Ho un doozy per te - quasi pubblicato nello stack di gestione del progetto.
Mi è stato chiesto di supervisionare lo sviluppo di un progetto.
Ad un certo punto il precedente manager ha pensato che fosse prudente creare una backdoor in profondità nel budello di un oscuro modulo Java.
A causa della natura del progetto, in pratica ottiene l'accesso root sul server e sui server "slave".
L'abbiamo scoperto perché il software invia un messaggio "I'm all set up!" email al momento dell'installazione.
Il team sudamericano, in pochi minuti, ha capito chi era questo tizio e quali cambiamenti stava apportando al codice.
Non sono sicuro di come è trapelato, ma ecco le domande più dettagliate:
- Qual è il modo migliore per evitare di essere radicati? Mi è stato detto che è possibile, anche se molto difficile , capire come funziona qualcuno che non ha familiarità con il progetto
- C'è un modo per mantenere questa "caratteristica"? Se è stato rubato, per come lo vedo io, tutti nella squadra sono sospetti, quindi se dovessero emergere di nuovo mi piacerebbe avere un modo per scoprirlo.
- Cosa fare con un Mr ****, **** da *****?
Più in particolare:
Un modulo Java del software contiene un modo per capire la password per l'utente root sul server, sia master che (numerosi) slave. Il modo per ottenere la password di root è offuscato tra migliaia di righe di codice, ma richiede solo un singolo token preimpostato. Non ne sono molto contento.