Heredó un proyecto con una puerta trasera para administrar; el código fue rápidamente robado por una entidad conocida. ¿Que sigue?

Navega tus respuestas
-1

Tengo un gran problema para ti: casi lo publiqué en la pila de gestión de proyectos.

Me pidieron que supervisara el desarrollo de un proyecto.

En algún momento, el administrador anterior pensó que era prudente crear una puerta trasera en las entrañas de un módulo Java oscuro.

Debido a la naturaleza del proyecto, básicamente obtiene acceso de root en el servidor así como en los servidores "esclavos".

Lo descubrimos porque el software envía un mensaje "¡Estoy preparado!" correo electrónico después de la instalación.

El equipo sudamericano, en cuestión de minutos, descubrió quién era este tipo y qué cambios estaba haciendo en el código.

No estoy seguro de cómo se filtró, pero aquí están las preguntas más detalladas:

  • ¿Cuál es la mejor manera de evitar que nos arraigemos? Me han dicho que es posible, aunque muy difícil , descubrir cómo funciona alguien que no esté familiarizado con el proyecto
  • ¿Hay alguna forma de conservar esta "característica"? Si fue robado, tal como lo veo, todos los miembros del equipo son sospechosos, por lo que si se filtra DE NUEVO, me gustaría tener alguna forma de, al menos, descubrirlo.
  • ¿Qué hacer con un señor ****, **** de *****?

Más específicamente:

Un módulo Java del software contiene una forma de averiguar la contraseña para el usuario root en el servidor, tanto maestro como (numerosos) esclavos. La forma de obtener la contraseña de root está oculta entre miles de líneas de código, pero solo requiere un token preestablecido. No estoy muy feliz por eso.

    
pregunta dsp_099 08.12.2016 - 02:21
fuente

2 respuestas

4

La mejor manera de evitar que te arraigen sería eliminar la puerta trasera del proyecto. Si eso no fuera posible, lo único que puedo ver hasta ahora sería aislar el programa en un contenedor y configurar un control de acceso muy estricto y un filtro de IP para intentar mitigar el daño.

Si desea conservar la función (no lo recomendaría), sería conveniente agregar una autenticación sólida (certificados y contraseñas) para asegurarse de que no ocurra el acceso no autenticado.

Pregúntele al señor **** por qué lo hizo, pídale que lo elimine, y a menos que haya recibido la aprobación de un montón de gente y una buena razón lo despida.

    
respondido por el kbh 08.12.2016 - 03:25
fuente
2

Esto es muy, muy malo. Necesitas hacer lo siguiente:

  • Si el sistema se está ejecutando, apáguelo. No lo inicie de nuevo hasta que se solucione el problema. (Podría considerar ejecutarlo detrás de algún tipo de firewall que bloquee la vulnerabilidad, pero a menos que esté realmente seguro de que está protegido, eso también sería un riesgo).
  • Suponga que todos sus servidores, incluidos los esclavos, se han visto comprometidos. Lea esto.
  • Solucione el problema eliminando la puerta trasera, incluso si es complicado. No hacerlo sería como decir "Me disparó una bala de plomo envenenada, pero el médico dijo que requeriría una cirugía complicada para extraerla, así que la dejé en mi cuerpo".
  • Pídale a alguien externo que haga una revisión completa de su código, para asegurarse de que no haya más tesoros ocultos en alguna parte.
  • Revise sus rutinas para cometer código a producción. ¿Qué se puede hacer para evitar que cosas como esta se deslicen en el futuro?

En cuanto a cómo tratar con el Sr. X (y cualquier otra persona que haya sabido acerca de esto) esa pregunta no está realmente relacionada con el tema y no sé lo suficiente sobre su motivación para responderla de todos modos. Pero te recomendaría que obtuvieras un consejo legal serio sobre eso.

    
respondido por el Anders 08.12.2016 - 10:28
fuente

Lea otras preguntas en las etiquetas

¿Se pueden infectar los videos descargados de YouTube (por Youtube)? Ejecute nuestra propia Autoridad de certificación solo para uso interno: ¿es seguro o no? [duplicar]