 Minuten", sagt Krissler. In der Realität funktioniere ein solcher Angriff mit einer 80-prozentigen Wahrscheinlichkeit.

Doch wie an die Venen-Bilder kommen? Auch hier haben Krissler und Albrecht einen Bausatz: Ein Handtrockner, in den man seine Hände mit gespreizten Finger steckt, ist in vielen Toiletten zu finden. Wird dieser mit einem Raspberry Pi mit Infrarot-LED und Kamera bestückt, liefert er gutes Ausgangsmaterial für die Venen-Attrappe.

Laut Starbug gibt es nach dem Hack der Venenerkennung kaum noch biometrische Systeme, die nicht bereits umgangen wurden. Auf dem 31C3 2014 hatte er Angriffe auf Gesichts- und Iriserkennungssysteme präsentiert, im Jahr zuvor konnte er binnen weniger Tage Apples Fingerabdrucksystem Touch ID des iPhone 5S überwinden.



Anzeige
Top-Angebote
  1. 5€
  2. 199€ (Bestpreis!)
  3. 319€ (aktuell günstigste GTX 1070!)
  4. (u. a. Euro Truck Simulator 2 - Beyond the Baltic Sea (DLC) für 8,99€ und Fortnite - Deep Freeze...

avbln2014 08. Jan 2019 / Themenstart

Wenn man sich das Video anschaut, wird jedem aufgefallen sein, dass das Test-System mit...

Eheran 31. Dez 2018 / Themenstart

Genau dafür ist es doch auch gold richtig. Diese Sachen müssen komfortabel, schnell und...

Eheran 31. Dez 2018 / Themenstart

1. Der Fingerabdruck kann irgendwo her kommen, z.B. von einem Glas, welche man ja...

xMarwyc 28. Dez 2018 / Themenstart

Dieser Post hat mir den Freitag gerettet.

Prinzeumel 28. Dez 2018 / Themenstart

Erzähl uns mehr von diesem phantastischen Sensor.

Kommentieren


Folgen Sie uns
       


Padrone-Maus-Ring angesehen (CES 2019)

Der Ring von Padrone soll die Maus überflüssig machen - wir haben ihn uns auf der CES 2019 angesehen.

Padrone-Maus-Ring angesehen (CES 2019) Video aufrufen
IT-Jobporträt Spieleprogrammierer: Ich habe mehr Code gelöscht als geschrieben
IT-Jobporträt Spieleprogrammierer
"Ich habe mehr Code gelöscht als geschrieben"

Wenn man im Game durch die weite Steppe reitet, auf Renaissance-Hausdächern kämpft oder stundenlang Rätsel löst, fragt man sich manchmal, wer das alles in Code geschrieben hat. Ein Spieleprogrammierer von Ubisoft sagt: Wer in dem Traumjob arbeiten will, braucht vor allem Geduld.
Von Maja Hoock

  1. Recruiting Wenn die KI passende Mitarbeiter findet
  2. Softwareentwicklung Agiles Arbeiten - ein Fallbeispiel
  3. IT-Jobs Ein Jahr als Freelancer

Chromebook Spin 13 im Alltagstest: Tolles Notebook mit Software-Bremse
Chromebook Spin 13 im Alltagstest
Tolles Notebook mit Software-Bremse

Bei Chromebooks denken viele an billige, knarzende Laptops - das Spin 13 von Acer ist anders. Wir haben es einen Monat lang verwendet - und uns am Ende gefragt, ob der veranschlagte Preis für ein Notebook mit Chrome OS wirklich gerechtfertigt ist.
Ein Test von Tobias Költzsch


    Ottobock: Wie ein Exoskelett die Arbeit erleichtert
    Ottobock
    Wie ein Exoskelett die Arbeit erleichtert

    Es verleiht zwar keine Superkräfte. Bei der Arbeit in unbequemer Haltung zum Beispiel mit dem Akkuschrauber unterstützt das Exoskelett Paexo von Ottobock aber gut, wie wir herausgefunden haben. Exoskelette mit aktiver Unterstützung sind in der Entwicklung.
    Ein Erfahrungsbericht von Werner Pluta


        •  /