Sinologic

Etiqueta: editores

  • Recomendaciones básicas de seguridad en desarrollo

    Hace unos días, leyendo un tweet en X, leí a una persona que denunciaba que le habían robado todas las cryptomonedas que tenía en su wallet. Esta persona es alguien técnica (se dedica a la informática profesionalmente), es decir, con conocimientos informáticos suficientes como para no haber sufrido nunca a nivel de seguridad a este nivel. En este tweet (que podéis ver abajo), explica paso a paso qué le ha ocurrido y cómo evitar que nos pase a los demás:

    La lectura está orientada principalmente al tema crypto (criptomonedas y trading de monedas digitales) no obstante, como siempre me gusta ver los problemas desde varios ángulos, me dí cuenta de un problema que posiblemente a alguien más le puede ocurrir, y si con esta llamada de atención se pueden hacer algunos cambios que mejoren la seguridad de todos, mucho mejor… 😉

    Resumiendo el enorme hilo (que recomiendo leer completamente), una extensión (del interfaz de desarrollo Cursor) logró acceder al archivo .env, enviar su clave privada al atacante y éste vació su wallet en cuestión de horas. La pérdida fue poca (apenas unos cientos de dólares), pero éste incidente evidencia cómo incluso los más cuidadosos pueden caer en ataques de cadena de suministro.

    Hay que decir que se recomiendan que las contraseñas se almacenen en variables de entorno, por lo que un .env es un sitio habitual donde se almacenan estos valores, no obstante hoy día, para aplicaciones con contraseñas importantes y muy sensibles, se recomienda utilizar aplicaciones como:

    • HashiCorp Vault (software libre)
    • AWS Secrets Manager
    • Google Secret Manager

    Estos sistemas permiten almacenar de forma segura usuarios y contraseñas a la vez que generan tokens temporales para poder acceder a ellos de forma segura y cifrada. De esta manera, un atacante no tendría acceso más que a un token de un servicio y no a nuestros datos de acceso críticos.

    Uno de los puntos en los que cualquier sistema de desarrollo seguro hace referencia es en la necesidad de «separar entornos«: Esto es: disponer de un entorno de desarrollo, completamente separado del entorno de pruebas y completamente diferente al entorno de producción (además, de otros posibles entornos gemelos y separados 100% para calidad, testeo, etc.). Esto implica que cada entorno debe tener autorizaciones diferentes para que, tanto el desarrollador, como el resto de personas que participan en el desarrollo no tengan nunca acceso a los datos de configuración de producción.

    Por lo tanto y resumiendo un poco… hay que tener en cuenta las recomendaciones:

    • No almacenar claves en .env,
    • Verificar la autenticidad del autor del software y de las extensiones que utilicemos,
    • Usar exclusivamente carteras frías para fondos importantes,
    • Auditar extensiones,
    • Separar entorno de trabajo para hacerlos mucho más seguro,
    • Vigilar periódicamente todo…

    Siempre he dicho que «la seguridad es contraria a la comodidad«. Normalmente trabajamos para solucionar y hacer la vida más sencilla a los usuarios, pero al añadir «seguridad«, esa «sencillez» a veces se transforma en «incomodidad«, no hay más que ver un ejemplo de que, para acceder a cualquier sitio de forma segura, tenemos que acceder utilizando la verificación en dos pasos, y para ello es necesaria una aplicación OTP (One Time Password) lo que implica abrir una aplicación externa (además de introducir usuario/contraseña) algo que no es precisamente cómodo.

    Aún así, los que trabajamos en la trinchera, desarrollando soluciones, a veces tenemos que tomar más medidas de seguridad y trabajar con más incomodidades de las habituales en pos de la seguridad tanto del proyecto como del resto de proyectos de la empresa.

    Siempre que alguien trabaja y protege su sistema únicamente con usuario contraseña me acuerdo de que:

    • La gran mayoría de personas reutilizan sus contraseñas en algunos o en todos los servicios…
    • Alguno de los servicios han sido atacados obteniendo datos como usuarios, contraseñas, etc… https://haveibeenpwned.com/
    • Una contraseña cifrada puede ser descifrada en cuestión de…

    Así que… si alguna vez piensas: ¿debería hacer esto para aumentar la seguridad? la respuesta es siempre SI. Mejor pecar de paranoico a que te roben lo que sea… y es que, el objetivo final es que no nos ocurra algo similar a lo que le ha ocurrido a este hombre. ¿o no?

  • Un par de trucos para trabajar con editores de texto y VoIP

    Un par de trucos para trabajar con editores de texto y VoIP

    Captura de pantalla de 2016-01-22 10-51-48Soy de la vieja escuela, y eso significa que prefiero editar un archivo de configuración a un input text de una web, básicamente porque editar una web, generalmente implica un gasto en recursos del sistema para cargar un servidor web, un servidor de bases de datos, un intérprete por hilo, etc. Por esta razón, soy bastante amigo de los editores de texto y por esta razón os traigo un par de trucos: uno de ellos que me es bastante útil y otro que acabo de conocer gracias a mi colega Daniel Constantine.

    No voy a entrar en debates sobre qué editor es mejor o peor… todos sabemos que cada editor tiene sus ventajas y sus inconvenientes, no obstante soy un fiel defensor del ‘mcedit‘, un editor en particular que viene con el paquete «mc» (Midnight Commander) un clon para Linux del famoso Comandante Norton de MS-Dos o del Total-Commander de Windows.

    (más…)

  • Grandes Novedades en Sinologic!

    Como ya os comentamos a comienzos del 2010, este año se presenta lleno de novedades en Sinologic:

    En Diciembre ampliamos la conexión para una mayor velocidad de la web. En Enero cambiamos el diseño por uno de más fácil lectura, más ligero y que distraía menos, pero las novedades no se quedaron ahí:

    En Febrero apareció un nuevo patrocinador: VOIPTIENDA, una web donde comprar todos los productos de los que solemos hablar en esta web y que además tiene otros productos relacionados con redes, así que, desde aquí le damos la bienvenida! 😀

    Durante el mes de Enero y Febrero, después de largas conversaciones y debates, hemos estado hablando con varios amigos, compañeros y sobre todo, personas muy conocidas en el mundo de la VoIP y Asterisk de España y en LatinoAmérica para poder llevar a cabo otro de los grandes cambios que planeamos a principios de año, y es que Sinologic dejará de ser un blog «personal» y pasará a ser un blog más profesional donde contaremos con nuevos editores que pondrán su granito de arena para darle un nuevo enfoque más técnico, más dinámico y más ámplio sobre nuevos temas que seguro que serán del interés de todos pero de los que nunca hemos hablado.

    Seguramente no hará falta que os los presente ya que todos son de sobra conocidos por su contribución en el mundo de la VoIP, Asterisk y en diversas comunidades como Asterisk-ES, Elastix, FreePBX, … Todos trabajan como consultores, formadores, integradores, etc. en la VoIP y conocen muy bien este mundo, tienen todos una gran experiencia y su propio punto de vista particular, lo que seguro que ayudará a enriquecer sin duda con sus artículos y noticias.

    Si no conoceis a alguno de ellos, no os preocupeis porque aquí os los presento:

    Andrés Gorostidi
    Un gran compañero de Madrid, que ofrecerá una visión más empresarial que técnica, ya que conoce bastante bien el mundo de la VoIP, tendencias a corto y largo plazo y los productos y soluciones que existen para ser integradas. Tiene una gran experiencia con productos, tanto de software libre como comercial aunque las nuevas Comunicaciones Unificadas y las soluciones de empresas como Microsoft, Cisco, Nortel e IBM es uno de sus puntos preferidos.

    David Prieto
    Un gran amigo y colega de Huelva con una gran experiencia sobre todo en lo que tiene que ver con VoIP y muchas, muchas redes.
    Le encanta viajar y sus anécdotas son realmente increibles pero su forma de escribir, aunque lo niege, no deja a nadie indiferente. Defensor del software libre, conoce bastante bien todo tipo de dispositivos de VoIP (terminales, gateways, appliances, etc.) y aunque su trabajo no está 100% relacionado con la VoIP, es un gran conocedor de este mundo en todos sus aspectos.

    Fernando Villares
    Uno de los mejores profesionales y de los primeros dCap en Argentina, es actualmente betatester de Elastix con una grandísima experiencia con VoIP y Asterisk, y trabaja normalmente realizando implantaciones y dando conferencias y cursos de VoIP por toda Latinoamétrica. Su conocimiento sobre infraestructuras en muchos otros países seguro que interesarán a muchísimas personas.

    Mariña Varela
    Una de las primeras dCAP en España, complementado con conocimientos y certificaciones en CISCO. Aporta un visión realista y práctica de las situaciones, acostumbrada a gestionar todo tipo de problemática, desde un visión de gestión de proyectos que no descuida el descender al lado técnico de la problemática.

    Rosa Atienza
    Gran compañera y colega, experimentada linuxera amante de la consola desde hace muchos años. También fue de las primeras con un dCap en España, bastantes años dedicada a dar soporte sobre Asterisk la ha dotado de un gran conocimiento sobre prácticamente cualquier campo relacionado con las redes, VoIP, Asterisk y cualquier dispositivo.

    Esperemos que muy pronto podamos ampliar esta lista con nuevas incorporaciones que estamos gestionando, no obstante, seguro que todos deseamos empezar a ver sus propios artículos de opinión, noticias y a partir de ahí, se animen poco a poco a escribir, por lo que desde aquí, queremos darle las gracias y nuestro más sincero apoyo y bienvenida para cubrir este nuevo horizonte con otros puntos de vista, que enriquezcan el contenido y que los lectores podais disfrutar de sus conocimientos, experiencias y sus opiniones.

    Seguramente en los próximos días podamos dar otra gran sorpresa en Sinologic.net.