domingo, mayo 21, 2023

Latch Web3: Un pestillo de seguridad para SmartContracts (Parte 1)

La verdad es que para mi charla del pasado OpenExpo Europe 2023 había preparado hablaros de varios PoCs & Hacks Web3 en los que llevamos tiempo trabajando, pero al final, cuando hice la presentación, me di cuenta de que me iba a llevar bastante más de una hora si quería hablar de todos ellos para que se entendieran. Así que decidí centrarme solo en uno de ellos ( que ya tiene mucha miga ) y dejar para la siguiente oportunidad hablar de los otros. Y así hice.

Figura 1: Latch Web3: Un pestillo de seguridad para SmartContracts (Parte 1)

Como sabéis, Latch - que ahora tiene nueva web en https://latch.telefonica.com - es un pestillo de seguridad para tu vida digital que permite gestionar Segundos Factores de Autorización. Es decir, un pestillo totalmente desacoplado de tu identidad principal que gestiona si quieres que una identidad, o una función, esté activa o no, haciendo que si alguien utiliza tu identidad en una cuenta que tú tienes "latcheada", automáticamente te llegue una alerta de seguridad.
Hace mucho que no os hablo de Latch, pero si queréis conocerlo en profundidad, podéis ver esta charla que di en la RootedCON 2014, titulada "Playing and hacking with Digital Latches", que explica muy bien el concepto detrás de esta tecnología.

Figura 3: Playing and hacking with Digital Latches

Con estas APIs para poner "Latches", hemos hecho infinidad de soluciones e integraciones. Hemos puesto pestillos a casi todo lo que podáis imaginaros, ya que hemos hecho varios concursos de hacking with Latch, y el resultado siempre ha sido espectacular. Os dejo algunos artículos de cosas que se han hecho con Latch que son chulísimas.
.... y muchos más, que con la tecnología de Latch se pueden hacer infinidad de cosas por su simplicidad y uno de los hacks que hice yo con mi compañero Pablo González fue poner un Latch a las tablas de las bases de datos usando triggers para poder configurar las plataformas web en Modo Paranoico, como hicimos con "My WordPress in Paranoid Mode" o Joomla! in Paranoid Mode. Esta presentación que di en uno de los grupos de WordPress explica cómo usamos Latch para aplicar Máxima Seguridad en Wordpress.


Y para que pudieras sacarle más partido al "Paranoid Mode" dimos una charla para developers, para que pudieran entender lo que hacía en detalle, y sacamos la versión dockerizada del proyecto. Y seguimos evolucionando el proyecto de Latch.

Latch Cloud TOTP

La siguiente parte del proyecto fue añadir otro tipo de 2FA, como solo los Time-Based One-Time Passwords (TOTP), pero haciendo un giro para que, aprovechando tu identidad de Latch, pudieras guardar las semillas de tus TOTP en tu cuenta de Latch, por lo que sacamos Latch Cloud TOTP, lo que permite que nunca pierdas tu TOTP - incluso si pierdes el dispositivo y los códigos de recuperación -. 


Esta forma de gestionar los Tokens TOTP es la que Google Authenticator acaba de anunciar hace poco, después de que yo escribiera sobre eso allá por el año 2016 en un artículo titulado "Latch Cloud TOTP vs Google Authenticator". Hoy ya Google Authenticator ha seguido un proceso similar, al que tenemos en Latch Cloud TOTP desde el año 2016. Y, por supuesto, uno de los sitios donde más se ha utilizado ha sido en las Wallets Web3, para los que hicimos algunos artículos.
Vale, Paypal no es una Wallet Web3, pero es una Wallet, y al final, con todas estas integraciones, con todos estos PoCs and Hacks, el resultado es que el número de usuarios de Latch es de cerca de 1 Millón, algo que nos hace muy felices.
Latch Web3 para SmartContracts

Y en el último Equinox, ya sabéis, ese evento de hackers en Telefónica que permite a los equipos de la unidad CDO competir en innovación durante 24 horas, unos compañeros llevaron un "hack" de Latch para lo que estoy hablando en este artículo, es decir de cómo proteger los SmartContracts con un 2FA basado en Latch.

Figura 7: Diagrama de arquitectura para proteger SmartContracts con Latch Web3

Pero claro, esto nos obliga a hacer cambios de arquitectura, cambios de funcionamiento, cambios de apps, para hacer que toda nuestra arquitectura Web2 de Latch funcione en un entorno Web3, pero... ¿no es eso lo que más mola cuando te dedicas a hacer tecnología? Pues os empiezo a contar todas estas cosas en la siguiente parte de este artículo, que hay muchos detalles que contar al respecto.

No hay comentarios:

Entrada destacada

Programa de Especialización "Inteligencia Artificial para Expertos en Ciberseguridad" 2ª Edición.

Hoy, en medio del verano, os traigo información de la 2ª Edición del   Programa de Especialización  de "Inteligencia Artificial para Ex...

Entradas populares