Nasz audytor bezpieczeństwa jest idiotą. Jak przekazać mu informacje, których chce?

2306

Audytor bezpieczeństwa naszych serwerów zażądał w ciągu dwóch tygodni:

  • Lista bieżących nazw użytkowników i haseł tekstowych dla wszystkich kont użytkowników na wszystkich serwerach
  • Lista wszystkich zmian haseł z ostatnich sześciu miesięcy, również w postaci zwykłego tekstu
  • Lista „każdego pliku dodanego do serwera ze zdalnych urządzeń” w ciągu ostatnich sześciu miesięcy
  • Klucze publiczne i prywatne dowolnych kluczy SSH
  • E-mail wysyłany do niego za każdym razem, gdy użytkownik zmienia swoje hasło, zawierający zwykły tekst

Korzystamy z urządzeń Red Hat Linux 5/6 i CentOS 5 z uwierzytelnianiem LDAP.

O ile mi wiadomo, wszystko na tej liście jest niemożliwe lub niezwykle trudne do zdobycia, ale jeśli nie podam tych informacji, grozi nam utrata dostępu do naszej platformy płatności i utrata dochodów w okresie przejściowym, gdy przechodzimy do nowa usługa. Wszelkie sugestie dotyczące sposobu rozwiązania lub sfałszowania tych informacji?

Jedynym sposobem, w jaki mogę uzyskać wszystkie hasła w postaci zwykłego tekstu, jest skłonienie wszystkich do zresetowania hasła i zanotowania tego, co je ustawiło. To nie rozwiązuje problemu ostatnich sześciu miesięcy zmian haseł, ponieważ nie mogę wstecznie zalogować tego rodzaju rzeczy, to samo dotyczy rejestrowania wszystkich zdalnych plików.

Uzyskanie wszystkich publicznych i prywatnych kluczy SSH jest możliwe (choć irytujące), ponieważ mamy tylko kilku użytkowników i komputerów. Chyba że przegapiłem łatwiejszy sposób na zrobienie tego?

Wyjaśniłem mu wiele razy, że rzeczy, o które prosi, są niemożliwe. W odpowiedzi na moje obawy odpowiedział na następujący e-mail:

Mam ponad 10-letnie doświadczenie w audytach bezpieczeństwa i pełne zrozumienie metod bezpieczeństwa redhat, dlatego sugeruję sprawdzenie swoich faktów na temat tego, co jest i nie jest możliwe. Mówisz, że żadna firma nie może mieć takich informacji, ale przeprowadziłem setki audytów, w których informacje te były łatwo dostępne. Wszyscy klienci [ogólnego dostawcy przetwarzania kart kredytowych] są zobowiązani do przestrzegania naszych nowych zasad bezpieczeństwa, a ten audyt ma na celu upewnienie się, że zasady te zostały poprawnie wdrożone *.

* „Nowe zasady bezpieczeństwa” zostały wprowadzone na dwa tygodnie przed naszą kontrolą, a sześciomiesięczne rejestrowanie danych historycznych nie było wymagane przed zmianą zasad.

Krótko mówiąc, potrzebuję;

  • Sposób na „sfałszowanie” sześciomiesięcznych zmian hasła i nadanie mu poprawnego wyglądu
  • Sposób na „fałszywe” sześć miesięcy transferów plików przychodzących
  • Łatwy sposób na zebranie wszystkich używanych kluczy publicznych i prywatnych SSH

Jeśli nie przejdziemy audytu bezpieczeństwa, stracimy dostęp do naszej platformy przetwarzania kart (krytyczna część naszego systemu) i przeniesienie się gdzie indziej zajmie dobre dwa tygodnie. Jak się pieprzę?

Aktualizacja 1 (sob. 23)

Dzięki za wszystkie odpowiedzi, z wielką ulgą wiem, że to nie jest standardowa praktyka.

Obecnie planuję odpowiedź na e-maila z wyjaśnieniem sytuacji. Jak wielu z was zauważyło, musimy przestrzegać PCI, który wyraźnie stwierdza, że ​​nie powinniśmy mieć dostępu do haseł w postaci zwykłego tekstu. Po zakończeniu pisania wyślę wiadomość e-mail. Niestety nie sądzę, żeby nas tylko testował; te rzeczy są teraz w oficjalnej polityce bezpieczeństwa firmy. Jednak wprawiłem koła w ruch, aby na razie odsunąć się od nich i na PayPal.

Aktualizacja 2 (sob. 23)

To jest e-mail, który opracowałem, jakieś sugestie dotyczące rzeczy do dodania / usunięcia / zmiany?

Cześć [nazwa],

Niestety nie możemy dostarczyć ci niektórych wymaganych informacji, głównie haseł w postaci zwykłego tekstu, historii haseł, kluczy SSH i zdalnych dzienników plików. Jest to nie tylko technicznie niemożliwe, ale także możliwość dostarczenia tych informacji byłaby sprzeczna ze standardami PCI, a także naruszeniem ustawy o ochronie danych.
Aby zacytować wymagania PCI,

8.4 Renderuj wszystkie hasła jako nieczytelne podczas transmisji i przechowywania na wszystkich komponentach systemu za pomocą silnej kryptografii.

Mogę dostarczyć listę nazw użytkowników i zaszyfrowanych haseł używanych w naszym systemie, kopie kluczy publicznych SSH i plik autoryzowanych hostów (dostarczy ci to wystarczającej ilości informacji, aby określić liczbę unikalnych użytkowników, którzy mogą połączyć się z naszymi serwerami, oraz szyfrowanie zastosowane metody), informacje o naszych wymaganiach dotyczących bezpieczeństwa haseł i naszym serwerze LDAP, ale informacji tych nie można usunąć poza witrynę. Zdecydowanie zalecamy przejrzenie wymagań dotyczących audytu, ponieważ obecnie nie możemy przekazać tej kontroli, zachowując zgodność z PCI i ustawą o ochronie danych.

Pozdrawiam
[ja]

Będę współpracownikiem w CTO firmy i naszym menedżerze konta i mam nadzieję, że CTO potwierdzi, że te informacje nie są dostępne. Skontaktuję się również z Radą Bezpieczeństwa Standardów PCI, aby wyjaśnić, czego od nas wymaga.

Aktualizacja 3 (26)

Oto niektóre e-maile, które wymieniliśmy;

RE: mój pierwszy e-mail;

Jak wyjaśniono, informacje te powinny być łatwo dostępne w każdym dobrze utrzymanym systemie dla każdego kompetentnego administratora. Brak możliwości dostarczenia tych informacji prowadzi mnie do przekonania, że ​​znasz luki w zabezpieczeniach systemu i nie jesteś przygotowany na ich ujawnienie. Nasze żądania są zgodne z wytycznymi PCI i oba mogą zostać spełnione. Silna kryptografia oznacza tylko, że hasła muszą być szyfrowane podczas wprowadzania ich przez użytkownika, ale następnie należy je przenieść do formatu umożliwiającego odzyskanie w celu późniejszego wykorzystania.

Nie widzę żadnych problemów związanych z ochroną danych w przypadku tych wniosków, ochrona danych dotyczy tylko konsumentów, a nie firm, więc nie powinno być problemów z tymi informacjami.

Tylko czego ja nie mogę, nawet ...

„Silna kryptografia oznacza tylko, że hasła muszą zostać zaszyfrowane podczas wprowadzania ich przez użytkownika, ale następnie należy je przenieść do formatu umożliwiającego odzyskanie w celu późniejszego wykorzystania”.

Zamierzam to wrobić i położyć na ścianie.

Mam dość bycia dyplomatycznym i skierowałem go do tego wątku, aby pokazać mu odpowiedź:

Podanie tych informacji BEZPOŚREDNIO jest sprzeczne z kilkoma wymogami wytycznych PCI. Sekcja, którą zacytowałem, mówi nawet storage (implikując, gdzie przechowujemy dane na dysku). Rozpocząłem dyskusję na ServerFault.com (społeczność internetowa dla specjalistów sys-admin), która wywołała ogromną reakcję, sugerując, że nie można podać tych informacji. Zapraszam do przeczytania przez siebie

https://serverfault.com/questions/293217/

Zakończyliśmy przenoszenie naszego systemu na nową platformę i zlikwidujemy nasze konto w ciągu około dnia, ale chcę, abyś zdał sobie sprawę, jak absurdalne są te żądania i żadna firma prawidłowo wdrażająca wytyczne PCI nie będzie lub powinna, być w stanie podać te informacje. Zdecydowanie zalecamy ponowne przemyślenie swoich wymagań bezpieczeństwa, ponieważ żaden z klientów nie powinien być w stanie się z tym pogodzić.

(Właściwie to zapomniałem, że nazwałem go idiotą w tytule, ale jak już wspomniano, już odeszliśmy od ich platformy, więc nie ma prawdziwej straty).

