OHM Workshop Finger Print Spoofing

Kann sein, dass ich mir nur einbilde, eine erfahre Kongressteilnehmerin zu sein, aber wenn ich es mir einbilde, bilde ich mir gleich auch noch ein, als solche behaupten zu können, dass Workshops im Gegensatz zu Talks auch tatsächlich eine Lerngarantie haben. So auch im Falle des Fingerprint Spoofing Workshops im Village von srlabs.

Am zweiten Tag besuchte ich einen Workshop in dem ich lernte, Fingerabdrücke einzuscannen und auf einer Platine nachzubilden. Den Workshop leiteten Ben und Dexter, die beide im IT-Security-Bereich arbeiten. Sinn und Zweck des Workshops war neben Spiel, Spaß und Trollempowerment auch eine Kritik an Fingerabdrucksensoren als Sicherheitsvorrichtung. Die Lehre aus einem zweistündigen Workshop, in dem ich einen Fingerabdruck fälsche ist, dass ich in zwei Stunden einen Fingerabdruck gefälscht habe.
Mit Dexter sprach ich noch ein wenig über die Verbreitung von Fingerabdruckscannern. Die Meisten kennen sie vermutlich von Devices, welche das Einscannen als Alternative oder zusätzlich zum Passwort anbieten. Es gibt verschiedene Sensoren, die unterschiedlich präzise sind, jedoch nie ein zufriedenstellendes Sicherheitslevel erreicht haben. Insofern kann zumindest bei der Verschlüsselung von Laptops von einem Risiko gesprochen werden, sofern keine zusätzliche Verschlüsselung angewandt wird. Andererseits gestand Dexter auch ein, dass es Graubereiche gibt, in denen die Verschlüsselung mittels Fingerabdruck durchaus Sinn ergibt, beispielsweise bei Smartphones. Im Gegensatz zu Passwörtern oder Wischmustern, die per – Achtung, heiterer hipper Anglizismus – Shouldersurf ausgespäht werden können, ist ein Fingerabdruckscanner unter Umständen sicherer. Schwarz-Weiß-Malerei ist also unangebracht, aber trotzdem fand ich es unheimlich lehrreich einmal nachvollziehen zu können wie naheliegend das Fälschen von Fingerabdrücken eigentlich wirklich ist.

image

Unschuldige Glasplatte

Der erste Schritt beim „Cloning“ ist natürlich das Erfassen des Fingerabdrucks. Dafür legte ich meinen Finger kurz auf eine kleine Glasplatte. Ihr kennt das vielleicht aus schlechten Dedektivfilmen oder Tatort (haha, implizierend, das wäre kein schlechter…). Danach ließ ich ein wenig Cyanacrylat auf eine Plastikunterlage tropfen. Cyanacrylat steckt in sehr starkem aber frei erhältlichem Sekundenkleber. Über diese paar Tropfen hielt ich für einige Minuten die Glasplatte in wenigen Zentimetern Entfernung. Dabei bedampft der Kleber die Glasplatte und reagiert mit den Proteinen darauf. Das heißt, die Stellen auf der Platte, die mein Finger berührt hat, werden sichtbar. Über den Abdruck legt sich nach einer Weile ein weißer Schleier, der sich als Kontrast abhebt, wenn die Glasplatte auf eine schwarze Unterlage gelegt wird. Dafür hatten Dexter und Ben bereits eine Vorlage vorbereitet. Darauf klebten wir die Glasplatten und legten sie in einen Scanner.

image

Sichtbar gemachter Fingerabdruck wird auf einem schwarzen Hintergrund gescannt

Der Scanner gibt ein Bild aus, das wir mit Photoshop einlasen. Ben verwendete Levels und die Regler für die Schwarz-, Weiß- und Grautöne, um den Kontrast zu verstärken. Ich selber hätte vermutlich mit der Gradationskurve gearbeitet, aber das muss vermutlich von der Scanqualität jedes einzelnen Fingerabdrucks abhängig gemacht werden. Für gewöhnlich käme jetzt noch ein bisschen oder eine Menge Photoshoppen hinzu, um das Abbild zu schärfen. Aber es waren 30°C im Schatten und ich beschloss, aus Zeitgründen den Abdruck von Ben zu verwenden.

image

Kupferplatine und Folie werden übereinander in den UV-Scanner gelegt

image

Bens Fingerabdruck auf Laserfolie

Den Fingerabdruck von Ben invertierten wir und druckten ihn auf einer halbmatten Laserfolie aus. Einen Ausschnitt mit dem Fingerabdruck klebten wir auf eine Kupferplatine. Diese legten wir in einen UV-Scanner und ließen sie eine Weile belichten. Die Belichtung führt dazu, dass die fotoempfindliche Kupferschicht leicht abgetragen wird außer dort, wo Toner ist, also wo die Folie bedruckt war. Wir erhalten also ein Positiv des Fingerabdrucks.

Diese Platine wird dann in einem Bad mit Natriumhydroxid entwickelt und die Schicht, die sich schon gelöst hatte, wird dadurch abgetragen.

image

Mit dem Entwickler wird der Fingerabdruck auch auf der Platine sichtbar

Das nächste Bad enthält Eisen(III)-Chlorid und das ist das sogenannte Ätzen der Platine. Darin werden jetzt die Kupferionen herausgelöst und es entsteht ein Negativ. Leider habe ich davon kein Foto, weil ich zu sehr um mein Leben fürchtete. Die fertig geätzte Platine wird mit Graphit besprüht und danach wird Holzleim aufgetragen. Das Graphit dient dem leichteren Lösen des Holzleimes sobald dieser getrocknet ist.

image

Geätzte Platine mit einem Negativ des Fingerabdrucks.

image

Wildes Graphit in seiner natürlichen Umgebung.

Nach ein paar Stunden kann man diesen abziehen und hat wiederum ein lustig-labberiges Positiv des Fingerabdrucks, das man über einen Fingerabdruckscanner ziehen kann. Der Leim-Lappen hat eine vorteilhafte Flexibilität, das heißt, er bricht nicht wenn man drüber verreibt, aber verformt sich auch nicht.

image

Auftragen des Holzleims auf die Platine. Für das authentisch-verführerische „Ich-tue-etwas-verbotenes-Gefühl“ empiehlt sich die Verwendung einer Kreditkarte.

Fertig.

Andererseits: Es gibt natürlich ein paar Variablen, die meine eher stümperhafte Durchführung von der professionellen unterscheiden. Mangelnde Sorgfalt ist auf jeden Fall ein Erfolg limitierender Faktor. Forensiker haben höchstwahrscheinlich bessere Photoshopskills als wir bei 30° im überhitzten Zelt, den Ruf des Sees in den Ohren. Der Scan des Fingerprints müsste eigentlich recht sorgfältig mit Photoshop „gesäubert“ werden, wenn der Scan schlecht war.
Und nunja, ich habe zwar einen Sandwichtoaster, aber kein Ätzbad zu Hause. Ich habe Miso-Suppen-Brühwürfel, aber kein Eisen(III)-Chlorid. Wobei es andererseits kein Problem wäre, beide zu besorgen. Das mag für einige besorgniserregend klingen, aber der potentielle Schaden erscheint lächerlich im Vergleich zur ebenfalls frei und legal (!) erhältlichen Frikandel Speciaal.

image

Hier noch die professionell-seriöse Erklärung zum Workshop auf einem Plakat der Firma srlabs

%d Bloggern gefällt das: