{"id":1061487,"date":"2023-11-24T11:38:15","date_gmt":"2023-11-24T11:38:15","guid":{"rendered":"https:\/\/teknomers.com\/es\/cuentame-tus-secretos-sin-contarme-tus-secretos\/"},"modified":"2023-11-24T11:38:19","modified_gmt":"2023-11-24T11:38:19","slug":"cuentame-tus-secretos-sin-contarme-tus-secretos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/cuentame-tus-secretos-sin-contarme-tus-secretos\/","title":{"rendered":"Cu\u00e9ntame tus secretos sin contarme tus secretos"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>24 de noviembre de 2023<\/span>\ue804<\/i>Las noticias de los piratas inform\u00e1ticos<\/span><\/span>Herramientas para desarrolladores\/Seguridad API<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

El t\u00edtulo de este art\u00edculo probablemente suene como el t\u00edtulo de un meme. En cambio, este es un problema real que los ingenieros de GitGuardian tuvieron que resolver al implementar los mecanismos para su nuevo Servicio HasMySecretLeaked<\/a>. Quer\u00edan ayudar a los desarrolladores a descubrir si sus secretos (contrase\u00f1as, claves API, claves privadas, certificados criptogr\u00e1ficos, etc.) hab\u00edan llegado a los repositorios p\u00fablicos de GitHub. \u00bfC\u00f3mo podr\u00edan revisar una vasta biblioteca de secretos que se encuentran en repositorios de GitHub disponibles p\u00fablicamente y sus historiales y compararlos con sus secretos sin que usted tenga que exponer informaci\u00f3n confidencial? Este art\u00edculo le dir\u00e1 c\u00f3mo.<\/p>\n

En primer lugar, si tuvi\u00e9ramos que igualar la masa de un bit a la de un electr\u00f3n, una tonelada de datos equivaldr\u00eda a alrededor de 121,9 billones de petabytes de datos en la gravedad terrestre est\u00e1ndar o 39,2 billones de billones de d\u00f3lares estadounidenses en actualizaciones de almacenamiento del MacBook Pro (m\u00e1s que todas las el dinero del mundo). Entonces, cuando este art\u00edculo afirma que GitGuardian escane\u00f3 una “tonelada” de datos de confirmaci\u00f3n p\u00fablica de GitHub, eso es figurativo, no literal.<\/p>\n

Pero s\u00ed, escanearon una “tonelada” de confirmaciones p\u00fablicas y esencias de GitHub, recorrieron historiales de confirmaciones y encontraron millones<\/em> de secretos: contrase\u00f1as, claves API, claves privadas, certificados criptogr\u00e1ficos y m\u00e1s. Y no, “millones” no es figurativo. Literalmente encontraron m\u00e1s de 10 millones en 2022.<\/p>\n

\u00bfC\u00f3mo podr\u00eda GitGuardian hacer posible que los desarrolladores y sus empleadores vean si sus secretos actuales y v\u00e1lidos se encuentran entre esos m\u00e1s de 10 millones sin simplemente publicar millones de secretos, facilitando que los actores de amenazas los encuentren y recopilen, y permitiendo que muchos genios de muchas botellas? Una palabra: toma de huellas dactilares.<\/p>\n

Despu\u00e9s de algunas evaluaciones y pruebas cuidadosas, desarrollaron un protocolo secreto de huellas dactilares<\/a> que cifra y codifica el secreto, y luego solo se comparte un hash parcial con GitGuardian. Con esto, podr\u00edan limitar el n\u00famero de posibles coincidencias a un n\u00famero manejable sin conocer lo suficiente el hash para revertirlo y descifrarlo. Para garantizar a\u00fan m\u00e1s la seguridad, colocaron el conjunto de herramientas para cifrar y cifrar el secreto en el lado del cliente. <\/p>\n

Si est\u00e1s usando el HasMySecretWeb filtrada <\/a>interfaz, puede copiar un script de Python para crear el hash localmente y simplemente colocar el resultado en el navegador. Nunca es necesario colocar el secreto en ning\u00fan lugar donde el navegador pueda transmitirlo y puede revisar f\u00e1cilmente las 21 l\u00edneas de c\u00f3digo para demostrarse a s\u00ed mismo que no env\u00eda nada fuera de la sesi\u00f3n de terminal que abri\u00f3 para ejecutar el script. Si eso no es suficiente, abra las herramientas de desarrollo F12 en Chrome u otro navegador y vaya al panel “Red” para monitorear qu\u00e9 informaci\u00f3n env\u00eda la interfaz web. <\/p>\n

Si est\u00e1s usando el CLI ggshield de c\u00f3digo abierto<\/a> puede inspeccionar el c\u00f3digo de la CLI para ver qu\u00e9 sucede cuando usa el comando hmsl. \u00bfQuieres a\u00fan m\u00e1s seguridad? Utilice un inspector de tr\u00e1fico como Fiddler o Wireshark para ver lo que se transmite.<\/p>\n

Los ingenieros de GitGuardian sab\u00edan que incluso los clientes que confiaban en ellos tendr\u00edan miedo de pegar una clave API o alg\u00fan otro secreto en un cuadro de una p\u00e1gina web. Tanto para la seguridad como para la tranquilidad de todos los que utilizan el servicio, optaron por ser lo m\u00e1s transparentes posible y poner la mayor parte posible del proceso bajo control del cliente. Esto va m\u00e1s all\u00e1 de sus materiales de marketing y entra en el Documentaci\u00f3n de ggshield para el comando hsml<\/a>.<\/p>\n

GitGuardian hizo un esfuerzo adicional para asegurarse de que las personas que usan su Comprobador HasMySecretLeaked<\/a> No es necesario compartir los secretos reales para ver si se filtraron. Y ha valido la pena. Se comprobaron m\u00e1s de 9.000 secretos en las primeras semanas de funcionamiento.<\/p>\n

Si sus secretos ya han sido divulgados p\u00fablicamente, es mejor saberlo que no hacerlo. Puede que a\u00fan no hayan sido explotados, pero probablemente sea s\u00f3lo cuesti\u00f3n de tiempo. Puede consultar hasta cinco por d\u00eda de forma gratuita a trav\u00e9s del Comprobador HasMySecretLeaked<\/a> a trav\u00e9s de la web, y m\u00e1s a\u00fan utilizando el CLI del escudo de GitGuardian<\/a>. E incluso si no est\u00e1 buscando ver si sus secretos se filtraron, debe observar su c\u00f3digo y sus m\u00e9todos para inspirar sus esfuerzos y facilitar que sus clientes compartan informaci\u00f3n confidencial sin compartir la informaci\u00f3n en s\u00ed.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n