SlideShare una empresa de Scribd logo

Cómo evaluar soluciones biométricas para incluir productos de videoidentificación en el catálogo CPSTIC CCN -STIC 105

Javier Tallón
Javier Tallón

En la actualidad existe un gran número de soluciones biométricas en el mercado, que se aplican cada vez más en sectores clave como la banca, la administración pública y los seguros. El Ministerio de Asuntos Económicos y Transformación Digital publicó la primera orden ministerial, en el BOE núm. 115, de 14 de mayo de 2021, que regula los métodos de videoidentificación a distancia para la emisión de certificados electrónicos reconocidos. A raíz de esta legislación, el CCN, desarrolló un módulo de evaluación biométrica (MEB), que permite la evaluación de soluciones biométricas tanto para la metodología LINCE como para Common Criteria siguiendo la guía IT-014. Durante la charla se explica cómo se aplica la guía IT-014 y los diferentes tipos de ataques de presentación que contempla; impostor, mediante vídeos, mediante máscaras, mediante herramientas deepfake, etc. La charla es eminentemente técnica y mostrará ejemplos de ataques reales ejecutados durante las evaluaciones. jtsec, con su experiencia en las primeras evaluaciones de soluciones biométricas, ofrecerá una visión general de cómo se han llevado a cabo dichas evaluaciones y los tipos de ataques más difíciles de mitigar para los proveedores. La charla describe las particularidades de las evaluaciones en la nube tanto a nivel técnico como en el proceso. Además, pone de relieve los esfuerzos realizados a nivel nacional para que se puedan evaluar este tipo de soluciones.

