-
35C3 Vorspannmusik
-
Herald-Angel: Ich freue mich sehr, euch
hier willkommen zu heißen.
-
Zum Talk Venenerkennung hacken mit
starbug und Julian.
-
Applaus
-
Das ganze Thema Biometrie begleitet
den CCC jetzt schon eine ganze Weile,
-
größtenteils auch dank zu starbug.
-
Vor Venenerkennung gab es Iriserkennung,
die aufgemacht wurde.
-
Dort mit einem Foto von unserer Kanzlerin.
-
Davor Fingerabdrücke,
auch damit haben wir es in
-
die Medien geschafft. Der von Schäuble
wurde vom Glas genommen, der von
-
von der Leyen von einem Foto bzw. mit
der Kamera aufgenommen.
-
Und naja jetzt sind die Venen dran.
-
Ich bin mal gespannt, wie das
da funktioniert. Ja rund ums Thema
-
Biometrie gab es schon unzählige Talks und
es gab auch viel Medienaufmerksamkeit.
-
Also wenn man da mal so nachschaut, da ist
schon einiges in den Zeitungen erschienen,
-
auch in diversen. Und einen, wo ich weiß,
dass starbug besonders stolz drauf ist,
-
ist das Erscheinen seines Namens,
namentliche Nennung in der Bild-Zeitung.
-
Applaus
-
Also es wird wirklich von allen Seiten
Bericht erstattet.
-
Aber starbug ist natürlich heute nicht
alleine hier, denn er hat Julian dabei, einen Kollegen,
-
der sich mit dem Thema Venenerkennung im
Rahmen seiner Bachelorarbeit beschäftigt hat.
-
Und hier heute, ich würde sagen eine der größten
Bachelor-Arbeit-Verteidigungen damit fahren darf,
-
die es wahrscheinlich so ungefähr gab.
-
Applaus
-
und damit möchte ich auch gar nicht mehr
weiter ablenken,
-
sondern euch den Talk genießen lassen,
für den ihr alle da seid
-
und damit einen großen Applaus für die
beiden. Viel Spaß!
-
Applaus
-
starbug: Ja, vielen Dank Carina.
-
Und herzlich willkommen zum so langsamen
letzten Talk aus der Kategorie 'Biometrie Hacken'.
-
Es sind leider einfach irgendwie
keine Systeme mehr übrig geblieben.
-
Diesmal geht es um die Venenerkennung. Das
ist ein System, also irgendwie die zwei
-
Systeme, die wir heute vorstellen und die
liegen bei mir schon ein paar Jahre auf
-
dem Tisch. Immer mal wieder was gemacht
irgendwie, aber nicht wirklich weiter
-
gekommen. Bis dann Julian kam und meint
irgendwie hier, er erfindet Biometrie
-
hacken cool irgendwie und sucht ein
Bachelor-Arbeits-Thema. Und das war
-
eine produktive Zusammenarbeit und es ist
immer cooler, wenn man es zusammen macht
-
und sich antreiben kann. Venenerkennung
allgemein ist ein relativ junges
-
Verfahren, also ist erst so 20 Jahre alt,
kommt hauptsächlich aus dem asiatischen
-
Raum, also vornehmlich aus Japan. Und auch
die beiden Hersteller Fujitsu und Hitachi
-
sind beides japanische Firmen. Hat sich
bisher noch nicht so richtig jemand
-
angeguckt, was die Überwindungssucherheit
betrifft, was ein bisschen eigenartig ist,
-
weil es eigentlich ein sehr lohnendes
Ziel ist,
-
wie wir gleich später noch irgendwie
sehen werden, wo
-
es überall eingesetzt wird. Die Vermutung,
warum das so ist, das ist eines der ganz
-
wenigen biometrischen Merkmale, die
versteckt im Körper sind und eigentlich
-
nicht so einfach zu sehen. Also anders als
Fingerabdruck oder Gesicht zum Beispiel.
-
Ja, aber fangen wir erst noch mal an mit
ein paar Grundlagen:
-
Die Merkmale. Die Blutgefäße entwickeln
sich in der sechsten oder bis zur sechsten
-
Schwangerschaftswoche. Die grobe Struktur
also halt der Verlauf der Arterie vom
-
Herzen zur Lunge, vom Herzen in den
Körper. Die Aufspaltung in die Arterien
-
und wieder die Vereinigung in die Venen,
ist genetisch bestimmt. Aber die finale
-
Ausprägung ist Zufallsprozessen
unterworfen und zwar da überall, wo neues
-
Gewebe entsteht und mit Sauerstoff und
Nährstoffen versorgt werden muss, bilden
-
sich halt die Venen oder die Blutgefäße
aus. Und deswegen ist es halt irgendwie
-
auch als biometrisches Merkmal verwendbar,
weil es halt einfach zufällig ist und halt
-
tatsächlich auch sowohl an allen Fingern
unterschiedlich aussieht, als auch bei
-
eineiigen Zwillingen und so weiter.
Wie funktioniert das prinzipiell von der
-
Hardwareaufbau? Man hat eigentlich auch
nur 'ne Kamera, wie halt jede normale
-
Kamera im Telefon oder
Spiegelreflexkamera, wo ein Infrarotfilter
-
weggenommen wurde. Also das heißt, es
deckt auch den nahen Infrarotbereich noch
-
ab bis zu 1100 Nanometer und die beiden
Systeme arbeiten mit, glaube beide, mit
-
850 Nanometer und das funktioniert
folgendermaßen, dass halt für die
-
Handvenenerkennung hat man LEDs unten in
diesem Sensor drinne, die Leuchten die
-
Hand an, werden dort im Gewebe gestreut
und reflektiert und von den Venen
-
absorbiert. Also halt 850 Nanometer ist so
eine Wellenlänge, wo venöses Blut besonders
-
gut absorbiert, deswegen wirkt das Gewebe
halt hell und die Venenbilder sind dann dunkel.
-
Wird halt wie gesagt reflektiert.
Unten ist eine ganz normale Kamera, die
-
das aufnimmt und dann erscheinen die Venen
halt als schwarze Linien.
