Seguro que has visto cómo cada vez más sectores como la banca o los seguros permiten abrir cuentas legalmente vinculadas sin la intervención (a priori) de un operador humano gracias a procesos de videoidentificación, pero, ¿te has preguntado qué tan seguros son?
El Ministerio de Asuntos Económicos y Transformación Digital, en el BOE núm. 115, de 14 de mayo de 2021 y con motivo de la emergencia sanitaria generada por la crisis de la COVID-19, regulaba los métodos de identificación remota por vídeo para la expedición de certificados electrónicos cualificados, lo que obliga a los prestadores de este tipo de servicios a validar sus soluciones en los términos que establece el anexo F11 de la Guía CCN-STIC-140, del Centro Criptológico Nacional.
Dicho anexo requiere que un laboratorio acreditado realice ataques de presentación a este tipo de soluciones para verificar su resistencia a técnicas como máscaras hiperrealistas, deepfake o contouring. Durante esta charla ahondaremos en los detalles técnicos de dichos ataques, y te contaremos cómo hemos conseguido inyectar vídeo en muchas de estas soluciones.
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...Javier Tallón
En la actualidad existe un gran número de soluciones biométricas en el mercado, que se aplican cada vez más en sectores clave como la banca, la administración pública y los seguros.
El Ministerio de Asuntos Económicos y Transformación Digital publicó la primera orden ministerial, en el BOE núm. 115, de 14 de mayo de 2021, que regula los métodos de videoidentificación a distancia para la emisión de certificados electrónicos reconocidos. A raíz de esta legislación, el CCN, desarrolló un módulo de evaluación biométrica (MEB), que permite la evaluación de soluciones biométricas tanto para la metodología LINCE como para Common Criteria siguiendo la guía IT-014.
Durante la charla se explica cómo se aplica la guía IT-014 y los diferentes tipos de ataques de presentación que contempla; impostor, mediante vídeos, mediante máscaras, mediante herramientas deepfake, etc.
La charla es eminentemente técnica y mostrará ejemplos de ataques reales ejecutados durante las evaluaciones.
jtsec, con su experiencia en las primeras evaluaciones de soluciones biométricas, ofrecerá una visión general de cómo se han llevado a cabo dichas evaluaciones y los tipos de ataques más difíciles de mitigar para los proveedores.
La charla describe las particularidades de las evaluaciones en la nube tanto a nivel técnico como en el proceso. Además, pone de relieve los esfuerzos realizados a nivel nacional para que se puedan evaluar este tipo de soluciones.
Alonso Eduardo Caballero Quezada ofrece un webinar gratuito sobre herramientas de software forense. Explica que las herramientas forenses se pueden clasificar en aplicaciones de línea de comandos o con interfaz gráfica y que realizan funciones como adquisición, validación, extracción y reconstrucción de datos. También discute programas como Computer Forensics Tool Testing que prueban la fiabilidad de las herramientas forenses.
El Centro Criptológico Nacional (CCN) garantiza la seguridad de los sistemas de información y comunicaciones de las administraciones públicas españolas mediante la elaboración de normas de seguridad, la formación de funcionarios, y la evaluación y certificación de productos tecnológicos.
Introducción a la certificación Common CriteriaJavier Tallón
El documento discute la certificación de seguridad de productos tecnológicos. Explica que existen estándares internacionales como Common Criteria para evaluar y certificar que los productos cumplen ciertos requisitos de seguridad. El proceso involucra a un laboratorio independiente que evalúa el producto para encontrar vulnerabilidades y al fabricante que corrige problemas encontrados. La certificación proporciona una garantía limitada de la seguridad de un producto.
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...Javier Tallón
Charla ofrecida para profesionales de la salud gracias a la colaboración del PTS (Parque Tecnológico de la Salud). En el que se detallan los diferentes tipos de auditorías y certificaciones aptas para el ámbito de la e-health.
El Centro Criptológico Nacional (CCN) realiza esta ponencia "CPSTIC: catálogo de productos de seguridad TIC para la Administración", en el marco de las V Jornadas de Ciberseguridad de Andalucía celebradas el 13 de junio 2018.
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?Javier Tallón
Incluir productos y servicios en el catálogo de ciberseguridad de referencia para la Administración Pública no resulta sencillo.
Se ha de superar una evaluación LINCE o Common Criteria para poder acceder a dicho catálogo.
En el catálogo CPSTIC se pueden incluir tanto para soluciones on premise como en la nube, siendo una gran ventaja para aquellos desarrolladores cloud native.
En esta presentación explicamos las diferentes maneras de incluir una solución en el catálogo CPSTIC, así como los pasos a seguir.
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...Javier Tallón
En la actualidad existe un gran número de soluciones biométricas en el mercado, que se aplican cada vez más en sectores clave como la banca, la administración pública y los seguros.
El Ministerio de Asuntos Económicos y Transformación Digital publicó la primera orden ministerial, en el BOE núm. 115, de 14 de mayo de 2021, que regula los métodos de videoidentificación a distancia para la emisión de certificados electrónicos reconocidos. A raíz de esta legislación, el CCN, desarrolló un módulo de evaluación biométrica (MEB), que permite la evaluación de soluciones biométricas tanto para la metodología LINCE como para Common Criteria siguiendo la guía IT-014.
Durante la charla se explica cómo se aplica la guía IT-014 y los diferentes tipos de ataques de presentación que contempla; impostor, mediante vídeos, mediante máscaras, mediante herramientas deepfake, etc.
La charla es eminentemente técnica y mostrará ejemplos de ataques reales ejecutados durante las evaluaciones.
jtsec, con su experiencia en las primeras evaluaciones de soluciones biométricas, ofrecerá una visión general de cómo se han llevado a cabo dichas evaluaciones y los tipos de ataques más difíciles de mitigar para los proveedores.
La charla describe las particularidades de las evaluaciones en la nube tanto a nivel técnico como en el proceso. Además, pone de relieve los esfuerzos realizados a nivel nacional para que se puedan evaluar este tipo de soluciones.
Alonso Eduardo Caballero Quezada ofrece un webinar gratuito sobre herramientas de software forense. Explica que las herramientas forenses se pueden clasificar en aplicaciones de línea de comandos o con interfaz gráfica y que realizan funciones como adquisición, validación, extracción y reconstrucción de datos. También discute programas como Computer Forensics Tool Testing que prueban la fiabilidad de las herramientas forenses.
El Centro Criptológico Nacional (CCN) garantiza la seguridad de los sistemas de información y comunicaciones de las administraciones públicas españolas mediante la elaboración de normas de seguridad, la formación de funcionarios, y la evaluación y certificación de productos tecnológicos.
Introducción a la certificación Common CriteriaJavier Tallón
El documento discute la certificación de seguridad de productos tecnológicos. Explica que existen estándares internacionales como Common Criteria para evaluar y certificar que los productos cumplen ciertos requisitos de seguridad. El proceso involucra a un laboratorio independiente que evalúa el producto para encontrar vulnerabilidades y al fabricante que corrige problemas encontrados. La certificación proporciona una garantía limitada de la seguridad de un producto.
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...Javier Tallón
Charla ofrecida para profesionales de la salud gracias a la colaboración del PTS (Parque Tecnológico de la Salud). En el que se detallan los diferentes tipos de auditorías y certificaciones aptas para el ámbito de la e-health.
