SlideShare una empresa de Scribd logo
Hacking your jeta!
Burlandosistemasdevideoidentificación
jtsecisnowpartof
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
2
Javier Tallón
Director técnico
jtallon@jtsec.es
@javiertallon
More than 15 years in IT Security
Full-stack hacker wannabe
CONTENIDO
1. LINCE, ENECSTI, CPSTIC y otras hierbas
2. Los sistemas de video identificación en el MundoReal®
3. El Anexo F11 y la Instrucción Técnica 14
1. Inyección de video
2. Pruebas funcionales y ataques de presentación
3. Validación de documentos
4. Conclusiones
CONTENIDO
1. LINCE, ENECSTI, CPSTIC y otras hierbas
2. Los sistemas de video identificación en el MundoReal®
3. El Anexo F11 y la Instrucción Técnica 14
1. Inyección de video
2. Pruebas funcionales y ataques de presentación
3. Validación de documentos
4. Conclusiones
LINCE, ENECSTI, CPSTIC y otras hierbas
¿Quién es quién?
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
5
autoriza
evalúa
es
incluido
Laboratorio
acreditado define requisitos de seguridad
2
1
3
4
LINCE, ENECSTI, CPSTIC y otras hierbas
Un caso de uso particular: las herramientas de videoidentificación
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
6
La emergencia sanitaria generada por la crisis de la COVID-19 ha exigido durante
el estado de alarma el confinamiento de la ciudadanía y la drástica limitación de
los desplazamientos personales, con vistas a frenar el crecimiento de los
contagios. De forma transitoria y excepcional, a través de la disposición adicional
undécima del Real Decreto-ley 11/2020, de 31 de marzo, por el que se adoptan
medidas urgentes complementarias en el ámbito social y económico para hacer
frente a la COVID-19, se habilitó un sistema temporal de identificación remota
para la obtención de certificados cualificados, con el fin de contribuir a reducir
los desplazamientos de los ciudadanos para realizar trámites, sin mermar sus
derechos.
Con el fin de implantar de forma permanente y con plena seguridad jurídica dicha
posibilidad, el artículo 7.2 de la Ley 6/2020, de 11 de noviembre, reguladora de
determinados aspectos de los servicios electrónicos de confianza, habilita a que
mediante orden ministerial de la persona titular del Ministerio de Asuntos
Económicos y Transformación Digital se determinen las condiciones y requisitos
técnicos de verificación de la identidad a distancia y, si procede, otros atributos
específicos de la persona solicitante de un certificado cualificado, mediante otros
métodos de identificación como videoconferencia o vídeo-identificación que
aporten una seguridad equivalente en términos de fiabilidad a la presencia física,
que permitan la implantación de los citados métodos por parte de los
prestadores de servicios electrónicos de confianza, en razón de las
especificidades propias de este sector y las obligaciones de seguridad a que
están sujetos los prestadores cualificados
LINCE, ENECSTI, CPSTIC y otras hierbas
Un caso de uso particular: las herramientas de videoidentificación
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
7
…
Empleará un producto de identificación remota por vídeo que cumpla los
requisitos mínimos de seguridad indicados en el anexo F.11 de la Guía de
Seguridad de las TIC CCN-STIC-140, del Centro Criptológico Nacional de
categoría alta. El prestador cualificado deberá seguir las indicaciones de
configuración y uso seguro del producto. El cumplimiento de dicha obligación
deberá ser certificado siguiendo metodologías de evaluación reconocidas por el
Organismo de Certificación del ENECSTI (Esquema Nacional de Evaluación y
Certificación de la Seguridad de las Tecnologías de la Información), por un
organismo acreditado según la norma ISO/IEC 17065.
No obstante, en caso de indisponibilidad de metodologías de evaluación
aplicables para la certificación del producto, se admitirá la acreditación de
cumplimiento de la citada obligación mediante la evaluación de su seguridad e
inclusión en el listado de productos cualificados del Catálogo de Productos y
Servicios de Seguridad de las Tecnologías de la Información y la Comunicación
(Guía de Seguridad de las TIC CCN-STIC-105) publicado por el Centro Criptológico
Nacional.
…
LINCE, ENECSTI, CPSTIC y otras hierbas
LINCE
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
8
LINCE es una metodología de evaluación y certificación para productos de seguridad TIC desarrollada por
el Centro Criptológico Nacional enfocada en el análisis de vulnerabilidades y las pruebas de penetración.
Se ha desarrollado para ser un medio objetivo que permita valorar y acreditar la capacidad de un producto
TIC para manejar información de forma segura.
A diferencia de otras certificaciones, como Common Criteria, la evaluación LINCE se realiza dentro de un
tiempo y esfuerzo bien acotados. De esta forma, los costes son accesibles para todo tipo de fabricantes.
LINCE Básica: 25 días de esfuerzo, 8 semanas de duración
5 días de esfuerzo, 2 semanas de duración por cada módulo adicional:
+ Módulo MEC: Evaluación criptográfica
+ Módulo MCF: Análisis de código fuente
+ Módulo MEB: Evaluación Biométrica
“El CCN proporcionará las instrucciones técnicas y guías que se
deben seguir para realizar la evaluación de cada una de las
modalidades biométricas”
CONTENIDO
1. LINCE, ENECSTI, CPSTIC y otras hierbas
2. Los sistemas de video identificación en el MundoReal®
3. El Anexo F11 y la Instrucción Técnica 14
1. Inyección de video
2. Pruebas funcionales y ataques de presentación
3. Validación de documentos
4. Conclusiones
Los sistemas de video
identificación en el MundoReal®
Casos de uso
• Apertura de cuentas bancarias mediante firma
electrónica cualificada en toda la UE
• Aprobación de operaciones entre la entidad y el
consumidor en otros servicios financieros
• Procesos de firma electrónica cualificada disponibles
en plataforma online, destinado a ser usado por
PYMES.
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
10
CONTENIDO
1. LINCE, ENECSTI, CPSTIC y otras hierbas
2. Los sistemas de video identificación en el MundoReal®
3. El Anexo F11 y la Instrucción Técnica 14
1. Inyección de video
2. Pruebas funcionales y ataques de presentación
3. Validación de documentos
4. Conclusiones
El Anexo F11 y la Instrucción Técnica 14
Inyección de video
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
El Anexo F11 define los requisitos de seguridad esperables en una solución de video identificación:
° Administración confiable ° Identificación y autenticación ° Canales seguros ° Auditoría
° Protección frente a la captura de evidencias ° Verificación biométrica
° Validación de los documentos presentados
=
Protección frente a la captura de evidencias
GEN.2
Grabación en directo
GEN.1
Acto secuencial
12
El Anexo F11 y la Instrucción Técnica 14
Inyección de video
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
El dispositivo de captura de video (la webcam) está bajo el control del sistema operativo, dos escenarios posibles:
Navegador web
en PC
Aplicación
nativa
Servidor de video identificación
13
El Anexo F11 y la Instrucción Técnica 14
Inyección de video
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
OBS es tu amigo
Soluciones implementadas por algunos fabricantes:
- Detección del nombre de la cámara o del número de cámaras
- Al ejecutarse el código en el navegador, manipular las
peticiones suele ser trivial
14
El Anexo F11 y la Instrucción Técnica 14
Inyección de video
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
- Ninguna herramienta disponible
- Pequeña prueba de concepto usando Frida e interceptando y
reemplazando el buffer de la cámara
15
El Anexo F11 y la Instrucción Técnica 14
Inyección de video
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
Defenderse es complejo. Hay que garantizar que la petición viene
de un dispositivo no comprometido:
- Certificate pinning
- Peticiones firmadas
- Detección de jailbreak
- Criptografía de caja blanca / Ofuscación
- Android SafetyNet + Hardware attestation // iOS AppAttest
17
El Anexo F11 y la Instrucción Técnica 14
Pruebas funcionales y ataques de presentación
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
SOL.2
Detección de vida
Foto del documento
SOL.1
Verificación biométrica
facial
vs
Imagen capturada
SOL.3
Mecanismos de detección
de ataques de presentación
El Anexo F11 define los requisitos de seguridad esperables en una solución de video identificación:
° Administración confiable ° Identificación y autenticación ° Canales seguros ° Auditoría