-
Für die also das war jetzt für die Handvenenerekennung,
die Fingervenenerkennung funktioniert ein
-
bisschen anders. Liegt daran, dass die
Venen in den Fingern ein bisschen tiefer
-
liegen, das heißt, dass dieses reflektive
Verfahren irgendwie da
-
nicht so guten Kontrast liefert. Deswegen
wird da in der Regel von oben
-
durchstrahlt, das heißt man hat irgendwie
die LEDs obendrüber und die werden halt
-
irgendwie auch wieder im Gewebe gestreut. Deswegen
Obwohl ein Knochen dazwischen ist,
-
sieht man trotzdem die Venen noch.
Auch wieder wird
-
absorbiert und unten ist eine ganz normale
Kamera, die dann halt das Bild aufnimmt.
-
Es gibt auch noch neuere Methoden, die
nicht mit LEDs arbeiten, sondern mit
-
Lasern und so Mikrospiegeln. Kommen wir
ganz zum Schluss nochmal drauf.
-
Das eignet sich besonders gut, um auch
den Blutfluss zu detektieren, so als
-
Lebenderkennungsmaßnahme, aber das sind
halt irgendwie auch nur so vereinzelte Systeme.
-
Die beiden Systeme die wir haben
und die beiden Hersteller decken halt so
-
95 Prozent des Weltmarktes ab, haben ganz
normal LED drinne.
-
Wie funktioniert das Software-technisch?
-
Also eigentlich alle Systeme benutzen
das sogenannte Miura Tracking.
-
Es funktioniert folgendermaßen,
wie hier oben zu sehen, also das ist
-
mal so ein Venenbild, was dann die Kamera
aufnimmt. Dieser Algorithmus sucht sich
-
einen random-Point in diesem Punkt - in
diesem Bild - und legt dann praktisch so
-
eine Schnittkante durch und sucht nach
Einbrüchen in der Intensitätsverteilung.
-
Und wenn er da so einen Gauß findet, dann
nimmt er irgendwie an, dass es eine eine
-
Vene ist, weil die dunkler aussieht,
und von dort ausgehend sucht er sich dann
-
den nächsten Pixel, also wie jetzt oben zu
sehen ist diese roten Striche, sehen den
-
nächsten dunklen Pixel und verfolgt
sozusagen die Vene, macht das ein paar
-
hundert oder ein paar tausend Mal, gibt
dann irgendwann eine Abbruchbedingung, wo
-
er sagt: Okay ich habe jetzt genug random-Punkte
genommen und wir gehen davon aus,
-
dass jetzt alle Venen erfasst sind. Was
dann passiert ist im Postprocessing,
-
die sogenannte Skelettonisierung, das heißt
er nimmt sich die Venen, also die sind
-
jetzt relativ breit und reduziert die auf
ein Pixel Breite, wirft dann halt dieses
-
ganze Rauschen raus und im Endeffekt
bleibt das Bild übrig, wie es hier unten
-
zu sehen ist. Und als Merkmale selber,
ähnlich wie bei Fingerabdrücken auch,
-
hat man so Minuzien-Punkte, das sind
entweder Enden oder Aufspaltung dieser
-
Venen. Und da wird zur Überprüfung
oder zur Identifizierung die Position
-
und der Öffnung oder der Winkel,
in denen diese Abspaltung oder das
-
Ende weiterläuft, genommen.
-
Ja, wo es überall eingesetzt wird,
habe ich ja am
-
Anfang schon so ein bisschen angedeutet,
dass das eigentlich ein sehr lohnendes
-
Ziel ist, hauptsächlich im asiatischen
Raum. Dort viel in Computern irgendwie
-
auch schon verbaut, aber auch als
Zugangssystem in Krankenhäusern,
-
hauptsächlich weil es berührungslos
arbeitet, bietet sich irgendwie an, aber
-
auch vermehrt in Geldautomaten. Also in
Japan, wir waren irgendwie jetzt im November
-
in Japan gewesen und da ist tatsächlich
jeder Geldautomat, den man hat,
-
irgendwie ist mit entweder Fingervene- oder
Handvenesensor ausgestattet.
-
Aber auch Brasilien, Russland, Türkei
und Polen, also irgendwie dann doch relativ nah,
-
haben inzwischen Filialen eröffnet, wo man halt
irgendwie mit Venenerkennung Geld abheben kann.
-
Von daher, da ist durchaus Potenzial.
-
Aber der eigentlich größte Markt bzw. der
interessanteste Markt sind die
-
Hochsicherheitsbereiche, also sowas wie
Kraftwerke, Kernkraftwerke, in Banken für
-
die Tresore unten oder für die
Vereinzelungsanlagen, aber auch ganz viel
-
beim Militär. Und in Deutschland
lustigerweise beim BND.
-
Also wer noch ein paar
Wasserhähne braucht,
-
könnte dann nach dem Talk
mal vorbeischauen.
-
Also wir gehen davon aus, dass es in
Deutschland relativ wenig benutzt wird
-
haben da mal ein bisschen rum gesucht
und haben gefunden,
-
dass das neue Gebäude in Berlin,
das tatsächlich verbaut hat.
-
Wir haben eine Anfrage bzw. ein Reporter, mit
dem wir schon vorher zusammen gearbeitet haben,
-
hat eine Anfrage gestellt, aber
-
wie nicht anders zu erwarten, haben sie
keinen Kommentar abgegeben dazu.
-
So, kommen wir zur Technik. Erst einmal noch ein
bisschen allgemein. Wie funktioniert das
-
mit den biometrischen Systemen, wie hackt
man die?
-
Das ist normalerweise ein
zweigeteilter Prozess.
-
Im ersten Prozess
also im ersten Schritt nimmt man die
-
Merkmale auf. Das kann man entweder
dadurch, dass man die Kommunikation snifft
-
oder aus Templatedaten generiert oder
einfach ein Foto macht.
-
Und im zweiten Schritt wird die Attrappe
hergestellt. Da muss man halt nur die
-
passenden Materialien finden und dann das
Merkmal kopieren und eventuell die
-
Lebenderkennung noch angucken.
-
Merkmalsbeschaffung durch den Sniff, das
war relativ interessant,
-
dass beide Systeme die
Kommunikation verschlüsselt
-
übertragen über den USB-Kanal, aber
irgendwo in der Software liegt natürlich
-
das Bild dann doch unverschlüsselt vor.
