Chema Alonso
Incidentes de Seguridad
Dumps de identidades
DeepWeb, Pastes, BlackMarkets, Botnets, etc
BYOM (Bring Your Own Malware)
El enemigo a las puertas
Superficie de exposición Los servicios están activos 24 x 7 x 365 Solo usamos nuestras identidades un breve espacio de tiempo Las cuentas deberían poder apagarse
Passwords+OTP SMS TOKEN 8762134
OTP Usuario necesita introducir un código Despliege de SMS Matriz de coordenadas es estática Hardware tokens son caros Usuario necesita introducir un código Usuario no le gusta introducir un código
A la gente le gusta dormir la siesta (con el mando de la tele)
Patentes
Cosas sencillas son útiles
At the airport Anna has just started a new job and she is on a business trip. As usual, she checks the weather, prepares her suitcase and defines her online security levels using Latch.
Taking a cab To make her trip easier she decides to pay everything using a service, on her way to the office at the destination point she switches service on, so she can pay the taxi fare. Once done she switches her account off, minimizing the exposure to improper usage.
An alert of the service used! Fortunately her account was blocked by Latch, as Anna easily requested using the app. Alas, in the stopover someone tried to hack her service account. The attack was under control and no misuse was ever fulfilled.
Cómo proteger una identidad?
Latch de una cuenta 1.- Generate pairing code Latch Server 6.-ID 2.- Latch Temporary appears Pariring in app token 4.-AppID+Temp pairing Token 5.- OK+Unique Latch My Site User Settings: Login: XXXX Pass: YYYY Latch: U L a t c h
Latch de una cuenta
Latch de una cuenta
Login en una Web Latch Server 3.- asks about Latch1 status 4.- Latch 1 is OFF 6.- Someone try to get Access to Latch 1 id. 1.- Client sends Login/password My Bank Users DB: Login: XXXX Pass: YYYY Latch: Latch1 2.- Web checks Credentials with Its users DB 2.- Check user/pass 5.- Login Error Latch app Latch1: OFF Latch2:ON Latch3:OTP Latch4:OFF. Login Page: Login:AAAA Pass:BBBB
Login en una web
Vamos a Latchear
Hacer login con OTP 4.- Latch Server Generates OTP Latch Server 3.- asks about Latch1 status 7.- Use this (OTP). 5.- Latch 1 is ON(OTP) 1.- Client sends Login/password My Bank Users DB: Login: XXXX Pass: YYYY Latch: Latch1 2.- Web checks Credentials with Its users DB 2.- Check user/pass 6.- OTP? Latch app Latch1: OFF Latch2:ON Latch3:OTP Latch4:OFF. Login Page: Login:AAAA Pass:BBBB
Hacer login con OTP
Operaciones latcheadas Latch Server 3.- asks Latch1:Op1 status 4.- Latch 1:Op1 is OFF My Bank Login: XXXX Pass: YYYY Latch: Latch1 Int_Trnas: Op1 Latch app Latch1: ON Op1:OFF Op2:ON OP3:OTP Latch 2: OFF. 6.- Someone try to do a Latch 1:Op1 Operation 1.- Client orders International Transactions Online Banking Send Money: 1231124343 5.- Denied
Jugando con Latchs
Sobre Latch Privacidad: AppIDs conoce los UniqueLatches pero no los UserLatches. Latch Server conoce Latchets y AppID, pero no los usuarios/passwords Robustez: Si el servidor de Latch es comprometido la seguridad del sitio protegido sigue intacta. No se guarda ningún dato sensible en Latch Server.
Usuarios pueden Opt in para poner latchs Seleccionar ON/OFF/OTP por Latch o por Operación Seleccionar el Night mode Detectar cuándo un id ha sido usado Manejar todas las identidades desde una sola app
Sitios protegidos Reducir el Fraude Detectar cuándo un id ha sido comprometido Gestionar todos los Latchs Definir las operaciones que deseen Pagar solo por usuarios activos
Developer Area
Plugins WordPress Joomla! PrestaShop Drupal DotNetNuke RedMine.NET Membership
SDKs PHP Java Ruby Python C.NET Web service API
Implementación require_once("../latch.php"); $api = new Latch(APP_ID, APP_SECRET); $pairresponse = $api->pair($_get[ token ]); print_r ($pairresponse). "\n<br>\n"; $accountid = $pairresponse->getdata()->{"accountid"}; $statusresponse = $api->status($accountid);
Latencia y rendimiento Arquitectura redundante y escalable Distribuida globalmente Tiempo de proceso ~2ms Latencia Europa con HTTPS: 0.3s Entorno de Stage para partners
En desarrollo: Firefox OS Blackberry Apps disponibles
Más información en la Web: https://latch.elevenpaths.com