miércoles, enero 01, 2014

El año que "latcheé" mi vida digital

Comienza el año 2014 y como todos vosotros he hecho mis propósitos a cumplir este año. La verdad es que salvo ver algunas series de TV, leer algunos libros, degustar comics, ir más al cine y disfrutar de un poco más de tiempo libre, el resto son retos auto-impuestos de emprendimiento personal. Ya veremos cómo va saliendo el año mes a mes y así os voy contando el devenir con cada cosa nueva.

Lo que sí que os puedo decir es que para mí este año es el año Latch. Forzamos mucho la máquina para poder presentar la tecnología antes de fin de año, y de ahora en adelante lo que haremos es centrarnos en "Latchear" el máximo de servicios disponibles, y de construir al rededor de esta tecnología el mayor número de apps y servicios para crear un ecosistema para los usuarios.

Creamos Latch como una forma en la que el usuario pudiera poner pestillos digitales en cualquier identidad o acción granular de un sistema, para que si alguien que hubiera robado la identidad, o la hubiera adivinado por un ataque de fuerza bruta, intentara usarla, no solo no pudiera, sino que además recibiéramos una alerta.

Figura 2: App de Latch para iPhone con identidades "latcheadas"

El servicio lo estamos implantando nosotros en un buen número de grandes servicios como el panel de control de Acens, o en tiendas online como Recover Messages, Nevele Bank y 0xWord para que lo pudierais probar como usuarios. Para que lo pudierais probar bien sacamos las apps para iPhone y Android, y aunque el proceso ha sido un poco más lento de lo esperado,  la app de Latch ya está aprobada en la Windows Phone Store para que la puedas descargar, instalar y utilizar en tus terminales con Windows Phone 8.

Figura 3: App de Latch para Windows Phone 8

Lo cierto es que además de que nosotros implantáramos Latch en grandes entornos, o que preparásemos sitos de prueba, queríamos que fueran los desarrolladores y administradores de sistemas los que decidieran dónde debería estar el servicio de Latch instalado. Por eso sacamos un set inicial de plugins para WordPress, PrestaShop, Joomla, Redmine, Drupal 6, DotNetNuke o el .NET Log in, que pueden ser instalados fácilmente, como se puede ver aquí en WordPress.

Figura 4: SKs y Plugins de Latch disponibles

Pero para dotar de más flexibilidad aún, quisimos publicar directamente los SDKs para todos los lenguajes, que pudieran ser usados en aplicaciones escritas en C, .NET, Java, Python, Ruby o PHP, que están disponibles todos dentro del area de developer de Latch

A día de hoy son casi 200 los entornos que lo han implantado, y algunos tan chulos como hizo Alejandro Ramos (@aramosf) configurando Latch en servidores FTP haciendo un port del SDK a Bash del que me quedo esta frase sobre Latch tras trabajar con él: "El sistema es brillantemente sencillo". Su trabajo luego ha sido utilizado para implantar Latch en el SSH de un VPS. En este último caso lo que hace el script es matar el demonio ssh si se detecta que el Latch configurado está bloqueado, lo que incapacita su utilización.

Figura 5: Script de configuración de Latch en un servidor SSH

Este último nos ha llamado especialmente la atención, ya que nosotros tenemos listo para salir un plugin escrito con el SDK de C para usar como módulo pam en los SSH, pero la flexibilidad que da la arquitectura de Latch permite este tipo de hacks.

Decían en HackPlayers que Latch es una aplicación para dominarlas a todas, y que les parecía la mejor idea de todas en 2013. No sé si tanto como eso, pero os garantizo que yo personalmente estoy muy contento de en lo que se ha convertido Latch, y espero que éste sea el año en que pueda poner un latch a la mayoría de mis identidades digitales... 

Saludos Malignos!

14 comentarios:

Unknown dijo...

Tengo una duda: como he comentado varias veces no soy informatico ni nada que se le parezca. Lo que veo en la web latch es que Latch is available for Android, iPhone and Windows Phone devices. ¿Y las personas que no usan esas tecnologias?, es decir los que solo usamos un pc, nada de moviles,¿sacareis alguna herramienta que sea para pc bajo cuanqiera de los sistemas utilizados?¿ o ¿nos quedaremos con las ganas de probar la aplicacion?.
salud y suerte.

Unknown dijo...

