Presentacion

Enrique Cabello Universidad Rey Juan Carlos

enrique.cabello@urjc.eshttp://www.frav.es

1

Acerca de grupo de investigacinGrupo de investigacin de la URJC.

En el Departamento Informtica y Estadstica (Escuela Tcnica Superior de Ingeniera Informtica).

Formado por 3 profesores, 4 investigadores a tiempo completo (3 doctores, 1 ingeniero), 1 becario, colaboradores (Mxico, alumnos).

Proyectos activos:ABC4EU: Proyecto Europeo dentro del FP7.Invisum (Intelligent Videosurveillance System): Proyecto nacional.

2

Acerca de grupo de investigacin

Proyectos anteriores:SIBAR anlisis y la evolucin de los sistemas de control fronterizo automtico.

Proyectos de Seguridad desarrollados en el Aeropuerto de Madrid Barajas.Reconocimiento facial sin intrusionSeguimiento multicmara de sospechososDeteccin de objetos abandonados

3

Acerca de grupo de investigacin

Lneas de Investigacin:SeguridadSistemas ABCVideovigilancia InteligenteSistemas Bioinspirados

4

Dos palabras sobre miFrontex Expert:IDCHECKS2013Expert Frontex/CEI/48/2013

Member of ISO/IEC JTC 1/SC 37: Biometrics

Member of CEN TC 224 WG 18: BiometricsCo-editor of the Technical Specification in Personal identification Recommendations for using biometrics in European Automated Border ControlEditor of the Technical Specification in Borders and Law Enforcement Application Profiles for mobile biometric identification systems

5

Indice

Antispoofing.

Privacy by design.

Gestin de riesgos.

6

Indice Por que son importantes?Un sistema puede acertar siempre con el nombre de un sujeto pero si no detecta si es un sujeto real o una cartulina con la cara impresa es muy poco tilPorque los usuarios somos cada vez ms conscientes de la necesaria proteccin de nuestros datos. Sobre todo biomtricos. Puedo cambiar mi password, pero no mi huella. Saber que riesgos se corren al actuar.7

AntispoofingPosibles Ataques:

Presentation attack detection (antes del sensor)

Antispoofing (despus del sensor: relacionado con Seguridad Informtica)Spoofing: suplantacinAntispoofing: intento de descubrir la suplantacin

8

AntispoofingEn el esquema:1 PAD2-8 Ataques indirectos

9

AntispoofingCuando me identifico:Una clave: pin o DNI o pasaporte o passwordUn dato biomtrico: cara o huella o iris o algn otro

Puedo falsificar el pin (o bien obtenerlo).Puedo falsificarme yo?

10

AntispoofingICAO:

Cara

Huella

Iris (aunque no implementado en pasaportes o DNIs).

11

AntispoofingGattaca (1997):Engaar a un analizador de ADN poniendo gotas de sangre en un dedo falso.

12

AntispoofingConferencia Black Hat (2009):Una imagen impresa de una cara desbloque los sistemas de reconocimiento facial de tres portatiles. Asus (F6S Series, X80 Series): Asus SmartLogin ver 1.0.0005Toshiba (L310, M300): Toshiba Face Recognition ver 2.0.2.32 Lenovo (Y410, Y430): Lenovo Veriface III

13

AntispoofingCVDazzle (2010)No es spoofing: el objetivo es que la cara no sea detectada.

14

AntispoofingDiversas opciones:

15

AntispoofingAndroid 4.0 (2011):Presentaba un bloqueo que se poda eliminar cuando el usuario estaba frente al terminal.Se pudo desbloquear:Por medio de videosPor medio de fotosAndroid 4.1 (2012)Se mejor el sistema detectando el parpadeo

16

Antispoofing

17

AntispoofingVuelo Hong Kong-Vancouver (2011)

18

AntispoofingSpoofing de huellas digitales: Primer paso: crear un molde

19

AntispoofingSpoofing de huellas digitales: Segundo paso: crear la huella

20

AntispoofingiPhone 5s - Touch ID (2013)Apple lanza su nuevo iPhone con desbloqueo basado en huella

21

AntispoofingiPhone 5s - Touch ID (2013)2 das despus ya era posible desbloquearlo con una huella falsa.http://dasalte.ccc.de/biometrie/fingerabdruck_kopieren.en

22

Antispoofing facialHa sido objeto de estudio en varios proyectos europeos:Tabula RasaFast PassBEATEn ABC4EU se realizarn algunos experimentos.

