Latch Web3: Un pestillo de seguridad para SmartContrats (Parte 1)
La verdad es que para mi charla del pasado OpenExpo Europe 2023 había preparado hablaros de varios PoCs & Hacks Web3 en los que llevamos tiempo trabajando, pero al final, cuando hice la presentación, me di cuenta de que me iba a llevar bastante más de una hora si quería hablar de todos ellos para que se entendieran. Así que decidí centrarme solo en uno de ellos ( que ya tiene mucha miga ) y dejar para la siguiente oportunidad hablar de los otros. Y así hice.
Como sabéis, Latch – que ahora tiene nueva web en https://latch.telefonica.com – es un pestillo de seguridad para tu vida digital que permite gestionar Segundos Factores de Autorización. Es decir, un pestillo totalmente desacoplado de tu identidad principal que gestiona si quieres que una identidad, o una función, esté activa o no, haciendo que si alguien utiliza tu identidad en una cuenta que tú tienes “latcheada“, automáticamente te llegue una alerta de seguridad.
Hace mucho que no os hablo de Latch, pero si queréis conocerlo en profundidad, podéis ver esta charla que di en la RootedCON 2014, titulada “Playing and hacking with Digital Latches“, que explica muy bien el concepto detrás de esta tecnología.
Con estas APIs para poner “Latches”, hemos hecho infinidad de soluciones e integraciones. Hemos puesto pestillos a casi todo lo que podáis imaginaros, ya que hemos hecho varios concursos de hacking with Latch, y el resultado siempre ha sido espectacular. Os dejo algunos artículos de cosas que se han hecho con Latch que son chulísimas.
- Cómo comenzar a utilizar Latch en tu vida digital desde cero
- Latch para Windows
- WordPress Latch Enforcement
- Latch ARW (Anti-Ransomware)
- Latch Exfiltration
- SuperLatch Docker & Kubernetes
- Latch Voice Assistant
- Latch IoT con Sonoff & MQTT
- Latch’sApp: Data Exfiltration
- Micro-Latch
- Proteger Webapps PHP con Latch
- Latch para Mediawiki
- Crear aplicaciones GO protegidas por Latch
- Agrupar el control de varios WordPress con un solo Latch
- Configurar un Honeypot en tu aplicación web con Latch
- Configurar una nube privada con OwnCloud y protegerla con Latch
- Latch My Car
- Tu VPN con Raspberry Pi, Virus Total y Latch
- Configurar Latch en servidores NGINX
…. y muchos más, que con la tecnología de Latch se pueden hacer infinidad de cosas por su simplicidad y uno de los hacks que hice yo con mi compañero Pablo González fue poner un Latch a las tablas de las bases de datos usando triggers para poder configurar las plataformas web en Modo Paranoico, como hicimos con “My WordPress in Paranoid Mode” o Joomla! in Paranoid Mode. Esta presentación que di en uno de los grupos de WordPress explica cómo usamos Latch para aplicar Máxima Seguridad en WordPress.
Figura 4: Fortificar WordPress like a hacker
Y para que pudieras sacarle más partido al “Paranoid Mode” dimos una charla para developers, para que pudieran entender lo que hacía en detalle, y sacamos la versión dockerizada del proyecto. Y seguimos evolucionando el proyecto de Latch.
Latch Cloud TOTP
La siguiente parte del proyecto fue añadir otro tipo de 2FA, como solo los Time-Based One-Time Passwords (TOTP), pero haciendo un giro para que, aprovechando tu identidad de Latch, pudieras guardar las semillas de tus TOTP en tu cuenta de Latch, por lo que sacamos Latch Cloud TOTP, lo que permite que nunca pierdas tu TOTP – incluso si pierdes el dispositivo y los códigos de recuperación -.
Esta forma de gestionar los Tokens TOTP es la que Google Authenticator acaba de anunciar hace poco, después de que yo escribiera sobre eso allá por el año 2016 en un artículo titulado “Latch Cloud TOTP vs Google Authenticator“. Hoy ya Google Authenticator ha seguido un proceso similar, al que tenemos en Latch Cloud TOTP desde el año 2016. Y, por supuesto, uno de los sitios donde más se ha utilizado ha sido en las Wallets Web3, para los que hicimos algunos artículos.
- Cómo proteger tu Wallet de criptomonedas en Bit2ME con Latch Cloud TOTP
- Cómo proteger tus BitCoins en BitPay con Latch Cloud TOTP
- Cómo proteger tu Wallet de criptomonedas en Kraken con Latch Cloud TOTP
- Cómo proteger tu Wallet de criptomonedas de CoinBase con Latch Cloud TOTP
- Cómo proteger tu cuenta de Paypal con Latch Cloud TOTP
Vale, Paypal no es una Wallet Web3, pero es una Wallet, y al final, con todas estas integraciones, con todos estos PoCs and Hacks, el resultado es que el número de usuarios de Latch es de cerca de 1 Millón, algo que nos hace muy felices.
Latch Web3 para SmartContracts
Y en el último Equinox, ya sabéis, ese evento de hackers en Telefónica que permite a los equipos de la unidad CDO competir en innovación durante 24 horas, unos compañeros llevaron un “hack” de Latch para lo que estoy hablando en este artículo, es decir de cómo proteger los SmartContracts con un 2FA basado en Latch.
Pero claro, esto nos obliga a hacer cambios de arquitectura, cambios de funcionamiento, cambios de apps, para hacer que toda nuestra arquitectura Web2 de Latch funcione en un entorno Web3, pero… ¿no es eso lo que más mola cuando te dedicas a hacer tecnología? Pues os empiezo a contar todas estas cosas en la siguiente parte de este artículo, que hay muchos detalles que contar al respecto.
¡Saludos Malignos!
Autor: Chema Alonso (Contactar con Chema Alonso)
Powered by WPeMatico