Software
1 de 39
Descargar para leer sin conexión
¿Cómo evaluar soluciones biométricas para incluir productos de videoidentificación en el catálogo CPSTIC / CCN STIC-105
1. LINCE, ENCSTI, CPSTIC y otras hierbas 2. Los sistemas de vídeo identificación en el MundoReal ® 3. El anexo F11 y la Instrucción Técnica 14 4. Conclusiones ÍNDICE
¿Quién es quién? autoriza evalúa es incluido Laboratorio acreditado define requisitos de seguridad 2 1 3 4 LINCE, ENECSTI, CPSTIC y otras hierbas
Un caso de uso particular: las herramientas de videoidentificación La emergencia sanitaria generada por la crisis de la COVID-19 ha exigido durante el estado de alarma el confinamiento de la ciudadanía y la drástica limitación de los desplazamientos personales, con vistas a frenar el crecimiento de los contagios. De forma transitoria y excepcional, a través de la disposición adicional undécima del Real Decreto-ley 11/2020, de 31 de marzo, por el que se adoptan medidas urgentes complementarias en el ámbito social y económico para hacer frente a la COVID-19, se habilitó un sistema temporal de identificación remota para la obtención de certificados cualificados, con el fin de contribuir a reducir los desplazamientos de los ciudadanos para realizar trámites, sin mermar sus derechos. Con el fin de implantar de forma permanente y con plena seguridad jurídica dicha posibilidad, el artículo 7.2 de la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza, habilita a que mediante orden ministerial de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinen las condiciones y requisitos técnicos de verificación de la identidad a distancia y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación como videoconferencia o vídeo-identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física, que permitan la implantación de los citados métodos por parte de los prestadores de servicios electrónicos de confianza, en razón de las especificidades propias de este sector y las obligaciones de seguridad a que están sujetos los prestadores cualificados LINCE, ENECSTI, CPSTIC y otras hierbas
Un caso de uso particular: las herramientas de videoidentificación … Empleará un producto de identificación remota por vídeo que cumpla los requisitos mínimos de seguridad indicados en el anexo F.11 de la Guía de Seguridad de las TIC CCN-STIC-140, del Centro Criptológico Nacional de categoría alta. El prestador cualificado deberá seguir las indicaciones de configuración y uso seguro del producto. El cumplimiento de dicha obligación deberá ser certificado siguiendo metodologías de evaluación reconocidas por el Organismo de Certificación del ENECSTI (Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información), por un organismo acreditado según la norma ISO/IEC 17065. No obstante, en caso de indisponibilidad de metodologías de evaluación aplicables para la certificación del producto, se admitirá la acreditación de cumplimiento de la citada obligación mediante la evaluación de su seguridad e inclusión en el listado de productos cualificados del Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación (Guía de Seguridad de las TIC CCN-STIC-105) publicado por el Centro Criptológico Nacional. … LINCE, ENECSTI, CPSTIC y otras hierbas
LINCE LINCE es una metodología de evaluación y certificación para productos de seguridad TIC desarrollada por el Centro Criptológico Nacional enfocada en el análisis de vulnerabilidades y las pruebas de penetración. Se ha desarrollado para ser un medio objetivo que permita valorar y acreditar la capacidad de un producto TIC para manejar información de forma segura. A diferencia de otras certificaciones, como Common Criteria, la evaluación LINCE se realiza dentro de un tiempo y esfuerzo bien acotados. De esta forma, los costes son accesibles para todo tipo de fabricantes. LINCE Básica: 25 días de esfuerzo, 8 semanas de duración 5 días de esfuerzo, 2 semanas de duración por cada módulo adicional: + Módulo MEC: Evaluación criptográfica + Módulo MCF: Análisis de código fuente + Módulo MEB: Evaluación Biométrica “El CCN proporcionará las instrucciones técnicas y guías que se deben seguir para realizar la evaluación de cada una de las modalidades biométricas” LINCE, ENECSTI, CPSTIC y otras hierbas
Casos de uso • Apertura de cuentas bancarias mediante firma electrónica cualificada en toda la UE • Aprobación de operaciones entre la entidad y el consumidor en otros servicios financieros • Procesos de firma electrónica cualificada disponibles en plataforma online, destinado a ser usado por PYMES. Los sistemas de video identificación en el MundoReal®
Inyección de video El Anexo F11 define los requisitos de seguridad esperables en una solución de video identificación: ° Administración confiable ° Identificación y autenticación ° Canales seguros ° Auditoría ° Protección frente a la captura de evidencias ° Verificación biométrica ° Validación de los documentos presentados = Protección frente a la captura de evidencias GEN.2 Grabación en directo GEN.1 Acto secuencial El Anexo F11 y la Instrucción Técnica 14
Inyección de video El dispositivo de captura de video (la webcam) está bajo el control del sistema operativo, dos escenarios posibles: Navegador web en PC Aplicación nativa Servidor de video identificación El Anexo F11 y la Instrucción Técnica 14
Inyección de video OBS es tu amigo Soluciones implementadas por algunos fabricantes: - Detección del nombre de la cámara o del número de cámaras - Al ejecutarse el código en el navegador, manipular las peticiones suele ser trivial El Anexo F11 y la Instrucción Técnica 14
Inyección de video - Ninguna herramienta disponible - Pequeña prueba de concepto usando Frida e interceptando y reemplazando el buffer de la cámara El Anexo F11 y la Instrucción Técnica 14
Inyección de video Defenderse es complejo. Hay que garantizar que la petición viene de un dispositivo no comprometido: - Certificate pinning - Peticiones firmadas - Detección de jailbreak - Criptografía de caja blanca / Ofuscación - Android SafetyNet + Hardware attestation // iOS AppAttest El Anexo F11 y la Instrucción Técnica 14
Pruebas funcionales y ataques de presentación SOL.2 Detección de vida Foto del documento SOL.1 Verificación biométrica facial vs Imagen capturada SOL.3 Mecanismos de detección de ataques de presentación El Anexo F11 define los requisitos de seguridad esperables en una solución de video identificación: ° Administración confiable ° Identificación y autenticación ° Canales seguros ° Auditoría ° Protección frente a la captura de evidencias ° Verificación biométrica ° Validación de los documentos presentados = Verificación biométrica El Anexo F11 y la Instrucción Técnica 14
Pruebas funcionales y ataques de presentación – Setup de pruebas - Elgato HD60 X Capturadora de vídeo externa - Caja Razer Core X + GEForce RTX 3080 Trinity OC LHR 10GB 320BIT GDDR6x - TV Samsung QLED UltraHD 4K HDR10+ 75” - Webcam Logitech C920e - Maquillaje - Máscaras - CCN Match - DeepFaceLab: Framework Open Source para facilitar la creación de deepfakes. - DeepFaceLive: Framework Open Source para ejecutar deepfakes en tiempo real. - Google Colab: Integración de Jupyter Notebooks en la nube por parte de Google. El Anexo F11 y la Instrucción Técnica 14
Pruebas funcionales y ataques de presentación – Pruebas funcionales Face Recognition Vendor Test (FRVT) en la categoría VISABORDER del NIST con una tasa de FNMR (False Non Match Rate) menor o igual a 5% para un FMR (False Match Rate) de menor o igual a 1/1000000. Comprobar que el producto funciona correctamente en los casos habituales de uso, suponiendo un uso cooperativo por parte del sujeto fidedigno. El Anexo F11 y la Instrucción Técnica 14
Pruebas funcionales y ataques de presentación – Ataques de impostor Parecidos razonables El Anexo F11 y la Instrucción Técnica 14
Pruebas funcionales y ataques de presentación – Ataques de impostor El Anexo F11 y la Instrucción Técnica 14
Objetivo de la prueba: Comprobar que el producto no es vulnerable a la suplantación de un sujeto fidedigno por parte de un atacante que utilice un vídeo de un sujeto fidedigno. Ataque: Reproducimos un video del sujeto fidedigno en la TV de 75” realizando una identificación de manera correcta. Prerrequisitos: El escenario de ataque contempla que el atacante ha robado el DNI del sujeto fidedigno y ha sido capaz de grabar una prueba de vida del usuario. Posible defensa: Aleatorización de la prueba de vida. Pruebas funcionales y ataques de presentación – Video en pantalla El Anexo F11 y la Instrucción Técnica 14
El Anexo F11 y la Instrucción Técnica 14 Objetivo de la prueba: Comprobar que el producto no es vulnerable a la suplantación de un sujeto fidedigno por parte de un atacante que utilice una máscara de bajo coste como artefacto. Ataque: Utilizamos dos tipos de máscaras: - Máscara impresa en papel - Máscara “segunda piel” El atacante tiene que taparse la boca para simular la prueba de vida del producto (sonreír). Prerrequisitos: El escenario de ataque contempla que el atacante ha robado el DNI del sujeto fidedigno y ha sido capaz de generar una máscara de bajo coste a partir de una foto del sujeto fidedigno. Posible defensa: Aleatorización de la prueba de vida. Detección de brillos. Pruebas funcionales y ataques de presentación – Máscaras de bajo coste El Anexo F11 y la Instrucción Técnica 14
Pruebas funcionales y ataques de presentación – Máscaras avanzadas Objetivo de la prueba: Comprobar que el TOE no es vulnerable a la suplantación de un sujeto fidedigno por parte de un atacante que utilice una máscara avanzada como artefacto. Ataque: Limitado por el coste de las máscaras. Dos máscaras para todos los laboratorios (~800€ c/u). El CNP genera especímenes de DNI para realizar la prueba. El atacante tiene que taparse la boca para simular la prueba de vida del producto (sonreír). Prerrequisitos: El escenario de ataque contempla que el atacante ha robado el DNI del sujeto fidedigno y ha sido capaz de generar una máscara avanzada a partir de una foto del sujeto fidedigno. Posible defensa: Aleatorización de la prueba de vida. Detección de pesadillas. http://www.barbatosfx. com/ https://www.etsy.com/jp/shop/maskshopOMOT E El Anexo F11 y la Instrucción Técnica 14
Pruebas funcionales y ataques de presentación – Máscaras avanzadas El Anexo F11 y la Instrucción Técnica 14
Pruebas funcionales y ataques de presentación – Máscaras avanzadas El Anexo F11 y la Instrucción Técnica 14
Pruebas funcionales y ataques de presentación – Máscaras avanzadas El Anexo F11 y la Instrucción Técnica 14
Pruebas funcionales y ataques de presentación – Maquillaje Objetivo de la prueba: Comprobar que el TOE no es vulnerable a la suplantación de un sujeto fidedigno por parte de un atacante que utilice maquillaje protésico como artefacto. Ataque: Limitado por el coste de las prótesis y el maquillaje. Prerrequisitos: El escenario de ataque contempla que el atacante ha robado el DNI del sujeto fidedigno y ha sido capaz de generar una máscara a partir de una foto del sujeto fidedigno. Posible defensa: ¿?¿?¿?¿?¿?¿? El Anexo F11 y la Instrucción Técnica 14
Pruebas funcionales y ataques de presentación – Maquillaje 28 rostro serio rostro sonriendo El Anexo F11 y la Instrucción Técnica 14
Pruebas funcionales y ataques de presentación – DeepFake Objetivo de la prueba: Comprobar que el TOE no es vulnerable a la suplantación de un sujeto fidedigno por parte de un atacante que utilice herramientas de DeepFake Ataque: Limitado por el parecido máximo según CCN-MATCH. Hay que ejecutarlo en tiempo real. Prerrequisitos: El escenario de ataque contempla que el atacante ha robado el DNI del sujeto fidedigno y ha sido capaz de generar un DeepFake a partir de múltiples fotos del sujeto fidedigno. Posible defensa: Aleatorización de la prueba de vida. Detección de artefactos en la imagen. Evitar la inyección de vídeo / Detectar pantallas. El Anexo F11 y la Instrucción Técnica 14
Validación de documentos DOC.2 Verificar fecha de validez DOC.1 Detectar ataques de replicación e impresión DOC.3 Zona de inspección visual (VIZ) == la MRZ (zona de lectura mecanizada). El Anexo F11 define los requisitos de seguridad esperables en una solución de video identificación: ° Administración confiable ° Identificación y autenticación ° Canales seguros ° Auditoría ° Protección frente a la captura de evidencias ° Verificación biométrica ° Validación de los documentos presentados = Validación de los documentos presentados El Anexo F11 y la Instrucción Técnica 14
Validación de documentos impresión en papel sobre tarjeta de PVC foto del DNI en pantalla recorte de papel sobre foto del DNI El Anexo F11 y la Instrucción Técnica 14
Conclusiones (breves) • Hackear sistemas de video identificación es divertido • Todos los productos que hemos probado son mejorados como resultado de la evaluación • Propuesta española presentada en CEN / TC 224 / WG 18 Biometrics → Se aprobó como Elemento de Trabajo Preliminar (PWI) en diciembre de 2022 • El estado del arte hace difícil (pero no imposible) evitar la inyección de video y el DeepFake • El proceso completo aporta una garantía adicional por la presencia de un operador humano • No esperar más de un sistema automático que de uno manual (e.g. gemelos, maquillajes o DeepFake avanzados, etc) Conclusiones
Extra slide! • El ritmo de avance de estas técnicas es imparable • El coste de atacar es bajo (menos de 100€ con Google Colab Pro+ con una GPU Nvidia A100 y 36-48 horas de entrenamiento) • La actual instrucción técnica requiere mantenimiento continuo para permanecer state-of-art. • Tenemos que seguir subiendo la barrera Conclusiones
MUCHAS GRACIAS
Conclusiones Extra slide! • Un laboratorio podría hacer un deepfake que de 50-60 (pasas los requisitos) y otro podría usar un deepfake más entrenado que de 20- 30 y sería el caso de un ataque más profesional
Pruebas funcionales y ataques de presentación – Ataques de impostor El Anexo F11 y la Instrucción Técnica 14
39 Pruebas funcionales y ataques de presentación – Ataques de impostor El Anexo F11 y la Instrucción Técnica 14

Recomendados

Hacking your jeta.pdf
Hacking your jeta.pdfHacking your jeta.pdf
Hacking your jeta.pdfJavier Tallón
 
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?Javier Tallón
 
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...Javier Tallón
 
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...Ingeniería e Integración Avanzadas (Ingenia)
 
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...Javier Tallón
 
Organización empresas ricardobuendía_presentación_v1
Organización empresas ricardobuendía_presentación_v1Organización empresas ricardobuendía_presentación_v1
Organización empresas ricardobuendía_presentación_v1Ricardo Buendia Iglesias
 
Presentación de anubis
Presentación de anubisPresentación de anubis
Presentación de anubisZink Security
 
Graphic otp generator ultra light 3.2.2_sharpmindsoftware
Graphic otp generator ultra light 3.2.2_sharpmindsoftwareGraphic otp generator ultra light 3.2.2_sharpmindsoftware
Graphic otp generator ultra light 3.2.2_sharpmindsoftwareamaulini
 

Recomendados

Hacking your jeta.pdf
Hacking your jeta.pdfHacking your jeta.pdf
Hacking your jeta.pdfJavier Tallón
 
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?Javier Tallón
 
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...Javier Tallón
 
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...Ingeniería e Integración Avanzadas (Ingenia)
 
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...Javier Tallón
 
Organización empresas ricardobuendía_presentación_v1
Organización empresas ricardobuendía_presentación_v1Organización empresas ricardobuendía_presentación_v1
Organización empresas ricardobuendía_presentación_v1Ricardo Buendia Iglesias
 
Presentación de anubis
Presentación de anubisPresentación de anubis
Presentación de anubisZink Security
 
Graphic otp generator ultra light 3.2.2_sharpmindsoftware
Graphic otp generator ultra light 3.2.2_sharpmindsoftwareGraphic otp generator ultra light 3.2.2_sharpmindsoftware
Graphic otp generator ultra light 3.2.2_sharpmindsoftwareamaulini
 
Webinar Gratuito: "Software Forense"
Webinar Gratuito: "Software Forense"Webinar Gratuito: "Software Forense"
Webinar Gratuito: "Software Forense"Alonso Caballero
 
QA and Security in Development Process
QA and Security in Development ProcessQA and Security in Development Process
QA and Security in Development ProcessRoger CARHUATOCTO
 
Proyecto Pive
Proyecto PiveProyecto Pive
Proyecto PiveJosep Reniu
 
Subsistema Nacional de la Calidad de Colombia
Subsistema Nacional de la Calidad de ColombiaSubsistema Nacional de la Calidad de Colombia
Subsistema Nacional de la Calidad de ColombiaCCEnergía Todos con energía
 
Subsistema nacional de la calidad de colombia - Sical
Subsistema nacional de la calidad de colombia - SicalSubsistema nacional de la calidad de colombia - Sical
Subsistema nacional de la calidad de colombia - SicalCámara Colombiana de la Energía
 
Federico Colas Rubio
Federico Colas RubioFederico Colas Rubio
Federico Colas RubioTecnimap
 