El Centro Criptológico Nacional (CCN) realiza esta ponencia "CPSTIC: catálogo de productos de seguridad TIC para la Administración", en el marco de las V Jornadas de Ciberseguridad de Andalucía celebradas el 13 de junio 2018.
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?Javier Tallón
Incluir productos y servicios en el catálogo de ciberseguridad de referencia para la Administración Pública no resulta sencillo.
Se ha de superar una evaluación LINCE o Common Criteria para poder acceder a dicho catálogo.
En el catálogo CPSTIC se pueden incluir tanto para soluciones on premise como en la nube, siendo una gran ventaja para aquellos desarrolladores cloud native.
En esta presentación explicamos las diferentes maneras de incluir una solución en el catálogo CPSTIC, así como los pasos a seguir.
El documento describe la Plataforma Individual de Voto Electrónico (P.I.V.E.), un proyecto para permitir el voto electrónico a través de Internet usando el DNI electrónico para autenticación. Explica los requisitos legales y de seguridad, así como las características técnicas y el funcionamiento de la plataforma, incluyendo la personalización del soporte de voto para cada votante y la validación del mismo durante el proceso de votación.
Voip2day video conferencia grado militar usando software libreFernando Villares
En esta conferencia demostramos como podemos hacer un sistema viable de videoconferencia de seguridad de grado militar usando solo software y hardware libres con infraestructura de autenticacion y autorizacion PKI
Spanish alr swivel ppt v2011. asegur it - 2011aremondo
Este documento resume las ventajas del sistema PINsafe de autenticación multifactor sin tokens frente a las contraseñas estáticas. PINsafe autentica al usuario y no al dispositivo mediante la generación de una cadena de seguridad dinámica vinculada a un PIN conocido solo por el usuario. Se presentan casos de éxito de su implementación en UniCredit y Microsoft para el acceso VPN y servicios en línea respectivamente.
"Cumplimiento como base de la ciberseguridad". Ponencia de D. Pablo López
Segundo jefe del Departamento de Ciberseguridad del CCN. En el marco de: IV Jornadas de Ciberseguridad en Andalucía (junio 2017).
El documento describe las cualidades y conocimientos necesarios para un auditor informático, incluyendo la formación profesional, normativa, y entrenamiento continuo. También cubre técnicas de auditoría como comparación de programas y análisis de bitácoras. Finalmente, explica algunas certificaciones como CISA y define delitos informáticos según la ley colombiana.
La ventaja de implementar una solución de ciberseguridad certificada por el C...Javier Tallón
El documento introduce el Centro Criptológico Nacional (CCN) y el Esquema Nacional de Seguridad (ENS), y explica que el CCN-STIC 105 Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación (CPSTIC) ofrece un listado de productos con garantías de seguridad contrastadas por el CCN. También describe los procesos de certificación LINCE y Common Criteria para incluir productos en el catálogo, y los beneficios que esto conlleva para las organizaciones.
Este documento describe un sistema de seguridad que genera claves gráficas de un solo uso para autenticación. El sistema crea dispositivos virtuales que generan claves similares a los dispositivos físicos OTP pero a un costo menor. El sistema incluye aplicaciones cliente para diferentes plataformas y un módulo administrativo para controlar el registro y activación de dispositivos.
presentación Taller de Sensibilización de Reglamentos Técnicos del Sector Eléctrico organizado por el Gobierno Nacional (MME, MCIT, SIC), el Clúster de Energía Eléctrica de Bogotá y Bureau Veritas. 3 de mayo 2018
El documento describe las secciones y disposiciones del Capítulo 7 del Decreto 1074 de 2015 sobre el Subsistema Nacional de la Calidad en Colombia. El Subsistema Nacional de la Calidad coordina las actividades de normalización, acreditación, evaluación de la conformidad, metrología y reglamentación técnica para promover la competitividad e innovación empresarial y proteger a los consumidores.
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...Javier Tallón
Este documento presenta información sobre el Catálogo de Productos de Seguridad TIC (CPSTIC), incluyendo las certificaciones válidas para incluir productos en el catálogo, como LINCE y Common Criteria. También describe casos de éxito del uso del catálogo en la administración pública española para productos como herramientas de videoidentificación, cortafuegos y cargadores de vehículos eléctricos. El objetivo del catálogo es proporcionar una lista de productos con garantías de seguridad para su uso en el sector públic
Cómo mantener tu producto en el catálogo CPSTIC.Javier Tallón
Caso de éxito de Panda Security y su proceso para mantener los productos en el catálogo CPSTIC gracias a la consultoría de jtsec, utilizando metodologías de evaluación y certificación para productos de seguridad TIC como LINCE o Common Criteria
Hoy en día las organizaciones están en el proceso de mover su infraestructura tecnológica o sus servicios a la nube. Ya sea por razones de facilidad de crecimiento, de carácter financiero o de foco de negocio. Estos cambios imponen unos retos importantes cuando se involucra el tema de seguridad de la información.
En esta presentación se hace un recorrido de los aspectos más relevantes a tener en cuenta antes de llevar a cabo una migración de este tipo manteniendo o consiguiendo el cumplimiento del estándar de seguridad PCI DSS.
Presentación oficial del proyecto Anubis desarrollado por Juan Antonio Calles Garcia para automatizar los procesos de Footprinting y Fingerprinting durante las auditorías de seguridad informática
El documento describe la experiencia de NYCE S.C. en servicios de TI, incluyendo la certificación de sistemas de gestión de TI y seguridad de la información bajo estándares internacionales, la certificación de personas, y otros servicios y proyectos relacionados con normalización, capacitación y protección de datos personales. NYCE ofrece servicios de consultoría, implementación, auditoría y certificación de sistemas de gestión de TI y seguridad de la información.
Este documento establece la norma de seguridad para productos de software del Ministerio de Educación. Detalla las responsabilidades, normas consultadas, definiciones clave, condiciones generales y específicas, y el procedimiento para evaluar la seguridad de un producto de software. El objetivo es asegurar que los productos de software cumplan con los requisitos mínimos de seguridad de la información de la institución.
G-OTP - Generador de clave perecedera gráficamauromaulinir
Graphical One Time Password System, Nuevo concepto en validación independiente y segura que combate efectivamente los intentos de usurpación de identidad digital. Sistema Gráfico de Clave Temporal de un solo uso desde su dispositivo móvil.
La Mesa Sectorial como estrategia para el Fortalecimiento del Capital Humano ...Finding Technology Company
Presentación del Doctor Jaime Garcia Di Motoli, Secretario Técnico de las mesas sectoriales de Teleinformática y Business Process Outsourcing BPO, KPO, ITO del SENA, en el 2do Congreso Internacional en Procesos y Metodologías de Desarrollo de Software Promedesoft 2015
El documento habla sobre la evidencia digital y su importancia en procesos legales. Explica que la evidencia digital incluye cualquier dato almacenado o generado por sistemas computacionales y puede dividirse en evidencia lógica y física. También destaca la necesidad de seguir normas para recolectar, analizar y presentar la evidencia digital de manera que sea admisible en procesos judiciales.
