Foto: Deutscher Bundestag, Achim Melde

Hochauflösende Kameras hebeln Biometrie aus

Falsche Finger – echte Augen?

Von der Leyens Finger, Merkels Auge – der Chaos Computer Club nahm sich erneut eines seiner Lieblingsthemen zur Brust: die Biometrie. Einer seiner prominentesten Hacker ist „Starbug“, und der zeigte auf dem CCC Kongress, was er und sein Team an neuen Angriffsszenarien in petto haben. Richtig interessant wurde es im Frühjahr auf der IT-Defense 2015.

Auf dem Sicherheitskongress kamen eine Reihe neuer Aspekte ans Licht. Und Hacker sind auch nicht mehr das, was sie einmal waren. Statt weltfremder Stubenhocker ziehen sie heute als gut bezahlte Redner von Veranstaltung zu Veranstaltung, haben Zugriff aus Universitäts-laboratorien, arbeiten mit Laborbuch und wissenschaftlicher Präzision und veröffentlichen ihre Erkenntnisse in angesehenen Fachzeitschriften. Einer dieser neuen Hacker ist Starbug alias Jan Krissler vom Institut für Softwaretechnik und Theoretische Informatik. In der Industrie wohl so etwas wie ein Teamleiter mit guten Aufstiegschancen. Allerdings entwirft er keine neuen Produkte, er schreddert sie eher, indem er die Lobpreisungen des Marketings auf das real erreichte Sicherheitsniveau eindampft. Und das ist bei vielen biometrischen Systemen noch längst nicht dort, wo die Hersteller es gerne hätten.

Technische Möglichkeiten genutzt

Starbug macht sich einen Spaß daraus, mit Attrappen Zugangssysteme zu täuschen. Bei der Gesichtserkennung reicht ihm dazu oft ein Handy mit dem Bild des Zutrittsberechtigten. Er hält es einfach in die Kamera. Die Lebenderkennung – die oft auf Wimpernschlag reagiert – düpiert er mit einem vor den Augen bewegten Kugelschreiber.

Gefährdet sind generell alle Systeme, die mit unzulänglichem Schutz gegen Fälschungen operieren, denn biometrische Daten lassen sich oft erschreckend schnell gewinnen. Der CCC demonstrierte bereits 2008, wie man von Gläsern und anderen Oberflächen Fingerabdrücke stiehlt und auf künstliche Hände überträgt. Damals war Bundesinnenminister Wolfgang Schäuble das Opfer, und er konnte seinen Finger in der CCC-Vereinszeitschrift „Datenschleuder“ begutachten. Das ist gut für Schlagzeilen, aber kaum unbemerkt im großen Maßstab durchzuführen. Ganz anders beim jetzigen Angriffsszenario: Die Hacker nutzen ganz bewusst die rasant gestiegenen technischen Möglichkeiten von digitalen Kameras sowie der Bilderkennung und Verarbeitung. Digitalkameras sind weit lichtempfindlicher als Film. Benötigte man noch vor zwei Jahrzehnten einen stattlichen Lampenpark, um Menschen oder Gliedmaßen in hoher Auflösung abzulichten, genügt dazu heute die Zimmerbeleuchtung. Die Kameras schrumpften zudem auf unauffällige Maße. Ist das Resultat der Bemühungen trotzdem technisch nicht perfekt, erledigt die digitale Bildverarbeitung den Rest.

Augen aus Pappe öffnen Türen

Auf diese Weise gelang es einem Fotografen während einer Pressekonferenz problemlos, im Auftrag der Hacker die Hände von Verteidigungsministerin Ursula von der Leyen zu fotografieren. Der Daumen der Christdemokratin wurde während eines ihrer Auftritte vor der Bundespressekonferenz aus einem Abstand von etwa drei Metern mit einem 200er-Objektiv aufgenommen. Ebenso ging man bei der Iris von Angela Merkel vor, wo allerdings ein 400 Millimeter Objektiv zum Einsatz kam. Natürlich spielten die Damen das Spiel der Hacker nicht mit, und somit bleibt offen, ob sich Türen mit den biometrischen Merkmalen öffnen lassen. Bei Studien mit vergleichbaren Augen und Fingern ergab sich aber Erstaunliches: auch recht hochpreisige biometrische Sensoren ließen sich überlisten. Starbug und Freunde druckten die Iris von Versuchspersonen auf einem guten Drucker mit 1.200 dpi aus, und konnten so der Elektronik das Vorhandensein einer zuvor korrekt eingelernten Person vorgaukeln. Einfach das Papp-Auge vor die Kamera halten und die Tür öffnet sich. James Bond würde natürlich nie so verräterisch vorgehen. Aber auch dafür gibt es Lösungen. Ist die Iris erst einmal geknackt, kann man sie auf seine Kontaktlinsen drucken lassen. Starbugs Resümee: „Die Iris-Erkennung ist auch endgültig kaputt.“

Beim Finger waren ein Foliendrucker, Graphitspray und etwas Holzleim ausreichend, um eine Prothese zu schaffen. Bei Tests in einem mit Biometrie ausgerüsteten Supermarkt kauften die Hacker auf Kosten einer fremden Person ein. Das Kassensystem akzeptierte klaglos. Natürlich war das Opfer in diesem Fall ein eingeweihter Kollege, aber das muss nicht immer das Fall sein. Was bei Testpersonen funktioniert, dürfte auch mit den Fingern von Ministern funktionieren, so die Schlussfolgerung.

Kein Grund zur Panik

Solche Inszenierungen sind gut für Schlagzeilen, aber kein Grund zur Panik, denn im wirklichen Leben ist Aufwand und Ertrag zu ungünstig. Echte Spitzbuben denken ungern so kompliziert und verfügen auch nicht über Universitätslaboratorien und ausdauernden Forschergeist. Sieht man sich die gesamten Forschungstätigkeiten der Gruppe etwas genauer an, besteht aber wohl doch ein gewichtiger Grund, Risiken und Angriffsvektoren neu zu kalkulieren. Denn hochauflösende Kameras sind nicht nur fast überall, auch fertige, hochaufgelöste Fotos in ausreichender Qualität gibt es massenweise. Politiker stellen sie in Form von Wahlplakaten selbst zur Verfügung, Firmen veröffentlichen von Mitgliedern der Geschäftsleitung und anderen leitenden Angestellten fast schon standardmäßig Bilder im Internet. Sie eignen sich vorzüglich, biometrische Daten zu extrahieren. Viele Zeitgenossen finden es außerdem „cool“, in sozialen Netzwerken Bilder von sich zu veröffentlichen und in frei einsehbaren Datenbanken abzuspeichern. Praktischerweise mit echtem Namen und korrekter Beschreibung, nach dem Motto: „Seht her, das ist meine Hand und das mein Gesicht“. Solche Bilder können, auch viele Jahre später, zum Erstellen von biometrischen Datensätzen verwendet werden.

Starbug wies nach, dass der Finger keineswegs dominant das Bild beherrschen muss. Entscheidend ist die Anzahl der Pixel, die der Sensor von dem Merkmal erfasst. Bei der hohen Auflösung moderner Kameras, reicht dem Hacker eine Daumenkuppe oder ein Auge am Bildrand aus, um ans Werk zu gehen. Bei Bedarf kann man das Merkmal auch aus zwei Bildern zusammensetzen, wenn das Körperteil nur teilweise erfasst wurde. Ein Mensch, der im Abstand von fünf Metern fotografiert wurde, liefert durchaus noch gute Resultate. Gegen leichte Unschärfen helfen moderne Bildbearbeitungsprogramme, gegen Schatten oder abgedeckte Körperteile etwas Phantasie und ein Zeichenprogramm. Ein zweites Bild macht die Sache noch einfacher.

Das Risiko ist keineswegs rein akademisch. Hacker wie Starbug halten nicht nur Vorträge, sie filmen ihre Tätigkeit und stellen die Videobeweise anschließend auf You Tube“ der breiten Öffentlichkeit zur Verfügung. Die Hürde für Nachahmer liegt also nicht sonderlich hoch. Für Angehörige der so genannten „Maker Generation“ ist praktisches Tun inzwischen eine entspannende Abwechslung zwischen programmieren und surfen im Internet. Die „Maker“ basteln wieder. Wer einmal Lunte gerochen hat, kann sein Wissen aber eben nicht nur für einen Spaß verwenden, sondern ganz schnell auch für einen ernsten Angriff, wenn es dazu einen Anlass gibt.

Als Anreiz könnte zum Beispiel das Smartphone oder das Tablet des Zimmernachbarn dienen. Meist haben nicht einmal die Nutzer einen Überblick, was sich in den üppigen Speichern dieser neuen Helfer alles an sensiblen Daten und Firmengeheimnissen tummelt. Zugangsberechtigungen, Terminkalender und oft auch Kalkulationen oder interne Anweisungen, Versandt als E-Mail-Anhang und gelesen unterwegs auf einem mobilen Endgerät. Ende April 2015 mussten Dutzende Flüge von American Airlines am Boden bleiben, weil sich die iPads der Piloten per Update einen Software-Fehler eingehandelt hatten und dunkel blieben. Die Tablets ersetzen bei dieser Fluglinie die dicken Pilotenhandbücher, was 16 Kilogramm an Gewicht spart. 8.000 Stück hat die Firma inzwischen angeschafft. Das spart jede Menge Treibstoff, kostet aber auch jede Menge Geld, wenn die Piloten nicht starten dürfen, weil ihre elektronischen Pilotenhandbücher den Dienst versagen. In diesem Fall waren es die Hersteller, die für den Fehler verantwortlich waren. Aber das muss nicht sein. Es ergeben sich gänzlich neue Angriffspfade und nur Romanautoren kennen jetzt schon alle neuen Wege.

