Frage Unser Sicherheitsprüfer ist ein Idiot. Wie gebe ich ihm die Informationen, die er will?


Ein Sicherheitsprüfer für unsere Server hat innerhalb von zwei Wochen Folgendes gefordert:

  • Eine Liste der aktuellen Benutzernamen und Klartextpasswörter für alle Benutzerkonten auf allen Servern
  • Eine Liste aller Passwortänderungen für die letzten sechs Monate, ebenfalls im Klartext
  • Eine Liste von "jeder Datei, die von entfernten Geräten zum Server hinzugefügt wurde" in den letzten sechs Monaten
  • Die öffentlichen und privaten Schlüssel aller SSH-Schlüssel
  • Eine E-Mail wird jedes Mal an ihn gesendet, wenn ein Benutzer sein Passwort mit dem Klartextpasswort ändert

Wir betreiben Red Hat Linux 5/6 und CentOS 5 Boxen mit LDAP-Authentifizierung.

Soweit mir bekannt ist, ist alles auf dieser Liste entweder unmöglich oder unglaublich schwer zu bekommen, aber wenn ich diese Informationen nicht zur Verfügung stelle, werden wir den Zugang zu unserer Zahlungsplattform verlieren und während einer Übergangszeit Geld verlieren, wenn wir auf eine neuer Service. Irgendwelche Vorschläge, wie ich diese Informationen lösen oder vortäuschen kann?

Der einzige Weg, wie ich daran denke, alle Klartext-Passwörter zu bekommen, ist, jeden dazu zu bringen, sein Passwort zurückzusetzen und zu notieren, worauf es eingestellt ist. Das löst nicht das Problem der Passwortänderungen in den letzten sechs Monaten, weil ich diese Art von Zeugs nicht rückwirkend protokollieren kann, das gleiche gilt für die Protokollierung aller Remote-Dateien.

Es ist möglich (wenn auch ärgerlich), alle öffentlichen und privaten SSH-Schlüssel zu erhalten, da wir nur wenige Benutzer und Computer haben. Es sei denn, ich habe einen einfacheren Weg verpasst.

Ich habe ihm oft erklärt, dass die Dinge, nach denen er fragt, unmöglich sind. Als Antwort auf meine Bedenken antwortete er mit der folgenden E-Mail:

Ich habe über 10 Jahre Erfahrung in der Sicherheitsprüfung und eine vollständige   Verständnis der redhat Sicherheitsmethoden, also schlage ich vor, Sie überprüfen   Ihre Fakten darüber, was möglich ist und was nicht. Du sagst, keine Firma könnte es   möglicherweise habe ich diese Informationen, aber ich habe Hunderte von Audits durchgeführt   wo diese Information verfügbar war. Alles [generischer Kredit   Kartenverarbeitungsanbieter] Kunden müssen sich an unsere neuen anpassen   Sicherheitsrichtlinien und diese Prüfung soll diese Richtlinien sicherstellen   wurden korrekt implementiert *.

* Die "neuen Sicherheitsrichtlinien" wurden zwei Wochen vor unserer Prüfung eingeführt, und die sechsmonatige Protokollierung war nicht erforderlich, bevor sich die Richtlinie änderte.

Kurz gesagt, ich brauche;

  • Eine Möglichkeit, die Passwortänderungen von sechs Monaten zu "fälschen" und sie so aussehen zu lassen, als wären sie gültig
  • Eine Möglichkeit, sechs Monate lang eingehende Dateiübertragungen zu "fälschen"
  • Eine einfache Möglichkeit, alle verwendeten öffentlichen und privaten SSH-Schlüssel zu sammeln

Wenn wir das Sicherheitsaudit nicht bestehen, verlieren wir den Zugang zu unserer Kartenverarbeitungsplattform (ein kritischer Teil unseres Systems) und es würde gut zwei Wochen dauern, um woanders hinzugehen. Wie schlau bin ich?

Update 1 (23. Sa)

Danke für all Ihre Antworten. Es gibt mir große Erleichterung zu wissen, dass dies keine Standard-Praxis ist.

Ich plane gerade meine E-Mail-Antwort, um ihm die Situation zu erklären. Wie viele von Ihnen betont haben, müssen wir uns an die PCI halten, die explizit besagt, dass wir keine Möglichkeit haben sollten, auf Klartext-Passwörter zuzugreifen. Ich werde die E-Mail veröffentlichen, wenn ich mit dem Schreiben fertig bin. Leider glaube ich nicht, dass er uns nur testet; Diese Dinge sind jetzt in der offiziellen Sicherheitspolitik des Unternehmens. Ich habe jedoch die Räder in Bewegung gesetzt, um mich vorläufig von ihnen weg zu bewegen und auf PayPal zu setzen.

Update 2 (23. Sa)

Dies ist die E-Mail, die ich entworfen habe, Vorschläge für Dinge, die du hinzufügen / entfernen / ändern kannst?

