iT邦幫忙

2021 iThome 鐵人賽

DAY 14
0
Security

網路奇妙物語 - IT&Security 系列 第 14

鬼故事 - 這不是後門這是工程模式!

  • 分享至 

  • xImage
  •  

鬼故事 - 這不是後門這是工程模式!

https://ithelp.ithome.com.tw/upload/images/20210913/20141165Liwm0dXnx3.jpg
Credit: sandserif

故事開始

故事回到小彎的公司,
有一天小彎公司收到了資安通報,產品有後門帳號並且密碼固定。
這件事讓公司整個 RD 部門感到吃驚,為甚麼帳號會被發現?
是的,不是為甚麼有這帳號,而是帳號為甚麼會被發現。

這個帳號有如系統的神,該做的不該做的這個帳號都能做,
所以公司工程師在客戶 call 電話進來的時候,
通常都會用這個帳號先行一步替客戶 troubleshooting,
如此一來往往都能很快的解決問題,公司也食髓知味繼續用這招服務客戶,
但既然這個帳號已經被發現,也就代表著這整個流程都要更換了。

雖然這個帳號十分方便,但其實工程師們都知道這樣的方式是十分危險的,
況且預設啟用加上可以從外部連線,並且密碼明文保存還都一樣。

資安探討

"工程"帳號該如何保存

在許多關於這類型的帳號在 CVE 裡面最大的問題就是密碼被找到/破解,
或是高於其他帳號很多權限(e.g. 操作無紀錄、修改系統等...),

所以筆者建議了一些事項,供開發人員參考:
心法:你越方便越偷懶,駭客就越方便,除錯流程麻煩一點駭客也比較難利用。

  1. 妥善的保存密碼
    保護的方式有許多(e.g. linux shadow password),由於無法直接破解,
    所以攻擊者拿到 Hash 是無法利用的,只要密碼夠強,至少能起到一定保護作用。
  2. 無法遠端登入或是預設不開啟
    預設不開啟應該是標準配備,這樣才能最大限度的保證沒人會在平常使用這個帳號,
    根據設備情境不同,還可以考慮設定拒絕遠端使用此帳號,
    許多國際大廠硬體設備都有所謂的工程帳號/模式,但必須透過啟用或是特殊實體介面才能使用,
    確保了客戶的資訊安全被保障。
  3. 盡量避免同一密碼或是採用 OTP
    避免使用相同密碼,以免一組密碼外洩整個世界就大亂,
    當設備/軟體支援 OTP 強烈建議使用,提升登入保護的強度。

上一篇
鬼故事 - 不是,你偷這些幹嘛
下一篇
鬼故事 - 什麼東西我都要拿在手上
系列文
網路奇妙物語 - IT&Security 30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
虎虎
iT邦研究生 4 級 ‧ 2021-09-15 17:02:41

今天居然沒有用 UCCU 的梗圖 XD

John醬 iT邦新手 4 級 ‧ 2021-09-15 22:23:43 檢舉

快用完了Q_Q 正在請梗圖小編生梗圖
歡迎發故事給我
讓我有靈感寫文章

我要留言

立即登入留言