Versprechen lösen sich in Luft auf

Je näher sich das potentielle Opfer und der Angreifer stehen, desto leichter sind PINs und Passwörter abzuschöpfen oder zu erraten. Die heute oft zusätzlich eingebauten biometrischen Hürden sind – das beweist der Starbug-Vortrag – auch nicht viel Wert. Wie schnell sich Werbeversprechen in Luft auflösen, demonstrierte er bei der Vorstellung des neuen iPhone 5s mit Fingerabdruck-Sperre. Ein zuvor von einer Glas-oberfläche abfotografierter Fingerabdruck entsperrte das teure Edelgerät zuverlässig. Die TouchID-Technologie wurde von Apples Hardwarechef Dan Riccio zuvor als „extrem sicher” bezeichnet. „Der Fingerabdruck ist eines der besten Kennwörter der Welt”, so Dan Riccio. Man habe ihn stets bei sich und er gleiche keinem anderen. Freitag kauften sich die Hacker das gerade auf den Markt kommende iPhone, am Sonntag war die Biometrie gebrochen. Eine US-Internetseite spendierte den ersten Touch-ID-Hackern aus Berlin als Belohnung 4.000 US-Dollar.

Apple steht mit seinen Biometrie-Problemen keineswegs alleine da. Auch Samsung musste Lehrgeld bezahlen. Der Sicherheitsexperte Ben Schlabs von SRLabs konnte das Galaxy S5 mit einer Finger-Attrappe problemlos entsperren und zudem noch problemlos Geld vom Paypal Account überweisen. Die Zugangsdaten auf dem smarten Endgerät machten es möglich.

Also doch besser ausschließlich Passwörtern und PINs vertrauen? Vorsicht, hier setzt Starbug letzter Hack an. Er fragte sich, ob man etwas mit den Reflexionen der Eingabefelder in den Augen anfangen kann. Jeder bessere Bankomat, aber auch viele Zutrittsysteme beobachten den Nutzer während der Eingabe des Zugangscodes. Es funktioniert: Zwar ist das Auge im Sensor nur wenige Pixel groß, doch das reicht aus, um mit hoher Wahrscheinlichkeit die Eingabe auf dem Tastenfeld zu rekonstruieren. Auch die in Smartphones eingebauten Kameras sind oft gut genug, um das reflektierte Bild mit ausreichender Qualität aufzunehmen. Da die meisten Systeme drei Eingaben tolerieren, reicht das Ergebnis der Spionage fast immer, um den geheimen in einen nun nicht mehr geheimen Schlüssel zu verwandeln. Hier ist wohl Handlungsbedarf angesagt.

Die von Starbug gemachten Bilder der Venen waren Basis für die Wachs-Attrappe.
Foto: Starbug

Biometrie

Wachsweiche Biometrie

Handvenenscanner lassen sich mit Attrappen überlisten, das zeigen Versuche des Informatikers Jan Krissler von der TU-Berlin. Besser bekannt ist er unter seinem Hacker-Pseudonym Starbug.

Foto: PCS Systemtechnik

Biometrie im Spannungsfeld

Eine Technologie für alles?

Biometrie sorgt für Emotionen. Identitätsdiebstahl, Datenschutz, Fingerabdruck im Pass, massenweise Gesichtserkennung und mehr wird assoziiert. Andererseits gehen wir auch sehr locker mit Biometrie um: Der Fingerprintsensor im Smartphone ist selbstverständlich. Dass die Daten vielleicht auf amerikanischen Servern landen, wird hingenommen. Sind wir bereit für Biometrie?

Foto: Glutz

Biometrie

Aus Finger wird Schlüssel

Mit dem Finger ganz einfach Türschlösser öffnen und ohne konventionellen Schlüssel eintreten – diese Zutrittsvariante hält immer häufiger Einzug in die private Nutzung sowie den besonders zu sichernden Bereichen eines Unternehmens.

Foto: Colin/Wikimedia Commons

Hacking von Zutrittssystemen

Generalschlüssel aus dem PC

Hacker beschäftigen sich nur selten mit Zutrittssystemen. Wenn doch, ist das Ergebnis für die Inhaber der Schließanlage nicht angenehm.