° Protección frente a la captura de evidencias ° Verificación biométrica
° Validación de los documentos presentados
=
Verificación biométrica
El Anexo F11 y la Instrucción Técnica 14
Pruebas funcionales y ataques de presentación – Setup de pruebas
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
- Elgato HD60 X Capturadora de vídeo externa
- Caja Razer Core X + GEForce RTX 3080 Trinity OC LHR 10GB
320BIT GDDR6x
- TV Samsung QLED UltraHD 4K HDR10+ 75”
- Webcam Logitech C920e
- Maquillaje
- Máscaras
19
- CCN Match
- DeepFaceLab: Framework Open Source para facilitar la creación de deepfakes.
- DeepFaceLive: Framework Open Source para ejecutar deepfakes en tiempo real.
- Google Colab: Integración de Jupyter Notebooks en la nube por parte de Google.
El Anexo F11 y la Instrucción Técnica 14
Pruebas funcionales y ataques de presentación – Pruebas funcionales
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
20
Face Recognition Vendor Test (FRVT) en la categoría
VISABORDER del NIST con una tasa de FNMR (False Non
Match Rate) menor o igual a 5% para un FMR (False Match
Rate) de menor o igual a 1/1000000.
Comprobar que el producto funciona correctamente
en los casos habituales de uso, suponiendo un uso
cooperativo por parte del sujeto fidedigno.
21
El Anexo F11 y la Instrucción Técnica 14
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
Pruebas funcionales y ataques de presentación – Ataques de impostor
Parecidos razonables
22
El Anexo F11 y la Instrucción Técnica 14
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
Pruebas funcionales y ataques de presentación – Ataques de impostor
El Anexo F11 y la Instrucción Técnica 14
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
Objetivo de la prueba: Comprobar que el producto no es vulnerable a la
suplantación de un sujeto fidedigno por parte de un atacante que utilice un
vídeo de un sujeto fidedigno.
Ataque: Reproducimos un video del sujeto fidedigno en la TV de 75”
realizando una identificación de manera correcta.
Prerrequisitos: El escenario de ataque contempla que el atacante ha
robado el DNI del sujeto fidedigno y ha sido capaz de grabar una prueba
de vida del usuario.
Posible defensa: Aleatorización de la prueba de vida.
Pruebas funcionales y ataques de presentación – Video en pantalla
23
25
El Anexo F11 y la Instrucción Técnica 14
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
Objetivo de la prueba: Comprobar que el producto no es vulnerable a la
suplantación de un sujeto fidedigno por parte de un atacante que utilice una
máscara de bajo coste como artefacto.
Ataque: Utilizamos dos tipos de máscaras:
- Máscara impresa en papel
- Máscara “segunda piel”
El atacante tiene que taparse la boca para simular la prueba de vida del producto
(sonreír).
Prerrequisitos: El escenario de ataque contempla que el atacante ha robado el
DNI del sujeto fidedigno y ha sido capaz de generar una máscara de bajo coste a
partir de una foto del sujeto fidedigno.
Posible defensa: Aleatorización de la prueba de vida. Detección de brillos.
Pruebas funcionales y ataques de presentación – Máscaras de bajo coste
El Anexo F11 y la Instrucción Técnica 14
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
Pruebas funcionales y ataques de presentación – Máscaras avanzadas
27
Objetivo de la prueba: Comprobar que el TOE no es vulnerable a la suplantación
de un sujeto fidedigno por parte de un atacante que utilice una máscara
avanzada como artefacto.
Ataque: Limitado por el coste de las máscaras. Dos máscaras para todos los
laboratorios (~800€ c/u). El CNP genera especímenes de DNI para realizar la
prueba.
El atacante tiene que taparse la boca para simular la prueba de vida del producto
(sonreír).
Prerrequisitos: El escenario de ataque contempla que el atacante ha robado el
DNI del sujeto fidedigno y ha sido capaz de generar una máscara avanzada a
partir de una foto del sujeto fidedigno.
Posible defensa: Aleatorización de la prueba de vida. Detección de pesadillas.
http://www.barbatosfx.
com/
https://www.etsy.com/jp/shop/maskshopOMOT
E
El Anexo F11 y la Instrucción Técnica 14
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
Pruebas funcionales y ataques de presentación – Máscaras avanzadas
28
El Anexo F11 y la Instrucción Técnica 14
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
Pruebas funcionales y ataques de presentación – Máscaras avanzadas
29
El Anexo F11 y la Instrucción Técnica 14
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
Pruebas funcionales y ataques de presentación – Máscaras avanzadas
30
El Anexo F11 y la Instrucción Técnica 14
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
Pruebas funcionales y ataques de presentación – Maquillaje
Objetivo de la prueba: Comprobar que el TOE no es vulnerable a la
suplantación de un sujeto fidedigno por parte de un atacante que
utilice maquillaje protésico como artefacto.
Ataque: Limitado por el coste de las prótesis y el maquillaje.
Prerrequisitos: El escenario de ataque contempla que el atacante ha
robado el DNI del sujeto fidedigno y ha sido capaz de generar una
máscara a partir de una foto del sujeto fidedigno.
Posible defensa: ¿?¿?¿?¿?¿?¿?
31
El Anexo F11 y la Instrucción Técnica 14
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
Pruebas funcionales y ataques de presentación – Maquillaje
32
rostro serio rostro sonriendo
El Anexo F11 y la Instrucción Técnica 14
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
Pruebas funcionales y ataques de presentación – DeepFake
34
Objetivo de la prueba: Comprobar que el TOE no es vulnerable a la suplantación
de un sujeto fidedigno por parte de un atacante que utilice herramientas de
DeepFake
Ataque: Limitado por el parecido máximo según CCN-MATCH. Hay que
ejecutarlo en tiempo real.
Prerrequisitos: El escenario de ataque contempla que el atacante ha robado el
DNI del sujeto fidedigno y ha sido capaz de generar un DeepFake a partir de
múltiples fotos del sujeto fidedigno.
Posible defensa: Aleatorización de la prueba de vida. Detección de artefactos en
la imagen. Evitar la inyección de vídeo / Detectar pantallas.
CONTENIDO
1. LINCE, ENECSTI, CPSTIC y otras hierbas
2. Los sistemas de video identificación en el MundoReal®
3. El Anexo F11 y la Instrucción Técnica 14
1. Inyección de video
2. Pruebas funcionales y ataques de presentación
3. Validación de documentos
4. Conclusiones
El Anexo F11 y la Instrucción Técnica 14
Validación de documentos
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
DOC.2
Verificar fecha de validez
DOC.1
Detectar ataques de
replicación e impresión
DOC.3
Zona de
inspección visual (VIZ) ==
la MRZ (zona de lectura
mecanizada).
El Anexo F11 define los requisitos de seguridad esperables en una solución de video identificación:
° Administración confiable ° Identificación y autenticación ° Canales seguros ° Auditoría
° Protección frente a la captura de evidencias ° Verificación biométrica
° Validación de los documentos presentados
=
Validación de los
documentos presentados
El Anexo F11 y la Instrucción Técnica 14
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
Validación de documentos
impresión en papel sobre tarjeta de PVC foto del DNI en pantalla
recorte de papel
sobre foto del DNI 38
CONTENIDO
1. LINCE, ENECSTI, CPSTIC y otras hierbas
2. Los sistemas de video identificación en el MundoReal®
3. El Anexo F11 y la Instrucción Técnica 14
1. Inyección de video
2. Pruebas funcionales y ataques de presentación
3. Validación de documentos
4. Conclusiones
Conclusiones
(breves)
• Hackear sistemas de video identificación es divertido
• Todos los productos que hemos probado son
mejorados como resultado de la evaluación
• IT13 → Futura norma europea
• El estado del arte hace difícil (pero no imposible) evitar
la inyección de video y el DeepFake
• El proceso completo aporta una garantía adicional por
la presencia de un operador humano
• No esperar más de un sistema automático que de uno
manual (e.g. gemelos, maquillajes o DeepFake
avanzados, etc)
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
40
Hacking your jeta!
Burlandosistemasdevideoidentificación
jtsecisnowpartof
42
El Anexo F11 y la Instrucción Técnica 14
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
Pruebas funcionales y ataques de presentación – Ataques de impostor
43
El Anexo F11 y la Instrucción Técnica 14
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
Pruebas funcionales y ataques de presentación – Ataques de impostor

