Die beiden Berliner Sicherheitsexperten Julian Albrecht und Jan Krissler (Starbug) haben eine Möglichkeit, eine biometrische Identifizierungsmethoden die angeblich zu den sichersten der Welt gehören soll. Vorgestellt haben die beiden Hacker ihre Erkenntnisse während des 35. Chaos Communication Congress (35C3) in Leipzig. Besonders überraschend dabei waren die technisch relativ geringen Anforderungen. Genutzt wurde für den spektakulären Hack lediglich ein Laserdrucker, eine umgebaute Spiegelreflexkamera und Wachs.
Die betroffenen Venenerkennungssysteme von Fujitsu und Hitachi sollen auch beim Bundesnachrichtendienst (BND) im Einsatz sein. Laut einem Kommentar von Starbug gegenüber Motherboard erklärte der Hacker, dass die „Hersteller bisher davon ausgingen, dass ihre Systeme sicher gegen Überwindungsversuche seien“. Dies konnten die Hacker mithilfe einfacher Material widerlegen. Genutzt wurde dafür eine Hand-Attrappe aus Wachs, die die Venenerkennungssysteme nicht von den Personen, denen eigentlich Zugang gewährt werden sollte, unterscheiden konnte.
Funktionsprinzip wie beim Fingerabdrucksensoren
Venenerkennungssysteme arbeiten ähnlich wie Fingerabdrucksensoren. Da auch Venen einzigartige Muster besitzen, ist es möglich so Personen eindeutig zu identifizieren. Personen scannen dafür ihre Hand oder ihren Unterarm, das System gleicht die Informationen mit einer Datenbank ab und erlaubt bei einer Übereinstimmung den Zugang. Die beiden Hacker haben es geschafft, sich jeweils mit den Venen des Anderen anzumelden und die Scanner somit zu täuschen.
Die bisher angenommene hohe Sicherheit wurde vor allen dadurch begründet, dass Venen unter der Haut liegen und daher nicht so einfach zu stehlen sind wie beispielsweise Fingerabdrücke. Die Hacker musste daher im ersten Schritt die Venenmuster gegenseitig fotografieren. Laut Starbug reichen dafür bereits Fotos aus rund fünf Metern Entfernung aus. Der Angriffsvektor ist somit zwar komplexer als bei Fingerabdrucksensoren, kann jedoch auch in der Praxis genutzt werden, da Zielpersonen ein Foto aus dieser Entfernung nicht immer mitbekommen sollten. Das Foto wurde mit einer Spiegelreflexkamera angefertigt, deren Infrarotfilter entfernt wurde. Fertig umgebaute Kamera findet man bei eBay bereits ab 100 Euro. Anschließend wurden die Bilder ausgedruckt und mit Wachs überzogen, aus dem dann eine täuschend echte Hand-Attrappe geformt werden konnte.
Sowohl das Venenerkennungssysteme von Fujitsu als auch das Hitachi konnten durch die einfache Methode getäuscht werden. Details findet man in den Unterlagen zum Vortrag der Hacker „Venenerkennung hacken„.
Um den Angriff zu perfektionieren haben die Hacker in rund 30 Tagen über 2.500 Bilder angefertigt. Als Fazit erklärt das Team, dass „die getesteten Systeme für den Einsatz in Hochsicherheitsbereichen komplett ungeeignet seien“.
Nutzung bei japanischen Banken
Im Heimatland der Hersteller werden Venenerkennungssysteme seit Jahren auch als Sicherheitssystem bei Bankautomaten verwendet. In Europa kommen werden die Systeme der beiden Unternehmen und anderer Hersteller vor allem zum Schutz von Hochsicherheitsbereichen in Firmen und staatlichen Stellen eingesetzt. Auf eine Anfrage hat der BND zum Einsatz des Systems keine eindeutige Stellungnahme abgegeben, sondern lediglich erklärt, dass die BND-Zentrale durch eine Vielzahl von Sicherheitsmaßnahmen geschützt sei.
Nachdem die Hacker das System geknackt haben, haben sie vor etwa drei Monaten in Japan die Hersteller über die Sicherheitsprobleme informiert und ihren Hack dort vorgeführt. Dies ist bei White Hat Hackern so üblich. Es soll den Unternehmen somit die Chance eingeräumt werden, die Sicherheitslücken zu beseitigen, bevor sie veröffentlicht werden.
