![[Chaos CD]](../../images/chaoscd.jpg){kind=small} |
| ![[Gescannte Version]](../../images/scan.jpg){kind=small} |
![[ -- ]](../../images/prev.jpg){kind=small} |
![[ ++ ]](../../images/next.jpg){kind=small} |
![[Suchen]](../../images/search.jpg){kind=small} |
|
| |
|
|
|
Biometrische Systeme... sind zur Authentifizierung unzureichendBiometrische Systeme zur Authentifizierung sind unzureichend. Versuche mit einfachsten Mitteln zeigt, wie leicht sogenannte "sichere Systeme" sich überlisten lassen. Speziell Fingerprint-Systeme sind defacto "leicht" zu überlisten. Am einfachsten lassen sich Systeme überlisten, die einen optischen Scan des Fingers vornehmen. Hier reicht es meistens, ein geeignetes Bild eines Fingerabdruckes aufzubringen. Einen Fingerprint-Scanner von Compaq konnten wir überlisten, indem wir von einem Finger einen Wachsabdruck herstellten, diesen mit einem Bleistift auf ein Zigarettenpapier durchrubbelten und das Papier dann seitenverkehrt, also mit der unbemalten Seite, auf den Sensor hielten. Die Transparenz des Papiers reichte aus... Bingo. Es gibt unterschiedliche thermische und kapazitive Sensoren, die wir ähnlich überlistet haben oder hätten überlisten können. Der Chip von Siemens reagiert auf ein Wachs-Wasser-Gemisch, das etwa die gleichen elektrischen Eigenschaften wie ein Finger zu haben scheint. Auch hier gelang es, ein Bild eines Fingerabdruckes auf dem Sensor zu erzeugen. Leider war der Sensor so empfindlich, dass er die Experimente nicht überlebte. Es gelang also bislang nicht, ein ausreichend exaktes Abbild zu erzeugen, um Zugang zu erlangen. Allerdings zeigt allein die Tatsache, dass sich überhaupt ein Bild erzeugen lässt, dass das System angreifbar ist. Ein etwas älteres Modell des Siemens-Chips, eingebaut in ein System mit optischer Lebenderkennung (misst zur Lebenderkennung die Helligkeitsveränderung durch das durch den Finger strömende Blut) liess sich überlisten, indem in eine dünne Wachsschicht auf einem Zigarettenpapier ein Negativ eines Fingerabdruckes "eingestanzt" wurde. Die Lebenderkennung konnten wir simulieren, indem wir ein weiteres Blättchen im Pulsschlagtakt in die Sensorik einbrachten. Auch dieses System gewährte uns Zugang. Das System von American Biometrie arbeitete mit einem Laser, der die Tiefe der Rillen des Fingerabdrucks ausmisst. Auch hier besteht die Möglichkeit, das System mit einer Art Fingerprint-Stempel zu überlisten. Ich hoffe, den Beweis auf dem nächsten Chaos Communication Congress antreten zu können. Technisch gesehen ist das Problem lösbar. Es werden physikalische Eigenschaften verwandt, um den Abdruck aufzuzeichnen und eine Lebenderkennung vorzunehmen. Diese Eigenschaften lassen sich wohl in jedem Fall simulieren. Wir haben es hier mit einem klassischen Bug-by-Design zu tun: Das Problem liegt bereits im Prinzip. Ein Zugansgscode sollte im Idealfall nur dem Zugangssystem und dem Individuum bekannt sein und sich jedesmal ändern, oder zumindest leicht ändern lassen. Bei Fingerprint-Systemen hingegen werden unveränderliche Merkmale zur Authentifizierung benutzt, die jeder Mensch mehrere hundert mal am Tag "gut sichtbar" auf Gläsern, Tischplatten, Türklinken usw. hinterlässt. Da kann man auch gleich kleine Zettelchen mit seinem Passwort überall hinkleben. Mindestens auf dem Fingerprint-Sensor selbst lässt sich in den meisten Fällen ein gültiger Fingerabdruck finden. Ausserdem kommt hinzu, dass jeder Mensch nur zehn Finger hat und somit ein häufiges ändern des Codes unmöglich ist. Sind erst einmal Scans von allen zehn Fingern oder ein Set von Charakteristika der Fingerprints eines Individuums im Netz, weil wieder ein Unternehmen seine Sicherheit nicht im Griff hat... Naja, dann war's das. Die Technologie, Fingerabdrücke in hoher Qualität von allen möglichen Oberflächen abzunehmen, ist verfügbar und leicht einsetzbar. Üblicherweise werden feinst zerstäubte Stoffe auf den Abdruck aufgebracht (der ja im wesentlichen aus Fett besteht). Diese reagieren mit dem Fett mit optischem Resultat oder färben dieses ein. Nun kann man diesen z.B. mit einer Digitalkamera aufnehmen oder den Abdruck mit einem Klebestreifen abnehmen und scannen. Geeignete Bildverarbeitungs-Software kann das Bild noch deutlich verbessern, da bekannt ist, nach welchen Algorithmen die Fingerprint-Software nach charakteristischen Merkmalen des Abdruckes (Minutien) sucht. Idealerweise verwendet man eine Fingerprint-Erkennungs-Software, um die Charakteristika zu ermitteln und vektorisiert den Print, um ein auflösungsunabhängiges Abbild zu erhalten. Mit dieser Vorlage lässt sich ein Falsifikat herstellen, das ausreichend hochauflösend ist. Lasergravuren zur Stempelherstellung arbeiten beispielsweise mit 1000 dpi, wohingegen die meisten Fingerprint-Scanner nur etwa 500 dpi abtasten und zudem noch relativ tolerant gegenüber schlechter Bildqualität sein müssen. Mit etwas Aufwand lässt sich so ein Falsifikat herstellen, das man sich auf den Zeigefinger klebt und auf diese Art sogar unter Beobachtung ein Fingerprint-System überlisten kann. Allenfalls können Fingerprint-Systeme einen gewissen Komfort auf Kosten der Sicherheit bieten. Will man die Sicherheit erhöhen, müssen verschiedene Authentifizierungskonzepte kombiniert werden, was dann wieder zu Lasten den Komforts geht. Da bekanntermassen ein System nur dann sicher genannt werden kann, wenn der Aufwand es zu durchbrechen grösser als der zu erwartende Nutzen ist, würde ich nicht einmal einen Fernseher vor unbefugter Benutzung durch Kinder mit Fingerprintsystemen schützen wollen. Entwicklungen, bei denen aber z.B. Waffen von Polizeibeamten durch Fingerprintsensoren im Abzug vor unbefugter Benutzung geschützt werden sollen, begrüsse ich. Es ist zu erwarten, dass die Zuverlässigkeit so gering sein wird, dass der Beamte selbst nicht wird schiessen können :-). "Im Modul Windows for Guns' ist eine Schussverletzung aufgetreten. Ihre Sig-Sauer wird jetzt neu gestartet." Andreas Steinhauser, CCC-BerIin <steini@ccc.de> |
[Datenschleuder]
[68+69]
Biometrische Systeme... sind zur Authentifizierung unzureichend