Hallo [Name],

Leider haben wir keine Möglichkeit, Ihnen etwas anzubieten   der angeforderten Informationen, hauptsächlich Klartext-Passwörter, Passwort   History, SSH-Schlüssel und Remote-Dateiprotokolle. Nicht nur diese Dinge   technisch unmöglich, aber auch in der Lage, dies zu leisten   Informationen wären sowohl gegen PCI - Standards als auch gegen die   Datenschutzgesetz.
  Um die PCI-Anforderungen zu zitieren,

8.4 Übertragen Sie alle Passwörter, die während der Übertragung und Speicherung nicht lesbar sind   Alle Systemkomponenten verwenden eine starke Kryptographie.

Ich kann dich versorgen   mit einer Liste von Benutzernamen und Hash-Passwörtern, die auf unserem System verwendet werden,   Kopien der öffentlichen SSH-Schlüssel und der Datei mit den autorisierten Hosts (Dies wird   geben Sie genügend Informationen, um die Anzahl der eindeutigen Benutzer zu bestimmen   kann sich mit unseren Servern verbinden und die verwendeten Verschlüsselungsmethoden verwenden,   Informationen zu unseren Passwort-Sicherheitsanforderungen und unserem LDAP   Server, aber diese Informationen dürfen nicht von der Site entfernt werden. Ich stark   Ich schlage vor, dass Sie Ihre Prüfungsanforderungen überprüfen, da es derzeit keine Möglichkeit gibt   für uns, diese Prüfung zu bestehen, während wir in Übereinstimmung mit der PCI und der   Datenschutzgesetz

Grüße,
  [mir]

Ich werde CC'ing im CTO des Unternehmens und unserem Kundenbetreuer sein, und ich hoffe, dass der CTO bestätigen kann, dass diese Informationen nicht verfügbar sind. Ich werde auch den PCI Security Standards Council kontaktieren, um zu erklären, was er von uns verlangt.

Update 3 (26.)

Hier sind einige E-Mails, die wir ausgetauscht haben;

RE: meine erste E-Mail;

Wie erläutert, sollte diese Information in jedem Bohrloch leicht verfügbar sein   gepflegtes System an jeden zuständigen Administrator. Dein Versagen zu sein   in der Lage, diese Informationen zur Verfügung zu stellen, führt mich zu der Überzeugung, dass Sie sich dessen bewusst sind   Sicherheitsmängel in Ihrem System und sind nicht bereit, sie zu enthüllen. Unsere   Anfragen entsprechen den PCI-Richtlinien und beide können erfüllt werden. Stark   Kryptographie bedeutet nur, dass die Passwörter während des Benutzers verschlüsselt sein müssen   gibt sie ein, aber dann sollten sie in ein wiederherstellbares Format verschoben werden   für späteren Gebrauch.

Ich sehe keine Datenschutzprobleme für diese Anfragen, nur Datenschutz   Dies gilt für die Verbraucher und nicht für die Unternehmen, daher sollte es keine Probleme geben   Information.

Nur, was ich nicht kann, sogar ...

"Starke Kryptographie bedeutet nur, dass die Passwörter verschlüsselt sein müssen während   der Benutzer gibt sie ein, aber dann sollten sie zu a verschoben werden   wiederherstellbares Format für die spätere Verwendung. "

Ich werde das einrahmen und es an meine Wand hängen.

Ich hatte es satt, diplomatisch zu sein und leitete ihn zu diesem Thread, um ihm die Antwort zu zeigen, die ich bekam:

Die Bereitstellung dieser Informationen widerspricht DIREKT mehreren Anforderungen   der PCI-Richtlinien. Der Abschnitt, den ich zitiert habe, sagt sogar storage   (Implizieren, wo wir die Daten auf der Festplatte speichern). Ich habe angefangen   Diskussion auf ServerFault.com (Eine Online-Community für sys-admin   Profis), die eine große Resonanz geschaffen haben, die alle darauf hindeuten   Informationen können nicht bereitgestellt werden. Fühlen Sie sich frei, durch sich selbst zu lesen

https & colon // serverfault.com / fragen / 293217 /

Wir sind damit fertig, unser System auf eine neue Plattform zu bringen und werden es sein   wenn du unseren Account innerhalb des nächsten Tages annullierst, aber ich möchte   Sie erkennen, wie lächerlich diese Anfragen sind, und keine Firma   Die korrekte Umsetzung der PCI-Richtlinien wird oder sollte möglich sein   stelle diese Informationen bereit. Ich schlage vor, dass Sie Ihre Meinung überdenken   Sicherheitsanforderungen, die keiner Ihrer Kunden erfüllen sollte   konform zu diesem.

(Ich hatte wirklich vergessen, dass ich ihn im Titel einen Idioten genannt hatte, aber wie bereits erwähnt, waren wir bereits von ihrer Plattform weggezogen, also kein wirklicher Verlust.)