Evolucionando la evaluación criptográfica - Episodio IIJavier Tallón
A ningún fabricante le es ajeno que los requisitos criptográficos a la hora de desarrollar cualquier producto son cada vez mayores. Por ello, CCN ha desarrollado, con el soporte de jtsec, una metodología que incluye pruebas de conformidad, búsqueda de errores comunes en las implementaciones y requisitos de implementación de las primitivas criptográficas aplicados a la metodología LINCE. En esta charla explicaremos las principales novedades introducidas en la Metodología de Evaluación de Mecanismos Criptográficos presentada el año pasado, así como la definición de la nueva Metodología de Evaluación Criptográfica conforme a la CCN STIC-130.
ICCC2023 Statistics Report, has Common Criteria reached its peak?Javier Tallón
As is customary in the last editions of ICCC, the statistics related to Common Criteria provide significant market data. This year, stable data is presented. Data collection is done using CC Scraper, a tool developed by jtsec that automatically analyzes information from the CC and CBs portals using OCR capabilities and other features. Would you like to know the data for the first three quarters of 2023 and the evolution in recent years in terms of the number of certifications? Other data will also be disclosed, such as top labs and vendors, most used assurance levels, or most used protection profiles. This presentation showcases Common Criteria’s data in a year when the market has stabilized after several years of political and health instability.
El documento describe la Plataforma Individual de Voto Electrónico (P.I.V.E.), un proyecto para permitir el voto electrónico a través de Internet usando el DNI electrónico para autenticación. Explica los requisitos legales y de seguridad, así como las características técnicas y el funcionamiento de la plataforma, incluyendo la personalización del soporte de voto para cada votante y la validación del mismo durante el proceso de votación.
Voip2day video conferencia grado militar usando software libreFernando Villares
En esta conferencia demostramos como podemos hacer un sistema viable de videoconferencia de seguridad de grado militar usando solo software y hardware libres con infraestructura de autenticacion y autorizacion PKI
Spanish alr swivel ppt v2011. asegur it - 2011aremondo
Este documento resume las ventajas del sistema PINsafe de autenticación multifactor sin tokens frente a las contraseñas estáticas. PINsafe autentica al usuario y no al dispositivo mediante la generación de una cadena de seguridad dinámica vinculada a un PIN conocido solo por el usuario. Se presentan casos de éxito de su implementación en UniCredit y Microsoft para el acceso VPN y servicios en línea respectivamente.
"Cumplimiento como base de la ciberseguridad". Ponencia de D. Pablo López
Segundo jefe del Departamento de Ciberseguridad del CCN. En el marco de: IV Jornadas de Ciberseguridad en Andalucía (junio 2017).
El documento describe las cualidades y conocimientos necesarios para un auditor informático, incluyendo la formación profesional, normativa, y entrenamiento continuo. También cubre técnicas de auditoría como comparación de programas y análisis de bitácoras. Finalmente, explica algunas certificaciones como CISA y define delitos informáticos según la ley colombiana.
La ventaja de implementar una solución de ciberseguridad certificada por el C...Javier Tallón
El documento introduce el Centro Criptológico Nacional (CCN) y el Esquema Nacional de Seguridad (ENS), y explica que el CCN-STIC 105 Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación (CPSTIC) ofrece un listado de productos con garantías de seguridad contrastadas por el CCN. También describe los procesos de certificación LINCE y Common Criteria para incluir productos en el catálogo, y los beneficios que esto conlleva para las organizaciones.
Este documento describe un sistema de seguridad que genera claves gráficas de un solo uso para autenticación. El sistema crea dispositivos virtuales que generan claves similares a los dispositivos físicos OTP pero a un costo menor. El sistema incluye aplicaciones cliente para diferentes plataformas y un módulo administrativo para controlar el registro y activación de dispositivos.
presentación Taller de Sensibilización de Reglamentos Técnicos del Sector Eléctrico organizado por el Gobierno Nacional (MME, MCIT, SIC), el Clúster de Energía Eléctrica de Bogotá y Bureau Veritas. 3 de mayo 2018
El documento describe las secciones y disposiciones del Capítulo 7 del Decreto 1074 de 2015 sobre el Subsistema Nacional de la Calidad en Colombia. El Subsistema Nacional de la Calidad coordina las actividades de normalización, acreditación, evaluación de la conformidad, metrología y reglamentación técnica para promover la competitividad e innovación empresarial y proteger a los consumidores.
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...Javier Tallón
Este documento presenta información sobre el Catálogo de Productos de Seguridad TIC (CPSTIC), incluyendo las certificaciones válidas para incluir productos en el catálogo, como LINCE y Common Criteria. También describe casos de éxito del uso del catálogo en la administración pública española para productos como herramientas de videoidentificación, cortafuegos y cargadores de vehículos eléctricos. El objetivo del catálogo es proporcionar una lista de productos con garantías de seguridad para su uso en el sector públic
Cómo mantener tu producto en el catálogo CPSTIC.Javier Tallón
Caso de éxito de Panda Security y su proceso para mantener los productos en el catálogo CPSTIC gracias a la consultoría de jtsec, utilizando metodologías de evaluación y certificación para productos de seguridad TIC como LINCE o Common Criteria
Hoy en día las organizaciones están en el proceso de mover su infraestructura tecnológica o sus servicios a la nube. Ya sea por razones de facilidad de crecimiento, de carácter financiero o de foco de negocio. Estos cambios imponen unos retos importantes cuando se involucra el tema de seguridad de la información.
En esta presentación se hace un recorrido de los aspectos más relevantes a tener en cuenta antes de llevar a cabo una migración de este tipo manteniendo o consiguiendo el cumplimiento del estándar de seguridad PCI DSS.
Presentación oficial del proyecto Anubis desarrollado por Juan Antonio Calles Garcia para automatizar los procesos de Footprinting y Fingerprinting durante las auditorías de seguridad informática
El documento describe la experiencia de NYCE S.C. en servicios de TI, incluyendo la certificación de sistemas de gestión de TI y seguridad de la información bajo estándares internacionales, la certificación de personas, y otros servicios y proyectos relacionados con normalización, capacitación y protección de datos personales. NYCE ofrece servicios de consultoría, implementación, auditoría y certificación de sistemas de gestión de TI y seguridad de la información.
Este documento establece la norma de seguridad para productos de software del Ministerio de Educación. Detalla las responsabilidades, normas consultadas, definiciones clave, condiciones generales y específicas, y el procedimiento para evaluar la seguridad de un producto de software. El objetivo es asegurar que los productos de software cumplan con los requisitos mínimos de seguridad de la información de la institución.
G-OTP - Generador de clave perecedera gráficamauromaulinir
Graphical One Time Password System, Nuevo concepto en validación independiente y segura que combate efectivamente los intentos de usurpación de identidad digital. Sistema Gráfico de Clave Temporal de un solo uso desde su dispositivo móvil.
La Mesa Sectorial como estrategia para el Fortalecimiento del Capital Humano ...Finding Technology Company
Presentación del Doctor Jaime Garcia Di Motoli, Secretario Técnico de las mesas sectoriales de Teleinformática y Business Process Outsourcing BPO, KPO, ITO del SENA, en el 2do Congreso Internacional en Procesos y Metodologías de Desarrollo de Software Promedesoft 2015
El documento habla sobre la evidencia digital y su importancia en procesos legales. Explica que la evidencia digital incluye cualquier dato almacenado o generado por sistemas computacionales y puede dividirse en evidencia lógica y física. También destaca la necesidad de seguir normas para recolectar, analizar y presentar la evidencia digital de manera que sea admisible en procesos judiciales.