W swojej odpowiedzi stwierdza, że ​​najwyraźniej nikt z was nie wie o czym mówisz:

Przeczytałem szczegółowo te odpowiedzi i twój oryginalny post, wszyscy respondenci muszą poprawnie ustalić swoje fakty. Byłem w tej branży dłużej niż ktokolwiek na tej stronie, uzyskanie listy haseł do kont użytkowników jest niezwykle proste, powinna być jedną z pierwszych rzeczy, które robisz, ucząc się, jak zabezpieczyć system i jest niezbędna do działania każdego bezpiecznego serwer. Jeśli naprawdę brakuje ci umiejętności robienia czegoś tak prostego, zakładam, że nie masz zainstalowanego PCI na swoich serwerach, ponieważ odzyskanie tych informacji jest podstawowym wymaganiem oprogramowania. Kiedy masz do czynienia z czymś takim jak bezpieczeństwo, nie powinieneś zadawać tych pytań na forum publicznym, jeśli nie masz podstawowej wiedzy o tym, jak to działa.

Chciałbym również zasugerować, że każda próba ujawnienia mnie lub [nazwa firmy] zostanie uznana za pomówienie i zostaną podjęte odpowiednie kroki prawne

Kluczowe punkty idiotyczne, jeśli je przegapiłeś:

  • Był audytorem bezpieczeństwa dłużej niż ktokolwiek inny tutaj (zgaduje lub prześladuje cię)
  • Możliwość uzyskania listy haseł w systemie UNIX jest „podstawowa”
  • PCI jest teraz oprogramowaniem
  • Ludzie nie powinni korzystać z forów, gdy nie są pewni bezpieczeństwa
  • Udostępnianie informacji faktycznych (na które mam dowód e-mailem) w Internecie jest zniesławieniem

Doskonały.

PCI SSC udzieliło odpowiedzi i prowadzi dochodzenie w sprawie jego i firmy. Nasze oprogramowanie zostało teraz przeniesione do PayPal, dzięki czemu wiemy, że jest bezpieczne. Zaczekam, aż PCI do mnie wróci, ale trochę się martwię, że mogli używać tych praktyk bezpieczeństwa wewnętrznie. Jeśli tak, to uważam, że jest to dla nas poważny problem, ponieważ wszystkie nasze karty przetwarzały je. Gdyby robili to wewnętrznie, myślę, że jedyną odpowiedzialną rzeczą byłoby poinformowanie naszych klientów.

Mam nadzieję, że kiedy PCI zda sobie sprawę, jak źle jest, zbadają całą firmę i system, ale nie jestem pewien.

Więc teraz odeszliśmy od ich platformy i zakładając, że minie co najmniej kilka dni, zanim PCI wróci do mnie, jakieś pomysłowe sugestie, jak go trochę trollować? =)

Kiedy otrzymam zezwolenie od mojego legalnego faceta (bardzo wątpię, czy to w rzeczywistości jest zniesławienie, ale chciałem dwukrotnie sprawdzić) opublikuję nazwę firmy, jego imię i adres e-mail, a jeśli chcesz, możesz skontaktować się z nim i wyjaśnić dlaczego nie rozumiesz podstaw zabezpieczeń Linuxa, takich jak jak uzyskać listę wszystkich haseł użytkowników LDAP.

Mała aktualizacja:

Mój „legalny facet” zasugerował, że ujawnienie firmy prawdopodobnie spowodowałoby więcej problemów niż to konieczne. Mogę jednak powiedzieć, że nie jest to główny dostawca, mają mniej 100 klientów korzystających z tej usługi. Początkowo korzystaliśmy z nich, gdy witryna była niewielka i działała na małym VPS, i nie chcieliśmy podejmować wszystkich starań, aby uzyskać PCI (zwykliśmy przekierowywać do ich interfejsu, na przykład PayPal Standard). Ale kiedy przeszliśmy na bezpośrednie przetwarzanie kart (w tym uzyskanie PCI i zdrowy rozsądek), deweloperzy postanowili nadal używać tej samej firmy tylko innego API. Firma ma siedzibę w rejonie Birmingham w Wielkiej Brytanii, więc bardzo wątpię, czy ktokolwiek tutaj będzie miał wpływ.

Plama
źródło
459
Masz dwa tygodnie na przekazanie mu informacji, a przejście do innego miejsca, które może przetwarzać karty kredytowe, zajmuje dwa tygodnie. Nie przejmuj się - podejmij decyzję o przeprowadzce już teraz i zrezygnuj z audytu.
Scrivener
159
Zaktualizuj nas, co się z tym stanie. Z przyjemnością obserwuję, jak audytor zostaje lany. =) Jeśli cię znam, napisz do mnie na adres w moim profilu.
Wesley,
143
Musi cię testować, żeby zobaczyć, czy naprawdę jesteś taki głupi. Dobrze? Mam taką nadzieję ...
Joe Phillips,
187
Chciałbym poznać referencje dla innych firm, które kontrolował. Jeśli z innego powodu niż wiedzieć, kogo unikać . Hasła w postaci zwykłego tekstu ... naprawdę? Czy jesteś pewien, że ten facet naprawdę nie jest czarnym kapeluszem i głupimi firmami zajmującymi się inżynierią społeczną, które od miesięcy przekazują hasła użytkowników? Ponieważ jeśli są firmy, które robią to z nim, jest to WIELKI sposób, aby po prostu przekazać klucze ...
Bart Silverstrim
286
Każda wystarczająco zaawansowana niekompetencja jest nieodróżnialna od złośliwości
Jeremy French,

Odpowiedzi:

1207

Po pierwsze, NIE kapituluj. Jest nie tylko idiotą, ale NIEBEZPIECZNIE się myli. W rzeczywistości ujawnienie tych informacji naruszyłoby standard PCI (do czego zakładam, że audyt jest, ponieważ jest to procesor płatności) wraz z każdym innym standardem i po prostu zdrowym rozsądkiem. Naraziłoby to również Twoją firmę na wszelkiego rodzaju zobowiązania.

Następną rzeczą, którą bym zrobił, to wysłanie wiadomości e-mail do szefa z informacją, że musi on zaangażować doradcę korporacyjnego w celu ustalenia prawnej ekspozycji, na jaką narażona byłaby firma w związku z tym działaniem.

Ten ostatni bit jest do was, ale ja skontaktuje VISA z tych informacji i uzyskać jego status audytora PCI pociągnął.

Zypher
źródło
289
Pobiłeś mnie do tego! To jest nielegalne żądanie. Uzyskaj kartę PCI QSA, aby skontrolować żądanie procesora. Zadzwoń do niego. Okrąż wozy. „Opłata za broń!”
Wesley
91
„uzyskano jego status audytora PCI” Nie wiem, co to znaczy ... ale jakikolwiek autorytet ten klaun (audytor) oczywiście pochodził z mokrej skrzynki krakersa i musi zostać odwołany. +1
WernerCD
135
Wszystko to zakłada, że ​​ten facet jest prawowitym audytorem ... wydaje mi się strasznie podejrzany.
Reid
31
Zgadzam się - suspicious auditorlub jest prawowitym audytorem, który sprawdza, czy jesteś na tyle głupi, by zrobić którąkolwiek z tych rzeczy. Zapytaj, dlaczego potrzebuje tych informacji. Wystarczy wziąć pod uwagę hasło, które nigdy nie powinno być zwykłym tekstem, ale powinno być za jakimś szyfrowaniem jednokierunkowym (hash). Może ma uzasadniony powód, ale z całym swoim „doświadczeniem” powinien być w stanie pomóc ci zdobyć niezbędne informacje.
vol7ron
25
Dlaczego to jest niebezpieczne? Lista wszystkich haseł tekstowych - nie powinno ich być. Jeśli lista nie jest pusta, ma ważny punkt. To samo dotyczy msot rzeczy. Jeśli ich nie masz, bo ich tam nie ma, powiedz. Dodano zdalne pliki - to część audytu. Nie wiem - zacznij wprowadzać system, który wie.
TomTom,
836

Jako osoba, która przeszła procedurę audytu z Price Waterhouse Coopers w sprawie niejawnego kontraktu rządowego, zapewniam cię, że to całkowicie wykluczone, a ten facet jest szalony.

Gdy PwC chciał sprawdzić siłę naszego hasła:

  • Poprosiliśmy o zapoznanie się z naszymi algorytmami siły hasła
  • Sprawdziłem jednostki testowe względem naszych algorytmów, aby sprawdzić, czy odmówiłyby złych haseł
  • Poproszono o zapoznanie się z naszymi algorytmami szyfrowania, aby upewnić się, że nie można ich odwrócić ani odszyfrować (nawet za pomocą tęczowych tabel), nawet przez osobę, która miała pełny dostęp do każdego aspektu systemu
  • Sprawdzono, czy poprzednie hasła były buforowane, aby upewnić się, że nie można ich ponownie użyć
  • Poprosiliśmy nas o zgodę (której udzieliliśmy) na próbę włamania się do sieci i powiązanych systemów przy użyciu technik inżynierii innej niż socjotechniczna (takich jak exploity xss i exploity inne niż 0)

Gdybym nawet zasugerował, że mogę im pokazać, jakie były hasła użytkowników w ciągu ostatnich 6 miesięcy, natychmiast wyłączyliby nas z umowy.