Und in seiner Antwort sagt er, dass anscheinend keiner von euch weiß, wovon du redest:

Ich lese im Detail durch diese Antworten und Ihren ursprünglichen Beitrag, die   Responder müssen alle ihre Fakten richtig machen. Ich war dabei   Industrie länger als irgendjemand auf dieser Site, eine Liste der Benutzer erhalten   Account-Passwörter sind unglaublich einfach, es sollte einer der ersten sein   Dinge, die Sie tun, wenn Sie lernen, wie Sie Ihr System sichern und es ist wichtig   zum Betrieb eines sicheren Servers. Wenn es Ihnen wirklich fehlt   Fähigkeiten, etwas so einfach zu machen, werde ich annehmen, dass du es nicht hast   PCI wurde auf Ihren Servern installiert, um dies wiederherstellen zu können   Information ist eine Grundvoraussetzung der Software. Beim Umgang mit   etwas wie Sicherheit sollten Sie diese Fragen nicht stellen   ein öffentliches Forum, wenn Sie nicht wissen, wie es funktioniert.

Ich würde auch vorschlagen, dass jeder Versuch, mich zu enthüllen, oder   [Firmenname] wird als Verleumdung und angemessene rechtliche Schritte angesehen   wird genommen werden

Wichtige idiotische Punkte, wenn Sie sie verpasst haben:

  • Er war länger als jeder andere hier (er ratet oder verfolgt dich)
  • In der Lage zu sein, eine Liste von Passwörtern auf einem UNIX-System zu erhalten, ist "grundlegend"
  • PCI ist jetzt Software
  • Benutzer sollten Foren nicht verwenden, wenn sie sich der Sicherheit nicht sicher sind
  • Tatsacheninformationen (zu denen ich einen E-Mail-Nachweis habe) online zu stellen ist Verleumdung

Ausgezeichnet.

PCI SSC hat geantwortet und untersucht ihn und das Unternehmen. Unsere Software ist jetzt auf PayPal umgestiegen, damit wir wissen, dass es sicher ist. Ich werde darauf warten, dass PCI zuerst zu mir zurückkommt, aber ich mache mir ein wenig Sorgen, dass sie diese Sicherheitspraktiken möglicherweise intern genutzt haben. Wenn das der Fall ist, denke ich, dass dies für uns eine große Sorge ist, da alle unsere Kartenverarbeitung sie durchlaufen hat. Wenn sie das intern tun würden, wäre es meiner Meinung nach das einzig Verantwortliche, unsere Kunden zu informieren.

Ich hoffe, wenn PCI realisiert, wie schlimm es ist, werden sie das gesamte Unternehmen und System untersuchen, aber ich bin mir nicht sicher.

So, jetzt sind wir von ihrer Plattform weggegangen, und angenommen, es wird mindestens ein paar Tage dauern, bevor PCI zu mir zurückkommt, irgendwelche erfinderischen Vorschläge, wie man ihn ein bisschen trollt? =)

Sobald ich die Freigabe von meinem Anwalt erhalten habe (ich bezweifle, dass das alles Verleumdung ist, aber ich wollte es noch einmal überprüfen), werde ich den Firmennamen, seinen Namen und seine E-Mail veröffentlichen, und wenn du willst, kannst du ihn kontaktieren und erklären Warum Sie die Grundlagen der Linux-Sicherheit nicht verstehen, wie Sie eine Liste aller LDAP-Benutzerkennwörter erhalten.

Kleines Update:

Mein "legal guy" hat vorgeschlagen, dass das Enthüllen der Firma wahrscheinlich mehr Probleme verursachen würde als nötig. Ich kann jedoch sagen, dies ist kein wichtiger Anbieter, sie haben weniger 100 Kunden, die diesen Service nutzen. Wir haben sie ursprünglich verwendet, als die Seite winzig war und auf einem kleinen VPS lief, und wir wollten nicht alle Anstrengungen unternehmen, um PCI zu bekommen (wir haben auf ihr Frontend umgeleitet, wie PayPal Standard). Aber als wir zur direkten Verarbeitung von Karten übergingen (einschließlich PCI und Common Sense), entschieden sich die Entwickler dafür, dieselbe Firma nur mit einer anderen API zu verwenden. Das Unternehmen hat seinen Sitz in Birmingham, UK, daher würde ich sehr bezweifeln, dass irgendjemand hier davon betroffen sein wird.


2253
2017-07-22 22:44


Ursprung


Sie haben zwei Wochen Zeit, um ihm die Informationen zu übermitteln, und es dauert zwei Wochen, um an einen anderen Ort zu gehen, der Kreditkarten bearbeiten kann. Kümmern Sie sich nicht um die Entscheidung, jetzt umzuziehen und das Audit aufzugeben. - Scrivener
Bitte, aktualisieren Sie uns, was damit passiert. Ich habe es bevorzugt, um zu sehen, wie der Auditor geschlagen wird. =) Wenn ich Sie kenne, mailen Sie mich an die Adresse in meinem Profil. - Wesley
Er muss dich testen, um zu sehen, ob du wirklich so dumm bist. Recht? Hoffentlich... - Joe Phillips
Ich möchte einige Referenzen für andere Unternehmen, die er auditiert hat, kennenlernen. Wenn aus keinem anderen Grund zu wissen wer vermeiden. Plaintext-Passwörter ... wirklich? Sind Sie sicher, dass dieser Typ wirklich keine schwarzen Hüte und Social-Engineering-dumme Firmen ist, die ihre Benutzerpasswörter für Monate weitergeben? Denn wenn es Firmen gibt, die das mit ihm machen, ist das eine großartige Möglichkeit, die Schlüssel einfach zu übergeben ... - Bart Silverstrim
Jede hinreichend fortgeschrittene Inkompetenz ist von Bosheit nicht zu unterscheiden - Jeremy French


