Наш аудитор безопасности - идиот. Как я могу дать ему информацию, которую он хочет?

2307

Аудитор безопасности для наших серверов потребовал в течение двух недель:

  • Список текущих имен пользователей и текстовых паролей для всех учетных записей пользователей на всех серверах
  • Список всех изменений пароля за последние шесть месяцев, снова в виде простого текста
  • Список «каждый файл, добавленный на сервер с удаленных устройств» за последние шесть месяцев
  • Открытый и закрытый ключи любых ключей SSH
  • Письмо, отправляемое ему каждый раз, когда пользователь меняет свой пароль, содержащее простой текстовый пароль

Мы используем Red Hat Linux 5/6 и CentOS 5 с аутентификацией LDAP.

Насколько мне известно, все в этом списке либо невозможно, либо невероятно сложно получить, но если я не предоставлю эту информацию, мы столкнемся с потерей доступа к нашей платформе платежей и потерей дохода в переходный период по мере перехода к новый сервис. Любые предложения о том, как я могу решить или подделать эту информацию?

Единственный способ, которым я могу подумать, чтобы получить все простые текстовые пароли, - это заставить всех сбросить свой пароль и записать, на что он его установил. Это не решает проблему последних шести месяцев смены паролей, потому что я не могу задним числом регистрировать такие вещи, то же самое касается регистрации всех удаленных файлов.

Получение всех открытых и закрытых ключей SSH возможно (хотя и раздражает), поскольку у нас всего несколько пользователей и компьютеров. Разве я не пропустил более простой способ сделать это?

Я много раз объяснял ему, что то, о чем он просит, невозможно. В ответ на мои опасения он ответил следующим письмом:

У меня более 10 лет опыта в аудите безопасности и полное понимание методов безопасности Redhat, поэтому я предлагаю вам проверить свои факты о том, что является и не возможно. Вы говорите, что ни одна компания не может иметь эту информацию, но я провел сотни проверок, где эта информация была легко доступна. Все клиенты [поставщика универсальной обработки кредитных карт] должны соответствовать нашим новым политикам безопасности, и этот аудит предназначен для того, чтобы убедиться, что эти политики были реализованы * правильно.

* «Новые политики безопасности» были введены за две недели до нашего аудита, и регистрация изменений за шесть месяцев не требовалась до изменения политики.

Короче мне нужно;

  • Способ «подделать» изменения пароля за шесть месяцев и сделать его действительным
  • Способ «подделать» шесть месяцев входящей передачи файлов
  • Простой способ собрать все используемые открытые и закрытые ключи SSH

Если мы не пройдем аудит безопасности, мы потеряем доступ к нашей платформе обработки карт (критически важной части нашей системы), и потребуется еще две недели, чтобы переместиться в другое место. Как я облажался?

Обновление 1 (сб 23)

Спасибо за все ваши ответы. Мне очень приятно знать, что это не стандартная практика.

В настоящее время я планирую свой ответ по электронной почте, чтобы он объяснил ситуацию. Как многие из вас отмечали, мы должны соблюдать PCI, который прямо заявляет, что у нас не должно быть никакого способа доступа к текстовым паролям. Я отправлю письмо, когда закончу писать. К сожалению, я не думаю, что он просто проверяет нас; все это сейчас в официальной политике безопасности компании. Я, однако, привел в движение колеса, чтобы отойти от них и на PayPal в настоящее время.

Обновление 2 (сб 23)

Это электронное письмо, которое я составил, какие-либо предложения по добавлению / удалению / изменению?

Привет, [имя],

К сожалению, мы не можем предоставить вам некоторую запрашиваемую информацию, в основном обычные текстовые пароли, историю паролей, ключи SSH и журналы удаленных файлов. Эти вещи не только технически невозможны, но и возможность предоставить эту информацию будет как против стандартов PCI, так и нарушением закона о защите данных.
Чтобы процитировать требования PCI,

8.4 Сделать все пароли нечитаемыми при передаче и хранении на всех компонентах системы с использованием надежной криптографии.

Я могу предоставить вам список имен пользователей и хешированных паролей, используемых в нашей системе, копии открытых ключей SSH и файл авторизованных хостов (это даст вам достаточно информации, чтобы определить количество уникальных пользователей, которые могут подключиться к нашим серверам, и шифрование используемые методы), информация о наших требованиях к безопасности паролей и нашем сервере LDAP, но эта информация не может быть удалена с сайта. Я настоятельно рекомендую вам пересмотреть ваши требования к аудиту, поскольку в настоящее время мы не можем пройти этот аудит, оставаясь при этом в соответствии с PCI и Законом о защите данных.

С уважением,
[меня]

Я буду CC'ing в CTO компании и нашего менеджера по работе с клиентами, и я надеюсь, что CTO сможет подтвердить, что эта информация недоступна. Я также свяжусь с Советом по стандартам безопасности PCI, чтобы объяснить, что он требует от нас.

Обновление 3 (26)

Вот несколько писем, которыми мы обменялись;

RE: мой первый адрес электронной почты;

Как объяснено, эта информация должна быть легко доступна в любой исправной системе любому компетентному администратору. Ваша неспособность предоставить эту информацию заставляет меня думать, что вы знаете о недостатках безопасности в вашей системе и не готовы их обнаружить. Наши запросы соответствуют рекомендациям PCI, и оба могут быть выполнены. Сильная криптография только означает, что пароли должны быть зашифрованы, пока пользователь вводит их, но затем они должны быть перемещены в восстанавливаемый формат для последующего использования.

Я не вижу проблем защиты данных для этих запросов, защита данных распространяется только на потребителей, а не на предприятия, поэтому с этой информацией не должно быть проблем.

Просто, что я не могу, даже ...

«Сильная криптография только означает, что пароли должны быть зашифрованы, пока пользователь вводит их, но затем они должны быть перемещены в восстанавливаемый формат для последующего использования».

Я собираюсь создать это и поставить на стену.

Мне надоело быть дипломатичным и направил его в эту ветку, чтобы показать ему ответ, который я получил:

Предоставление этой информации ПРЯМО противоречит нескольким требованиям руководящих принципов PCI. В разделе, который я цитировал, даже сказано storage (имеется в виду, где мы храним данные на диске). Я начал обсуждение на ServerFault.com (онлайн-сообщество для специалистов по системному администрированию), которое вызвало огромный отклик, и все предположили, что эту информацию предоставить невозможно. Не стесняйтесь читать через себя

https://serverfault.com/questions/293217/

Мы закончили перевод нашей системы на новую платформу и в течение следующего дня или около того будем аннулировать нашу учетную запись у вас, но я хочу, чтобы вы поняли, насколько нелепы эти запросы, и ни одна компания, правильно внедряющая рекомендации PCI, не будет или не должна, быть в состоянии предоставить эту информацию. Я настоятельно рекомендую вам пересмотреть свои требования к безопасности, поскольку ни один из ваших клиентов не должен соответствовать этому.

(Я действительно забыл, что назвал его идиотом в названии, но, как уже упоминалось, мы уже отошли от их платформы, так что никаких реальных потерь.)

