lunes, enero 20, 2014

Latch: Cómo proteger las identidades digitales (IV de IV)

Con el objeto de permitir que Latch sea tan flexible como quieran las entidades que hacen uso de él, se abrieron los SDK en los lenguajes C, .NET, Java, PHP, Python y Ruby. Lo que se persigue es que la flexibilidad sea máxima y se puedan crear usos distintos para Latch, como los que por ejemplo a continuación se van a exponer.

Figura 12: SDKs para utilizar Latch

Tienes acceso a todos ellos en la zona de Developer de la web de Latch y en este documento tienes explicado en detalle cómo utilizar el SDK de Latch para .NET para aplicarlo a cualquier sitio web desarrollado con esta tecnología y en este ejemplo cómo implementarlo en un servidor FTP.

Control Parental

Al final, el control de un Latch no da nunca acceso a la privacidad de la cuenta, así que el que tenga una persona el control del mismo no le permitiría tener la posibilidad de acceder al sistema. En un entorno de control parental, la idea es que la persona que tiene las credenciales puede mantener el control absoluto de la privacidad de la cuenta, pero la persona que decide si puede conectarse o hacer uso de algunas de las opciones de granularidad que vengan definidas - como se vio en la tercera parte de este artículo - será otra.

Por supuesto, para crear este esquema, la cuenta que es controlada por el Latch debe estar de acuerdo con esta protección, y una vez que sea así, su acceso está restringido al control partental.

Figura 13: Esquema de Control Parental con Latch

Este control parental no sólo está pensado para Tutor Legal -> Hijo/a, sino también para entornos de identidades delegadas en las que se ha cedido el uso de las credenciales por necesidad del negocio. Por ejemplo, en casos en los que un empleado tenga que entrar a gestionar las cuentas bancarias de una empresa u otro servicio. El administrador o supervisor, podrá restringir el acceso completo a la misma o a las opciones de ella mediante el control del Latch.

Verificación de 4 ojos

Un esquema que nos solicitó uno de los clientes era el de aplicar Latch como un sistema de Verificación de seguridad de 4 y/o 6 ojos, poniendo para ellos latches cruzados que serían gestionados por otros empleados de la organización. Este esquema está pensado para sistemas críticos en los que hay que controlar los usos de los administradores.

Figura 14: Esquema de verificación en 4 ojos con Latch

El objetivo es que cada cuenta de administrador tiene uno o varios latches que están controlados externamente, de tal forma que siempre es necesaria la presencia de dos o tres personas para poder hacer una determinada acción.

Alerta y Reacción

En algunos entornos lo que se desea no es bloquear el acceso, si no tener la posibilidad de detectar una acción y tomar una medida reactiva. En un entorno en el que se hace un acceso SSH en el que se puede comprobar que alguien ha accedido con una cuenta, se podría comprobar si está el Latch cerrado o abierto, y en caso de estar cerrado tomar acciones, como podría ser la grabación de lo que está haciendo por pantalla o la desconexión de la sesión. Aquí tenéis la experiencia descrita por HackPlayers para fortificar SSH en modo paranoico.

Figura 15: Reacción a un Latch cerrado en una conexión SSH

En estos entornos la sesión inicial se establece, pero el dueño del Latch recibe la alerta y puede decidir qué hacer, como se hizo en el caso de SSH donde las sesiones son matadas.

Conclusiones

Al final, la idea abierta que subyace con Latch, en la que se diferencia totalmente entre una cuenta para gestionar los latches, que es independiente de la identidad protegida, independiente del número de teléfono móvil, y que no almacena ningún dato personal ni de acceso al sistema, permite toda la flexibilidad del mundo.

Para hacer mucho más fácil su integración, se han publicado plugins para Joomla, Drupal 6, PrestaShop, DotNetNuke, RedMine, WordPress y .NET Log in, pero esta semana sale una nueva remesa de plugins. En este artículo tienes cómo se configura en WordPress, aquí cómo se configura en Joomla, y este vídeo  te explica cómo hacerlo.


