martes, 22 de marzo de 2016

Cierra la Ventana de tu vida digital para luchar contra los malos

Hoy os traigo algo con lo que hace ya 7-8 meses, nos pusimos a trabajar desde SoftCrim pesando en crear un 2FA, y desde hace unas semanas, tenemos ya casi terminado, y es que hoy, os traigo la herramienta que inicialmente se iba a llamar ANA, una subherramienta-ahoa- dentro de lo hoy en día sí que es ANA.  Así que sentaros, y a ver si podéis disfrutar, aún así, en SoftCrim ya lo explicaron hace unos 9 días.



Así que añadimos una subherramienta más dentro de ANA, que día a día sigue creciendo y sigue siendo más potente. Comencemos.

¿Qué es la VentANA?

Simplemente un 2FA, que se configura con PasA (Password ANA) cuando te decía aquello de "Alguien te ha robado la contraseña déjame que te ponga un 2FA", pero que ya explicaré en otro post sobre el funcionamiento sobre PasA.

PasA detecta si te han robado la contraseña
Y funciona como si de una ventana normal y corriente se tratase, si está abierta, deja entrar a todos, si está cerrada, lógicamente no.

¿Qué diferencias hay con lo que ya hay?

Muchas, y es que en SoftCrim tenemos la mentalidad de si no podemos crear algo nuevo, vamos a lo que ya hay y vamos a tratar de mejorarlo. Pues aplicando esto, la VentANA (Nombre super original que se me ocurrió en uno de mis momentos lúcidos) funciona como si fuese Google  Authenticator-para los administradores webs- es decir, que al igual que Google tiene una opción que es activar el segundo factor usando una aplicación o mediante SMS, nosotros pasaos del pareado, simplemente es que cada web en la configuración de seguridad de cada cuenta de cada usuario, tengan la opción de activar 2FA con VentANA- hacer eso, supone 8 líneas de código en tu web si quieres implementar nuestro 2FA, demasiado código eh- y que el usuario que ya debe tener descargado ANA, se irá a la subherramienta VentANA y será el usuario si quiere tener la ventana de su seguridad abierta.


Con lo que si uno de mis empleados-Emilio en este caso, que es un trabajador de puta madre- quiere entrar en SoftCrim para escribir una entrada o para dar de alta a nuevos trabajadores, al tener la VentANA abierta de par en par, puede entrar sin problemas 





Evidentemente, nosotros ya tenemos implementada la VentANA en nuestra web-anda que no mola el logo de SoftCrim, las letras y el diseño en general de la subherramienta-. E cambio, por consiguiente, si Emilio tuviese la VentANA cerrada.


Se quedaría a las puertas y le aparecería un mensaje diciendo que no es posible entrar a la cuenta.


Además, estamos trabajando aún en mejorar más todavía la VentANA, metiéndole algo que tiene toda ventana, una PersiANA-sigo con la originalidad-,  Y esto es útil ya que, imagínate que tú abres la ventana para entrar a tu cuenta, y en ese mismo momento un atacante te ha robado la contraseña y se dispone a logearse, pues va a conseguir entrar-cierto es que debería darse todas esas circunstancias de que el atacante entre en ese mismo momento, pero puede pasar; es por eso, que la PersiANA, siempre y cuando la tengas bajada, no va a dejar a entrar aunque la VentANA esté abierta, y esto es algo que me inspiré cuando me acordé de mi primera novia, la cual tenía la obsesión que siempre que íbamos a vosotros ya sabéis qué, tenía que tener la persiana bajada, ya que si tenía la ventana abierta y la persiana subida, cualquiera podría vernos como estábamos haciendo vosotros ya sabéis qué, con que la solución era bajarla.

Pero aquí muchos podéis decir que si la VentANA está abierta y la PersiANA bajada, a ti, el dueño, tampoco te dejaría entrar, pues no, ya que el usuario tendría que decirle a ANA, en qué equipo confía, y es que todas las sesiones que inicie desde dicho equipo, va a poder entrar aunque tenga la PersiANA echada, ya que confía en dicho equipo.

Y como os veo preguntones, sé que vais a preguntar ya que qué pasa si alguien te roba el equipo en el que confías, pues fácil, ya que en ese caso, el ladrón, si encima sabe tu contraseña que tienes en ese equipo o por cualquier medio, consigue romper el inicio de sesión, lo único que va a poder hacer con ANA y la VentANA en este caso, es abrir y cerrar la VentANA, ya está, solamente eso...siempre y cuando no reutilices contraseñas o tengas un txt llamado contraseñas, etc, etc. que entonces sí que la lía bien. Pero en ese caso, el usuario solo tendría que venirnos y escribirnos un correo diciendo que le han robado el equipo en el que confía, y nosotros desbloqueamos todo y borramos la cuenta de ese usuario de nuestro servidores, para que pueda ir y cambiar sus contraseñas rápidamente y se descargue ANA en otro equipo y pueda empezar de nuevo, porque esta ANA, da segundas oportunidades, y terceras, y cuartas, y quintas,etc.

¿Aún seguís curiosos? Pues bien, os respondo a vuestra duda de si nosotros almacenas usuarios de Twitter, Facebook por ejemplo, NO, nosotros no almacenamos ás cuentas que la que se tiene que crear la gente para empezar a usar ANA, por lo demás, no sabemos quién usa ANA o quién no usa ANA, eso sería poner todos los huevos en la misma cesta. Nosotros todo lo que haceos es mediante consultas al servidor, y es que el sitio web nos dice "Están intentando entrar en esta cuenta" y nosotros le devolvemos el estado de la VentANA y le decimos qué debe hacer si la VentANA está abierta o si está cerrada o abierta y con PersiANA o cerrada y con PersiANA. En este mapa conceptual se entenderá todo mejor. Además de reducir muchísimo más la posibilidad de que un atacante pueda entrar, nos estamos poniendo más pánicos pensando en hacer que el usuario además escriba un OTP no crackeable cuando inicie sesión, pero eso podría ser algo voluntario para los más paranoicos.


Si queréis ver una demo en real, os recomiendo que veáis este vídeo en el que se muestra en real.

Hasta la Próxima Malvados!

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...