Cámaras de seguridad
Cámaras de seguridadCámaras de seguridad
Cámaras de seguridadcristiangrisales
 
Security in off-shore Application Development
Security in off-shore Application DevelopmentSecurity in off-shore Application Development
Security in off-shore Application DevelopmentConferencias FIST
 
G-OTP - Generador de clave perecedera gráfica
G-OTP - Generador de clave perecedera gráficaG-OTP - Generador de clave perecedera gráfica
G-OTP - Generador de clave perecedera gráficamauromaulinir
 
La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...Javier Tallón
 
Cómo mantener tu producto en el catálogo CPSTIC.
Cómo mantener tu producto en el catálogo CPSTIC.Cómo mantener tu producto en el catálogo CPSTIC.
Cómo mantener tu producto en el catálogo CPSTIC.Javier Tallón
 
Spanish alr swivel ppt v2011. asegur it - 2011
Spanish alr swivel ppt v2011. asegur it - 2011Spanish alr swivel ppt v2011. asegur it - 2011
Spanish alr swivel ppt v2011. asegur it - 2011aremondo
 
Por qué no es suficiente la contraseña
Por qué no es suficiente la contraseñaPor qué no es suficiente la contraseña
Por qué no es suficiente la contraseñaEventos Creativos
 
Carlostondreau
CarlostondreauCarlostondreau
CarlostondreauVane Caballero Ceron
 
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).Miguel A. Amutio
 
Practica 13 ev 1.7 instalacion perifericos de salida de acuerdo a los ma...
Practica 13 ev 1.7 instalacion perifericos de salida de acuerdo a los ma...Practica 13 ev 1.7 instalacion perifericos de salida de acuerdo a los ma...
Practica 13 ev 1.7 instalacion perifericos de salida de acuerdo a los ma...luis javier cruz trejo
 
Acta de constitución
Acta de constituciónActa de constitución
Acta de constituciónJazmineRamoz
 
Sistema de Video Vigilancia para Seguridad Ciudadana - Inicio
Sistema de Video Vigilancia para Seguridad Ciudadana - InicioSistema de Video Vigilancia para Seguridad Ciudadana - Inicio
Sistema de Video Vigilancia para Seguridad Ciudadana - InicioDharma Consulting
 
Infraestructura de clave pública con Software Libre
Infraestructura de clave pública con Software LibreInfraestructura de clave pública con Software Libre
Infraestructura de clave pública con Software LibreToni de la Fuente
 
Introducción a la certificación Common Criteria
Introducción a la certificación Common CriteriaIntroducción a la certificación Common Criteria
Introducción a la certificación Common CriteriaJavier Tallón
 
Evolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio IIEvolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio IIJavier Tallón
 
ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?Javier Tallón
 

Más contenido relacionado

Similar a Cómo evaluar soluciones biométricas para incluir productos de videoidentificación en el catálogo CPSTIC CCN -STIC 105

Webinar Gratuito: "Software Forense"
Webinar Gratuito: "Software Forense"Webinar Gratuito: "Software Forense"
Webinar Gratuito: "Software Forense"Alonso Caballero
 
QA and Security in Development Process
QA and Security in Development ProcessQA and Security in Development Process
QA and Security in Development ProcessRoger CARHUATOCTO
 
Federico Colas Rubio
Federico Colas RubioFederico Colas Rubio
Federico Colas RubioTecnimap
 
Security in off-shore Application Development
Security in off-shore Application DevelopmentSecurity in off-shore Application Development
Security in off-shore Application DevelopmentConferencias FIST
 
G-OTP - Generador de clave perecedera gráfica
G-OTP - Generador de clave perecedera gráficaG-OTP - Generador de clave perecedera gráfica
G-OTP - Generador de clave perecedera gráficamauromaulinir
 
La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...Javier Tallón
 
Cómo mantener tu producto en el catálogo CPSTIC.
Cómo mantener tu producto en el catálogo CPSTIC.Cómo mantener tu producto en el catálogo CPSTIC.
Cómo mantener tu producto en el catálogo CPSTIC.Javier Tallón
 
Spanish alr swivel ppt v2011. asegur it - 2011
Spanish alr swivel ppt v2011. asegur it - 2011Spanish alr swivel ppt v2011. asegur it - 2011
Spanish alr swivel ppt v2011. asegur it - 2011aremondo
 
Por qué no es suficiente la contraseña
Por qué no es suficiente la contraseñaPor qué no es suficiente la contraseña
Por qué no es suficiente la contraseñaEventos Creativos
 
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).Miguel A. Amutio
 
Practica 13 ev 1.7 instalacion perifericos de salida de acuerdo a los ma...
Practica 13 ev 1.7 instalacion perifericos de salida de acuerdo a los ma...Practica 13 ev 1.7 instalacion perifericos de salida de acuerdo a los ma...
Practica 13 ev 1.7 instalacion perifericos de salida de acuerdo a los ma...luis javier cruz trejo
 
Acta de constitución
Acta de constituciónActa de constitución
Acta de constituciónJazmineRamoz
 
Sistema de Video Vigilancia para Seguridad Ciudadana - Inicio
Sistema de Video Vigilancia para Seguridad Ciudadana - InicioSistema de Video Vigilancia para Seguridad Ciudadana - Inicio
Sistema de Video Vigilancia para Seguridad Ciudadana - InicioDharma Consulting
 
Infraestructura de clave pública con Software Libre
Infraestructura de clave pública con Software LibreInfraestructura de clave pública con Software Libre
Infraestructura de clave pública con Software LibreToni de la Fuente
 
Introducción a la certificación Common Criteria
Introducción a la certificación Common CriteriaIntroducción a la certificación Common Criteria
Introducción a la certificación Common CriteriaJavier Tallón
 

Similar a Cómo evaluar soluciones biométricas para incluir productos de videoidentificación en el catálogo CPSTIC CCN -STIC 105 (20)

Webinar Gratuito: "Software Forense"
Webinar Gratuito: "Software Forense"Webinar Gratuito: "Software Forense"
Webinar Gratuito: "Software Forense"
 
QA and Security in Development Process
QA and Security in Development ProcessQA and Security in Development Process
QA and Security in Development Process
 