Figura 16: Cómo configurar Latch en Joomla

A día de hoy hay ya más de 400 sitios que están haciendo uso de Latch. Como el sistema es anónimo, nosotros no sabemos cuáles son. Se bajan el plugin, o usan el SDK y comienzan a proteger sus sitios. Si necesitas ayuda para implantarlo en tu sitio web, puedes ponerte en contacto con nosotros e intentaremos ayudarte.


Sí que puedes hacer uso de Latch en Acens - aquí tienes la guía de configuración, en 0xWord, Recover Messages y Nevele Bank - en todos ellos puedes sacarte una cuenta gratuita y probar cómo funciona - y en el Mobile World Congress os anunciaremos una buena lista de sitios grandes que están poniéndolo ahora en prueba. La app está disponible para iPhone, Android y Windows Phone, y en breve para Firefox OS y BlackBerry. Además, esta semana se subirán nuevas versiones con algunos bugs resueltos y sugerencias que nos habéis pasado.

Saludos Malignos!

************************************************************************************
************************************************************************************

12 comentarios:

Ig dijo...

Desde Chrome y en Linux no hay forma de registrarse. El botón de "Register" ni funciona ni da ningún aviso.

Y si está detrás "Telefonica" tampoco es para fiarse mucho, quizá mañana ya no esté.

Webempresa dijo...
Este comentario ha sido eliminado por el autor.
Maligno dijo...

@lg, revisa tu configuración, en nuestras pruebas si funciona. Algo tienes aplicado. Y respecto a lo de Telefónica, no te preocupes por eso, no solo va a perdurar sino que se va a extender mucho más de lo que os he contado por ahora...

Saludos!

Unknown dijo...

Seria bueno conocer los sitios donde se va implementando, el sitio es el primer interesado en publicarlo y explotarlo como valor añadido

JoseM C.F.S.L dijo...

quizas es algo absurdo lo que voy a comentar pero: esta aplicacion no es para todos verdad?, no solo as de tener un movil si no ademas a de ser especifico no vale cualquier movil. por ejemplo un movil normalito con adroid no vale como un samsung gt-s5570i.

Oscar dijo...

Latch tiene un gran futuro...esta hecho por un gran equipo de profesionales.
Un saludo :)

Maligno dijo...

@JoseM CFSL, no depende del terminal sino de la versión de Android. Miramos la fragmentación y elegimos dar soporte a la mayoría, pero sin privar de las funciones básicas que necesita latch. Puedes hacerlo con un móvil muy barato e incluso lo podrás usar con Firefox OS desde un terminal de 50 €.

Saludos!

JoseM C.F.S.L dijo...

gracias por la aclaracion Chema muchas gracias.

Anónimo dijo...

Lastima que la aplicación no sea compatible con mi android(2.3.6)

Anónimo dijo...

He actualizado la App de Android y ha dejado de funcionar , ni tan siquiera se abre. Android 4.3 Samsung S3 . Saludos

Jordi Puig dijo...

Buenas Chema, gracias por el aporte. Por cierto, el que colgó el plugin de wordpress en github quizás debería actualizar su macosx 10.5 o 10.6 ;)

Carmelo García dijo...

Me parece una buena idea.La he estado probando en mi cuenta de 0xword, si es cierto que no he leido mucho sobre el manejo de la aplicación pero ahi una cosa que no entiendo. una vez que haga el pareado desde la web que da el servicio con mi telefono movil todo perfecto. Pero no entiendo porque me tengo que verificar dos veces en mi cuenta si supuestamente soy yo el que se quiere conectar?.

me llega el mensaje al movil de si quiero desbloquear el servicio y luego en vez de entrar directamente al servicio web tengo que introducir de nuevo el usuario y contraseña. No seria mejor hacerlo directamente si se entiende que desde mi telefono movil yo controlo el bloqueo o desbloqueo del servicio.

Saludos¡¡¡



desbloquear mi cuenta

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares