Biometrie hacken: Mit Toner und Bienenwachs Venenerkennungssysteme überwinden

Ein gut belichtetes Foto einer Hand oder eines Fingers, einen Laserdrucker und etwas Bienenwachs, mehr braucht es nicht, um Venenerkennungssysteme zu umgehen. Mit den Materialien bastelten die Sicherheitsforscher Jan Krissler alias Starbug und Julian Albrecht Handattrappen, die sie auf dem Hackerkongress 35C3 in Leipzig vorführten. Betroffen sind vor allem Hochsicherheitsbereiche von Banken, Krankenhäusern, Kernkraftwerken oder vom BND, der die Technik in seiner neuen Berliner Zentrale einsetzt.

Venen sind so etwas wie die neuen Fingerabdrücke. Die einzelnen Verästelungen der Venen in Händen und Fingern bilden sich zufällig aus und lassen so die eindeutige Erkennung eines Menschen anhand seines Venenmusters zu. Sie gilt als eines der sichersten Verfahren der biometrischen Identifizierung von Menschen und kommt vor allem im asiatischen Raum zum Einsatz. In Japan wird die Technik beispielsweise in Geldautomaten genutzt.

Um die Venen sichtbar zu machen, braucht es zuerst einmal Licht. Die Venenerkennungsgeräte strahlen die Hand oder den Finger an. Die Haut wird hell und die Venen lassen sich mit einer Kamera ohne Infrarotfilter aufnehmen. Das lässt sich auch zuhause im Wohnzimmer nachstellen: Eine Hand wird mit einer Spiegelreflexkamera (ohne Infrarotfilter) und Blitz fotografiert. Auf dem Bild sind die Venen bereits erkennbar, müssen für einen Venenabdruck aber noch weiter bearbeitet werden. Krissler und Albrecht haben ein Pythonscript geschrieben, um die Arbeit zu automatisieren.

Vom Bild zur Attrappe

Das entstandene Venen-Bild wird mit einem Laserdrucker ausgedruckt - Tintenstrahler funktionieren nicht. Um eine echte Hand besser zu imitieren, haben die beiden Sicherheitsforscher Handattrappen aus Bienenwachs gegossen, das Blatt aufgebracht und mit einer weiteren Schicht Wachs übergossen. Mit den Attrappen konnten sie die biometrischen Systeme der beiden Hersteller Hitachi und Fujitsu überlisten. "Wenn man weiß, wie es geht, ist es eine Sache von 15 Minuten", sagt Krissler. In der Realität funktioniere ein solcher Angriff mit einer 80-prozentigen Wahrscheinlichkeit.

Doch wie an die Venen-Bilder kommen? Auch hier haben Krissler und Albrecht einen Bausatz: Ein Handtrockner, in den man seine Hände mit gespreizten Finger steckt, ist in vielen Toiletten zu finden. Wird dieser mit einem Raspberry Pi mit Infrarot-LED und Kamera bestückt, liefert er gutes Ausgangsmaterial für die Venen-Attrappe.

Laut Starbug gibt es nach dem Hack der Venenerkennung kaum noch biometrische Systeme, die nicht bereits umgangen wurden. Auf dem 31C3 2014 hatte er Angriffe auf Gesichts- und Iriserkennungssysteme präsentiert, im Jahr zuvor konnte er binnen weniger Tage Apples Fingerabdrucksystem Touch ID des iPhone 5S überwinden.