Ayer hice una presentación sobre TLS para desarrolladores, bueno más bien un taller, y uno de los ejercicios consistía en ejecutar un servicio con un certificado caducado para hacer algunas pruebas.
Para ello tenía que crearme un certificado caducado, y yo que soy muy listo, me dije nada, cuando cree al certificado lo pongo el número de días de caducidad en negativo y listo. Así, si queremos crear un certificado que caducó hace 5 días:
Cómo ya nos adelantó Chema en su blog , la editorial 0xWord acaba de publicar un nuevo libro sobre Docker y su uso en entornos SecDevOps .
El libro ha sido escrito por Fran Ramírez ( @Cybercaronte ), Elías Grande ( @3grander ) y el que escribe, Rafael Troncoso ( @tuxotron ).
El libro contiene material tanto para los no iniciados, como para los que ya conocen Docker. Aunque Docker no es la única opción en el ámbito de los contenedores de aplicaciones, es sin duda alguna la más conocida y extendida hasta la fecha.
Si no has vivido bajo una roca en los últimos años, además de que Donald Trump es presidente de los EEUU, también habrás oído sobre Docker. De hecho, aquí en el blog ya hemos hablado varias veces sobre éste.
Docker ha recibido muchas críticas desde la comunidad de seguridad. Además de correr como root, Docker también permite que los contenedores interactúen con el host, y esto supone un gran riesgo. Aunque la seguridad en Docker ha mejorado muchísimo, si no eres cuidadoso con su configuración, un contenedor malicioso podría escapar de su entorno virtual o sandbox y llegar al host.
Como publicamos ayer , no sólo hemos cambiado la imagen del blog, sino practicamante toda la infraestructura del mismo.
Hace bastante tiempo que tenía en la cabeza la idea de mover el blog de Wordpress a un sitio estático por las razones que ya comentamos.
El primer intento de migración fue usando Jekyll (la versión 3 acababa de salir), quizás el generador de sitiios web estático más popular. Éste tiene gran soporte y la plataforma esta muy bien, pero el problema es que tardaba en generar el blog unos 45 minutos. Todo esto corriendo en un sistema con Ubuntu Linux, 16Gb de RAM, SSD y un procesador Intel i7 quad core. Luego probamos Octopress , con prácticamente el mismo resultado. Ambas plataformas están escritas en Ruby. También probé otra, que no recuerdo el nombre, que estaba escrita en Python, a parte de no mejorar el rendimiento, no era tan versátil como Jekyll. Aquí el problema estaba claro, el languaje de programación. No es secreto alguno, que los lenguajes interpreatados son mucho más lentos que los compilados.
Con anterioridad hemos publicado varias entradas dedicadas a proyectos con Raspberry Pi. Dependiendo del proyecto en si y la tecnología que uses, normalmente tienes que instalar ciertas dependencias y/o servicios. Y si por el motivo que sea necesitas tener diferentes versiones de dichas tecnologías, por ejemplo distintas versiones de ruby, python, etc aquello se puede convertir en un pequeño infierno. Para evitar este posible lío y poder fácilmente instalar tus proyectos de forma automática y sencilla, Docker es un perfecto candidato.
Damn Vulnerable Node Application (DVNA) es una aplicación intencionadamente vulnerable implementada sobre Node.js.
Node.js es una plataforma de Javascript escrita sobre el motor Chrome’s V8 JavaScript. Básicamente nos permite ejecutar código Javascript fuera del navegador. Está siendo muy usado actualmente en aplicaciones web, por aquellos que quieren basar toda su stack en Javascript. Por ello, familiarizarnos con esta arquitectura y conocer los distintos vectores de ataque es crucial para el auditor de seguridad o el desarrollador. El uno para encontrar posibles vulnerabilidades y el otro para evitarlas.
En mi afán por aprender y familiarizarme con el entorno de contenedores y más específicamente con Docker, he creado un contenedor con una aplicación web vulnerable diseñada para la práctica de ataques de inyección de SQL.
El código de dicha web no lo he creado yo y está disponible en Github. De hecho, tampoco es algo nuevo, pero cumple con el propósito de “mi práctica”. Las lecciones son perfectamente válidas, porque la inyección de SQL es todavía un factor muy presente en las aplicaciones web.
El servidor de contenedores Docker está causando estragos allá por donde anda. Aunque ha recibido muchas críticas, especialmente por parte de la comunidad de seguridad, está revolucionando el mercado de la programación y el despliegue de aplicaciones.
Inicialmente Docker fue concebido con la idea de correr aplicaciones de manera aislada, idea que se adapta muy bien con un par de conceptos muy de moda: micro-servicios y DevOps, pero ha ido evolucionando de tal forma que su uso se está expandiendo más allá de eso.