鬼故事 - 這不是後門這是工程模式！

Credit: sandserif

故事開始

故事回到小彎的公司，
有一天小彎公司收到了資安通報，產品有後門帳號並且密碼固定。
這件事讓公司整個 RD 部門感到吃驚，為甚麼帳號會被發現？
是的，不是為甚麼有這帳號，而是帳號為甚麼會被發現。

這個帳號有如系統的神，該做的不該做的這個帳號都能做，
所以公司工程師在客戶 call 電話進來的時候，
通常都會用這個帳號先行一步替客戶 troubleshooting，
如此一來往往都能很快的解決問題，公司也食髓知味繼續用這招服務客戶，
但既然這個帳號已經被發現，也就代表著這整個流程都要更換了。

雖然這個帳號十分方便，但其實工程師們都知道這樣的方式是十分危險的，
況且預設啟用加上可以從外部連線，並且密碼明文保存還都一樣。

資安探討

"工程"帳號該如何保存

在許多關於這類型的帳號在 CVE 裡面最大的問題就是密碼被找到/破解，
或是高於其他帳號很多權限(e.g. 操作無紀錄、修改系統等...)，

所以筆者建議了一些事項，供開發人員參考：
心法：你越方便越偷懶，駭客就越方便，除錯流程麻煩一點駭客也比較難利用。

1. 妥善的保存密碼
   保護的方式有許多(e.g. linux shadow password)，由於無法直接破解，
   所以攻擊者拿到 Hash 是無法利用的，只要密碼夠強，至少能起到一定保護作用。
2. 無法遠端登入或是預設不開啟
   預設不開啟應該是標準配備，這樣才能最大限度的保證沒人會在平常使用這個帳號，
   根據設備情境不同，還可以考慮設定拒絕遠端使用此帳號，
   許多國際大廠硬體設備都有所謂的工程帳號/模式，但必須透過啟用或是特殊實體介面才能使用，
   確保了客戶的資訊安全被保障。
3. 盡量避免同一密碼或是採用 OTP
   避免使用相同密碼，以免一組密碼外洩整個世界就大亂，
   當設備/軟體支援 OTP 強烈建議使用，提升登入保護的強度。