Más contenido relacionado

Similar a Hacking your jeta.pdf

Proyecto Pive
Proyecto PiveProyecto Pive
Proyecto Pive
Josep Reniu
 
Voip2day video conferencia grado militar usando software libre
Voip2day   video conferencia grado militar usando software libreVoip2day   video conferencia grado militar usando software libre
Voip2day video conferencia grado militar usando software libre
Fernando Villares
 
Por qué no es suficiente la contraseña
Por qué no es suficiente la contraseñaPor qué no es suficiente la contraseña
Por qué no es suficiente la contraseña
Eventos Creativos
 
Spanish alr swivel ppt v2011. asegur it - 2011
Spanish alr swivel ppt v2011. asegur it - 2011Spanish alr swivel ppt v2011. asegur it - 2011
Spanish alr swivel ppt v2011. asegur it - 2011
aremondo
 
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
 IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
Ingeniería e Integración Avanzadas (Ingenia)
 
Material rap3
Material rap3Material rap3
Material rap3
carlos martinez
 
La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...
Javier Tallón
 
Graphic otp generator ultra light 3.2.2_sharpmindsoftware
Graphic otp generator ultra light 3.2.2_sharpmindsoftwareGraphic otp generator ultra light 3.2.2_sharpmindsoftware
Graphic otp generator ultra light 3.2.2_sharpmindsoftware
amaulini
 
Subsistema Nacional de la Calidad de Colombia
Subsistema Nacional de la Calidad de ColombiaSubsistema Nacional de la Calidad de Colombia
Subsistema Nacional de la Calidad de Colombia
CCEnergía Todos con energía
 
Subsistema nacional de la calidad de colombia - Sical
Subsistema nacional de la calidad de colombia - SicalSubsistema nacional de la calidad de colombia - Sical
Subsistema nacional de la calidad de colombia - Sical
Cámara Colombiana de la Energía
 
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...
Javier Tallón
 
Cómo mantener tu producto en el catálogo CPSTIC.
Cómo mantener tu producto en el catálogo CPSTIC.Cómo mantener tu producto en el catálogo CPSTIC.
Cómo mantener tu producto en el catálogo CPSTIC.
Javier Tallón
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
Internet Security Auditors
 
Presentación de anubis
Presentación de anubisPresentación de anubis
Presentación de anubis
Zink Security
 
Experiencia NYCE S.C. en servicios de T.I.
Experiencia NYCE S.C. en servicios de T.I.Experiencia NYCE S.C. en servicios de T.I.
Experiencia NYCE S.C. en servicios de T.I.
NYCE
 
OFIN: Proyecto seguridad del producto software
OFIN: Proyecto seguridad del producto softwareOFIN: Proyecto seguridad del producto software
OFIN: Proyecto seguridad del producto software
Jack Daniel Cáceres Meza
 
G-OTP - Generador de clave perecedera gráfica
G-OTP - Generador de clave perecedera gráficaG-OTP - Generador de clave perecedera gráfica
G-OTP - Generador de clave perecedera gráfica
mauromaulinir
 
La Mesa Sectorial como estrategia para el Fortalecimiento del Capital Humano ...
La Mesa Sectorial como estrategia para el Fortalecimiento del Capital Humano ...La Mesa Sectorial como estrategia para el Fortalecimiento del Capital Humano ...
La Mesa Sectorial como estrategia para el Fortalecimiento del Capital Humano ...
Finding Technology Company
 
Infraestructura de clave pública con Software Libre
Infraestructura de clave pública con Software LibreInfraestructura de clave pública con Software Libre
Infraestructura de clave pública con Software Libre
Toni de la Fuente
 
Cyberconference - Evidencia digital
Cyberconference - Evidencia digital Cyberconference - Evidencia digital
Cyberconference - Evidencia digital
Héctor Revelo Herrera
 

Similar a Hacking your jeta.pdf (20)

Proyecto Pive
Proyecto PiveProyecto Pive
Proyecto Pive
 
Voip2day video conferencia grado militar usando software libre
Voip2day   video conferencia grado militar usando software libreVoip2day   video conferencia grado militar usando software libre
Voip2day video conferencia grado militar usando software libre
 
Por qué no es suficiente la contraseña
Por qué no es suficiente la contraseñaPor qué no es suficiente la contraseña
Por qué no es suficiente la contraseña
 
Spanish alr swivel ppt v2011. asegur it - 2011
Spanish alr swivel ppt v2011. asegur it - 2011Spanish alr swivel ppt v2011. asegur it - 2011
Spanish alr swivel ppt v2011. asegur it - 2011
 
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
 IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
 
Material rap3
Material rap3Material rap3
Material rap3
 
La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...
 
