Die von Starbug gemachten Bilder der Venen waren Basis für die Wachs-Attrappe.
Foto: Starbug

Biometrie

Wachsweiche Biometrie

Handvenenscanner lassen sich mit Attrappen überlisten, das zeigen Versuche des Informatikers Jan Krissler von der TU-Berlin. Besser bekannt ist er unter seinem Hacker-Pseudonym Starbug.

Von Bernd Schöne: Starbug ist so etwas wie der Alptraum für die Hersteller von biometrischen Zutrittskontrollsystemen. Als Hacker bewies er bereits mehrfach, wie leicht biometrische Sensoren zu täuschen sind. Auch wenn er sich optisch wie ein Hacker der alten Schule präsentiert, hinter dem Künstlernamen Starbug verbirgt sich der renommierte deutsche Informatiker und Wissenschaftler Jan Krissler von der TU-Berlin. 2008 rekonstruierte er aus dem abfotografierten Fingerabdruck auf einem benutzten Glas die Fingerkuppen des damaligen Innenministers Wolfgang Schäuble. 2014 gelang ihm dasselbe Kunststück mit Verteidigungsministerin Ursula von der Leyen, allerdings genügte ihm bei ihr nur ein Pressefoto. Der Fingerabdruck sei als Identifikationsmittel „kaputt“ konstatierte Starbug damals, zumindest ohne aufwendige Lebend-
erkennung. Auch die Iris kompromittierte er durch ein Foto. Ein hochaufgelöstes Pressebild diente 2014 als Vorlage für die Augen-Attrappe von Angela Merkel. Aus fünf Metern Entfernung und mit Teleobjektiv ergab sich eine Auflösung von 110 Pixel für die Augenmitte. Das ist wenig, aber ausreichend. In Vergleichsfällen gelang es ihm, die Iris als Attrappe nachzubauen und sich unberechtigten Zugang zu verschaffen. Gesichtserkennung entlockt ihm seit Langem nur noch ein müdes Lächeln, er täuschte Zutrittssicherungen erfolgreich mit einem Foto auf dem Handy-Display, die Lebenderkennung umging er mit einem kreisenden Bleistift und simulierte so das Augenzwinkern.

Nachbau individueller Muster

2018 wandten sich Starbug und sein Kollege Julian Albrecht den Venenerkennungssysteme „PalmSecure“ von Fujitsu und „VeinID“ von Hitachi zu. In den meisten weltweit vertriebenen Handvenenscannern findet sich die Technik dieser Firmen. Auf dem 35. Chaos Communication Congress und auf der Sicherheitstagung IT Defense in Stuttgart demonstrierte der Security Spezialist das Ergebnis seiner Bemühungen. Er „baute“ die inneren Handvenen erfolgreich nach und überlistete die Zutrittskontrollsysteme von Hitachi und Fujitsu.

Das Gespinst der Handvenen im Innern der menschlichen Hand ist so individuell wie ein Fingerabdruck. Zwar sind die Grundmuster genetisch vorgegeben, doch beim Aufbau der Hand ab der sechsten Schwangerschaftswoche sind Form und Verzweigung beim Embryo so individuell, dass auch bei Zwillingen klar zwischen zwei Individuen unterschieden werden kann. Dieses Merkmal zu kopieren oder auch nur zu stehlen, scheint auf den ersten Blick ein geradezu aussichtsloses Unterfangen zu sein. Aus diesem Grund haben sich vor allem in asiatischen Ländern Handvenenscanner zur biometrischen Authentifizierung der Wahl entwickelt. Sie regeln nicht nur den Zugang zu Bürogebäuden, sondern sind auch bei vielen Bankautomaten als PIN-Ersatz verbreitet. In Deutschland entschied sich der Bundesnachrichtendienst, wichtige Teile seines Neubaus in Berlin auf diese Weise zu sichern. Auch kommerzielle Rechenzentren setzen Handvenenscanner mit großem Erfolg ein. Anders als bei Fingerabdrücken ist die Gefahr durch verletzungsbedingte Fehler gering, auch muss nichts berührt oder angefasst werden. Das ist vor allem in asiatischen Ländern ein Verkaufsargument. Handvenenscanner arbeiten berührungsfrei. Daher werden sie auch in sterilen Umgebungen wie Krankenhäusern verwendet oder generell zum Entsperren des Arbeitsplatz-Computers.

Vom Scanner gut erfassbar

Im Gegensatz zu Arterien befinden sich Venen nahe der Hautoberfläche, sind also für Detektoren noch gut zu erreichen. Das machen sich die Handvenenscanner zu Nutze, aber eben auch die Hacker. Die Merkmalsbeschaffung erwies sich nach einigen Experimenten als weit weniger schwer, als ursprünglich gedacht. Starbug und sein Mitstreiter analysierten zunächst die Datenbeschaffung innerhalb der Zielsysteme. Die Scanner durchleuchten das menschliche Gewebe mittels Infrarot-Licht, ein Fotochip nimmt die Strukturen dann auf. Spezielle Algorithmen rekonstruieren daraus das Verzweigungsmuster der Handvenen und erstellen ein individuelles Template, eine Zahlenfolge, die für jeden Menschen einzigartig sein soll. Zunächst galt es die Frage zu klären, ob man dieses Template auch aus der Entfernung mit ausreichender Präzision gewinnen kann.

Moderne DLRS-Kameras sind dazu durchaus in der Lage, das ergaben Tests. Zunächst muss allerdings der standardmäßig in allen Digitalkameras verbaute IR-Sperrfilter entfernt und durch einen Sperrfilter für sichtbares Tageslicht ersetzt werden. Dann „sieht“ die Kamera nur noch das Venenmuster der Hand. Das Netzwerk aus durchblutetem Gewebe erscheint als dunkles Gespinst vor dem kühleren und damit hellerem Gewebe. „Fünf bis sechs Meter können wir so überbrücken, das haben Tests ergeben“, erläutert Starbug. Voraussetzung ist eine geeignete Beleuchtung mit IR-Licht. Blitze mit entsprechenden Filtern, aber auch IR-Taschenlampen aus Fachgeschäften für den Jägerbedarf haben sich als geeignet erwiesen.

Modul versteckt im Handtrockner

Der Umbau der Kameras schlägt mit einigen hundert Euro zu Buche, dazu kommen die Kamera und das Teleobjektiv. Doch die Hacker von der TU-Berlin fanden eine weit preiswertere und zudem unauffälligere Methode. Sie versteckten ein IR-Kameramodul in einem Handtrockener. Solche mit Gebläse ausgestatteten Systeme finden sich in vielen Toilettenanlagen. Warme Luft entzieht den Händen die Feuchtigkeit. Aufgrund der räumlichen Nähe genügt hier ein preiswertes Kameramodul, um das Venenmuster zu gewinnen. IR-Kameras für den Einplatinencomputer Raspberry-Pi erwiesen sich als zielführende DLRS-Alternative. Alles zusammen für deutlich unter 100 Euro. In diesem Preis ist bereits der Kleincomputer enthalten, der die Bilder entweder speichert oder drahtlos an sein Ziel sendet. Sobald der potenzielle Angreifer über die Bilder der Handvenen verfügt, muss er nur noch den Kontrast des Bildes verstärken und es anschließend ausdrucken. Den Ausdruck selbst akzeptiert allerdings keiner der getesteten Handvenenscanner. Ein Blatt Papier und eine Hand unterscheiden sich eben massiv hinsichtlich der erzeugten Licht und Schattenverhältnisse.

Die Forscher lösten das Problem mit einer Attrappe. Bienenwachs ersetzt hier das menschliche Gewebe. Zwischen zwei Wachsschichten klebten sie das Bild der Handvenen und überlisteten so die Scanner. In 95 Prozent der Fälle erlauben die getesteten Systeme den Zutritt unter falscher Identität.

Den Hackern entgegen kommt der interne Aufbau der Handvenenscanner. Sie alle verwenden Algorithmen gleichen Ursprungs. Das erleichterte den Bau einer universellen Attrappe. Auch fehlen eine Lebenderkennung und ein wirklicher 3D-Scan. Die Scanner durchleuchten nur in 2D und fallen so auf die Attrappe herein. Inzwischen haben Hitachi und Fujitsu reagiert und kündigen Verbesserungen an. Aber auch die Berliner Hacker werden weiter an ihrer Methode arbeiten. Notfalls mit einer medizinisch optimierten Prothese. „Blutgefäße kann man mit 3D-Druckern erzeugen“, so Starbug.

Praktische Bedeutung eher gering

Wie bei vielen spektakulären Hacks ist die Bedeutung für die Praxis weit geringer, als es auf den ersten Blick scheint. Schon eine Überwachungskamera neben dem Handvenenscanner wird einen Angreifer davon abhalten, seine Wachshand aus der Aktentasche zu nehmen und in das Gerät zu halten. Aber solch einfache Hürden sollten eben eingebaut werden. Die Hersteller der betroffenen Systeme haben inzwischen Kontakt zu den Hackern aufgenommen und werden ihre Systeme nachrüsten. Die nächsten Pläne von Starbug? Wie kaum anders zu erwarten, will er sich mit den menschlichen Retina beschäftigen. Die Anatomie des Augenhintergrundes ist die aufwendigste, aber auch sicherste biometrische Methode. Die Hacker von der TU-Berlin haben die Herausforderung angenommen. „Das ist zumindest das nächste Projekt“, sagt Starbug.