Gdyby można było spełnić te wymagania, od razu straciłbyś każdy pojedynczy audyt, który warto mieć.


Aktualizacja: Twój e-mail z odpowiedzią wygląda dobrze. O wiele bardziej profesjonalny niż cokolwiek, co bym napisał.

Mark Henderson
źródło
109
+1. Wygląda na sensowne pytania, które NIE powinny być ODPOWIEDZIALNE. Jeśli możesz na nie odpowiedzieć, masz pod ręką głupi problem bezpieczeństwa.
TomTom
9
even by rainbow tablesczy to nie wyklucza NTLM? To znaczy, nie jest solone ... AFAICR MIT Kerberos nie szyfrował ani nie mieszał aktywnych haseł, nie wiem, jaki jest obecny stan
Hubert Kario
6
@Hubert - nie korzystaliśmy z NTLM ani Kerberos, ponieważ metody uwierzytelniania przekazywanego zostały zakazane, a usługa i tak nie została zintegrowana z usługą Active Directory. W przeciwnym razie nie moglibyśmy również pokazać im naszych algorytmów (są wbudowane w system operacyjny). Powinienem był wspomnieć - to była ochrona na poziomie aplikacji, a nie audyt na poziomie systemu operacyjnego.
Mark Henderson
4
@ tandu - tak podano specyfikacje dla poziomu klasyfikacji. Dość często zdarza się również, że ludzie nie mogą ponownie używać swoich ostatnich n haseł, ponieważ powstrzymuje ludzi przed przechodzeniem przez dwa lub trzy często używane hasła, co jest tak samo niepewne, jak używanie tego samego wspólnego hasła.
Mark Henderson
10
@Slartibartfast: ale znajomość zwykłego tekstu hasła oznacza, że ​​atakujący może równie dobrze włamać się do bazy danych i odzyskać wszystko na pierwszy rzut oka. Jeśli chodzi o ochronę przed użyciem podobnego hasła, które można wykonać w javascript po stronie klienta, gdy użytkownik próbuje zmienić hasło, przed wysłaniem nowego hasła na serwer należy również zapytać o stare hasło i porównać podobieństwo ze starym hasłem. To prawda, że ​​może zapobiec ponownemu użyciu od 1 ostatniego hasła, ale IMO ryzyko przechowywania hasła w postaci zwykłego tekstu jest znacznie większe.
Lie Ryan,
456

Szczerze mówiąc, wygląda na to, że ten facet (audytor) cię przygotowuje. Jeśli przekażesz mu informacje, o które prosi, właśnie udowodniłeś mu, że możesz zostać społecznie inżynierem, aby zrezygnować z krytycznych informacji wewnętrznych. Zawieść.

anastrofa
źródło
10
czy zastanawiałeś się również nad zewnętrznym procesorem płatności, takim jak authorize.net? firma, dla której pracuję, wykonuje za ich pośrednictwem bardzo duże kwoty transakcji kartą kredytową. nie musimy przechowywać żadnych informacji o płatnościach od klientów - zarządza nimi Authorize.net - więc nie ma audytu naszych systemów, aby to skomplikować.
anastrof
172
dokładnie tak myślałem. Inżynieria społeczna jest prawdopodobnie najłatwiejszym sposobem na uzyskanie tych informacji i myślę, że testuje tę lukę. Ten facet jest albo bardzo inteligentny, albo bardzo głupi
Joe Phillips
4
Ta pozycja jest co najmniej najbardziej rozsądnym pierwszym krokiem. Powiedz mu, że robiąc to, będziesz łamać prawa / reguły / cokolwiek, ale doceniasz jego podstęp.
Michael
41
Głupie pytanie: czy „konfigurowanie” jest dopuszczalne w tej sytuacji? Wspólna logika mówi mi, że proces audytu nie powinien składać się z „sztuczek”.
Agos,
13
@Agos: Kilka lat temu pracowałem w miejscu, które zatrudniło agencję do przeprowadzenia audytu. Część audytu obejmowała telefonowanie do przypadkowych osób w firmie z informacją „<CIO> poprosił mnie, abym do ciebie zadzwonił i uzyskał twoje dane logowania, dzięki czemu <mogę coś zrobić>” Nie tylko sprawdzali, czy faktycznie nie zrezygnowałeś z poświadczeń, ale po rozłączeniu się z nimi powinieneś od razu zadzwonić do <CIO> lub <Security Admin> i zgłosić zmianę.
Toby
345

Właśnie zauważyłem, że jesteś w Wielkiej Brytanii, co oznacza, że ​​chce cię złamać prawo (w rzeczywistości Ustawa o ochronie danych). Też jestem w Wielkiej Brytanii, pracuję dla dużej, mocno kontrolowanej firmy i znam prawo i powszechne praktyki w tej dziedzinie. Jestem również bardzo nieprzyjemnym dziełem, które z radością ograniczy ci tego faceta, jeśli chcesz tylko dla zabawy, daj mi znać, jeśli chcesz pomóc.

Siekacz 3
źródło
28
Zakładając, że na tych serwerach znajdują się dane osobowe, myślę, że przekazanie / wszystkich / poświadczeń dostępu w postaci zwykłego tekstu osobie z takim poziomem wykazanej niekompetencji byłoby wyraźnym naruszeniem zasady 7 ... („Odpowiednie środki techniczne i organizacyjne będą podejmowane przeciwko nieuprawnionemu lub niezgodnemu z prawem przetwarzaniu danych osobowych oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem danych osobowych. ”)
Stephen Veiss
4
Myślę, że to uczciwe założenie - jeśli przechowujesz informacje o płatności, prawdopodobnie przechowujesz również dane kontaktowe dla użytkowników. Gdybym był na stanowisku PO, widziałbym, że „to, o co mnie prosisz, nie tylko łamie zobowiązania polityczne i umowne [w celu przestrzegania PCI], ale jest również nielegalne” jako silniejszy argument niż tylko wymienienie polityki i PCI .
Stephen Veiss
4
@ Jimmy, dlaczego hasło nie byłoby danymi osobowymi?
robertc
10
@Richard, wiesz, że to była metafora, prawda?
Chopper3
9
@ Chopper3 Tak, nadal uważam, że to nieodpowiednie. Plus, przeciwstawiam się AviD.
Richard Gadsden,
285

Jesteś inżynierem społecznym. Albo „przetestuje cię”, albo jest hakerem udającym audytora, aby uzyskać bardzo przydatne dane.

Pan Zmęczony
źródło
8
Dlaczego nie jest to najlepsza odpowiedź? Czy to mówi coś o społeczności, łatwości inżynierii społecznej, czy brakuje mi czegoś fundamentalnego?
Paul
166
nigdy nie przypisuj złośliwości temu, co można przypisać ignorancji
aldrinleal
13
Przypisywanie wszystkich tych próśb ignorancji, gdy biegły rewident twierdzi, że jest profesjonalistą, nieco rozciąga wyobraźnię.
Thomas K
12
Problem z tą teorią polega na tym, że nawet jeśli „zakochał się w nim” lub „nie zdał testu”, nie mógł podać mu informacji, ponieważ jest to niemożliwe .....
ed
4
Moje przypuszczenie to też „poważna inżynieria społeczna” (czy to zbieg okoliczności, że wkrótce pojawi się nowa książka Kevina Mitnicka?), W którym to przypadku twoja firma płatnicza będzie zaskoczona (czy sprawdziłeś już z nią tę „kontrolę”?) . Inną opcją jest bardzo początkujący audytor, który nie ma wiedzy o systemie linux, który próbował blefować, a teraz zagłębia się coraz głębiej.
Koos van den Hout
278

Jestem poważnie zaniepokojony brakiem umiejętności rozwiązywania problemów etycznych przez PO, a społeczność użytkowników serwerów ignoruje to rażące naruszenie zasad etycznych.

Krótko mówiąc, potrzebuję;

  • Sposób na „sfałszowanie” sześciomiesięcznych zmian hasła i nadanie mu poprawnego wyglądu
  • Sposób na „fałszywe” sześć miesięcy transferów plików przychodzących

Wyjaśnię dwa zagadnienia:

  1. Nigdy nie należy fałszować danych w trakcie normalnej działalności.
  2. Nigdy nie powinieneś nikomu ujawniać tego rodzaju informacji. Zawsze.

Twoim zadaniem nie jest fałszowanie zapisów. Twoim zadaniem jest upewnić się, że wszelkie niezbędne zapisy są dostępne, dokładne i bezpieczne.

Społeczność tutaj, w usłudze Server Fault, musi traktować tego rodzaju pytania, ponieważ witryna stackoverflow traktuje pytania „domowe”. Nie możesz rozwiązać tych problemów jedynie za pomocą odpowiedzi technicznej lub zignorować naruszenie odpowiedzialności etycznej.

Widząc tak wielu użytkowników o wysokiej liczbie odpowiedzi w tym wątku, nie zasmuca mnie żadna wzmianka o etycznych implikacjach tego pytania.

Zachęcam wszystkich do zapoznania się z Kodeksem etyki administratorów systemu SAGE .

BTW, twój audytor bezpieczeństwa jest idiotą, ale to nie znaczy, że musisz odczuwać presję, by być nieetycznym w swojej pracy.

Edycja: Twoje aktualizacje są bezcenne. Trzymaj głowę nisko, proszek suchy i nie bierz (ani nie dawaj) żadnych drewnianych nikli.

Joseph Kern
źródło
44
Nie zgadzam się. „Audytor” nakłaniał OP do ujawnienia informacji, które podważyłyby całe bezpieczeństwo IT organizacji. W żadnym wypadku OP nie powinien generować tych zapisów i przekazywać ich nikomu. OP nie powinien fałszować zapisów; można je łatwo uznać za fałszywe. OP powinien wyjaśnić przełożonym, dlaczego żądania audytorów bezpieczeństwa są zagrożeniem ze względu na złośliwe intencje lub całkowitą niekompetencję (hasła e-mail w postaci zwykłego tekstu). PO powinien zalecić niezwłoczne zakończenie audytu bezpieczeństwa i pełne dochodzenie w sprawie innych działań byłego audytora.
dr jimbob
18
dr Jimbob, myślę, że nie rozumiesz: „OP nie powinien fałszować zapisów; można je łatwo uznać za fałszywe”. nadal jest nieetyczną pozycją, ponieważ sugerujesz, że powinien fałszować dane tylko wtedy, gdy nie można ich odróżnić od prawdziwych danych. Wysyłanie fałszywych danych jest nieetyczne. Wysyłanie haseł użytkowników osobom trzecim jest zaniedbaniem. Zgadzamy się więc, że trzeba coś zrobić z tą sytuacją. Komentuję brak krytycznego etycznego myślenia w rozwiązaniu tego problemu.
Joseph Kern
13
Nie zgodziłem się z „Twoim zadaniem jest dopilnowanie, aby te rekordy były dostępne, dokładne i bezpieczne”. Masz obowiązek dbać o bezpieczeństwo systemu; nieuzasadnione żądania (takie jak zapisywanie i udostępnianie haseł w postaci zwykłego tekstu) nie powinny być wykonywane, jeśli naruszają system. Przechowywanie, nagrywanie i udostępnianie haseł w postaci zwykłego tekstu stanowi poważne naruszenie zaufania dla użytkowników. Jest to duże zagrożenie bezpieczeństwa dla czerwonej flagi. Audyt bezpieczeństwa można i należy wykonać bez ujawniania haseł jawnych / kluczy prywatnych ssh; i powinieneś powiadomić wyższe osoby o tym i rozwiązać problem.
dr jimbob
11
dr jimbob, czuję, że jesteśmy dwoma statkami przepływającymi w nocy. Zgadzam się ze wszystkim, co mówisz; Nie mogłem wystarczająco jasno wyrazić tych punktów. Poprawię moją wstępną odpowiedź powyżej. Zbyt mocno polegałem na kontekście wątku.
Joseph Kern
4
@Joseph Kern, nie czytałem OP w taki sam sposób jak ty. Przeczytałem to bardziej, jak mogę wygenerować sześć miesięcy danych, których nigdy nie przechowaliśmy. Oczywiście zgadzam się, że większość sposobów próby spełnienia tego wymogu byłaby oszukańcza. Gdybym jednak miał wziąć bazę danych haseł i wyodrębnić znaczniki czasu z ostatnich 6 miesięcy, mógłbym stworzyć rejestr zachowanych zmian. Uważam te „fałszywe” dane, ponieważ niektóre dane zostały utracone.
user179700,
242

Nie możesz dać mu tego, czego chcesz, a próby „sfałszowania” prawdopodobnie powrócą, by ugryźć cię w tyłek (być może w legalny sposób). Musisz albo odwołać się do łańcucha dowodzenia (możliwe, że ten audytor jest nieuczciwy, chociaż audyty bezpieczeństwa są notorycznie idiotyczne - zapytaj mnie o audytora, który chciał mieć dostęp do AS / 400 przez SMB), albo do diabła spoza tych uciążliwych wymagań.

Nie są nawet dobrym zabezpieczeniem - lista haseł w postaci zwykłego tekstu jest niezwykle niebezpieczną rzeczą, jaką można kiedykolwiek stworzyć, niezależnie od metod użytych do ich zabezpieczenia, i założę się, że ten facet będzie chciał, aby były wysyłane pocztą elektroniczną . (Jestem pewien, że już o tym wiesz, muszę tylko trochę odpowiedzieć).

W przypadku gówna i chichotów zapytaj go bezpośrednio, jak wykonać swoje wymagania - przyznaj, że nie wiesz jak i chciałbyś wykorzystać jego doświadczenie. Kiedy już cię nie będzie, odpowiedzią na jego „Mam ponad 10-letnie doświadczenie w audytach bezpieczeństwa” byłoby „nie, masz 5 minut doświadczenia powtarzanego setki razy”.

womble
źródło
8
... audytor, który chciał uzyskać dostęp do AS / 400 przez SMB? ... dlaczego?
Bart Silverstrim
11
Często powtarzany problem z firmami zajmującymi się zgodnością z PCI spiera się o całkowite filtrowanie ICMP i tylko blokowanie echa. ICMP istnieje z bardzo dobrego powodu, ale jest prawie niemożliwe, aby wyjaśnić to licznym kontrolerom „pracującym ze skryptu”.
Twirrim,
48
@BartSilverstrim Prawdopodobnie przypadek audytu listy kontrolnej. Jak kiedyś powiedział mi audytor - dlaczego audytor przeszedł przez ulicę? Ponieważ tak zrobili w zeszłym roku.
Scott Pack
10
Wiem, że to wykonalne, prawdziwy „WTF?” był fakt, że audytor uznał, że maszyna jest podatna na ataki za pośrednictwem SMB, dopóki nie będzie mógł połączyć się za pośrednictwem SMB ...
womble
14
„Masz 5 minut doświadczenia powtarzanego setki razy” - ooooch, to idzie prosto do mojej kolekcji cytatów! : D
Tasos Papastylianou
183

Żaden audytor nie powinien Cię zawieść, jeśli znajdzie problem historyczny, który teraz rozwiązałeś. W rzeczywistości jest to dowód dobrego zachowania. Mając to na uwadze, sugeruję dwie rzeczy:

a) Nie kłam ani nie wymyślaj żadnych rzeczy. b) Przeczytaj swoje zasady.

Kluczowe stwierdzenie jest dla mnie następujące:

Wszyscy klienci [ogólnego dostawcy przetwarzania kart kredytowych] muszą przestrzegać naszych nowych zasad bezpieczeństwa

Założę się, że w tych zasadach znajduje się stwierdzenie, że haseł nie można zapisać i nie można przekazać nikomu poza użytkownikiem. Jeśli tak, zastosuj te zasady do jego wniosków. Sugeruję postępowanie w ten sposób:

  • Lista bieżących nazw użytkowników i haseł tekstowych dla wszystkich kont użytkowników na wszystkich serwerach

Pokaż mu listę nazw użytkowników, ale nie pozwól, aby ich zabrano. Wyjaśnij, że podawanie haseł w postaci zwykłego tekstu jest a) niemożliwe, ponieważ jest jednokierunkowe, oraz b) przeciwko polityce, przeciwko której cię kontroluje, więc nie będziesz przestrzegać.

  • Lista wszystkich zmian haseł z ostatnich sześciu miesięcy, również w postaci zwykłego tekstu

Wyjaśnij, że nie było to historycznie dostępne. Podaj mu listę ostatnich czasów zmiany hasła, aby pokazać, że teraz to się robi. Wyjaśnij, jak wyżej, że hasła nie zostaną podane.

  • Lista „każdego pliku dodanego do serwera ze zdalnych urządzeń” w ciągu ostatnich sześciu miesięcy

Wyjaśnij, co jest i nie jest rejestrowane. Podaj, co możesz. Nie podawaj żadnych informacji poufnych i wyjaśnij według zasad, dlaczego nie. Zapytaj, czy twoje logowanie wymaga poprawy.

  • Klucze publiczne i prywatne dowolnych kluczy SSH

Spójrz na swoje zasady zarządzania kluczami. Powinien stwierdzać, że klucze prywatne nie są wyjmowane z kontenera i mają ścisłe warunki dostępu. Zastosuj tę zasadę i nie zezwalaj na dostęp. Klucze publiczne są na szczęście publiczne i można je udostępniać.

  • E-mail wysyłany do niego za każdym razem, gdy użytkownik zmienia swoje hasło, zawierający zwykły tekst

Po prostu powiedz nie. Jeśli masz lokalny bezpieczny serwer dziennika, pozwól mu zobaczyć, że jest on logowany na miejscu.

Zasadniczo i przykro mi to mówić, ale musisz grać w hardball z tym facetem. Dokładnie przestrzegaj swoich zasad, nie odstępuj. Nie kłam. A jeśli zawiedzie cię za coś, co nie jest objęte polisą, złóż skargę do jego seniorów w firmie, która go wysłała. Zbierz papierowy ślad tego wszystkiego, aby udowodnić, że byłeś rozsądny. Jeśli złamiesz swoją polisę, jesteś na jego łasce. Jeśli podążysz za nimi do listu, zostanie on zwolniony.

Jimmy
źródło
28
Zgadzam się, to jest jak jeden z tych szalonych reality show, w których serwisant zjeżdża samochodem z klifu lub czegoś równie niewiarygodnego. Powiedziałbym OP, przygotuj swoje CV i wyjdź, jeśli powyższe działania nie zadziałają. Jest to oczywiście niedorzeczna i okropna sytuacja.
Jonathan Watmough
5
Żałuję, że nie mogłem głosować więcej niż +1 000 000. Podczas gdy większość odpowiedzi tutaj mówi prawie to samo, ta jest bardziej szczegółowa. Świetna robota, @ Jimmy!
Iszi
141

Tak, audytor jest idiotą. Jednak, jak wiecie, czasami idioci są umieszczani na pozycjach władzy. To jest jeden z tych przypadków.

Informacje poprosił ma zerowy wpływ na aktualną bezpieczeństwa systemu. Wyjaśnij audytorowi, że używasz LDAP do uwierzytelniania i że hasła są przechowywane przy użyciu skrótu jednokierunkowego. Oprócz wykonania skryptu brute-force przeciwko skrótom haseł (co może zająć tygodnie (lub lata), nie będziesz w stanie podać haseł.

Podobnie zdalne pliki - chciałbym usłyszeć, na przykład, jak on myśli, że powinieneś być w stanie odróżnić pliki utworzone bezpośrednio na serwerze od pliku, który jest SCPedowany na serwer.

Jak powiedział @womble, nie udawaj niczego. To nic nie da. Porzuć ten audyt i ukaraj innego brokera lub znajdź sposób, by przekonać tego „profesjonalistę”, że jego ser zsunął się z jego krakersa.

EEAA
źródło
61
+1 za „... że jego ser ześlizgnął się z jego krakersa”. To dla mnie nowy!
Collin Allen,
2
„Informacje, o które prosił, nie mają wpływu na bieżące bezpieczeństwo systemu.” <- Powiedziałbym, że ma to duży wpływ na bezpieczeństwo. : P
Ishpeck
2
(which could take weeks (or years)Zapomniałem gdzie, ale znalazłem tę aplikację online, która oszacowałaby, ile czasu zajmie brutalne użycie hasła. Nie wiem, jakie były algorytmy brutalnej siły lub algorytmy haszujące, ale dla większości moich haseł oszacowano na około 17 trylionów lat ... :)
Carson Myers,
60
@Carson: aplikacja online, którą oszacowałem siłę hasła, miała inne (i być może dokładniejsze) podejście: do każdego hasła zwracało się: „Twoje hasło jest niepewne - wpisałeś je na niezaufanej stronie internetowej!”
Jason Owen
3
@Jason, och nie, masz rację!
Carson Myers,
90

Poproś swojego „audytora bezpieczeństwa” o wskazanie dowolnego tekstu z dowolnego z tych dokumentów, który spełnia jego wymagania, i obserwuj, jak stara się wymyślić wymówkę, a ostatecznie usprawiedliwia się, że nigdy więcej nie zostanie usłyszany.

Ablackhat
źródło
11
Zgodzić się. Dlaczego? ważne pytanie to okoliczność taka jak ta. Audytor powinien być w stanie dostarczyć dokumentację uzasadnienia biznesowego / operacyjnego dla swoich wniosków. Możesz mu powiedzieć: „Postaw się na mojej pozycji. Tego rodzaju prośby oczekiwałbym od kogoś, kto próbowałby wprowadzić wtargnięcie.”.
jl.
75

WTF! Przepraszam, ale to moja jedyna reakcja na to. Nie słyszałem o żadnych wymaganiach dotyczących audytu, które wymagałyby hasła w postaci zwykłego tekstu, nie mówiąc już o podawaniu im haseł w miarę ich zmiany.

Po pierwsze, poproś go, aby pokazał ci wymaganie, które to zapewnisz.

Po drugie, jeśli dotyczy to PCI (które wszyscy zakładamy, ponieważ jest to pytanie dotyczące systemu płatności), przejdź tutaj: https://www.pcisecuritystandards.org/approved_companies_providers/qsa_companies.php i uzyskaj nowego audytora.

Po trzecie, postępuj zgodnie z tym, co powiedzieli powyżej, skontaktuj się z kierownictwem i poproś o kontakt z firmą QSA, z którą współpracuje. Następnie natychmiast uzyskaj kolejnego audytora.

Audytorzy kontrolują stany, standardy, procesy itp. Systemu. Nie muszą oni posiadać żadnych informacji zapewniających im dostęp do systemów.

Jeśli potrzebujesz rekomendowanych audytorów lub alternatywnych kolektorów ściśle współpracujących z audytorami, skontaktuj się ze mną, a chętnie udzielę referencji.

Powodzenia! Zaufaj jelitom, jeśli coś wydaje się nie tak, prawdopodobnie tak jest.

dmz006
źródło
67

Nie ma uzasadnionego powodu, aby znał hasło i miał dostęp do kluczy prywatnych. To, o co prosił, dałoby mu możliwość podszywania się pod któregokolwiek z twoich klientów w dowolnym momencie i spuszczania tyle pieniędzy, ile chce, bez możliwości wykrycia ich jako możliwej nieuczciwej transakcji. Będzie to dokładnie ten rodzaj zagrożeń bezpieczeństwa, dla których powinien cię skontrolować.

Franci Penov
źródło
2
No dalej, z pewnością o to chodzi w audycie, inżynierii społecznej? 21 głosów za to?!?
ozz
16
Audyt składa się z oficjalnej kontroli procedur bezpieczeństwa i ich zgodności z ustalonymi zasadami. To tak, jakby inspektor przeciwpożarowy przyszedł sprawdzić, czy masz wszystkie niezbędne gaśnice, a drzwi i okna lub restaurację można otworzyć zgodnie z kodeksem przeciwpożarowym. Nie spodziewałbyś się, że inspektor przeciwpożarowy spróbuje podpalić restaurację, prawda?
Franci Penov
8
To brzmi bardziej jak konfigurowanie urządzeń zapalających w restauracji i dawanie im kontrolerów i wyzwalanie ich na bieżąco.
XTL
62

Powiadom kierownictwo, że audytor zażądał naruszenia zasad bezpieczeństwa oraz że żądanie jest niezgodne z prawem. Zaproponuj, że mogą chcieć zrzucić obecną firmę audytorską i znaleźć legalną. Zadzwoń na policję i zwróć się do audytora z prośbą o nielegalne informacje (w Wielkiej Brytanii). Następnie zadzwoń do PCI i przekaż audytorowi żądanie.

Ta prośba jest podobna do prośby o zabicie kogoś przypadkowo i przekazanie ciała. Zrobiłbyś to? czy wezwałbyś gliniarzy i oddał ich?

oii
źródło
8
Dlaczego nie powiedzieć, że nie możesz podać informacji, ponieważ naruszają one twoją politykę bezpieczeństwa. Dostać zaznaczenie w polu i zdać audyt?
user619714,
8
Chociaż analogia morderstwa może być nieco za daleko, masz rację, że ten „audytor” łamie prawo i należy zgłosić to swojemu szefowi, policji i PCI
Rory
60

Odpowiedz na pozew . Jeśli audytor prosi o hasła w postaci zwykłego tekstu (daj spokój, nie jest to trudne do brutalnego użycia lub złamania słabych skrótów haseł), prawdopodobnie skłamał ci o swoich poświadczeniach.

postmodernistyczny
źródło
9
Uważałbym to również za błąd w sztuce, w zależności od lokalizacji prawdopodobnie istnieją również przepisy wokół tego.
AviD
54

Tylko wskazówka dotycząca sposobu sformułowania odpowiedzi:

Niestety nie możemy dostarczyć ci niektórych wymaganych informacji, głównie haseł w postaci zwykłego tekstu, historii haseł, kluczy SSH i zdalnych dzienników plików. Nie tylko są to technicznie niemożliwe ...

Przeformułuję to, aby uniknąć dyskusji na temat technicznej wykonalności. Czytając okropny początkową wiadomość wysłana przez audytora, wygląda na to, to jest ktoś, kto może odebrać na szczegóły, które nie są związane z głównym problemem i mógłby argumentować, że mógł zapisywać hasła, loginy dziennika itp Więc albo powiedzieć :

... Ze względu na nasze surowe zasady bezpieczeństwa, nigdy nie logowaliśmy haseł w postaci zwykłego tekstu. Dlatego podanie tych danych będzie technicznie niemożliwe.

Lub

... nie tylko znacznie obniżilibyśmy nasz wewnętrzny poziom bezpieczeństwa, spełniając twoją prośbę ...

Powodzenia i informuj nas, jak to się kończy!

użytkownik60129
źródło
37

Oto ryzyko, które pozwoliłoby mi kontynuować natłok użytkowników o wysokiej reputacji.

Rozumiem niejasno, dlaczego chce haseł w postaci jawnego tekstu, a to ocenia jakość używanych haseł. To gówniany sposób, większość audytorów, których znam, zaakceptuje zaszyfrowane skróty i uruchomi crackera, aby zobaczyć, jakie nisko wiszące owoce mogą wyciągnąć. Wszyscy przejdą politykę złożoności haseł i sprawdzą, jakie zabezpieczenia istnieją, aby to egzekwować.

Ale musisz podać kilka haseł. Sugeruję (choć myślę, że już to zrobiłeś), pytając go, jaki jest cel dostarczania hasła w postaci zwykłego tekstu. Powiedział, że ma to na celu sprawdzenie twojej zgodności z polityką bezpieczeństwa, więc poproś go, aby ci to zapewnił. Zapytaj go, czy zaakceptuje fakt, że system złożoności haseł jest wystarczająco solidny, aby uniemożliwić użytkownikom ustawianie hasła P@55w0rdi istnienie go przez 6 miesięcy.

Jeśli to popchnie, być może będziesz musiał przyznać, że nie możesz podać haseł w postaci jawnego tekstu, ponieważ nie jesteś skonfigurowany do ich zapisywania (co jest poważnym błędem w zabezpieczeniach), ale możesz podjąć takie starania w przyszłości, jeśli będzie tego wymagał bezpośrednia weryfikacja działania zasad haseł. A jeśli chce to udowodnić, z przyjemnością dostarczysz mu zaszyfrowaną bazę haseł (lub ty! Pokaż chętnie! Pomaga!), Aby uruchomić przełamywanie zabezpieczeń.

„Zdalne pliki” można prawdopodobnie wyciągnąć z dzienników SSH dla sesji SFTP, o czym, jak podejrzewam, on mówi. Jeśli nie masz syslogowania na 6 miesięcy, będzie to trudne do wyprodukowania. Czy używanie wget do pobierania pliku ze zdalnego serwera podczas logowania przez SSH jest uważane za „zdalny transfer plików”? Czy PUT HTTP? Pliki utworzone z tekstu schowka w oknie terminala użytkownika zdalnego? Jeśli już, możesz prześladować go tymi przypadkowymi sprawami, aby lepiej zrozumieć jego obawy w tej dziedzinie i być może zaszczepić poczucie „wiem o tym więcej niż ty”, a także o jakich konkretnych technologiach on myśli. Następnie wyodrębnij z dzienników i zarchiwizowanych dzienników kopie zapasowe.

Nie mam nic na kluczach SSH. Jedyne, o czym myślę, to to, że z jakiegoś powodu sprawdza klucze bez hasła, a może siłę kryptografii. W przeciwnym razie nic nie mam.

Jeśli chodzi o zdobycie tych kluczy, odzyskanie przynajmniej kluczy publicznych jest dość łatwe; po prostu przeszukuj ich foldery .ssh. Zdobycie kluczy prywatnych będzie wiązało się z włożeniem kapelusza BOFH i prześladowaniem użytkowników w stylu: „Wyślij mi swoje publiczne i prywatne pary kluczy SSH. Wszystko, czego nie dostanę, zostanie usunięte z serwerów za 13 dni” i jeśli ktoś skrzecze (chciałbym) skierować ich na audyt bezpieczeństwa. Skrypty są tu twoim przyjacielem. Przynajmniej spowoduje to, że kilka kluczy bez hasła będzie otrzymywać hasła.

Jeśli nadal nalega na „zwykłe hasła w wiadomościach e-mail”, przynajmniej poddaj te wiadomości e-mail szyfrowaniu GPG / PGP za pomocą własnego klucza. Każdy audytor wart swojej soli powinien być w stanie poradzić sobie z czymś takim. W ten sposób, jeśli hasła wyciekną, to dlatego, że je wypuści, a nie ty. Kolejny lakmusowy test kompetencji.


W tej kwestii muszę się zgodzić zarówno z Zypherem, jak i Womble. Niebezpieczny idiota o niebezpiecznych konsekwencjach.

sysadmin1138
źródło
1
Brak dowodów na idiotyzm. Brak dowodów na to, że PO formalnie powiedział, że nie, nie mogę dostarczyć tych informacji. Z pewnością jeśli podasz te informacje, audyt nie powiedzie się.
user619714,
2
@Ind Dlatego właśnie inżynier społeczny audytora bezpieczeństwa, aby wydobyć to, czego tak naprawdę chce, jest tak ważny w tym momencie.
sysadmin1138
9
Nie zgadzam się z dawaniem czegokolwiek tej wyraźnie niezabezpieczonej osobie.
Kzqai
@Tchalvak: brak dowodów na „brak bezpieczeństwa” lub „idiota”.
user619714,
1
Nie jestem użytkownikiem o wysokich przedstawicielach, ale osobiście uważam, że twoja odpowiedź brzmi: podaj moje hasło stronie trzeciej, a zobaczę, czy nie będę mógł pozwać. Jako osoba z branży IT zgodzę się z wymienionymi użytkownikami o wysokich przedstawicielach i powiem, że nie należy przechowywać hasła. Użytkownik ufa Twojemu systemowi, podając swoje hasło stronie trzeciej, pogwałcenie tego zaufania jest bardziej ekstremalne niż przekazywanie komuś wszystkich jego informacji. Jako profesjonalista nigdy bym tego nie zrobił.
jmoreno,
31

Prawdopodobnie testuje cię, aby sprawdzić, czy jesteś zagrożeniem bezpieczeństwa. Jeśli podasz mu te dane, prawdopodobnie zostaniesz natychmiast zwolniony. Zanieś to swojemu bezpośredniemu szefowi i podaj złotówkę. Poinformuj swojego szefa, że ​​zaangażujesz odpowiednie władze, jeśli ten tyłek znów zbliży się do ciebie.

Za to płacą szefowie.

Mam wizję kawałka papieru pozostawionego z tyłu taksówki, który zawiera listę haseł, kluczy SSH i nazw użytkowników! Hhhmmm! Widzę teraz nagłówki gazet!

Aktualizacja

W odpowiedzi na poniższe 2 komentarze sądzę, że oboje macie dobre uwagi. Nie ma sposobu, aby naprawdę dowiedzieć się prawdy, a fakt, że pytanie zostało zadane, pokazuje trochę naiwności ze strony plakatu, a także odwagę, aby stawić czoła niekorzystnej sytuacji z potencjalnymi konsekwencjami zawodowymi, w których inni utknęliby w głowie piasek i uciekaj.

Doszedłem do wniosku, że warto, że jest to bardzo interesująca debata, która prawdopodobnie spowodowała, że ​​większość czytelników zastanawiała się, co zrobiliby w tej sytuacji, niezależnie od tego, czy biegły rewident lub polityka audytorów są kompetentni. Większość ludzi stanie w obliczu tego rodzaju dylematu w jakiejś formie lub formie w życiu zawodowym, a tak naprawdę nie jest to rodzaj odpowiedzialności, którą należy przełożyć na ramiona jednej osoby. Jest to decyzja biznesowa, a nie indywidualna decyzja, jak sobie z tym poradzić.

jamesw
źródło
1
Dziwi mnie, że nie ma wyższych głosów. Po prostu nie wierzę, że audytor jest „głupi”. Jak powiedzieli inni w komentarzach, ale niewiele jako odpowiedzi, to cuchnie inżynierią społeczną. A kiedy pierwszą rzeczą, którą robi OP, jest tu post i sugeruje, że może sfałszować dane, a następnie wysyła link do audytora, facet musi się śmiać z tyłka i dalej pytać w oparciu o to. PEWNO?!?!
ozz
3
Biorąc pod uwagę, że w wyniku tego stracił swoją firmę z działalności operacyjnej, nie wydaje się to być bardzo dobrą techniką audytu, gdyby tak było. Przynajmniej spodziewałem się, że „oczyści się”, kiedy stanie się oczywiste, że tracą firmę i wyjaśnią, że była to część stosowanego podejścia do audytu, zamiast dalej nalegać. Rozumiem, że jeśli wprowadzisz „etycznych hakerów”, możesz spodziewać się takiego podejścia „inżynierii społecznej”, ale nie do audytu (który ma na celu sprawdzenie, czy wszystkie odpowiednie kontrole i procedury są na miejscu)
Kris C
1
Biorąc pod uwagę dalsze e-maile od audytora, nie sądzę, że to prawda. the responders all need to get their facts right. I have been in this industry longer than anyone on that site- bezcenne
SLaks
29

Oczywiście jest tu wiele dobrych informacji, ale pozwólcie, że dodam mój 2c, ponieważ ktoś, kto pisze oprogramowanie sprzedawane na całym świecie przez mojego pracodawcę dużym firmom, przede wszystkim w celu pomocy ludziom w przestrzeganiu zasad bezpieczeństwa zarządzania kontami i przeprowadzania audytów; za co to jest warte.

Po pierwsze, brzmi to bardzo podejrzanie, jak zauważyliście (i inni). Albo audytor postępuje zgodnie z procedurą, której nie rozumie (możliwe), lub testuje cię pod kątem podatności, więc inżynieria społeczna (mało prawdopodobne po kolejnych wymianach), lub oszustwo socjotechniczne, które Ty (również możliwe), lub po prostu idiota (prawdopodobnie najprawdopodobniej). Jeśli chodzi o porady, proponuję, abyś porozmawiał ze swoim kierownictwem i / lub znalazł nową firmę audytorską i / lub zgłosił ją do odpowiedniej agencji nadzorczej.

Jeśli chodzi o notatki, kilka rzeczy:

  • Jest to możliwe (w określonych warunkach) dostarczenie informacji Poprosił, jeśli system jest ustawiony na to pozwolić. Nie jest to jednak w żadnym wypadku „najlepsza praktyka” w zakresie bezpieczeństwa i nie byłaby wcale powszechna.
  • Zasadniczo audyty dotyczą sprawdzania poprawności praktyk, a nie sprawdzania rzeczywistych bezpiecznych informacji. Byłbym bardzo podejrzliwy wobec każdego, kto prosi o rzeczywiste hasła lub certyfikaty w postaci zwykłego tekstu, zamiast metod stosowanych w celu zapewnienia, że ​​są one „dobre” i odpowiednio zabezpieczone.

Mam nadzieję, że to pomaga, nawet jeśli w większości przypomina to, co doradzali inni ludzie. Podobnie jak ty, nie zamierzam wymieniać nazwy mojej firmy, w moim przypadku, ponieważ nie mówię w ich imieniu (konto osobiste / opinie i wszystko inne); przeprasza, jeśli szkodzi to wiarygodności, ale niech tak będzie. Powodzenia.

Nacięcie
źródło
24

To powinno i powinno być zaksięgowane w IT Security - Stack Exchange .

Nie jestem ekspertem w zakresie audytu bezpieczeństwa, ale pierwszą rzeczą, której dowiedziałem się o polityce bezpieczeństwa, jest "NEVER GIVE PASSWORDS AWAY". Ten facet może pracuje w tym biznesie od 10 lat, ale jak powiedział Womble"no, you have 5 minutes of experience repeated hundreds of times"

Od jakiegoś czasu pracuję z pracownikami działu bankowości i kiedy zobaczyłem, jak piszesz, pokazałem im to ... Bardzo się śmiali. Powiedzieli mi, że facet wygląda jak oszustwo. Kiedyś zajmowali się tego rodzaju sprawami dla bezpieczeństwa klienta banku.

Pytanie o jasne hasło, klucze SSH, logi haseł, jest oczywiście poważnym wykroczeniem zawodowym. Ten facet jest niebezpieczny.

Mam nadzieję, że teraz wszystko jest w porządku i nie masz żadnych problemów z faktem, że mogli przechowywać z nimi Twoją poprzednią transakcję.

Anarko_Bizounours
źródło
19

Jeśli możesz podać jakiekolwiek informacje (z możliwym wyjątkiem kluczy publicznych) wymagane w punktach 1, 2, 4 i 5, należy spodziewać się niepowodzenia audytu.

Formalnie odpowiedz na punkty 1,2 i 5, mówiąc, że nie możesz przestrzegać, ponieważ twoja polityka bezpieczeństwa wymaga, abyś nie zachowywał haseł tekstowych i że hasła są szyfrowane przy użyciu nieodwracalnego algorytmu. Do punktu 4 ponownie nie możesz dostarczyć kluczy prywatnych, ponieważ naruszałoby to twoją politykę bezpieczeństwa.

Co do punktu 3. Jeśli posiadasz dane, podaj je. Jeśli nie, ponieważ nie musiałeś tego odbierać, powiedz to i zademonstruj, w jaki sposób (obecnie dążysz) do spełnienia nowego wymogu.

użytkownik619714
źródło
18

Audytor bezpieczeństwa naszych serwerów zażądał w ciągu dwóch tygodni :

...

Jeśli nie przejdziemy audytu bezpieczeństwa, utracimy dostęp do naszej platformy przetwarzania kart (krytyczna część naszego systemu) i przeniesienie się gdzie indziej zajmie dobre dwa tygodnie . Jak się pieprzę?

Wygląda na to, że odpowiedziałeś na swoje pytanie. (Zobacz pogrubiony tekst, aby uzyskać wskazówki).

Przychodzi mi na myśl tylko jedno rozwiązanie: zachęć wszystkich do napisania ostatniego i aktualnego hasła, a następnie natychmiast zmień je na nowe. Jeśli chce przetestować jakość hasła (i jakość przejścia od hasła do hasła, np. Aby upewnić się, że nikt nie używa rfvujn125, a następnie rfvujn126 jako następnego hasła), ta lista starych haseł powinna wystarczyć.

Jeśli nie zostanie to uznane za akceptowalne, podejrzewam, że facet jest członkiem Anonimowego / LulzSec ... w którym momencie powinieneś zapytać go, jaki jest jego uchwyt i powiedzieć mu, żeby przestał być takim zarośla!

Michael
źródło
21
Ludzie nie powinni być proszeni o podanie własnych haseł nikomu.
Chris Farmer
Rozwijaj dobre funkcje zmiany hasła zamiast rejestrować aktualne hasła użytkowników i wymuszać zmianę. Np. Na ekranie zmiany hasła użytkownik wpisuje zarówno stare_pasowanie, jak i nowe_pasowanie. Opracuj serię automatycznych kontroli; np. że nie więcej niż dwa znaki w old_pass znajdują się w new_pass w tej samej lokalizacji; lub że w dowolnej kolejności nie można użyć więcej niż 4 znaków w dowolnym miejscu. Ponadto sprawdź, czy new_pass nie będzie działał jak stary pw. Tak, można uzyskać szereg niezabezpieczonych haseł, takich jak rfvujn125 / jgwoei125 / rfvujn126, ale powinno to być dopuszczalne.
dr jimbob
17

Jak powiedział oli: dana osoba próbuje zmusić cię do złamania prawa (dyrektywy o ochronie danych / unijne dyrektywy o poufności) / przepisów wewnętrznych / standardów PCI. Nie tylko powinieneś powiadomić kierownictwo (jak już myślałem, ale także wezwać policję).

Jeśli dana osoba posiada akredytację / certyfikat, np. CISA (Certified Information Systems Auditor) lub brytyjski odpowiednik amerykańskiego CPA (oznaczenie publicznego księgowego), możesz również poinformować o tym organizacje akredytujące. Ta osoba nie tylko usiłuje zmusić cię do złamania prawa, ale jest również wyjątkowo niekompetentnym „audytem” i prawdopodobnie jest sprzeczna z każdym standardem etycznej kontroli, zgodnie z którym akredytowani audytorzy muszą przestrzegać pod rygorem utraty akredytacji.

Ponadto, jeśli dana osoba jest członkiem większej firmy, wspomniane organizacje audytorskie często wymagają pewnego rodzaju działu kontroli jakości, który nadzoruje jakość audytów i ich składanie oraz bada skargi. Więc możesz również spróbować złożyć skargę do danej firmy audytorskiej.

reiniero
źródło
16

Wciąż się uczę i pierwszą rzeczą, której nauczyłem się podczas konfigurowania serwerów, jest to, że jeśli umożliwisz rejestrowanie haseł w postaci jawnego tekstu, już narazisz się na gigantyczne naruszenie. Żadne hasło nie powinno być znane, z wyjątkiem użytkownika, który go stosuje.

Jeśli ten facet jest poważnym audytorem, nie powinien cię o to pytać. Dla mnie brzmi jak oszust . Sprawdziłbym narząd regulujący, bo ten facet brzmi jak kompletny idiota.

Aktualizacja

Poczekaj, uważa, że ​​powinieneś użyć szyfrowania symetrycznego tylko w celu przesłania hasła, ale następnie przechowuj je jako zwykły tekst w bazie danych lub zapewnij sposób ich odszyfrowania. Zasadniczo, po wszystkich anonimowych atakach na bazy danych, w których pokazywały hasła użytkownika w postaci zwykłego tekstu, STILL uważa, że ​​jest to dobry sposób na „zabezpieczenie” środowiska.

To dinozaur, który utknął w latach 60. XX wieku ...

Lucas Kauffman
źródło
10
„To dinozaur utknął w latach 90-tych” - tak sądzę w latach 70-tych. Dokładnie 1870 roku. Niech Bóg błogosławi Auguste Kerckhoffs. :)
Martin Sojka
5
lata 90? Uważam, że w latach 70-tych unix użył hashowanych i solonych haseł ...
Rory
7
Uwielbiam fakt, że Lucas zmienił go teraz na lata 60. :)
rickyduck
1
Czy jakikolwiek system komputerowy (oprócz samouczków BASIC dla domowych mikro) kiedykolwiek miał poważne hasła i przechowywał je w postaci zwykłego tekstu?
XTL
może bardzo dawno temu ... nie mogę wskazać żadnych samouczków. Ale ta strona nie jest specjalnie przystosowana do systemów domowych, sugeruję zajrzeć na superuser.com. Dlaczego, do cholery, miałbyś przechowywać dane karty kredytowej / hasła w postaci zwykłego tekstu? Działają tylko źle zaprojektowane systemy.
Lucas Kauffman
13
  • Lista bieżących nazw użytkowników i haseł tekstowych dla wszystkich kont użytkowników na wszystkich serwerach
    • Obecne nazwy użytkowników MOGĄ być objęte zakresem „możemy to wydać” i powinny być objęte zakresem „możemy to pokazać, ale nie możesz zabrać go poza witrynę”.
    • Hasła w postaci zwykłego tekstu nie powinny istnieć dłużej, niż zajmuje je jednokierunkowe haszowanie i na pewno nigdy nie powinny pozostawiać pamięci (nawet nie przechodząc przez przewody), więc ich istnienie w trwałym magazynie jest nie-nie.
  • Lista wszystkich zmian haseł z ostatnich sześciu miesięcy, również w postaci zwykłego tekstu
    • Zobacz „stałe przechowywanie jest nie-nie”.
  • Lista „każdego pliku dodanego do serwera ze zdalnych urządzeń” w ciągu ostatnich sześciu miesięcy
    • Może to mieć na celu upewnienie się, że rejestrujesz transfery plików do / z serwerów przetwarzania płatności, jeśli masz logi, przekazywanie ich powinno być OK. Jeśli nie masz dzienników, sprawdź, co mówią odpowiednie zasady bezpieczeństwa dotyczące rejestrowania tych informacji.
  • Klucze publiczne i prywatne dowolnych kluczy SSH
    • Być może próba sprawdzenia, czy „klucze SSH muszą mieć hasło”, znajduje się w zasadach i jest realizowana. Chcesz hasła do wszystkich kluczy prywatnych.
  • E-mail wysyłany do niego za każdym razem, gdy użytkownik zmienia swoje hasło, zawierający zwykły tekst
    • Jest to zdecydowanie nie-nie.

Odpowiem na coś podobnego do moich odpowiedzi, w razie potrzeby popartych zgodnością PCI, zgodnością SOX_ i wewnętrznymi politykami bezpieczeństwa.

Vatine
źródło
11

Faceci proszą o cuchnie do niebios i zgodzę się, że wszelka korespondencja odtąd powinna przechodzić przez CTO. Albo próbuje sprawić, że staniesz się facetem upadłym za to, że nie będziesz w stanie spełnić wspomnianej prośby, za udostępnienie poufnych informacji, lub jest rażąco niekompetentny. Mam nadzieję, że Twój CTO / manager zrobi to podwójnie, biorąc pod uwagę prośbę tego faceta, a pozytywne działania zostaną wykonane, a jeśli będą się opierać na działaniach tego faceta ... cóż, dobrzy administratorzy sys są zawsze poszukiwani w ogłoszeniach, ponieważ ti brzmi, jakby czas zacząć szukać jakiegoś miejsca, jeśli tak się stanie.

kanadyjski
źródło
11

Powiedziałbym mu, że zbudowanie infrastruktury do łamania haseł wymaga czasu, wysiłku i pieniędzy, ale ponieważ używasz silnego haszowania, takiego jak SHA256 lub cokolwiek innego, podanie haseł może nie być możliwe w ciągu 2 tygodni. Ponadto powiedziałbym, że skontaktowałem się z działem prawnym w celu potwierdzenia, czy udostępnianie tych danych innym osobom jest zgodne z prawem. Warto również wspomnieć o PCI DSS. :)

Moi koledzy są zszokowani czytaniem tego postu.

Istvan
źródło
10

Byłbym silnie kuszony, aby podać mu listę nazw użytkowników / haseł / kluczy prywatnych do kont typu honeypot, a jeśli kiedykolwiek przetestuje logowania do tych kont, zrób mu nieautoryzowany dostęp do systemu komputerowego. Chociaż niestety to prawdopodobnie naraża cię na przynajmniej pewien rodzaj cywilnego czynu niedozwolonego za złożenie fałszywego oświadczenia.

benmmurphy
źródło
9

Po prostu odmów ujawnienia informacji, stwierdzając, że nie możesz przekazać haseł, ponieważ nie masz do nich dostępu. Ponieważ sam jestem audytorem, musi reprezentować jakąś instytucję. Takie instytucje zazwyczaj publikują wytyczne dotyczące takiego audytu. Sprawdź, czy takie żądanie jest zgodne z tymi wytycznymi. Możesz nawet narzekać na takie stowarzyszenia. Wyjaśnij także audytorowi, że w przypadku jakichkolwiek wykroczeń wina może wrócić do niego (audytora), ponieważ ma on wszystkie hasła.

Natwar
źródło
8

Powiedziałbym, że nie ma sposobu na przekazanie mu ŻADNEJ żądanej informacji.

  • Nazwy użytkowników zapewniają mu wgląd w konta, które mają dostęp do twoich systemów, co stanowi zagrożenie bezpieczeństwa
  • Historia haseł zapewniłaby wgląd w stosowane wzorce haseł, dając mu możliwą drogę ataku poprzez odgadnięcie następnego hasła w łańcuchu
  • Pliki przesyłane do systemu mogą zawierać poufne informacje, które mogłyby zostać wykorzystane w ataku na twoje systemy, a także dać im wgląd w strukturę systemu plików
  • Klucze publiczne i prywatne, po co, do diabła, miałyby je mieć, gdybyś rozdał je komuś innemu niż zamierzony użytkownik?
  • Wiadomość e-mail wysyłana za każdym razem, gdy użytkownik zmienia hasło, daje mu aktualne hasła do każdego konta użytkownika.

Ten facet ciągnie twojego plonkera! Musisz skontaktować się ze swoim kierownikiem lub innym audytorem w firmie, aby potwierdzić jego oburzające wymagania. I odejdź jak najszybciej.

93196,93
źródło
0

Problem już rozwiązany, ale z korzyścią dla przyszłych czytelników ...

Biorąc pod uwagę, że:

  • Wydaje się, że spędziłeś na tym ponad godzinę.

  • Musiałeś skonsultować się z radcą prawnym firmy.

  • Po zmianie umowy proszą o dużo pracy.

  • Brakuje Ci pieniędzy i więcej czasu na zamianę.

Powinieneś wyjaśnić, że będziesz potrzebować dużo pieniędzy z góry i że są minimum cztery godziny.

Ostatnie kilka razy mówiłem komuś, że nagle nie byli już tak potrzebni.

Nadal możesz rozliczać je za straty poniesione podczas przejścia i na czas, ponieważ zmieniły one twoją umowę. Nie mówię, że zapłacą w ciągu dwóch tygodni, tak jak myśleli, że w tym czasie się zgodzisz - będą jednostronni, nie mam wątpliwości.

Będzie ich grzechotać, jeśli biuro prawnika wyśle ​​zawiadomienie o windykacji. Powinien przyciągnąć uwagę właściciela firmy audytorskiej.

Odradzałbym wszelkie dalsze kontakty z nimi, tylko dalsze omawianie sprawy pociągnie za sobą depozyt za wymaganą pracę. Wtedy możesz otrzymać zapłatę za ich przekazanie.

Dziwne, że masz obowiązującą umowę, a wtedy ktoś po drugiej stronie zejdzie z torów - jeśli nie jest to test bezpieczeństwa lub inteligencji, to z pewnością sprawdzian twojej cierpliwości.

Obrabować
źródło