Audytor bezpieczeństwa naszych serwerów zażądał w ciągu dwóch tygodni:

• Lista bieżących nazw użytkowników i haseł tekstowych dla wszystkich kont użytkowników na wszystkich serwerach
• Lista wszystkich zmian haseł z ostatnich sześciu miesięcy, również w postaci zwykłego tekstu
• Lista „każdego pliku dodanego do serwera ze zdalnych urządzeń” w ciągu ostatnich sześciu miesięcy
• Klucze publiczne i prywatne dowolnych kluczy SSH
• E-mail wysyłany do niego za każdym razem, gdy użytkownik zmienia swoje hasło, zawierający zwykły tekst

Korzystamy z urządzeń Red Hat Linux 5/6 i CentOS 5 z uwierzytelnianiem LDAP.

O ile mi wiadomo, wszystko na tej liście jest niemożliwe lub niezwykle trudne do zdobycia, ale jeśli nie podam tych informacji, grozi nam utrata dostępu do naszej platformy płatności i utrata dochodów w okresie przejściowym, gdy przechodzimy do nowa usługa. Wszelkie sugestie dotyczące sposobu rozwiązania lub sfałszowania tych informacji?

Jedynym sposobem, w jaki mogę uzyskać wszystkie hasła w postaci zwykłego tekstu, jest skłonienie wszystkich do zresetowania hasła i zanotowania tego, co je ustawiło. To nie rozwiązuje problemu ostatnich sześciu miesięcy zmian haseł, ponieważ nie mogę wstecznie zalogować tego rodzaju rzeczy, to samo dotyczy rejestrowania wszystkich zdalnych plików.

Uzyskanie wszystkich publicznych i prywatnych kluczy SSH jest możliwe (choć irytujące), ponieważ mamy tylko kilku użytkowników i komputerów. Chyba że przegapiłem łatwiejszy sposób na zrobienie tego?

Wyjaśniłem mu wiele razy, że rzeczy, o które prosi, są niemożliwe. W odpowiedzi na moje obawy odpowiedział na następujący e-mail:

Mam ponad 10-letnie doświadczenie w audytach bezpieczeństwa i pełne zrozumienie metod bezpieczeństwa redhat, dlatego sugeruję sprawdzenie swoich faktów na temat tego, co jest i nie jest możliwe. Mówisz, że żadna firma nie może mieć takich informacji, ale przeprowadziłem setki audytów, w których informacje te były łatwo dostępne. Wszyscy klienci [ogólnego dostawcy przetwarzania kart kredytowych] są zobowiązani do przestrzegania naszych nowych zasad bezpieczeństwa, a ten audyt ma na celu upewnienie się, że zasady te zostały poprawnie wdrożone *.

* „Nowe zasady bezpieczeństwa” zostały wprowadzone na dwa tygodnie przed naszą kontrolą, a sześciomiesięczne rejestrowanie danych historycznych nie było wymagane przed zmianą zasad.

Krótko mówiąc, potrzebuję;

• Sposób na „sfałszowanie” sześciomiesięcznych zmian hasła i nadanie mu poprawnego wyglądu
• Sposób na „fałszywe” sześć miesięcy transferów plików przychodzących
• Łatwy sposób na zebranie wszystkich używanych kluczy publicznych i prywatnych SSH

Jeśli nie przejdziemy audytu bezpieczeństwa, stracimy dostęp do naszej platformy przetwarzania kart (krytyczna część naszego systemu) i przeniesienie się gdzie indziej zajmie dobre dwa tygodnie. Jak się pieprzę?

Aktualizacja 1 (sob. 23)

Dzięki za wszystkie odpowiedzi, z wielką ulgą wiem, że to nie jest standardowa praktyka.

Obecnie planuję odpowiedź na e-maila z wyjaśnieniem sytuacji. Jak wielu z was zauważyło, musimy przestrzegać PCI, który wyraźnie stwierdza, że ​​nie powinniśmy mieć dostępu do haseł w postaci zwykłego tekstu. Po zakończeniu pisania wyślę wiadomość e-mail. Niestety nie sądzę, żeby nas tylko testował; te rzeczy są teraz w oficjalnej polityce bezpieczeństwa firmy. Jednak wprawiłem koła w ruch, aby na razie odsunąć się od nich i na PayPal.

Aktualizacja 2 (sob. 23)

To jest e-mail, który opracowałem, jakieś sugestie dotyczące rzeczy do dodania / usunięcia / zmiany?

Cześć [nazwa],

Niestety nie możemy dostarczyć ci niektórych wymaganych informacji, głównie haseł w postaci zwykłego tekstu, historii haseł, kluczy SSH i zdalnych dzienników plików. Jest to nie tylko technicznie niemożliwe, ale także możliwość dostarczenia tych informacji byłaby sprzeczna ze standardami PCI, a także naruszeniem ustawy o ochronie danych.
Aby zacytować wymagania PCI,

8.4 Renderuj wszystkie hasła jako nieczytelne podczas transmisji i przechowywania na wszystkich komponentach systemu za pomocą silnej kryptografii.

Mogę dostarczyć listę nazw użytkowników i zaszyfrowanych haseł używanych w naszym systemie, kopie kluczy publicznych SSH i plik autoryzowanych hostów (dostarczy ci to wystarczającej ilości informacji, aby określić liczbę unikalnych użytkowników, którzy mogą połączyć się z naszymi serwerami, oraz szyfrowanie zastosowane metody), informacje o naszych wymaganiach dotyczących bezpieczeństwa haseł i naszym serwerze LDAP, ale informacji tych nie można usunąć poza witrynę. Zdecydowanie zalecamy przejrzenie wymagań dotyczących audytu, ponieważ obecnie nie możemy przekazać tej kontroli, zachowując zgodność z PCI i ustawą o ochronie danych.

Pozdrawiam
[ja]

Będę współpracownikiem w CTO firmy i naszym menedżerze konta i mam nadzieję, że CTO potwierdzi, że te informacje nie są dostępne. Skontaktuję się również z Radą Bezpieczeństwa Standardów PCI, aby wyjaśnić, czego od nas wymaga.

