Câu hỏi Kiểm toán viên an ninh của chúng tôi là một thằng ngốc. Làm thế nào để tôi cho anh ta những thông tin anh ta muốn?


Một kiểm toán viên bảo mật cho các máy chủ của chúng tôi đã yêu cầu những điều sau trong vòng hai tuần:

  • Danh sách tên người dùng hiện tại và mật khẩu thuần văn bản cho tất cả tài khoản người dùng trên tất cả máy chủ
  • Danh sách tất cả các thay đổi mật khẩu trong sáu tháng qua, một lần nữa trong văn bản thuần tuý
  • Danh sách "mọi tệp được thêm vào máy chủ từ thiết bị từ xa" trong sáu tháng qua
  • Khóa công khai và riêng tư của bất kỳ khóa SSH nào
  • Một email được gửi đến anh ấy mỗi lần người dùng thay đổi mật khẩu của họ, chứa mật khẩu thuần văn bản

Chúng tôi đang chạy các hộp Red Hat Linux 5/6 và CentOS 5 có xác thực LDAP.

Theo như tôi biết, mọi thứ trong danh sách đó là không thể hoặc cực kỳ khó để có được, nhưng nếu tôi không cung cấp thông tin này, chúng tôi sẽ mất quyền truy cập vào nền tảng thanh toán và mất thu nhập trong thời gian chuyển đổi khi chúng tôi chuyển sang dịch vụ mới. Bất kỳ đề xuất nào về cách tôi có thể giải quyết hoặc giả mạo thông tin này?

Cách duy nhất tôi có thể nghĩ để có được tất cả các mật khẩu văn bản thuần tuý là để mọi người đặt lại mật khẩu của họ và ghi lại những gì họ đã đặt. Điều đó không giải quyết được vấn đề trong sáu tháng qua của những thay đổi mật khẩu, bởi vì tôi không thể đăng nhập trở lại những thứ đó, cũng giống như việc ghi nhật ký tất cả các tệp từ xa.

Bắt tất cả các khóa SSH công khai và riêng tư là có thể (mặc dù gây phiền nhiễu), vì chúng tôi chỉ có một vài người dùng và máy tính. Trừ khi tôi đã bỏ lỡ một cách dễ dàng hơn để làm điều này?

Tôi đã giải thích với anh ta nhiều lần rằng những điều anh ta yêu cầu là không thể. Để đáp lại những lo ngại của tôi, anh ta trả lời bằng email sau:

Tôi có hơn 10 năm kinh nghiệm trong kiểm toán an ninh và đầy đủ   sự hiểu biết về các phương thức bảo mật redhat, vì vậy tôi khuyên bạn nên kiểm tra   sự thật của bạn về những gì là và không thể. Bạn nói không có công ty nào có thể   có thể có thông tin này nhưng tôi đã thực hiện hàng trăm lần kiểm tra   nơi thông tin này đã có sẵn. Tất cả [tín dụng chung   nhà cung cấp xử lý thẻ] khách hàng được yêu cầu phải tuân thủ   chính sách bảo mật và kiểm toán này nhằm đảm bảo các chính sách đó   đã được triển khai * chính xác.

* "Chính sách bảo mật mới" đã được giới thiệu hai tuần trước khi kiểm toán của chúng tôi, và không cần phải ghi nhật ký lịch sử sáu tháng trước khi thay đổi chính sách.

Tóm lại, tôi cần;

  • Một cách để "giả" sáu tháng giá trị thay đổi mật khẩu và làm cho nó trông hợp lệ
  • Một cách để "giả" sáu tháng chuyển tập tin gửi đến
  • Một cách dễ dàng để thu thập tất cả các khóa công khai và riêng tư của SSH đang được sử dụng

Nếu chúng tôi thất bại trong việc kiểm tra bảo mật, chúng tôi sẽ mất quyền truy cập vào nền tảng xử lý thẻ của chúng tôi (một phần quan trọng của hệ thống của chúng tôi) và sẽ mất hai tuần để di chuyển đến nơi khác. Làm thế nào hơi say tôi?

Cập nhật 1 (Thứ bảy 23)

Cảm ơn tất cả các câu trả lời của bạn, Nó mang lại cho tôi rất nhiều điều thú vị để biết đây không phải là thực hành tiêu chuẩn.