Evolucionando la evaluación criptográfica - Episodio IIJavier Tallón
A ningún fabricante le es ajeno que los requisitos criptográficos a la hora de desarrollar cualquier producto son cada vez mayores. Por ello, CCN ha desarrollado, con el soporte de jtsec, una metodología que incluye pruebas de conformidad, búsqueda de errores comunes en las implementaciones y requisitos de implementación de las primitivas criptográficas aplicados a la metodología LINCE. En esta charla explicaremos las principales novedades introducidas en la Metodología de Evaluación de Mecanismos Criptográficos presentada el año pasado, así como la definición de la nueva Metodología de Evaluación Criptográfica conforme a la CCN STIC-130.
ICCC2023 Statistics Report, has Common Criteria reached its peak?Javier Tallón
As is customary in the last editions of ICCC, the statistics related to Common Criteria provide significant market data. This year, stable data is presented. Data collection is done using CC Scraper, a tool developed by jtsec that automatically analyzes information from the CC and CBs portals using OCR capabilities and other features. Would you like to know the data for the first three quarters of 2023 and the evolution in recent years in terms of the number of certifications? Other data will also be disclosed, such as top labs and vendors, most used assurance levels, or most used protection profiles. This presentation showcases Common Criteria’s data in a year when the market has stabilized after several years of political and health instability.
ICCC23 -The new cryptographic evaluation methodology created by CCNJavier Tallón
The use of cryptographic primitives to safeguard sensitive information in hardware, software, and firmware products is witnessing widespread adoption. Recognizing the increasing cryptographic requirements, CCN (Certification Body for National Cryptology) has developed a methodology in collaboration with jtsec. This methodology encompasses conformance testing, identification of common implementation pitfalls, and implementation requirements for cryptographic primitives.
The primary objective of this cryptographic methodology is to establish a standardized framework for conducting cryptographic evaluations of Target of Evaluations (TOEs). These evaluations aim to obtain Common Criteria certificates and other certifications. The methodology specifically targets products in which cryptographic mechanisms form a crucial part of their core functionality, such as VPNs, HSMs, ciphers, communication apps, and more.
During the talk, the speakers will introduce the new approach to evaluate cryptography in Spain, following the jointly created methodology by CCN and jtsec. They will also demonstrate a tool designed to verify the compliance of cryptographic primitives. This presentation will be particularly beneficial for product developers, as they will learn about the requirements that will be demanded in Spain going forward. It will also be of interest to other Certification Bodies (CBs) who may find this methodology and tool valuable in their own evaluations.
Experiences evaluating cloud services and productsJavier Tallón
The market for IT products is constantly evolving. More and more vendors are developing products and services deployed only in the cloud (Cloud Native). This implies a paradigm shift in the way assessments are carried out, in the methodology to be followed and in the tests to be performed.
Today, it is NOT possible to use Common Criteria to evaluate cloud services, despite many administrations are migrating to cloud solutions.
This talk will not talk about Cloud programs such as FedRamp, ENS, C5, SecNumCloud or ENISA EUCS scheme. All these schemes, evaluate the clod infrastructure and the controls specified in the respective standards.
But in those standards, we cannot find assurance requirements related to the product/service itself. e.g. If your WAF (Web Application Firewall) is cloud native and deployed in the cloud, you could obtain those cloud certifications but it would be NOT possible to obtain a CC certification using NIAP PPs.
To solve this problematic, a practical approach has been followed in Spain, evaluating the cloud services using the LINCE methodology but obtaining a qualification mark (instead of a certification). Several vendors such as AWS, Google or Microsoft have already undergone this kind of processes.
In this talk, we want to show jtsec’s hands-on experience evaluating cloud services and discuss the main issues that have been faced and the solutions that have been found (TOE definition, Test environment, TOE identification, permission to test, etc…).
We would like also to discuss how the experience obtained using the LINCE methodology could be extrapolated (or NOT) to the CC World.
TAICS - Cybersecurity Certification for European Market.pptxJavier Tallón
Taiwan Association of Information and Communication Standards (TAICS) organized a private event aimed mainly at Taiwanese developers and manufacturers who intend to integrate their products into the European market.
Due to the amount of existing cybersecurity legislation and methodologies in Europe, TAICS offered a webinar to clarify certain doubts, mainly regarding legal milestones and mandatory compliance when including an IT product in the European market.
EUCA23 - Evolution of cryptographic evaluation in Europe.pdfJavier Tallón
The draft of the URWP (Union Rolling Work Programme) of the European commission suggests a European Crypto Scheme as one of the potential schemes to be created under the CSA. The use of cryptographic modules to protect sensitive information in hardware, software and firmware products is becoming increasingly widespread. Until now, there has been a reference methodology for cryptographic evaluation at international level, FIPS 140-3. Nonetheless, at the SOG-IS level, there have been efforts to harmonize evaluations in Europe. The publication of the SOGIS Agreed Cryptographic Mechanisms or the SOGIS Harmonised cryptographic Evaluation Procedures show the efforts conducted in Europe during the last years. However, the pandemic situation has slowed down the progress. This talk will present the new approach to evaluate cryptography in Spain according to the methodology created jointly by CCN (Spanish CB) and jtsec, which could serve as a base for a potential European scheme. In addition, this talk will show the tool created to verify the conformance of cryptographic primitives.
This presentation will be especially useful for schemes and government entities to check if the approach could fit their needs.
Evolucionado la evaluación CriptográficaJavier Tallón
El uso de módulos criptográficos para proteger información sensible en productos hardware, software y firmware es cada vez más extendido. Por ello CCN, desarrolló en su Guía de Seguridad de las TIC CCN-STIC 2002 un Módulo de Evaluación Criptográfico (MEC) que se aplica a diferentes soluciones que implementan algoritmos criptográficos. Este módulo sirve de referencia en numerosas evaluaciones bajo la metodología LINCE en las que se aplica de forma adicional.
Debido al aumento cada vez mayor de requisitos criptográficos, CCN ha desarrollado, con el soporte de jtsec, una metodología que incluye pruebas de conformidad, búsqueda de errores comunes en las implementaciones y requisitos de implementación de las primitivas criptográficas.
El objetivo de la metodología criptográfica es el de establecer un marco común para llevar a cabo las evaluaciones criptográficas de los TOEs que van a ser evaluados para la obtención de un certificado Common Criteria, LINCE con validación criptográfica o STIC con validación Criptográfica.
En esta charla se presentará la nueva aproximación para evaluar la criptografía en España según la metodología creada conjuntamente por CCN y jtsec. Además, mostraremos la herramienta creada para verificar la conformidad de las primitivas criptográficas. Esta ponencia será especialmente útil para los desarrolladores de productos que conocerán los requisitos que se pedirán a partir de ahora.
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...Javier Tallón
El desarrollo de productos creados directamente en la nube (cloud nativo) es una práctica cada vez más extendida en la industria. La administración española no escapa a esa tendencia y es cada vez más habitual las migraciones a la nube. El despliegue y gestionado se realiza en la nube y normalmente son desarrollos en constante evolución, permitiendo a los fabricantes más flexibilidad para la continua mejora de sus productos.
