35C3: Mit Venenbild auf Handattrappe Geld abheben oder beim BND einbrechen

Biometrischen Venenerkennungssystemen hängt der Ruf der Hochsicherheit an. Zwei Hackern gelang es aber, die Technik mit gängigen Kameras und Wachs auszutricksen

In Pocket speichern vorlesen Druckansicht 109 Kommentare lesen
Venen, Blut, Adern

(Bild: piyaphong / shutterstock.com)

Lesezeit: 5 Min.
Inhaltsverzeichnis

Mit der Venenerkennungen haben zwei Berliner Sicherheitsforscher eine der letzten Bastionen biometrischer Systeme zu Fall gebracht. Jan Krissler alias Starbug und Julian Albrecht führten am Donnerstag auf dem 35. Chaos Communication Congress (35C3) in Leipzig vor, dass sie mit einer aus Wachs gebastelten Attrappe für Finger oder Hände mit bearbeiteten Fotos der im Körper "versteckten" Blutbahnen gängige Geräte führender japanischer Hersteller überlisten konnten.

Bei der Live-Demo der Handerkennung am "PalmSecure"-Scanner von Fujitsu gab es zwar zunächst Probleme. So brauchte es einige Anläufe, bis das System unterm Tisch ohne Störungen aus anderen Lichtquellen "Zugang gewährt" signalisierte. Die Scheinwerfer im Saal hätten sich widrig ausgewirkt, entschuldigte Albrecht den Vorführeffekt. Der Fingervenen-Scanner "VeinID" von Hitachi ließ die selbstgezimmerte Attrappe dagegen gleich beim ersten Mal durchgehen.

Julian Albrecht und Starbug

(Bild: 35C3, Lizenz Creative Commons CC BY 4.0)

Damit hat auch diese spezielle biometrische Technik ihren Nimbus als Hochsicherheitsanwendung verloren. Sie wird derzeit vor allem im asiatischen Raum eingesetzt etwa für die Zutrittskontrolle zu Krankenhäusern, Kraftwerken, Banken oder militärischen Anlagen. "Lustigerweise" auch beim neuen Gebäudes des Bundesnachrichtendiensts (BND) in Berlin, unkte Krissler. Zudem werde die Venenerkennung in Geldautomaten etwa in Japan, Brasilien, Russland, in der Türkei oder Polen verwendet.

Für den Hack nahmen die beiden Tüftler zunächst die Systeme der zwei Hersteller, die laut Krissler rund 95 Prozent des Marktes für die automatische Venenerkennung abdecken, genauer unter die Lupe. Als Kernelement machten sie eine Kamera ohne Infrarotfilter aus. Venenmuster der Handfläche oder eines Fingers lassen sich naturgemäß gut berührungslos mithilfe einer nahen Infrarotstrahlung erfassen, die vom sauerstoffarmen venösen Blut gut absorbiert wird: Das Gewebe erscheint dabei hell, das Venenbild dunkel als schwarze Linien.

Mehr Infos

Bei dem Handscanner kommen dafür LEDs von unten zum Tragen, bei der Fingeranalyse eine entsprechende Lichtquelle von oben, die stärker strahlt und auch Knochen quasi durchleuchtet. Teils wird Starbug zufolge auch bereits mit Lasern und Mikrospiegel gearbeitet, um auch den Blutfluss zu detektieren. Eine spezielle Software fürs "Miura Tracking" suche dann nach "Einbrüchen in der Intensitätsverteilung" und verfolge die ausgemachte Vene. Bei der Nachbearbeitung werde noch "Rauschen rausgeworfen" und schon habe man die gesuchten Minutienpunkte.

Die Hacker vom Chaos Computer Club (CCC) entschieden sich auf Basis dieser Erkenntnisse fĂĽr einen "realen Angriff mit einer ganz normalen Spiegelreflexkamera", fĂĽhrte Krissler aus. Auch darin mĂĽsse der Infrarotfilter ausgebaut werden. Um im Anschluss mit Blitz eine treffende Vorlage zu erhalten, habe das Duo ĂĽber 2500 Testbilder gemacht. SchlieĂźlich habe der Ansatz selbst aus ĂĽber sechs Meter Entfernung geklappt.

(Bild: 35C3, Lizenz Creative Commons CC BY 4.0)

Auch ein Raspberry-Pi-Kameramodul mit einer normalen Videofunktion habe gerade bei Handvenen gute Aufnahmen geliefert, ergänzte Albrecht. Um diese heimlich zu ergattern, hätten sie den Minicomputer in einen Händetrockner installiert. Um die blanken Muster rauszurechnen, "haben wir ein Python-Skript geschrieben", berichtete der Berater weiter. Dieses erhöhe etwa den Kontrast, erhöhe den Schwellenwert für schwarze oder weiße Pixel oder filtere Schatten mit einer Gauss-Funktion heraus.

(Bild: 35C3, Lizenz Creative Commons CC BY 4.0)

Da die Aufnahmen zunächst meist überstrahlt waren, klebten sie sie auf eine Attrappe aus gelbem Bienenwachs, das dämpfend wirkt und aussieht wie menschliches Gewebe. Darüber kam noch eine Schicht aus hellrotem Wachs – und fertig war das Objekt der Täuschung.

Insgesamt steckten rund ein Monat Dauerarbeit in dem Projekt, rechnete Starbug vor. Jetzt reichten 15 Minuten, um eine Attrappe zu bauen. Einen entsprechenden Angriff kriege man so "mit etwa 80 Prozent Wahrscheinlichkeit reproduziert". Ein erster Praxistest jenseits des stillen Kämmerleins sei demnächst in Polen in Planung. Als Mittel gegen eine unerwünschte Venenerkennung gab er aus: "Wenn du dir mit einem Edding die Finger vollmalst, bist du auf der sicheren Seite." Auch dicke Finger oder eine starke Behaarung behinderten die biometrischen Systeme.

Mit der von den Produzenten angepriesenen Lebenderkennung sei es noch nicht weit her, erläuterte Albrecht. "Venöses Blut muss vorhanden sein", mehr hätten beide nicht dazu gesagt. Auf abgetrennte Körperteile fielen die Scanner also wohl nicht herein. Kontakt zu den Herstellern bestehe, sodass diese nun "an einer Lösung frickeln". Hitachi ließ die Experten sogar nach Japan einfliegen, wo sie den Hack vorführen konnten. Auch auf der Angriffsseite ist es laut Albrecht aber möglich aufzusatteln mit erhöhter Präzision per 3D-Druck, Lasern oder Fräsmaschinen.

Eine Fujitsu-Sprecherin bestätigte der dpa inzwischen, dass der Vorgang bekannt sei. Nach Einschätzung des Unternehmens könne der Hack aber wohl nur "unter Laborbedingungen" gelingen, in der realen Welt sei das "eher unwahrscheinlich". Man arbeite kontinuierlich daran, die Technik weiterzuentwickeln und zu verbessern.

Andere biometrische Erkennungssysteme gelten seit Längerem als geknackt. 2014 hatte Krissler auf dem 31C3 etwa einen nachgemachten Fingerabdruck von Bundesverteidigungsministerin Ursula von der Leyen (CDU) präsentiert. Diesen hatte der nach eigenen Angaben aus dem Bild des Daumens der Politikerin gewonnen, das ein Fotograf bei einem ihrer Auftritte in der Bundespressekonferenz aus Abstand von etwa drei Meter mit einem 200er-Objektiv aufgenommen haben soll. Attrappen mit digitalen Fingerprints erstellen die Hacker seit vielen Jahren. Auch Systeme zur Iris- oder Gesichtserkennung haben sie umgangen. (jk)