Abo
  • IT-Karriere:

Biometrie hacken: Mit Toner und Bienenwachs Venenerkennungssysteme überwinden

Venenerkennungssysteme gelten als eines der sichersten biometrischen Verfahren und kommen im Hochsicherheitsbereich zum Einsatz. Doch sie können mit einfachen Mitteln umgangen werden.

Artikel von veröffentlicht am
Mit dem richtigen Licht können die Venen in den Händen sichtbar gemacht werden.
Mit dem richtigen Licht können die Venen in den Händen sichtbar gemacht werden. (Bild: PublicDomainPictures/CC0 1.0)

Ein gut belichtetes Foto einer Hand oder eines Fingers, einen Laserdrucker und etwas Bienenwachs, mehr braucht es nicht, um Venenerkennungssysteme zu umgehen. Mit den Materialien bastelten die Sicherheitsforscher Jan Krissler alias Starbug und Julian Albrecht Handattrappen, die sie auf dem Hackerkongress 35C3 in Leipzig vorführten. Betroffen sind vor allem Hochsicherheitsbereiche von Banken, Krankenhäusern, Kernkraftwerken oder vom BND, der die Technik in seiner neuen Berliner Zentrale einsetzt.

Stellenmarkt
  1. Berliner Verkehrsbetriebe (BVG), Berlin
  2. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Berlin, Braunschweig

Venen sind so etwas wie die neuen Fingerabdrücke. Die einzelnen Verästelungen der Venen in Händen und Fingern bilden sich zufällig aus und lassen so die eindeutige Erkennung eines Menschen anhand seines Venenmusters zu. Sie gilt als eines der sichersten Verfahren der biometrischen Identifizierung von Menschen und kommt vor allem im asiatischen Raum zum Einsatz. In Japan wird die Technik beispielsweise in Geldautomaten genutzt.

Um die Venen sichtbar zu machen, braucht es zuerst einmal Licht. Die Venenerkennungsgeräte strahlen die Hand oder den Finger an. Die Haut wird hell und die Venen lassen sich mit einer Kamera ohne Infrarotfilter aufnehmen. Das lässt sich auch zuhause im Wohnzimmer nachstellen: Eine Hand wird mit einer Spiegelreflexkamera (ohne Infrarotfilter) und Blitz fotografiert. Auf dem Bild sind die Venen bereits erkennbar, müssen für einen Venenabdruck aber noch weiter bearbeitet werden. Krissler und Albrecht haben ein Pythonscript geschrieben, um die Arbeit zu automatisieren.

Vom Bild zur Attrappe

Das entstandene Venen-Bild wird mit einem Laserdrucker ausgedruckt - Tintenstrahler funktionieren nicht. Um eine echte Hand besser zu imitieren, haben die beiden Sicherheitsforscher Handattrappen aus Bienenwachs gegossen, das Blatt aufgebracht und mit einer weiteren Schicht Wachs übergossen. Mit den Attrappen konnten sie die biometrischen Systeme der beiden Hersteller Hitachi und Fujitsu überlisten. "Wenn man weiß, wie es geht, ist es eine Sache von 15 Minuten", sagt Krissler. In der Realität funktioniere ein solcher Angriff mit einer 80-prozentigen Wahrscheinlichkeit.

Doch wie an die Venen-Bilder kommen? Auch hier haben Krissler und Albrecht einen Bausatz: Ein Handtrockner, in den man seine Hände mit gespreizten Finger steckt, ist in vielen Toiletten zu finden. Wird dieser mit einem Raspberry Pi mit Infrarot-LED und Kamera bestückt, liefert er gutes Ausgangsmaterial für die Venen-Attrappe.

Laut Starbug gibt es nach dem Hack der Venenerkennung kaum noch biometrische Systeme, die nicht bereits umgangen wurden. Auf dem 31C3 2014 hatte er Angriffe auf Gesichts- und Iriserkennungssysteme präsentiert, im Jahr zuvor konnte er binnen weniger Tage Apples Fingerabdrucksystem Touch ID des iPhone 5S überwinden.



Anzeige
Spiele-Angebote
  1. 2,99€
  2. 21,95€
  3. 4,99€

avbln2014 08. Jan 2019

Wenn man sich das Video anschaut, wird jedem aufgefallen sein, dass das Test-System mit...

Eheran 31. Dez 2018

Genau dafür ist es doch auch gold richtig. Diese Sachen müssen komfortabel, schnell und...

Eheran 31. Dez 2018

1. Der Fingerabdruck kann irgendwo her kommen, z.B. von einem Glas, welche man ja...

xMarwyc 28. Dez 2018

Dieser Post hat mir den Freitag gerettet.

Anonymer Nutzer 28. Dez 2018

Erzähl uns mehr von diesem phantastischen Sensor.


Folgen Sie uns
       


Boses Noise Cancelling Headphones 700 im Vergleich

Wir haben die ANC-Leistung von drei ANC-Kopfhörern miteinander verglichen. Wir ließen Boses neue Noise Cancelling Headphones 700 gegen Boses Quiet Comfort 35 II und Sonys WH-1000XM3 antreten.

Boses Noise Cancelling Headphones 700 im Vergleich Video aufrufen
Raspberry Pi 4B im Test: Nummer 4 lebt!
Raspberry Pi 4B im Test
Nummer 4 lebt!

Das Raspberry Pi kann endlich zur Konkurrenz aufschließen, aber richtig glücklich werden wir mit dem neuen Modell des Bastelrechners trotz bemerkenswerter Merkmale nicht.
Ein Test von Alexander Merz

  1. Eben Upton Raspberry-Pi-Initiator spielt USB-C-Fehler herunter
  2. 52PI Ice Tower Turmkühler für Raspberry Pi 4B halbiert Temperatur
  3. Kickstarter Lyra ist ein Gameboy Advance mit integriertem Raspberry Pi

Whatsapp: Krankschreibung auf Knopfdruck
Whatsapp
Krankschreibung auf Knopfdruck

Ein Hamburger Gründer verkauft Arbeitsunfähigkeitsbescheinigungen per Whatsapp. Ist das rechtens? Ärztevertreter warnen vor den Folgen.
Von Miriam Apke

  1. Medizin Schadsoftware legt Krankenhäuser lahm
  2. Medizin Sicherheitslücken in Beatmungsgeräten
  3. Gesundheitsdaten Gesundheitsapps werden beliebter, trotz Datenschutzbedenken

Nachhaltigkeit: Bauen fürs Klima
Nachhaltigkeit
Bauen fürs Klima

In Städten sind Gebäude für gut die Hälfte der Emissionen von Treibhausgasen verantwortlich, in Metropolen wie London, Los Angeles oder Paris sogar für 70 Prozent. Klimafreundliche Bauten spielen daher eine wichtige Rolle, um die Klimaziele in einer zunehmend urbanisierten Welt zu erreichen.
Ein Bericht von Jan Oliver Löfken

  1. Klimaschutz Großbritannien probt für den Kohleausstieg
  2. Energie Warum Japan auf Wasserstoff setzt

    •  /