Graphic otp generator ultra light 3.2.2_sharpmindsoftware
Graphic otp generator ultra light 3.2.2_sharpmindsoftwareGraphic otp generator ultra light 3.2.2_sharpmindsoftware
Graphic otp generator ultra light 3.2.2_sharpmindsoftware
 
Subsistema Nacional de la Calidad de Colombia
Subsistema Nacional de la Calidad de ColombiaSubsistema Nacional de la Calidad de Colombia
Subsistema Nacional de la Calidad de Colombia
 
Subsistema nacional de la calidad de colombia - Sical
Subsistema nacional de la calidad de colombia - SicalSubsistema nacional de la calidad de colombia - Sical
Subsistema nacional de la calidad de colombia - Sical
 
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...
 
Cómo mantener tu producto en el catálogo CPSTIC.
Cómo mantener tu producto en el catálogo CPSTIC.Cómo mantener tu producto en el catálogo CPSTIC.
Cómo mantener tu producto en el catálogo CPSTIC.
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
Presentación de anubis
Presentación de anubisPresentación de anubis
Presentación de anubis
 
Experiencia NYCE S.C. en servicios de T.I.
Experiencia NYCE S.C. en servicios de T.I.Experiencia NYCE S.C. en servicios de T.I.
Experiencia NYCE S.C. en servicios de T.I.
 
OFIN: Proyecto seguridad del producto software
OFIN: Proyecto seguridad del producto softwareOFIN: Proyecto seguridad del producto software
OFIN: Proyecto seguridad del producto software
 
G-OTP - Generador de clave perecedera gráfica
G-OTP - Generador de clave perecedera gráficaG-OTP - Generador de clave perecedera gráfica
G-OTP - Generador de clave perecedera gráfica
 
La Mesa Sectorial como estrategia para el Fortalecimiento del Capital Humano ...
La Mesa Sectorial como estrategia para el Fortalecimiento del Capital Humano ...La Mesa Sectorial como estrategia para el Fortalecimiento del Capital Humano ...
La Mesa Sectorial como estrategia para el Fortalecimiento del Capital Humano ...
 
Infraestructura de clave pública con Software Libre
Infraestructura de clave pública con Software LibreInfraestructura de clave pública con Software Libre
Infraestructura de clave pública con Software Libre
 
Cyberconference - Evidencia digital
Cyberconference - Evidencia digital Cyberconference - Evidencia digital
Cyberconference - Evidencia digital
 

Más de Javier Tallón

Evolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio IIEvolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio II
Javier Tallón
 
ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?
Javier Tallón
 
ICCC23 -The new cryptographic evaluation methodology created by CCN
ICCC23 -The new cryptographic evaluation methodology created by CCNICCC23 -The new cryptographic evaluation methodology created by CCN
ICCC23 -The new cryptographic evaluation methodology created by CCN
Javier Tallón
 
Experiences evaluating cloud services and products
Experiences evaluating cloud services and productsExperiences evaluating cloud services and products
Experiences evaluating cloud services and products
Javier Tallón
 
TAICS - Cybersecurity Certification for European Market.pptx
TAICS - Cybersecurity Certification for European Market.pptxTAICS - Cybersecurity Certification for European Market.pptx
TAICS - Cybersecurity Certification for European Market.pptx
Javier Tallón
 
EUCA23 - Evolution of cryptographic evaluation in Europe.pdf
EUCA23 - Evolution of cryptographic evaluation in Europe.pdfEUCA23 - Evolution of cryptographic evaluation in Europe.pdf
EUCA23 - Evolution of cryptographic evaluation in Europe.pdf
Javier Tallón
 
Evolucionado la evaluación Criptográfica
Evolucionado la evaluación CriptográficaEvolucionado la evaluación Criptográfica
Evolucionado la evaluación Criptográfica
Javier Tallón
 
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
Javier Tallón
 
EUCA 22 - Let's harmonize labs competence ISO 19896
EUCA 22 - Let's harmonize labs competence ISO 19896EUCA 22 - Let's harmonize labs competence ISO 19896
EUCA 22 - Let's harmonize labs competence ISO 19896
Javier Tallón
 
EUCA22 Panel Discussion: Differences between lightweight certification schemes
EUCA22 Panel Discussion: Differences between lightweight certification schemesEUCA22 Panel Discussion: Differences between lightweight certification schemes
EUCA22 Panel Discussion: Differences between lightweight certification schemes
Javier Tallón
 
EUCA22 - Patch Management ISO_IEC 15408 & 18045
EUCA22 - Patch Management ISO_IEC 15408 & 18045EUCA22 - Patch Management ISO_IEC 15408 & 18045
EUCA22 - Patch Management ISO_IEC 15408 & 18045
Javier Tallón
 
Cross standard and scheme composition - A needed cornerstone for the European...
Cross standard and scheme composition - A needed cornerstone for the European...Cross standard and scheme composition - A needed cornerstone for the European...
Cross standard and scheme composition - A needed cornerstone for the European...
Javier Tallón
 
Is Automation Necessary for the CC Survival?
Is Automation Necessary for the CC Survival?Is Automation Necessary for the CC Survival?
Is Automation Necessary for the CC Survival?
Javier Tallón
 
CCCAB tool - Making CABs life easy - Chapter 2
CCCAB tool - Making CABs life easy - Chapter 2CCCAB tool - Making CABs life easy - Chapter 2
CCCAB tool - Making CABs life easy - Chapter 2
Javier Tallón
 
2022 CC Statistics report: will this year beat last year's record number of c...
2022 CC Statistics report: will this year beat last year's record number of c...2022 CC Statistics report: will this year beat last year's record number of c...
2022 CC Statistics report: will this year beat last year's record number of c...
Javier Tallón
 
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
Javier Tallón
 
Automating Common Criteria
Automating Common Criteria Automating Common Criteria
Automating Common Criteria
Javier Tallón
 
CCCAB - Making CABs life easy
CCCAB -  Making CABs life easyCCCAB -  Making CABs life easy
CCCAB - Making CABs life easy
Javier Tallón
 
ICCC21 2021 statistics report
ICCC21 2021 statistics reportICCC21 2021 statistics report
ICCC21 2021 statistics report
Javier Tallón
 
jtsec Arqus Alliance presentation
jtsec Arqus Alliance presentationjtsec Arqus Alliance presentation
jtsec Arqus Alliance presentation
Javier Tallón
 

Más de Javier Tallón (20)

Evolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio IIEvolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio II
 
ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?
 
ICCC23 -The new cryptographic evaluation methodology created by CCN
ICCC23 -The new cryptographic evaluation methodology created by CCNICCC23 -The new cryptographic evaluation methodology created by CCN
ICCC23 -The new cryptographic evaluation methodology created by CCN
 
Experiences evaluating cloud services and products
Experiences evaluating cloud services and productsExperiences evaluating cloud services and products
Experiences evaluating cloud services and products
 
TAICS - Cybersecurity Certification for European Market.pptx
TAICS - Cybersecurity Certification for European Market.pptxTAICS - Cybersecurity Certification for European Market.pptx
TAICS - Cybersecurity Certification for European Market.pptx
 
EUCA23 - Evolution of cryptographic evaluation in Europe.pdf
EUCA23 - Evolution of cryptographic evaluation in Europe.pdfEUCA23 - Evolution of cryptographic evaluation in Europe.pdf
EUCA23 - Evolution of cryptographic evaluation in Europe.pdf
 
Evolucionado la evaluación Criptográfica
Evolucionado la evaluación CriptográficaEvolucionado la evaluación Criptográfica
Evolucionado la evaluación Criptográfica
 
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
 
EUCA 22 - Let's harmonize labs competence ISO 19896
EUCA 22 - Let's harmonize labs competence ISO 19896EUCA 22 - Let's harmonize labs competence ISO 19896
EUCA 22 - Let's harmonize labs competence ISO 19896
 
EUCA22 Panel Discussion: Differences between lightweight certification schemes
EUCA22 Panel Discussion: Differences between lightweight certification schemesEUCA22 Panel Discussion: Differences between lightweight certification schemes
EUCA22 Panel Discussion: Differences between lightweight certification schemes
 
EUCA22 - Patch Management ISO_IEC 15408 & 18045
EUCA22 - Patch Management ISO_IEC 15408 & 18045EUCA22 - Patch Management ISO_IEC 15408 & 18045
EUCA22 - Patch Management ISO_IEC 15408 & 18045
 
Cross standard and scheme composition - A needed cornerstone for the European...
Cross standard and scheme composition - A needed cornerstone for the European...Cross standard and scheme composition - A needed cornerstone for the European...
Cross standard and scheme composition - A needed cornerstone for the European...
 
Is Automation Necessary for the CC Survival?
Is Automation Necessary for the CC Survival?Is Automation Necessary for the CC Survival?
Is Automation Necessary for the CC Survival?
 
CCCAB tool - Making CABs life easy - Chapter 2
CCCAB tool - Making CABs life easy - Chapter 2CCCAB tool - Making CABs life easy - Chapter 2
CCCAB tool - Making CABs life easy - Chapter 2
 
2022 CC Statistics report: will this year beat last year's record number of c...
2022 CC Statistics report: will this year beat last year's record number of c...2022 CC Statistics report: will this year beat last year's record number of c...
2022 CC Statistics report: will this year beat last year's record number of c...
 
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
 
Automating Common Criteria
Automating Common Criteria Automating Common Criteria
Automating Common Criteria
 
CCCAB - Making CABs life easy
CCCAB -  Making CABs life easyCCCAB -  Making CABs life easy
CCCAB - Making CABs life easy
 
ICCC21 2021 statistics report
ICCC21 2021 statistics reportICCC21 2021 statistics report
ICCC21 2021 statistics report
 
jtsec Arqus Alliance presentation
jtsec Arqus Alliance presentationjtsec Arqus Alliance presentation
jtsec Arqus Alliance presentation
 

Último

MONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIA
MONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIAMONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIA
MONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIA
leia ereni
 
El uso de las TIC's en la vida cotidiana
El uso de las TIC's en la vida cotidianaEl uso de las TIC's en la vida cotidiana
El uso de las TIC's en la vida cotidiana
231458066
 
INFORMATICA Y TECNOLOGIA
INFORMATICA Y TECNOLOGIAINFORMATICA Y TECNOLOGIA
INFORMATICA Y TECNOLOGIA
renzocruz180310
 
Manual de soporte y mantenimiento de equipo de cómputo
Manual de soporte y mantenimiento de equipo de cómputoManual de soporte y mantenimiento de equipo de cómputo
Manual de soporte y mantenimiento de equipo de cómputo
doctorsoluciones34
 
trabajo práctico kuikikiikkidfsmdklfskdnfklsdnfknsdk
trabajo práctico kuikikiikkidfsmdklfskdnfklsdnfknsdktrabajo práctico kuikikiikkidfsmdklfskdnfklsdnfknsdk
trabajo práctico kuikikiikkidfsmdklfskdnfklsdnfknsdk
KukiiSanchez
 
UML_clase_02_UML_casos_de_uso_05 EN DIAGRAMA
UML_clase_02_UML_casos_de_uso_05 EN DIAGRAMAUML_clase_02_UML_casos_de_uso_05 EN DIAGRAMA
UML_clase_02_UML_casos_de_uso_05 EN DIAGRAMA
martinezluis17
 
La Inteligencia Artificial en la actualidad.docx
La Inteligencia Artificial en la actualidad.docxLa Inteligencia Artificial en la actualidad.docx
La Inteligencia Artificial en la actualidad.docx
luiscohailatenazoa0
 
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfqedublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
larapalaciosmonzon28
 
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdf
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdfPresentación Seguridad Digital Profesional Azul Oscuro (1).pdf
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdf
giampierdiaz5
 
LA GLOBALIZACIÓN RELACIONADA CON EL USO DE HERRAMIENTAS.pptx
LA GLOBALIZACIÓN RELACIONADA CON EL USO DE HERRAMIENTAS.pptxLA GLOBALIZACIÓN RELACIONADA CON EL USO DE HERRAMIENTAS.pptx
LA GLOBALIZACIÓN RELACIONADA CON EL USO DE HERRAMIENTAS.pptx
pauca1501alvar
 
El uso de las TIC por Cecilia Pozos S..pptx
El uso de las TIC  por Cecilia Pozos S..pptxEl uso de las TIC  por Cecilia Pozos S..pptx
El uso de las TIC por Cecilia Pozos S..pptx
cecypozos703
 
Inteligencia Artificial
Inteligencia ArtificialInteligencia Artificial
Inteligencia Artificial
YashiraPaye
 
Uso de las Tics en la vida cotidiana.pptx
Uso de las Tics en la vida cotidiana.pptxUso de las Tics en la vida cotidiana.pptx
Uso de las Tics en la vida cotidiana.pptx
231485414
 
Flows: Mejores Prácticas y Nuevos Features
Flows: Mejores Prácticas y Nuevos FeaturesFlows: Mejores Prácticas y Nuevos Features
Flows: Mejores Prácticas y Nuevos Features
Paola De la Torre
 
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)
codesiret
 
Manual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputosManual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputos
cbtechchihuahua
 
CURSO CAMARAS DE SEGURIDAD 2023 FINAL .pdf
CURSO CAMARAS DE SEGURIDAD 2023 FINAL .pdfCURSO CAMARAS DE SEGURIDAD 2023 FINAL .pdf
CURSO CAMARAS DE SEGURIDAD 2023 FINAL .pdf
LagsSolucSoporteTecn
 
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
AMADO SALVADOR
 
El uso de las TIC en la vida cotidiana.pptx
El uso de las TIC en la vida cotidiana.pptxEl uso de las TIC en la vida cotidiana.pptx
El uso de las TIC en la vida cotidiana.pptx
jgvanessa23
 
Slideshare: definiciòn, registrarse, presentaciones, ventajas y desventajas
Slideshare: definiciòn, registrarse, presentaciones, ventajas y desventajasSlideshare: definiciòn, registrarse, presentaciones, ventajas y desventajas
Slideshare: definiciòn, registrarse, presentaciones, ventajas y desventajas
AdrianaRengifo14
 

Último (20)

MONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIA
MONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIAMONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIA
MONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIA
 
El uso de las TIC's en la vida cotidiana
El uso de las TIC's en la vida cotidianaEl uso de las TIC's en la vida cotidiana
El uso de las TIC's en la vida cotidiana
 
INFORMATICA Y TECNOLOGIA
INFORMATICA Y TECNOLOGIAINFORMATICA Y TECNOLOGIA
INFORMATICA Y TECNOLOGIA
 
Manual de soporte y mantenimiento de equipo de cómputo
Manual de soporte y mantenimiento de equipo de cómputoManual de soporte y mantenimiento de equipo de cómputo
Manual de soporte y mantenimiento de equipo de cómputo
 
trabajo práctico kuikikiikkidfsmdklfskdnfklsdnfknsdk
trabajo práctico kuikikiikkidfsmdklfskdnfklsdnfknsdktrabajo práctico kuikikiikkidfsmdklfskdnfklsdnfknsdk
trabajo práctico kuikikiikkidfsmdklfskdnfklsdnfknsdk
 
UML_clase_02_UML_casos_de_uso_05 EN DIAGRAMA
UML_clase_02_UML_casos_de_uso_05 EN DIAGRAMAUML_clase_02_UML_casos_de_uso_05 EN DIAGRAMA
UML_clase_02_UML_casos_de_uso_05 EN DIAGRAMA
 
La Inteligencia Artificial en la actualidad.docx
La Inteligencia Artificial en la actualidad.docxLa Inteligencia Artificial en la actualidad.docx
La Inteligencia Artificial en la actualidad.docx
 
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfqedublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
 
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdf
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdfPresentación Seguridad Digital Profesional Azul Oscuro (1).pdf
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdf
 
LA GLOBALIZACIÓN RELACIONADA CON EL USO DE HERRAMIENTAS.pptx
LA GLOBALIZACIÓN RELACIONADA CON EL USO DE HERRAMIENTAS.pptxLA GLOBALIZACIÓN RELACIONADA CON EL USO DE HERRAMIENTAS.pptx
LA GLOBALIZACIÓN RELACIONADA CON EL USO DE HERRAMIENTAS.pptx
 
El uso de las TIC por Cecilia Pozos S..pptx
El uso de las TIC  por Cecilia Pozos S..pptxEl uso de las TIC  por Cecilia Pozos S..pptx
El uso de las TIC por Cecilia Pozos S..pptx
 
Inteligencia Artificial
Inteligencia ArtificialInteligencia Artificial
Inteligencia Artificial
 
Uso de las Tics en la vida cotidiana.pptx
Uso de las Tics en la vida cotidiana.pptxUso de las Tics en la vida cotidiana.pptx
Uso de las Tics en la vida cotidiana.pptx
 
Flows: Mejores Prácticas y Nuevos Features
Flows: Mejores Prácticas y Nuevos FeaturesFlows: Mejores Prácticas y Nuevos Features
Flows: Mejores Prácticas y Nuevos Features
 
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)
 
Manual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputosManual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputos
 
CURSO CAMARAS DE SEGURIDAD 2023 FINAL .pdf
CURSO CAMARAS DE SEGURIDAD 2023 FINAL .pdfCURSO CAMARAS DE SEGURIDAD 2023 FINAL .pdf
CURSO CAMARAS DE SEGURIDAD 2023 FINAL .pdf
 
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
 
El uso de las TIC en la vida cotidiana.pptx
El uso de las TIC en la vida cotidiana.pptxEl uso de las TIC en la vida cotidiana.pptx
El uso de las TIC en la vida cotidiana.pptx
 
Slideshare: definiciòn, registrarse, presentaciones, ventajas y desventajas
Slideshare: definiciòn, registrarse, presentaciones, ventajas y desventajasSlideshare: definiciòn, registrarse, presentaciones, ventajas y desventajas
Slideshare: definiciòn, registrarse, presentaciones, ventajas y desventajas
 