Ante el continuo incremento de productos desarrollados en la nube, en febrero de 2020, el CCN publicaba el Anexo G de la “Guía de Seguridad de las TIC CCN-STIC 140” para la Taxonomía de productos de STIC - Servicios en la nube, donde se reflejan los Requisitos Fundamentales de Seguridad (RFS) para este tipo de servicios, considerándose requisitos adicionales que complementan a los requisitos definidos para cada una de las familias de productos. Una guía pionera a nivel internacional para la evaluación de servicios cloud, por lo que cabe destacar que España es el primer país en crear una metodología de evaluación para este tipo de servicios. Normalmente las evaluaciones en la nube, se centran en la gestión e infraestructura del servicio/producto dejando de lado la funcionalidad de seguridad implementada por el mismo.
En las evaluaciones de ciberseguridad, existe la particularidad de que estos servicios/productos no pueden ser completamente controlados/instalados en el laboratorio a la hora de realizar la evaluación, por lo que no se puede certificar usando las metodologías LINCE o Common Criteria. Este problema existe a nivel internacional.
Para solventar esta casuística, CCN diseño una estrategia de evaluación de servicios en la nube mediante evaluaciones STIC complementarias haciendo uso de la metodología LINCE.
Esta vía ha permitido la cualificación en el catálogo CPSTIC / CCN-STIC 105 de servicios en la nube. A día de hoy, hay 6 servicios en la nube incluidos en el catálogo CPSTIC. Todos ellos han sido evaluados por jtsec.
En jtsec nos hemos tenido que adaptar tecnológicamente para afrontar este tipo de evaluaciones, puesto que alrededor del 70% de evaluaciones iniciadas en 2022 por jtsec corresponden a servicios en la nube.
La charla describirá las particularidades de las evaluaciones en la nube tanto a nivel técnico como en el proceso. Además, pondrá de relieve los esfuerzos realizados a nivel nacional para que se puedan evaluar este tipo de soluciones.
EUCA 22 - Let's harmonize labs competence ISO 19896Javier Tallón
Harmonization on the competence of the different labs/evaluators have been always a topic for discussion in the Cybersecurity Certification community.
At ISO level, a new standard has been approved aiming to support this goal: ISO 19896.
ISO/IEC 19896 orders the requirements for information security testers and evaluators, including a set of concepts and relationships to understand the competency for individuals performing Common Criteria evaluations.
The requirements of this new ISO standard allows verifying that laboratories and personnel have sufficient capacity to handle a Common Criteria evaluation. However, there are some controversial points regarding this ISOs and how to apply it in Common Criteria, which will be explained during the talk.
Other topics to be addressed during the talk will be how EUCC, the first European cybersecurity scheme for ICT products, will cover the requirements of this ISO and other related standards.
EUCA22 Panel Discussion: Differences between lightweight certification schemesJavier Tallón
As we all know, Europe is one of the leading players in the world in terms of cybersecurity certification. The main European countries issuing certifications, such as France, the Netherlands, Germany and Spain, have created their own lightweight/Fixed-time methodologies (CPSN, BSPA, BSZ and LINCE). All of them with many similarities, but also with quite a few national differences within them. This panel discussion will open the discussion among the relevant stakeholders for European recognition of these schemes. The panel will also discuss on the future European fixed-time methodology lead by JTC13 WG3, called FITCEM, which aims to unify all European schemes into a single one. The panel will discuss the potential impact that FITCEM will have both technically and in terms of the European market to the different stakeholders (manufacturers, laboratories, certification bodies, institutional agencies, etc.).
Common Criteria is the most used international standard for cybersecurity certification for ICT products. CC has lights and shadows and for most of the stakeholders the main drawback might be the assurance continuity process. The application of CC for re-certifications of updates or security-patched products is very slow and not adapted to the time to market of new versions of products. EUCC includes patch management as an activity that may be assessed as part of the evaluation process. ISO SC27 WG3 have been working hard in the last years to prepare the technical specification that could be used to evaluate the TOE’s patching functionality and the developer’s patch management by adding new modules that can be integrated into PPs and STs. This talk will explain the current status and news of the ISO Technical Specification, and explain how it address the patch management problem taking into account the Cyber Security Act requirements. The speakers will be Javier Tallon and Sebastian Fritsch, co-editors of the ISO/IEC TS 9565.
Cross standard and scheme composition - A needed cornerstone for the European...Javier Tallón
The proliferation of new cybersecurity standards/schemes shows the interest of all the stakeholders to require cybersecurity for ICT products. On the other hand, a need for harmonization/recognition between standards/schemes is needed. Otherwise, there could be too many standards that become non-cost-effective for developers certifying their products.
For instance, almost every IoT vertical has its own set of cybersecurity standards. But IoT devices and it’s supply chain is not limited within a single vertical. In fact the contrary holds, that building blocks of an IoT device find appliance in a couple of other verticals. Assuming that these building blocks demonstrated cybersecurity compliance of some form, say for a particular vertical, it will be key for the economy to not repeat those proofs of compliance but instead accept across standards and schemes where applicable.
This talk will highlight the importance of the acceptance of certification and standard compliance results across different schemes or security standards. We will show examples (e.g., smart metering in France with de-facto acceptance of underlying CC results, SESIP to IEC62443-4-2) where this has been applied successfully, but will also look at existing standards or schemes where this would be possible (e.g. EUCC, FITCEM, etc‚) or proposals on how to apply this for Industrial IoT (IACS ERNCIP recommendations to the EU commission).
The talk will be given from the developer perspective (Georg Stütz from NXP) and lab perspective (Jose Ruiz from jtsec)
Is Automation Necessary for the CC Survival?Javier Tallón
The use of different automation tools in Common Criteria is a reality. In recent years, it has been demonstrated that the capacity to take on a large number of Common Criteria evaluations, both by laboratories and by the Certification Bodies, is limited. The automation of certain processes through the use of tools created specifically for this purpose is seen as the only possible way to speed up the process, both in terms of time and workload. How will the use of tools affect the immediate future of the different stakeholders in Common Criteria? Will automation lead to an increase in the number of certifications and the possibility that more companies will be able to become certified?
CCCAB tool - Making CABs life easy - Chapter 2Javier Tallón
CCCAB (Common Criteria Conformity Assessment Body) Tool is a unique framework that will allow Common Criteria CABs to smooth the certification process for ICT products, reducing the cost and time required in each single certification process.
CCCAB will be developed to support NCCAs (National Cybersecurity Certification Authorities) when acting as CABs for level high and CABs (Conformity Assessment Bodies) for level substantial operating under the EUCC (Common Criteria based European candidate cybersecurity certification scheme) scheme. CCCAB has been selected by the European Commission under the Connecting Europe Facility (CEF) programme as a granted project. Two European NCCAs are also supporting CCCAB: CCN (Spain) and OCSI (Italy), reflecting the magnitude of the project. CCCAB will be released as an open source product and will be free to use allowing the community to improve the tool in the future. This tool was presented at last ICCC.
In this year presentation, we will be able to show the specifications that have been defined to interact with the tool. We will be able to present the current status of the development showing the first operational version of CCCAB. Finally, we will discuss the challenges to make the tool accessible widely.
2022 CC Statistics report: will this year beat last year's record number of c...Javier Tallón
CC Scraper is a tool developed by jtsec 5 years ago that that analyses automatically the information from the CC and CBs portals using OCR capabilities and other features. Including detailed insights about Common Criteria like certification per assurance level, trends by Protection Profile, ranking of manufacturer, among others. We have published free annually reports regarding. In last year’s edition, we presented the statistics for 2021, the year with the most Common Criteria certifications in history. Would you like to know the data of the first three quarters of 2022? Will this year beat last year’s record number of certifications? Which labs and vendors will be in the top?