Antworten:


Erstens, kapitulieren Sie nicht. Er ist nicht nur ein Idiot, sondern GEFÄHRLICH falsch. In der Tat würde die Freigabe dieser Information verletzen der PCI-Standard (für den ich anstelle, dass es sich um einen Zahlungsprozessor handelt), zusammen mit jedem anderen Standard und einfach dem gesunden Menschenverstand. Es würde Ihr Unternehmen auch allen möglichen Verbindlichkeiten aussetzen.

Das nächste, was ich tun würde, ist eine E-Mail an Ihren Chef zu schicken, in der er sagt, dass er einen Unternehmensberater hinzuziehen muss, um die rechtliche Exposition des Unternehmens zu ermitteln, indem er mit dieser Aktion fortfährt.

Dieses letzte bisschen liegt an dir, aber ich würde VISA mit diesen Informationen kontaktieren und seinen PCI-Auditor-Status abrufen.


1171
2017-07-22 23:27



Du warst schneller als ich! Dies ist eine illegale Anfrage. Beziehen Sie eine PCI-QSA, um die Anforderung des Prozessors zu prüfen. Bring ihn zu einem Telefonanruf. Umkreise die Wagen. "Ladung für die Waffen!" - Wesley
"Ich lasse seinen PCI-Auditor Status ziehen" Ich weiß nicht, was das bedeutet ... aber welche Autorität dieser Clown (der Auditor) hat, kommt offensichtlich aus einer nassen Cracker Jack Box und muss widerrufen werden. +1 - WernerCD
Dies alles setzt voraus, dass dieser Bursche tatsächlich ein legitimer Auditor ist ... er klingt für mich sehr verdächtig. - Reid
Genau -- suspicious auditoroder er ist ein legitimer Auditor, um zu sehen, ob du dumm genug bist, um all diese Dinge zu tun. Fragen Sie, warum er diese Information benötigt. Denken Sie nur an das Passwort, das niemals einfacher Text sein sollte, sondern hinter einer Einwegverschlüsselung (Hash) stehen sollte. Vielleicht hat er einen legitimen Grund, aber mit all seiner "Erfahrung" sollte er Ihnen helfen können, die notwendigen Informationen zu bekommen. - vol7ron
Warum ist das gefährlich? Eine Liste aller Klartextpasswörter - es sollte keine geben. Wenn die Liste nicht leer ist, hat er einen gültigen Punkt. Gleiches gilt für Dinge, die man nicht tun kann. Wenn du sie nicht hast, weil sie nicht da sind, sag es. Remote-Dateien hinzugefügt - das ist Teil des Auditings. Weiß nicht - fangen Sie an, ein System einzusetzen, das weiß. - TomTom


Als jemand, der das Auditverfahren mit durchlaufen hat Preis Waterhouse Coopers Für einen geheimen Regierungsvertrag kann ich Ihnen versichern, das kommt überhaupt nicht in Frage und dieser Kerl ist verrückt.

Als PwC unsere Passwortstärke prüfen wollte, haben sie:

  • Gefragt, um unsere Algorithmen zur Passwortstärke zu sehen
  • Ran Testeinheiten gegen unsere Algorithmen, um zu überprüfen, dass sie schlechte Passwörter ablehnen würden
  • Gefragt, um unsere Verschlüsselungsalgorithmen zu sehen, um sicherzustellen, dass sie nicht umgekehrt oder unverschlüsselt werden konnten (sogar durch Rainbow-Tabellen), selbst von jemandem, der vollen Zugriff auf jeden Aspekt des Systems hatte
  • Es wurde geprüft, dass vorherige Kennwörter zwischengespeichert wurden, um sicherzustellen, dass sie nicht erneut verwendet werden konnten
  • Bat uns um Erlaubnis (die wir ihnen gewährten), dass sie versuchen sollten, in das Netzwerk und verwandte Systeme einzudringen, indem sie nicht-soziale Techniktechniken (Dinge wie xss und Nicht-0-Tage-Exploits) verwenden

Wenn ich sogar angedeutet hätte, dass ich ihnen zeigen könnte, was die Passwörter der Benutzer in den letzten 6 Monaten waren, hätten sie uns sofort aus dem Vertrag ausgeschlossen.

Wenn es waren möglich um diese Anforderungen zu erfüllen, würdest du sofort fehlschlagen jedes einzelne Audit lohnt sich.