Hacking your jeta.pdf

  • 2. Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación 2 Javier Tallón Director técnico jtallon@jtsec.es @javiertallon More than 15 years in IT Security Full-stack hacker wannabe
  • 3. CONTENIDO 1. LINCE, ENECSTI, CPSTIC y otras hierbas 2. Los sistemas de video identificación en el MundoReal® 3. El Anexo F11 y la Instrucción Técnica 14 1. Inyección de video 2. Pruebas funcionales y ataques de presentación 3. Validación de documentos 4. Conclusiones
  • 4. CONTENIDO 1. LINCE, ENECSTI, CPSTIC y otras hierbas 2. Los sistemas de video identificación en el MundoReal® 3. El Anexo F11 y la Instrucción Técnica 14 1. Inyección de video 2. Pruebas funcionales y ataques de presentación 3. Validación de documentos 4. Conclusiones
  • 5. LINCE, ENECSTI, CPSTIC y otras hierbas ¿Quién es quién? Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación 5 autoriza evalúa es incluido Laboratorio acreditado define requisitos de seguridad 2 1 3 4
  • 6. LINCE, ENECSTI, CPSTIC y otras hierbas Un caso de uso particular: las herramientas de videoidentificación Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación 6 La emergencia sanitaria generada por la crisis de la COVID-19 ha exigido durante el estado de alarma el confinamiento de la ciudadanía y la drástica limitación de los desplazamientos personales, con vistas a frenar el crecimiento de los contagios. De forma transitoria y excepcional, a través de la disposición adicional undécima del Real Decreto-ley 11/2020, de 31 de marzo, por el que se adoptan medidas urgentes complementarias en el ámbito social y económico para hacer frente a la COVID-19, se habilitó un sistema temporal de identificación remota para la obtención de certificados cualificados, con el fin de contribuir a reducir los desplazamientos de los ciudadanos para realizar trámites, sin mermar sus derechos. Con el fin de implantar de forma permanente y con plena seguridad jurídica dicha posibilidad, el artículo 7.2 de la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza, habilita a que mediante orden ministerial de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinen las condiciones y requisitos técnicos de verificación de la identidad a distancia y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación como videoconferencia o vídeo-identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física, que permitan la implantación de los citados métodos por parte de los prestadores de servicios electrónicos de confianza, en razón de las especificidades propias de este sector y las obligaciones de seguridad a que están sujetos los prestadores cualificados
  • 7. LINCE, ENECSTI, CPSTIC y otras hierbas Un caso de uso particular: las herramientas de videoidentificación Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación 7 … Empleará un producto de identificación remota por vídeo que cumpla los requisitos mínimos de seguridad indicados en el anexo F.11 de la Guía de Seguridad de las TIC CCN-STIC-140, del Centro Criptológico Nacional de categoría alta. El prestador cualificado deberá seguir las indicaciones de configuración y uso seguro del producto. El cumplimiento de dicha obligación deberá ser certificado siguiendo metodologías de evaluación reconocidas por el Organismo de Certificación del ENECSTI (Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información), por un organismo acreditado según la norma ISO/IEC 17065. No obstante, en caso de indisponibilidad de metodologías de evaluación aplicables para la certificación del producto, se admitirá la acreditación de cumplimiento de la citada obligación mediante la evaluación de su seguridad e inclusión en el listado de productos cualificados del Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación (Guía de Seguridad de las TIC CCN-STIC-105) publicado por el Centro Criptológico Nacional. …
  • 8. LINCE, ENECSTI, CPSTIC y otras hierbas LINCE Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación 8 LINCE es una metodología de evaluación y certificación para productos de seguridad TIC desarrollada por el Centro Criptológico Nacional enfocada en el análisis de vulnerabilidades y las pruebas de penetración. Se ha desarrollado para ser un medio objetivo que permita valorar y acreditar la capacidad de un producto TIC para manejar información de forma segura. A diferencia de otras certificaciones, como Common Criteria, la evaluación LINCE se realiza dentro de un tiempo y esfuerzo bien acotados. De esta forma, los costes son accesibles para todo tipo de fabricantes. LINCE Básica: 25 días de esfuerzo, 8 semanas de duración 5 días de esfuerzo, 2 semanas de duración por cada módulo adicional: + Módulo MEC: Evaluación criptográfica + Módulo MCF: Análisis de código fuente + Módulo MEB: Evaluación Biométrica “El CCN proporcionará las instrucciones técnicas y guías que se deben seguir para realizar la evaluación de cada una de las modalidades biométricas”
  • 9. CONTENIDO 1. LINCE, ENECSTI, CPSTIC y otras hierbas 2. Los sistemas de video identificación en el MundoReal® 3. El Anexo F11 y la Instrucción Técnica 14 1. Inyección de video 2. Pruebas funcionales y ataques de presentación 3. Validación de documentos 4. Conclusiones
  • 10. Los sistemas de video identificación en el MundoReal® Casos de uso • Apertura de cuentas bancarias mediante firma electrónica cualificada en toda la UE • Aprobación de operaciones entre la entidad y el consumidor en otros servicios financieros • Procesos de firma electrónica cualificada disponibles en plataforma online, destinado a ser usado por PYMES. Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación 10
  • 11. CONTENIDO 1. LINCE, ENECSTI, CPSTIC y otras hierbas 2. Los sistemas de video identificación en el MundoReal® 3. El Anexo F11 y la Instrucción Técnica 14 1. Inyección de video 2. Pruebas funcionales y ataques de presentación 3. Validación de documentos 4. Conclusiones
  • 12. El Anexo F11 y la Instrucción Técnica 14 Inyección de video Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación El Anexo F11 define los requisitos de seguridad esperables en una solución de video identificación: ° Administración confiable ° Identificación y autenticación ° Canales seguros ° Auditoría ° Protección frente a la captura de evidencias ° Verificación biométrica ° Validación de los documentos presentados = Protección frente a la captura de evidencias GEN.2 Grabación en directo GEN.1 Acto secuencial 12
  • 13. El Anexo F11 y la Instrucción Técnica 14 Inyección de video Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación El dispositivo de captura de video (la webcam) está bajo el control del sistema operativo, dos escenarios posibles: Navegador web en PC Aplicación nativa Servidor de video identificación 13
  • 14. El Anexo F11 y la Instrucción Técnica 14 Inyección de video Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación OBS es tu amigo Soluciones implementadas por algunos fabricantes: - Detección del nombre de la cámara o del número de cámaras - Al ejecutarse el código en el navegador, manipular las peticiones suele ser trivial 14
  • 15. El Anexo F11 y la Instrucción Técnica 14 Inyección de video Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación - Ninguna herramienta disponible - Pequeña prueba de concepto usando Frida e interceptando y reemplazando el buffer de la cámara 15
  • 16.
  • 17. El Anexo F11 y la Instrucción Técnica 14 Inyección de video Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación Defenderse es complejo. Hay que garantizar que la petición viene de un dispositivo no comprometido: - Certificate pinning - Peticiones firmadas - Detección de jailbreak - Criptografía de caja blanca / Ofuscación - Android SafetyNet + Hardware attestation // iOS AppAttest 17
  • 18. El Anexo F11 y la Instrucción Técnica 14 Pruebas funcionales y ataques de presentación Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación SOL.2 Detección de vida Foto del documento SOL.1 Verificación biométrica facial vs Imagen capturada SOL.3 Mecanismos de detección de ataques de presentación El Anexo F11 define los requisitos de seguridad esperables en una solución de video identificación: ° Administración confiable ° Identificación y autenticación ° Canales seguros ° Auditoría ° Protección frente a la captura de evidencias ° Verificación biométrica ° Validación de los documentos presentados = Verificación biométrica