И в своем ответе он заявляет, что, очевидно, никто из вас не знает, о чем вы говорите:

Я подробно ознакомился с этими ответами и вашим оригинальным сообщением. Все респонденты должны правильно изложить свои факты. Я был в этой отрасли дольше, чем кто-либо на этом сайте, получение списка паролей учетных записей пользователей невероятно просто, это должно быть одним из первых, что вы делаете, когда учитесь, как защитить свою систему, и важно для работы любого безопасного сервер. Если вам по-настоящему не хватает навыков, чтобы сделать что-то такое простое, я собираюсь предположить, что у вас не установлен PCI на ваших серверах, так как возможность восстановления этой информации является основным требованием программного обеспечения. Когда имеешь дело с чем-то вроде безопасности, тебе не следует задавать эти вопросы на публичном форуме, если у тебя нет базовых знаний о том, как это работает.

Я также хотел бы предложить, чтобы любая попытка раскрыть меня или [название компании] будет считаться клеветой, и будут приняты соответствующие юридические меры

Ключевые идиотские моменты, если вы их пропустили:

  • Он был аудитором безопасности дольше, чем кто-либо другой здесь (он либо догадывается, либо преследует вас)
  • Возможность получить список паролей в системе UNIX является «базовой»
  • PCI теперь программное обеспечение
  • Люди не должны использовать форумы, когда они не уверены в безопасности
  • Размещение фактической информации (на которую у меня есть подтверждение по электронной почте) в Интернете является клеветой

Отлично.

PCI SSC ответили и расследуют его и компанию. Наше программное обеспечение перешло на PayPal, поэтому мы знаем, что это безопасно. Я собираюсь дождаться, когда PCI вернется ко мне в первую очередь, но меня немного беспокоит, что они могли использовать эти методы безопасности внутри страны. Если так, то я думаю, что это нас беспокоит, так как вся наша обработка карт проходила через них. Если бы они делали это внутренне, я думаю, что единственной ответственной вещью было бы информировать наших клиентов.

Я надеюсь, когда PCI поймет, насколько плохо они будут исследовать всю компанию и систему, но я не уверен.

Итак, теперь мы отошли от их платформы, и предположим, что пройдет не менее нескольких дней, прежде чем PCI вернется ко мне, какие-нибудь изобретательные предложения о том, как немного его троллить? знак равно

Как только я получу разрешение от моего юриста (я очень сомневаюсь, что все это на самом деле является клеветой, но я хотел еще раз проверить), я опубликую название компании, его имя и адрес электронной почты, и если вы хотите, вы можете связаться с ним и объяснить почему вы не понимаете основы безопасности Linux, например, как получить список всех паролей пользователей LDAP.

Маленькое обновление:

Мой «юрист» предложил раскрыть, что компания, вероятно, вызовет больше проблем, чем нужно. Хотя я могу сказать, что это не крупный провайдер, у них менее 100 клиентов, использующих эту услугу. Изначально мы начали использовать их, когда сайт был крошечным и работал на небольшом VPS, и мы не хотели прилагать все усилия для получения PCI (мы использовали перенаправление на их интерфейс, например, PayPal Standard). Но когда мы перешли к непосредственной обработке карт (включая получение PCI и здравый смысл), разработчики решили продолжать использовать одну и ту же компанию, просто другой API. Компания базируется в Бирмингеме, Великобритания, поэтому я очень сомневаюсь, что кто-то здесь будет затронут.

мазаться
источник
460
У вас есть две недели, чтобы передать ему информацию, и требуется две недели, чтобы переехать куда-нибудь еще, кто может обрабатывать кредитные карты. Не беспокойтесь - примите решение переехать сейчас и отказаться от аудита.
Scrivener
159
Пожалуйста, сообщите нам, что происходит с этим. Мне нравится, когда я вижу, как шлепают одитора. =) Если я вас знаю, напишите мне на адрес в моем профиле.
Уэсли
143
Должно быть, он проверяет тебя, чтобы увидеть, действительно ли ты такой глупый. Правильно? Я надеюсь на это ...
Джо Филлипс
187
Я хотел бы знать некоторые ссылки для других компаний, которые он проверял. Если нет другой причины, кроме как знать, кого следует избегать . Открытые пароли ... правда? Вы уверены, что этот парень на самом деле не глупая и не глупая социальная инженерия, которая в течение нескольких месяцев передавала свои пароли? Потому что, если есть компании, которые делают это с ним, это ОТЛИЧНЫЙ способ просто передать ключи ...
Барт Сильверстрим,
286
Любая достаточно развитая некомпетентность неотличима от злого умысла
Джереми Френч

Ответы:

1208

Во-первых, не капитулируйте. Он не только идиот, но и ОПАСНО неправ. Фактически, предоставление этой информации нарушило бы стандарт PCI (что, как я полагаю, предназначается для аудита, поскольку он является платежным процессором) наряду со всеми остальными стандартами и просто здравым смыслом. Это также подвергнет вашу компанию различным видам обязательств.

Следующее, что я хотел бы сделать, - это отправить электронное письмо вашему боссу, в котором говорится, что ему необходимо привлечь корпоративного адвоката, чтобы определить юридический риск, с которым компания столкнется при выполнении этого действия.

Этот последний бит зависит от вас, но я бы связался с VISA с этой информацией и получил бы статус его аудитора PCI.

Zypher
источник
289
Ты подтолкнул меня на это! Это незаконный запрос. Получить PCI QSA для аудита запроса процессора. Получить его по телефону. Обведите вагоны. "Заряд для оружия!"
Уэсли
91
"получить статус его аудитора PCI" Я не знаю, что это значит ... но какие бы полномочия ни имел этот клоун (аудитор), очевидно, исходил из коробки мокрого взломщика и должен быть отозван. +1
WernerCD
135
Все это предполагает, что этот парень на самом деле является законным одитором ... он звучит ужасно подозрительно для меня.
Рейд
31
Я согласен - suspicious auditorили он законный одитор, проверяющий, достаточно ли ты глуп, чтобы делать что-то из этого. Спросите, зачем ему эта информация. Просто рассмотрите пароль, который никогда не должен быть простым текстом, но должен быть за каким-то односторонним шифрованием (хэш). Может быть, у него есть какая-то законная причина, но со всем его «опытом» он сможет помочь вам получить необходимую информацию.
Vol7ron
25
Почему это опасно? Список всех паролей в виде простого текста - их не должно быть. Если список не пустой, у него есть действительная точка. То же самое относится и к вещам msot. Если у вас их нет, потому что их там нет, говорите. Добавлены удаленные файлы - это часть аудита. Не знаю - начать вводить систему, которая знает.
TomTom
837

Как человек, который прошел процедуру аудита в Price Waterhouse Coopers по секретному государственному контракту, могу вас заверить, об этом совершенно не может быть и речи, и этот парень безумен.

Когда PwC захотел проверить надежность нашего пароля, они:

  • На вопрос, чтобы увидеть наши алгоритмы надежности пароля
  • Проверил тестовые модули по нашим алгоритмам, чтобы убедиться, что они будут запрещать плохие пароли
  • Попросили посмотреть наши алгоритмы шифрования, чтобы гарантировать, что они не могут быть перевернуты или незашифрованы (даже радужными таблицами), даже кем-то, кто имел полный доступ ко всем аспектам системы
  • Проверено, чтобы видеть, что предыдущие пароли были кэшированы, чтобы гарантировать, что они не могут быть повторно использованы
  • Попросили у нас разрешения (которое мы предоставили) на то, чтобы они попытались проникнуть в сеть и связанные с ней системы, используя методы несоциальной инженерии (такие как эксплойты xss и non-0 day)

Если бы я даже намекнул, что смогу показать им, какими были пароли пользователей за последние 6 месяцев, они бы немедленно отстранили нас от договора.

Если бы можно было обеспечить эти требования, вы бы сразу потерпели неудачу при каждом отдельном аудите.


Обновление: ваш ответ по электронной почте выглядит хорошо. Гораздо более профессионально, чем все, что я написал бы.

Марк Хендерсон
источник
109
+1. Похоже, разумные вопросы, которые не должны быть отвечающими. Если вы можете ответить на них, у вас есть глупая проблема безопасности под рукой.
TomTom
9
even by rainbow tablesразве это не исключает NTLM? Я имею в виду, что это не соленая ... AFAICR MIT Kerberos не шифровал и не хэшировал активные пароли, не знаю, каков текущий статус
Хуберт Карио
6
@Hubert - мы не использовали NTLM или Kerberos, поскольку методы сквозной аутентификации были запрещены, и служба все равно не была интегрирована с активным каталогом. Иначе мы также не смогли бы показать им наши алгоритмы (они встроены в ОС). Должен был упомянуть - это была защита на уровне приложений, а не аудит на уровне ОС.
Марк Хендерсон
4
@tandu - это то, что указано в спецификациях для уровня классификации. Также довольно часто запрещают людям повторно использовать свои последние n паролей, потому что это мешает людям просто циклически использовать два или три часто используемых пароля, что так же небезопасно, как использование одного и того же общего пароля.
Марк Хендерсон
10
@Slartibartfast: но наличие возможности узнать простой текст пароля означает, что злоумышленник также может проникнуть в вашу базу данных и получить все на виду. Что касается защиты от использования подобного пароля, то это можно сделать в javascript на стороне клиента, когда пользователь пытается сменить пароль, также спросите старый пароль и проведите сравнение сходства со старым паролем, прежде чем отправлять новый пароль на сервер. Конечно, он может предотвратить повторное использование только с 1 последнего пароля, но в IMO риск хранить пароль в виде открытого текста намного выше.
Ли Райан
456

Честно говоря, похоже, что этот парень (одитор) подставляет вас. Если вы дадите ему информацию, которую он запрашивает, вы только что доказали ему, что вы можете получить социальную инженерию для предоставления важной внутренней информации. Провал.

анастрофа
источник
10
Кроме того, вы рассматривали сторонний платежный процессор, как authorize.net? компания, в которой я работаю, проводит через них очень большие транзакции по кредитным картам. нам не нужно хранить какую-либо информацию о платежах клиентов - этим управляет authorize.net, поэтому нет никаких проверок наших систем, которые усложняют ситуацию.
анастрофа
172
это именно то, что я думал, что происходит. Социальная инженерия, наверное, самый простой способ получить эту информацию, и я думаю, что он проверяет эту лазейку. Этот парень либо очень умный, либо очень тупой
Джо Филлипс
4
Эта позиция как минимум самый разумный первый шаг. Скажите ему, что вы нарушаете законы / правила / что угодно, делая это, но вы цените его хитрость.
Майкл
41
Тупой вопрос: допустимо ли в этой ситуации «настраивать»? Общая логика говорит мне, что процесс аудита не должен состоять из «уловок».
Agos
13
@Agos: я работал в месте, где несколько лет назад нанял агентство для проведения аудита. Часть аудита включала вызов случайных людей в компании с «<CIO> попросил меня позвонить вам и получить ваши учетные данные, чтобы я мог <сделать что-нибудь>». Мало того, что они проверяли, чтобы вы на самом деле не отказывались от учетных данных, но как только вы их повесили, вы должны были немедленно позвонить <CIO> или <Security Admin> и сообщить об обмене.
Тоби
345

Я только что заметил, что вы находитесь в Великобритании, а это значит, что он просит вас нарушить закон (на самом деле Закон о защите данных). Я тоже в Великобритании, работаю в крупной компании с высокой степенью аудита и знаю законодательство и обычные практики в этой области. Я также очень неприятная работа, которая с радостью обуздает этого парня для вас, если вы хотите просто для удовольствия, дайте мне знать, если вы хотите помочь, хорошо.

Chopper3
источник
28
Предполагая, что на этих серверах есть какая-либо личная информация, я думаю, что передача / всех / учетных данных для доступа в виде открытого текста кому-то с таким уровнем продемонстрированной некомпетентности была бы явным нарушением Принципа 7 ... («Соответствующие технические и организационные меры должны быть приняты против несанкционированной или незаконной обработки персональных данных, а также против случайной потери, уничтожения или повреждения персональных данных. ")
Стивен Вейсс
4
Я думаю, что это справедливое предположение - если вы храните платежную информацию, вы, вероятно, также храните контактную информацию для своих пользователей. Если бы я занимал должность ОП, то увидел бы, что «то, что вы просите меня сделать, не только нарушает политические и договорные обязательства [соблюдать PCI], но и является незаконным», как более сильный аргумент, чем просто упоминание политики и PCI ,
Стивен Вейсс
4
@ Джимми, почему пароль не будет персональными данными?
Роберт
10
@ Ричард, ты же знаешь, что это была метафора?
Chopper3
9
@ Чоппер3 Да, я все еще думаю, что это неуместно. Плюс я противостою AviD.
Ричард Гадсден
285

Вы работаете в социальной сфере. Либо это «для проверки себя», либо хакер, изображающий из себя аудитора, чтобы получить очень полезные данные.

Мистер Тиред
источник
8
Почему это не лучший ответ? Означает ли это что-то о сообществе, простоте социальной инженерии, или я упускаю что-то фундаментальное?
Пол
166
никогда не приписывайте злобе то, что можно отнести к невежеству
aldrinleal
13
Однако приписывание всех этих просьб невежеству, когда одитор утверждает, что он профессионал, немного напрягает воображение.
Томас К
12
Проблема этой теории заключается в том, что, даже если он «поддался» или «провалил тест», он не мог дать ему информацию, потому что это невозможно .....
Ред
4
Мое лучшее предположение - также «серьезная социальная инженерия» (это совпадение, что скоро выйдет новая книга Кевина Митника?), И в этом случае ваша платежная фирма будет удивлена ​​(вы уже проверили с ними об этом «аудите»?) , Другой вариант - очень неопытный одитор-новичок, который пытался блефовать и теперь копает себя все глубже, глубже и глубже.
Коос ван ден Хаут
278

Я серьезно обеспокоен отсутствием у этических специалистов навыков решения этических проблем, а также тем, что сообщество по проблемам с серверами игнорирует это вопиющее нарушение этического поведения.

Короче мне нужно;

  • Способ «подделать» изменения пароля за шесть месяцев и сделать его действительным
  • Способ «подделать» шесть месяцев входящей передачи файлов

Позвольте мне пояснить два момента:

  1. Никогда не следует подделывать данные в ходе обычной деятельности.
  2. Вы никогда не должны разглашать такую ​​информацию кому-либо. Когда-либо.

Это не ваша работа фальсифицировать записи. Ваша задача - убедиться, что все необходимые записи доступны, точны и безопасны.

Сообщество здесь, в Server Fault, должно рассматривать такие вопросы, как сайт stackoverflow обрабатывает вопросы «домашней работы». Вы не можете решать эти проблемы только с помощью технического ответа или игнорировать нарушение этической ответственности.

Видя, как много пользователей с высокой репутацией отвечает здесь в этой теме, и никакое упоминание об этических последствиях этого вопроса меня огорчает.

Я призываю всех прочесть Кодекс этики системных администраторов SAGE .

Кстати, ваш аудитор безопасности - идиот, но это не значит, что вам нужно чувствовать давление, чтобы быть неэтичным в вашей работе.

Изменить: Ваши обновления бесценны. Держите голову опущенной, сухой порошок и не принимайте (или не давайте) никаких деревянных никелей.

Джозеф Керн
источник
44
Я не согласен. «Аудитор» запугивал ОП, разглашая информацию, которая подорвала бы всю ИТ-безопасность организации. Ни при каких обстоятельствах OP не может создавать эти записи и предоставлять их кому-либо. ОП не должен подделывать записи; они легко могут быть замечены как поддельные. ОП должен объяснить руководителям высшего звена, почему требования аудиторов безопасности представляют собой угрозу либо из-за злых намерений, либо из-за полной некомпетентности (пароли электронной почты в виде открытого текста). ОП должен рекомендовать немедленное прекращение работы аудитора безопасности и полное расследование других действий бывшего аудитора.
р джимбоб
18
Д-р Джимбоб, я думаю, вы упускаете суть: «ОП не должен подделывать записи; их легко увидеть как фальшивые». Это все еще неэтичная позиция, так как вы предлагаете ему фальсифицировать данные только тогда, когда их невозможно отличить от истинных данных. Отправка ложных данных неэтична. Отправка паролей ваших пользователей третьим лицам небрежно. Поэтому мы согласны с тем, что с этой ситуацией нужно что-то делать Я комментирую отсутствие критического этического мышления в решении этой проблемы.
Джозеф Керн
13
Я не согласен с тем, что «ваша работа заключается в том, чтобы эти записи были доступны, точны и надежны». Вы обязаны обеспечить безопасность своей системы; необоснованные запросы (например, хранить и обмениваться незашифрованными паролями) не должны выполняться, если они ставят под угрозу систему. Хранение, запись и обмен незашифрованными паролями является серьезным нарушением доверия ваших пользователей. Это большая угроза безопасности красного флага. Аудит безопасности может и должен проводиться без раскрытия незашифрованных паролей / закрытых ключей ssh; и вы должны дать знать вышестоящим и решить проблему.
Доктор Джимбоб
11
Доктор Джимбоб, я чувствую, что мы два корабля, проходящих ночью. Я согласен со всем, что вы говорите; Я не должен был четко сформулировать эти моменты. Я пересмотрю мой первоначальный ответ выше. Я слишком сильно полагался на контекст темы.
Джозеф Керн
4
@ Джозеф Керн, я читал ОП не так, как ты. Я читаю это больше как то, как я могу произвести данные за шесть месяцев, которые мы никогда не хранили. Конечно, я согласен, что большинство способов удовлетворить это требование было бы мошенническим. Однако, если бы я взял свою базу паролей и извлекла временные метки за последние 6 месяцев, я мог бы создать запись о том, какие изменения все еще сохранялись. Я считаю, что «фальшивые» данные были потеряны.
user179700
242

Вы не можете дать ему то, что вы хотите, и попытки «подделать» это, скорее всего, вернутся, чтобы укусить вас в задницу (возможно, законными способами). Вам либо нужно подать апелляцию по цепочке команд (возможно, этот одитор уродлив, хотя аудиты безопасности печально известны идиотизмом - спросите меня об одиторе, который хотел иметь доступ к AS / 400 через SMB), или получите ад из-под этих обременительных требований.

Они даже не хорошая безопасности - список всех паролей открытого текста является невероятно опасной вещью , чтобы когда - либо производить, независимо от методов , используемых для их защиты, и я буду держать пари , этот парень захочет их по электронной почте в незашифрованном , (Я уверен, что вы уже знаете это, я просто должен немного выпустить).

Что касается дерьма и хихиканья, спросите его непосредственно, как выполнить его требования - признайте, что вы не знаете, как, и хотели бы использовать его опыт. Как только вы уйдете, ответом на его «у меня более 10 лет опыта в области аудита безопасности» будет «нет, у вас есть 5 минут опыта, повторенного сотни раз».

romble
источник
8
... аудитор, который хотел получить доступ к AS / 400 через SMB? ... почему?
Барт Сильверстрим
11
Я часто сталкиваюсь с проблемами, связанными с PCI-совместимостью, и спорю с общей фильтрацией ICMP и только с блокировкой эха. ICMP существует по очень веской причине, но почти невозможно объяснить это многочисленным аудиторам, «работающим по сценарию».
Twirrim
48
@BartSilverstrim Вероятно, случай проверки контрольного списка. Как однажды сказал мне одитор, - почему одитор перешел дорогу? Потому что это то, что они сделали в прошлом году.
Скотт Пак
10
Я знаю, что это выполнимо, настоящий "WTF?" было то, что аудитор считал, что машина была уязвима для атак через SMB, пока он не мог подключиться через SMB ...
womble
14
«У вас есть 5 минут опыта, повторенного сотни раз» - оооо, это прямо в мою коллекцию цитат! : D
Тасос Папастилиану
183

Ни один аудитор не должен подвести вас, если обнаружит историческую проблему, которую вы сейчас исправили. На самом деле, это свидетельство хорошего поведения. Имея это в виду, я предлагаю две вещи:

а) Не ври и не выдумывай. б) Прочитайте вашу политику.

Ключевое утверждение для меня таково:

Все клиенты [поставщика общих кредитных карт] обязаны соблюдать наши новые политики безопасности

Могу поспорить, что в этих правилах есть заявление о том, что пароли не могут быть записаны и не могут быть переданы кому-либо, кроме пользователя. Если есть, то примените эти политики к его запросам. Я предлагаю обрабатывать это так:

  • Список текущих имен пользователей и текстовых паролей для всех учетных записей пользователей на всех серверах

Покажите ему список имен пользователей, но не позволяйте их забирать. Объясните: предоставление паролей в виде простого текста а) невозможно, так как оно одностороннее, и б) против политики, против которой он вас одитирует, поэтому вы не будете подчиняться.

  • Список всех изменений пароля за последние шесть месяцев, снова в виде простого текста

Объясните, что это не было исторически доступным. Дайте ему список недавних времен смены пароля, чтобы показать, что это сейчас делается. Объясните, как указано выше, что пароли не будут предоставлены.

  • Список «каждый файл, добавленный на сервер с удаленных устройств» за последние шесть месяцев

Объясните, что есть, а что нет. Предоставьте то, что вы можете. Не предоставляйте ничего конфиденциального и объясните политикой, почему нет. Спросите, нужно ли улучшить вашу регистрацию.

  • Открытый и закрытый ключи любых ключей SSH

Посмотрите на вашу ключевую политику управления. Следует указать, что закрытые ключи не допускаются из их контейнера и имеют строгие условия доступа. Примените эту политику и не разрешайте доступ. Открытые ключи, к счастью, открыты и могут быть использованы совместно.

  • Письмо, отправляемое ему каждый раз, когда пользователь меняет свой пароль, содержащее простой текстовый пароль

Просто сказать нет. Если у вас есть локальный защищенный сервер журналов, позвольте ему убедиться, что он регистрируется на месте.

