Chema Alonso. Seguridad Informática: Digital Latches for your Digital Life SI2014

Рет қаралды 68,117

10 жыл бұрын

D. Chema Alonso, Telefónica. X Congreso de la Ingeniería Informática de la Comunidad Valenciana. Jueves 10 de abril de 2014 Colegio Oficial de Ingenieros en Informatica de la Comunidad Valenciana (COIICV)
Mas informacion en: www.semanainformatica.com y www.coiicv.org

Пікірлер: 24

@cristianhurtado4145 10 жыл бұрын

cada vez que escucho a este tio me entran mas ganas de que llegue septiembre para empezar a estudiar seguridad informatica

@jeancarlosquinonesmalparti6060 8 жыл бұрын

buena conferencia chema aprendan saludos de peru iquitos

@SickAlpha 10 жыл бұрын

Muy buena conferencia Chema Alonso Att: Del Clan 0xDeadLock

@NachoMartinezbyNachodsevilla 9 жыл бұрын

Sensacional !

@nachopincam 9 жыл бұрын

grande chema

@EuroUser1 4 жыл бұрын

Si alguien se apropia de tu colección de latches, tu seguridad sí se ve afectada. La confidencialidad de los datos no, pero su disponibilidad sí. Ir a la oficina de tu banco a explicarle que te han robado los latches y que te tienen que poner otro nuevo, te hace perder un buen rato. Más si eres clientes de varios bancos. Y, con los servicios que no tienen oficina física en tu ciudad (Amazon, Facebook, correo electrónico...), puede ser todavía más complicado demostrar indubitadamente tu identidad, para que te restablezcan los servicios. Naturalmente, si alguien te hackea los latches con la intención de perjudicarte, no se dedicará a abrirlos y cerrarlos. Los dejará permanentemente cerrados. Solo los abrirá, y de uno en uno, si quiere hackearte alguna cuenta.

@ManuelAltez 9 жыл бұрын

Para cuando latch para Facebook?

@ernestolopez3453 4 жыл бұрын

Latch, desgraciadamente te protegen tus contraseñas a costo de que ellos la sepan, qué pasará si desaparece la app? qué harían con todos esos datos recolectados?

@whk6091 9 жыл бұрын

De todas maneras pienso que hay una brecha de seguridad no cubierta en esa aplicación por parte de latch , se supone que la app movil que maneja los interruptores se debe comunicar con el servidor de latch y esa comunicación debe ser única por lo cual aparte de ir cifrada debe existir un id único de autenticación entre la app y el servidor el cual autentica y dice que soy yo y no mi vecino con su propia cuenta, en el escenario que alguien ataque mi teléfono o tenga acceso a la base de datos de la aplicación y logre robar este id único (estoy suponiendo que tenga este id pero es lo mas lógico), quiere decir que alguien podría autenticarse en el servidor de latch dos veces no? una como usuario legitimo y otro como el atacante, entonces... un escenario básico de un hacker con no mas de 15 años de edad y mucho tiempo libre lo que hará es intentar robar la cuenta de alguien y publicar sus datos o defacear un portal web o algo que te alerte y no sea latch, otro escenario muy distinto son los hackers prudentes donde se toman su tiempo para robarte las credenciales de acceso de una cuenta de correo, archivos en la nube, etc y acceden solo cuando es necesario sin levantar mayor sospecha... en este escenario si el hacker logra instalar un malware en el equipo o logra de alguna manera obtener este token de autenticación entre la app y el servidor (puede ser con un ataque remoto, un overflow a la memoria, un ataque al navegador, etc) tendrá acceso también para poder seguir teniendo acceso a cualquiera de sus datos solo insertando este id en la app del hacker engañando al servidor de latch y habilitando solo lo que desea espiar, luego lo deshabilita y nadie supo que pasó o si alguien entró, etc. En conclusión pienso que para prevenir este tipo de situaicones debe haber una sección en la app con el historial de accesos y denegaciones de acceso junto con la fecha y hora en que se hizo, o si no en ves de tener un historial que pueda trabajar de manera sincronizada con el servidor de latch, o sea, algo asi como mis correos en el celular, si desde la pagina web de gmail elimino un correo entonces también veo el cambio en la aplicación del celular, entonces el servidor detecte si hay una app con una base de datos (posiciones de interruptores) que no concuerda con el historial que hay en el servidor (almacenado talves hasta los ultimos 10 o 20 cambios) entonces que aparezca una alerta al usuario real diciendo que sus estados de acceso han sido cambiados fuera de la aplicación... ahi debería generarse una acción de contingencia que renueve el token y los dispositivos con el token antiguo que pierdan su sesión o si no enviar una peticion a todos los servidores con los servicios asociados a la aplicación para que eliminen el token actual de sincronización obligando al usuario final a volver a sincronizar su aplicación con cada servicio protegiendo nuevamente el acceso a sus datos.