  • 19. El Anexo F11 y la Instrucción Técnica 14 Pruebas funcionales y ataques de presentación – Setup de pruebas Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación - Elgato HD60 X Capturadora de vídeo externa - Caja Razer Core X + GEForce RTX 3080 Trinity OC LHR 10GB 320BIT GDDR6x - TV Samsung QLED UltraHD 4K HDR10+ 75” - Webcam Logitech C920e - Maquillaje - Máscaras 19 - CCN Match - DeepFaceLab: Framework Open Source para facilitar la creación de deepfakes. - DeepFaceLive: Framework Open Source para ejecutar deepfakes en tiempo real. - Google Colab: Integración de Jupyter Notebooks en la nube por parte de Google.
  • 20. El Anexo F11 y la Instrucción Técnica 14 Pruebas funcionales y ataques de presentación – Pruebas funcionales Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación 20 Face Recognition Vendor Test (FRVT) en la categoría VISABORDER del NIST con una tasa de FNMR (False Non Match Rate) menor o igual a 5% para un FMR (False Match Rate) de menor o igual a 1/1000000. Comprobar que el producto funciona correctamente en los casos habituales de uso, suponiendo un uso cooperativo por parte del sujeto fidedigno.
  • 21. 21 El Anexo F11 y la Instrucción Técnica 14 Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación Pruebas funcionales y ataques de presentación – Ataques de impostor Parecidos razonables
  • 22. 22 El Anexo F11 y la Instrucción Técnica 14 Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación Pruebas funcionales y ataques de presentación – Ataques de impostor
  • 23. El Anexo F11 y la Instrucción Técnica 14 Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación Objetivo de la prueba: Comprobar que el producto no es vulnerable a la suplantación de un sujeto fidedigno por parte de un atacante que utilice un vídeo de un sujeto fidedigno. Ataque: Reproducimos un video del sujeto fidedigno en la TV de 75” realizando una identificación de manera correcta. Prerrequisitos: El escenario de ataque contempla que el atacante ha robado el DNI del sujeto fidedigno y ha sido capaz de grabar una prueba de vida del usuario. Posible defensa: Aleatorización de la prueba de vida. Pruebas funcionales y ataques de presentación – Video en pantalla 23
  • 24.
  • 25. 25 El Anexo F11 y la Instrucción Técnica 14 Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación Objetivo de la prueba: Comprobar que el producto no es vulnerable a la suplantación de un sujeto fidedigno por parte de un atacante que utilice una máscara de bajo coste como artefacto. Ataque: Utilizamos dos tipos de máscaras: - Máscara impresa en papel - Máscara “segunda piel” El atacante tiene que taparse la boca para simular la prueba de vida del producto (sonreír). Prerrequisitos: El escenario de ataque contempla que el atacante ha robado el DNI del sujeto fidedigno y ha sido capaz de generar una máscara de bajo coste a partir de una foto del sujeto fidedigno. Posible defensa: Aleatorización de la prueba de vida. Detección de brillos. Pruebas funcionales y ataques de presentación – Máscaras de bajo coste
  • 26.
  • 27. El Anexo F11 y la Instrucción Técnica 14 Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación Pruebas funcionales y ataques de presentación – Máscaras avanzadas 27 Objetivo de la prueba: Comprobar que el TOE no es vulnerable a la suplantación de un sujeto fidedigno por parte de un atacante que utilice una máscara avanzada como artefacto. Ataque: Limitado por el coste de las máscaras. Dos máscaras para todos los laboratorios (~800€ c/u). El CNP genera especímenes de DNI para realizar la prueba. El atacante tiene que taparse la boca para simular la prueba de vida del producto (sonreír). Prerrequisitos: El escenario de ataque contempla que el atacante ha robado el DNI del sujeto fidedigno y ha sido capaz de generar una máscara avanzada a partir de una foto del sujeto fidedigno. Posible defensa: Aleatorización de la prueba de vida. Detección de pesadillas. http://www.barbatosfx. com/ https://www.etsy.com/jp/shop/maskshopOMOT E
  • 28. El Anexo F11 y la Instrucción Técnica 14 Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación Pruebas funcionales y ataques de presentación – Máscaras avanzadas 28
  • 29. El Anexo F11 y la Instrucción Técnica 14 Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación Pruebas funcionales y ataques de presentación – Máscaras avanzadas 29
  • 30. El Anexo F11 y la Instrucción Técnica 14 Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación Pruebas funcionales y ataques de presentación – Máscaras avanzadas 30
  • 31. El Anexo F11 y la Instrucción Técnica 14 Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación Pruebas funcionales y ataques de presentación – Maquillaje Objetivo de la prueba: Comprobar que el TOE no es vulnerable a la suplantación de un sujeto fidedigno por parte de un atacante que utilice maquillaje protésico como artefacto. Ataque: Limitado por el coste de las prótesis y el maquillaje. Prerrequisitos: El escenario de ataque contempla que el atacante ha robado el DNI del sujeto fidedigno y ha sido capaz de generar una máscara a partir de una foto del sujeto fidedigno. Posible defensa: ¿?¿?¿?¿?¿?¿? 31
  • 32. El Anexo F11 y la Instrucción Técnica 14 Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación Pruebas funcionales y ataques de presentación – Maquillaje 32 rostro serio rostro sonriendo
  • 33.
  • 34. El Anexo F11 y la Instrucción Técnica 14 Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación Pruebas funcionales y ataques de presentación – DeepFake 34 Objetivo de la prueba: Comprobar que el TOE no es vulnerable a la suplantación de un sujeto fidedigno por parte de un atacante que utilice herramientas de DeepFake Ataque: Limitado por el parecido máximo según CCN-MATCH. Hay que ejecutarlo en tiempo real. Prerrequisitos: El escenario de ataque contempla que el atacante ha robado el DNI del sujeto fidedigno y ha sido capaz de generar un DeepFake a partir de múltiples fotos del sujeto fidedigno. Posible defensa: Aleatorización de la prueba de vida. Detección de artefactos en la imagen. Evitar la inyección de vídeo / Detectar pantallas.
  • 35.
  • 36. CONTENIDO 1. LINCE, ENECSTI, CPSTIC y otras hierbas 2. Los sistemas de video identificación en el MundoReal® 3. El Anexo F11 y la Instrucción Técnica 14 1. Inyección de video 2. Pruebas funcionales y ataques de presentación 3. Validación de documentos 4. Conclusiones
  • 37. El Anexo F11 y la Instrucción Técnica 14 Validación de documentos Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación DOC.2 Verificar fecha de validez DOC.1 Detectar ataques de replicación e impresión DOC.3 Zona de inspección visual (VIZ) == la MRZ (zona de lectura mecanizada). El Anexo F11 define los requisitos de seguridad esperables en una solución de video identificación: ° Administración confiable ° Identificación y autenticación ° Canales seguros ° Auditoría ° Protección frente a la captura de evidencias ° Verificación biométrica ° Validación de los documentos presentados = Validación de los documentos presentados
  • 38. El Anexo F11 y la Instrucción Técnica 14 Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación Validación de documentos impresión en papel sobre tarjeta de PVC foto del DNI en pantalla recorte de papel sobre foto del DNI 38
  • 39. CONTENIDO 1. LINCE, ENECSTI, CPSTIC y otras hierbas 2. Los sistemas de video identificación en el MundoReal® 3. El Anexo F11 y la Instrucción Técnica 14 1. Inyección de video 2. Pruebas funcionales y ataques de presentación 3. Validación de documentos 4. Conclusiones
  • 40. Conclusiones (breves) • Hackear sistemas de video identificación es divertido • Todos los productos que hemos probado son mejorados como resultado de la evaluación • IT13 → Futura norma europea • El estado del arte hace difícil (pero no imposible) evitar la inyección de video y el DeepFake • El proceso completo aporta una garantía adicional por la presencia de un operador humano • No esperar más de un sistema automático que de uno manual (e.g. gemelos, maquillajes o DeepFake avanzados, etc) Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación 40
  • 42. 42 El Anexo F11 y la Instrucción Técnica 14 Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación Pruebas funcionales y ataques de presentación – Ataques de impostor
  • 43. 43 El Anexo F11 y la Instrucción Técnica 14 Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación Pruebas funcionales y ataques de presentación – Ataques de impostor