В общем, и мне жаль это говорить, но вы должны играть в хардбол с этим парнем. Точно следуйте своей политике, не отклоняйтесь. Не ври. И если он подведет вас из-за чего-то, чего нет в политике, пожаловайтесь его старшим в компанию, которая его отправила. Соберите бумажный след всего этого, чтобы доказать, что вы были разумны. Если вы нарушаете свою политику, вы в его власти. Если вы последуете за ними к письму, его уволят.

Джимми
источник
28
Согласитесь, это похоже на одно из тех сумасшедших реалити-шоу, где парень из автосервиса гонит вашу машину со скалы или чего-то такого же невероятного. Я бы сказал ОП, подготовить резюме и уйти, если вышеуказанные действия не сработают для вас. Это явно нелепая и ужасная ситуация.
Джонатан Уотмоф
5
Жаль, что я не мог проголосовать за это +1 000 000. Хотя большинство ответов здесь в значительной степени говорят об одном и том же, этот ответ гораздо более тщательный. Отличная работа, @Джимми!
Изи
141

Да, аудитор является идиотом. Однако, как вы знаете, иногда идиоты оказываются во власти. Это один из таких случаев.

Информация , которую он просил имеет нулевое отношение к текущей безопасности системы. Объясните аудитору, что вы используете LDAP для аутентификации и что пароли хранятся с использованием одностороннего хэша. Если вы не будете выполнять сценарий перебора паролей (который может занять недели (или годы)), вы не сможете предоставить пароли.

Точно так же удаленные файлы - я бы хотел услышать, случайно, как он думает, что вы должны иметь возможность различать файлы, созданные непосредственно на сервере, и файл, который SCPed на сервер.

Как сказал @womble, ничего не притворяйся. Это не принесет пользы. Либо откажитесь от этой проверки и оштрафуйте другого брокера, либо найдите способ убедить этого «профессионала» в том, что его сыр соскользнул с его крекера.

EEAA
источник
61
+1 за "... что его сыр соскользнул с крекера". Это новый для меня!
Коллин Аллен
2
«Информация, которую он запрашивал, никак не влияет на текущую безопасность системы». <- Я бы сказал, что это сильно влияет на безопасность. : P
Ишпек
2
(which could take weeks (or years)Я забыл, где, но я нашел это приложение в Интернете, которое подсчитало бы, сколько времени понадобится, чтобы взломать ваш пароль. Я не знаю, какие алгоритмы грубой силы или хэширования предполагались, но для большинства моих паролей он оценивался примерно в 17 триллионов лет ... :)
Карсон Майерс,
60
@Carson: онлайн-приложение, которое я нашел для оценки надежности пароля, имело другой (и, возможно, более точный) подход: для каждого пароля оно возвращало: «Ваш пароль небезопасен - вы просто ввели его на ненадежной веб-странице!»
Джейсон Оуэн
3
@ Джейсон, о, нет, ты прав!
Карсон Майерс
90

Пусть ваш «аудитор безопасности» укажет на любой текст из любого из этих документов, в котором есть его требования, и наблюдайте, как он изо всех сил пытается придумать оправдание и в конечном итоге оправдывает себя, чтобы никогда больше не быть услышанным.

ablackhat
источник
11
Согласен. Почему? это правильный вопрос, это обстоятельство, подобное этому. Аудитор должен иметь возможность предоставить документацию по бизнес / операционному делу для своих запросов. Вы можете сказать ему: «Поставь себя на мое место. Такого рода просьбу я бы ожидал от кого-то, пытающегося организовать вторжение».
JL.
75

WTF! Извините, но это моя единственная реакция на это. Я не слышал о каких-либо требованиях к аудиту, которые требовали бы ввода открытого текста, не говоря уже о том, чтобы вводить им пароли при их изменении.

Во-первых, попросите его показать вам требование, которое вы предоставляете.

Во-вторых, если это для PCI (что мы все предполагаем, так как это вопрос платежной системы), перейдите сюда: https://www.pcisecuritystandards.org/approved_companies_providers/qsa_companies.php и получите нового аудитора.

В-третьих, следуйте указаниям выше, обратитесь к своему руководству и попросите их связаться с компанией QSA, с которой он работает. Тогда немедленно найдите другого одитора.

Аудиторы проверяют состояния системы, стандарты, процессы и т. Д. Им не нужно иметь какую-либо информацию, которая обеспечивает им доступ к системам.

Если вам нужны рекомендуемые аудиторы или альтернативные сотрудники, которые тесно сотрудничают с аудиторами, свяжитесь со мной, и я с удовольствием предоставлю рекомендации.

Удачи! Доверьтесь своей интуиции, если что-то кажется неправильным, это, вероятно, так

dmz006
источник
67

У него нет законных оснований знать пароль и иметь доступ к закрытым ключам. То, о чем он просил, дало бы ему возможность выдавать себя за любого из ваших клиентов в любой момент времени и откачивать столько денег, сколько он хочет, без какого-либо способа обнаружить это как возможную мошенническую транзакцию. Это будет именно тот тип угроз безопасности, за который он должен вас проверять.

Франси Пенов
источник
2
Да ладно, наверняка в этом смысл аудита, социальной инженерии ??? 21 голосов за это?!?
Оз
16
Аудит состоит из официальной проверки процедур безопасности и их соответствия установленным правилам. Это похоже на то, как пожарный инспектор приходит, чтобы убедиться, что у вас есть все необходимые огнетушители, а двери и окна или ваш ресторан можно открыть в соответствии с пожарным кодексом. Вы не ожидаете, что пожарный инспектор попытается поджечь ресторан, не так ли?
Франси Пенов
8
Это больше похоже на установку зажигательных устройств вокруг ресторана и предоставление удаленных триггеров для аудитора и обещание держать их в курсе.
XTL
62

Сообщите руководству, что Аудитор запросил, чтобы вы нарушили ваши политики безопасности, и что запрос является незаконным. Предположите, что они могут хотеть бросить существующую аудиторскую фирму и найти законную. Позвоните в полицию и сдайте аудитора для запроса незаконной информации (в Великобритании). Затем позвоните в PCI и отправьте аудитору запрос.

Эта просьба похожа на просьбу убить кого-то наугад и передать тело. Вы бы сделали это? или ты бы позвонил в полицию и сдал их?

УИР
источник
8
Почему бы просто не сказать, что вы не можете предоставить информацию, потому что она нарушает вашу политику безопасности. Взять галочку в поле и пройти аудит?
user619714
8
Хотя аналогия с убийством может быть слишком далека, вы правы в том, что этот «одитор» нарушает закон, и о нем следует сообщить вашему боссу, полиции и PCI
Рори
60

Ответить с иском . Если аудитор запрашивает пароли в виде простого текста (давай сейчас, это не так сложно - взломать или взломать слабые хэши паролей), он, вероятно, солгал тебе о своих полномочиях.

постмодернистский
источник
9
Я также расценил бы это как злоупотребление служебным положением, в зависимости от региона, вероятно, есть законы и по этому поводу.
AviD
54

Просто совет относительно того, как вы сформулируете свой ответ:

К сожалению, мы не можем предоставить вам некоторую запрашиваемую информацию, в основном обычные текстовые пароли, историю паролей, ключи SSH и журналы удаленных файлов. Мало того, что эти вещи технически невозможны ...

Я бы перефразировал это, чтобы не обсуждать техническую осуществимость. Читая ужасное начальное электронное письмо, отправленное аудитором, похоже, что это тот, кто может выбирать детали, не связанные с основной проблемой, и он может утверждать, что вы можете сохранить пароли, логины и т. Д. :

... Из-за нашей строгой политики безопасности мы никогда не записывали пароли в виде простого текста. Следовательно, технически будет невозможно предоставить эти данные.

Или же

... Мы не только значительно снизим уровень внутренней безопасности, выполнив ваш запрос ...

Удачи, и держите нас в курсе, как это заканчивается!

user60129
источник
37

Риск продолжения ажиотажа среди пользователей с высокими репутациями, пытающихся ответить на этот вопрос, вот мои мысли.

Я могу смутно видеть, почему он хочет использовать незашифрованные пароли, и это позволяет судить о качестве используемых паролей. Это дерьмовый способ - большинство знакомых мне одиторов примут зашифрованные хеш-коды и запустят взломщик, чтобы посмотреть, какой из низко висящих фруктов они могут извлечь. Все они пройдут по политике сложности пароля и рассмотрят, какие меры безопасности существуют для ее применения.

Но вы должны поставить несколько паролей. Я предлагаю (хотя я думаю, что вы, возможно, уже сделали это) спросить его, какова цель доставки открытого текста. Он сказал, что это для проверки вашего соответствия политике безопасности, поэтому попросите его дать вам эту политику. Спросите его, согласится ли он с тем, что режим сложности ваших паролей достаточно надежен, чтобы пользователи не могли установить свой пароль, P@55w0rdи он, как доказано, действовал в течение 6 месяцев.

Если он его подтолкнет, вам, возможно, придется признать, что вы не можете доставить незашифрованные пароли, поскольку вы не настроены на их запись (что из-за этого является серьезной ошибкой безопасности), но вы можете попытаться сделать это в будущем, если ему потребуется прямая проверка того, что ваши политики паролей работают. И если он захочет доказать это, вы с радостью предоставите ему базу данных зашифрованных паролей (или вам! Проявите желание! Это помогает!), Чтобы пройти мимо.

«Удаленные файлы», вероятно, могут быть извлечены из журналов SSH для сеансов SFTP, о чем я и подозреваю. Если у вас нет системного журнала на 6 месяцев, это будет трудно произвести. Использование wget для извлечения файла с удаленного сервера при входе в систему через SSH считается «удаленной передачей файлов»? Что такое HTTP PUT? Файлы, созданные из текста буфера обмена в окне терминала удаленного пользователя? Во всяком случае, вы можете приставать к нему с этими крайними случаями, чтобы лучше понять его проблемы в этой области и, возможно, привить чувство «я знаю больше об этом, чем вы», а также о конкретных технологиях, о которых он думает. Затем извлеките то, что вы можете из журналов и архивированных журналов в резервных копиях.

Я ничего не получил по ключам SSH. Единственное, о чем я могу думать, это то, что он по какой-то причине проверяет ключи без пароля и, возможно, криптостойкость. В противном случае я ничего не получил.

Что касается получения этих ключей, то собрать хотя бы открытые ключи достаточно просто; просто прокрутите папки .ssh, ища их. Получение закрытых ключей будет включать в себя надевание шляпы BOFH и жестокое обращение с вашими пользователями на тему: «Пришлите мне ваши открытые и частные пары ключей SSH. Все, что я не получу, будет удалено с серверов через 13 дней», и если кто-то вопит (я бы) указал им на аудит безопасности. Сценарии - ваш друг здесь. Как минимум, это приведет к тому, что куча пар ключей без пароля получит пароли.

Если он по-прежнему настаивает на «текстовых паролях в электронной почте», по крайней мере, подвергните эти письма шифрованию GPG / PGP с помощью своего собственного ключа. Любой аудитор безопасности, достойный его соли, должен уметь справляться с чем-то подобным Таким образом, если утечка паролей, это произойдет потому, что он их выпустил, а не вы. Еще один лакмусовый тест на компетентность.


Я должен согласиться с Зайфером и Уомблом в этом вопросе. Опасный идиот с опасными последствиями.

sysadmin1138
источник
1
Нет доказательств идиотизма. Никаких доказательств того, что ФП официально не сказал «нет», я не могу предоставить эту информацию. Конечно, если вы сможете предоставить эту информацию, вы не пройдете аудит.
user619714
2
@Iain Вот почему в этот момент так важна социальная разработка аудитора безопасности для извлечения того, что ему действительно нужно.
sysadmin1138
9
Я не согласен с тем, чтобы давать что-либо этому явно неуверенному человеку.
Kzqai
@ Чальвак: нет доказательств «небезопасных» или «идиот».
user619714
1
Не высокопопулярный пользователь, но мое личное мнение о вашем ответе таково: передайте мой пароль третьей стороне, и я посмотрю, могу ли я подать в суд. Как кто-то в области ИТ, я бы согласился с пользователями с высоким уровнем репутации, которых вы упомянули, и сказал бы, что вы не должны хранить пароль. Пользователь доверяет вашей системе, передача своего пароля третьему лицу является нарушением этого доверия более экстремальным, чем передача всей своей информации кому-либо. Как профессионал я бы никогда этого не сделал.
Jmoreno
31

Он, вероятно, проверяет вас, чтобы убедиться, что вы представляете угрозу безопасности. Если вы предоставите эти данные ему, вы, вероятно, будете немедленно уволены. Отнеси это своему непосредственному боссу и передай доллар. Сообщите своему боссу, что вы привлечете соответствующие органы, если эта задница снова окажется рядом с вами.

Вот за что боссы платят.

У меня есть видение листа бумаги, оставленного в задней части такси, на котором есть список паролей, ключей SSH и имен пользователей! Hhhmmm! Можете увидеть заголовки газет прямо сейчас!

Обновить

В ответ на 2 комментария ниже, я думаю, у вас обоих есть хорошие замечания. Нет никакого способа действительно узнать правду, и тот факт, что вопрос был опубликован вообще, демонстрирует небольшую наивность со стороны плаката, а также смелость столкнуться с неблагоприятной ситуацией с потенциальными карьерными последствиями, когда другие суют голову в песок и убежать.

Мой вывод о том, чего это стоит, заключается в том, что это очень интересная дискуссия, которая, вероятно, заставила большинство читателей задуматься над тем, что они будут делать в этой ситуации, независимо от того, компетентны ли аудитор или политика аудиторов. Большинство людей сталкиваются с такой дилеммой в той или иной форме в своей трудовой жизни, и это действительно не та ответственность, которую следует переложить на плечи одного человека. Это бизнес-решение, а не решение отдельных лиц, как с этим бороться.

jamesw
источник
1
Я удивлен, что у этого нет более высоких голосов. Я просто не верю, что одитор "глуп". Как говорили другие в комментариях, но не так много ответов, это пахнет социальной инженерией. И когда первое, что делает ОП, это публикует здесь и предлагает ему подделать данные, а затем отправляет ссылку аудитору, парень, должно быть, смеется над своей задницей и продолжает спрашивать, основываясь на этом. КОНЕЧНО?!?!
Оз
3
Учитывая, что в результате он потерял свою компанию, занимающуюся операциями с ОП, это не выглядит очень хорошей техникой аудита, если бы это было так. По крайней мере, я ожидал, что он «откроется», когда стало очевидно, что они теряют бизнес, и объяснил, что это было частью используемого подхода к аудиту, а не продолжал настаивать на этом. Я могу понять, что если вы введете «этических хакеров», вы можете ожидать, что такой подход «социальной инженерии» будет принят, но не для аудита (который нацелен на проверку наличия всех соответствующих проверок и процедур)
Крис C
1
Учитывая дальнейшие электронные письма от аудитора, я больше не думаю, что это правда. the responders all need to get their facts right. I have been in this industry longer than anyone on that site- бесценно
SLaks
29

Ясно, что здесь есть много полезной информации, но позвольте мне добавить свой 2c, как человека, который пишет программное обеспечение, которое продается моим работодателем по всему миру крупным предприятиям, в первую очередь, чтобы помочь людям соблюдать правила безопасности управления учетными записями и проходить аудиты; за что это стоит.