Update: Ihre Antwort-E-Mail sieht gut aus. Viel professioneller als alles, was ich geschrieben hätte.


813
2017-07-23 02:34



+1. Sieht nach vernünftigen Fragen aus, die nicht bezweifelt werden sollten. Wenn Sie sie beantworten können, haben Sie ein dummes Sicherheitsproblem zur Hand. - TomTom
even by rainbow tables schließt das NTLM nicht aus? Ich meine, es ist nicht gesalzen ... AFAICR MIT Kerberos hat die aktiven Passwörter nicht verschlüsselt oder hashed, weiß nicht, was der aktuelle Status ist - Hubert Kario
@Hubert - Wir haben nicht NTLM oder Kerberos verwendet, da Pass-Through-Authentifizierungsmethoden verboten waren und der Dienst sowieso nicht in das Active Directory integriert war. Ansonsten könnten wir ihnen auch unsere Algorithmen nicht zeigen (sie sind in das Betriebssystem integriert). Sollte erwähnt haben - das war Sicherheit auf Anwendungsebene, kein Audit auf Betriebssystemebene. - Mark Henderson♦
@tandu - das ist was die Spezifikationen für das Niveau der Klassifizierung angegeben. Es ist auch ziemlich üblich, Leute davon abzuhalten, ihre Leisten wiederzuverwenden n Passwörter, weil es Menschen davon abhält, nur zwei oder drei häufig verwendete Passwörter durchzugehen, was ebenso unsicher ist wie die Verwendung des gleichen allgemeinen Passworts. - Mark Henderson♦
@Slartibartfast: Aber wenn man den Klartext des Passworts wissen will, kann der Angreifer genauso gut in deine Datenbank eindringen und alles in Sichtweite abrufen. Zum Schutz gegen die Verwendung eines ähnlichen Passworts kann dies in Javascript auf der Client-Seite durchgeführt werden, wenn der Benutzer versucht, das Passwort zu ändern, auch das alte Passwort eingeben und einen Ähnlichkeitsvergleich mit dem alten Passwort durchführen, bevor das neue Passwort auf dem Server veröffentlicht wird. Zugegeben, es kann nur die Wiederverwendung von 1 letzten Passwort verhindern, aber IMO ist das Risiko der Speicherung von Passwort im Klartext viel mehr. - Lie Ryan


Ehrlich gesagt, es klingt, als ob dieser Typ (der Auditor) dich aufrichtet. Wenn Sie ihm die Informationen geben, die er verlangt, haben Sie ihm gerade bewiesen, dass Sie sozial manipuliert werden können, um wichtige interne Informationen aufzugeben. Scheitern.


440
2017-07-22 23:40



Haben Sie auch einen Drittanbieter-Zahlungsprozessor wie authorize.net in Erwägung gezogen? die Firma, für die ich arbeite, macht sehr große Mengen von Kreditkartentransaktionen durch sie. Wir müssen keine Informationen zur Kundenzahlung speichern - authorize.net verwaltet das - daher gibt es keine Prüfung unserer Systeme, um die Dinge zu komplizieren. - anastrophe
Das ist genau das, was ich dachte. Social Engineering ist wahrscheinlich der einfachste Weg, um diese Informationen zu bekommen, und ich denke, er testet diese Lücke. Dieser Typ ist entweder sehr intelligent oder sehr dumm - Joe Phillips
Diese Position ist zumindest der vernünftigste erste Schritt. Sagen Sie ihm, dass Sie Gesetze / Regeln / was auch immer brechen würden, indem Sie irgendetwas davon tun, aber dass Sie seine List schätzen. - michael
Dumme Frage: Ist "Einrichten" in dieser Situation akzeptabel? Gemeinsame Logik sagt mir, dass ein Audit-Prozess nicht von "Tricks" gemacht werden sollte. - Agos
@Agos: Ich habe vor ein paar Jahren an einem Ort gearbeitet, der eine Agentur angestellt hat, um ein Audit durchzuführen. Ein Teil des Audits beinhaltete das Anrufen von zufälligen Personen im Unternehmen mit dem "<CIO> Ich wurde gebeten, Sie anzurufen und Ihre Anmeldedaten zu erhalten, damit ich etwas tun kann." Sie haben nicht nur nachgesehen, dass Sie die Anmeldeinformationen nicht wirklich aufgeben würden, sondern nachdem Sie aufgelegt haben, sollten Sie sofort <CIO> oder <Security Admin> anrufen und den Austausch melden. - Toby


Ich habe gerade gesehen, dass Sie in Großbritannien sind, was bedeutet, dass Sie das Gesetz brechen müssen (das Datenschutzgesetz in der Tat). Ich bin auch in Großbritannien, arbeite für ein großes, stark auditiertes Unternehmen und kenne das Gesetz und die gängigen Praktiken in diesem Bereich. Ich bin auch ein sehr unangenehmes Stück Arbeit, das diesen Kerl gerne für dich bombardieren wird, wenn du nur zum Spaß magst, lass es mich wissen, wenn du Hilfe in Ordnung hättest.


335
2017-07-23 07:01



Unter der Annahme, dass auf diesen Servern persönliche Informationen vorhanden sind, wäre es meines Erachtens eine klare Verletzung von Prinzip 7 ("Angemessene technische und organisatorische Maßnahmen"), wenn ich / alle / die Zugangsdaten im Klartext an jemanden mit dieser nachgewiesenen Inkompetenz weitergeben würde werden gegen die unbefugte oder unrechtmäßige Verarbeitung personenbezogener Daten und gegen den zufälligen Verlust oder die Zerstörung oder Beschädigung von personenbezogenen Daten ergriffen. ") - Stephen Veiss
Ich denke, es ist eine faire Annahme - wenn Sie Zahlungsinformationen speichern, speichern Sie wahrscheinlich auch Kontaktinformationen für Ihre Benutzer. Wenn ich in der Position des OP wäre, würde ich sehen, "was Sie mich bitten, bricht nicht nur Richtlinien und vertragliche Verpflichtungen [zur Einhaltung der PCI], sondern ist auch illegal" als ein stärkeres Argument, als nur Politik und PCI zu erwähnen . - Stephen Veiss
@Jimmy Warum sollte ein Passwort keine persönlichen Daten sein? - robertc
@Richard, du weißt, dass es eine Metapher war, oder? - Chopper3
@ Chopper3 Ja, ich denke immer noch, dass es unangemessen ist. Außerdem konteriere ich AviD. - Richard Gadsden


Du wirst sozial verändert. Entweder es ist "Sie zu testen" oder es ist ein Hacker, der sich als Prüfer ausgibt, um einige sehr nützliche Daten zu erhalten.


271
2017-07-23 09:20



Warum ist das nicht die beste Antwort? Sagt das etwas über die Community, die Leichtigkeit des Social Engineering oder fehlt mir etwas Grundlegendes? - Paul
niemals der Bosheit zuschreiben, was man der Ignoranz zuschreiben kann - aldrinleal
All diese Anfragen der Ignoranz zuzuschreiben, wenn der Auditor behauptet, ein Profi zu sein, dehnt jedoch die Vorstellungskraft ein wenig aus. - Thomas K
Das Problem mit dieser Theorie ist, dass, selbst wenn er "darauf reingefallen" oder "den Test nicht bestanden hat", er konnte nicht gib ihm die Information, weil es ist unmöglich..... - eds
Meine beste Vermutung ist auch 'seriöse Social Engineering' (ist es ein Zufall, dass das neue Buch von Kevin Mitnick bald herauskommt?), In diesem Fall wird Ihre Zahlungsfirma überrascht sein (haben Sie noch mit ihnen über dieses 'Audit' gesprochen?) . Die andere Möglichkeit ist ein sehr erfahrener Auditor ohne Linux-Kenntnisse, der versucht hat zu bluffen und sich jetzt tiefer, tiefer und tiefer begibt. - Koos van den Hout


Ich bin ernsthaft besorgt über die mangelnden ethischen Problemlösungsfähigkeiten von OP und die Gemeinschaft der Serverfehler ignoriert diesen eklatanten Verstoß gegen ethisches Verhalten.

Kurz gesagt, ich brauche;

  • Eine Möglichkeit, Kennwortänderungen von sechs Monaten zu "fälschen" und so zu gestalten, dass sie gültig sind
  • Eine Möglichkeit, um sechs Monate eingehende Dateiübertragungen zu "fälschen"

Lassen Sie mich in zwei Punkten klarstellen:

  1. Es ist niemals angemessen, Daten im normalen Geschäftsverlauf zu fälschen.
  2. Sie sollten diese Art von Informationen niemals an Dritte weitergeben. Je.

Es ist nicht Ihre Aufgabe, Aufzeichnungen zu fälschen. Es ist Ihre Aufgabe sicherzustellen, dass alle erforderlichen Aufzeichnungen verfügbar, genau und sicher sind.

Die Community hier bei Serverfehler Muss Behandeln Sie diese Art von Fragen, während die Stackoverflow-Site "Hausaufgaben" -Fragen behandelt. Sie können diese Probleme nicht nur mit einer technischen Antwort angehen oder die Verletzung der ethischen Verantwortung ignorieren.

Wenn ich hier so viele hochrangige Benutzer sehe, antwortet mir dieser Thread, und die ethischen Implikationen der Frage werden nicht erwähnt.

Ich würde jeden ermutigen, das zu lesen Ethikkodex der SAGE-Systemadministratoren. 

Übrigens, Ihr Sicherheitsprüfer ist ein Idiot, aber das heißt nicht, dass Sie Druck haben müssen, in Ihrer Arbeit unmoralisch zu sein.

Bearbeiten: Ihre Updates sind unbezahlbar. Halte den Kopf gesenkt, dein Pulver trocken und nimm keine Holznickel.