Excelente Chema gran aparte a la seguridad informatica ya que ahora se estan implementando muchas operaciones via movil, transacciones y demas requerimientos activos de red con esto se pone una barrera entre el manejo de privacidad del cliente-server.

Felicitacion en este proceso.

Anónimo dijo...

Que teneis previsto si un dia latch cae? es decir si el sistema queda bloqueado? los servicios que yo tenga quedarian cerrados no?

Chema Alonso dijo...

@Anónimo, damos un SLA de 99.5%. Durante ese 0.5 % puedes o esperar a que regresemos o dar por True. En cualquier caso, nuestra medida de seguridad sería efectiva en el 99.5% de los casos, lo que le deja al dueño del sistema la posibilidad de decidir que hacer durante ese 0.5%, si tomarlo como un locked o un unlocked.

Saludos!

Anónimo dijo...

Mi pregunta es; Qué pasaría si me roban el móvil y lo que está unlocked lo ponen como locked o viceversa? Cómo vuelvo a recuperar el control?

Saludos

Chema Alonso dijo...

@Anónimo, si te roban el móvil deben robarte también la pass de Latch. Si te roban solo el móvil, pero no la pass, entonces te descargas la app en otro móvil y cambias la pass, con lo que la app de latch en el móvil anterior no tiene acceso.

Si te roban la pass de Latch, entonces vas a tu gestor de identidades y despareas con tus usuarios y passwords las identidades y vuelves a parear tus identidades.

Saludos!

Anónimo dijo...

Para cuando un latch de latch?

Chema Alonso dijo...

@Anónimo, de momento es el terminal móvil lo que registramos como Latch de Latch, pero daremos más info en breve... }:)

Saludos!

Vicente Motos dijo...

Gracias por las referencias Chema y enhorabuena por la herramienta :D

Anónimo dijo...

Solo le veo tres problemas:

- La latencia que añades al login
- Depender de un servicio externo para una cosa tan sensible como el login
- 99'5 es 1 día, 19 horas y 49 minutos caido al año (lo cual no es poco).

Chema Alonso dijo...

@Anónimo

- Latencia en el login: Cualquier second factor externo sincrono tiene esa latencia, como Google Authenticator, o tokens sincronizados por Internet, o SMSs de Telefónica.

- Dependencia de un provedor externo: Por eso se llama Second factor y se usan canales paralelos con un tercero, como Google Authenticator, SMSs de operadores, etcétera

- SLA 99.5: Es el que da Amazon, lo que reduciría el robo de identidad en un 99.5 % de los casos, que es un 99.5% más de lo que es no tener un second factor. Los SLA de los SMS o cualquier token síncrono no superarán eso.

Si te interesa, en el año 2009 estuve jugando mucho con el Uptime de los servicios. Cisco no alcanzó ese uptime en su sitio web. http://www.elladodelmal.com/2009/01/locos-por-el-uptime-ii.html

Saludos!

Anónimo dijo...

@Maligno

- "Cualquier second factor externo sincrono tiene esa latencia"
Ese es el problema, que es externo y va por http.

- Fiarse de un tercero siempre tiene riesgos y el login es una cosa muy sensible incluso aunque no se manden credenciales directamente.

-"Reduciría el robo de identidad en un 99.5 % de los casos"
Solos si coincide con las horas que el Latch esté en off. Además si peta Latch puede hacerlo de varias maneras, no es lo mismo que de un 500 o que de un timeout.

Lo vería mucho maás util si sacaseis la app movil y luego te pudieses instalar un Latch server en tu infrastructura corriendo como un servico más.

Chema Alonso dijo...

@Anónimo,

- nosotros no tenemos ningún dato, así que la sensibilidad es nula. Solo mejora la seguridad, nunca la deteriora.

- No tener un segundo factor externo porque añade una latencia mínima es infinitamente peor que dejar el sistema con usuario y password únicamente.

- Estamos trabajando en versiones Enterprise, pero no es el core actual donde queremos dar el control de la identidad digital de internet a los usuarios.

Actualmente, el número de servicios que se están añadiendo crece a una velocidad muy superior a la que esperábamos, y creemos que serán los usuarios los que acabarán demandando esto, un sistema donde controlar todas sus identidades con un simple ON/OFF.

Saludos!

Unknown dijo...

Excelente debate

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares