Voglio assumere qualcuno su Upwork per installare un bot di trading bitcoin su un server cloud. A quali vulnerabilità devo prestare attenzione?

Naviga le tue risposte
4

Contesto

Ho provato a installare io stesso Tribeca (un bot di trading bitcoin), ma in qualche modo l'ho incasinato, dato che non sono molto familiarità con le tecnologie Docker / Git / NPM / mongoDB ( un po 'di conoscenza è pericolosa & c, & c).

Vorrei pagare qualcuno su Upwork per installarlo su un server cloud (penso a Digital Ocean), ma ero preoccupato per la possibilità che i freelancer fossero in grado di accedere ai miei dettagli / fondi dopo il installazione e consegna completate.

Domanda

C'è un modo per verificare che l'installazione di Tribeca è sicura da usare senza che i miei fondi vengano rubati e che il libero professionista non sia in grado di accedervi?

Ecco cosa ho pensato finora:

  • Per verificare che il codice sia lo stesso, ottenere il checksum del codice installato e il checksum del repository Github e confrontarli. Non sono sicuro se ciò potrebbe funzionare se si verificano modifiche ai file durante l'installazione
  • Inserendo personalmente le chiavi API di scambio, dopo aver verificato che il freelancer non ha accesso / backdoor integrato (questo è ovvio).

È anche possibile verificare che l'installazione non sia malevola, o sto sbagliando tutto questo?

Sono un lurker sec.se da molto tempo, ma questa è la prima volta che ho postato una domanda. Per favore commenta come posso migliorare la domanda, quindi è più comprensibile - grazie:)

    
posta user29357 15.03.2018 - 01:03
fonte

3 risposte

0

Segui la pubblicazione dell'annuncio di lavoro su Upwork e dedica particolare attenzione allo screencast.

Una volta ottenuto lo screencast, replicalo con un'altra installazione su un server cloud che nessun altro ha toccato.

Se c'è qualcosa di sospetto nello screencast (ad es. modifica del codice), chiedi a qualcun altro (magari su Sec.SE) prima di farlo.

In sostanza, stai pagando qualcuno per creare una serie di istruzioni dettagliate (tramite video) per installarlo, con l'installazione gestita da te.

Questa è una risposta alla mia domanda, provocata da uno dei commenti ad un'altra risposta.

    
risposta data 19.03.2018 - 20:50
fonte
1

Se gli dai un accesso incustodito per un qualsiasi periodo di tempo, non puoi.

Ad esempio, è possibile dare loro accesso al desktop utilizzando un software desktop remoto, quindi connettersi al server cloud dal PC. Se li guardi sempre, puoi essere sicuro che non ci sono backdoor, se capisci tutto ciò che fanno.

Molto probabilmente non capirai tutto ciò che fanno, altrimenti lo faresti da solo. Ma almeno noteresti azioni forse sospette.

Molti strumenti di condivisione dello schermo consentono anche di registrare lo schermo. In questo modo è possibile mostrare la registrazione a qualcun altro per verificare che non sia stata installata alcuna backdoor.

Il punto importante è che non permetti mai loro di accedere al server da soli e guardare tutto ciò che fanno.

    
risposta data 16.03.2018 - 10:24
fonte
1

Potresti incaricare qualcuno di creare istruzioni molto precise e semplici per configurare il bot (prendi questo file bash .sh che ho scritto, modifica la chiave API in esso, avvia un server DigitalOcean con l'immagine di Ubuntu 16.04, scp il file .sh file sul server ed eseguilo), quindi segui da solo le istruzioni.

L'unico problema è che avranno bisogno di un account DigitalOcean e magari di un account di scambio per testare le cose. Potresti rimborsarli per aver utilizzato i loro account, o magari dare loro un accesso limitato ai tuoi account. (Forse potresti creare un team di DigitalOcean, aggiungerli al team in modo che possano creare un server e, una volta terminato, rimuoverli dal team e rimuovere i server rimanenti. Forse puoi assegnare loro una chiave API di sola lettura al tuo account di scambio che non ha il permesso di fare scambi e revochi la chiave API che hanno terminato di testare le cose.)

    
risposta data 17.03.2018 - 02:34
fonte

Leggi altre domande sui tag

Qual è il formato di una chiave X9.62? Non dovrebbe Netstat mostrare connessioni da molti diversi indirizzi IP durante un DDoS, diversamente da questo esempio?