23C3: Fingerabdruck-Systeme lassen sich noch immer leicht austricksen

Biometrische Systeme zur Fingerabdruckerkennung lassen sich nach wie vor mit einfachen Mitteln wie Alufolie, Holzleim und Klebeband überwinden, so der Hacker starbug – und das, obwohl sich die Sensor-Hersteller verstärkt um bessere Sicherheit bemühen. "Alle Sensoren, die ich bislang in Händen gehalten habe, konnte man mit Attrappen überwinden", führte der Sicherheitstester am Mittwoch auf dem 23. Chaos Communication Congress in Berlin aus. Die Nachbildungen wiederum seien mit geschickten Händen unter Zuhilfenahme von Materialien im Wert von fünf Euro aus Baumarkt oder Bastelladen "in zwanzig Minuten zu bauen".

Die Versuche von Sensorenfabrikanten wie Infineon, UPEK, Dermalog, U.are.U oder Identix zur Einführung einer Lebenderkennung hätten daran wenig geändert. Auch wenn gemessen würde, ob etwa Blut durch den aufgelegten Finger fließe, der Puls schlage oder sich der Abdruck deformiere, müsse man zum Austricksen der Systeme "halt nur das richtige Material finden."

Starbug hatte bereits vor zwei Jahren gezeigt, dass sowohl kapazitive, aus einer Kondensatorenmatrix bestehende sowie die etwas robusteren optischen Sensoren findigen Bastlern wenig Gegenwehr bieten. Die so genannten Latenzabdrücke – also Fettspuren – lassen sich etwa von Gläsern häufig schon mit einem Streifen Tesa abnehmen. Ansonsten helfen magnetisches Farbpulver, Cyanacrylat-Sekundenkleber oder in der Profi-Variante das Auslesen der Fettschichten in einer Vakuumröhre weiter. Fingerabdrücke auf Papier wiederum können durch Aminosäure-Indikatoren oder mit Hilfe von Dampf einsatzbereit gemacht werden. Für Sensoren, über die man seinen Finger ziehen muss, habe sich zudem das Arbeiten mit Attrappen aus dünner Laserfolie als erfolgreich herauskristallisiert. Holzleim sei dabei ideal, um die Abdruckspuren festzuhalten. Früher hätte man dazu noch Gelatine auf Leiterplatten aufgebracht, geätzt und belichtet. Bei elektronischen Sensoren erhöhe zudem Graphitspray die Leitfähigkeit.

"Am besten erhält man die Daten aber vom Sensor selbst", weiß starbug. Hier könne man mit Hard- oder Softwaresniffern ans Werk gehen oder die elektromagnetische Abstrahlung mit einem Frequenzscanner messen. Selbst wenn das System auf einen verschlüsselten oder verschleierten Datenverkehr setze, sei dies kein großes Problem. Der Schlüssel müsse schließlich irgendwo stecken, also entweder im Sensor oder in der biometrischen Applikation, sodass eine Dechiffrierung möglich werde.

Als bislang größte Herausforderung bezeichnet starbug den Fingerabdruck-Sensor im ThinkPad der 60er-Reihe von IBM. Dieser habe "als erster den Hackversuchen ein bisschen widerstanden." Bei den Proben zum Bau einer Attrappe für das System sei rasch deutlich geworden, dass intern das in das Laptop versenkte Trusted Platform Module (TPM) angerufen werde. Mit diesem Sicherheitsbaustein gebe es noch zu wenig Erfahrungen, erläuterte starbug, sodass sich zunächst eine Sackgasse aufgetan habe. Allerdings habe sich ein externer Sensor gefunden, um das Sniffing zu verfeinern und die vom System verwendeten Kontrasteinstellungen zu messen. So fand sich auch für das ThinkPad eine Blendeinrichtung: "Man nimmt Alufolie, klebt Klebeband dahinter zur Stabilisierung, hält sie gegen die Grundlage, streicht mit Fingernagel drüber und überträgt Struktur", erklärte starbug die erforderliche Prozedur. Zugleich führte er vor, dass man die so erhaltene Attrappe nur noch über den Sensor ziehen muss und der Rechner dann grünes Licht zur Benutzung gibt.

Dass sich biometrische Systeme mit Fingerabdruckerkennung mehr und mehr im Alltag durchsetzen und etwa in Mobiltelefone, Computer, Geldautomaten oder Zugangskontrollsysteme Einzug halten, erhöht laut starbug letztlich nicht die Sicherheit, sondern bringt höchstens einen Bequemlichkeitsgewinn mit sich. Echte Hürden erwartet der Hacker erst von den Ankündigungen einzelner Hersteller, eine Schweißmessung in ihre Sensoren einzubauen. Da fällt ihm "spontan keine Gegenanwendung" ein. Angesichts der damit verbundenen steigenden Kosten geht starbug aber davon aus, dass nur Hochsicherheitsanwendungen aufgerüstet werden. (Stefan Krempl) / (ciw)