Tôi hiện đang lên kế hoạch trả lời email của tôi cho anh ta giải thích tình hình. Như nhiều người trong số các bạn đã chỉ ra, chúng tôi phải tuân thủ PCI, trong đó nêu rõ rằng chúng tôi không nên có bất kỳ cách nào để truy cập mật khẩu thuần văn bản. Tôi sẽ đăng email khi tôi viết xong. Thật không may tôi không nghĩ rằng anh ấy chỉ thử nghiệm chúng tôi; những điều này đang ở trong chính sách bảo mật chính thức của công ty hiện nay. Tuy nhiên, tôi đã thiết lập các bánh xe chuyển động để tránh xa chúng và vào PayPal trong thời gian này.

Cập nhật 2 (Thứ bảy 23)

Đây là email tôi đã soạn thảo, mọi đề xuất về nội dung để thêm / xóa / thay đổi?

Xin chào tên],

Thật không may là không có cách nào để chúng tôi cung cấp cho bạn một số   thông tin được yêu cầu, chủ yếu là mật khẩu thuần văn bản, mật khẩu   lịch sử, khóa SSH và nhật ký tệp từ xa. Không chỉ là những thứ này   về mặt kỹ thuật không thể, nhưng cũng có thể cung cấp   thông tin sẽ là cả chống lại chuẩn PCI và vi phạm   hành động bảo vệ dữ liệu.
  Để báo các yêu cầu PCI,

8.4 Hiển thị tất cả các mật khẩu không đọc được trong quá trình truyền và lưu trữ trên   tất cả các thành phần hệ thống sử dụng mật mã mạnh.

Tôi có thể cung cấp cho bạn   với danh sách tên người dùng và mật khẩu băm được sử dụng trên hệ thống của chúng tôi,   bản sao của khóa công cộng SSH và tệp máy chủ được ủy quyền (Điều này sẽ   cung cấp cho bạn đủ thông tin để xác định số người dùng duy nhất   có thể kết nối với máy chủ của chúng tôi và các phương pháp mã hóa được sử dụng),   thông tin về các yêu cầu bảo mật mật khẩu và LDAP của chúng tôi   máy chủ nhưng thông tin này có thể không được lấy ra khỏi trang web. Tôi mạnh mẽ   đề nghị bạn xem xét các yêu cầu kiểm toán của bạn vì hiện tại không có cách nào   để chúng tôi vượt qua kiểm toán này trong khi vẫn tuân thủ PCI và   Hành động bảo vệ dữ liệu.

Trân trọng,
  [tôi]

Tôi sẽ được CC'ing trong CTO của công ty và quản lý tài khoản của chúng tôi, và tôi hy vọng CTO có thể xác nhận thông tin này là không có sẵn. Tôi cũng sẽ liên hệ với Hội đồng tiêu chuẩn bảo mật PCI để giải thích những gì anh ta yêu cầu từ chúng tôi.

Cập nhật 3 (26)

Dưới đây là một số email chúng tôi đã trao đổi;

RE: email đầu tiên của tôi;

Như đã giải thích, thông tin này sẽ dễ dàng có sẵn trên bất kỳ giếng nào   duy trì hệ thống cho bất kỳ quản trị viên có thẩm quyền nào. Bạn không thể   có thể cung cấp thông tin này khiến tôi tin rằng bạn biết   lỗ hổng bảo mật trong hệ thống của bạn và không được chuẩn bị để tiết lộ chúng. Của chúng tôi   yêu cầu xếp hàng với các hướng dẫn PCI và cả hai đều có thể được đáp ứng. Mạnh   mật mã chỉ có nghĩa là mật khẩu phải được mã hóa trong khi người dùng   đang nhập chúng nhưng sau đó chúng sẽ được chuyển sang định dạng có thể phục hồi   để sử dụng sau này.

Tôi không thấy vấn đề bảo vệ dữ liệu cho các yêu cầu này, chỉ bảo vệ dữ liệu   áp dụng cho người tiêu dùng không phải doanh nghiệp nên không có vấn đề gì với điều này   thông tin.

Chỉ cần, những gì, tôi, không thể, thậm chí ...

"Mật mã mạnh chỉ có nghĩa là mật khẩu phải được mã hóa trong khi   người dùng nhập chúng nhưng sau đó họ sẽ được chuyển đến   định dạng có thể phục hồi để sử dụng sau này. "

Tôi sẽ đóng khung đó và đặt nó lên tường của tôi.

Tôi đã chán ngấy được ngoại giao và hướng dẫn anh ta đến chủ đề này để cho anh ta phản ứng tôi nhận được:

Cung cấp thông tin này TRỰC TIẾP mâu thuẫn với một số yêu cầu   các hướng dẫn PCI. Phần tôi trích dẫn thậm chí nói storage   (Implying nơi chúng tôi lưu trữ dữ liệu trên đĩa). Tôi đã bắt đầu   thảo luận trên ServerFault.com (Một cộng đồng trực tuyến cho sys-admin   các chuyên gia) đã tạo ra một phản ứng rất lớn, tất cả đều gợi ý điều này   không thể cung cấp thông tin. Hãy tự mình đọc qua chính mình

https & dấu hai chấm // serverfault.com / questions / 293217 /

Chúng tôi đã hoàn thành việc di chuyển trên hệ thống của mình sang một nền tảng mới và sẽ   hủy tài khoản của chúng tôi với bạn trong vòng một ngày tới nhưng tôi muốn   bạn nhận ra những yêu cầu vô lý như thế nào, và không có công ty nào   thực hiện đúng các hướng dẫn PCI sẽ, hoặc nên, có thể   cung cấp thông tin này. Tôi thực sự khuyên bạn nên nghĩ lại   yêu cầu bảo mật vì không có khách hàng nào của bạn có thể   phù hợp với điều này.

(Tôi thực sự quên tôi đã gọi anh ta là một tên ngốc trong tiêu đề, nhưng như đã đề cập, chúng tôi đã chuyển khỏi nền tảng của họ nên không có tổn thất thực sự nào.)

Và trong phản ứng của mình, ông nói rằng dường như không ai trong số các bạn biết những gì bạn đang nói về:

Tôi đọc chi tiết thông qua các phản hồi và bài đăng gốc của bạn,   tất cả những người phản ứng cần phải có được sự thật của họ. Tôi đã ở trong cái này   công nghiệp dài hơn bất kỳ ai trên trang web đó, nhận danh sách người dùng   mật khẩu tài khoản cực kỳ cơ bản, nó phải là một trong những mật khẩu đầu tiên   những điều bạn làm khi học cách bảo vệ hệ thống của bạn và là điều cần thiết   cho hoạt động của bất kỳ máy chủ bảo mật nào. Nếu bạn thực sự thiếu   kỹ năng để làm một cái gì đó đơn giản này tôi sẽ giả sử bạn không có   PCI được cài đặt trên các máy chủ của bạn khi có thể khôi phục   thông tin là yêu cầu cơ bản của phần mềm. Khi giải quyết   một cái gì đó như bảo mật bạn không nên hỏi những câu hỏi này   một diễn đàn công khai nếu bạn không có kiến ​​thức cơ bản về cách hoạt động của nó.

Tôi cũng muốn đề nghị rằng bất kỳ nỗ lực nào để lộ tôi, hoặc   [tên công ty] sẽ bị coi là phỉ báng và hành động pháp lý thích hợp   sẽ bị lấy đi

Các điểm ngu xuẩn chính nếu bạn bỏ lỡ chúng:

  • Anh ta là một kiểm toán viên an ninh lâu hơn bất cứ ai khác ở đây có (Anh ấy đoán hoặc theo dõi bạn)
  • Có thể nhận danh sách mật khẩu trên hệ thống UNIX là 'cơ bản'
  • PCI hiện là phần mềm
  • Mọi người không nên sử dụng diễn đàn khi họ không chắc chắn về bảo mật
  • Đặt thông tin thực tế (mà tôi có bằng chứng email) trực tuyến là phỉ báng

Xuất sắc.

PCI SSC đã phản hồi và đang điều tra ông và công ty. Phần mềm của chúng tôi hiện đã chuyển sang PayPal để chúng tôi biết rằng phần mềm này an toàn. Tôi sẽ đợi PCI quay trở lại với tôi trước nhưng tôi lo lắng một chút rằng họ có thể đã sử dụng những thực hành bảo mật này trong nội bộ. Nếu vậy, tôi nghĩ rằng đó là một mối quan tâm lớn đối với chúng tôi khi tất cả các xử lý thẻ của chúng tôi chạy qua chúng. Nếu họ đã làm điều này trong nội bộ tôi nghĩ rằng điều duy nhất có trách nhiệm phải làm là để thông báo cho khách hàng của chúng tôi.

Tôi hy vọng khi PCI nhận ra rằng họ sẽ điều tra toàn bộ công ty và hệ thống như thế nào nhưng tôi không chắc chắn.

Vì vậy, bây giờ chúng tôi đã di chuyển ra khỏi nền tảng của họ, và giả sử nó sẽ được ít nhất một vài ngày trước khi PCI trở lại với tôi, bất kỳ gợi ý sáng tạo để làm thế nào để troll anh ta một chút? =)

Một khi tôi đã được giải phóng mặt bằng từ pháp nhân của tôi (tôi rất nghi ngờ bất kỳ điều này thực sự là libel nhưng tôi muốn kiểm tra lại) Tôi sẽ công bố tên công ty, tên và email của mình, và nếu bạn muốn bạn có thể liên hệ với anh ta và giải thích tại sao bạn không hiểu những điều cơ bản về bảo mật Linux như cách lấy danh sách tất cả mật khẩu người dùng LDAP.

Cập nhật ít:

"Pháp nhân" của tôi đã gợi ý tiết lộ công ty có lẽ sẽ gây ra nhiều vấn đề hơn cần thiết. Tôi có thể nói mặc dù, đây không phải là nhà cung cấp chính, họ có ít hơn 100 khách hàng sử dụng dịch vụ này. Ban đầu chúng tôi bắt đầu sử dụng chúng khi trang web nhỏ và chạy trên một VPS nhỏ, và chúng tôi không muốn trải qua tất cả nỗ lực của việc nhận PCI (Chúng tôi thường chuyển hướng đến giao diện người dùng của họ, như PayPal Standard). Nhưng khi chúng tôi chuyển sang xử lý trực tiếp các thẻ (bao gồm nhận PCI, và thông thường), các nhà phát triển đã quyết định tiếp tục sử dụng cùng một công ty chỉ với một API khác. Công ty có trụ sở tại khu vực Birmingham, Vương quốc Anh nên tôi rất nghi ngờ bất kỳ ai ở đây sẽ bị ảnh hưởng.


2253
2017-07-22 22:44


gốc


Bạn có hai tuần để cung cấp cho anh ta thông tin và phải mất hai tuần để chuyển đến một nơi khác có thể xử lý thẻ tín dụng. Đừng bận tâm - hãy quyết định chuyển ngay bây giờ và từ bỏ kiểm toán. - Scrivener
Xin vui lòng, cập nhật chúng tôi về những gì xảy ra với điều này. Tôi đã có nó thích để xem làm thế nào các kiểm toán viên được spanked. =) Nếu tôi biết bạn, hãy gửi email cho tôi theo địa chỉ trong tiểu sử của tôi. - Wesley
Anh ta phải kiểm tra bạn xem bạn có thực sự ngu ngốc không. Đúng? Tôi cũng mong là như vậy... - Joe Phillips
Tôi muốn biết một số tài liệu tham khảo cho các công ty khác mà anh ta đã kiểm toán. Nếu không có lý do nào khác hơn là biết ai tránh. Mật khẩu văn bản ... thật sao? Bạn có chắc chắn rằng anh chàng này thực sự không phải là một chiếc mũ đen và các công ty kỹ thuật xã hội ngu ngốc trong việc bàn giao mật khẩu người dùng của họ trong nhiều tháng? Bởi vì nếu có những công ty làm điều này với anh ta thì đây là một cách tuyệt vời để chỉ bàn giao chìa khóa cho ... - Bart Silverstrim
Bất kỳ sự thiếu năng lực đủ tiên tiến nào không thể phân biệt được với sự ác ý - Jeremy French


Các câu trả lời:


Đầu tiên, KHÔNG đầu hàng. Anh ta không chỉ là một thằng ngốc mà còn NGUY HIỂM sai. Trong thực tế, việc phát hành thông tin này sẽ xâm phạm tiêu chuẩn PCI (đó là những gì tôi giả định việc kiểm toán là vì nó là một bộ xử lý thanh toán) cùng với mọi tiêu chuẩn khác ngoài kia và chỉ có ý nghĩa thông thường. Nó cũng sẽ phơi bày công ty của bạn với tất cả các loại nợ phải trả.