Proyecto Pive
Proyecto PiveProyecto Pive
Proyecto Pive
 
Subsistema Nacional de la Calidad de Colombia
Subsistema Nacional de la Calidad de ColombiaSubsistema Nacional de la Calidad de Colombia
Subsistema Nacional de la Calidad de Colombia
 
Subsistema nacional de la calidad de colombia - Sical
Subsistema nacional de la calidad de colombia - SicalSubsistema nacional de la calidad de colombia - Sical
Subsistema nacional de la calidad de colombia - Sical
 
Federico Colas Rubio
Federico Colas RubioFederico Colas Rubio
Federico Colas Rubio
 
Cámaras de seguridad
Cámaras de seguridadCámaras de seguridad
Cámaras de seguridad
 
Security in off-shore Application Development
Security in off-shore Application DevelopmentSecurity in off-shore Application Development
Security in off-shore Application Development
 
G-OTP - Generador de clave perecedera gráfica
G-OTP - Generador de clave perecedera gráficaG-OTP - Generador de clave perecedera gráfica
G-OTP - Generador de clave perecedera gráfica
 
La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...
 
Cómo mantener tu producto en el catálogo CPSTIC.
Cómo mantener tu producto en el catálogo CPSTIC.Cómo mantener tu producto en el catálogo CPSTIC.
Cómo mantener tu producto en el catálogo CPSTIC.
 
Spanish alr swivel ppt v2011. asegur it - 2011
Spanish alr swivel ppt v2011. asegur it - 2011Spanish alr swivel ppt v2011. asegur it - 2011
Spanish alr swivel ppt v2011. asegur it - 2011
 
Por qué no es suficiente la contraseña
Por qué no es suficiente la contraseñaPor qué no es suficiente la contraseña
Por qué no es suficiente la contraseña
 
Carlostondreau
CarlostondreauCarlostondreau
Carlostondreau
 
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
 
Practica 13 ev 1.7 instalacion perifericos de salida de acuerdo a los ma...
Practica 13 ev 1.7 instalacion perifericos de salida de acuerdo a los ma...Practica 13 ev 1.7 instalacion perifericos de salida de acuerdo a los ma...
Practica 13 ev 1.7 instalacion perifericos de salida de acuerdo a los ma...
 
Acta de constitución
Acta de constituciónActa de constitución
Acta de constitución
 
Sistema de Video Vigilancia para Seguridad Ciudadana - Inicio
Sistema de Video Vigilancia para Seguridad Ciudadana - InicioSistema de Video Vigilancia para Seguridad Ciudadana - Inicio
Sistema de Video Vigilancia para Seguridad Ciudadana - Inicio
 
Infraestructura de clave pública con Software Libre
Infraestructura de clave pública con Software LibreInfraestructura de clave pública con Software Libre
Infraestructura de clave pública con Software Libre
 
Introducción a la certificación Common Criteria
Introducción a la certificación Common CriteriaIntroducción a la certificación Common Criteria
Introducción a la certificación Common Criteria
 

Más de Javier Tallón

Evolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio IIEvolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio IIJavier Tallón
 
ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?Javier Tallón
 
ICCC23 -The new cryptographic evaluation methodology created by CCN
ICCC23 -The new cryptographic evaluation methodology created by CCNICCC23 -The new cryptographic evaluation methodology created by CCN
ICCC23 -The new cryptographic evaluation methodology created by CCNJavier Tallón
 
Experiences evaluating cloud services and products
Experiences evaluating cloud services and productsExperiences evaluating cloud services and products
Experiences evaluating cloud services and productsJavier Tallón
 
TAICS - Cybersecurity Certification for European Market.pptx
TAICS - Cybersecurity Certification for European Market.pptxTAICS - Cybersecurity Certification for European Market.pptx
TAICS - Cybersecurity Certification for European Market.pptxJavier Tallón
 
EUCA23 - Evolution of cryptographic evaluation in Europe.pdf
EUCA23 - Evolution of cryptographic evaluation in Europe.pdfEUCA23 - Evolution of cryptographic evaluation in Europe.pdf
EUCA23 - Evolution of cryptographic evaluation in Europe.pdfJavier Tallón
 
Evolucionado la evaluación Criptográfica
Evolucionado la evaluación CriptográficaEvolucionado la evaluación Criptográfica
Evolucionado la evaluación CriptográficaJavier Tallón
 
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...Javier Tallón
 
EUCA 22 - Let's harmonize labs competence ISO 19896
EUCA 22 - Let's harmonize labs competence ISO 19896EUCA 22 - Let's harmonize labs competence ISO 19896
EUCA 22 - Let's harmonize labs competence ISO 19896Javier Tallón
 
EUCA22 Panel Discussion: Differences between lightweight certification schemes
EUCA22 Panel Discussion: Differences between lightweight certification schemesEUCA22 Panel Discussion: Differences between lightweight certification schemes
EUCA22 Panel Discussion: Differences between lightweight certification schemesJavier Tallón
 
EUCA22 - Patch Management ISO_IEC 15408 & 18045
EUCA22 - Patch Management ISO_IEC 15408 & 18045EUCA22 - Patch Management ISO_IEC 15408 & 18045
EUCA22 - Patch Management ISO_IEC 15408 & 18045Javier Tallón
 
Cross standard and scheme composition - A needed cornerstone for the European...
Cross standard and scheme composition - A needed cornerstone for the European...Cross standard and scheme composition - A needed cornerstone for the European...
Cross standard and scheme composition - A needed cornerstone for the European...Javier Tallón
 
Is Automation Necessary for the CC Survival?
Is Automation Necessary for the CC Survival?Is Automation Necessary for the CC Survival?
Is Automation Necessary for the CC Survival?Javier Tallón
 
CCCAB tool - Making CABs life easy - Chapter 2
CCCAB tool - Making CABs life easy - Chapter 2CCCAB tool - Making CABs life easy - Chapter 2
CCCAB tool - Making CABs life easy - Chapter 2Javier Tallón
 
2022 CC Statistics report: will this year beat last year's record number of c...
2022 CC Statistics report: will this year beat last year's record number of c...2022 CC Statistics report: will this year beat last year's record number of c...
2022 CC Statistics report: will this year beat last year's record number of c...Javier Tallón
 
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...Javier Tallón
 
Automating Common Criteria
Automating Common Criteria Automating Common Criteria
Automating Common Criteria Javier Tallón
 
CCCAB - Making CABs life easy
CCCAB - Making CABs life easyCCCAB - Making CABs life easy
CCCAB - Making CABs life easyJavier Tallón
 
ICCC21 2021 statistics report
ICCC21 2021 statistics reportICCC21 2021 statistics report
ICCC21 2021 statistics reportJavier Tallón
 
jtsec Arqus Alliance presentation
jtsec Arqus Alliance presentationjtsec Arqus Alliance presentation
jtsec Arqus Alliance presentationJavier Tallón
 

Más de Javier Tallón (20)

Evolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio IIEvolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio II
 
ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?
 
