lunes, junio 20, 2016

Sweet11Paths: Chema Alonso y la fábrica de caramelos

La verdad es que con la cantidad de cosas que salen día a día de Eleven Paths, a veces me siento casi como si fuera un Willy Wonka cualquiera. Todas las semanas hay varias novedades, que descubro vía la newsletter CyberSecurity Pulse, la nueva sección con informes de investigación CyberSecurity Avatar, los informes de incidentes de seguridad CyberSecurity Shot o los CyberSecurity Reports en los que se publican informes de actualidad del mundo de la seguridad. Pero también salen nuevas PoC vía el laboratorio, como el último WordPress in Paranoid Mode, novedades desde el área de producto - que os conté en el resumen del Security Day 2016_ o esta última, que ha salido de parte del equipo de CSAs después de estar jugando con la Seguridad Criptográfica en el mundo IoT.

Figura 1: Sweet11Paths. Chema Alonso y la fábrica de caramelos

Este juguete se llama Sweet11Paths, y no es nada más que la integración de un buen conjunto de tecnologías con el objetivo de hacer un hack muy dulce. En definitiva es una máquina de caramelos que se ha convertido en un dispositivo IoT conectado a Internet vía WiFi y usando un chip criptográfico para garantizar la robustez de la comunicación con el servidor. En la serie de artículos de Seguridad Criptográfica en el mundo IoT se explica en detalle este trabajo.

Figura 2: Conexión al mundo IoT de la máquina de caramelos

Esta máquina de caramelos solo entrega su nectar si has sido autenticado previamente en una tablet, pero para hacer la vida más sencilla al usuario, el sistema de autenticación se basa en el reconocimiento de la firma manuscrita de cada usuario. Es decir, por medio de SealSign se valida a los usuarios a través de su firma manuscrita en una tableta, tal y como podéis comprobar en este vídeo en el que yo estoy probando el juguete.


Figura 3: Probando la máquina de caramelos en Eleven Paths

La idea del proyecto es usar la firma manuscrita NO para firmar documentos, sino como forma de reconocer a los usuarios que están frente a un sistema, lo que ayuda a evitar las contraseñas y hacer la vida más sencilla a todos los empleados.


Figura 4: Eleven Paths Talks [12] SealSign y el mundo IoT

En la sesión de las Eleven Paths Talks de esta semana, el constructor de este juguete, nuestro CSA Jorge Rivera, explicó en detalle cómo funciona esta plataforma de forma completa. En la Figura 4 tenéis el vídeo de la sesión, y recordad que este jueves tenéis otra nueva charla dedicada al mundo de la identidad y las contraseñas, para extender este debate.


Figura 5: Hucha protegida por Latch y Biometría de SmartID

Al final, de igual forma que aplicamos al mundo IoT la tecnología Latch a un cerrojo, o a una hucha, en este caso se ha unido SealSign a una máquina de caramelos como sistema de autenticación. Esto, no es nada más que una funcionalidad.


Figura 6: El Rey Felipe VI intentando saltar la validación de SealSign

En la administración española usan un sistema similar para autenticar a los usuarios mediante su firma manuscrita con el objeto de firmar documentos con su certificado digital almacenado en un HSM, tal y como se cuenta en esta charla.


Figura 7: Autenticación de usuarios con firma manuscrita y firma digital con certificados

Si quieres venir a comerte unos caramelos y probar este juguete, ponte en contacto con nosotros y te damos un paseo por la fábrica de caramelos, y si quieres aprender cómo hacer esto en tus proyectos, no dudes en contactar con nosotros vía la Comunidad de Eleven Paths, donde podrás contactar con todos los CSA y los ingenieros de Eleven Paths.

Saludos Malignos!

No hay comentarios:

Publicar un comentario