23

Antispoofing facial tradicionalTipo de ataque considerado:CartulinaCaretaVideo (ipad, tablet)En general, en un entorno de laboratorio

24

Antispoofing facial tradicionalQue se suele analizar?Anlisis de movimiento. Se usa el flujo ptico para que ver si el movimiento es de un objeto 3D deformable (una cara) o de un slido rgido (una mscara o una foto).Anlisis de texturas: se intenta caracterizar la textura de una cara real frente a la que proviene de una imagen impresa o en una pantalla. Deteccin de vivacidad (Liveness) : se intenta determinar que el sujeto est vivo (parpadeo, movimiento de labios, etc.)

25

Antispoofing facialCompeticiones todos los aos:IJCB 2011: 6 teams [Chakka, et al 2011]ICB 2013: 8 teams [Chingovska, et al 2013]Los participantes suelen provenir de universidades. Los ataques considerados hasta ahora:Fotografias impresasFotografas en un dispositivo movil (iPhone / iPad)Vdeos en un dispositivo mvil

26

AntispoofingResumen de resultados en competicin 2013:Equipos 1 y 4 obtuvieron 100% aciertosAlgoritmos sofisticados

Team12345678Texture basedYesNoYesYesYesYesYesYesMotion basedYesNoYesYesNoNoNoNoLiveness basedNoYesNoNoNoNoNoNoFusionFeatureScoreScoreFeatureFeatureScoreNoNo

27

Problemas abiertosLos sujetos cambian debido a la edad.

28

Problemas abiertosCondiciones inadecuadas: difcil extraer texturas y otra informacin

29

ABC4EUABC4EU es un proyecto FP7 (EU Seventh Framework Programme) Duracin 3,5 aos, iniciado en enero de 2014.Consorcio de 15 socios de 8 paises de la Unin Europea y liderado por Indra Sistema S.A.

30

ABC4EUConsorcio

31

ABC4EU

32

ABC4EU

33

Problemas abiertosUna subtarea es antispoofing facial.Aqu el entorno es bastante controlado.

34

Problemas abiertosSe ha simulado un puesto ABC en el lab.

35

ABC4EU antispoofingLa hiptesis inicial es que en el NIR los ataques van a ser mas fciles de detectar que en el visible.Al menos, dificulta el ataque (el ataque tiene que ser en visible y en NIR).

36

Problemas abiertosSe ha utilizado iluminacin NIR (infrarrojo cercano) Se ha creado una base de datos Visible-NIR

37

ABC4EUSe dispone de 11 sujetos De cada uno de ellos se han obtenido 35 imgenes.

Subject image (NIR)Photo attack(NIR)Eye cut photo attack (NIR)Subject Image (VIS)Photo attack (VIS)Eye cut photo attack (VIS) Tablet attack (VIS)5 photos5 photos5 photos5 photos5 photos5 photos5 photos

38

ABC4EUTambin se han obtenido 7 vdeos.

Subject video (NIR)Video attack(NIR)Eye cut video attack (NIR)Subject video (VIS)Video attack (VIS)Eye cut video attack (VIS) Tablet video attack (VIS)1 video1 video1 video1 video1 video1 video1 video

39

Ejemplo

40

AtaquesImagen impresa (Infrarrojo-Color)

41

AtaquesImagen impresa (permitiendo el parpadeo) (infrarrojo y color).

42

AtaquesVideo en una tablet

43

Local Binary PatternEs un mtodo de anlisis de textura local.Se compara cada pxel con los vecinos.Tomamos un pixel como central y lo comparamos con los 8 vecinos.Si el nivel de gris del pixel central es mayor que su vecino, ponemos un 1 (0 en caso contario).Se concatenan los 1 y los 0 para obtener un nmero en binario.

44

Local Binary PatternLa nueva imagen de textura se forma con estos valores como nuevos niveles de gris.

45

Local Binary PatternSe pueden usar otros tipos de vecinos.Lo normal es usar n en un circulo rodeando a un pxel.

46

Algoritmo utilizadoAlgoritmo utilizado: anlisis de texturas (LBP).

47

Algoritmo utilizadoLBP: Mtodo de referencia con buenas prestaciones y rendimiento.

48

49

Falta agreagar la demos que la grabare cuando vaya.49

ResultadosSeparacin entre ataques y autnticos

50

conclusionesEs una prueba-de-concepto: base de datos pequea (en nmero de sujetos y en ataques).

Incorporar ms sensores y posiblemente fusin con informacin 3d.

51

Privacidad desde el diseoProteccin de datos: LOPD.

Dar un paso ms en esta direccin.

El diseo es la primera etapa de un sistema o de una aplicacin. Desde el diseo se debe garantizar la privacidad.

52

Siete principios bsicos (1)Proactivo, no Reactivo; Preventivo no CorrectivoPrevenir mejor que curar.No ofrece remedios para resolver infracciones de privacidad una vez que ya ocurrieron .El objetivo es que no ocurran.

53

Siete principios bsicos (2)La configuracin predeterminada por defecto es la que mantiene la privacidad.No hay que hacer nada especial.El administrador/usuario no tiene que realizar acciones especiales.

54

Siete principios bsicos (3)Privacidad Incrustada en el Diseo No es un extra que se aade al final. Es un elemento dentro del diseo de la aplicacin o del programa. No limita el aspecto tcnico, camina con l desde el principio.

55

Siete principios bsicos (4)Funcionalidad Total Todos ganan.No se plantea como un problema de suma cero. No es si alguien gana, otro pierde.En concreto: no es una lucha privacidad frente a seguridad.

56

Siete principios bsicos (5)Seguridad de Principio a Fin.La proteccin acompaa al ciclo de vida completo.Desde el diseo de la aplicacin (antes de que existan los datos).Se disea la obtencin, almacenamiento, procesamiento y destruccin de los datos. Si hay cambio de requisitos (nuevas funcionalidades o cambios) la privacidad desde el diseo se incrusta en estas nuevas opciones.

57

Siete principios bsicos (6)Visibilidad y Transparencia Mantenerlo AbiertoDebe ser posible verificarse por una entidad independiente. Se debe mantener la posibilidad de auditar el cumplimiento de los requisitos (igual que cualquier otra caracterstica implementada).

58

Siete principios bsicos (7)Mantener un Enfoque Centrado en el Usuario.El usuario es quien proporciona datos.En general, no es un experto. Por lo tanto, por defecto se mantendr un sistema de defensa de la de privacidad robusto. Las notificaciones que se hagan desde/hacia el sistema sern notificacin apropiadas y amigables para (al menos) un usuario promedio.

59

Pseudoidentidades (PI)En lugar de trabajar con la identidad se trabajar con un PI (pseudoidentidad).Una PI no revela ninguna informacin que permite la recuperacin de los datos originales biomtricos. Es irreversible y sin conexin con los datos originales.Es renovable - un nmero muy grande de PI independientes puede ser generado a partir de la misma medicin biomtrica y puede ser revocado.

60

Pseudoidentidades (PI)La PI se crean en el proceso de enrolment.Las muestras biomtricas son procesadas por un extractor de caractersticas para generar un conjunto de caractersticas que tienen propiedades discriminativas. Esta parte es, en esencia, lo mismo que un proceso de inscripcin biomtrica convencional. Posteriormente, un codificador de pseudoidentidad (PIE) genera la referencia biomtrica renovable que comprende un IP y datos auxiliares (AD). La muestra biomtrica y las caractersticas extradas de las mismos se pueden descartar tan pronto como se crean los elementos PI y AD.

61

Pseudoidentidades (PI)Los elementos PI y AD se almacenan para su uso posterior (pueden hacerse de forma independiente). El almacenamiento puede ser implementado en una base de datos central o en un elemento que puede llevar el usuario (tarjeta, NFC, etc). La gran ventaja de la separacin de datos es que tanto el sujeto (que lleva el testigo que contiene AD) y el proveedor de servicios (que tiene acceso a la PI) deben cooperar.

62

Pseudoidentidades (PI)Durante la verificacin, el sujeto aporta una nueva muestra biomtrica, a un sistema que consta de un extractor de caractersticas y un recodificador de PI (PIR).El PIR genera un nuevo PI* basado en las caractersticas extradas y el AD. Slo si se presentan el AD correcto y la caracterstica biomtrica es legtima, el PI* reconstruido coincidir con el PI. En todos los dems casos, la autenticacin fallar.

63

Pseudoidentidades (PI)Match-on-card: En algunos sistemas, el PI* se puede combinar con el comparador de pseudo identidad (PIC) en un componente lgico o fsico llamado verificador de pseudo identidad (PIV), que emite directamente un resultado binario de verificacin.

64

Problemas abiertosPrivacidad de la Identidad.El almacenamiento de datos biomtricos es uno de los riesgos ms graves de perdida de privacidad. La unin entre los datos de identidad biomtrica y otros datos (cuenta bancaria, tarjeta de crdito) puede permitir vincular informacin sensible. Por lo tanto, es crucial que los datos biomtricos estn separados y protegidos de forma segura.

65

Problemas abiertosIrreversibilidad.Los datos biomtricos slo deben usarse para el propsito original.Los datos biomtricos deben ser transformados de tal manera que la muestra biomtrica no puede ser recuperada de la representacin transformada. Es decir, la transformacin debe ser irreversible.Preferiblemente sin comprometer el rendimiento de verificacin biomtrica. La irreversibilidad se debe mantener incluso cuando los datos biomtricos son accesibles desde diferentes aplicaciones, servicios o bases de datos.

66

Problemas abiertosImposibilidad de vinculacinNo debe ser posible el seguimiento y la localizacin o traza de sujetos.Los datos biomtricos deben ser imposibles de vincular (unlinkable) entre las diversas aplicaciones.

67

Problemas abiertosConfidencialidad La confidencialidad garantiza que la informacin slo se da a conocer a las entidades autorizadas.El almacenamiento y la transmisin de datos deben estar protegidos: contra las escuchas, la divulgacin no autorizada o modificacin de los datos. Esto requiere de tcnicas criptogrficas como cifrados simtricos o asimtricos.

68

Problemas abiertosIntegridadEs la propiedad de salvaguardar la exactitud y completitud (si existe esta palabra) de los datos.Se aconseja usar criptografa para proteger la integridad de los datos (como firmas o cifrado autenticado, posiblemente ampliado con marca de tiempo).

69

Problemas abiertosRenovabilidad y Revocabilidad.Los sujetos tienen un nmero limitado de iris, caras y dedos.Un robo de identidad biomtrico hace que en el futuro ya no se pueda utilizar esa caracterstica biomtrica. Una vez que se roba, el robo es para siempre.El riesgo de robo de referencias biomtricas se puede mitigar utilizando mtodos que permitan que las referencias se deban renovar.En caso de robo se debera permitir revocar una referencia y su renovacin posterior.

70

Problemas abiertos

Considerar slo la proteccin de datos no es privacidad desde el diseo.El tener un sistema de proteccin de datos es un primer paso, pero hay ms.El consentimiento informado no es la solucin mgicaEl objetivo debe estar bien definido, los datos a utilizar han de ser los mnimos necesarios. Se debe mantener un criterio de proporcionalidad y razonabilidad.La anonimizacion de datos no es una tarea trivial.Hay sistemas y aplicaciones que necesitan datos biomtricos

71

Problemas abiertos

Quien vigila al vigilante?Un administrador podra ver un registro personal y no dejar huellaLogs que sean seguros

72

Problemas abiertos

Un desafo importante es la combinacin de PbD y de Big Data.Cmo garantizar el borrado de datos personales en un tiempo mnimo en un sistema de big data?Cmo obtener estadsticas tiles a partir de datos anonimizados?

73

Anlisis de Riesgos (Atacante)Con la informacin que tiene, disea el mejor ataque.

74

Anlisis de riesgos (Defensor)El defensor supone que el atacante conoce alguna debilidad.

75

Enrique Cabelloenrique.cabello@urjc.es

http://www.frav.es

This project has received funding from the European Unions Seventh Framework Programme for research, technological development and demonstration under grant agreement no 312797

76

Referencias (antispoofing) Tabula Rasa: http://www.tabularasa-euproject.orgFastPass: https://www.fastpass-project.eu/BEAT: http://www.beat-eu.orgABC4EU: http://abc4eu.com/CV Dazzle Camouflage from Face Detection. http://ahprojects.com/projects/cv-dazzle/NK Ratha et al. Enhancing security and privacy in biometrics-based authentication systems, IBM Systems Journal, 40(3):614634, 2001Spoong and Anti-Spoong in Biometrics. Lessons learned from the TABULA RASA project. Sebastien Marcel. http://www.idiap.ch/marcelT. Matsumoto et al. Impact of Articial Gummy Fingers on Fingerprint Systems, SPIE 4677, Optical Security and Counterfeit Deterrence Techniques IV, 275, 2002 (http://cryptome.org/gummy.htm)D. Nguyen et al. Your Face Is NOT Your Password, 2009http://istouchidhackedyet.comhttp://www.ccc.de/en/updates/2013/ccc-breaks-apple-touchid

77

Referencias (PbD) https://www.privacybydesign.ca/ Jeroen Breebaart, Bian Yang, Ileana Buhan-Dulman, Christoph Busch. Biometric Template Protection. The need for open standards. Datenschutz und Datensicherheit 2009. Privacy by Design in the Age of Big Data. Ann Cavoukian, Jeff Jonas. https://privacybydesign.ca/content/uploads/2012/06/pbd-big_data.pdf

78