Quiero contratar a alguien en Upwork para instalar un bot de bitcoin en un servidor en la nube. ¿Qué vulnerabilidades debo vigilar?

Navega tus respuestas
4

Contexto

Intenté instalar Tribeca (un bot de comercio de bitcoins) ayer mismo, pero lo estropeé de alguna manera, ya que no soy muy familiarizado con las tecnologías Docker / Git / NPM / mongoDB ( un poco de conocimiento es peligroso & c, & c).

Me gustaría pagarle a alguien en Upwork para que me lo instale en un servidor en la nube (estoy pensando en Digital Ocean), pero me preocupaba la posibilidad de que el profesional independiente pudiera acceder a mis datos / fondos después de la Se completaron la instalación y la entrega.

Pregunta

¿Hay alguna forma de verificar que la instalación de Tribeca sea segura sin que me roben los fondos y que el profesional independiente no pueda acceder a ella?

Esto es lo que pensé hasta ahora:

  • Para verificar que el código sea el mismo, obtenga la suma de comprobación del código instalado y la suma de comprobación del repositorio de Github y compárelos. No estoy seguro de si esto funcionaría si se produjeran cambios en los archivos durante la instalación
  • Ingresando las claves de mi API de intercambio, una vez que esté satisfecho de que el freelancer no tiene acceso / puertas traseras incorporadas (esta es obvia).

¿Es posible incluso verificar que la instalación no sea malintencionada o lo estoy haciendo todo mal?

Soy un acechador de Sec.SE desde hace mucho tiempo, pero esta es la primera vez que publico una pregunta. Por favor, comenta cómo puedo mejorar la pregunta para que sea más respondible: gracias :)

    
pregunta user29357 15.03.2018 - 01:03
fuente

3 respuestas

0

Siga publicando el anuncio de trabajo en Upwork y ponga especial énfasis en el screencast.

Una vez que tengas el screencast, replica con otra instalación en un servidor en la nube que nadie más haya tocado.

Si hay algo sospechoso en el screencast (por ejemplo, cambio de código), pregúntele a alguien más (tal vez en Sec.SE) antes de continuar con él.

En esencia, le está pagando a alguien para que cree un conjunto de instrucciones detalladas (a través de un video) para instalarlo, y usted mismo se encargará de la instalación.

Esta es una respuesta a mi propia pregunta, provocada por uno de los comentarios a otra respuesta.

    
respondido por el user29357 19.03.2018 - 20:50
fuente
1

Si les da acceso desatendido por cualquier cantidad de tiempo, no puede.

Lo que puede hacer es, por ejemplo, darles acceso a su escritorio mediante algún software de escritorio remoto, y luego conectarse al servidor de la nube desde su PC. Si los observa todo el tiempo, puede estar seguro de que no hay puerta trasera, si comprende todo lo que hacen.

Lo más probable es que no entiendas todo lo que hacen, de lo contrario, solo lo harías tú mismo. Pero al menos notarías acciones sospechosas.

Muchas herramientas para compartir la pantalla también permiten grabar la pantalla. De esta manera, podría mostrar la grabación a otra persona para verificar que no se haya instalado ningún backdoor.

El punto importante es que nunca les permite acceder al servidor por su cuenta y ver todo lo que hacen.

    
respondido por el Josef 16.03.2018 - 10:24
fuente
1

Podría encargarle a alguien que cree instrucciones muy exactas y sencillas para configurar el bot (tome este archivo bash .sh que escribí, edite su clave de API en él, inicie un servidor DigitalOcean con la imagen de Ubuntu 16.04, scp el .sh haga clic en el servidor y ejecútelo), y luego siga las instrucciones usted mismo.

El único problema es que necesitarán una cuenta de DigitalOcean y tal vez una cuenta de intercambio para probar las cosas. Puede reembolsarlos por el uso de sus propias cuentas, o quizás darles acceso limitado a sus cuentas. (Tal vez podría crear un equipo de DigitalOcean, agregarlos al equipo para que puedan crear un servidor, y una vez que terminen, los eliminará del equipo y eliminará cualquier servidor restante. Tal vez pueda darles una clave de API de solo lectura. a su cuenta de intercambio que no tiene permiso para realizar transacciones, y usted revoca la clave de API que ya han hecho las pruebas.)

    
respondido por el Macil 17.03.2018 - 02:34
fuente

Lea otras preguntas en las etiquetas

¿No debería netstat mostrar conexiones de muchas direcciones IP diferentes durante un DDoS, a diferencia de este ejemplo? Cuándo completar el papeleo de cumplimiento de las normas DSS de PCI