Наш аудитор по безопасности является идиотом. Как мне дать ему информацию, которую он хочет?

Аудитор безопасности для наших серверов потребовал следующее в течение двух недель:

  • Список текущих имен пользователей и паролей открытого текста для всех учетных записей пользователей на всех серверах.
  • Список всех изменений пароля за последние шесть месяцев, снова в текстовом формате
  • Список «всех файлов, добавленных на сервер с удаленных устройств» за последние шесть месяцев.
  • Открытый и закрытый ключи любых ключей SSH
  • Электронное письмо, отправленное ему каждый раз, когда пользователь меняет свой пароль, содержащий текстовый пароль

Мы используем коробки Red Hat Linux 5/6 и CentOS 5 с аутентификацией LDAP.

Насколько мне известно, все в этом списке невозможно или невероятно сложно получить, но если я не предоставил эту информацию, мы потеряем доступ к нашей платежной платформе и потеряем доход в течение переходного периода, так как мы перейдите к новой службе. Любые предложения о том, как я могу решить или подделывать эту информацию?

Единственный способ, с помощью которого я могу получить все пароли с открытым текстом, - заставить всех сбросить свой пароль и запомнить то, что они установили. Это не решает проблему последних шести месяцев смены пароля, потому что я не могу задним числом регистрировать такие вещи, это же касается регистрации всех удаленных файлов.

Получение всех общедоступных и частных ключей SSH возможно (хотя и раздражает), так как у нас всего несколько пользователей и компьютеров. Если я пропустил более простой способ сделать это?

Я неоднократно объяснял ему, что то, о чем он просит, невозможно. В ответ на мои опасения он ответил следующим письмом:

  

У меня более 10 лет опыта аудита безопасности и полного   понимание методов защиты redhat, поэтому я предлагаю вам проверить   ваши факты о том, что есть и что невозможно. Вы говорите, что ни одна компания не может   возможно, эту информацию, но я выполнил сотни проверок   где эта информация была легко доступна. Все [общий кредит   поставщик карточной обработки] клиенты должны соответствовать нашим новым   политики безопасности, и эта проверка предназначена для обеспечения этих политик   были правильно реализованы.

* «Новые политики безопасности» были представлены за две недели до нашей проверки, а регистрация журналов за шесть месяцев не требовалась до изменения политики.

Короче, мне нужно;

  • Способ «подделать» изменения пароля на шесть месяцев и сделать его действительным.
  • Способ «подделать» шесть месяцев передачи входящих файлов.
  • Простой способ для сбора всех открытых и закрытых ключей SSH

Если мы не получим аудит безопасности, мы потеряем доступ к нашей платформе обработки карт (критическая часть нашей системы), и для перехода в другое место потребуется две недели. Как я привинчен?

Обновление 1 (сб. 23rd)

Спасибо за все ваши ответы. Мне очень приятно узнать, что это не стандартная практика.

В настоящее время я планирую свой ответ электронной почты, на котором он объясняет ситуацию. Как многие из вас отметили, мы должны выполнить PCI, который явно заявляет, что у нас не должно быть никакого способа доступа к открытым паролям. Я напишу письмо, когда напишу его. К сожалению, я не думаю, что он просто проверяет нас; теперь эти вещи находятся в официальной политике безопасности компании. Тем не менее, я установил колеса в движение, чтобы отойти от них и на PayPal в настоящее время.

Обновление 2 (сб. 23rd)

Это письмо, которое я разработал, любые предложения по добавлению /удалению /изменению материала?

  

Привет [имя],

     

К сожалению, мы не можем предоставить вам некоторые   запрашиваемой информации, в основном текстовые пароли, пароль   историю, ключи SSH и журналы удаленных файлов. Эти вещи не только   технически невозможно, но также может обеспечить это   информация будет как против стандартов PCI, так и   действие защиты данных.
  Чтобы указать требования PCI,

     

8.4. Показывать все пароли, не читаемые во время передачи и хранения.   все компоненты системы с использованием сильной криптографии.

     

Я могу предоставить вам   со списком имен пользователей и хешированных паролей, используемых в нашей системе,   копии открытых ключей SSH и файлов разрешенных хостов (это будет   предоставить вам достаточно информации для определения количества уникальных пользователей   может подключаться к нашим серверам и использовать методы шифрования),   информацию о наших требованиях к безопасности паролей и нашем LDAP   сервер, но эта информация не может быть удалена с сайта. Я настоятельно   предложите вам проверить свои требования к аудиту, поскольку в настоящее время нет способа   для нас, чтобы пройти этот аудит, оставаясь в соответствии с PCI и   Действие защиты данных.

     

С уважением,
  [Мне]

Я буду участвовать в CTO компании и нашем менеджере по работе с клиентами, и я надеюсь, что технический директор сможет подтвердить, что эта информация недоступна. Я также свяжусь с Советом по стандартам безопасности PCI, чтобы объяснить, что онтребуя от нас.

Обновление 3 (26)

Вот несколько писем, которые мы обменяли:

RE: мое первое электронное письмо;

  

Как объяснено, эта информация должна быть легко доступна на любой скважине   поддерживаемой системе любому компетентному администратору. Ваш отказ быть   способный предоставить эту информацию, заставляет меня поверить, что вы знаете   недостатки безопасности в вашей системе и не готовы их раскрывать. наш   запросы совпадают с рекомендациями PCI, и оба могут быть выполнены. сильный   криптография означает, что пароли должны быть зашифрованы, пока пользователь   вводит их, но затем их следует перенести в восстанавливаемый формат   для последующего использования.

     

Я не вижу проблем с защитой данных для этих запросов, только защита данных   применяется к потребителям не для бизнеса, поэтому не должно быть никаких проблем с этим   информация.

Просто, что, я, не могу, даже ...

  

«Сильная криптография означает, что пароли должны быть зашифрованы во время   пользователь вводит их, но затем их следует перенести на   восстанавливаемый формат для последующего использования ».

Я собираюсь создать его и надеть на свою стену.

Мне надоело быть дипломатическим и направлять его в эту тему, чтобы показать ему ответ, который я получил:

  

Предоставление этой информации НЕПРАВИЛЬНО противоречит нескольким требованиям   рекомендаций PCI. В разделе, которое я цитировал, даже говорится storage   (Подразумевая, где мы храним данные на диске). Я начал   обсуждение на сервере ServerFault.com (он-лайн сообщество для sys-admin   профессионалов), который создал огромный отклик, все это предлагает   информация не может быть предоставлена. Не стесняйтесь читать сами.

     

https & colon; //serverfault.com/questions/293217/

     

Мы закончили перемещение нашей системы на новую платформу и будем   отменив нашу учетную запись с вами в течение следующего дня или около того, но я хочу   вы понимаете, насколько смешны эти просьбы, и ни одна компания   правильное внедрение принципов PCI будет или должно   предоставить эту информацию. Я настоятельно рекомендую вам подумать о своем   так как ни один из ваших клиентов не сможет   соответствовать этому.

(На самом деле я забыл, что назвал его идиотом в названии, но, как уже упоминалось, мы уже отошли от платформы, поэтому никаких реальных потерь не было.)

И в своем ответе он утверждает, что, по-видимому, никто из вас не знает, о чем вы говорите:

  

Я подробно прочитал эти ответы и ваш оригинальный пост,   респонденты все должны правильно понимать свои факты. Я был в этом   индустрия дольше, чем кто-либо на этом сайте, получая список пользователей   пароли учетных записей невероятно простые, он должен быть одним из первых   что вы делаете, когда научитесь защищать свою систему и   к работе любого защищенного сервера. Если вам действительно не хватает   навыки, чтобы сделать что-то это просто, я собираюсь предположить, что у вас нет   PCI, установленная на ваших серверах, как возможность восстановления   информация является основным требованием программного обеспечения. При работе с   что-то такое, как безопасность, вы не должны задавать эти вопросы   общественный форум, если у вас нет базовых знаний о том, как он работает.

     

Я также хотел бы предложить любую попытку раскрыть меня, или   [название компании] будет считаться клеветой и соответствующими судебными исками   будет принято

Ключевые идиотические точки, если вы их пропустили:

  • Он был аудитором безопасности дольше, чем кто-либо еще здесь (он либо догадывается, либо преследует вас)
  • Возможность получить список паролей в системе UNIX является «основным»
  • PCI теперь является программным обеспечением
  • Люди не должны использовать форумы, если они не уверены в безопасности.
  • Помещение фактической информации (к которой у меня есть подтверждение по электронной почте) онлайн - клевета

Excellent.

PCI SSC ответили и расследуют его и компанию. Наше программное обеспечение теперь перешло на PayPal, поэтому мы знаем, что это безопасно. Я буду ждать, пока PCI вернется ко мне сначала, но я немного волнуюсь, что они, возможно, использовали эти методы безопасности внутри. Если это так, я думаю, что это является серьезной проблемой для нас, так как через них проходит наша карточная обработка. Если бы они делали это внутренне, я думаю, что единственной ответственной задачей было бы информировать наших клиентов.

Я надеюсь, что когда PCI поймет, насколько это плохо, они будут исследовать всю компанию и систему, но я не уверен.

Итак, теперь мы отошли от своей платформы и предположим, что это будет, по крайней мере, за несколько дней до того, как PCI вернется ко мне, какие-нибудь изобретательные предложения о том, как немного тронуть его? =)

Как только у меня есть разрешение от моего законного парня (я очень сомневаюсь, что все это на самом деле является клеветой, но я хотел бы дважды проверить), я опубликую название компании, его имя и адрес электронной почты, и, если хотите, вы можете связаться его и объясните, почему вы не понимаете основ безопасности Linuxнапример, как получить список всех паролей пользователей LDAP.

Небольшое обновление:

Мой «законный парень» предложил показать, что компания, вероятно, вызовет больше проблем, чем необходимо. Могу сказать, что это не крупный поставщик, у них менее 100 клиентов, использующих эту услугу. Мы изначально начали использовать их, когда сайт был крошечным и работал на небольшом VPS, и мы не хотели проходить все усилия по получению PCI (мы использовали для перенаправления на их интерфейс, например, PayPal Standard). Но когда мы перешли на непосредственную обработку карт (включая получение PCI и здравый смысл), разработчики решили использовать одну и ту же компанию только для другого API. Компания базируется в Бирмингеме, Великобритания, поэтому я очень сомневаюсь, что кто-то здесь будет затронут.

2226 голосов | спросил Smudge 23 J000000Saturday11 2011, 02:44:34

29 ответов


1161

Во-первых, НЕ капитулируйте. Он не только идиот, но и ОПАСНО неправильно. Фактически, освобождение этой информации будет нарушать стандарт PCI (именно это я и предполагаю, что аудит существует, поскольку он является платежным процессором) вместе со всеми другими стандартами и просто здравым смыслом. Он также предоставит вашей компании все виды обязательств.

Следующее, что я хотел бы сделать, это отправить электронное письмо вашему боссу, в котором говорится, что ему необходимо привлечь консультанта по корпоративным вопросам для определения юридического риска, с которым компания столкнется, приступив к этому действию.

Этот последний бит зависит от вас, но I свяжется с VISA с этой информацией и вытащите его статус аудитора PCI.

ответил Zypher 23 J000000Saturday11 2011, 03:27:34
806

Как кто-то, кто прошел процедуру аудита с Price Waterhouse Coopers для секретного правительственного контракта, Могу вас заверить, это совершенно не может быть и речи, и этот парень безумен.

Когда PwC хотел проверить нашу силу пароля, они:

  • Отвечает на вопрос о наших алгоритмах прочности пароля
  • Откажитесь от тестовых блоков против наших алгоритмов, чтобы проверить, что они откажутся от плохих паролей.
  • Попросил наши алгоритмы шифрования убедиться, что они не могут быть отменены или не зашифрованы (даже радужными таблицами) даже тем, кто имеет полный доступ ко всем аспектам системы.
  • Проверено, что предыдущие пароли были кэшированы, чтобы гарантировать, что они не могут быть повторно использованы
  • Спросил нас о разрешении (которое мы предоставили) для них, чтобы попытаться проникнуть в сеть и связанные с ней системы с использованием методов, не связанных с социальной инженерией (такие вещи, как xss и не-0-дневные эксплойты).

Если бы я даже намекнул, что могу показать им, что пароли пользователей были в течение последних 6 месяцев, они немедленно закрыли бы нас из контракта.

Если это возможно , чтобы обеспечить эти требования, вы бы мгновенно вышли из строя , каждый из которых стоил бы иметь.


Обновление. Ваше сообщение электронной почты выглядит хорошо. Гораздо более профессионально, чем все, что я написал бы.

ответил Mark Henderson 23 J000000Saturday11 2011, 06:34:14
435

Честно говоря, похоже, что этот парень (аудитор) настраивает вас. Если вы дадите ему информацию, о которой он просит, вы только что доказали ему, что вы можете быть социально сконструированы, чтобы отказаться от критической внутренней информации. Сбой.

ответил anastrophe 23 J000000Saturday11 2011, 03:40:03
331

Я только что заметил, что вы в Великобритании, а это значит, что то, что он просит, это нарушить закон (фактически это Закон о защите данных). Я тоже в Великобритании, работаю в большой проверенной компанией компании и знаю закон и общие практики в этой области. Я также очень противный кусок работы, который с радостью обуздает этот парень для вас, если вам нравится только для удовольствия, сообщите мне, если вы хотите помочь.

ответил Chopper3 23 J000000Saturday11 2011, 11:01:20
264

Вы социально сконструированы. Либо он «проверяет вас», либо его хакер, представляя аудитора, чтобы получить очень полезные данные.

ответил Mr Tired 23 J000000Saturday11 2011, 13:20:21
261

Я серьезно обеспокоен отсутствием в OPs навыков этического решения проблем и сообщества ошибок сервера, игнорирующего это вопиющее нарушение этического поведения.

  

Короче, мне нужно;

     
  • Способ «подделать» изменения пароля на шесть месяцев и сделать его действительным.
  •   
  • Способ «подделать» шесть месяцев передачи входящих файлов.
  •   

Позвольте мне пояснить два момента:

  1. Никогда не уместно фальсифицировать данные в ходе обычного бизнеса.
  2. Вы никогда не должны раскрывать эту информацию никому. Когда-либо.

Это не ваша работа по фальсификации записей. Это ваша работа, чтобы убедиться, что все необходимые записи доступны, точны и безопасны.

Сообщество здесь, на сервере Fault должно обрабатывать такие вопросы, поскольку сайт stackoverflow рассматривает вопросы «домашней работы». Вы не можете решать эти проблемы только техническим ответом или игнорировать нарушение этической ответственности.

Увидев, как многие высокопоставленные пользователи отвечают здесь в этой теме, ни одно упоминание о этических последствиях этого вопроса не огорчает меня.

Я рекомендовал бы всем прочитать Кодекс этики системных администраторов SAGE .

Кстати, ваш аудитор по безопасности является идиотом, но это не значит, что вам нужно чувствовать давление, чтобы быть неэтичным в вашей работе.

Изменить: ваши обновления бесценны. Держите голову, сухой порошок, и не принимайте (или не давайте) никаких деревянных никелей.

ответил Joseph Kern 25 J000000Monday11 2011, 00:05:05
231

Вы не можете дать ему то, что хотите, и попытки «подделать», скорее всего, вернутся, чтобы укусить вас в задницу (возможно, законным путем). Вам нужно либо подать апелляцию на цепочку действий (возможно, этот аудитор ушел из-под стражи, хотя аудит безопасности, как известно, идиотский - спросите меня об аудиторе, который хотел иметь доступ к AS /400 через SMB), или получить ад из-под этих утомительных требований.

Они не являются даже хорошей защитой - список всех открытых текстовых паролей - это невероятно опасная вещь для ever , независимо от методов, используемых для их защиты, и я готов поспорить, что этот парень захочет, чтобы их отправили по электронной почте в текстовом виде. (Я уверен, что вы уже это знаете, мне просто нужно немного отпустить).

За дерьмо и хихиканье спросите его, как выполнить свои требования - признайте, что вы не знаете, как и хотите использовать его опыт. Когда вы уйдете и уйдете, ответ на его «Я имею более чем 10-летний опыт аудита безопасности» будет «нет, у вас есть 5 минут опыта, повторяемого сотни раз».

ответил womble 23 J000000Saturday11 2011, 03:00:04
177

Ни один аудитор не сможет вас отказать, если найдет историческую проблему, которую вы сейчас исправили. Фактически, это свидетельствует о хорошем поведении. Имея это в виду, я предлагаю две вещи:

a) Не лгите и не делайте вещи. б) Прочитайте свои правила.

Ключевым утверждением для меня является следующее:

  

Клиенты [клиенты общей клиентской обработки кредитных карт] должны соответствовать нашим новым политикам безопасности

Готов поспорить, что в этих правилах есть заявление, в котором пароли не могут быть записаны и не могут быть переданы никому, кроме пользователя. Если есть, то применяйте эти политики к его запросам. Я предлагаю обработать его следующим образом:

  
  • Список текущих имен пользователей и паролей открытого текста для всех учетных записей пользователей на всех серверах.
  •   

Покажите ему список имен пользователей, но не позволяйте им забираться. Объясните, что предоставление простых текстовых паролей является a) невозможным, поскольку оно одностороннее, и b) против политики, с которой он вас проверяет, поэтому вы не будете подчиняться.

  
  • Список всех изменений пароля за последние шесть месяцев, снова в текстовом формате
  •   

Объясните, что это не было исторически доступным. Дайте ему список последних изменений пароля, чтобы показать, что это делается сейчас. Объясните, как указано выше, что пароли не будут предоставлены.

  
  • Список «всех файлов, добавленных на сервер с удаленных устройств» за последние шесть месяцев.
  •   

Объясните, что такое и не регистрируется. Предоставьте то, что вы можете. Не предоставляйте ничего конфиденциального и объясните по правилам, почему бы и нет. Спросите, нужно ли улучшить каротаж.

  
  • Открытый и закрытый ключи любых ключей SSH
  •   

Посмотрите на свою политику управления ключами. Он должен указать, что закрытые ключи не допускаются из контейнера и имеют строгие условия доступа. Примените эту политику и не разрешайте доступ. Открытые ключи счастливы публично и могут быть разделены.

  
  • Электронное письмо, отправленное ему каждый раз, когда пользователь меняет свой пароль, содержащий текстовый пароль
  •   

Просто скажи нет. Если у вас есть локальный защищенный журнал, позвольте ему увидеть, что он регистрируется на месте.

В принципе, и я сожалею об этом, но вам нужно играть в мяч с этим парнем. Соблюдайте свою политику точно, не отклоняйтесь. Не ври. И если он откажет вам в чем-либо, что не в политике, жалуйтесь своим пожилым в компании, которая его отправила. Соберите бумажный след всего этого, чтобы доказать, что вы были разумными. Если вы нарушите свою политику, вы по его милости. Если вы последуете за ними в письме, он в конечном итоге будет уволен.

ответил Jimmy 23 J000000Saturday11 2011, 14:15:49
134

Да, аудитор - это идиот. Однако, как вы знаете, иногда идиоты помещаются в позиции власти. Это один из таких случаев.

Запрошенная информация имеет ноль , относящийся к текущей безопасности системы. Объясните аудитору, что вы используете LDAP для аутентификации и что пароли хранятся с использованием одностороннего хэша. Если не выполнить сценарий грубой силы против хэшей паролей (которые могут занять недели (или годы), вы не сможете предоставить пароли.

Аналогично удаленным файлам - я бы хотел услышать, как он думает, что вы должны отличать файлы, созданные непосредственно на сервере, и файл, который SCPed на сервере.

Как сказал @womble, не подделывайте ничего. Это не принесет пользы. Либо проверите этот аудит, либо еще один брокер, или найдите способ убедить этого «профессионала», что его сыр соскользнул с его взломщика.

ответил EEAA 23 J000000Saturday11 2011, 03:05:16
86

Попросите своего «аудитора безопасности» указать любой текст из любого этих документов , который имеет свои требования и наблюдает поскольку он изо всех сил пытается придумать оправдание и в конце концов оправдывается, чтобы никогда больше не слышаться.

ответил ablackhat 23 J000000Saturday11 2011, 03:15:45
70

WTF! Извините, но это моя единственная реакция на это. Нет никаких требований к аудиту, которые я когда-либо слышал о том, что для них требуется пароль открытого текста, не говоря уже о том, чтобы подпитывать их паролями по мере их изменения.

1-й, попросите его показать вам требование, которое вы предоставляете.

2nd, если это для PCI (что мы все предполагаем, так как это вопрос платежной системы), перейдите сюда: https: //www.pcisecuritystandards.org/approved_companies_providers/qsa_companies.php и получить нового аудитора.

3, следуйте приведенным выше указаниям, свяжитесь с вашим руководством и попросите их связаться с компанией QSA, с которой он работает. Затем немедленно получите другого аудитора.

Аудиторская аудиторская система утверждает состояния, стандарты, процессы и т. д. Им не нужно иметь никакой информации, которая предоставляет им доступ к системам.

Если вы хотите, чтобы любые рекомендованные аудиторы или альтернативные колосы работали в тесном контакте с аудиторами, свяжитесь со мной, и я был бы рад предоставить ссылки.

Удачи! Доверяйте своей кишке, если что-то кажется неправильным, возможно, это так.

ответил dmz006 23 J000000Saturday11 2011, 03:55:38
63

Нет никаких законных оснований для того, чтобы он знал пароль и имел доступ к закрытым ключам. То, что он просил, дало бы ему возможность выдавать себя за любого из ваших клиентов в любой момент времени и сифонировать столько денег, сколько он хочет, без какого-либо способа обнаружить его как возможную мошенническую транзакцию. Это будет именно тот тип угроз безопасности, за которые он должен вас проверять.

ответил Franci Penov 23 J000000Saturday11 2011, 08:05:13
57

Уведомлять об управлении, которое Аудитор запросил, чтобы вы запустили свои политики безопасности, и что запрос является незаконным. Предложите, чтобы они захотели сбросить настоящую аудиторскую фирму и найти законную. Позвоните в полицию и включите аудитора для запроса незаконной информации (в Великобритании). Затем вызовите PCI и включите Auditor для их запроса.

Запрос сродни тому, что вы спрашиваете, хотите ли вы убить кого-то наугад и передать тело. Вы бы это сделали? или вы могли бы позвонить полицейским и включить их?

ответил oii 23 J000000Saturday11 2011, 17:35:29
54

Ответьте на иск . Если аудитор запрашивает пароли с открытым текстом (давайте сейчас, это не так уж сложно для брутфорса или взломать слабые хэши паролей), они, вероятно, солгали вам о своих полномочиях.

ответил postmodern 23 J000000Saturday11 2011, 14:25:10
50

Просто подскажите, как вы говорите свой ответ:

  

К сожалению, мы не можем предоставить вам некоторые из   запрашиваемая информация, в основном простые текстовые пароли, история паролей,   SSH-ключи и удаленные журналы файлов. Технически не только эти вещи   невозможно ...

Я бы перефразировал это, чтобы не обсуждать техническую осуществимость. Читая ужасное первоначальное электронное письмо, отправленное аудитором, похоже, что это тот, кто может выбрать детали, которые не связаны с основной проблемой, и он может утверждать, что вы могли сохранять пароли, регистрировать логины и т. д. Так что скажите:

  

... Из-за наших строгих политик безопасности мы никогда не регистрировались   пароли в текстовом формате. Поэтому технически невозможно   для предоставления этих данных.

или

  

... Мы не только значительно снизим нашу внутреннюю безопасность   уровня, выполнив ваш запрос, ...

Удачи, и держите нас в курсе, как это заканчивается!

ответил postmodern 23 J000000Saturday11 2011, 14:25:10
33

В связи с риском продолжения спешки высокопоставленных пользователей, которые вскакивают на этот вопрос, вот мои мысли.

Я могу смутно понять, почему он хочет пароли открытого текста, и это должно судить о качестве используемых паролей. Это полный способ сделать это, большинство аудиторов, которых я знаю, согласятся с зашифрованными хэшами и запускают взломщик, чтобы увидеть, какие низко висящие фрукты они могут вытащить. Все они перейдут к политике сложности паролей и рассмотрят, какие существуют гарантии для обеспечения соблюдения этого.

Но вам нужно предоставить несколько паролей. Я предлагаю (хотя я думаю, что вы, возможно, уже сделали это), спрашивает его, какова цель доставки пароля открытым текстом. Он сказал, что он должен подтвердить вашу политику соответствия и безопасности, поэтому попросите его дать вам эту политику. Спросите его, согласен ли он, что ваш режим сложности пароля достаточно прочен, чтобы пользователи не могли установить свой пароль на [email protected]5w0rd и предположительно были на месте в течение 6 месяцев.

Если он подталкивает его, возможно, вам придется признать, что вы не можете отправлять пароли открытого текста, так как вы не настроены на их запись (что связано с серьезным сбоем безопасности), но может попытаться это сделать в будущем если он требует прямой проверки того, что политика паролей работает. И если он захочет доказать это, вы с радостью предоставите ему зашифрованную базу паролей (или вы! Покажите, готовы ли это!), Чтобы запустить прорыв.

«Удаленные файлы» могут быть выведены из журналов SSH для сеансов SFTP, что, как я подозреваю, он говорит. Если у вас нет проблем с syslogging на 6 месяцев, это будет сложно сделать. Использует wget для вытаскивания файла с удаленного сервера во время входа в систему через SSH, который считается «удаленной передачей файлов»? Являются ли HTTP PUT? Файлы, созданные из текста буфера обмена в окне терминала удаленного пользователя? Во всяком случае, вы можете приставать к ним с этими краями, чтобы лучше понять его проблемы в этой области и, возможно, привить ощущение «Я знаю больше об этом, чем вы», а также о тех конкретных технологиях, о которых он думает. Затем извлеките из журналов и архивных журналов резервные копии.

Я ничего не получил на SSH-ключах. Единственное, о чем я могу думать, это то, что он по какой-то причине проверяет ключи без пароля и возможно силу криптографии. В противном случае я ничего не получил.

Что касается получения этих ключей, сбор урожая, по крайней мере, открытых ключей достаточно прост; просто троллите папки .ssh, ища их. Получение секретных ключей будет включать в себя надевание вашей шляпы BOFH и перегревание ваших пользователей на мелодию: «Отправьте мне свои общедоступные и частные пары ключей SSH. Все, что я не получаю, будет очищено с серверов за 13 дней» и если кто-то скажет (я бы) указал на аудит безопасности. Сценарий - ваш друг здесь. Как минимум, это приведет к сбою паролей без пароля для получения паролей.

Если он все еще настаивает на «паролях с открытым текстом в электронной почте», по крайней мере, подвергает эти письма шифрованию GPG /PGP своим собственным ключом. Любой аудитор безопасности, заслуживающий его соли, должен иметь возможность справиться с чем-то подобным. Таким образом, если пароли будут течь, это произойдет потому, что он выпустил их, а не вы. Еще один лакмусовый тест на компетентность.


Я должен согласиться с этим и с Зифером, и с Уомблем. Опасный идиот с опасными последствиями.

ответил sysadmin1138 23 J000000Saturday11 2011, 04:41:54
29

Вероятно, он тестирует вас, если вы являетесь угрозой безопасности. Если вы предоставите ему эти данные, вы, вероятно, будете немедленно уволены. Возьмите это своему непосредственному боссу и передайте доллар. Пусть ваш босс знает, что вы привлечете соответствующие власти, если эта задница снова появится рядом с вами.

Вот за что боссы платят.

У меня есть вид на лист бумаги, оставленный в задней части такси, в котором есть список паролей, ключей SSH и имен пользователей на нем! Hhhmmm! Можете увидеть заголовки газет прямо сейчас!

Обновление

В ответ на 2 комментария ниже, я думаю, у вас обоих есть хорошие моменты. Нет никакого способа узнать правду, и тот факт, что вопрос был опубликован вообще, показывает немного наивности со стороны плаката, а также мужество, чтобы столкнуться с неблагоприятной ситуацией с потенциальными последствиями карьеры, когда другие будут придерживаться песок и убежать.

Мой вывод о том, что это стоит, - это очень интересная дискуссия, которая, вероятно, заставила большинство читателей задаться вопросом, что они будут делать в этой ситуации, независимо от того, компетентны ли аудитор или политика аудиторов. Большинство людей столкнутся с такой дилеммой в какой-то форме или форме в своей трудовой жизни, и на самом деле это не та ответственность, которую нужно засунуть на плечи одного человека. Это деловое решение, а не решение отдельных лиц о том, как справиться с этим.

ответил sysadmin1138 23 J000000Saturday11 2011, 04:41:54
25

Ясно, что здесь есть много хорошей информации, но позвольте мне добавить моего 2c, как человека, который пишет программное обеспечение, которое продается во всем мире моим работодателем крупным предприятиям, в первую очередь, чтобы помочь людям в соблюдении правил безопасности управления учетными записями и прохождения аудита ; для чего это стоит.

Во-первых, это звучит очень подозрительно, как вы (и другие) отметили. Либо аудитор просто следит за процедурой, которую он не понимает (возможно), либо испытывает вас за уязвимость, поэтому социальная инженерия (маловероятная после последующих обменов) или социальная инженерия мошенничества (также возможно) или просто общий идиот (возможно, скорее всего). Что касается рекомендаций, я бы предложил вам поговорить с вашим руководством и /или найти новую аудиторскую компанию и /или сообщить об этом в соответствующее надзорное агентство.

Что касается примечаний, то пара вещей:

  • возможно (при определенных условиях) предоставить запрошенную им информацию, если ваша система настроена для ее разрешения. Однако это не является «лучшей практикой» для безопасности, и это не будет распространяться вообще.
  • Как правило, аудиты связаны с проверкой практики, а не с проверкой фактической защищенной информации. Я бы очень подозрительно относился к тем, кто просил настоящие простые текстовые пароли или сертификаты, а не методы, используемые для обеспечения того, чтобы они были «хорошими» и были обеспечены надлежащим образом.

Надеюсь, что это поможет, даже если это в основном повторяет то, что посоветовали другие люди. Как и вы, я не буду называть свою компанию, в моем случае, потому что я не говорю за них (личный счет /мнения и все); извините, если это умаляет доверие, но пусть будет так. Удачи.

ответил Nick 27 J000000Wednesday11 2011, 02:44:26
21

Это можно и нужно вставить в IT Security - Stack Exchange

Я не эксперт в области безопасности, а не одитинг, но первое, что я узнал о политике безопасности, - это "NEVER GIVE PASSWORDS AWAY". Этот парень, возможно, был в этом бизнесе уже 10 лет, но, как сказал Уомбл "no, you have 5 minutes of experience repeated hundreds of times"

Я некоторое время работаю с банковскими ИТ-специалистами, и когда я видел тебя, я показал им это ... Они так смеялись. Они сказали мне, что парень выглядит как мошенничество. Раньше они занимались подобным делом для безопасности клиента банка.

Задавая вопрос о четком пароле, SSH-ключах, журналах паролей, это явно серьезное профессиональное неправомерное поведение. Этот парень опасен.

Надеюсь, сейчас все в порядке, и у вас нет никаких проблем с тем фактом, что они могли вести журнал с вашей предыдущей транзакцией с ними.

ответил Anarko_Bizounours 8 PM00000030000002631 2011, 15:08:26
18

Если вы можете предоставить любую информацию (за исключением открытых ключей), запрошенную в пунктах 1,2,4 и 5, вы должны ожидать, что не проведете аудит.

Формально отвечайте на пункты 1,2 и 5, говорящие, что вы не можете выполнить, так как ваша политика безопасности требует, чтобы вы не сохраняли простые текстовые пароли и что пароли шифруются с использованием нереверсивного алгоритма. В пункте 4, опять же, вы не можете предоставить секретные ключи, поскольку это нарушит вашу политику безопасности.

Что касается пункта 3. Если у вас есть данные, укажите это. Если вы этого не сделаете, потому что вам не нужно было его собирать, тогда скажите так и продемонстрируйте, как вы сейчас (работая), чтобы соответствовать новому требованию.

ответил Iain 23 J000000Saturday11 2011, 12:27:56
17

Аудитор безопасности для наших серверов потребовал следующую в течение двух недель :

...

Если мы не получим аудит безопасности, мы потеряем доступ к нашей платформе обработки платформ (критическая часть нашей системы), а потребуется две недели для перемещения в другое место . Как прикручен я?

Кажется, вы ответили на свой вопрос. (См. Жирный текст для подсказок.)

На ум приходит только одно решение: попросите всех записать свой последний и текущий пароль, а затем сразу же изменить его на новый. Если он хочет проверить качество пароля (и качество переходов с паролей на пароль, например, чтобы убедиться, что никто не использует rfvujn125 , а затем rfvujn126 как следующий пароль), этот список старых паролей должно быть достаточно.

Если это не считается приемлемым, то я подозреваю, что этот парень является членом Анонимного /LulzSec ... в этот момент вы должны спросить его, что у него есть, и сказать ему, чтобы он остался таким скрабом!

ответил Michael 23 J000000Saturday11 2011, 13:09:56
16

Как сказал oli: лицо, о котором идет речь, пытается заставить вас нарушить закон (Директивы конфиденциальности данных /ЕС) /внутренние правила /стандарты PCI. Вы должны не только уведомлять руководство (как вы уже это делали, я думаю), но вы можете позвонить в полицию, как было предложено.

Если лицо, о котором идет речь, проводит какую-то аккредитацию /сертификацию, например. CISA (Аудитор сертифицированных информационных систем) или британский эквивалент US CPA (обозначение общественного бухгалтера), вы также можете проинформировать аккредитующие организации о его расследовании. Мало того, что этот человек пытается заставить вас нарушить закон, это также чрезвычайно некомпетентный «аудит» и, вероятно, противоречит каждому стандарту этического аудита, с помощью которого аккредитованные аудиторы должны соблюдать боль от потери аккредитации.

Кроме того, если лицо, о котором идет речь, является членом более крупной компании, перед аудиторскими организациями часто требуется какой-то отдел контроля качества, который контролирует качество проверок и аудита и расследует жалобы. Таким образом, вы также можете обратиться к аудиторской компании, о которой идет речь.

ответил reiniero 28 J000000Thursday11 2011, 15:34:07
14

Я все еще изучаю, и первое, что я узнал при настройке серверов, - это то, что если вы позволяете регистрировать незашифрованные пароли, вы уже подвергаете себя опасности гигантского нарушения. Пароль не должен быть известен, кроме пользователя, который его использует.

Если этот парень серьезный аудитор, он не должен спрашивать вас об этом. Для меня он вроде как misfeasor . Я бы проверил с регулирующим органом, потому что этот парень звучит как полный идиот.

Обновление

Держись, он полагает, что вам нужно использовать симметричное шифрование только для передачи пароля, но затем сохранить их в текстовом редакторе в своей базе данных или предоставить им возможность расшифровать их. Таким образом, в основном, после анонимных атак на базы данных, где они отображали пароли пользователей с открытым текстом, он ВСЕГДА считает, что это хороший способ «обеспечить» среду.

Он - динозавр, застрявший в 1960-х годах ...