Во-первых, это звучит очень подозрительно, как вы (и другие) отметили. Либо аудитор просто следует процедуре, которую он не понимает (возможно), либо проверяет вас на уязвимость, например социальную инженерию (вряд ли после последующих обменов), либо мошенническую социальную инженерию вы (также возможно), либо просто общий идиот (вероятно, наверняка). Что касается рекомендаций, я бы предложил вам поговорить со своим руководством и / или найти новую аудиторскую компанию и / или сообщить об этом в соответствующее надзорное агентство.

Что касается заметок, пара вещей:

  • Это возможно (при определенных условиях) , чтобы предоставить информацию , которую он просил, если ваша система настроена , чтобы позволить. Однако это ни в коем случае не является «наилучшей практикой» в области безопасности и не будет распространено вообще.
  • Обычно аудиты связаны с проверкой практики, а не с проверкой фактической защищенной информации. Я бы очень подозрительно относился к тому, что кто-то запрашивает фактические пароли или сертификаты в виде простого текста, а не методы, используемые для проверки того, что они «хороши» и надежно защищены.

Надеюсь, что это помогает, даже если это в основном повторяет то, что посоветовали другие люди. Как и вы, я не собираюсь называть свою компанию, в моем случае, потому что я не говорю за них (личный кабинет / мнения и все); извиняюсь, если это подрывает доверие, но пусть будет так. Удачи.

Ник
источник
24

Это может и должно быть опубликовано в IT Security - Stack Exchange .

Я не эксперт в области аудита безопасности, но первое, что я узнал о политике безопасности, это "NEVER GIVE PASSWORDS AWAY". Этот парень, возможно, был в этом бизнесе в течение 10 лет, но, как сказал Уомбл"no, you have 5 minutes of experience repeated hundreds of times"

Я работал с банковскими ИТ-специалистами в течение некоторого времени, и когда я увидел твою публикацию, я показал им это ... Они так сильно смеялись. Мне сказали, что этот парень выглядит как мошенник. Они имели дело с такими вещами для безопасности клиентов банка.

Запрашивать ясный пароль, ключи SSH, журналы паролей - явно серьезное профессиональное нарушение. Этот парень опасен.

Я надеюсь, что сейчас все в порядке, и у вас нет никаких проблем с тем, что они могли вести журнал вашей предыдущей транзакции с ними.

Anarko_Bizounours
источник
19

Если вы можете предоставить какую-либо информацию (с возможным исключением открытых ключей), запрошенную в пунктах 1, 2, 4 и 5, вы должны ожидать, что провалите аудит.

Официально ответьте на пункты 1, 2 и 5, сказав, что вы не можете выполнить, так как ваша политика безопасности требует, чтобы вы не хранили простые текстовые пароли и чтобы пароли были зашифрованы с использованием необратимого алгоритма. В пункте 4, опять же, вы не можете предоставить закрытые ключи, так как это нарушит вашу политику безопасности.

Что касается пункта 3. Если у вас есть данные, предоставьте его. Если вы этого не сделаете, потому что вам не нужно было его собирать, скажите об этом и продемонстрируйте, как вы сейчас (работаете в направлении) выполняете новое требование.

user619714
источник
18

Аудитор безопасности для наших серверов потребовал в течение двух недель :

...

Если мы не пройдем аудит безопасности, мы потеряем доступ к нашей платформе обработки карт (критически важной части нашей системы), и для перехода в другое место потребуются добрые две недели . Как я облажался?

Похоже, что вы ответили на свой вопрос. (См. Жирный текст для подсказок.)

На ум приходит только одно решение: заставить всех записать свой последний и текущий пароль, а затем немедленно сменить его на новый. Если он хочет проверить качество пароля (и качество перехода от пароля к паролю, например, чтобы убедиться, что никто не использует rfvujn125, а затем rfvujn126 в качестве следующего пароля), то этого списка старых паролей должно быть достаточно.

Если это не будет сочтено приемлемым, то я подозреваю, что этот парень является членом Anonymous / LulzSec ... в этот момент вы должны спросить его, каков он, и сказать ему, чтобы он прекратил быть таким скрабом!

Майкл
источник
21
Людей нельзя просить предоставить свои пароли кому-либо.
Крис Фармер
Разработайте хорошие функции смены пароля, а не записывайте текущие пароли пользователей и форсируйте изменение. Например, на экране смены пароля пользователь вводит значения old_pass и new_pass. Разработать серию автоматизированных проверок; например, что не более двух символов в old_pass находятся в new_pass в одном и том же месте; или что в любом порядке в любом месте повторно используется не более 4 символов. Кроме того, проверьте, что new_pass не будет работать как любой из старых pw. Да, можно получить серию незащищенных паролей, таких как rfvujn125 / jgwoei125 / rfvujn126, но это должно быть приемлемо.
Доктор Джимбоб
17

Как сказала Оли: данное лицо пытается заставить вас нарушить закон (Защита данных / Директивы ЕС о конфиденциальности) / Внутренние правила / Стандарты PCI. Вы должны не только уведомить руководство (как я уже говорил), но вы также можете позвонить в полицию, как это было предложено.

Если у данного лица имеется какая-либо аккредитация / сертификация, например, CISA (Сертифицированный аудитор информационных систем) или британский эквивалент CPA США (публичное обозначение бухгалтера), вы также можете сообщить об этом аккредитующим организациям для его расследования. Этот человек не только пытается заставить вас нарушить закон, но и крайне некомпетентен в «аудите» и, вероятно, противоречит всем этическим стандартам аудита, которым аккредитованные аудиторы должны соблюдать страх потери аккредитации.

Кроме того, если данное лицо является членом более крупной компании, упомянутым аудиторским организациям часто требуется какой-то отдел обеспечения качества, который наблюдает за качеством аудитов, а также за регистрацией и расследованием жалоб. Таким образом, вы также можете обратиться с жалобой в соответствующую аудиторскую компанию.

reiniero
источник
16

Я все еще учусь, и первое, что я узнал при настройке серверов, это то, что если вы позволяете регистрировать незашифрованные пароли, вы уже подвергаете себя опасности гигантского взлома. Ни один пароль не должен быть известен, кроме пользователя, который его использует.

Если этот парень серьезный одитор, он не должен спрашивать вас об этом. Для меня он звучит как обманщик . Я бы посоветовался с регулирующим органом, потому что этот парень звучит как полный идиот.

Обновить

Подождите, он считает, что вы должны использовать симметричное шифрование только для передачи пароля, а затем сохранить их в виде открытого текста в вашей базе данных или предоставить способ их расшифровки. Таким образом, в основном, после всех анонимных атак на базы данных, где они показывали пароли пользователей в виде простого текста, он по-прежнему считает, что это хороший способ «защитить» среду.

Он динозавр застрял в 1960-х ...

Lucas Kauffman
источник
10
«Он динозавр, застрявший в 90-х», - я бы предположил в 70-х, на самом деле. 1870-х годов, чтобы быть точным. Боже, благослови Огюста Керкхоффса. :)
Мартин Сойка
5
90 - е? Я считаю, что Unix использовал хешированные и соленые пароли в 1970-х годах ...
Рори
7
Мне нравится тот факт, что Лукас изменил его на 1960-е годы :)
rickyduck
1
Были ли в каких-либо компьютерных системах (за исключением руководств по BASIC для домашних микросхем) серьезные пароли и они хранились в незашифрованном виде?
XTL
может быть, очень давно ... не могу указать вам какие-либо учебники. Но этот сайт не очень подходит для домашних систем, я предлагаю вам взглянуть на superuser.com. С какой стати вы все равно храните данные кредитной карты / пароли в виде простого текста? Только плохо спроектированные системы.
Лукас Кауфман
13
  • Список текущих имен пользователей и текстовых паролей для всех учетных записей пользователей на всех серверах
    • Текущие имена пользователей МОГУТ быть в рамках «мы можем выпустить это» и должны быть в рамках «мы можем показать вам это, но вы не можете перенести это за пределы сайта».
    • Обычные текстовые пароли не должны существовать дольше, чем требуется для одностороннего хэширования, и они, конечно, никогда не должны оставлять память (даже не переходить по проводам), поэтому их существование в постоянном хранилище - нет-нет.
  • Список всех изменений пароля за последние шесть месяцев, снова в виде простого текста
    • Смотрите «постоянное хранилище - нет-нет».
  • Список «каждый файл, добавленный на сервер с удаленных устройств» за последние шесть месяцев
    • Это может быть связано с тем, что вы регистрируете передачу файлов на / с серверов обработки платежей, если у вас есть журналы, они должны быть в порядке для передачи. Если у вас нет журналов, проверьте, что соответствующие политики безопасности говорят о регистрации этой информации.
  • Открытый и закрытый ключи любых ключей SSH
    • Может быть, попытка проверить, что «ключи SSH должны иметь парольную фразу» есть в политике и последует. Вам нужны парольные фразы для всех закрытых ключей.
  • Письмо, отправляемое ему каждый раз, когда пользователь меняет свой пароль, содержащее простой текстовый пароль
    • Это определенно нет-нет.

Я отвечал чем-то в соответствии с моими ответами, подкрепленными документами о соответствии PCI, SOX_compliance и внутренней политикой безопасности по мере необходимости.

Vatine
источник
11

Эта просьба, ребята, пахнет на небеса, и я согласен, что любая переписка с этого момента должна проходить через CTO. Либо он пытается заставить вас упасть за неспособность удовлетворить указанный запрос, либо за предоставление конфиденциальной информации, либо крайне некомпетентен. Надеюсь, ваш технический директор / менеджер сделает двойной запрос по этому запросу парней, и будут предприняты позитивные действия, и если они зациклены на действиях этого парня ... ну, хорошие администраторы sys всегда востребованы в объявлениях, так как Похоже, пришло время начать искать какое-то место, если это произойдет.

canadiancreed
источник
11

Я бы сказал ему, что для создания инфраструктуры взлома паролей требуются время, усилия и деньги, но поскольку вы используете сильное хеширование, такое как SHA256 или что-то еще, вы не сможете предоставить пароли в течение 2 недель. Вдобавок ко всему, я бы сказал, что связался с юридическим отделом, чтобы подтвердить, законно ли предоставлять эти данные кому-либо. PCI DSS также хорошая идея, чтобы упомянуть, как вы это сделали. :)

Мои коллеги в шоке, прочитав этот пост.

Иштван
источник
10

Я очень хотел бы дать ему список имен пользователей / паролей / закрытых ключей для учетных записей honeypot, а затем, если он когда-либо проверяет логины для этих учетных записей, делает его для несанкционированного доступа к компьютерной системе. Хотя, к сожалению, это, вероятно, подвергает вас как минимум гражданскому правонарушению за мошенническое представление.

benmmurphy
источник
9

Просто отклоните раскрытие информации, заявив, что вы не можете передавать пароли, поскольку у вас нет к ним доступа. Будучи самим одитором, он должен представлять какое-то учреждение. Такие учреждения обычно публикуют руководящие принципы для такого аудита. Посмотрите, соответствует ли такой запрос этим рекомендациям. Вы даже можете пожаловаться на такие ассоциации. Также проясните аудитору, что в случае каких-либо нарушений вина может вернуться к нему (аудитору), поскольку у него есть все пароли.

Natwar
источник
8

Я бы сказал, что вы не можете предоставить ему ЛЮБУЮ запрашиваемую информацию.

  • Имена пользователей предоставляют ему представление об учетных записях, имеющих доступ к вашим системам, - это угроза безопасности
  • История паролей позволит лучше понять используемые пароли, что даст ему возможность атаковать, угадав следующий пароль в цепочке.
  • Файлы, передаваемые в систему, могут содержать конфиденциальную информацию, которая может быть использована для атаки на ваши системы, а также дать им представление о структуре вашей файловой системы.
  • Открытые и закрытые ключи, что, черт возьми, имело бы смысл иметь их, если бы вы раздавали их кому-то другому, а не предполагаемому пользователю?
  • Письмо, отправляемое каждый раз, когда пользователь меняет пароль, дает ему обновленные пароли для каждой учетной записи пользователя.

Этот парень тянет твоего приятеля-плонкера! Вам необходимо связаться с его менеджером или другим аудитором в компании, чтобы подтвердить его возмутительные требования. И отойди как можно скорее.

93196,93
источник
0

Проблема решена уже сейчас, но в интересах будущих читателей ...

Учитывая, что:

  • Вы, кажется, потратили больше часа на это.

  • Вы должны были проконсультироваться с юрисконсультом компании.

  • Они просят много работы после изменения вашего соглашения.

  • У тебя не будет денег и больше времени на переключение.

Вы должны объяснить, что вам нужно много денег заранее, и есть минимум четыре часа.

Последние несколько раз я говорил кому-то, что они внезапно стали не такими нуждающимися.

Вы по-прежнему можете выставлять им счета за любые убытки, понесенные во время перехода, и за время, затраченное на изменение, поскольку они изменили ваше соглашение. Я не говорю, что они заплатят в течение двух недель, так же, как они думали, что вы согласитесь в это время - они будут односторонними, я не сомневаюсь.

Это испугает их, если офис вашего адвоката отправит уведомление о сборе. Это должно привлечь внимание владельца аудиторской компании.

Я бы посоветовал не вступать с ними в дальнейшие отношения, просто для дальнейшего обсуждения этого вопроса потребуется задаток за требуемую работу. Тогда вам могут заплатить за то, что выговорили их.

Странно, что у вас есть действующее соглашение, и тогда кто-то на другом конце сойдет с рельсов - если это не проверка безопасности или интеллекта, это, безусловно, проверка вашего терпения.

обкрадывать
источник