Biometrie hacken: Mit Toner und Bienenwachs Venenerkennungssysteme überwinden

Venenerkennungssysteme gelten als eines der sichersten biometrischen Verfahren und kommen im Hochsicherheitsbereich zum Einsatz. Doch sie können mit einfachen Mitteln umgangen werden.

Ein Bericht von veröffentlicht am
Mit dem richtigen Licht können die Venen in den Händen sichtbar gemacht werden.
Mit dem richtigen Licht können die Venen in den Händen sichtbar gemacht werden. (Bild: PublicDomainPictures/CC0 1.0)

Ein gut belichtetes Foto einer Hand oder eines Fingers, einen Laserdrucker und etwas Bienenwachs, mehr braucht es nicht, um Venenerkennungssysteme zu umgehen. Mit den Materialien bastelten die Sicherheitsforscher Jan Krissler alias Starbug und Julian Albrecht Handattrappen, die sie auf dem Hackerkongress 35C3 in Leipzig vorführten. Betroffen sind vor allem Hochsicherheitsbereiche von Banken, Krankenhäusern, Kernkraftwerken oder vom BND, der die Technik in seiner neuen Berliner Zentrale einsetzt.

Stellenmarkt
  1. Systemadministrator (m/w/d) Customer Service
    Dürkopp Fördertechnik GmbH, Bielefeld
  2. Junior-Information Security and Compliance Manager (m/w/d)
    HÜBNER GmbH & Co. KG, Kassel
Detailsuche

Venen sind so etwas wie die neuen Fingerabdrücke. Die einzelnen Verästelungen der Venen in Händen und Fingern bilden sich zufällig aus und lassen so die eindeutige Erkennung eines Menschen anhand seines Venenmusters zu. Sie gilt als eines der sichersten Verfahren der biometrischen Identifizierung von Menschen und kommt vor allem im asiatischen Raum zum Einsatz. In Japan wird die Technik beispielsweise in Geldautomaten genutzt.

Um die Venen sichtbar zu machen, braucht es zuerst einmal Licht. Die Venenerkennungsgeräte strahlen die Hand oder den Finger an. Die Haut wird hell und die Venen lassen sich mit einer Kamera ohne Infrarotfilter aufnehmen. Das lässt sich auch zuhause im Wohnzimmer nachstellen: Eine Hand wird mit einer Spiegelreflexkamera (ohne Infrarotfilter) und Blitz fotografiert. Auf dem Bild sind die Venen bereits erkennbar, müssen für einen Venenabdruck aber noch weiter bearbeitet werden. Krissler und Albrecht haben ein Pythonscript geschrieben, um die Arbeit zu automatisieren.

Vom Bild zur Attrappe

Das entstandene Venen-Bild wird mit einem Laserdrucker ausgedruckt - Tintenstrahler funktionieren nicht. Um eine echte Hand besser zu imitieren, haben die beiden Sicherheitsforscher Handattrappen aus Bienenwachs gegossen, das Blatt aufgebracht und mit einer weiteren Schicht Wachs übergossen. Mit den Attrappen konnten sie die biometrischen Systeme der beiden Hersteller Hitachi und Fujitsu überlisten. "Wenn man weiß, wie es geht, ist es eine Sache von 15 Minuten", sagt Krissler. In der Realität funktioniere ein solcher Angriff mit einer 80-prozentigen Wahrscheinlichkeit.

Golem Karrierewelt
  1. Container Technologie: Docker und Kubernetes - Theorie und Praxis: virtueller Drei-Tage-Workshop
    14.-16.12.2022, virtuell
  2. Airtable Grundlagen: virtueller Ein-Tages-Workshop
    17.02.2023, Virtuell
Weitere IT-Trainings

Doch wie an die Venen-Bilder kommen? Auch hier haben Krissler und Albrecht einen Bausatz: Ein Handtrockner, in den man seine Hände mit gespreizten Finger steckt, ist in vielen Toiletten zu finden. Wird dieser mit einem Raspberry Pi mit Infrarot-LED und Kamera bestückt, liefert er gutes Ausgangsmaterial für die Venen-Attrappe.

Laut Starbug gibt es nach dem Hack der Venenerkennung kaum noch biometrische Systeme, die nicht bereits umgangen wurden. Auf dem 31C3 2014 hatte er Angriffe auf Gesichts- und Iriserkennungssysteme präsentiert, im Jahr zuvor konnte er binnen weniger Tage Apples Fingerabdrucksystem Touch ID des iPhone 5S überwinden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


avbln2014 08. Jan 2019

Wenn man sich das Video anschaut, wird jedem aufgefallen sein, dass das Test-System mit...

Eheran 31. Dez 2018

Genau dafür ist es doch auch gold richtig. Diese Sachen müssen komfortabel, schnell und...

Eheran 31. Dez 2018

1. Der Fingerabdruck kann irgendwo her kommen, z.B. von einem Glas, welche man ja...

xMarwyc 28. Dez 2018

Dieser Post hat mir den Freitag gerettet.



Aktuell auf der Startseite von Golem.de
Amazon Shopper Panel
Amazon zahlt für Überwachung des Smartphone-Datenverkehrs

Wer seinen gesamten Smartphone-Datenverkehr über Amazons Server leitet, wird mit einem monatlichen Gutschein dafür bezahlt.

Amazon Shopper Panel: Amazon zahlt für Überwachung des Smartphone-Datenverkehrs
Artikel
  1. Northrop Grumman: B21 Raider als erster digitaler Bomber vorgestellt
    Northrop Grumman
    B21 Raider als erster digitaler Bomber vorgestellt

    Northrop Grumman hat mit dem B-21 Raider eine neuen Tarnkappenbomber vorgestellt. Dabei kamen agile Softwareentwicklung und digitales Engineering zum Einsatz.

  2. Soziale Netzwerke: Liken bei Hasspostings kann strafbar sein
    Soziale Netzwerke
    Liken bei Hasspostings kann strafbar sein

    Facebook-Nutzer, die nicht davor zurückschrecken, diskriminierende oder beleidigende oder Postings zu liken, sollten sich das gut überlegen. Denn das Drücken des Gefällt-mir-Buttons kann hier erhebliche rechtliche Folgen haben.
    Von Harald Büring

  3. Konflikt mit den USA: Snowden verteidigt seine russische Staatsbürgerschaft
    Konflikt mit den USA
    Snowden verteidigt seine russische Staatsbürgerschaft

    Eigentlich wollte Edward Snowden parallel die US-amerikanische Staatsbürgerschaft behalten - das wurde ihm unmöglich gemacht.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Bundle vorbestellbar • SanDisk Extreme PRO 1TB 141,86€ • Amazon-Geräte bis -53% • Mindstar: Alphacool Eiswolf 2 AiO 360 199€, AMD-Ryzen-CPUs zu Bestpreisen • Alternate: WD_BLACK P10 2TB 76,89€ • Advent-Tagesdeals bei MediaMarkt/Saturn • Thrustmaster Ferrari GTE Wheel 87,60€ [Werbung]
    •  /