Hackers descobrem como burlar sistema de reconhecimento de veia da mão

Leitura da íris, reconhecimento facial, impressão digital biométrica: Existem muitos métodos para identificação de pessoas. Especialmente seguro é o exame da veia da mão. Agora, os hackers mostraram como esse procedimento de segurança pode ser enganado com bobos, relata o especialista técnico Peter Welchering no Dlf.

(Peter Welchering em conversa com Arndt Reuning)

Arndt Reuning: O reconhecimento de veias é considerado um dos métodos mais seguros em biometria, ou seja, para identificar pessoas. Ao fazer isso, o padrão das veias na mão ou no dedo é registrado com um sensor especial e comparado com um banco de dados – geralmente para detectar se uma pessoa tem permissão para acessar um prédio ou não. Ontem à noite, Jan Krissler e Julian Albrecht, da TU Berlin, mostraram como a detecção de veias pode ser superada. E isso no Congresso de Comunicação do Caos em Leipzig. Meu colega Peter Welchering olhou para o corte de veias. Peter, como os dois cientistas da computação enganaram o sistema?

Peter Welchering: Primeiro de tudo, eles tiraram fotos fotográficas da mão com o padrão de veia especial. Eles pegaram uma câmera SLR, removeram o filtro infravermelho e fotografaram a mão com um forte flash. O tecido reflete a luz, especialmente na região do infravermelho próximo, ao contrário das veias. Portanto, as veias parecem mais escuras na foto.

Reunindo: Agora, um militar de alto escalão, que tem acesso a uma área de alta segurança e se identifica com um scanner de veia, não terá suas mãos fotografadas por ninguém.

Cursos venosos são identificados pelo scanner

Welchering: É por isso que os hackers também instalaram uma câmera em uma máquina para secar as mãos. Isso também tem a vantagem de que as mãos são levadas lentamente para o dispositivo de secagem e puxadas para fora. Isso é como uma varredura.

Reunindo: Como as imagens da mão venosa são processadas?

Welchering: Seu contraste é massivamente aumentado. Então veias e processos venosos são identificados e compreendidos. Isso requer vários milhares de perfis de cálculo. Essencialmente, isso consegue avaliar contrastes claro-escuro entre tecido e veias. E a partir disso, o padrão das veias é calculado. Para o manequim, os hackers pegaram tinta a laser, porque o infra-vermelho é bem visível. Isto irá reconstruir os pontos venosos calculados. O manequim de mão consiste em cera de abelha.

Reunir: Soa relativamente simples, de fato. É isso mesmo?

Peter Welchering: Só à primeira vista. À segunda vista, será um pouco mais difícil. O que tem assombrado a imprensa desde a noite passada sugere que uma câmera SLR, tinta de toner laser, cera de abelha é tudo o que é necessário para hackear um sistema. Lá você tem que diferenciar: obter as imagens das veias é realmente mais fácil do que o esperado. Além disso, a preparação das imagens para calcular o padrão de veias funciona com um script bastante gerenciável. É então mais difícil enganar um scanner de veia com um manequim.

“Manequim só depois de várias tentativas reconhecidas”

Reunindo-se: tocar com os agentes de segurança dos bancos, militares e data centers agora não são todos os alarmes?

Welchering:Eles comentaram o Venenhack com bastante calma. Onde há problemas, esta é a identificação por reconhecimento de veias nos caixas eletrônicos. Isso é muito popular na Ásia. Esses scanners são fáceis de superar. Ao acessar áreas de alta segurança com aparência diferente. Por um lado, há problemas com o manequim em salas muito iluminadas e áreas na área de reconhecimento de veias da palma da mão. Ontem à noite, ao apresentar o scanner de veias, o boneco só se reconheceu após várias tentativas, porque a luz do palco era tão brilhante. Por outro lado, o acesso a áreas de alta segurança é geralmente guardado por forças de segurança. Desde que você não pode simplesmente pegar um manequim da bolsa. Freqüentemente, além desses recursos biométricos, os PINs também são consultados ou os tokens de segurança são lidos. E finalmente, alguns bancos e militares usam sistemas de laser para detecção de fluxo sangüíneo. Existe um tipo de reconhecimento vivo. Um boneco de mão seria então reconhecido imediatamente.

“No caixa eletrônico, o reconhecimento das veias não é seguro”

Reunir: Então, primeiro tudo claro para a detecção de veias em áreas de alta segurança após a excitação de ontem?

Welchering: É uma questão de tempo antes que os vasos sanguíneos possam ser recriados para um manequim. Assim, os fabricantes de scanners de veias devem levar a sério esses desenvolvimentos. A detecção de veias não é segura quando usada em caixas eletrônicos, como controle de acesso para laptops e smartphones. Em geral, sabemos há algum tempo que a biometria sozinha não é suficiente para identificação. Mas o que seria lido em alguns artigos sobre o Venenhack, que também é exagerado. Acima de tudo, ignora o fato de que, especialmente em áreas de alta segurança, os scanners venosos são apenas um elemento do controle de acesso.