Aktualizacja 3 (26)

Oto niektóre e-maile, które wymieniliśmy;

RE: mój pierwszy e-mail;

Jak wyjaśniono, informacje te powinny być łatwo dostępne w każdym dobrze utrzymanym systemie dla każdego kompetentnego administratora. Brak możliwości dostarczenia tych informacji prowadzi mnie do przekonania, że ​​znasz luki w zabezpieczeniach systemu i nie jesteś przygotowany na ich ujawnienie. Nasze żądania są zgodne z wytycznymi PCI i oba mogą zostać spełnione. Silna kryptografia oznacza tylko, że hasła muszą być szyfrowane podczas wprowadzania ich przez użytkownika, ale następnie należy je przenieść do formatu umożliwiającego odzyskanie w celu późniejszego wykorzystania.

Nie widzę żadnych problemów związanych z ochroną danych w przypadku tych wniosków, ochrona danych dotyczy tylko konsumentów, a nie firm, więc nie powinno być problemów z tymi informacjami.

Tylko czego ja nie mogę, nawet ...

„Silna kryptografia oznacza tylko, że hasła muszą zostać zaszyfrowane podczas wprowadzania ich przez użytkownika, ale następnie należy je przenieść do formatu umożliwiającego odzyskanie w celu późniejszego wykorzystania”.

Zamierzam to wrobić i położyć na ścianie.

Mam dość bycia dyplomatycznym i skierowałem go do tego wątku, aby pokazać mu odpowiedź:

Podanie tych informacji BEZPOŚREDNIO jest sprzeczne z kilkoma wymogami wytycznych PCI. Sekcja, którą zacytowałem, mówi nawet storage (implikując, gdzie przechowujemy dane na dysku). Rozpocząłem dyskusję na ServerFault.com (społeczność internetowa dla specjalistów sys-admin), która wywołała ogromną reakcję, sugerując, że nie można podać tych informacji. Zapraszam do przeczytania przez siebie

https://serverfault.com/questions/293217/

Zakończyliśmy przenoszenie naszego systemu na nową platformę i zlikwidujemy nasze konto w ciągu około dnia, ale chcę, abyś zdał sobie sprawę, jak absurdalne są te żądania i żadna firma prawidłowo wdrażająca wytyczne PCI nie będzie lub powinna, być w stanie podać te informacje. Zdecydowanie zalecamy ponowne przemyślenie swoich wymagań bezpieczeństwa, ponieważ żaden z klientów nie powinien być w stanie się z tym pogodzić.

(Właściwie to zapomniałem, że nazwałem go idiotą w tytule, ale jak już wspomniano, już odeszliśmy od ich platformy, więc nie ma prawdziwej straty).

W swojej odpowiedzi stwierdza, że ​​najwyraźniej nikt z was nie wie o czym mówisz:

Przeczytałem szczegółowo te odpowiedzi i twój oryginalny post, wszyscy respondenci muszą poprawnie ustalić swoje fakty. Byłem w tej branży dłużej niż ktokolwiek na tej stronie, uzyskanie listy haseł do kont użytkowników jest niezwykle proste, powinna być jedną z pierwszych rzeczy, które robisz, ucząc się, jak zabezpieczyć system i jest niezbędna do działania każdego bezpiecznego serwer. Jeśli naprawdę brakuje ci umiejętności robienia czegoś tak prostego, zakładam, że nie masz zainstalowanego PCI na swoich serwerach, ponieważ odzyskanie tych informacji jest podstawowym wymaganiem oprogramowania. Kiedy masz do czynienia z czymś takim jak bezpieczeństwo, nie powinieneś zadawać tych pytań na forum publicznym, jeśli nie masz podstawowej wiedzy o tym, jak to działa.

Chciałbym również zasugerować, że każda próba ujawnienia mnie lub [nazwa firmy] zostanie uznana za pomówienie i zostaną podjęte odpowiednie kroki prawne

Kluczowe punkty idiotyczne, jeśli je przegapiłeś:

• Był audytorem bezpieczeństwa dłużej niż ktokolwiek inny tutaj (zgaduje lub prześladuje cię)
• Możliwość uzyskania listy haseł w systemie UNIX jest „podstawowa”
• PCI jest teraz oprogramowaniem
• Ludzie nie powinni korzystać z forów, gdy nie są pewni bezpieczeństwa
• Udostępnianie informacji faktycznych (na które mam dowód e-mailem) w Internecie jest zniesławieniem

Doskonały.

PCI SSC udzieliło odpowiedzi i prowadzi dochodzenie w sprawie jego i firmy. Nasze oprogramowanie zostało teraz przeniesione do PayPal, dzięki czemu wiemy, że jest bezpieczne. Zaczekam, aż PCI do mnie wróci, ale trochę się martwię, że mogli używać tych praktyk bezpieczeństwa wewnętrznie. Jeśli tak, to uważam, że jest to dla nas poważny problem, ponieważ wszystkie nasze karty przetwarzały je. Gdyby robili to wewnętrznie, myślę, że jedyną odpowiedzialną rzeczą byłoby poinformowanie naszych klientów.

Mam nadzieję, że kiedy PCI zda sobie sprawę, jak źle jest, zbadają całą firmę i system, ale nie jestem pewien.

Więc teraz odeszliśmy od ich platformy i zakładając, że minie co najmniej kilka dni, zanim PCI wróci do mnie, jakieś pomysłowe sugestie, jak go trochę trollować? =)

Kiedy otrzymam zezwolenie od mojego legalnego faceta (bardzo wątpię, czy to w rzeczywistości jest zniesławienie, ale chciałem dwukrotnie sprawdzić) opublikuję nazwę firmy, jego imię i adres e-mail, a jeśli chcesz, możesz skontaktować się z nim i wyjaśnić dlaczego nie rozumiesz podstaw zabezpieczeń Linuxa, takich jak jak uzyskać listę wszystkich haseł użytkowników LDAP.

Mała aktualizacja:

Mój „legalny facet” zasugerował, że ujawnienie firmy prawdopodobnie spowodowałoby więcej problemów niż to konieczne. Mogę jednak powiedzieć, że nie jest to główny dostawca, mają mniej 100 klientów korzystających z tej usługi. Początkowo korzystaliśmy z nich, gdy witryna była niewielka i działała na małym VPS, i nie chcieliśmy podejmować wszystkich starań, aby uzyskać PCI (zwykliśmy przekierowywać do ich interfejsu, na przykład PayPal Standard). Ale kiedy przeszliśmy na bezpośrednie przetwarzanie kart (w tym uzyskanie PCI i zdrowy rozsądek), deweloperzy postanowili nadal używać tej samej firmy tylko innego API. Firma ma siedzibę w rejonie Birmingham w Wielkiej Brytanii, więc bardzo wątpię, czy ktokolwiek tutaj będzie miał wpływ.

Po pierwsze, NIE kapituluj. Jest nie tylko idiotą, ale NIEBEZPIECZNIE się myli. W rzeczywistości ujawnienie tych informacji naruszyłoby standard PCI (do czego zakładam, że audyt jest, ponieważ jest to procesor płatności) wraz z każdym innym standardem i po prostu zdrowym rozsądkiem. Naraziłoby to również Twoją firmę na wszelkiego rodzaju zobowiązania.

Następną rzeczą, którą bym zrobił, to wysłanie wiadomości e-mail do szefa z informacją, że musi on zaangażować doradcę korporacyjnego w celu ustalenia prawnej ekspozycji, na jaką narażona byłaby firma w związku z tym działaniem.

Ten ostatni bit jest do was, ale ja skontaktuje VISA z tych informacji i uzyskać jego status audytora PCI pociągnął.

Jako osoba, która przeszła procedurę audytu z Price Waterhouse Coopers w sprawie niejawnego kontraktu rządowego, zapewniam cię, że to całkowicie wykluczone, a ten facet jest szalony.

Gdy PwC chciał sprawdzić siłę naszego hasła:

• Poprosiliśmy o zapoznanie się z naszymi algorytmami siły hasła
• Sprawdziłem jednostki testowe względem naszych algorytmów, aby sprawdzić, czy odmówiłyby złych haseł
• Poproszono o zapoznanie się z naszymi algorytmami szyfrowania, aby upewnić się, że nie można ich odwrócić ani odszyfrować (nawet za pomocą tęczowych tabel), nawet przez osobę, która miała pełny dostęp do każdego aspektu systemu
• Sprawdzono, czy poprzednie hasła były buforowane, aby upewnić się, że nie można ich ponownie użyć
• Poprosiliśmy nas o zgodę (której udzieliliśmy) na próbę włamania się do sieci i powiązanych systemów przy użyciu technik inżynierii innej niż socjotechniczna (takich jak exploity xss i exploity inne niż 0)

Gdybym nawet zasugerował, że mogę im pokazać, jakie były hasła użytkowników w ciągu ostatnich 6 miesięcy, natychmiast wyłączyliby nas z umowy.

Gdyby można było spełnić te wymagania, od razu straciłbyś każdy pojedynczy audyt, który warto mieć.

Aktualizacja: Twój e-mail z odpowiedzią wygląda dobrze. O wiele bardziej profesjonalny niż cokolwiek, co bym napisał.

Szczerze mówiąc, wygląda na to, że ten facet (audytor) cię przygotowuje. Jeśli przekażesz mu informacje, o które prosi, właśnie udowodniłeś mu, że możesz zostać społecznie inżynierem, aby zrezygnować z krytycznych informacji wewnętrznych. Zawieść.

Właśnie zauważyłem, że jesteś w Wielkiej Brytanii, co oznacza, że ​​chce cię złamać prawo (w rzeczywistości Ustawa o ochronie danych). Też jestem w Wielkiej Brytanii, pracuję dla dużej, mocno kontrolowanej firmy i znam prawo i powszechne praktyki w tej dziedzinie. Jestem również bardzo nieprzyjemnym dziełem, które z radością ograniczy ci tego faceta, jeśli chcesz tylko dla zabawy, daj mi znać, jeśli chcesz pomóc.

Jesteś inżynierem społecznym. Albo „przetestuje cię”, albo jest hakerem udającym audytora, aby uzyskać bardzo przydatne dane.

Jestem poważnie zaniepokojony brakiem umiejętności rozwiązywania problemów etycznych przez PO, a społeczność użytkowników serwerów ignoruje to rażące naruszenie zasad etycznych.

Krótko mówiąc, potrzebuję;

• Sposób na „sfałszowanie” sześciomiesięcznych zmian hasła i nadanie mu poprawnego wyglądu
• Sposób na „fałszywe” sześć miesięcy transferów plików przychodzących

Wyjaśnię dwa zagadnienia:

1. Nigdy nie należy fałszować danych w trakcie normalnej działalności.
2. Nigdy nie powinieneś nikomu ujawniać tego rodzaju informacji. Zawsze.

Twoim zadaniem nie jest fałszowanie zapisów. Twoim zadaniem jest upewnić się, że wszelkie niezbędne zapisy są dostępne, dokładne i bezpieczne.

Społeczność tutaj, w usłudze Server Fault, musi traktować tego rodzaju pytania, ponieważ witryna stackoverflow traktuje pytania „domowe”. Nie możesz rozwiązać tych problemów jedynie za pomocą odpowiedzi technicznej lub zignorować naruszenie odpowiedzialności etycznej.

Widząc tak wielu użytkowników o wysokiej liczbie odpowiedzi w tym wątku, nie zasmuca mnie żadna wzmianka o etycznych implikacjach tego pytania.

Zachęcam wszystkich do zapoznania się z Kodeksem etyki administratorów systemu SAGE .

BTW, twój audytor bezpieczeństwa jest idiotą, ale to nie znaczy, że musisz odczuwać presję, by być nieetycznym w swojej pracy.

Edycja: Twoje aktualizacje są bezcenne. Trzymaj głowę nisko, proszek suchy i nie bierz (ani nie dawaj) żadnych drewnianych nikli.

Nie możesz dać mu tego, czego chcesz, a próby „sfałszowania” prawdopodobnie powrócą, by ugryźć cię w tyłek (być może w legalny sposób). Musisz albo odwołać się do łańcucha dowodzenia (możliwe, że ten audytor jest nieuczciwy, chociaż audyty bezpieczeństwa są notorycznie idiotyczne - zapytaj mnie o audytora, który chciał mieć dostęp do AS / 400 przez SMB), albo do diabła spoza tych uciążliwych wymagań.

Nie są nawet dobrym zabezpieczeniem - lista haseł w postaci zwykłego tekstu jest niezwykle niebezpieczną rzeczą, jaką można kiedykolwiek stworzyć, niezależnie od metod użytych do ich zabezpieczenia, i założę się, że ten facet będzie chciał, aby były wysyłane pocztą elektroniczną . (Jestem pewien, że już o tym wiesz, muszę tylko trochę odpowiedzieć).

W przypadku gówna i chichotów zapytaj go bezpośrednio, jak wykonać swoje wymagania - przyznaj, że nie wiesz jak i chciałbyś wykorzystać jego doświadczenie. Kiedy już cię nie będzie, odpowiedzią na jego „Mam ponad 10-letnie doświadczenie w audytach bezpieczeństwa” byłoby „nie, masz 5 minut doświadczenia powtarzanego setki razy”.

Żaden audytor nie powinien Cię zawieść, jeśli znajdzie problem historyczny, który teraz rozwiązałeś. W rzeczywistości jest to dowód dobrego zachowania. Mając to na uwadze, sugeruję dwie rzeczy:

a) Nie kłam ani nie wymyślaj żadnych rzeczy. b) Przeczytaj swoje zasady.

Kluczowe stwierdzenie jest dla mnie następujące:

Wszyscy klienci [ogólnego dostawcy przetwarzania kart kredytowych] muszą przestrzegać naszych nowych zasad bezpieczeństwa

Założę się, że w tych zasadach znajduje się stwierdzenie, że haseł nie można zapisać i nie można przekazać nikomu poza użytkownikiem. Jeśli tak, zastosuj te zasady do jego wniosków. Sugeruję postępowanie w ten sposób:

• Lista bieżących nazw użytkowników i haseł tekstowych dla wszystkich kont użytkowników na wszystkich serwerach

Pokaż mu listę nazw użytkowników, ale nie pozwól, aby ich zabrano. Wyjaśnij, że podawanie haseł w postaci zwykłego tekstu jest a) niemożliwe, ponieważ jest jednokierunkowe, oraz b) przeciwko polityce, przeciwko której cię kontroluje, więc nie będziesz przestrzegać.

• Lista wszystkich zmian haseł z ostatnich sześciu miesięcy, również w postaci zwykłego tekstu

Wyjaśnij, że nie było to historycznie dostępne. Podaj mu listę ostatnich czasów zmiany hasła, aby pokazać, że teraz to się robi. Wyjaśnij, jak wyżej, że hasła nie zostaną podane.

• Lista „każdego pliku dodanego do serwera ze zdalnych urządzeń” w ciągu ostatnich sześciu miesięcy

Wyjaśnij, co jest i nie jest rejestrowane. Podaj, co możesz. Nie podawaj żadnych informacji poufnych i wyjaśnij według zasad, dlaczego nie. Zapytaj, czy twoje logowanie wymaga poprawy.

• Klucze publiczne i prywatne dowolnych kluczy SSH

Spójrz na swoje zasady zarządzania kluczami. Powinien stwierdzać, że klucze prywatne nie są wyjmowane z kontenera i mają ścisłe warunki dostępu. Zastosuj tę zasadę i nie zezwalaj na dostęp. Klucze publiczne są na szczęście publiczne i można je udostępniać.

• E-mail wysyłany do niego za każdym razem, gdy użytkownik zmienia swoje hasło, zawierający zwykły tekst

Po prostu powiedz nie. Jeśli masz lokalny bezpieczny serwer dziennika, pozwól mu zobaczyć, że jest on logowany na miejscu.

Zasadniczo i przykro mi to mówić, ale musisz grać w hardball z tym facetem. Dokładnie przestrzegaj swoich zasad, nie odstępuj. Nie kłam. A jeśli zawiedzie cię za coś, co nie jest objęte polisą, złóż skargę do jego seniorów w firmie, która go wysłała. Zbierz papierowy ślad tego wszystkiego, aby udowodnić, że byłeś rozsądny. Jeśli złamiesz swoją polisę, jesteś na jego łasce. Jeśli podążysz za nimi do listu, zostanie on zwolniony.

Tak, audytor jest idiotą. Jednak, jak wiecie, czasami idioci są umieszczani na pozycjach władzy. To jest jeden z tych przypadków.

Informacje poprosił ma zerowy wpływ na aktualną bezpieczeństwa systemu. Wyjaśnij audytorowi, że używasz LDAP do uwierzytelniania i że hasła są przechowywane przy użyciu skrótu jednokierunkowego. Oprócz wykonania skryptu brute-force przeciwko skrótom haseł (co może zająć tygodnie (lub lata), nie będziesz w stanie podać haseł.

Podobnie zdalne pliki - chciałbym usłyszeć, na przykład, jak on myśli, że powinieneś być w stanie odróżnić pliki utworzone bezpośrednio na serwerze od pliku, który jest SCPedowany na serwer.

Jak powiedział @womble, nie udawaj niczego. To nic nie da. Porzuć ten audyt i ukaraj innego brokera lub znajdź sposób, by przekonać tego „profesjonalistę”, że jego ser zsunął się z jego krakersa.

Poproś swojego „audytora bezpieczeństwa” o wskazanie dowolnego tekstu z dowolnego z tych dokumentów, który spełnia jego wymagania, i obserwuj, jak stara się wymyślić wymówkę, a ostatecznie usprawiedliwia się, że nigdy więcej nie zostanie usłyszany.

WTF! Przepraszam, ale to moja jedyna reakcja na to. Nie słyszałem o żadnych wymaganiach dotyczących audytu, które wymagałyby hasła w postaci zwykłego tekstu, nie mówiąc już o podawaniu im haseł w miarę ich zmiany.