This presentation will show Common Criteria’s data in a year that has taken place against a context of global uncertainty and instability.
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...Javier Tallón
Artículo publicado en la edición nº 148 de la Revista SIC, donde presentamos la herramientas que estamos desarrollando, pionera en el mercado.
CCCAB es un proyecto financiado por la Comisión Europea en el marco del programa Connecting Europe Faciclity (CEF), que permite ahorrar tiempo y esfuerzo a los CABs (Certification Assessments Bodies), aligerando su carga de trabajo para optimizar la fase de certificación.
This document discusses José Ruiz and his experience with Common Criteria and FIPS certification standards. It then summarizes the need for automation tools to streamline the certification process, addressing issues like a lack of engineers and high paperwork demands. Specific tools are mentioned, including NIAP's tool for automating security targets and CCToolbox, which the document's author developed. CCToolbox aims to simplify and automate documentation, evaluation activities, and the overall certification workflow. Benefits discussed include reduced time and costs for manufacturers and laboratories.
CCCAB (Common Criteria Conformity Assessment Body) Tool is a unique framework that will allow Common Criteria CABs to smooth the certification process for ICT products, reducing the cost and time required in each single certification process.
CCCAB will be developed to support NCCAs (National Cybersecurity Certification Authorities) when acting as CABs for level high and CABs (Conformity Assessment Bodies) for level substantial operating under the EUCC (Common Criteria based European candidate cybersecurity certification scheme) scheme.
CCCAB has been selected by the European Commission under the Connecting Europe Facility (CEF) programme as a granted project. Two European NCCAs are also supporting CCCAB: CCN (Spain) and OCSI (Italy), reflecting the magnitude of the project.
CCCAB will be released as an open source product and will be free to use allowing the community to improve the tool in the future. The presentation will show the objectives, status of the development and the potential of the tool and what it will mean for the different stakeholders involved in a Common Criteria certification process.
This document summarizes Common Criteria certification statistics from various sources including the CCScraper tool. It provides statistics for 2021 based on data collected up to September 30th, highlighting the top certification schemes, assurance levels, laboratories, product categories and manufacturers. It also analyzes trends over the past 5 years and discusses the impact of the COVID-19 pandemic on certification numbers.
The document discusses cybersecurity certification standards. It provides a brief history of early certification standards from the 1980s to the present Common Criteria standard. It notes that certification involves an accredited third party audit against a standard to issue a conformity certificate. Successful standards are cost-effective, provide value, and have properties like those in the Kama Sutra. The document also introduces the jtsec cybersecurity company, describing their evaluation, consultancy, and development teams and some of their projects involving major tech companies.
para programadores y desarrolladores de inteligencia artificial y machine learning, como se automatiza una cadena de valor o cadena de valor gracias a la teoría por Manuel Diaz @manuelmakemoney
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...AMADO SALVADOR
Descarga el Catálogo General de Tarifas 2024 de Vaillant, líder en tecnología para calefacción, ventilación y energía solar térmica y fotovoltaica. En Amado Salvador, como distribuidor oficial de Vaillant, te ofrecemos una amplia gama de productos de alta calidad y diseño innovador para tus proyectos de climatización y energía.
Descubre nuestra selección de productos Vaillant, incluyendo bombas de calor altamente eficientes, fancoils de última generación, sistemas de ventilación de alto rendimiento y soluciones de energía solar fotovoltaica y térmica para un rendimiento óptimo y sostenible. El catálogo de Vaillant 2024 presenta una variedad de opciones en calderas de condensación que garantizan eficiencia energética y durabilidad.
Con Vaillant, obtienes más que productos de climatización: control avanzado y conectividad para una gestión inteligente del sistema, acumuladores de agua caliente de gran capacidad y sistemas de aire acondicionado para un confort total. Confía en la fiabilidad de Amado Salvador como distribuidor oficial de Vaillant, y en la resistencia de los productos Vaillant, respaldados por años de experiencia e innovación en el sector.
En Amado Salvador, distribuidor oficial de Vaillant en Valencia, no solo proporcionamos productos de calidad, sino también servicios especializados para profesionales, asegurando que tus proyectos cuenten con el mejor soporte técnico y asesoramiento. Descarga nuestro catálogo y descubre por qué Vaillant es la elección preferida para proyectos de climatización y energía en Amado Salvador.
El uso de las TIC en la vida cotidiana.pptxjgvanessa23
En esta presentación, he compartido información sobre las Tecnologías de la Información y la Comunicación (TIC) y su aplicación en diversos ámbitos de la vida cotidiana, como el hogar, la educación y el trabajo.
He explicado qué son las TIC, las diferentes categorías y sus respectivos ejemplos, así como los beneficios y aplicaciones en cada uno de estos ámbitos.
Espero que esta información sea útil para quienes la lean y les ayude a comprender mejor las TIC y su impacto en nuestra vida cotidiana.
La inteligencia artificial sigue evolucionando rápidamente, prometiendo transformar múltiples aspectos de la sociedad mientras plantea importantes cuestiones que requieren una cuidadosa consideración y regulación.
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)AbrahamCastillo42
Power point, diseñado por estudiantes de ciclo 1 arquitectura de plataformas, esta con la finalidad de dar a conocer el componente hardware llamado tarjeta de video..
2. Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
2
Javier Tallón
Director técnico
jtallon@jtsec.es
@javiertallon
More than 15 years in IT Security
Full-stack hacker wannabe
3. CONTENIDO
1. LINCE, ENECSTI, CPSTIC y otras hierbas
2. Los sistemas de video identificación en el MundoReal®
3. El Anexo F11 y la Instrucción Técnica 14
1. Inyección de video
2. Pruebas funcionales y ataques de presentación
3. Validación de documentos
4. Conclusiones
4. CONTENIDO
1. LINCE, ENECSTI, CPSTIC y otras hierbas
2. Los sistemas de video identificación en el MundoReal®
3. El Anexo F11 y la Instrucción Técnica 14
1. Inyección de video
2. Pruebas funcionales y ataques de presentación
3. Validación de documentos
4. Conclusiones
5. LINCE, ENECSTI, CPSTIC y otras hierbas
¿Quién es quién?
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
5
autoriza
evalúa
es
incluido
Laboratorio
acreditado define requisitos de seguridad
2
1
3
4
6. LINCE, ENECSTI, CPSTIC y otras hierbas
Un caso de uso particular: las herramientas de videoidentificación
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
6
La emergencia sanitaria generada por la crisis de la COVID-19 ha exigido durante
el estado de alarma el confinamiento de la ciudadanía y la drástica limitación de
los desplazamientos personales, con vistas a frenar el crecimiento de los
contagios. De forma transitoria y excepcional, a través de la disposición adicional
undécima del Real Decreto-ley 11/2020, de 31 de marzo, por el que se adoptan
medidas urgentes complementarias en el ámbito social y económico para hacer
frente a la COVID-19, se habilitó un sistema temporal de identificación remota
para la obtención de certificados cualificados, con el fin de contribuir a reducir
los desplazamientos de los ciudadanos para realizar trámites, sin mermar sus
derechos.