@robertogomezpalomino1588 9 жыл бұрын

Buenos días y disculpe por la demora en la contestación. Nos dirigimos a usted desde Eleven Paths para tranquilizarle en lo que se refiere al caso de uso que usted ha descrito en su comentario. Este caso que describe, está más que contemplado por el equipo de Latch y entendemos que los conceptos que da por supuestos en lo que al funcionamiento de la autenticación en Latch no son correctos. En el caso de pérdida, robo o extravío de su SmartPhone, desde Eleven Paths hemos puesto a disposición de todos los usuarios de Latch varias medidas de seguridad que esperamos le tranquilicen al respecto de sus suposiciones: 1.º Una vez iniciada sesión en la aplicación de Latch, todos los usuarios tiene la posibilidad de acceder al menú de “Configuración” (situado en la parte superior derecha de la APP) y modificar la frecuencia con la Latch solicita la contraseña de inicio de sesión. Las opciones que tenemos a su disposición son: Nunca -> Solo le será solicitada la contraseña la primera vez que inicie la sesión en Latch y nunca más le será preguntada, salvo que manualmente cierre usted mismo la sesión. Para el equipo de Eleven Paths esta es “la opción más insegura”. Cada día -> Diariamente le será solicitada la contraseña de acceso a Latch. Cada 3 días -> La contraseña de inicio de sesión de Latch le será solicitada tres días después de haber iniciado sesión. Cada 7 días -> La contraseña de inicio de sesión de Latch le será solicitada siete días después de haber iniciado sesión. Cada 30 días -> La contraseña de inicio de sesión de Latch le será solicitada treinta días después de haber iniciado sesión. Siempre -> Le será solicitada la contraseña todas y cada una de las veces que inicie la aplicación. Para el equipo de Eleven Paths esta es “la opción más segura”. 2º. Tras haberle explicado el funcionamiento de la solicitud de la contraseña, resta por dejarle claro lo que a la pérdida de móvil se refiere. Y para este tipo de casos, tiene que tener en cuenta que lo único que debería hacer es entrar en la Web de Latch o instalar la APP de Latch en cualquier otro SmartPhone y solicitar un cambio de su contraseña. Esto comenzaría un proceso en el que, desde el servidor de Latch se le enviaría un correo a su dirección con la que se registró en Latch y únicamente debería seguir los pasos que en él se detallan, cosa que concluiría con el cambio de su contraseña. Esto haría que la utilización de Latch, volviese a ser totalmente segura en el nuevo dispositivo. Esperamos haberle tranquilizado al respecto de sus preocupaciones y le invitamos a que si lo desea, haga una prueba de concepto de lo que nos detalla y nos la haga llegar a roberto.gomez@11paths.com. Reciba un cordial saludo del equipo de Eleven Paths.

@whk6091 9 жыл бұрын

Hola, muchas gracias por el comentario, es gratificante poder conocer a una entidad en la cual puedas exponer tus preocupaciones en el area de la seguridad informática en las cuales tienes por lo menos una respuesta. Con respecto a tu comentario queda claro que no estaba en lo correcto con respecto a su funcionamiento interno por lo cual claramente Latch si presenta mecanismos de prevención de robo de sesiones internas entre la app y el servidor, muchas gracias por su tiempo.

@robertogomezpalomino1588 9 жыл бұрын

***** Buenos días y gracias por sus comentarios. Opiniones como la que nos hace llegar usted, son los que nos hacen seguir esforzándonos al máximo en nuestro trabajo y nos animan a seguir adelante. Sepa que tenemos a disposición de todos los usuarios que quieran hacernos llegar sus dudas o comentarios al respecto de Latch la siguiente URL: latch.elevenpaths.com/www/contact.html Además, animamos a todos los desarrolladores que estén interesados en Latch, a presentarse al concurso que tenemos abierto, en el que pueden ganar un premio de hasta 10.000 USD. Se pueden consultar las bases en la siguiente URL: latchcontest.elevenpaths.com/ Reciba un cordial saludo de todo el equipo de Eleven Paths.