![[Chaos CD]](../../../images/chaoscd.jpg) |
| ![[ -- ]](../../../images/prev.jpg){kind=small} |
![[ ++ ]](../../../images/next.jpg){kind=small} |
![[Suchen]](../../../images/search.jpg) |
|
| |
|
|
Hacking biometric systemsBiometrische Systeme halten langsam aber sicher Einzug in unser Leben,
sei es aus Gründen der Sicherheit oder der Bequemlichkeit. Dass diese
Systeme aber nicht so sicher sind, wie von den Herstellern gern behauptet,
wissen viele nicht. Dieser Artikel soll das am Beispiel von kapazitiven
Fingerabdruckscannern dokumentieren. Es gibt die unterschiedlichsten Techniken, Fingerabdrücke aufzunehmen. Die am häufigsten genutzte ist die Kapazitive. Der Sensor besteht aus einem Array von kleinen Kondensatoren (ca. 40x40um). Diese messen die Kapazitaetsänderung, die auftritt, wenn man den Finger in Kontakt mit dem Sensor bringt. Das aufgenommene Bild wird dann zur Verarbeitungseinheit übertragen, dort mittels Bildverarbeitungsalgorithmen aufbereitet und die Minutienposition und Ausrichtung extrahiert. Um solche Systeme zu überwinden, braucht man lediglich einen Abdruck des Fingerbildes einer berechtigten (eingelernten) Person. Da die Haut mit einer schützenden Fettschicht überzogen ist, hinterläßt der Finger praktisch überall Abdrücke seines Rillenmusters, also auch auf dem Sensor selbst. Solche Rückstände bezeichnet man als Latenzabdruck. Gelingt es, diesen zu reaktivieren, kann man dem Rechner vortäuschen, ein berechtigter Nutzer melde sich gerade an. Dazu verändert man die Kapazität der Kondensatoren, auf denen sich die Fettrückstände der Haut befinden. Eine Möglichkeit, dies zu tun, ist, durch Anhauchen zusätzliche Feuchtigkeit einzubringen - eine andere, feinen Graphitstaub aufzutragen, der an den Rückständen haften bleibt und somit die Änderung der Kapazität bewirkt. Da die Hersteller um dieses Problem wissen und die Erkennung solch einer Latenzbildreaktivierung relativ einfach zu detektieren ist, sind die meisten Systeme so nicht mehr zu täuschen. Abhilfe schafft hier normales Klebeband. Wird das am Fett haftende Graphitpulver mit Klebeband abgezogen und leicht versetzt wieder aufgelegt, funktionieren die Algorithmen zur Latenzbilderkennung nicht mehr. Auf die gleiche Art und Weise können auch Abdrücke von anderen Gegenstaenden genommen und dem System als echte Finger vorgespielt werden. Besonders gut eignen sich hierfür glatte Flächen wie z.B. Glas oder Hochglanzpapier. Aber auch wenn man nur im Besitz eines Fingerabdruckbildes (z.B. aus der Datenbank des BKAs o.ae.) ist, gibt es Möglichkeiten der Überwindung. Hierbei kommen Techniken des Platinenätzens zum Einsatz. Zur Herstellung einer dreidimensionalen Fingerabdruckattrappe druckt man das Fingerbild in Orginalgröße (600 dpi sollten bei Kondensatorlaengen von 40um gerade so ausreichen) mit einem Laserdrucker auf Folie aus. Diese wird auf den Fotolack einer handelsüblichen fotostrukturierbaren Leiterplatte gelegt und mit einer UV Quelle bestrahlt. Nach dem Entwickeln und Ätzen existiert eine Negativ-3D-Form der Fingerfläche. Für die Fertigstellung der Fingeratrappe muss die Form noch mit einer möglichst hautähnlichen Substanz ausgefüllt werden. Gelatine scheint sich hierfuer besonders gut zu eignen, da Konsistenz und Wasseranteil ähnlich wie bei einem echten Finger sind. Die Attrappe wird dann auf dem Sensor plaziert. Wenn man gut gearbeitet hat, wird man vom System als berechtigter Benutzer akzeptiert. Und selbst wenn die Authentifizierung unter Beobachtung stattfindet, sollte es keine Probleme geben, da sich Gelatine zu sehr dünnen Folien verarbeiten läßt, die man fast unsichtbar unter den Finger kleben kann. Fazit ist, dass kapazitive Fingersensoren zwar klein und billig herstellbar sind aber wohl auf absehbare Zeit überwindbar bleiben werden. Brücke zwischen Komfort und Sicherheit - Statement zur Sicherheit von Biometrie-Produkten: Siemens sieht die Biometrie als eine Brücke zwischen Komfort und Sicherheit, wobei die Sicherheit biometrischer Produkte gegenüber PINs und Passwörtern deutlich höher sein kann. In verschiedenen Medien wird über erfolgreiche Angriffe auf biometrische Systeme berichtet. Hierbei handelte es sich um Laborversuche, die mit realen Bedingungen wenig gemein haben. http://www.fingertip.de/index/index.html Nach Redaktionsschluss erreichte uns noch diese Meldung der Autoren: Wie neueste Forschungen ergaben, kann man sich den aufwendigen Schritt des Platinenätzens sparen. Zur Überwindung der kapazitiven Sensoren genügt es schon, den digital vorliegenden Fingerabdruck mit einem Laserdrucker bzw. Kopierer auf eine Folie zu bringen. Da sich die Tonerpartikel auf der Folie anlagern, entsteht so eine dreidimensionale Attrappe. Mit etwas Feuchtigkeit versehen (auch hier hilft wieder Anhauchen) ähnelt sie einem echten Finger so ausreichend, um vom System erkannt zu werden.
|
|
| |
|
|