Con el fin de implantar de forma permanente y con plena seguridad jurídica dicha
posibilidad, el artículo 7.2 de la Ley 6/2020, de 11 de noviembre, reguladora de
determinados aspectos de los servicios electrónicos de confianza, habilita a que
mediante orden ministerial de la persona titular del Ministerio de Asuntos
Económicos y Transformación Digital se determinen las condiciones y requisitos
técnicos de verificación de la identidad a distancia y, si procede, otros atributos
específicos de la persona solicitante de un certificado cualificado, mediante otros
métodos de identificación como videoconferencia o vídeo-identificación que
aporten una seguridad equivalente en términos de fiabilidad a la presencia física,
que permitan la implantación de los citados métodos por parte de los
prestadores de servicios electrónicos de confianza, en razón de las
especificidades propias de este sector y las obligaciones de seguridad a que
están sujetos los prestadores cualificados
7. LINCE, ENECSTI, CPSTIC y otras hierbas
Un caso de uso particular: las herramientas de videoidentificación
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
7
…
Empleará un producto de identificación remota por vídeo que cumpla los
requisitos mínimos de seguridad indicados en el anexo F.11 de la Guía de
Seguridad de las TIC CCN-STIC-140, del Centro Criptológico Nacional de
categoría alta. El prestador cualificado deberá seguir las indicaciones de
configuración y uso seguro del producto. El cumplimiento de dicha obligación
deberá ser certificado siguiendo metodologías de evaluación reconocidas por el
Organismo de Certificación del ENECSTI (Esquema Nacional de Evaluación y
Certificación de la Seguridad de las Tecnologías de la Información), por un
organismo acreditado según la norma ISO/IEC 17065.
No obstante, en caso de indisponibilidad de metodologías de evaluación
aplicables para la certificación del producto, se admitirá la acreditación de
cumplimiento de la citada obligación mediante la evaluación de su seguridad e
inclusión en el listado de productos cualificados del Catálogo de Productos y
Servicios de Seguridad de las Tecnologías de la Información y la Comunicación
(Guía de Seguridad de las TIC CCN-STIC-105) publicado por el Centro Criptológico
Nacional.
…
8. LINCE, ENECSTI, CPSTIC y otras hierbas
LINCE
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
8
LINCE es una metodología de evaluación y certificación para productos de seguridad TIC desarrollada por
el Centro Criptológico Nacional enfocada en el análisis de vulnerabilidades y las pruebas de penetración.
Se ha desarrollado para ser un medio objetivo que permita valorar y acreditar la capacidad de un producto
TIC para manejar información de forma segura.
A diferencia de otras certificaciones, como Common Criteria, la evaluación LINCE se realiza dentro de un
tiempo y esfuerzo bien acotados. De esta forma, los costes son accesibles para todo tipo de fabricantes.
LINCE Básica: 25 días de esfuerzo, 8 semanas de duración
5 días de esfuerzo, 2 semanas de duración por cada módulo adicional:
+ Módulo MEC: Evaluación criptográfica
+ Módulo MCF: Análisis de código fuente
+ Módulo MEB: Evaluación Biométrica
“El CCN proporcionará las instrucciones técnicas y guías que se
deben seguir para realizar la evaluación de cada una de las
modalidades biométricas”
9. CONTENIDO
1. LINCE, ENECSTI, CPSTIC y otras hierbas
2. Los sistemas de video identificación en el MundoReal®
3. El Anexo F11 y la Instrucción Técnica 14
1. Inyección de video
2. Pruebas funcionales y ataques de presentación
3. Validación de documentos
4. Conclusiones
10. Los sistemas de video
identificación en el MundoReal®
Casos de uso
• Apertura de cuentas bancarias mediante firma
electrónica cualificada en toda la UE
• Aprobación de operaciones entre la entidad y el
consumidor en otros servicios financieros
• Procesos de firma electrónica cualificada disponibles
en plataforma online, destinado a ser usado por
PYMES.
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
10
11. CONTENIDO
1. LINCE, ENECSTI, CPSTIC y otras hierbas
2. Los sistemas de video identificación en el MundoReal®
3. El Anexo F11 y la Instrucción Técnica 14
1. Inyección de video
2. Pruebas funcionales y ataques de presentación
3. Validación de documentos
4. Conclusiones
12. El Anexo F11 y la Instrucción Técnica 14
Inyección de video
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
El Anexo F11 define los requisitos de seguridad esperables en una solución de video identificación:
° Administración confiable ° Identificación y autenticación ° Canales seguros ° Auditoría
° Protección frente a la captura de evidencias ° Verificación biométrica
° Validación de los documentos presentados
=
Protección frente a la captura de evidencias
GEN.2
Grabación en directo
GEN.1
Acto secuencial
12
13. El Anexo F11 y la Instrucción Técnica 14
Inyección de video
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
El dispositivo de captura de video (la webcam) está bajo el control del sistema operativo, dos escenarios posibles:
Navegador web
en PC
Aplicación
nativa
Servidor de video identificación
13
14. El Anexo F11 y la Instrucción Técnica 14
Inyección de video
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
OBS es tu amigo
Soluciones implementadas por algunos fabricantes:
- Detección del nombre de la cámara o del número de cámaras
- Al ejecutarse el código en el navegador, manipular las
peticiones suele ser trivial
14
15. El Anexo F11 y la Instrucción Técnica 14
Inyección de video
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
- Ninguna herramienta disponible
- Pequeña prueba de concepto usando Frida e interceptando y
reemplazando el buffer de la cámara
15
16.
17. El Anexo F11 y la Instrucción Técnica 14
Inyección de video
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
Defenderse es complejo. Hay que garantizar que la petición viene
de un dispositivo no comprometido:
- Certificate pinning
- Peticiones firmadas
- Detección de jailbreak
- Criptografía de caja blanca / Ofuscación
- Android SafetyNet + Hardware attestation // iOS AppAttest
17
18. El Anexo F11 y la Instrucción Técnica 14
Pruebas funcionales y ataques de presentación
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
SOL.2
Detección de vida
Foto del documento
SOL.1
Verificación biométrica
facial
vs
Imagen capturada
SOL.3
Mecanismos de detección
de ataques de presentación
El Anexo F11 define los requisitos de seguridad esperables en una solución de video identificación:
° Administración confiable ° Identificación y autenticación ° Canales seguros ° Auditoría
° Protección frente a la captura de evidencias ° Verificación biométrica
° Validación de los documentos presentados
=
Verificación biométrica
19. El Anexo F11 y la Instrucción Técnica 14
Pruebas funcionales y ataques de presentación – Setup de pruebas
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
- Elgato HD60 X Capturadora de vídeo externa
- Caja Razer Core X + GEForce RTX 3080 Trinity OC LHR 10GB
320BIT GDDR6x
- TV Samsung QLED UltraHD 4K HDR10+ 75”
- Webcam Logitech C920e
- Maquillaje
- Máscaras
19
- CCN Match
- DeepFaceLab: Framework Open Source para facilitar la creación de deepfakes.
- DeepFaceLive: Framework Open Source para ejecutar deepfakes en tiempo real.
- Google Colab: Integración de Jupyter Notebooks en la nube por parte de Google.
20. El Anexo F11 y la Instrucción Técnica 14
Pruebas funcionales y ataques de presentación – Pruebas funcionales
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
20
Face Recognition Vendor Test (FRVT) en la categoría
VISABORDER del NIST con una tasa de FNMR (False Non
Match Rate) menor o igual a 5% para un FMR (False Match
Rate) de menor o igual a 1/1000000.
