La gestión de secretos: más cerca y más lejos de lo que crees

Escondido Por el motivo que sea, todos creemos que podemos esconder algo de manera más o menos eficaz en un sistema informático: bien porque creemos que no es tan importante y nadie lo buscará, bien porque pensamos que los que lo buscarán no son tan listos como para seguir nuestra línea de pensamieno. A veces también porque no nos damos cuenta de lo que tiene que ser (o directamente es) secreto. Y, claro, nos equivocamos.

Por eso es interesante leer Secrets Management: New Series. La serie se compone de tres capítulos:

Aquí se hace una panorámica por los accesos a diferentes APIs y la gestión de claves de acceso, los servicios automáticos, la automatización en el desarrollo (compilación, prueba, …), los datos cifrados y la información compartida.

Aquí se habla del almacenamiento de los secretos, la gestión de identidad y de accesos, los propios acceso y el uso y nuevamente la información compartida (en este caso, los propios secretos).

En el despliegue, hay que tener en cuenta si hablamos de servidores aislados, o arquitecturas cliente-servidor y, por supuesto, los temas de integración.

La aleatoriedad y algunas ayudas de la física

Lava de la de verdad Ya hemos hablado unas cuantas veces de la necesidad de números aleatorios en lostemas relacionados con la aleatoriedad. Fundamentalmente se obtienen mediante algoritmos, con la prevención de seleccinar las semillas de fuentes aleatorias (entropía obtenida alrededor de la actividad del computador). También se venden tarjetas criptográficas que incluyen algún tipo de generador de números aleatorios.

Por eso fue una noticia curiosa de leer la de que 10% of the Internet Is Encrypted with Lava Lamps. Esto es, uno de los proveedores más grandes de internet (Cloudfare), que necesita generar una buena cantidad de números aleatorios recurre a la vieja física del mundo real y a las lámparas de lava. En este caso la dinámica de fluidos (difícil de modelizar y predecir) juega a nuestro favor.

Según nos contaban en The Hardest Working Office Design In America Encrypts Your Data–With Lava Lamps Cloudfare tendría un muro lleno de lámparas de este tipo:

Inspired by an idea from engineers at Sun Microsystems, who thought that lava lamps could help generate randomness since modeling how fluid moves within the lamps is incredibly difficult, Prince decided to create an entire wall of lava lamps. Cloudflare calls it the “Wall of Entropy.”

Fotografían el muro cada milisegundo y mediante un sistema de análisis de la imagen utilizan ciertos parámetros para la generación de los números aleatorios. Esta información se añadiría a los otros sistemas que utilizan (al final, una fotografía cada milisegundo no es mucho, para lo que pueden llegar a necesitar).

Curioso.

Programas de línea de instrucciones y algunos consejos de seguridad

Teclados ¿Cuánto hacía que no oían hablar de los programas de línea de instrucciones? Yo reconozco que mucho. No quiere decir que no los use, porque a veces uno puede resolver un problema más o menos complejo con unas cuantes instrucciones adecuadamente empaquetadas. Pero no es un tema de actualidad en las páginas de referencia ni en las de noticias.

Y estando en eso, nos encontramos con A Production Quality Shell Script que habla justamente del tema. Desde la selección del intérprete (shell), pasando por la sintaxis, el uso de ficheros temporales y las implicaciones de seguridad, tan frecuentemente olvidadas.

Un recordatorio interesante.

El uso de algoritmos evolutivos en Facebook para buscar fallos

Fallo Hace mucho que no hablamos de algoritmos evolutivos y su utilización para buscar fallos. En Facebook’s evolutionary search for crashing software bugs nos contaban como utilizan en Facebook estas ideas.

Cuando hacemos análisis de software hay fundamentalmente dos aproximaciones: análisis estático (recorremos el código buscando indicios de que algo puede ir mal) o dinámico (ejecutamos el programa con entradas diversas y vemos si falla).

En este segundo caso, el problema es encontrar entradas adecuadas. Ya hemos hablado del fuzzing (entradas aleatorias, para encontrar respuestas inesperadas o no suficientemente planificadas). Pero si estamos interesados en buscar fallos (y no simplemente esperar a ver si aparecen con pruebas aleatorias) puede ser interesante hacer pruebas con más ‘intención’.

There are a lot of dynamic analysers out there, but none like Sapienz, according to Facebook. The biggest problem with dynamic testing is finding the right inputs that cause an app to crash.

Y aquí entran en juego los algoritmos evolutivos: orientar la búsqueda con parámetros adecuados para probar lo que nos pueda interesar más, que es encontrar fallos en el programa.

Como tiene que ser, el proyecto tiene información en Sapienz: Intelligent automated software testing at scale y no dan muchos detalles, pero cuentan como el sistema es capaz de determinar entradas adecuadas para encontrar posibles fallos.

Sapienz samples the space of all possible tests, using intelligent computational search and an approach called search-based software testing. An important design principle is that Sapienz tests through the UI, so issues Sapienz reports to engineers can be found through the UI. This avoids the false positives that bedevil many test design approaches, but it makes it more challenging to provide guidance to the computational search.

Los algoritmos evolutivos, me permito recordar, nos permiten explorar espacios de búsqueda favoreciendo algunos tipos concretos de soluciones con un grado de efectividad bastante alto.

El uso de las cabeceras de los sitios web populares para aprender de seguridad

Navegación No es la primera vez que traemos un caso similar. En Analysis of the Alexa Top 1M sites la gente de Mozilla nos contaba cómo habían examinado las cabeceras de seguridad del primer millón de sitios más importantes según Alexa y los resultados son esclarecedores. Los sitios van mejorando, aunque la mayoría de las cabeceras tienen un uso puramente testimonial.

Habrá a quien le tranquilice esto: ‘ellos tampoco las usan’. Sin embargo, y tratando de sacar partido de la información, el visitante menos acostumbrado podrá sacar partido de la lista de cabeceras examinada que, además de servirle para el descubrimiento de nuevas fuentes de preocupaciones, le ayudará a pensar en la configuración de su próximo proyecto.

Interesante.