ICCC23 -The new cryptographic evaluation methodology created by CCN
ICCC23 -The new cryptographic evaluation methodology created by CCNICCC23 -The new cryptographic evaluation methodology created by CCN
ICCC23 -The new cryptographic evaluation methodology created by CCN
 
Experiences evaluating cloud services and products
Experiences evaluating cloud services and productsExperiences evaluating cloud services and products
Experiences evaluating cloud services and products
 
TAICS - Cybersecurity Certification for European Market.pptx
TAICS - Cybersecurity Certification for European Market.pptxTAICS - Cybersecurity Certification for European Market.pptx
TAICS - Cybersecurity Certification for European Market.pptx
 
EUCA23 - Evolution of cryptographic evaluation in Europe.pdf
EUCA23 - Evolution of cryptographic evaluation in Europe.pdfEUCA23 - Evolution of cryptographic evaluation in Europe.pdf
EUCA23 - Evolution of cryptographic evaluation in Europe.pdf
 
Evolucionado la evaluación Criptográfica
Evolucionado la evaluación CriptográficaEvolucionado la evaluación Criptográfica
Evolucionado la evaluación Criptográfica
 
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
 
EUCA 22 - Let's harmonize labs competence ISO 19896
EUCA 22 - Let's harmonize labs competence ISO 19896EUCA 22 - Let's harmonize labs competence ISO 19896
EUCA 22 - Let's harmonize labs competence ISO 19896
 
EUCA22 Panel Discussion: Differences between lightweight certification schemes
EUCA22 Panel Discussion: Differences between lightweight certification schemesEUCA22 Panel Discussion: Differences between lightweight certification schemes
EUCA22 Panel Discussion: Differences between lightweight certification schemes
 
EUCA22 - Patch Management ISO_IEC 15408 & 18045
EUCA22 - Patch Management ISO_IEC 15408 & 18045EUCA22 - Patch Management ISO_IEC 15408 & 18045
EUCA22 - Patch Management ISO_IEC 15408 & 18045
 
Cross standard and scheme composition - A needed cornerstone for the European...
Cross standard and scheme composition - A needed cornerstone for the European...Cross standard and scheme composition - A needed cornerstone for the European...
Cross standard and scheme composition - A needed cornerstone for the European...
 
Is Automation Necessary for the CC Survival?
Is Automation Necessary for the CC Survival?Is Automation Necessary for the CC Survival?
Is Automation Necessary for the CC Survival?
 
CCCAB tool - Making CABs life easy - Chapter 2
CCCAB tool - Making CABs life easy - Chapter 2CCCAB tool - Making CABs life easy - Chapter 2
CCCAB tool - Making CABs life easy - Chapter 2
 
2022 CC Statistics report: will this year beat last year's record number of c...
2022 CC Statistics report: will this year beat last year's record number of c...2022 CC Statistics report: will this year beat last year's record number of c...
2022 CC Statistics report: will this year beat last year's record number of c...
 
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
 
Automating Common Criteria
Automating Common Criteria Automating Common Criteria
Automating Common Criteria
 
CCCAB - Making CABs life easy
CCCAB - Making CABs life easyCCCAB - Making CABs life easy
CCCAB - Making CABs life easy
 
ICCC21 2021 statistics report
ICCC21 2021 statistics reportICCC21 2021 statistics report
ICCC21 2021 statistics report
 
jtsec Arqus Alliance presentation
jtsec Arqus Alliance presentationjtsec Arqus Alliance presentation
jtsec Arqus Alliance presentation
 

Cómo evaluar soluciones biométricas para incluir productos de videoidentificación en el catálogo CPSTIC CCN -STIC 105

