Biometrische Angriffe

Brute-Force-Angriffe: Bei einer "Brute-Force"-Attacke wird dem biometrischen System eine große Anzahl von unterschiedlichen Merkmalen angeboten, in der Hoffnung, dass eins davon ausreichend mit dem abgespeicherten Referenzmerkmal des Berechtigten übereinstimmt. Die Wahrscheinlichkeit für den Erfolg eines solchen Angriffs ist durch die Falschakzeptanzrate FAR gegeben. Bei der Spezifikation der FAR für ein Fingerprintauthentifikationssystems sollte man berücksichtigen, dass jeder Angreifer 10 Finger mit völlig unterschiedlichen Merkmalen einsetzen kann. Für den Fall, dass beliebig viele Versuche zugelassen sind, bedeutet dies, dass man von einer ca. 10fach höheren FAR ausgehen sollte.

Latenzfingerabdruck-Reaktivierung: In Fingerabdrucksystemen ist, je nach Sensortyp, damit zu rechnen, dass sich auf dem Sensor verbleibende Latenzfingerabdrücke ohne Anwesenheit des Berechtigten z. B. durch Anhauchen reaktivieren lassen und so zu einer ungewollten Akzeptanz führen. Dieses Problem, das nur bei Berührungs-Flächensensoren auftreten kann, muss man durch geeignete Software- und Systemmaßnahmen in den Griff bekommen.

Replay-Attacken: Je nach Anwendung und Systemkonzept / mechanischer Realisierung können Replayattacken zwischen Sensor und Verarbeitungseinheit (manchmal auch zwischen Nutzer und Sensor!) zu Sicherheitsproblemen führen. Hierbei wird unmerklich das Sensorsignal eines Berechtigten abgegriffen, gespeichert und bei Bedarf wieder eingespielt, um ohne Anwesenheit eines Berechtigten eine Falscherkennung zu erzeugen. Ein USB-Sensor-Device benötigt allerdings besonderes und insbesondere teures USB-Equipment, um Replayattacken durchzuführen. Falsche Erkennungen durch Replayattacken lassen sich in vielen Fällen per Software verhindern, indem geprüft wird, ob sich ein aktuelles Merkmal zu wenig vom zuletzt erkannten Merkmal unterscheidet. Ein wichtiger Unterschied zwischen Biometrie und Passwort ist nämlich, dass jede Erfassung des berechtigten Merkmals leichte Unterschiede aufweist während das korrekt eingegebene Passwort immer das selbe ist. (Der Mensch kann z. B. Lage und Winkel des Kopfes vor einer Gesichtserkennungkamera nie exakt reproduzieren. Das gilt auch für andere Merkmalsarten.) In Büroanwendungen sind biometrische Replayattacken vergleichbar mit dem unbemerkten Abhören von Passwörtern auf der Tastaturleitung, wobei eine USB-Leitung sicher besser geschützt ist als eine übliche Tastaturleitung. Bei hohen Sicherheitsanforderungen bietet sich das aus der Kryptografie bekannte Challenge-and-Response-Verfahren an. Allerdings muss man sich bei hohen Anforderungen die Frage stellen, ob die Verarbeitung biometrischer Daten in diesem Fall überhaupt auf einem vernetzten PC stattfinden darf.

Angriffe durch Trojanische Pferde: "Feindliche" Software, die in einem (offenen) biometrischen System Replayangriffe oder Veränderungen der Sicherheitseinstellungen ohne Wahrnehmung des Benutzers durchführen kann, zählt zu den "Trojanischen Pferden". Trojanische Pferde sind z. B. durch (aktuelle!) Virenscanner detektierbar. In besonders gefährdeten Systemen sollte die biometrische Verarbeitung grundsätzlich in einem geschlossenen System außerhalb des PCs stattfinden.

Kopien-Angriffe: Sensoren biometrischer Systeme lassen sich im Prinzip durch mechanische Merkmalskopien (generiert z. B. von Latenzfingerabdrücken!) täuschen. Während eine Lebenderkennung gegen eine Identifikation durch Merkmale nichtlebender Körperteile helfen kann, muss eine Kopienerkennung deutlich anspruchsvoller sein, um auch Kombinationen von falschen Merkmalen mit nicht zugehörigen lebenden Körperteilen zu erkennen.

Angriffe durch nichtlebende Merkmalsträger: In biometrischen Systemen kann (zumindest eine gewisse Zeit lang) eine Identifikation auch durch nichtlebende Körperteile hervorgerufen werden. Falls eine Anwendung für solche Angriffe in Frage kommt, ist eine Lebenderkennung unerlässlich. Beispiele sind die Messung des Blutsauerstoffgehalts oder die Messung der Reaktion auf gesteuerte (vom Nutzer kaum wahrgenommene) Stimulationen des Nervensystems.

"Hill-climbing"-Angriffe: Bei dieser Art von Angriffen, die eine systematisierte Art von "Brute-Force"-Attacken darstellen, geht es darum, durch geeignete minimale (synthetische) Änderung der erfassten Anfragemerkmale den Ähnlichkeitswert (der das Resultat der Vergleichoperation Referenz- gegen Anfragemerkmal ist) immer weiter zu erhöhen. (Für diese intelligente Art des "Trial-and-Error" gibt es mathematische Verfahren!) Die Absicherung gegen solche Angriffe besteht z. B. darin, dass der Anwender die Ähnlichkeitswerte nicht oder nur in grober Quantisierung mitgeteilt bekommt. [Soutar 2002]

Ausübung von Zwang: Ein Berechtigter kann unter Einsatz oder Androhung körperlicher Gewalt gezwungen werden, eine Authentifikation mit seinen eigenen Merkmalen durchzuführen, um einer fremden Person einen Zugriff oder Zugang zu ermöglichen. Desweiteren könnte auch der Zustand einer Bewusstlosigkeit ausgenutzt werden.

Softwarefehler: Eine häufig vernachlässigte Angriffsmöglichkeit sind Software- und Systemfehler, die beim Design eines Sicherheitssystems Sicherheitslöcher entstehen lassen können und trotz größter Sorgfalt nicht immer vermeidbar zu sein scheinen. Softwarefehler lassen sich durch intensive Tests geeigneter Sicherheitsexperten mit den Fähigkeiten eines Hackers weiter reduzieren.

Weitere Angriffe: Sämtliche Schnittstellen innerhalb des Systems sind bei Bedarf mit den üblichen Methoden abzusichern. Das Referenzarchiv muss gegen Manipulation geschützt sein.

Unbekannte Angriffe: Grundsätzlich sollte man nicht damit rechnen, dass alle Arten von Angriffen im Voraus bekannt sind! Hier ist wieder die Fantasie der Hacker gefragt. Gefährlich sind Angreifer, die ihre Erkenntnisse nicht veröffentlichen und stattdessen die Schlupflöcher hemmungslos ausnutzen.

Weitere Informationen über Angriffsmöglichkeiten finden sich hier:

Common Criteria: Common Methodology for Information Technology Security Evaluation: Biometric Evaluation Methodology Supplement [BEM]; Version 1.0, August 2002.

Biometric Device Protection Profile (BDPP); Draft Issue 0.82; September 2001.