Das heißt, dann findet man einfach
-
jemanden, der sich gut mit IDA auskennt,
der setzte irgendwie an der passenden
-
Stelle einen Hook und dann werden die
Bilddaten ausgeleitet. Es ist natürlich
-
total praktisch, unser unser Startpunkt,
Man hat gleich Bilder, man sieht genau was
-
der Sensor also das System sieht, kann im
Zweifelsfall auch gucken: Also das sieht
-
jetzt nicht so ganz wie Haut oder wie
menschliches Gewebe oder wie Venen aus.
-
Muss man da ein bisschen anpassen,
vielleicht irgendwie anderes Papier
-
nehmen oder so weiter. Aber man könnte
natürlich diese Bilder auch direkt
-
nehmen, um eine Attrappe zu bauen.
Ist halt ein bisschen unrealistisch als
-
Angriffsszenario, weil man erst einmal
Zugriff zu dem System selber haben muss.
-
Von daher. So der reale Angriff ist tatsächlich
mit einer ganz normalen Kamera.
-
Und das fanden wir irgendwie auch ein
bisschen erschreckend.
-
Also, man kann tatsächlich Venenbilder mit 'ner
Spiegelreflexkamera aufnehmen.
-
Das einzige, was man machen muss dafür ist,
dass man den Infrarotfilter ausbaut, also halt
-
ähnlich wie die Systeme selber, normaler
Silizium Chip aber ohne Infrarot Filter.
-
Man baut irgendwie diesen Filter aus und
dann macht man ein paar Bilder.
-
Das klingt jetzt alles irgendwie einfach, hat uns
aber schon so ein bisschen Zeit gekostet,
-
weil man halt also wir haben halt
verschiedenste Kameras genommen, die
-
Graustufen Kamera mit unterschiedlichen
Auflösungen, diverse Objektive.
-
Wie weit kann man weg sein, wann reicht die
Auflösung noch aus,
-
Kameraeinstellung wie Apertur und Belichtungszeit,
Filter davorgesetzt, keinen Filter
-
davorgesetzt,verschiedenste Lichtquellen,
mit Blitz oder irgendwie mit Infrarottaschenlampe.
-
Haben im Endeffekt über zweieinhalbtausend
Bilder gemacht. Aber die Ergebnisse sind,
-
glaube ich, sprechen für sich. Das sind
die Bilder aus der Spiegelreflexkamera.
-
Einmal für die Fingervenen-Erkennung mit dem Blitzlicht
hinter den Fingern sozusagen, also die
-
Hand oder die Finger waren halt zwischen der
Lichtquelle und der Kamera. Und auf der
-
rechten Seite für die Hand-Venen-
Erkennung. Und da war halt das Blitzlicht
-
direkt von vorne einfach rauf geblitzt,
und aus einem Abstand von ungefähr 5-6
-
Metern gar kein Problem. Vom Zoom her
könnte man noch viel weiter weg gehen.
-
Irgendwann hört der Blitz halt irgendwie auf
noch sinnvoll Energie zu liefern.
-
Und damit übergebe ich.
-
Julian: Genau, dann übernehme ich mal.
-
Gelächter
-
Nachdem das so gut funktioniert hatte mit
der digitalen Spiegelreflex haben wir uns
-
überlegt wir müssen das irgendwie nochmal
machen. Und diesmal ein bisschen
-
heimlicher oder versteckter. Und da haben
wir uns einfach ein Raspberry Pi Kamera-Modul
-
besorgt, mit Infrarot LEDs und einer
Infrarotkamera drauf.
-
Und haben uns mal Orte angeguckt wo man
die verstecken könnte.
-
Und diese Händetrockner sind einfach perfekt.
-
Man muss die Hände auseinander nehmen,
schiebt die langsam
-
hoch und runter. Weiß nicht, hat jemand seine Hände hier
schon getrocknet auf dem Kongress?
-
Gelächter
-
Applaus
-
Das sieht dann so aus.
Also, wir haben es leider nicht mehr
-
geschafft das hier einzubauen. Aber wir
haben versucht das möglichst realitätsnah
-
nachzubasteln. Und das sind eben die
Bilder aus der Raspi-Kamera auch einfach
-
nur mit diesen LEDs die da verbaut sind.
Außer bei den Fingern, da mussten wir
-
wieder, wir haben so einen kleinen 4-Euro
Infrarotscheinwerfer, den haben wir dann
-
von der anderen Seite durchstrahlen
lassen. Aber ich denke man sieht das auch
-
ganz gut. Gerade bei den Handvenen
- das geht kaum besser.
-
Also die Herstellergeräte
-
haben Bilder, die nicht so gut
aussehen. Wir haben dann im nächsten
-
Schritt uns gedacht okay jetzt haben wir
gute Aufnahmen, haben zwei Methoden. Wir
-
müssen irgendeine Art von Software haben
um das da rauszurechnen. Also wir brauchen
-
irgendwie unsere blanken Venenmuster. Da
haben wir einfach ein kleines Python-Script
-
geschrieben, Das macht im Prinzip
auch total simple Bildbearbeitung. Das
-
haben wir versucht hier mal so ein
bisschen darzustellen. Im Prinzip kriegt
-
das als Input einfach nur unser Bild und
wir erhöhen den Kontrast ein bisschen.
-
Dazu teilen wir das Bild in ganz viele
kleine Kacheln und heben den, also
-
sozusagen, erhöhen den Kontrast in all
diesen kleinen Kacheln. Und im Endeffekt
-
kommt dann ein ziemlich homogenes Bild
bei raus. Im nächsten Schritt
-
binarisieren wir das Ganze. Das heißt es
gibt so eine Art Schwellenwert. Alles was
-
dunkel genug ist wird eben den schwarzen Pixeln
zugeordnet, alles was zu hell ist wird
-
dann weiß an dem Bild. Das wär dann oben
rechts. Da ist aber immer noch total viel
-
Rauschen und halt irgendwie die Schatten
auch von der Originalaufnahme.
-
Die filtern wir einfach mit ein bisschen
Gauss-Funktion raus. Dann haben wir das
-
Ganze noch so leicht ausgewaschen, weil
sich einfach in unseren Tests gezeigt hat,
-
dass es irgendwie besser ist wenn da keine
harten Kanten existieren. Und weil durch
-
diese ganze Bearbeitung das Ganze so ein
bisschen dicker geworden ist müssen wir in
-
dem letzten Schritt das noch wieder
zusammenschrumpfen. Aber das Bild ganz
-
unten rechts ist dann auch das, was wir
für die Attrappen verwenden. Das mal zum
-
Vergleich: Das ist ein Bild mit der
Spiegelreflex aus fünf Metern Entfernung
-
mit einem externen Blitz. Und das rechts
ist das, was die Software da rausschmeißt.
-
Das Gleiche nochmal für die
Fingervene. Das ist im Prinzip genau
-
dasselbe. Da muss man halt bloß ein
bisschen die Parameter anpassen, weil das
-
Licht von der anderen Seite kommt und die
Bilder an sich ein bisschen anders
-
aussehen. Funktioniert aber eigentlich
genauso. Und dann war halt der nächste
-
Schritt: Also jetzt hatten wir unsere
Aufnahmemethode. Wir hatten unsere
-
ausgedruckten Venenmuster. Und jetzt,
genau, ging es darum Attrappen zu bauen.
-
Und da haben wir erst mal ganz simpel
angefangen das einfach auszudrucken und
-
mal über diese Geräte zu halten. Und es
ist so, dass man - also wir es mit einem
-
Tintenstrahldrucker probiert - und man
sieht nichts. Das ist als würde man ein
-
weißes Blatt darüber halten. Und
irgendwann haben wir durch Zufall gesehen,
-
dass Laser-Toner-Tinte unter Infrarotlicht
einfach extrem gut zu sehen ist. Also
-
quasi sehr deutliche Linien. Das war dann
unser Ausgangspunkt. Und dann haben wir
-
uns an die Materialsuche gemacht, haben
irgendwie, also wir haben erst angefangen
-
irgendwie Papierlagen zu stapeln. Weil das
Hauptproblem war eigentlich die ganze
-
Zeit, dass die Aufnahmen immer zu hell
sind. Also es war permanent überstrahlt,
-
die Infrarot-LEDs waren einfach
zu hell. Und uns war klar wir müssen das irgendwie dämpfen.
-
Wir haben Latexhandschuhe verwendet.
Wir haben irgendwie uns Hände
-
gegossen aus allem Möglichen und sind
dann irgendwann auch mehr oder weniger
-
durch nen Zufall darauf gekommen das
Wachs, also Kerzenwachs oder noch genauer
-
Bienenwachs, eigentlich so aussieht wie
menschliches Gewebe unter Infrarotlicht.
-
Und haben uns dann so eine Gießform gebaut
aus Silikon und haben das einfach mal mit
-
Bienenwachs gefüllt. Da drauf kommt dann
einfach 'n Ausdruck mit Laser-Toner-Tinte
-
von den Venen. Und obendrauf wieder
eine dünne Schicht hellrotes Bienenwachs.
-
Und das funktioniert. Also man kann, wenn
man diese Attrappe dem Scanner
-
präsentiert, wird das einwandfrei erkannt.
Und da haben wir jetzt eine kleine
-
Livedemo vorbereitet, die hoffentlich
jetzt funktioniert. Jetzt umschalten hier.
-
starbug: Da ist Windows natürlich
schlafen gegangen.
-
...dim..dim...dim..dimmm
Windows starten, ja. Aber es geht schnell.
-
Gelächter
-
ahh
-
Gelächter
-
So.
Julian: genau, also im Prinzip ist das so:
-
Man vergibt hier eine ID, vierstellig, meine rechte Hand wär
irgendwie viermal die Null.
-
Computerstimme: Please place your
hand above the sensor
-
Starbug: Das war so klar.
-
Julian: Okay, wir müssen den USB-Stecker doch auch reinstecken.
Starbug: ne, ne moment
-
Das, da war das Windwos schlafen
-
Live-Demo das ist wieder mal typisch.
-
So,
ne Quatsch.
-
Nein nein nein nein nein.
Windows Windows.
-
USB eingesteckt sound - Gelächter
-
So jetzt aber.
-
Computerstimme: Please place your
hand above the sensor
-
Computerstimme: Access Granted
-
Das war jetzt meine rechte Hand. Jetzt kommt
das Gleiche hier nochmal in Wachsform.
-
Gelächter
Computerstimme: Please place your Hand above the sensor
-
Computerstimme: Access Denied.
Gelächter - Applaus
-
Computerstimme:
Please place your Hand above the sensor
-
Computerstimme: Access Denied.
Gelächter - Applaus
-
Starbug: Das geht schon.
Computerstimme: Please place your Hand above the sensor
-
Julian: Ja, Vorführeffekt.
Computerstimme: Access Denied.
-
Julian: Aber das ist halt der Scheinwerfer
Starbug: Echt?
-
Computerstimme: Please place your hand above the sensor
-
Computerstimme: Access Denied.
starbug: Na toll - Julian: OK
-
Starbug: Ha genau, mach mal 'n bisschen dunkler.
Julian: Super, danke.
-
Starbug: Sonst haben wir auch noch ein Video dafür - aber
das ist ganz schön wacklig. Gelächter
-
Computerstimme: Please place your hand above the sensor.
-
Computerstimme: Access denied.
-
Computerstimme: Please place your hand above the sensor.
-
Also, wir haben es gerade oben irgendwie echt oft probiert
und dann irgendwie hat es funktioniert, von daher.
-
Ja. Nein nein nein nein.
-
Ja, ich würd sagen dann...
-
Julian: ja dann machen wir weiter
mit Fingervenen.
-
Gelächter
-
Ne ne ne ne. Ne, mach erstmal das Video
Applaus
-
Also dass ihr uns das natürlich in wirklich glaubt irgendwie.
-
Wir haben hier dieses Video.
-
Ist wie gesagt ein bisschen wackelig und
irgendwie nicht so schön zu sehen.
-
Aber hier nochmal: Das ist die Hand, da drunter
-
ist der Sensor. Jetzt
seht ihr da gleich da unten irgendwo die
-
die Zahl wieder, die vierfach sieben ist
es dem Fall. Und jetzt kommt der... die Attrappe
-
- und da ist wieder viermal die 7.
Also wir versuchen's am Ende nochmal.
-
Das sollten wir auf jeden Fall noch hin kriegen.
Applaus
-
Starbug: Wieviel Zeit haben wir noch?
Ja lass uns das noch einmal probieren kurz unten.
-
Wir machen es nochmal kurz unter dem Tisch.
Gelächter No magic!
-
Computerstimme: Please place your hand above the sensor
-
Julian und Starbug: Ja!
Applaus
-
Applaus
Julian: Ja es ist tatsächlich so, also wahrscheinlich
-
die Scheinwerfer. Wenn genug Infrarotlicht
rauskommt dann reicht das schon aus um das
-
zu verfälschen.
-
Starbug: Okay, nächster Punkt war Fingervene.
-
Und hier auch das Gleiche: Also erstmal mein eigener
Finger um zu zeigen, irgendwie das auch wirklich eingelernt ist.
-
- Da ist hier jetzt
- Starbugg-Zeigefinger-rechts soll das heißen.
-
Und jetzt bitte beim ersten Mal.
-
Beide: Ja!
Starbug: Grüner Haken.
Applaus
-
Ach so, genau. Es geht noch weiter.
Julian: Es geht noch weiter, ja.
-
Das ist jetzt nochmal eigentlich die
gleiche Gießform für die Finger-Attrappen.
-
Gleiches Prinzip. Wir haben irgendwie aus
so naturfarbenem Bienenwachs so 'ne
-
Basisplatte gegossen. Dann kommt der
Ausdruck drauf, dann wird das Ganze mit
-
hellrotem Wachs nochmal eingepackt.
Funktioniert eigentlich super, mit dem
-
einzigen Unterschied dass bei der
Fingervene, haben wir das/den Ausdruck
-
gespiegelt und das Papier verkehrt herum
raufgelegt. Einfach weil das Licht von oben
-
kommt und diese LEDs in dem Fingervenen-
Scanner so viel heller sind als die bei
-
der Hand. Wir nutzen einfach die Schicht
von dem Papier noch als Dämpfer.
-
Genau. Auch schon einer meiner letzten Punkte ist
hier: Wir haben uns eigentlich die ganze
-
Zeit, während der Arbeit, so ein bisschen
gefragt: Was ist mit Lebend-Erkennung.
-
Ja, weil, also wir haben, also man konnte
Karotten einlernen, Kerzen einlernen. Und,
-
auch gerade ja die Hand-Venen-Hersteller,
also die Hand-Venen-Scanner-Hersteller
-
werben sogar damit, dass sie
Lebenderkennung machen. Was offensichtlich
-
nicht - also beide tun es - also was
offensichtlich nicht der Fall ist. Und
-
wenn man da mal so ein bisschen guckt und
einfach mal ein bisschen sucht und
-
recherchiert, dann findet man schnell,
dass es da echt etliche Paper zu gibt, wie
-
man sowas machen kann. Wir haben ja
einfach mal ein paar Beispiele
-
aufgelistet. Man kann zum Beispiel mit
Infrarot-Laser, kann man den Blutfluss
-
detektieren. Es gibt Arbeiten dazu, da
haben Leute einfach den Ausschnitt der
-
Bildaufnahmen enorm vergrößert und machen
verschiedene Aufnahmen und vergleichen
-
dann sozusagen die Größe der einzelnen
Venengefäße, einfach um zu sehen, ob da
-
quasi was pumpt und sich die Größe ändert.
Und es gibt auch die Möglichkeit, da
-
rechts am Rand, sowas wie einfach
Ausdrucke zu erkennen anhand der Struktur
-
von dem von dem Blatt oder eben von der
Druckertinte. Genau, und dann vielleicht
-
noch so als kleinen Ausblick und einfach
so ein paar gesammelte Gedanken, was wir
-
uns überlegt haben, falls die Hersteller
dann jetzt ihre Geräte besser machen
-
sollen, müssen wir natürlich auch
irgendwie unsere Angriffe anpassen und wir
-
könnten auf jeden Fall die Präzision
erhöhen, indem wir das Ganze irgendwie
-
lasern oder fräsen und halt ein geeignetes
Material finden, was genauso gut
-
funktioniert wie das, was wir jetzt gerade
machen. Man könnte das theoretisch auch
-
3D drucken, denn es gibt mittlerweile
auch schon Paper dazu, dass quasi Venen 3D
-
gescannt werden, dass man eben ein
dreidimensionales Venenmerkmal hat und das
-
letzte, das finde ich persönlich am
schönsten, man kann Blutgefäße auch
-
mittlerweile biologisch einfach drucken.
Also theoretisch könnte man seine Venen
-
auch einfach in Venengewebe ausdrucken. Ja
dann bleibt mir eigentlich nur noch zu
-
sagen: Vielen Dank an alle, die uns dabei
geholfen haben. Wir hatten sehr viel
-
Unterstützung auch gerade technisch. Also
Leute, die Geräte oder Kameras
-
beigesteuert haben. Danke an euch fürs
Zuhören und ja, gibt's Fragen?
-
Applaus
-
Herald-Angel: So, wer Fragen hat, wie
-
immer die Mikros sind hier vielseitigst im
Raum verteilt. Wir haben in der Summe glaub ich
-
acht Stück. Stellt euch dahin. Die wichtigsten
Hinweise sind: Fragen bestehen in der
-
Regel aus einem Satz, wo am Schluss ein
Fragezeichen kommt. Und wenn ihr in so ein
-
Mikro reden wollt müsst ihr nah dran. Also
nutzt die Chance, stellt euch zu den
-
Mikros und wenn ich das sehe, steht ein
Mikro Nummer 6 schon jemand.
-
Frage: Ja, tut. Wie wahrscheinlich ist es,
dass das unter realen Bedingungen
-
funktioniert? Bei der Bühne war das ja
bisschen kritisch.
-
Julian: Die Aufnahme oder die Authentifizierung
mit der Fake-Attrappe dann?
-
Frage: Mit der Fake-Attrappe dann.
Starbug: Man muss dazu sagen, das sind jetzt
-
irgendwie alte Systeme. Wir haben es aber
irgendwie auch auf den neuesten Hardware-
-
und Softwareversion getestet von den
jeweiligen Herstellern. Und tatsächlich
-
ist es so eine Frage, wie man es platziert.
Wenn man es halt ordentlich platziert,
-
dann sind die Wahrscheinlichkeiten realtiv
hoch. Du hast sogar Wahrscheinlichkeiten
-
mal ausgemessen oder?
J: Hab ich jetzt gerade nicht im Kopf.
-
aber an sich ziemlich hoch, ja.
S: Also es waren irgendwie sowas wie, also wenn die
-
Umgebungsbedingungen stimmen, irgendwie so
mit 80 prozentiger Wahrscheinlichkeit
-
irgendwie kriegt man es irgendwie
reproduziert. Das heißt das sind jetzt
-
hier nur die falschen Umgebungsbedingungen
gewesen. Wir haben auf jeden Fall auch noch vor
-
das auch noch mal ein bisschen
praxistauglicher zu versuchen. Also wie gesagt, Polen ist
-
ganz in der Nähe und wir sind da schon mit
Leuten in Kontakt.
-
Herald: Gut. Mikro Nummer 7 bitte.
Frage: Habt ihr mal eine Entropie-Analyse
-
auf die Daten gemacht? Das heißt wie
einzigartig sind die Venen in
-
verschiedenen Händen?
J: Wir nicht, aber da gibt es Arbeiten zu.
-
Ich glaube wir haben das in unserer
Papersammlung. Kann ich sonst irgendwo
-
verlinken bestimmt.
Herald: Mikron Nr. 4
-
F: Ich habe allgemein eine Frage. Wie
sieht es mit Tätowierungen aus. Also haben
-
die überhaupt irgendeinen einen Einfluss
auf Venenerkennung?
-
S: Also es gibt prinzipiell so ein paar
Probleme, gerade relativ dicke Finger oder
-
Hände sind ein Problem, weil die
Blutgefäße dann zu weit drinnen liegen.
-
Sehr starke Behaarung auf den Fingern ist
ebenfalls ein Problem. Und Tattoos sollten
-
dann ein Problem sein, wenn sie auch im
Infrarotbereich also in diesem nahen
-
Infrarotbereich absorbierend sind. Da habe
ich allerdings keine Erfahrung, wie das
-
aussieht. Wenn du ein
Tattoo hast, dann können wir es gerne mal
-
rauflegenn, wir sniffen mal mit und dann
gucken wir mal.
-
Herald: Mikro Nummer 2
F:Meine Frage ist jetzt schon so halb
-
beantwortet. Ich wollte fragen, was kann
man machen, dass der Finger von einem
-
Menschen eben nicht erkannt wird. Also
Verletzungen, kalte Hände?
-
S: Verletzungen sowas ist schwierig, also
auch gerade so Dreck, da ist es relativ
-
unkritisch, solange der Dreck halt
irgendwie nicht in dem Wellenlängenbereich
-
absorbierend ist. Muss man mal einfach
gucken. Also ich gehe davon aus, wenn du
-
jetzt irgendwie mit Edding deine Finger
voll malst, dann bist du auf jeden Fall auf
-
der sicheren Seite.
Herald: Sehen wir die nächsten Tage alle
-
mit schwarz angemalten Händen rumlaufen.
Wir nehmen mal eine Frage aus dem
-
Internet dran.
Signal-Angel: Das Internet fragt, von
-
welchem Politiker denn jetzt Venenbilder
in der nächstne Datenschleuder landen?
-
S: Ja, wir hatten tatsächlich versucht,
noch welche zu machen. Der Fotograf hatte
-
leider nicht so richtig Zeit wie beim
letzten Mal. Aber ich glaube also sowas
-
wie Innenminister ist natürlich auch immer
ein beliebtes Ziel. Wir sind noch dranne.
-
Applaus
-
Herald: Mikro Nummer acht.
-
F: Habt ihr mal mit dem Herstellern
gesprochen und was sagen die dazu.
-
J: Wir haben mit beiden gesprochen. Wir
hatten sogar das Glück, dass wir bei
-
Hitachi in Tokio direkt mit den Leuten
reden konnten. Die waren total nett. Haben
-
sich das angeguckt, haben gesagt, sie
haben das so auch noch nicht gesehen und
-
frickeln da jetzt irgendwie an einer
Lösung. Aber das hat immer noch genauso
-
funktioniert. Bei Fujitsu war es ein
bisschen anders. Die haben Leute hier in
-
Berlin gehabt, die haben uns da im Club
getroffen und die haben uns auch Geräte
-
mitgebracht. Haben sich das angeguckt, das
abgenickt. Das hatte bis jetzt aber
-
irgendwie noch keinen.
S: Also das war tatsächlich eine
-
interessante Erfahrung so als Responsible
Disclosure, wie unterschiedlich die
-
Hersteller reagieren können. Also wie
gerade schon gesagt zu Hitachi war halt
-
immer wirklich sehr zuvorkommend. Es war
irgendwie ein nettes Miteinander. Die
-
waren interessiert das irgendwie besser zu
machen und Fujitsu wird vermutlich auch
-
demnächst noch eine Stellungnahme zu dem
Vortrag rausgeben, wo es dann heißt, na
-
das ist alles nur im Labor machbar und
irgendwie gar keine sicherheitskritischen
-
also nicht sicherheitsrelevant. Das war
auf jeden Fall interessant zu sehen.
-
[Ruf aus dem Publikum ohne Mikro]: Die
Sicherheitslücke lag im System, das verwendet wird....XP verwendet wird...
S: Jaja. lacht
-
Herald: Bitte auch Kommentare oder so wenn dann über
die Mikros,
-
sonst ist es auch im Stream und
Recording nicht zu hören.
-
Mikro Nummer 6.
F: Euch geht ja langsam die Arbeit aus, denk ich.
-
Eure Fantasie. Was lässt dieser
Körper noch zu? Was kann man in diesem
-
Körper noch eventuell biometisch
verwenden, was ihr dann nachbauen werdet?
-
Gelächter
-
Nur mal so. Fünf Jahre, zehn Jahre, 15
Jahre.
-
S: Also es gab ein relativ lustiges
System, das hat den Herzschlag genommen
-
also halt so die Herschlagkurve. Ist
allerdings irgendwie auch letztes Jahr von
-
jemandem schon kaputt gemacht worden. Es
gibt die Ohrform anhand von Weißem
-
Rauschen, die sie ins Ohr rein projizieren
und dann die Reflektionen messen. Aber so
-
richtig, naja, DNA wird auf jeden Fall
kommen, aber das ist glaube ich, also, es
-
gibt heutzutage auch schon genug DNA-
Nachbildungsautomaten von daher. Ich sehe
-
nicht, dass da irgendwas sinnvoll noch
kommen kann.
-
F: Danke.
Herald: Mikro Nr. 5.
-
F: Ja zum Thema Lebend-Erkennung. Was
verkaufen die Hersteller einem da? Also
-
wenn man tot ist, dann ist die Extinktion
in den Venen eh anders, weil das Gewebe
-
nicht mehr perfundiert ist. Meinen die das
damit, oder?
-
J: Also wir glauben ja, also wirklich auf
der Seite von Fujitsu steht sowas wie: Ja
-
mit abgetrennten Körperteilen kann man das
ja nicht mehr machen. Publikum lacht Und also
-
deren Lebend-Erkennung meint momentan
anscheinend wirklich, dass eben venöses
-
Blut dieses Licht absorbiert. Und wenn das
nicht vorhanden ist, dann nicht, aber dass
-
so etwas wie Lasertoner-Tinte das auch
kann, hat da vielleicht keiner bedacht.
-
Wissen wir auch nicht, also wir haben
gefragt, beide Hersteller. Wollte uns
-
keiner sagen können, wissen wir auch
nicht.
-
Herald: Mikro Nummer eins.
F: Also ich hätte eine Frage und zwar hat
-
irgendein System die Attrappe erkannt,
also als Attrappe?
-
S: Da können wir nichts drüber sagen, also
wie gesagt, wir waren, wir waren bei
-
Hitachi und haben Sachen getestet, aber
das ist 'confidential'.
-
Herald: Es gibt noch Fragen aus dem
Internet, oder?
-
F: Ja.
Herald: Ja, nochmal.
-
F: Und zwar ist jetzt gelb unten und rot
oben?
-
J: lacht Also rot, die rote Seite wird dem
Sensor präsentiert.
-
Herald: Okay jetzt muss ich nochmal auf
meine, genau, da Nummer sechs noch eins. Das ist
-
von hier oben alles nicht zu sehen. Es
ist.
-
F: Wie lange habt ihr dafür gebraucht?
J: Also circa ein halbes dreiviertel Jahr.
-
Aber halt eben nicht Vollzeit, sondern so,
ja, nach Familie und
-
Arbeit. In Stunden haben wir es nie
umgerechnet, weiß ich nicht.
-
S: Also so grob wird es ungefähr einen
Monat Gesamtarbeit gewesen sein, wenn man
-
irgendwie erst einmal dahin gekommen ist.
Also wir haben es dann irgendwie auch sehr
-
verfeinert, dass es halt irgendwie oder
perfektioniert. Aber tatsächlich, wenn man
-
erst einmal herausgefunden hatte, wie es
funktioniert, ist das eine Sache von 15
-
Minuten. Du machst ein Foto, du
bearbeitest es kurz nach, druckst es aus,
-
gießt die Wachshand und fertig ist es.
Herald: Braucht ja nur erstmal die gute Idee.
-
Danach ist alles einfach. Mikro
Nummer 1!
-
F: Habt ihr auch mal überprüft welche
Unternehmen überhaupt Venenerkennung
-
alleine benutzen? Weil ich arbeite gerade
in einem infrastrukturrelevanten
-
Unternehmen Publikum lacht und die nutzen die
Venenerkennung kombiniert mit
-
Gesichtserkennung und Temperatur. Das
heißt die Temperatur der Hand muss stimmen
-
plus der Gesichtsabdruck. Also ist das
überhaupt noch relevant oder sind die
-
Systeme schon weiter?
S: Wie gesagt, so für Deutschland weiß ich
-
noch von einem Anbieter, die es einsetzen.
Die setzen es auch alleine ein. Also halt so mit
-
Zugangskarte. Für die ganzen anderen
Sachen musst dann halt die beiden Merkmale
-
separat irgendwie überwinden. Also ich
mein Gesichtserkennung ist auch schon
-
kaputt gemacht worden, die Temperatur, das
kriegt man auf jeden Fall auch hin, wird
-
natürlich schwieriger, aber
F: So 'ne Wachshand zerfließt dann durchaus mal.
-
S: Ne, ne, ne. Wir reden hier nicht von..
Hast du eine Körpertemperatur von 60 Grad, dass...?
-
Gelächter
F: War 'n Spaß.
-
J: Ja vielleicht auch kurz als Nachtrag,
also die Systeme in Japan, zumindest auch
-
in den Geldautomaten, die machen so etwas
nicht. Das sind ganz simple Venenscanner.
-
Also da gibt es nur ein Merkmal was da genommen wird.
S: Aber, also, wenn du...sag' doch mal wo du arbeitest.
-
Gelächter
F: Das sage ich dir nachher persönlich, aber..nicht hier.
-
S: Danke.
-
Herald: Gut, Mikro Nummer 3!
F: Bei einer Folie war zu sehen, dass auf
-
diesem Geldautomaten ein Fingerscanner
ohne diese Brücke obendrüber war. Wie
-
funktioniert denn der? Der kann ja dann
nicht durch meinen Finger leuchten sondern
-
nur unten gegen.
S: Das ist richtig. Das ist so, dass das
-
Licht nicht zwangsweise - das meinst du -
nicht zwangsläufig durchleuchten muss
-
sondern irgendwie, wenn du... Es wird von
der Seite eingeleuchtet und dadurch es
-
irgendwie dort innen gebeugt und irgendwie
zerstrahlt wird dann reicht es irgendwie
-
auch. Man kann entweder durchleuchten oder
halt aus aus Platzgründen als aus
-
Größenabwägungen kann man so die LEDs von der
Seite einstreuen lassen.
-
F: Hat es damit auch funktioniert?
S Ne, also wir haben kein System das so
-
arbeitet, aber ich würde davon ausgehen
dass halt maximal kleinere Änderungen im
-
Aufbau der Attrappe nötig wären und dann
sollte es auch funktionieren.
-
F: Danke
S: Jo
-
Herald: Micro Nummer 2.
F: Außer dem Laserdrucker hattet ihr noch
-
andere Ansätze, also Materialien die sich
dafür eignen würden?
-
J: Also CD-Marker, Eddings und so. Das hat
super funktioniert, wie gesagt, Karotten
-
kann man super einlernen also quasi
dreidimensionale Struktur manchmal aus um
-
da irgendwie im Infrarot, sag' ich jetzt
mal, noch mal 'ne Linie zu bilden.
-
F: Aber aber aus Karotten würde sich keine
Atrappe basteln...
-
J: Ne,ne.
S: Tatsächlich mit einem Stift nachziehen
-
ist halt deutlich schwieriger als einfach
auszudrucken, wir haben es mit
-
verschiedenen Druckern versucht, aber
gewisse Drucker sind dann einfach, haben
-
sich rausgebildet, was gut ist. Und alles
andere als halt dann in der Zukunft, wenn
-
die Hersteller nachlegen gucken wir mal
was man noch machen kann oder muss.
-
Herald: So, Micro Nummer fünf, da steht
auch noch wer.
-
F: Lässt sich eure Methode auch auf
Retinagefäßscanner adaptieren?
-
S: Sehr gute Frage. Tatsächlich, ich hab
ja es schon angedeutet, dass es eigentlich
-
fast keine Systeme gibt die noch nicht
kaputt sind. Retina ist tatsächlich der/das
-
letzte. Ich würde vermuten ja, das Problem
ist sich so ein Gerät zu beschaffen. Also wenn
-
du so ein Gerät und irgendwo rumzustehen
hast oder einer von euch, würden würden
-
wir da gerne mit spielen.
-
Herald: Micro Nummer 7.
-
F: Ihr hattet dieses Bild mit dem
Händetrockner und da waren spezielle
-
Aufkleber drauf. Hatte das eine besondere
Bedeutung?
-
S: Vermutlich ja.
Gelächter
-
J: Das ist echt, ja
-
Wir haben echt einfach nach diesen
-
Handtrockenern gegoogelt und die ersten
vier Bilder sahen alle so aus. Da dachten
-
wir, okay, da muss da wohl rein.
Scheint irgendeinen Grund zu geben,
-
dass diese Aufkleber existieren.
-
Herald: So, wir haben noch für ein, zwei letzte Fragen Zeit,
Nummer 2 hier vorne noch.
-
F: Wie viele Vorträge müsst ihr noch
halten bis die einschlägigen Industrien
-
erkennen dass biometrische Merkmale
Identifikation aber nicht Authentifikation sind
-
S: Pffff. Ich glaub die Frage würde ich mal unbeantwortet lassen. lacht
-
Herald: Nehmen wir doch mal 'ne Frage aus dem Internet.
Die sollen ja auch 'ne Chance kriegen.
-
Signal-Angel: Ja, und das Internet würd gern
wissen welchen Faktor man denn jetzt dazu
-
tun müsste, damit das Ganze sicherer wird.
S: Ja also so Lebenderkennung ist
-
zumindest mal eine gute Idee. Es gab ja
schon ein paar irgendwie Hinweise wie es theoretisch
-
funktioniert, würde es irgendwie alles
teurer machen. So richtig zusätzlich
-
Faktors man, man könnte zum Beispiel
gleichzeitig auch die Fingerabdrücke
-
nehmen. Also Fingerabdruck und Venen im
Finger oder halt die Hautrillen der Hand.
-
Aber das wäre halt auch wieder eine
Kombination, das heißt man muss halt dann
-
beide separat in einer Attrappe bauen.
Sehe ich ehrlich gesagt auch nicht so 'n großes Problem.
-
Herald: Nummer 2 noch.
-
F: Ihr habt ein halbes Jahr daran
gearbeitet, insgesamt vier Wochen. Wie
-
schwierig ist es jetzt wirklich an ein
Foto ranzukommen und das Foto zu machen,
-
also wie aufwendig ist dieser Prozess.
J: Mit diesen Kleinen oder mit der kleinen
-
Raspberry Pi-Kamera relativ easy. Das
haben wir jetzt auch hier noch nicht
-
verbaut. Vielleicht haben wir noch die
Zeit das hier mal zu testen. Aber das ist
-
wirklich, das kannst Du quasi im Video
laufen lassen, wenn du deine Hand da irgendwie
-
langsam drüber bewegst, dann sind das
einfach gute Aufnahmen, kannst du dir
-
Einzelframes herauspicken und die als Bild
nehmen. Das mit der Spiegelreflex
-
klar, da muss die Hand irgendwie auf jeden
Fall ein bisschen exponiert sein das du in
-
irgendeiner Form auch gut drauf kriegst.
Aber wir haben das halt auch so einfach
-
ich sag mal im Wohnzimmer gemacht. Wir haben das
jetzt nicht irgendwie in der Dunkelkammer
-
machen müssen. Sowas funktioniert auch
einfach so ganz normal auf der Straße.
-
S: Also wir haben vorher nochmal kurz einen
Test gemacht und so ein bisschen Real-
-
Life-Bedingungen, das war tatsächlich
irgendwie noch heute irgendwie zwei Stunden vor Ende
-
des Vortrags. Man sieht es schon. Es ist
natürlich nicht so schön wie wenn man es
-
halt ein bisschen mit ein bisschen Ruhe
und Kamera und so Einstellung kriegt man
-
auf jeden Fall hin. Es ist halt noch ein
bisschen Work in Progress.
-
F: Man kann die Hand ja auch manchmal
vielleicht einfach mehrmals fotografieren.
-
S: Genau, klar.
J: Oder Video machen.
-
Herald: Ich zieh gleich meine Handschuhe wieder an. lacht
-
Gut, vielen Dank an Starbug und Julian.
-
Nochmal einen großen Applaus.
-
Applaus
-
Abspannmusik
-
Untertitel erstellt von c3subtitles.de
im Jahr 2018. Mach mit und hilf uns!
drombo
Das war mein erster Subtitle-Edit und Review. Bitte um Kontrolle ob das so zum Styleguide passt. Gruß drombo
Jan 1, 2019, 9:55 PMC3Subtitles
Machen wir gerne. Werde vermutlich morgen Zeit haben darüber zu schauen.
Du kannst aber ruhig schon den "Publish" Button klicken. Wenn jemand danach noch etwas ändert wird das automatisch neu hoch geladen.
Jan 1, 2019, 11:17 PM