ответил reiniero 28 J000000Thursday11 2011, 15:34:07
12
  • Список текущих имен пользователей и паролей открытого текста для всех учетных записей пользователей на всех серверах
    • Текущие имена пользователей МОГУТ быть в рамках «мы можем освободить это» и должны быть в рамках «мы можем показать вам это, но вы не можете принимать его за пределы сайта».
    • Пары с простым текстом не должны существовать дольше, чем требуется для одностороннего хэша, и они, безусловно, никогда не должны оставлять память (даже не переходить по проводам), поэтому их существование в постоянном хранилище - нет-нет.
  • Список всех изменений пароля за последние шесть месяцев, снова в текстовом виде
    • См. «Постоянное хранилище - нет-нет».
  • Список «всех файлов, добавленных на сервер с удаленных устройств» за последние шесть месяцев
    • Это может быть связано с тем, что вы регистрируете передачу файлов на /из серверов (-ов) обработки платежей, если у вас есть журналы, которые должны быть в порядке для передачи. Если у вас нет журналов, проверьте, какие политики безопасности сообщают о регистрации этой информации.
  • Открытый и закрытый ключи любых ключей SSH
    • Возможно, попытка проверить, что «ключи SSH должны иметь парольную фразу» находится в политике и следовать. Вы действительно хотите передать фразу для всех закрытых ключей.
  • Электронное письмо, отправленное ему каждый раз, когда пользователь меняет свой пароль, содержащий текстовый пароль
    • Это определенно не-нет.

Я бы ответил на что-то в соответствии с моими ответами, при необходимости поддерживая требования PCI-совместимости, SOX_compliance и внутренние документы политики безопасности.

ответил reiniero 28 J000000Thursday11 2011, 15:34:07
11

Этот ребята требуют пахнуть на небо, и я согласен, что любая переписка отсюда должна проходить через технический директор. Либо он пытается сделать вас падшим парнем за то, что он не смог удовлетворить указанную просьбу, за освобождение конфиденциальной информации или грубо некомпетентен. Надеюсь, ваш CTO /менеджер сделает двойной ответ на этот ребятишний запрос, и положительные действия будут выполнены, и если они окажутся за действия этого парня ... хорошо, хорошие администраторы системы всегда пользуются спросом на объявлениях, поскольку ti звучит так, как будто пришло время начать искать место, если это произойдет.

ответил canadiancreed 23 J000000Saturday11 2011, 19:03:59
11

Я бы сказал ему, что для создания инфраструктуры взлома паролей требуется время, усилия и деньги, но поскольку вы используете сильное хеширование, такое как SHA256 или что-то еще, возможно, не удастся предоставить пароли в течение 2 недель. Кроме того, я бы сказал, что я связался с юридическим отделом, чтобы подтвердить, является ли законным делиться этими данными с кем-либо. PCI DSS также неплохо было бы упомянуть, как и вы. :)

Мои коллеги потрясены чтением этого сообщения.

ответил Istvan 28 J000000Thursday11 2011, 00:53:05
9

Просто откажитесь от раскрытия информации, указав, что вы не можете передавать пароли, поскольку у вас нет доступа к ним. Будучи самим аудитором, он должен представлять какое-то учреждение. Такие учреждения обычно публикуют руководящие принципы для такой проверки. Посмотрите, соответствует ли такой запрос этим рекомендациям. Вы можете даже жаловаться на такие ассоциации. Также разъясните аудитору, что в случае каких-либо нарушений виноват может вернуться к нему (аудитору), поскольку у него есть все пароли.

ответил Istvan 28 J000000Thursday11 2011, 00:53:05
9

Мне было бы очень сложно дать ему список имен пользователей /паролей /закрытых ключей для учетных записей honeypot, а затем, если он когда-либо проверит логины для этих учетных записей, сделайте его для несанкционированного доступа к компьютерной системе. Хотя, к сожалению, это, вероятно, предоставляет вам, как минимум, какой-то гражданский деликт, чтобы сделать мошенническое представление.

ответил benmmurphy 9 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowFri, 09 Sep 2016 00:48:45 +0300 2016, 00:48:45
8

Я бы сказал, что вы не можете предоставить ему ЛЮБОЙ из запрошенной информации.

  • Имена пользователей предоставляют ему представление о учетных записях, имеющих доступ к вашим системам, риск для безопасности.
  • История паролей обеспечит понимание используемых шаблонов паролей, давая ему возможную возможность атаки, угадывая следующий пароль в цепочке
  • Файлы, переданные в систему, могут содержать конфиденциальную информацию, которая может быть использована при атаке на ваши системы, а также дать им представление о структуре вашей файловой системы.
  • Открытые и закрытые ключи, что, черт возьми, будет иметь смысл иметь их, если вы должны предоставить их кому-то, кроме предполагаемого пользователя?
  • Электронное письмо, отправленное каждый раз, когда пользователь меняет пароль, предоставит ему обновленные пароли для каждой учетной записи пользователя.

Этот парень тянет вашего помощника плункера! Вам нужно связаться с его менеджером или каким-либо другим аудитором в компании, чтобы подтвердить его возмутительные требования. И уходите как можно скорее.

ответил 93196.93 24 J000000Sunday11 2011, 16:50:29

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132