Po pierwsze, poproś go, aby pokazał ci wymaganie, które to zapewnisz.

Po drugie, jeśli dotyczy to PCI (które wszyscy zakładamy, ponieważ jest to pytanie dotyczące systemu płatności), przejdź tutaj: https://www.pcisecuritystandards.org/approved_companies_providers/qsa_companies.php i uzyskaj nowego audytora.

Po trzecie, postępuj zgodnie z tym, co powiedzieli powyżej, skontaktuj się z kierownictwem i poproś o kontakt z firmą QSA, z którą współpracuje. Następnie natychmiast uzyskaj kolejnego audytora.

Audytorzy kontrolują stany, standardy, procesy itp. Systemu. Nie muszą oni posiadać żadnych informacji zapewniających im dostęp do systemów.

Jeśli potrzebujesz rekomendowanych audytorów lub alternatywnych kolektorów ściśle współpracujących z audytorami, skontaktuj się ze mną, a chętnie udzielę referencji.

Powodzenia! Zaufaj jelitom, jeśli coś wydaje się nie tak, prawdopodobnie tak jest.

Nie ma uzasadnionego powodu, aby znał hasło i miał dostęp do kluczy prywatnych. To, o co prosił, dałoby mu możliwość podszywania się pod któregokolwiek z twoich klientów w dowolnym momencie i spuszczania tyle pieniędzy, ile chce, bez możliwości wykrycia ich jako możliwej nieuczciwej transakcji. Będzie to dokładnie ten rodzaj zagrożeń bezpieczeństwa, dla których powinien cię skontrolować.

Powiadom kierownictwo, że audytor zażądał naruszenia zasad bezpieczeństwa oraz że żądanie jest niezgodne z prawem. Zaproponuj, że mogą chcieć zrzucić obecną firmę audytorską i znaleźć legalną. Zadzwoń na policję i zwróć się do audytora z prośbą o nielegalne informacje (w Wielkiej Brytanii). Następnie zadzwoń do PCI i przekaż audytorowi żądanie.

Ta prośba jest podobna do prośby o zabicie kogoś przypadkowo i przekazanie ciała. Zrobiłbyś to? czy wezwałbyś gliniarzy i oddał ich?

Odpowiedz na pozew . Jeśli audytor prosi o hasła w postaci zwykłego tekstu (daj spokój, nie jest to trudne do brutalnego użycia lub złamania słabych skrótów haseł), prawdopodobnie skłamał ci o swoich poświadczeniach.

Tylko wskazówka dotycząca sposobu sformułowania odpowiedzi:

Niestety nie możemy dostarczyć ci niektórych wymaganych informacji, głównie haseł w postaci zwykłego tekstu, historii haseł, kluczy SSH i zdalnych dzienników plików. Nie tylko są to technicznie niemożliwe ...

Przeformułuję to, aby uniknąć dyskusji na temat technicznej wykonalności. Czytając okropny początkową wiadomość wysłana przez audytora, wygląda na to, to jest ktoś, kto może odebrać na szczegóły, które nie są związane z głównym problemem i mógłby argumentować, że mógł zapisywać hasła, loginy dziennika itp Więc albo powiedzieć :

... Ze względu na nasze surowe zasady bezpieczeństwa, nigdy nie logowaliśmy haseł w postaci zwykłego tekstu. Dlatego podanie tych danych będzie technicznie niemożliwe.

Lub

... nie tylko znacznie obniżilibyśmy nasz wewnętrzny poziom bezpieczeństwa, spełniając twoją prośbę ...

Powodzenia i informuj nas, jak to się kończy!

Oto ryzyko, które pozwoliłoby mi kontynuować natłok użytkowników o wysokiej reputacji.

Rozumiem niejasno, dlaczego chce haseł w postaci jawnego tekstu, a to ocenia jakość używanych haseł. To gówniany sposób, większość audytorów, których znam, zaakceptuje zaszyfrowane skróty i uruchomi crackera, aby zobaczyć, jakie nisko wiszące owoce mogą wyciągnąć. Wszyscy przejdą politykę złożoności haseł i sprawdzą, jakie zabezpieczenia istnieją, aby to egzekwować.

Ale musisz podać kilka haseł. Sugeruję (choć myślę, że już to zrobiłeś), pytając go, jaki jest cel dostarczania hasła w postaci zwykłego tekstu. Powiedział, że ma to na celu sprawdzenie twojej zgodności z polityką bezpieczeństwa, więc poproś go, aby ci to zapewnił. Zapytaj go, czy zaakceptuje fakt, że system złożoności haseł jest wystarczająco solidny, aby uniemożliwić użytkownikom ustawianie hasła P@55w0rdi istnienie go przez 6 miesięcy.

Jeśli to popchnie, być może będziesz musiał przyznać, że nie możesz podać haseł w postaci jawnego tekstu, ponieważ nie jesteś skonfigurowany do ich zapisywania (co jest poważnym błędem w zabezpieczeniach), ale możesz podjąć takie starania w przyszłości, jeśli będzie tego wymagał bezpośrednia weryfikacja działania zasad haseł. A jeśli chce to udowodnić, z przyjemnością dostarczysz mu zaszyfrowaną bazę haseł (lub ty! Pokaż chętnie! Pomaga!), Aby uruchomić przełamywanie zabezpieczeń.

„Zdalne pliki” można prawdopodobnie wyciągnąć z dzienników SSH dla sesji SFTP, o czym, jak podejrzewam, on mówi. Jeśli nie masz syslogowania na 6 miesięcy, będzie to trudne do wyprodukowania. Czy używanie wget do pobierania pliku ze zdalnego serwera podczas logowania przez SSH jest uważane za „zdalny transfer plików”? Czy PUT HTTP? Pliki utworzone z tekstu schowka w oknie terminala użytkownika zdalnego? Jeśli już, możesz prześladować go tymi przypadkowymi sprawami, aby lepiej zrozumieć jego obawy w tej dziedzinie i być może zaszczepić poczucie „wiem o tym więcej niż ty”, a także o jakich konkretnych technologiach on myśli. Następnie wyodrębnij z dzienników i zarchiwizowanych dzienników kopie zapasowe.

Nie mam nic na kluczach SSH. Jedyne, o czym myślę, to to, że z jakiegoś powodu sprawdza klucze bez hasła, a może siłę kryptografii. W przeciwnym razie nic nie mam.

Jeśli chodzi o zdobycie tych kluczy, odzyskanie przynajmniej kluczy publicznych jest dość łatwe; po prostu przeszukuj ich foldery .ssh. Zdobycie kluczy prywatnych będzie wiązało się z włożeniem kapelusza BOFH i prześladowaniem użytkowników w stylu: „Wyślij mi swoje publiczne i prywatne pary kluczy SSH. Wszystko, czego nie dostanę, zostanie usunięte z serwerów za 13 dni” i jeśli ktoś skrzecze (chciałbym) skierować ich na audyt bezpieczeństwa. Skrypty są tu twoim przyjacielem. Przynajmniej spowoduje to, że kilka kluczy bez hasła będzie otrzymywać hasła.

Jeśli nadal nalega na „zwykłe hasła w wiadomościach e-mail”, przynajmniej poddaj te wiadomości e-mail szyfrowaniu GPG / PGP za pomocą własnego klucza. Każdy audytor wart swojej soli powinien być w stanie poradzić sobie z czymś takim. W ten sposób, jeśli hasła wyciekną, to dlatego, że je wypuści, a nie ty. Kolejny lakmusowy test kompetencji.

W tej kwestii muszę się zgodzić zarówno z Zypherem, jak i Womble. Niebezpieczny idiota o niebezpiecznych konsekwencjach.

Prawdopodobnie testuje cię, aby sprawdzić, czy jesteś zagrożeniem bezpieczeństwa. Jeśli podasz mu te dane, prawdopodobnie zostaniesz natychmiast zwolniony. Zanieś to swojemu bezpośredniemu szefowi i podaj złotówkę. Poinformuj swojego szefa, że ​​zaangażujesz odpowiednie władze, jeśli ten tyłek znów zbliży się do ciebie.

Za to płacą szefowie.

Mam wizję kawałka papieru pozostawionego z tyłu taksówki, który zawiera listę haseł, kluczy SSH i nazw użytkowników! Hhhmmm! Widzę teraz nagłówki gazet!

Aktualizacja

W odpowiedzi na poniższe 2 komentarze sądzę, że oboje macie dobre uwagi. Nie ma sposobu, aby naprawdę dowiedzieć się prawdy, a fakt, że pytanie zostało zadane, pokazuje trochę naiwności ze strony plakatu, a także odwagę, aby stawić czoła niekorzystnej sytuacji z potencjalnymi konsekwencjami zawodowymi, w których inni utknęliby w głowie piasek i uciekaj.

Doszedłem do wniosku, że warto, że jest to bardzo interesująca debata, która prawdopodobnie spowodowała, że ​​większość czytelników zastanawiała się, co zrobiliby w tej sytuacji, niezależnie od tego, czy biegły rewident lub polityka audytorów są kompetentni. Większość ludzi stanie w obliczu tego rodzaju dylematu w jakiejś formie lub formie w życiu zawodowym, a tak naprawdę nie jest to rodzaj odpowiedzialności, którą należy przełożyć na ramiona jednej osoby. Jest to decyzja biznesowa, a nie indywidualna decyzja, jak sobie z tym poradzić.

Oczywiście jest tu wiele dobrych informacji, ale pozwólcie, że dodam mój 2c, ponieważ ktoś, kto pisze oprogramowanie sprzedawane na całym świecie przez mojego pracodawcę dużym firmom, przede wszystkim w celu pomocy ludziom w przestrzeganiu zasad bezpieczeństwa zarządzania kontami i przeprowadzania audytów; za co to jest warte.

Po pierwsze, brzmi to bardzo podejrzanie, jak zauważyliście (i inni). Albo audytor postępuje zgodnie z procedurą, której nie rozumie (możliwe), lub testuje cię pod kątem podatności, więc inżynieria społeczna (mało prawdopodobne po kolejnych wymianach), lub oszustwo socjotechniczne, które Ty (również możliwe), lub po prostu idiota (prawdopodobnie najprawdopodobniej). Jeśli chodzi o porady, proponuję, abyś porozmawiał ze swoim kierownictwem i / lub znalazł nową firmę audytorską i / lub zgłosił ją do odpowiedniej agencji nadzorczej.

Jeśli chodzi o notatki, kilka rzeczy:

• Jest to możliwe (w określonych warunkach) dostarczenie informacji Poprosił, jeśli system jest ustawiony na to pozwolić. Nie jest to jednak w żadnym wypadku „najlepsza praktyka” w zakresie bezpieczeństwa i nie byłaby wcale powszechna.
• Zasadniczo audyty dotyczą sprawdzania poprawności praktyk, a nie sprawdzania rzeczywistych bezpiecznych informacji. Byłbym bardzo podejrzliwy wobec każdego, kto prosi o rzeczywiste hasła lub certyfikaty w postaci zwykłego tekstu, zamiast metod stosowanych w celu zapewnienia, że ​​są one „dobre” i odpowiednio zabezpieczone.

Mam nadzieję, że to pomaga, nawet jeśli w większości przypomina to, co doradzali inni ludzie. Podobnie jak ty, nie zamierzam wymieniać nazwy mojej firmy, w moim przypadku, ponieważ nie mówię w ich imieniu (konto osobiste / opinie i wszystko inne); przeprasza, jeśli szkodzi to wiarygodności, ale niech tak będzie. Powodzenia.

To powinno i powinno być zaksięgowane w IT Security - Stack Exchange .

