Incidentes de Seguridad

Chema Alonso

Incidentes de Seguridad

Dumps de identidades

DeepWeb, Pastes, BlackMarkets, Botnets, etc

BYOM (Bring Your Own Malware)

El enemigo a las puertas

Superficie de exposición Los servicios están activos 24 x 7 x 365 Solo usamos nuestras identidades un breve espacio de tiempo Las cuentas deberían poder apagarse

Passwords+OTP SMS TOKEN 8762134

OTP Usuario necesita introducir un código Despliege de SMS Matriz de coordenadas es estática Hardware tokens son caros Usuario necesita introducir un código Usuario no le gusta introducir un código

A la gente le gusta dormir la siesta (con el mando de la tele)

Patentes

Cosas sencillas son útiles

At the airport Anna has just started a new job and she is on a business trip. As usual, she checks the weather, prepares her suitcase and defines her online security levels using Latch.

Taking a cab To make her trip easier she decides to pay everything using a service, on her way to the office at the destination point she switches service on, so she can pay the taxi fare. Once done she switches her account off, minimizing the exposure to improper usage.

An alert of the service used! Fortunately her account was blocked by Latch, as Anna easily requested using the app. Alas, in the stopover someone tried to hack her service account. The attack was under control and no misuse was ever fulfilled.

Cómo proteger una identidad?

Latch de una cuenta 1.- Generate pairing code Latch Server 6.-ID 2.- Latch Temporary appears Pariring in app token 4.-AppID+Temp pairing Token 5.- OK+Unique Latch My Site User Settings: Login: XXXX Pass: YYYY Latch: U L a t c h

Latch de una cuenta

Latch de una cuenta

Login en una Web Latch Server 3.- asks about Latch1 status 4.- Latch 1 is OFF 6.- Someone try to get Access to Latch 1 id. 1.- Client sends Login/password My Bank Users DB: Login: XXXX Pass: YYYY Latch: Latch1 2.- Web checks Credentials with Its users DB 2.- Check user/pass 5.- Login Error Latch app Latch1: OFF Latch2:ON Latch3:OTP Latch4:OFF. Login Page: Login:AAAA Pass:BBBB

Login en una web

Vamos a Latchear

Hacer login con OTP 4.- Latch Server Generates OTP Latch Server 3.- asks about Latch1 status 7.- Use this (OTP). 5.- Latch 1 is ON(OTP) 1.- Client sends Login/password My Bank Users DB: Login: XXXX Pass: YYYY Latch: Latch1 2.- Web checks Credentials with Its users DB 2.- Check user/pass 6.- OTP? Latch app Latch1: OFF Latch2:ON Latch3:OTP Latch4:OFF. Login Page: Login:AAAA Pass:BBBB

Hacer login con OTP

Operaciones latcheadas Latch Server 3.- asks Latch1:Op1 status 4.- Latch 1:Op1 is OFF My Bank Login: XXXX Pass: YYYY Latch: Latch1 Int_Trnas: Op1 Latch app Latch1: ON Op1:OFF Op2:ON OP3:OTP Latch 2: OFF. 6.- Someone try to do a Latch 1:Op1 Operation 1.- Client orders International Transactions Online Banking Send Money: 1231124343 5.- Denied

Jugando con Latchs

Sobre Latch Privacidad: AppIDs conoce los UniqueLatches pero no los UserLatches. Latch Server conoce Latchets y AppID, pero no los usuarios/passwords Robustez: Si el servidor de Latch es comprometido la seguridad del sitio protegido sigue intacta. No se guarda ningún dato sensible en Latch Server.

Usuarios pueden Opt in para poner latchs Seleccionar ON/OFF/OTP por Latch o por Operación Seleccionar el Night mode Detectar cuándo un id ha sido usado Manejar todas las identidades desde una sola app

Sitios protegidos Reducir el Fraude Detectar cuándo un id ha sido comprometido Gestionar todos los Latchs Definir las operaciones que deseen Pagar solo por usuarios activos

Developer Area

Plugins WordPress Joomla! PrestaShop Drupal DotNetNuke RedMine.NET Membership

SDKs PHP Java Ruby Python C.NET Web service API

Implementación require_once("../latch.php"); $api = new Latch(APP_ID, APP_SECRET); $pairresponse = $api->pair($_get[ token ]); print_r ($pairresponse). "\n<br>\n"; $accountid = $pairresponse->getdata()->{"accountid"}; $statusresponse = $api->status($accountid);

Latencia y rendimiento Arquitectura redundante y escalable Distribuida globalmente Tiempo de proceso ~2ms Latencia Europa con HTTPS: 0.3s Entorno de Stage para partners

En desarrollo: Firefox OS Blackberry Apps disponibles

Más información en la Web: https://latch.elevenpaths.com