  • 1. ¿Cómo evaluar soluciones biométricas para incluir productos de videoidentificación en el catálogo CPSTIC / CCN STIC-105
  • 2. 1. LINCE, ENCSTI, CPSTIC y otras hierbas 2. Los sistemas de vídeo identificación en el MundoReal ® 3. El anexo F11 y la Instrucción Técnica 14 4. Conclusiones ÍNDICE
  • 3. ¿Quién es quién? autoriza evalúa es incluido Laboratorio acreditado define requisitos de seguridad 2 1 3 4 LINCE, ENECSTI, CPSTIC y otras hierbas
  • 4. Un caso de uso particular: las herramientas de videoidentificación La emergencia sanitaria generada por la crisis de la COVID-19 ha exigido durante el estado de alarma el confinamiento de la ciudadanía y la drástica limitación de los desplazamientos personales, con vistas a frenar el crecimiento de los contagios. De forma transitoria y excepcional, a través de la disposición adicional undécima del Real Decreto-ley 11/2020, de 31 de marzo, por el que se adoptan medidas urgentes complementarias en el ámbito social y económico para hacer frente a la COVID-19, se habilitó un sistema temporal de identificación remota para la obtención de certificados cualificados, con el fin de contribuir a reducir los desplazamientos de los ciudadanos para realizar trámites, sin mermar sus derechos. Con el fin de implantar de forma permanente y con plena seguridad jurídica dicha posibilidad, el artículo 7.2 de la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza, habilita a que mediante orden ministerial de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinen las condiciones y requisitos técnicos de verificación de la identidad a distancia y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación como videoconferencia o vídeo-identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física, que permitan la implantación de los citados métodos por parte de los prestadores de servicios electrónicos de confianza, en razón de las especificidades propias de este sector y las obligaciones de seguridad a que están sujetos los prestadores cualificados LINCE, ENECSTI, CPSTIC y otras hierbas
  • 5. Un caso de uso particular: las herramientas de videoidentificación … Empleará un producto de identificación remota por vídeo que cumpla los requisitos mínimos de seguridad indicados en el anexo F.11 de la Guía de Seguridad de las TIC CCN-STIC-140, del Centro Criptológico Nacional de categoría alta. El prestador cualificado deberá seguir las indicaciones de configuración y uso seguro del producto. El cumplimiento de dicha obligación deberá ser certificado siguiendo metodologías de evaluación reconocidas por el Organismo de Certificación del ENECSTI (Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información), por un organismo acreditado según la norma ISO/IEC 17065. No obstante, en caso de indisponibilidad de metodologías de evaluación aplicables para la certificación del producto, se admitirá la acreditación de cumplimiento de la citada obligación mediante la evaluación de su seguridad e inclusión en el listado de productos cualificados del Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación (Guía de Seguridad de las TIC CCN-STIC-105) publicado por el Centro Criptológico Nacional. … LINCE, ENECSTI, CPSTIC y otras hierbas
  • 6. LINCE LINCE es una metodología de evaluación y certificación para productos de seguridad TIC desarrollada por el Centro Criptológico Nacional enfocada en el análisis de vulnerabilidades y las pruebas de penetración. Se ha desarrollado para ser un medio objetivo que permita valorar y acreditar la capacidad de un producto TIC para manejar información de forma segura. A diferencia de otras certificaciones, como Common Criteria, la evaluación LINCE se realiza dentro de un tiempo y esfuerzo bien acotados. De esta forma, los costes son accesibles para todo tipo de fabricantes. LINCE Básica: 25 días de esfuerzo, 8 semanas de duración 5 días de esfuerzo, 2 semanas de duración por cada módulo adicional: + Módulo MEC: Evaluación criptográfica + Módulo MCF: Análisis de código fuente + Módulo MEB: Evaluación Biométrica “El CCN proporcionará las instrucciones técnicas y guías que se deben seguir para realizar la evaluación de cada una de las modalidades biométricas” LINCE, ENECSTI, CPSTIC y otras hierbas
  • 7. Casos de uso • Apertura de cuentas bancarias mediante firma electrónica cualificada en toda la UE • Aprobación de operaciones entre la entidad y el consumidor en otros servicios financieros • Procesos de firma electrónica cualificada disponibles en plataforma online, destinado a ser usado por PYMES. Los sistemas de video identificación en el MundoReal®
  • 8. Inyección de video El Anexo F11 define los requisitos de seguridad esperables en una solución de video identificación: ° Administración confiable ° Identificación y autenticación ° Canales seguros ° Auditoría ° Protección frente a la captura de evidencias ° Verificación biométrica ° Validación de los documentos presentados = Protección frente a la captura de evidencias GEN.2 Grabación en directo GEN.1 Acto secuencial El Anexo F11 y la Instrucción Técnica 14
  • 9. Inyección de video El dispositivo de captura de video (la webcam) está bajo el control del sistema operativo, dos escenarios posibles: Navegador web en PC Aplicación nativa Servidor de video identificación El Anexo F11 y la Instrucción Técnica 14
  • 10. Inyección de video OBS es tu amigo Soluciones implementadas por algunos fabricantes: - Detección del nombre de la cámara o del número de cámaras - Al ejecutarse el código en el navegador, manipular las peticiones suele ser trivial El Anexo F11 y la Instrucción Técnica 14
  • 11. Inyección de video - Ninguna herramienta disponible - Pequeña prueba de concepto usando Frida e interceptando y reemplazando el buffer de la cámara El Anexo F11 y la Instrucción Técnica 14
  • 12.
  • 13. Inyección de video Defenderse es complejo. Hay que garantizar que la petición viene de un dispositivo no comprometido: - Certificate pinning - Peticiones firmadas - Detección de jailbreak - Criptografía de caja blanca / Ofuscación - Android SafetyNet + Hardware attestation // iOS AppAttest El Anexo F11 y la Instrucción Técnica 14
  • 14. Pruebas funcionales y ataques de presentación SOL.2 Detección de vida Foto del documento SOL.1 Verificación biométrica facial vs Imagen capturada SOL.3 Mecanismos de detección de ataques de presentación El Anexo F11 define los requisitos de seguridad esperables en una solución de video identificación: ° Administración confiable ° Identificación y autenticación ° Canales seguros ° Auditoría ° Protección frente a la captura de evidencias ° Verificación biométrica ° Validación de los documentos presentados = Verificación biométrica El Anexo F11 y la Instrucción Técnica 14
  • 15. Pruebas funcionales y ataques de presentación – Setup de pruebas - Elgato HD60 X Capturadora de vídeo externa - Caja Razer Core X + GEForce RTX 3080 Trinity OC LHR 10GB 320BIT GDDR6x - TV Samsung QLED UltraHD 4K HDR10+ 75” - Webcam Logitech C920e - Maquillaje - Máscaras - CCN Match - DeepFaceLab: Framework Open Source para facilitar la creación de deepfakes. - DeepFaceLive: Framework Open Source para ejecutar deepfakes en tiempo real. - Google Colab: Integración de Jupyter Notebooks en la nube por parte de Google. El Anexo F11 y la Instrucción Técnica 14
  • 16. Pruebas funcionales y ataques de presentación – Pruebas funcionales Face Recognition Vendor Test (FRVT) en la categoría VISABORDER del NIST con una tasa de FNMR (False Non Match Rate) menor o igual a 5% para un FMR (False Match Rate) de menor o igual a 1/1000000. Comprobar que el producto funciona correctamente en los casos habituales de uso, suponiendo un uso cooperativo por parte del sujeto fidedigno. El Anexo F11 y la Instrucción Técnica 14
  • 17. Pruebas funcionales y ataques de presentación – Ataques de impostor Parecidos razonables El Anexo F11 y la Instrucción Técnica 14
  • 18. Pruebas funcionales y ataques de presentación – Ataques de impostor El Anexo F11 y la Instrucción Técnica 14
  • 19. Objetivo de la prueba: Comprobar que el producto no es vulnerable a la suplantación de un sujeto fidedigno por parte de un atacante que utilice un vídeo de un sujeto fidedigno. Ataque: Reproducimos un video del sujeto fidedigno en la TV de 75” realizando una identificación de manera correcta. Prerrequisitos: El escenario de ataque contempla que el atacante ha robado el DNI del sujeto fidedigno y ha sido capaz de grabar una prueba de vida del usuario. Posible defensa: Aleatorización de la prueba de vida. Pruebas funcionales y ataques de presentación – Video en pantalla El Anexo F11 y la Instrucción Técnica 14
  • 20.
  • 21. El Anexo F11 y la Instrucción Técnica 14 Objetivo de la prueba: Comprobar que el producto no es vulnerable a la suplantación de un sujeto fidedigno por parte de un atacante que utilice una máscara de bajo coste como artefacto. Ataque: Utilizamos dos tipos de máscaras: - Máscara impresa en papel - Máscara “segunda piel” El atacante tiene que taparse la boca para simular la prueba de vida del producto (sonreír). Prerrequisitos: El escenario de ataque contempla que el atacante ha robado el DNI del sujeto fidedigno y ha sido capaz de generar una máscara de bajo coste a partir de una foto del sujeto fidedigno. Posible defensa: Aleatorización de la prueba de vida. Detección de brillos. Pruebas funcionales y ataques de presentación – Máscaras de bajo coste El Anexo F11 y la Instrucción Técnica 14
  • 22.
  • 23. Pruebas funcionales y ataques de presentación – Máscaras avanzadas Objetivo de la prueba: Comprobar que el TOE no es vulnerable a la suplantación de un sujeto fidedigno por parte de un atacante que utilice una máscara avanzada como artefacto. Ataque: Limitado por el coste de las máscaras. Dos máscaras para todos los laboratorios (~800€ c/u). El CNP genera especímenes de DNI para realizar la prueba. El atacante tiene que taparse la boca para simular la prueba de vida del producto (sonreír). Prerrequisitos: El escenario de ataque contempla que el atacante ha robado el DNI del sujeto fidedigno y ha sido capaz de generar una máscara avanzada a partir de una foto del sujeto fidedigno. Posible defensa: Aleatorización de la prueba de vida. Detección de pesadillas. http://www.barbatosfx. com/ https://www.etsy.com/jp/shop/maskshopOMOT E El Anexo F11 y la Instrucción Técnica 14
  • 24. Pruebas funcionales y ataques de presentación – Máscaras avanzadas El Anexo F11 y la Instrucción Técnica 14
  • 25. Pruebas funcionales y ataques de presentación – Máscaras avanzadas El Anexo F11 y la Instrucción Técnica 14
  • 26. Pruebas funcionales y ataques de presentación – Máscaras avanzadas El Anexo F11 y la Instrucción Técnica 14
  • 27. Pruebas funcionales y ataques de presentación – Maquillaje Objetivo de la prueba: Comprobar que el TOE no es vulnerable a la suplantación de un sujeto fidedigno por parte de un atacante que utilice maquillaje protésico como artefacto. Ataque: Limitado por el coste de las prótesis y el maquillaje. Prerrequisitos: El escenario de ataque contempla que el atacante ha robado el DNI del sujeto fidedigno y ha sido capaz de generar una máscara a partir de una foto del sujeto fidedigno. Posible defensa: ¿?¿?¿?¿?¿?¿? El Anexo F11 y la Instrucción Técnica 14
  • 28. Pruebas funcionales y ataques de presentación – Maquillaje 28 rostro serio rostro sonriendo El Anexo F11 y la Instrucción Técnica 14
  • 29.
  • 30. Pruebas funcionales y ataques de presentación – DeepFake Objetivo de la prueba: Comprobar que el TOE no es vulnerable a la suplantación de un sujeto fidedigno por parte de un atacante que utilice herramientas de DeepFake Ataque: Limitado por el parecido máximo según CCN-MATCH. Hay que ejecutarlo en tiempo real. Prerrequisitos: El escenario de ataque contempla que el atacante ha robado el DNI del sujeto fidedigno y ha sido capaz de generar un DeepFake a partir de múltiples fotos del sujeto fidedigno. Posible defensa: Aleatorización de la prueba de vida. Detección de artefactos en la imagen. Evitar la inyección de vídeo / Detectar pantallas. El Anexo F11 y la Instrucción Técnica 14
  • 31.
  • 32. Validación de documentos DOC.2 Verificar fecha de validez DOC.1 Detectar ataques de replicación e impresión DOC.3 Zona de inspección visual (VIZ) == la MRZ (zona de lectura mecanizada). El Anexo F11 define los requisitos de seguridad esperables en una solución de video identificación: ° Administración confiable ° Identificación y autenticación ° Canales seguros ° Auditoría ° Protección frente a la captura de evidencias ° Verificación biométrica ° Validación de los documentos presentados = Validación de los documentos presentados El Anexo F11 y la Instrucción Técnica 14
  • 33. Validación de documentos impresión en papel sobre tarjeta de PVC foto del DNI en pantalla recorte de papel sobre foto del DNI El Anexo F11 y la Instrucción Técnica 14
  • 34. Conclusiones (breves) • Hackear sistemas de video identificación es divertido • Todos los productos que hemos probado son mejorados como resultado de la evaluación • Propuesta española presentada en CEN / TC 224 / WG 18 Biometrics → Se aprobó como Elemento de Trabajo Preliminar (PWI) en diciembre de 2022 • El estado del arte hace difícil (pero no imposible) evitar la inyección de video y el DeepFake • El proceso completo aporta una garantía adicional por la presencia de un operador humano • No esperar más de un sistema automático que de uno manual (e.g. gemelos, maquillajes o DeepFake avanzados, etc) Conclusiones
  • 35. Extra slide! • El ritmo de avance de estas técnicas es imparable • El coste de atacar es bajo (menos de 100€ con Google Colab Pro+ con una GPU Nvidia A100 y 36-48 horas de entrenamiento) • La actual instrucción técnica requiere mantenimiento continuo para permanecer state-of-art. • Tenemos que seguir subiendo la barrera Conclusiones
  • 37. Conclusiones Extra slide! • Un laboratorio podría hacer un deepfake que de 50-60 (pasas los requisitos) y otro podría usar un deepfake más entrenado que de 20- 30 y sería el caso de un ataque más profesional
  • 38. Pruebas funcionales y ataques de presentación – Ataques de impostor El Anexo F11 y la Instrucción Técnica 14
  • 39. 39 Pruebas funcionales y ataques de presentación – Ataques de impostor El Anexo F11 y la Instrucción Técnica 14