ASSAP: Anti-Shoulder Surfing Attack Platform

Ataques como WannaCry o la ola de fake news son ya sucesos que a nadie le extrañan y que afectan a nuestra vida personal día a día y podrían llegar incluso a tener efecto sobre infraestructuras críticas. La urgencia por prevenir estos sucesos ha provocado que en los últimos años se haya invertido una gran cantidad de esfuerzo en mejorar las herramientas y capacidades de seguridad digital de los productos y plataformas que salen al mercado. En parte por necesidades del sector tecnológico y su creciente importancia, en parte por la creciente tendencia regulatoria a nivel global, es cada vez más crítico y necesario el desarrollo de herramientas más potentes y complejas.

El problema de esta tendencia está en que el foco de mejora y evolución técnica no gira entorno al usuario, sino que gira alrededor de los sistemas y servicios que cuentan con complejas capas de protección cada vez más numerosas en un esfuerzo por incrementar los escalafones de la llamada “pirámide del dolor” que pese a su escabroso nombre no es sino una medida del esfuerzo que toma a un atacante el realizar sus acciones saltándose las medidas de seguridad.

Pirámide del dolor. Fuente FireEye.

Sin embargo, en esta carrera por la defensa digital, nos encontramos con que las medidas de seguridad, en muchos casos, dejan de lado al usuario, ya sea porque son complicadas de usar para usuarios inexpertos,  requieren el uso de medidas complementarias o no tienen en cuenta el nivel de concienciación del usuario y el esfuerzo que le supone su uso diario. Es por eso que desde el laboratorio de ciberseguridad de BBVA Next Technologies se propone una pirámide del dolor análoga, en la que se mide el esfuerzo que un usuario debe hacer para usar una herramienta de seguridad.

Con esta pirámide paralela en mente, se decidió crear una herramienta que ayudará al usuario inexperto a prevenir problemas de seguridad en su día a día y que ofrezca una “User Experience” que no hiciese al usuario desistir en su uso, como ocurre en muchos casos.

El pasado 29 de noviembre y 1 de diciembre el equipo del laboratorio de seguridad de BBVA Next Technologies participó en el hackathon de ciberseguridad de Cybercamp para poder ofrecer alguna solución en esta dirección al gran público con nuestra filosofía clara de valor apoyado en propuestas open source. El Cybercamp es un evento de ámbito nacional organizado por el  Instituto Nacional de Ciberseguridad (INCIBE), y su hackathon se enmarca dentro de las competiciones de más alto nivel en desarrollo de ciberseguridad de España.

La propuesta consistió en una herramienta fácil de usar para cualquier tipo de usuario, sin necesidad de configuración y que tratase un problema complejo de forma simple. La solución técnica presentada ayuda a evitar ataques de Shoulder Surfing. Este tipo de ataque supone un reto en cuanto a cómo establecer contramedidas que eviten que alguien vulnere nuestra privacidad ya que no es un ataque digital, sino que es un ataque en el mundo físico que consiste en mirar por encima del hombro a un usuario en espera de que introduzca su usuario y contraseña o datos privados que poder usar en su beneficio.

Este ataque supone varios problemas a resolver. Por un lado: ¿Quién es el dueño del ordenador? Si el dueño se va y deja su ordenador desbloqueado, la solución debe ser capaz de proteger al usuario bloqueando la pantalla o realizando otro tipo de acción. Otro reto es: ¿Si hay dos personas mirando la pantalla, están las dos autorizadas pese a no ser los usuarios del equipo?

Todos estos problemas implican que la solución técnica deberá ser compleja y que toda esta complejidad deberá ser ocultada al usuario final para que el uso de la herramienta no sea “doloroso”.

Como resultado de estos objetivos, se presentó Anti Shoulder Surfing Attack Platform (a.k.a ASSAP). Esta propuesta fue galardonada con el tercer premio de la competición debido a su calidad innovadora y a su funcionalidad cerrada y completamente operativa.

¿Qué convierte a ASSAP en una solución innovadora?

+ASSAP es una herramienta open source y multiplataforma que busca dificultar o evitar los ataques de shoulder surfing. Esta herramienta está disponible para Windows, Linux y MacOS en su repositorio de Github. Puedes descargar el instalador en la sección de releases.

Para esto, ASSAP pone a disposición del usuario diferentes medidas entre las cuales el usuario puede elegir cuáles activar para evitar el robo de información confidencial como pueden ser contraseñas, números de cuenta bancaria o cualquier otro tipo de información sensible.

La aplicación consta de una pequeña ventana rectangular que muestra lo que ve la cámara de nuestro dispositivo, esta ventana se diseñó sin bordes, de tamaño reducido y es posible colocarla en cualquier parte de la pantalla para no dificultar el trabajo en el dispositivo. Entre los controles de la aplicación está la posibilidad de pausar o reanudar el funcionamiento de la cámara, cerrar la aplicación y cambiar la acción a ejecutar en caso de detectar que se está llevando a cabo un ataque de shoulder surfing. Las acciones disponibles actualmente son: enviar una notificación de sistema, bajar la luminosidad de la pantalla y finalmente bloquear el equipo. Puede verse una demo del funcionamiento de la aplicación en este video

¿Cómo funciona ASSAP?

ASSAP es una aplicación Electron construida en Vue.js que por debajo hace uso de modelos de machine learning para realizar el reconocimiento facial. La aplicación es completamente stand-alone y no requiere de conexión a Internet gracias al uso de la librería face-api.js, construida sobre TensorFlow.js, especialmente diseñada para el reconocimiento facial y el almacenamiento local de los modelos de reconocimiento facial. El modelo, SSD MobileNet v1, ha demostrado un buen comportamiento para detectar una o múltiples caras a distancia o en diferentes ángulos laterales con muy poca latencia (20-30 ms).

Futuro de ASSAP

ASSAP es un proyecto open source y no tiene coste alguno. El proyecto irá creciendo y mejorando conforme la gente se interese por él y surjan nuevas necesidades que pueda solucionar. Nos encantaría que si tienes alguna incidencia al usarlo, alguna idea de mejora o incluso quieres contribuir a mejorarlo te sientas libre de abrir una issue o crear un pull request en el repositorio.

Imagen: Unsplash/Kaleidico/Fuente FireEye