Comprobar que el producto funciona correctamente
en los casos habituales de uso, suponiendo un uso
cooperativo por parte del sujeto fidedigno.
21. 21
El Anexo F11 y la Instrucción Técnica 14
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
Pruebas funcionales y ataques de presentación – Ataques de impostor
Parecidos razonables
22. 22
El Anexo F11 y la Instrucción Técnica 14
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
Pruebas funcionales y ataques de presentación – Ataques de impostor
23. El Anexo F11 y la Instrucción Técnica 14
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
Objetivo de la prueba: Comprobar que el producto no es vulnerable a la
suplantación de un sujeto fidedigno por parte de un atacante que utilice un
vídeo de un sujeto fidedigno.
Ataque: Reproducimos un video del sujeto fidedigno en la TV de 75”
realizando una identificación de manera correcta.
Prerrequisitos: El escenario de ataque contempla que el atacante ha
robado el DNI del sujeto fidedigno y ha sido capaz de grabar una prueba
de vida del usuario.
Posible defensa: Aleatorización de la prueba de vida.
Pruebas funcionales y ataques de presentación – Video en pantalla
23
24.
25. 25
El Anexo F11 y la Instrucción Técnica 14
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
Objetivo de la prueba: Comprobar que el producto no es vulnerable a la
suplantación de un sujeto fidedigno por parte de un atacante que utilice una
máscara de bajo coste como artefacto.
Ataque: Utilizamos dos tipos de máscaras:
- Máscara impresa en papel
- Máscara “segunda piel”
El atacante tiene que taparse la boca para simular la prueba de vida del producto
(sonreír).
Prerrequisitos: El escenario de ataque contempla que el atacante ha robado el
DNI del sujeto fidedigno y ha sido capaz de generar una máscara de bajo coste a
partir de una foto del sujeto fidedigno.
Posible defensa: Aleatorización de la prueba de vida. Detección de brillos.
Pruebas funcionales y ataques de presentación – Máscaras de bajo coste
26.
27. El Anexo F11 y la Instrucción Técnica 14
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
Pruebas funcionales y ataques de presentación – Máscaras avanzadas
27
Objetivo de la prueba: Comprobar que el TOE no es vulnerable a la suplantación
de un sujeto fidedigno por parte de un atacante que utilice una máscara
avanzada como artefacto.
Ataque: Limitado por el coste de las máscaras. Dos máscaras para todos los
laboratorios (~800€ c/u). El CNP genera especímenes de DNI para realizar la
prueba.
El atacante tiene que taparse la boca para simular la prueba de vida del producto
(sonreír).
Prerrequisitos: El escenario de ataque contempla que el atacante ha robado el
DNI del sujeto fidedigno y ha sido capaz de generar una máscara avanzada a
partir de una foto del sujeto fidedigno.
Posible defensa: Aleatorización de la prueba de vida. Detección de pesadillas.
http://www.barbatosfx.
com/
https://www.etsy.com/jp/shop/maskshopOMOT
E
28. El Anexo F11 y la Instrucción Técnica 14
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
Pruebas funcionales y ataques de presentación – Máscaras avanzadas
28
29. El Anexo F11 y la Instrucción Técnica 14
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
Pruebas funcionales y ataques de presentación – Máscaras avanzadas
29
30. El Anexo F11 y la Instrucción Técnica 14
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
Pruebas funcionales y ataques de presentación – Máscaras avanzadas
30
31. El Anexo F11 y la Instrucción Técnica 14
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
Pruebas funcionales y ataques de presentación – Maquillaje
Objetivo de la prueba: Comprobar que el TOE no es vulnerable a la
suplantación de un sujeto fidedigno por parte de un atacante que
utilice maquillaje protésico como artefacto.
Ataque: Limitado por el coste de las prótesis y el maquillaje.
Prerrequisitos: El escenario de ataque contempla que el atacante ha
robado el DNI del sujeto fidedigno y ha sido capaz de generar una
máscara a partir de una foto del sujeto fidedigno.
Posible defensa: ¿?¿?¿?¿?¿?¿?
31
32. El Anexo F11 y la Instrucción Técnica 14
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
Pruebas funcionales y ataques de presentación – Maquillaje
32
rostro serio rostro sonriendo
33.
34. El Anexo F11 y la Instrucción Técnica 14
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
Pruebas funcionales y ataques de presentación – DeepFake
34
Objetivo de la prueba: Comprobar que el TOE no es vulnerable a la suplantación
de un sujeto fidedigno por parte de un atacante que utilice herramientas de
DeepFake
Ataque: Limitado por el parecido máximo según CCN-MATCH. Hay que
ejecutarlo en tiempo real.
Prerrequisitos: El escenario de ataque contempla que el atacante ha robado el
DNI del sujeto fidedigno y ha sido capaz de generar un DeepFake a partir de
múltiples fotos del sujeto fidedigno.
Posible defensa: Aleatorización de la prueba de vida. Detección de artefactos en
la imagen. Evitar la inyección de vídeo / Detectar pantallas.
35.
36. CONTENIDO
1. LINCE, ENECSTI, CPSTIC y otras hierbas
2. Los sistemas de video identificación en el MundoReal®
3. El Anexo F11 y la Instrucción Técnica 14
1. Inyección de video
2. Pruebas funcionales y ataques de presentación
3. Validación de documentos
4. Conclusiones
37. El Anexo F11 y la Instrucción Técnica 14
Validación de documentos
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
DOC.2
Verificar fecha de validez
DOC.1
Detectar ataques de
replicación e impresión
DOC.3
Zona de
inspección visual (VIZ) ==
la MRZ (zona de lectura
mecanizada).
El Anexo F11 define los requisitos de seguridad esperables en una solución de video identificación:
° Administración confiable ° Identificación y autenticación ° Canales seguros ° Auditoría
° Protección frente a la captura de evidencias ° Verificación biométrica
° Validación de los documentos presentados
=
Validación de los
documentos presentados
38. El Anexo F11 y la Instrucción Técnica 14
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
Validación de documentos
impresión en papel sobre tarjeta de PVC foto del DNI en pantalla
recorte de papel
sobre foto del DNI 38
39. CONTENIDO
1. LINCE, ENECSTI, CPSTIC y otras hierbas
2. Los sistemas de video identificación en el MundoReal®
3. El Anexo F11 y la Instrucción Técnica 14
1. Inyección de video
2. Pruebas funcionales y ataques de presentación
3. Validación de documentos
4. Conclusiones
40. Conclusiones
(breves)
• Hackear sistemas de video identificación es divertido
• Todos los productos que hemos probado son
mejorados como resultado de la evaluación
• IT13 → Futura norma europea
• El estado del arte hace difícil (pero no imposible) evitar
la inyección de video y el DeepFake
• El proceso completo aporta una garantía adicional por
la presencia de un operador humano
• No esperar más de un sistema automático que de uno
manual (e.g. gemelos, maquillajes o DeepFake
avanzados, etc)
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
40
42. 42
El Anexo F11 y la Instrucción Técnica 14
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
Pruebas funcionales y ataques de presentación – Ataques de impostor
43. 43
El Anexo F11 y la Instrucción Técnica 14
Javier Tallón | jtsec Hacking your jeta! Burlando sistemas de video identificación
Pruebas funcionales y ataques de presentación – Ataques de impostor