Điều tiếp theo tôi sẽ làm là gửi một email cho sếp của bạn nói rằng anh ta cần được tư vấn doanh nghiệp để xác định sự tiếp xúc hợp pháp mà công ty sẽ phải đối mặt bằng cách tiếp tục hành động này.

Bit cuối cùng này tùy thuộc vào bạn, nhưng tôi sẽ liên hệ với VISA với thông tin này và kiểm tra trạng thái kiểm toán PCI của mình.


1171
2017-07-22 23:27



Bạn đánh bại tôi vào nó! Đây là một yêu cầu bất hợp pháp. Nhận một QSA PCI để kiểm tra yêu cầu của bộ vi xử lý. Đưa anh ta vào một cuộc gọi điện thoại. Khoanh tròn toa xe. "Cước súng!" - Wesley
"có được tình trạng kiểm toán PCI của mình kéo" Tôi không biết điều đó có nghĩa là ... nhưng bất cứ điều gì quyền lực này có (các kiểm toán viên) rõ ràng đến từ một hộp jack cracker ướt và cần phải thu hồi. +1 - WernerCD
Đây là tất cả giả định rằng người này thực sự là một kiểm toán viên hợp pháp ... anh ta nghe có vẻ đáng ngờ với tôi. - Reid
Tôi đồng ý -- suspicious auditor, hoặc anh ta là một kiểm toán viên hợp pháp nhìn thấy nếu bạn đủ ngu ngốc để làm bất cứ điều gì trong số những điều này. Hỏi tại sao anh ta cần thông tin này. Chỉ cần xem xét mật khẩu, mà không bao giờ nên là văn bản thuần túy, nhưng nên được đằng sau một số mã hóa một chiều (băm). Có lẽ anh ta có một số lý do chính đáng, nhưng với tất cả "kinh nghiệm" của mình anh ta sẽ có thể giúp bạn có được những thông tin cần thiết. - vol7ron
Tại sao điều này nguy hiểm? Danh sách tất cả các mật khẩu văn bản thuần túy - không được có. Nếu danh sách không trống, anh ta có một điểm hợp lệ. Tương tự như vậy đối với những thứ msot. Nếu bạn không có chúng bởi vì họ không có ở đó nói. Các tệp từ xa được thêm vào - đó là một phần của việc kiểm tra. Không biết - bắt đầu đưa vào một hệ thống mà biết. - TomTom


Là người đã trải qua quy trình kiểm toán với Price Waterhouse Coopers cho một hợp đồng chính phủ được phân loại, tôi có thể đảm bảo với bạn, điều này hoàn toàn nằm ngoài câu hỏi và anh chàng này là điên rồ.

Khi PwC muốn kiểm tra sức mạnh mật khẩu của chúng, chúng:

  • Được yêu cầu xem thuật toán sức mạnh mật khẩu của chúng tôi
  • Chạy đơn vị kiểm tra đối với các thuật toán của chúng tôi để kiểm tra xem chúng có từ chối mật khẩu kém hay không
  • Được yêu cầu xem các thuật toán mã hóa của chúng tôi để đảm bảo rằng chúng không thể đảo ngược hoặc không được mã hóa (ngay cả bằng bảng cầu vồng), ngay cả với người có quyền truy cập đầy đủ vào mọi khía cạnh của hệ thống
  • Đã kiểm tra xem các mật khẩu trước đó đã được lưu vào bộ nhớ cache để đảm bảo rằng chúng không thể được sử dụng lại
  • Yêu cầu chúng tôi cho phép (mà chúng tôi đã cấp) cho họ để cố gắng đột nhập vào mạng và các hệ thống liên quan bằng cách sử dụng kỹ thuật phi xã hội (những thứ như xss và không khai thác 0 ngày)

Nếu tôi thậm chí còn ám chỉ rằng tôi có thể cho họ biết mật khẩu người dùng trong 6 tháng qua, họ sẽ không cho chúng tôi ra khỏi hợp đồng ngay lập tức.

Nếu nó có thể để cung cấp các yêu cầu này, bạn sẽ ngay lập tức thất bại mỗi kiểm toán duy nhất đáng có.


Cập nhật: Email phản hồi của bạn có vẻ tốt. Chuyên nghiệp hơn bất cứ thứ gì tôi đã viết.


