¡Ejecuto código de Internet!

Rate this content
Bookmark

¿Es sabio ejecutar código de desconocidos? Bueno, lo hacemos todo el tiempo y no hay vuelta atrás. Veamos cómo un proyecto de JavaScript podría ser hackeado y luego defenderse de los ataques a la cadena de suministro. ¿Limitar el acceso a los globales para cada paquete? Claro. ¿Controlar si un paquete puede acceder a la red o al sistema de archivos? Sí, también. Y no más scripts de instalación o contaminación de prototipos.

12 min
06 Jun, 2023

AI Generated Video Summary

La charla de hoy aborda los riesgos de ejecutar código de otra persona, el uso de herramientas de seguridad de la cadena de suministro y la automatización del análisis de paquetes con SocketDev. También presenta el concepto de JavaScript endurecido y Lockdown para crear entornos seguros. La mención de LavaMode y su empaquetador, así como el ejemplo de aplicación que utiliza Cookiemonster, muestra las aplicaciones prácticas de estas herramientas. El orador también ofrece ayuda para implementar Lavamote en proyectos.

1. Running Someone Else's Code and Ensuring Security

Short description:

Hoy vamos a hablar de ejecutar el código de otra persona y los posibles riesgos asociados. Los paquetes de NPM, aunque ampliamente utilizados, pueden representar una amenaza ya que son entradas no sanitizadas de Internet. Las herramientas de seguridad de la cadena de suministro pueden ayudar a identificar paquetes maliciosos, pero no son infalibles. SocketDev automatiza el proceso de encontrar cualidades sospechosas en los paquetes, proporcionando un mejor ciclo de retroalimentación. En Lavamote, adoptamos un enfoque proactivo al asumir que una de las dependencias ya es maliciosa. LavaMode te permite generar una política para tu aplicación y ejecutarla en función de esa política, aislando cada dependencia mediante Hardened JavaScript.

Nauchter.pl es mi sitio web, tiene un montón de otros materiales sobre JavaScript, seguridad y otras cosas.

Y hoy vamos a hablar de ejecutar el código de otra persona. Hablando de eso, si les diera una cadena de texto y les pidiera que la pongan en su aplicación y la ejecuten, ¿lo harían? ¿Pondrían mi código en producción sin revisarlo mucho? Bueno, supongo que la respuesta va a ser no. ¿Pero ayudaría si lo pusiera en un archivo tar.gz? ¿Sería más atractivo de esa manera? De alguna manera sí, porque eso es lo que son los paquetes de NPM. Y son geniales, todos los usan, pero en realidad son entradas no sanitizadas de Internet que ponemos en nuestras aplicaciones y ejecutamos. ¿De acuerdo? Así que sí, eso es lo que estamos haciendo, lo hacemos todo el tiempo. Instalo paquetes de NPM todo el tiempo. ¿Y si algunos de los paquetes ahí no son buenos? Y con eso no me refiero a paquetes malos. He publicado algunos paquetes malos y no pasó nada malo. Pero me refiero a paquetes maliciosos, paquetes peligrosos que quieren dañar tu aplicación, tus usuarios. ¿Qué hacemos al respecto? Bueno, hay herramientas para la seguridad de la cadena de suministro, ¿verdad? Entonces, una herramienta podría decir, hey, algunos investigadores descubrieron que este paquete no es bueno y lo informaron. Así que ese paquete que enviaste a producción hace unas semanas, ahora sabemos que no es bueno. Por favor, haz algo al respecto. ¿Es una gran situación para estar? No necesariamente. Ok, hay SocketDev. Puedes usar eso y obtener un ciclo de retroalimentación mucho mejor, porque SocketDev automatiza la búsqueda de cualidades sospechosas en los paquetes. Entonces, SocketDev, unas pocas horas después de que se publique el paquete, podrá decirte que posiblemente haya algo mal con él. Pero luego necesitas investigarlo. En Lavamote decidimos ser proactivos en lugar de reactivos, por lo que asumimos que una de las dependencias en el gráfico de dependencias ya es maliciosa cuando se ejecuta la aplicación. Entonces, ¿cómo funciona? Tengo una demostración, si esta fuera una charla más larga, pueden ver esa demostración, pero veamos la situación en la que instalas una herramienta de compilación para tu proyecto y luego alguien pone esto en el código de tu herramienta de compilación en algún lugar. Así que toma tu token de GitHub mientras se ejecuta en CI y lo envía a algún lugar. ¿Es genial? Probablemente no. Lo que hace LavaMode, LavaMode te permite generar una política para toda tu aplicación, en este caso un proceso de compilación, y luego ejecutarlo en función de esa política. La política se genera automáticamente, detecta casi todo lo que se necesita para que la aplicación se ejecute, luego procedes a ajustar la política al margen, qué cosas deberían estar permitidas y cuáles no. Si nuestro análisis no encuentra algo, no aparece en la política y por defecto no está permitido. En este caso, la política se genera con la solicitud HTTPS y Process.env presente. Lo que podemos hacer es eliminarlos o cambiarlos a false, lo que significa que no están permitidos, y ejecutar tu compilación con lavamode hará que aparezca uno de estos errores. Ya sea esta dependencia maliciosa que solicita el paquete HTTPS, que no está disponible, o que no puede leer env de process porque process no está definido. ¿Cómo es eso posible? Bueno, gracias a Hardened JavaScript. Estamos utilizando Hardened JavaScript detrás de escena para aislar cada dependencia dentro del mismo proceso.

2. Hardened JavaScript and Lockdown

Short description:

Hardened JavaScript proporciona aislamiento al crear un compartimento donde el código puede ejecutarse con globales controlados. Lockdown garantiza un entorno seguro al evitar la manipulación maliciosa de los prototipos globales. Se está considerando una propuesta inicial para los compartimentos por parte de TC39, con aportes de desarrolladores experimentados. La implementación está en marcha y ofrece resultados prometedores.

No hay hilos, workers ni iframes involucrados. Todo esto sucede en un reino o contexto, y aún así podemos obtener un buen aislamiento. Hardened JavaScript es el constructor de compartimentos que crea un espacio donde puedes ejecutar código y decidir qué globales estarán disponibles e importar otras cosas.

Y luego está el lockdown que se asegura de que todo el entorno que lo rodea, como los prototipos globales de objeto, array y función, se coloque en un estado en el que sea imposible manipularlos maliciosamente. Así que, ya no hay contaminación de prototipos.

Y la buena noticia es que esto se está convirtiendo en parte del lenguaje. ¡Bueno, aún no! Hay una propuesta inicial para introducir compartimentos en TC39, y algunas de las personas que trabajan en ello son las responsables de brindarnos objetos libres de uso estricto o promesas. Así que, espero que esto se implemente. Va a llevar un tiempo, pero ya tenemos una implementación que funciona.

3. LavaMode y Bundler

Short description:

LavaMode no es solo para Node. También hay un bundler construido sobre la misma tecnología e ideas, utilizando la misma estructura de políticas. El bundler actual para la producción de Manumaskian se basa en Browserify, pero estamos trabajando en un complemento de Webpack. Es un trabajo en progreso y de código abierto. Únete si quieres ayudar. Todavía hay detalles por resolver para cubrir perfectamente todas las características de Webpack.

Y LavaMode no es solo para Node. No estamos en una conferencia específica de Node. También hay un bundler construido sobre la misma tecnología, las mismas ideas, utilizando la misma estructura de políticas. Y el bundler que tenemos funcionando para la producción de Manumaskian hoy en día se basa en Browserify, porque Browserify fue el más flexible de los bundlers. Y eso ha estado funcionando durante aproximadamente dos años, si recuerdo correctamente. Y ahora estamos trabajando en obtener un complemento de Webpack. Esto es un trabajo en progreso y es de código abierto. Así que si quieres ayudar, únete a nosotros. Hay muchos detalles sobre Webpack que todavía necesitamos resolver para tener una cobertura perfecta de todas las características de Webpack. Y hay muchas características de Webpack. Así que déjame mostrarte el Bundler ahora.

4. Application, Cookie Monster, and Lavamote

Short description:

Esta es una aplicación que importa varias cosas, incluido un paquete llamado cookiemonster. Cookiemonster no solo proporciona citas aleatorias, sino que también roba cookies. La aplicación se construye con webpack e incluye el complemento LavaMode, con el nombre en clave Scoretrap. Hay dos compilaciones, una sin Scoretrap y otra con él habilitado. La política actual permite a la aplicación acceso completo, a Cookie Monster acceso a fetch y a leftpad sin acceso. Si quieres obtener más información sobre Lavamote y Hardened JavaScript, visita mi sitio web. También ofrezco ayuda para implementar Lavamote en tu proyecto.

Esta es una aplicación, muy simple, donde puede importar cosas, MJS, TypeScript, paquetes antiguos, todo. Y hay un paquete llamado cookiemonster que hice. Y cookiemonster nos está dando una cita aleatoria. Y hay un entorno disponible. ¿Por qué te estoy mostrando esto? Porque cookiemonster no solo nos está dando citas. También está robando nuestras cookies. Así que aquí hay una solicitud de búsqueda que envía nuestro nombre de host y cookie al servidor de cookiemonster.