266
2017-07-24 20:05



Ich stimme dir nicht zu. Der "Auditor" schikanierte OP mit Informationen, die die gesamte IT-Sicherheit der Organisation untergraben würden. Unter keinen Umständen sollte OP diese Aufzeichnungen generieren und sie jemandem zur Verfügung stellen. OP sollte keine Platten vortäuschen; Sie können leicht als Fälschung angesehen werden. Das OP sollte den Vorgesetzten erklären, warum die Anforderungen der Sicherheitsauditoren entweder durch böswillige Absichten oder völlige Inkompetenz bedroht sind (E-Mail-Kennwörter im Klartext). Das OP sollte eine sofortige Beendigung des Sicherheitsprüfers und eine umfassende Untersuchung der anderen Tätigkeiten des früheren Abschlussprüfers empfehlen. - dr jimbob
Dr. Jimbob, ich denke, Sie vermissen den Punkt: "OP sollte keine Platten fälschen; sie können leicht als Fälschung angesehen werden." ist immer noch eine unethische Position, da Sie vorschlagen, er sollte nur Daten verfälschen, wenn sie nicht von echten Daten unterschieden werden können. Das Senden falscher Daten ist unethisch. Das Versenden von Passwörtern Ihrer Nutzer an Dritte ist nachlässig. Wir stimmen also zu, dass in dieser Situation etwas getan werden muss. Ich komme zu dem Mangel an kritischem ethischen Denken bei der Lösung dieses Problems. - Joseph Kern
Ich widersprach der "Es ist Ihre Aufgabe, sicherzustellen, dass diese Aufzeichnungen verfügbar, genau und sicher sind." Sie sind verpflichtet, Ihr System sicher zu halten. unvernünftige Anfragen (wie das Speichern und Teilen von Klartext-Passwörtern) sollten nicht durchgeführt werden, wenn sie das System gefährden. Das Speichern, Aufzeichnen und Weitergeben von Klartextkennwörtern ist eine schwerwiegende Verletzung des Vertrauens Ihrer Benutzer. Es ist eine große Sicherheitsbedrohung der roten Flagge. Die Sicherheitsüberprüfung kann und sollte durchgeführt werden, ohne Klartextkennwörter / ssh private Schlüssel offen zu legen; und Sie sollten die höheren ups wissen und das Problem lösen. - dr jimbob
Dr Jimbob, ich fühle, dass wir zwei Schiffe sind, die in der Nacht vorbeikommen. Ich stimme allem zu, was du sagst; Ich habe diese Punkte nicht deutlich genug formuliert. Ich werde meine erste Antwort oben überarbeiten. Ich habe mich zu sehr auf den Kontext des Threads verlassen. - Joseph Kern
@Joseph Kern, ich habe das OP nicht so gelesen wie du. Ich lese es mehr als wie kann ich sechs Monate Daten produzieren, die wir nie behalten haben. Natürlich stimme ich zu, dass die meisten Wege, um diese Anforderung zu erfüllen, betrügerisch sein würden. Sollte ich jedoch meine Passwortdatenbank nehmen und Zeitstempel für die letzten 6 Monate extrahieren, könnte ich eine Aufzeichnung darüber erstellen, welche Änderungen noch erhalten blieben. Ich denke, dass Daten gefälscht werden, da einige Daten verloren gegangen sind. - user179700


Du kannst ihm nicht geben, was du willst, und Versuche, es zu "fälschen", werden wahrscheinlich zurückkommen, um dich in den Arsch zu beißen (möglicherweise auf legale Weise). Entweder müssen Sie die Befehlskette heraufbeschwören (es ist möglich, dass dieser Prüfer Schurken ist, obwohl Sicherheitsüberprüfungen notorisch idiotisch sind - fragen Sie mich nach dem Prüfer, der über SMB auf eine AS / 400 zugreifen wollte), oder gehen Sie zur Hölle unter diesen onorous Anforderungen heraus.

Sie sind nicht einmal gute Sicherheit - eine Liste aller Klartext Passwörter ist ein unglaublich gefährliche Sache zu je Produzieren, unabhängig von den Methoden, um sie zu schützen, und ich wette, dieser Typ wird wollen, dass sie im Klartext per E-Mail verschickt werden. (Ich bin mir sicher, dass du das schon weißt, ich muss nur etwas entlüften).

Fragen Sie ihn, warum er seine Anforderungen erfüllen muss - geben Sie zu, dass Sie nicht wissen, wie und wie Sie seine Erfahrung nutzen können. Sobald Sie unterwegs sind, wäre eine Antwort auf sein "Ich habe über 10 Jahre Erfahrung in der Sicherheitsüberwachung" "Nein, Sie haben 5 Minuten Erfahrung, die sich hunderte Male wiederholen".


