viernes, marzo 28, 2014

Latch: Django, Demonios, Secretos y Despareado Seguro

Desde que di la charla en RootedCON sobre Hacking & Playing with Digital Latches han aparecido algunos hacks de usuarios que utilizan Latch de formas diversas y que junto con una recomendación de seguridad para implementar Latch os voy a contar hoy.

RootedCON y el plugin de Latch para Django

Uno de los hackers que organizan RootedCON, nuestro amigo Javi "Deese", me contó en la cena de ponentes que había estado trabajando en integrar Latch con Django. Como la idea me encantó, yo le pedí durante la charla que lo liberará y así lo ha hecho. Ahora está disponible su plugin de Latch para Django que puedes descargar desde el repositorio de GitHub que han habilitado: Django-Latch.

Figura 1: Plugin de Latch para Django

Ese mismo plugin es el que ellos utilizaron para integrar el servicio de Latch en las cuentas de acceso al portal creado por Django que utilizan en el propio sitio web de RootedCON, y ahora tú también puedes usarlo.

Figura 2: Latch integrado en RootedCON

Este se suma a la lista de plugins que ya tienes disponibles para usar en diferentes frameworks y que puedes utilizar desde ya con Latch.

Revelación de Secretos, daemons y 2-Keys Activations

Por otro lado, en HackPlayers publicaron un artículo titulado "Demonizando Latch para proteger archivos con dos llaves", en el que explican cómo implementar un esquema de 2-Keys Activation similar al que expliqué en la pasada charla de RootedCON.

Figura 3: Esquema de 2-Keys Activation con Latch

La idea de estos esquemas es que un determinado activo no se habilita hasta que no se han desbloqueado los dos latches que lo protegen, y ellos lo han integrado con un daemon que permite o no acceder a un determinado fichero.

Figura 4: Las dos cuentas que gestionan las dos llaves que dan acceso al activo

Este esquema lo teníamos nosotros en mente por ejemplo para una Web de Revelación de Secretos controlada remotamente que permitirá o no ver un determinado contenido cuando una o varias personas abran los latches que dan acceso al contenido.

Secure UnPair

Por último, quería explicaros cómo evitar un riesgo que tenemos identificado desde el principio. Supongamos que una víctima se conecta a su sitio web con una identidad que tiene protegida por Latch, peo la máquina está infectada por un bot.

El usuario abre el latch de la cuenta, introduce sus contraseñas y el bot roba el usuarios y la password al mismo tiempo que navega en la web y elimina el latch con un proceso de Despareado. A día de hoy lo que hacemos es avisar al usuario de que la lista de servicios ha cambiado y que una cuenta ha sido eliminada, para que sepa que algo ha pasado y pueda tomar medidas correctivas, como cambiar la password si aún está a tiempo o hablar con el sitio web del que le acaban de robar la identidad.

Figura 5: La lista de servicios protegidos por Latch ha cambiado

No obstante, en implementaciones personalizadas es posible crear un sistema de UnPair seguro, utilizando una operación controlada por Latch. La idea es que en el pestillo de la cuenta habrá una operación que controlará si se puede desparear o no la cuenta. Esto se crea en las operaciones de la cuenta y listo.

Figura 6: Añadiendo la operación de Desparear con opciones de OTP

De esta forma, el usuario tendrá una operación dentro del Latch de la cuenta que le permitirá bloquear el despareado automático e impedirá que un bot robe una identidad aunque sea con un man in the browser y la pueda utilizar. El sitio web lo único que necesita hacer es comprobar el estado de esa operación antes de lanzar un proceso de despareado.

Figura 7: El usuario controla si se puede o no desparear la cuenta

Eso sí, siempre podrá esperar a que el usuario maneje su cuenta para hacer las cosas malas cuando el usuario haya iniciado sesión. Eso sí, si hay operaciones que bloquean parte de la cuenta con Latch no podrá hacer nada que no esté abierto, mitigando el impacto del malware lo máximo posible.

Saludos Malignos!

No hay comentarios:

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares