Deepfake: test di sicurezza con dot e Python

dot (Deepfake Offensive Toolkit) è una soluzione rilasciata sotto licenza Open Source che permette di generare Deepfake in tempo reale per operazioni di camera injection.

Caratteristiche del Toolkit

Si tratta sostanzialmente di Toolkit dedicato agli analisti di sicurezza e pensato per il penetration testing di piattaforme per la verifica delle identità tramite dati biometrici o sistemi per le video conferenze.

Realizzato in linguaggio Python con alcuni elementi di Cuda e C++, dot funziona senza la necessità di alcun training addizionale e i Deepfake possono essere inizializzati grazie ad una semplice foto da utilizzare per la face swap (sostanzialmente lo scambio di volti in real-time) e la FOMM (First Order Motion Model) per le animazioni.

È possibile installare dot su Windows, Linux o macOS, viene inoltre richiesta la presenza di un ambiente Conda basato sul minimal installer Miniconda nel proprio terminale.

Deepfake e sicurezza

Il problema dei Deepfake starebbe diventando estremamente attuale in contesti sensibili come per esempio quello bancario, dove per lungo tempo l'autenticazione biometrica è stata considerata sufficientemente affidabile per scongiurare eventuali furti di identità.

A questo proposito gli esperti di sicurezza di Sensity hanno testato il livello di inviolabilità delle 10 più importanti soluzioni di facial recognition oggi utilizzate dagli istituti di credito, da alcune applicazioni per il dating online e servizi per il deposito e la compravendita di criptovalute.

Nel caso specifico i test di identità sono stati effettuati utilizzando dei volti generati automaticamente tramite tecnologie di Intelligenza Artificiale.

La metodologia utilizzata appare abbastanza lineare: i volti sono stati copiati da delle carte di identità e poi riprodotti all'interno di streaming video.

9 delle 10 piattaforme messe alla prova si sarebbe dimostrate particolarmente vulnerabili a tentativi di Deepfake attack, questo anche nei casi in cui alle persone inquadrate è stato richiesto di muovere il volto o di mostrare un documento in diretta.

dot viene messo a disposizione per finalità di ricerca e test, si ricorda però che alcune forme di creazione e utilizzo dei Deepfake potrebbero essere illegali, prima di utilizzare il Toolkit è quindi buona norma verificare cosa prevedono le normative in merito del proprio Paese.