232
2017-07-22 23:00



... ein Auditor, der über SMB auf eine AS / 400 zugreifen wollte? ... warum? - Bart Silverstrim
Eine viel wiederholte Mühe, die ich mit PCI-Compliance-Unternehmen hatte, spricht gegen eine umfassende ICMP-Filterung und blockiert nur das Echo. ICMP gibt es aus einem sehr guten Grund, aber es ist fast unmöglich, dies den zahlreichen "von einem Skript arbeitenden" Auditoren zu erklären. - Twirrim
@BartSilverstrim Wahrscheinlich ein Fall von Checklisten-Auditing. Wie mir ein Auditor einmal sagte: Warum überquerte der Auditor die Straße? Denn das haben sie letztes Jahr gemacht. - Scott Pack
Ich weiß, dass es machbar ist, der echte "WTF?" war die Tatsache, dass der Auditor der Ansicht war, dass die Maschine anfällig für Angriffe über SMB war, bis er sich über SMB verbinden konnte ... - womble♦
"Sie haben 5 Minuten Erfahrung, die sich hunderte Male wiederholen" - ooooh, das geht direkt in meine Zitat-Sammlung! : D - Tasos Papastylianou


Kein Auditor sollte Sie scheitern lassen, wenn Sie ein historisches Problem finden, das Sie jetzt behoben haben. In der Tat, das ist ein Beweis für gutes Benehmen. In diesem Sinne schlage ich zwei Dinge vor:

a) Lügen Sie nicht und machen Sie keine Sachen. b) Lesen Sie Ihre Richtlinien.

Die Schlüsselaussage für mich ist diese:

Alle [Kreditkartenanbieter] müssen unseren neuen Sicherheitsrichtlinien entsprechen

Ich wette, dass es in diesen Richtlinien eine Aussage gibt, dass Passwörter nicht aufgeschrieben werden können und nicht an andere als den Benutzer weitergegeben werden können. Wenn dies der Fall ist, wenden Sie diese Richtlinien auf seine Anforderungen an. Ich schlage vor, es so zu behandeln:

  • Eine Liste der aktuellen Benutzernamen und Klartextpasswörter für alle Benutzerkonten auf allen Servern

Zeigen Sie ihm eine Liste von Nutzernamen, aber erlauben Sie nicht, dass diese entfernt werden. Erklären Sie, dass das Geben von Klartext-Passwörtern a) unmöglich ist, weil es einseitig ist, und b) gegen die Politik, gegen die er Sie auditiert, also werden Sie nicht gehorchen.

  • Eine Liste aller Passwortänderungen für die letzten sechs Monate, ebenfalls im Klartext

Erklären Sie, dass dies historisch nicht verfügbar war. Geben Sie ihm eine Liste der letzten Passwortwechselzeiten, um zu zeigen, dass dies jetzt gemacht wird. Erklären Sie, dass Passwörter nicht zur Verfügung gestellt werden.

  • Eine Liste von "jeder Datei, die von entfernten Geräten zum Server hinzugefügt wurde" in den letzten sechs Monaten

Erklären Sie, was protokolliert wird und was nicht. Gib, was du kannst. Geben Sie nichts Vertrauliches an und erklären Sie anhand der Richtlinie, warum nicht. Fragen Sie, ob Ihre Protokollierung verbessert werden muss.

  • Die öffentlichen und privaten Schlüssel aller SSH-Schlüssel

Sehen Sie sich Ihre Richtlinien für die Schlüsselverwaltung an. Es sollte angeben, dass private Schlüssel nicht aus ihrem Container entfernt werden dürfen und strenge Zugangsbedingungen haben. Wenden Sie diese Richtlinie an und erlauben Sie keinen Zugriff. Öffentliche Schlüssel sind glücklicherweise öffentlich und können geteilt werden.

  • Eine E-Mail wird jedes Mal an ihn gesendet, wenn ein Benutzer sein Passwort mit dem Klartextpasswort ändert

Sag einfach nein. Wenn Sie einen lokalen sicheren Protokollserver haben, erlauben Sie ihm zu sehen, dass dies vor Ort protokolliert wird.

Im Grunde, und es tut mir leid, das zu sagen, aber du musst mit diesem Typen hart spielen. Befolgen Sie Ihre Richtlinien genau, nicht abweichen. Lüge nicht. Und wenn er Sie für etwas, das nicht in der Politik ist, versagt, beschweren Sie sich bei seinen Senioren in der Firma, die ihn schickte. Sammeln Sie eine Papierspur von all dem, um zu beweisen, dass Sie vernünftig waren. Wenn Sie Ihre Politik brechen, sind Sie ihm ausgeliefert. Wenn Sie ihnen folgen, wird er am Ende entlassen.


177
2017-07-23 10:15



Einverstanden, das ist wie eine dieser verrückten Reality-Shows, wo ein Auto-Service-Typ sein Auto von einer Klippe fährt oder etwas ebenso Unglaubliches. Ich würde dem OP sagen, Ihr Resümee vorbereiten und gehen, wenn die obigen Maßnahmen für Sie nicht funktionieren. Dies ist eindeutig eine lächerliche und schreckliche Situation. - Jonathan Watmough
Ich wünschte, ich könnte diese +1.000.000 abstimmen. Während die meisten Antworten hier ziemlich dasselbe sagen, ist dieses hier viel gründlicher. Tolle Arbeit, @Jimmy! - Iszi