31C3: CCC-Tüftler hackt Merkels Iris und von der Leyens Fingerabdruck
Der Hacker Starbug zeigte auf dem Hackerkongress, wie man mit einer normalen Digitalkamera bei öffentlichen Veranstaltungen an Fingerabdrücke Dritter gelangen kann, um biometrische Authentifizierungssysteme zu überwinden.
Können diese Augen lügen? - Iris-Attrappen von Dr. Angela Merkel sind kein jedenfalls kein Problem.
(Bild: Starbug)
Biometriesysteme zum Identifizieren von Personen lassen sich immer leichter austricksen. Jan Krissler alias Starbug hat am Samstag auf dem auf dem 31. Chaos Communication Congress (31C3) in Hamburg vorgeführt, dass ein direkter Kontakt mit physikalischen Objekten zum Abnehmen von Fingerabdrücken und dem anschließenden Basteln von Attrappen nicht mehr nötig ist. Vielmehr reiche dafür schon die Aufnahme eines Fotos mit einer gängigen Digitalkamera aus einem Abstand einiger Meter aus.
Der Chaos Computer Club (CCC) hatte 2008 für Aufsehen gesorgt, als er den Fingerabdruck des damaligen Bundesinnenministers Wolfgang Schäuble in seinem Vereinsmagazin "Datenschleuder" veröffentlichte. Damals hatte zuvor ein Glas den Weg zu Starbug gefunden, aus dem der CDU-Politiker bei einer öffentlichen Veranstaltung Wasser getrunken hatte.
Fingerabdruck aus 3m Entfernung
In seinen Vortragsfolien präsentierte der Forscher von der TU Berlin nun einen sich deutlich abzeichnenden Fingerabdruck von Bundesverteidigungsminister Ursula von der Leyen. Basis gewesen sei ein Bild des Daumens der Christdemokratin, das ein Fotograf bei einem ihrer jüngsten Auftritte in der Bundespressekonferenz aus Abstand von etwa drei Meter mit einem 200er-Objektiv aufgenommen habe, erläuterte Starbug. Das Foto habe er noch etwas mit der Software Verifinger nachgebessert, was man aber auch mit einem gängigen Bildbearbeitungsprogramm erledigen könne.
"Der Finger sieht ganz brauchbar aus", lobte der Biometrie-Experte das Werk. Der Abdruck weise zwar noch ein paar Lücken auf, diese könne man aber "relativ gut von Hand füllen" oder mehrere vergleichbare Fotos zuvor zusammensetzen für ein noch besseres Ergebnis.
Dass derlei digitale Fingerprints mit einfachen Mitteln wie durchsichtiger Folie, einem Drucker mit mindestens 1200 dpi, Graphitspray und Holzleim zum Erstellen künstlicher Abdrücke beziehungsweise Fingerattrappen genutzt werden können, hatte Starbug im September erst beim Hack des vergleichsweise hochwertigen Biometriesensors beim iPhone 5s gezeigt. Seit vielen Jahren gehen Clubmitglieder ähnlich vor, um Fingerabdrucksysteme zu überwinden. Insgesamt habe sich auf der Gegenseite seitdem nicht viel getan: "Die gängigen Attrappen greifen."
(Bild: Starbug)
Er werde den Abdruck von der Leyens sicher auch bald offiziell veröffentlichen, versicherte das CCC-Mitglied. Er wolle ihn nur noch "etwas schön machen". Generell spreche seiner Ansicht nach nichts gegen das Sammeln und Publizieren biometrischer Merkmale weiterer Mitglieder des Bundeskabinetts. Schäuble habe sich nach außen hin ausdrücklich gelassen gezeigt in seinem Fall. Ein möglicher Verweis auf Persönlichkeitsrechte sei "zweifelhaft", solange die Bundesbürger für den elektronischen Pass Fingerabdrücke abgeben müssten.
Klar sei ihm nun, warum Bundeskanzlerin Angela Merkel bei Fototerminen die Hände gern zur Raute forme, unkte Starbug. Bei der Regierungschefin habe er sich daher daran versucht, ein Iris-Abbild zu erhalten. Erneut über Fotografenkontakte sei ihm ein Merkel-Foto aus fünf Metern Entfernung mit einem Iris-Durchmesser von 110 Pixel zugespielt worden. Ein Ausdruck mit erneut 1200 dpi genüge, um in der Wirtschaft gängige einschlägige Biometriesysteme zu unterwandern. Politiker gäben ihre Iris aber auch freiwillig ab, da Wahlplakate superhoch aufgelöst seien.
Iris-Attrappen
Dem Hacker zufolge lassen sich Iris-Attrappen selbst auf Basis von Bildern einer Handy-Kamera mit über zehn Megapixel fertigen. Bei dunklen Augen helfe eine Infrarotkamera, um Strukturauflösungen besser zu erkennen. Ausreichend sei am Ende ein Iris-Durchmesser von rund 75 Pixel. Starbugs Resümee: "Die Iris-Erkennung ist auch endgültig kaputt."
Kameras in Mobiltelefonen könnten zudem verwendet werden, um aus der Ferne brauchbare Bilder von Fingerabdrücken zu bekommen, berichtete der Wissenschaftler. Dazu müsse sich das begehrte Foto-Objekt nur genau über der Linse befinden bei guten Lichtverhältnissen. Für den Angriff aus der Ferne brauche man dann nur noch die Rechte über die Kamera auf dem Smartphone. Nebeneffekt sei die Möglichkeit, recht einfach die vom Nutzer verwendete PIN für das Gerät sowie Passwörter für mobil abgerufene Online-Dienste auszuspähen: die Handy-Cam zeige normalerweise auf das Gesicht des Anwenders, wo sich in der Pupille das Display mit dem Finger spiegele, der gerade Tasten drücke. Bei einer festgehaltenen Tastaturgröße von drei Pixel pro Taste sei die Zeichenabfolge noch erkennbar.
Gesichtserkennung entlockt Starbug seit Langem nur noch ein Gähnen, da man zum Umgehen damit arbeitender Zutrittssicherungen nur ein Handy-Display mit einem angezeigten Foto hinhalten müsse. Die mögliche Hürde einer Lebenderkennung, die auf ein Augenblinzeln abstelle, könne man mit dem Auf- und Abbewegen eines Stifts vor dem Gesicht einfach meistern.
(as)