Esta aplicación se está construyendo con webpack. No hay nada especial en esta configuración. Es súper simple. Y luego este complemento. El nombre en clave de nuestro complemento LavaMode es Scoretrap. Todavía es un trabajo en progreso. ¿Recuerdas? Y aquí tengo ejemplos de dos compilaciones. Ejecutemos primero la compilación sin Scoretrap. Así que si actualizo esta página, voy a recibir un mensaje enviado a mi servidor. Este es un mensaje emergente de mi servidor. Tiene el nombre de chocolate chip en las cookies. Esta es la búsqueda que ocurrió y esta es la aplicación funcionando. Obtenemos la cita de Cookie Monster, pero ¿a qué precio? Aquí, esta es una compilación donde nuestro complemento estaba habilitado. Si ejecuto esto, obtengo undefined en su lugar. Lo que sucedió aquí es que tengo alguna salida de diagnóstico. Hemos estado analizando las políticas para la aplicación, leftpad y Cookie Monster. Entonces, la aplicación tiene acceso a todo. Cookie Monster todavía nos da citas. Pero no tiene acceso a location y document, porque no le dimos ese acceso. Esto está implementado por ahora aquí en el tiempo de ejecución. Temporalmente agregué estas políticas codificadas en duro aquí. La política para el tiempo de ejecución de webpack aún no se ha implementado, pero Cookie Monster solo obtiene fetch, leftpad no obtiene nada y luego la aplicación obtiene prácticamente todo. Y esa es la política establecida en este momento.

De acuerdo, volviendo a esto, si quieres saber más, hay muchas presentaciones sobre Lavamote y Hardened JavaScript en mi sitio web. Y hay un enlace a Mark Miller hablando sobre su invención de SEST y Hardened JavaScript y un montón de principios detrás de ello. Por último, pero no menos importante, ofrezco ayuda para implementar Lavamote en tu proyecto. Así que si tienes un proyecto serio que necesitas proteger, podemos instalar y ejecutar al menos algunas de las herramientas de Lavamote para tu proyecto fácilmente. Avísame si quieres probarlo. Estamos buscando comentarios sobre dónde están las incompatibilidades, porque hay una pequeña parte del ecosistema de NPM que podría causar problemas bajo Lavamote, y específicamente bajo lockdown, donde no puedes modificar el prototipo de objeto, etc. Así que, por favor, ponte en contacto si quieres involucrarte con nuestro código abierto o instalar Lavamote. ¡Y bueno, mantente seguro! www.npm.org

Check out more articles and videos

We constantly think of articles and videos that might spark Git people interest / skill us up or help building a stellar career

Node Congress 2022Node Congress 2022
26 min
It's a Jungle Out There: What's Really Going on Inside Your Node_Modules Folder
Do you know what’s really going on in your node_modules folder? Software supply chain attacks have exploded over the past 12 months and they’re only accelerating in 2022 and beyond. We’ll dive into examples of recent supply chain attacks and what concrete steps you can take to protect your team from this emerging threat.
You can check the slides for Feross' talk here.
JSNation 2023JSNation 2023
30 min
The State of Passwordless Auth on the Web
Can we get rid of passwords yet? They make for a poor user experience and users are notoriously bad with them. The advent of WebAuthn has brought a passwordless world closer, but where do we really stand?
In this talk we'll explore the current user experience of WebAuthn and the requirements a user has to fulfill for them to authenticate without a password. We'll also explore the fallbacks and safeguards we can use to make the password experience better and more secure. By the end of the session you'll have a vision for how authentication could look in the future and a blueprint for how to build the best auth experience today.
React Advanced Conference 2021React Advanced Conference 2021
22 min
Let Me Show You How React Applications Get Hacked in the Real-World
Modern frontend frameworks like React are well thought-of in their application security design and that’s great. However, there is still plenty of room for developers to make mistakes and use insecure APIs, vulnerable components, or generally do the wrong thing that turns user input into a Cross-site Scripting vulnerability (XSS). Let me show you how React applications get hacked in the real-world.
JSNation 2023JSNation 2023
22 min
5 Ways You Could Have Hacked Node.js
All languages are or were vulnerable to some kind of threat. I’m part of the Node.js Security team and during the year 2022, we've performed many Security Releases and some of them were really hard to think about.
Did you know you can make money by finding critical vulnerabilities in Node.js? In this talk, I’ll show you 5 ways you can have hacked Node.js and how the Node.js team deals with vulnerabilities.
JSNation Live 2021JSNation Live 2021
9 min
Securing Node.js APIs with Decentralised Identity Tokens
Authentication and Authorization are serious problems. We often dedicate a lot of time to craft powerful APIs but overlook proper security measures. Let's solve it with Magic using a key-based identity solution built on top of DID standard, where users’ identities are self-sovereign leveraging blockchain public-private key pairs. In this talk, we’ll look at proper ways to secure our Node.js APIs with Decentralised Identity Tokens. We’ll go from learning what Decentralised Identity standards are, how the users’ identities are self-sovereign leveraging blockchain public-private key pairs, why they’re the future of API security, and to put theory into practice we will build a real-world implementation using Node.js where I’ll show common best practices.