Nie jestem ekspertem w zakresie audytu bezpieczeństwa, ale pierwszą rzeczą, której dowiedziałem się o polityce bezpieczeństwa, jest "NEVER GIVE PASSWORDS AWAY". Ten facet może pracuje w tym biznesie od 10 lat, ale jak powiedział Womble"no, you have 5 minutes of experience repeated hundreds of times"

Od jakiegoś czasu pracuję z pracownikami działu bankowości i kiedy zobaczyłem, jak piszesz, pokazałem im to ... Bardzo się śmiali. Powiedzieli mi, że facet wygląda jak oszustwo. Kiedyś zajmowali się tego rodzaju sprawami dla bezpieczeństwa klienta banku.

Pytanie o jasne hasło, klucze SSH, logi haseł, jest oczywiście poważnym wykroczeniem zawodowym. Ten facet jest niebezpieczny.

Mam nadzieję, że teraz wszystko jest w porządku i nie masz żadnych problemów z faktem, że mogli przechowywać z nimi Twoją poprzednią transakcję.

Jeśli możesz podać jakiekolwiek informacje (z możliwym wyjątkiem kluczy publicznych) wymagane w punktach 1, 2, 4 i 5, należy spodziewać się niepowodzenia audytu.

Formalnie odpowiedz na punkty 1,2 i 5, mówiąc, że nie możesz przestrzegać, ponieważ twoja polityka bezpieczeństwa wymaga, abyś nie zachowywał haseł tekstowych i że hasła są szyfrowane przy użyciu nieodwracalnego algorytmu. Do punktu 4 ponownie nie możesz dostarczyć kluczy prywatnych, ponieważ naruszałoby to twoją politykę bezpieczeństwa.

Co do punktu 3. Jeśli posiadasz dane, podaj je. Jeśli nie, ponieważ nie musiałeś tego odbierać, powiedz to i zademonstruj, w jaki sposób (obecnie dążysz) do spełnienia nowego wymogu.

Audytor bezpieczeństwa naszych serwerów zażądał w ciągu dwóch tygodni :

...

Jeśli nie przejdziemy audytu bezpieczeństwa, utracimy dostęp do naszej platformy przetwarzania kart (krytyczna część naszego systemu) i przeniesienie się gdzie indziej zajmie dobre dwa tygodnie . Jak się pieprzę?

Wygląda na to, że odpowiedziałeś na swoje pytanie. (Zobacz pogrubiony tekst, aby uzyskać wskazówki).

Przychodzi mi na myśl tylko jedno rozwiązanie: zachęć wszystkich do napisania ostatniego i aktualnego hasła, a następnie natychmiast zmień je na nowe. Jeśli chce przetestować jakość hasła (i jakość przejścia od hasła do hasła, np. Aby upewnić się, że nikt nie używa rfvujn125, a następnie rfvujn126 jako następnego hasła), ta lista starych haseł powinna wystarczyć.

Jeśli nie zostanie to uznane za akceptowalne, podejrzewam, że facet jest członkiem Anonimowego / LulzSec ... w którym momencie powinieneś zapytać go, jaki jest jego uchwyt i powiedzieć mu, żeby przestał być takim zarośla!

Jak powiedział oli: dana osoba próbuje zmusić cię do złamania prawa (dyrektywy o ochronie danych / unijne dyrektywy o poufności) / przepisów wewnętrznych / standardów PCI. Nie tylko powinieneś powiadomić kierownictwo (jak już myślałem, ale także wezwać policję).

Jeśli dana osoba posiada akredytację / certyfikat, np. CISA (Certified Information Systems Auditor) lub brytyjski odpowiednik amerykańskiego CPA (oznaczenie publicznego księgowego), możesz również poinformować o tym organizacje akredytujące. Ta osoba nie tylko usiłuje zmusić cię do złamania prawa, ale jest również wyjątkowo niekompetentnym „audytem” i prawdopodobnie jest sprzeczna z każdym standardem etycznej kontroli, zgodnie z którym akredytowani audytorzy muszą przestrzegać pod rygorem utraty akredytacji.

Ponadto, jeśli dana osoba jest członkiem większej firmy, wspomniane organizacje audytorskie często wymagają pewnego rodzaju działu kontroli jakości, który nadzoruje jakość audytów i ich składanie oraz bada skargi. Więc możesz również spróbować złożyć skargę do danej firmy audytorskiej.

Wciąż się uczę i pierwszą rzeczą, której nauczyłem się podczas konfigurowania serwerów, jest to, że jeśli umożliwisz rejestrowanie haseł w postaci jawnego tekstu, już narazisz się na gigantyczne naruszenie. Żadne hasło nie powinno być znane, z wyjątkiem użytkownika, który go stosuje.

Jeśli ten facet jest poważnym audytorem, nie powinien cię o to pytać. Dla mnie brzmi jak oszust . Sprawdziłbym narząd regulujący, bo ten facet brzmi jak kompletny idiota.

Aktualizacja

Poczekaj, uważa, że ​​powinieneś użyć szyfrowania symetrycznego tylko w celu przesłania hasła, ale następnie przechowuj je jako zwykły tekst w bazie danych lub zapewnij sposób ich odszyfrowania. Zasadniczo, po wszystkich anonimowych atakach na bazy danych, w których pokazywały hasła użytkownika w postaci zwykłego tekstu, STILL uważa, że ​​jest to dobry sposób na „zabezpieczenie” środowiska.

To dinozaur, który utknął w latach 60. XX wieku ...

• Lista bieżących nazw użytkowników i haseł tekstowych dla wszystkich kont użytkowników na wszystkich serwerach
  • Obecne nazwy użytkowników MOGĄ być objęte zakresem „możemy to wydać” i powinny być objęte zakresem „możemy to pokazać, ale nie możesz zabrać go poza witrynę”.
  • Hasła w postaci zwykłego tekstu nie powinny istnieć dłużej, niż zajmuje je jednokierunkowe haszowanie i na pewno nigdy nie powinny pozostawiać pamięci (nawet nie przechodząc przez przewody), więc ich istnienie w trwałym magazynie jest nie-nie.
• Lista wszystkich zmian haseł z ostatnich sześciu miesięcy, również w postaci zwykłego tekstu
  • Zobacz „stałe przechowywanie jest nie-nie”.
• Lista „każdego pliku dodanego do serwera ze zdalnych urządzeń” w ciągu ostatnich sześciu miesięcy
  • Może to mieć na celu upewnienie się, że rejestrujesz transfery plików do / z serwerów przetwarzania płatności, jeśli masz logi, przekazywanie ich powinno być OK. Jeśli nie masz dzienników, sprawdź, co mówią odpowiednie zasady bezpieczeństwa dotyczące rejestrowania tych informacji.
• Klucze publiczne i prywatne dowolnych kluczy SSH
  • Być może próba sprawdzenia, czy „klucze SSH muszą mieć hasło”, znajduje się w zasadach i jest realizowana. Chcesz hasła do wszystkich kluczy prywatnych.
• E-mail wysyłany do niego za każdym razem, gdy użytkownik zmienia swoje hasło, zawierający zwykły tekst
  • Jest to zdecydowanie nie-nie.

Odpowiem na coś podobnego do moich odpowiedzi, w razie potrzeby popartych zgodnością PCI, zgodnością SOX_ i wewnętrznymi politykami bezpieczeństwa.

Faceci proszą o cuchnie do niebios i zgodzę się, że wszelka korespondencja odtąd powinna przechodzić przez CTO. Albo próbuje sprawić, że staniesz się facetem upadłym za to, że nie będziesz w stanie spełnić wspomnianej prośby, za udostępnienie poufnych informacji, lub jest rażąco niekompetentny. Mam nadzieję, że Twój CTO / manager zrobi to podwójnie, biorąc pod uwagę prośbę tego faceta, a pozytywne działania zostaną wykonane, a jeśli będą się opierać na działaniach tego faceta ... cóż, dobrzy administratorzy sys są zawsze poszukiwani w ogłoszeniach, ponieważ ti brzmi, jakby czas zacząć szukać jakiegoś miejsca, jeśli tak się stanie.

Powiedziałbym mu, że zbudowanie infrastruktury do łamania haseł wymaga czasu, wysiłku i pieniędzy, ale ponieważ używasz silnego haszowania, takiego jak SHA256 lub cokolwiek innego, podanie haseł może nie być możliwe w ciągu 2 tygodni. Ponadto powiedziałbym, że skontaktowałem się z działem prawnym w celu potwierdzenia, czy udostępnianie tych danych innym osobom jest zgodne z prawem. Warto również wspomnieć o PCI DSS. :)

Moi koledzy są zszokowani czytaniem tego postu.

Byłbym silnie kuszony, aby podać mu listę nazw użytkowników / haseł / kluczy prywatnych do kont typu honeypot, a jeśli kiedykolwiek przetestuje logowania do tych kont, zrób mu nieautoryzowany dostęp do systemu komputerowego. Chociaż niestety to prawdopodobnie naraża cię na przynajmniej pewien rodzaj cywilnego czynu niedozwolonego za złożenie fałszywego oświadczenia.

Po prostu odmów ujawnienia informacji, stwierdzając, że nie możesz przekazać haseł, ponieważ nie masz do nich dostępu. Ponieważ sam jestem audytorem, musi reprezentować jakąś instytucję. Takie instytucje zazwyczaj publikują wytyczne dotyczące takiego audytu. Sprawdź, czy takie żądanie jest zgodne z tymi wytycznymi. Możesz nawet narzekać na takie stowarzyszenia. Wyjaśnij także audytorowi, że w przypadku jakichkolwiek wykroczeń wina może wrócić do niego (audytora), ponieważ ma on wszystkie hasła.

Powiedziałbym, że nie ma sposobu na przekazanie mu ŻADNEJ żądanej informacji.

• Nazwy użytkowników zapewniają mu wgląd w konta, które mają dostęp do twoich systemów, co stanowi zagrożenie bezpieczeństwa
• Historia haseł zapewniłaby wgląd w stosowane wzorce haseł, dając mu możliwą drogę ataku poprzez odgadnięcie następnego hasła w łańcuchu
• Pliki przesyłane do systemu mogą zawierać poufne informacje, które mogłyby zostać wykorzystane w ataku na twoje systemy, a także dać im wgląd w strukturę systemu plików
• Klucze publiczne i prywatne, po co, do diabła, miałyby je mieć, gdybyś rozdał je komuś innemu niż zamierzony użytkownik?
• Wiadomość e-mail wysyłana za każdym razem, gdy użytkownik zmienia hasło, daje mu aktualne hasła do każdego konta użytkownika.

Ten facet ciągnie twojego plonkera! Musisz skontaktować się ze swoim kierownikiem lub innym audytorem w firmie, aby potwierdzić jego oburzające wymagania. I odejdź jak najszybciej.

Problem już rozwiązany, ale z korzyścią dla przyszłych czytelników ...

Biorąc pod uwagę, że:

• Wydaje się, że spędziłeś na tym ponad godzinę.

• Musiałeś skonsultować się z radcą prawnym firmy.

• Po zmianie umowy proszą o dużo pracy.

• Brakuje Ci pieniędzy i więcej czasu na zamianę.

Powinieneś wyjaśnić, że będziesz potrzebować dużo pieniędzy z góry i że są minimum cztery godziny.

Ostatnie kilka razy mówiłem komuś, że nagle nie byli już tak potrzebni.

Nadal możesz rozliczać je za straty poniesione podczas przejścia i na czas, ponieważ zmieniły one twoją umowę. Nie mówię, że zapłacą w ciągu dwóch tygodni, tak jak myśleli, że w tym czasie się zgodzisz - będą jednostronni, nie mam wątpliwości.

Będzie ich grzechotać, jeśli biuro prawnika wyśle ​​zawiadomienie o windykacji. Powinien przyciągnąć uwagę właściciela firmy audytorskiej.

Odradzałbym wszelkie dalsze kontakty z nimi, tylko dalsze omawianie sprawy pociągnie za sobą depozyt za wymaganą pracę. Wtedy możesz otrzymać zapłatę za ich przekazanie.

Dziwne, że masz obowiązującą umowę, a wtedy ktoś po drugiej stronie zejdzie z torów - jeśli nie jest to test bezpieczeństwa lub inteligencji, to z pewnością sprawdzian twojej cierpliwości.