Workshops on related topic

React Summit 2023React Summit 2023
56 min
0 to Auth in an hour with ReactJS
WorkshopFree
Passwordless authentication may seem complex, but it is simple to add it to any app using the right tool. There are multiple alternatives that are much better than passwords to identify and authenticate your users - including SSO, SAML, OAuth, Magic Links, One-Time Passwords, and Authenticator Apps.
While addressing security aspects and avoiding common pitfalls, we will enhance a full-stack JS application (Node.js backend + React frontend) to authenticate users with OAuth (social login) and One Time Passwords (email), including:- User authentication - Managing user interactions, returning session / refresh JWTs- Session management and validation - Storing the session securely for subsequent client requests, validating / refreshing sessions- Basic Authorization - extracting and validating claims from the session token JWT and handling authorization in backend flows
At the end of the workshop, we will also touch other approaches of authentication implementation with Descope - using frontend or backend SDKs.
JSNation 2022JSNation 2022
99 min
Finding, Hacking and fixing your NodeJS Vulnerabilities with Snyk
WorkshopFree
npm and security, how much do you know about your dependencies?Hack-along, live hacking of a vulnerable Node app https://github.com/snyk-labs/nodejs-goof, Vulnerabilities from both Open source and written code. Encouraged to download the application and hack along with us.Fixing the issues and an introduction to Snyk with a demo.Open questions.
DevOps.js Conf 2022DevOps.js Conf 2022
76 min
Bring Code Quality and Security to your CI/CD pipeline
WorkshopFree
In this workshop we will go through all the aspects and stages when integrating your project into Code Quality and Security Ecosystem. We will take a simple web-application as a starting point and create a CI pipeline triggering code quality monitoring for it. We will do a full development cycle starting from coding in the IDE and opening a Pull Request and I will show you how you can control the quality at those stages. At the end of the workshop you will be ready to enable such integration for your own projects.
TestJS Summit 2021TestJS Summit 2021
111 min
JS Security Testing Automation for Developers on Every Build
WorkshopFree
As a developer, you need to deliver fast, and you simply don't have the time to constantly think about security. Still, if something goes wrong it's your job to fix it, but security testing blocks your automation, creates bottlenecks and just delays releases...but it doesn't have to...

NeuraLegion's developer-first Dynamic Application Security Testing (DAST) scanner enables developers to detect, prioritise and remediate security issues EARLY, on every commit, with NO false positives/alerts, without slowing you down.

Join this workshop to learn different ways developers can access Nexploit & start scanning without leaving the terminal!

We will be going through the set up end-to-end, whilst setting up a pipeline, running security tests and looking at the results.

Table of contents:
- What developer-first DAST (Dynamic Application Security Testing) actually is and how it works
- See where and how a modern, accurate dev-first DAST fits in the CI/CD
- Integrate NeuraLegion's Nexploit scanner with GitHub Actions
- Understand how modern applications, APIs and authentication mechanisms can be tested
- Fork a repo, set up a pipeline, run security tests and look at the results
DevOps.js Conf 2022DevOps.js Conf 2022
32 min
Passwordless Auth to Servers: hands on with ASA
WorkshopFree
These days, you don't need a separate password for every website you log into. Yet thanks to tech debt and tradition, many DevOps professionals are still wrangling a host of SSH keys to access the servers where we sometimes need to be. With modern OAuth, a single login and second factor to prove your identity are enough to securely get you into every service that you're authorized to access. What if SSHing into servers was that easy? In this workshop, we'll use Okta's Advanced Server Access tool (formerly ScaleFT) to experience one way that the dream of sending SSH keys the way of the password has been realized.
- we'll discuss how ASA works and when it's the right tool for the job- we'll walk through setting up a free trial Okta account to use ASA from, and configuring the ASA gateway and server on Linux servers- we'll then SSH into our hosts with the ASA clients without needing to supply an SSH key from our laptops- we'll review the audit logs of our SSH sessions to examine what commands were run