813
2017-07-23 02:34



+1. Trông giống như những câu hỏi hợp lý mà KHÔNG PHẢI LÀ TRẢ LỜI. Nếu bạn có thể trả lời chúng, bạn có một vấn đề an ninh ngu ngốc trong tầm tay. - TomTom
even by rainbow tableskhông phải là quy tắc ra NTLM? Ý tôi là, nó không mặn ... AFAICR MIT Kerberos không mã hóa hoặc băm mật khẩu hoạt động, không biết trạng thái hiện tại là gì - Hubert Kario
@ Hubert - chúng tôi đã không sử dụng NTLM hoặc Kerberos như các phương thức xác thực truyền qua đã bị cấm và dịch vụ chưa được tích hợp với thư mục hoạt động. Nếu không, chúng tôi cũng không thể hiển thị cho họ thuật toán của chúng tôi (hoặc chúng được tích hợp trong hệ điều hành). Nên đã đề cập - đây là bảo mật cấp ứng dụng, không phải là kiểm tra mức hệ điều hành. - Mark Henderson♦
@tandu - đó là những gì các thông số kỹ thuật cho mức độ phân loại được nêu. Cũng khá phổ biến để ngăn mọi người sử dụng lại lần cuối cùng của họ n mật khẩu, vì nó ngăn mọi người chỉ đạp xe qua hai hoặc ba mật khẩu thường được sử dụng, điều này cũng không an toàn như sử dụng cùng một mật khẩu chung. - Mark Henderson♦
@Slartibartfast: nhưng có ý nghĩa để biết văn bản thuần túy của mật khẩu có nghĩa là kẻ tấn công cũng có thể đột nhập vào cơ sở dữ liệu của bạn và truy xuất mọi thứ trong tầm nhìn đơn giản. Để bảo vệ chống lại việc sử dụng mật khẩu tương tự, có thể được thực hiện bằng javascript ở phía máy khách, khi người dùng đang cố thay đổi mật khẩu, hãy hỏi mật khẩu cũ và so sánh tương tự với mật khẩu cũ trước khi đăng mật khẩu mới lên máy chủ. Cấp, nó chỉ có thể ngăn chặn tái sử dụng từ 1 mật khẩu cuối cùng, nhưng IMO nguy cơ lưu trữ mật khẩu trong văn bản rõ ràng là nhiều hơn nữa. - Lie Ryan


Thành thật mà nói, có vẻ như anh chàng này (người kiểm toán) đang thiết lập bạn. Nếu bạn cung cấp cho anh ta thông tin anh ấy yêu cầu, bạn vừa chứng minh với anh ấy rằng bạn có thể được thiết kế xã hội để từ bỏ thông tin nội bộ quan trọng. Thất bại.


440
2017-07-22 23:40



ngoài ra, bạn có coi bộ xử lý thanh toán của bên thứ ba, như authorize.net không? công ty tôi làm việc cho số tiền rất lớn của các giao dịch thẻ tín dụng thông qua chúng. chúng tôi không phải lưu trữ bất kỳ thông tin thanh toán nào của khách hàng - authorize.net quản lý điều đó - vì vậy không có kiểm toán hệ thống của chúng tôi làm phức tạp mọi thứ. - anastrophe
đây là chính xác những gì tôi nghĩ đã xảy ra. Kỹ thuật xã hội có lẽ là cách dễ nhất để có được thông tin này và tôi nghĩ anh ta đang thử lỗ hổng đó. Anh chàng này rất thông minh hoặc rất câm - Joe Phillips
Vị trí này ít nhất là bước đầu tiên hợp lý nhất. Nói với anh ta rằng bạn sẽ phá vỡ luật / quy tắc / bất cứ điều gì bằng cách làm bất kỳ điều gì, nhưng bạn đánh giá cao guile của mình. - michael
Câu hỏi ngớ ngẩn: là "thiết lập" chấp nhận được trong tình huống này? Logic thông thường cho tôi biết một quá trình kiểm toán không nên được thực hiện bằng "thủ thuật". - Agos
@Agos: Tôi đã làm việc tại một địa điểm cách đây vài năm đã thuê một cơ quan để thực hiện kiểm toán. Một phần của cuộc kiểm toán bao gồm gọi những người ngẫu nhiên trong công ty với "<CIO> yêu cầu tôi gọi cho bạn và nhận thông tin đăng nhập của bạn để tôi có thể <làm điều gì đó>." Không chỉ họ kiểm tra để thấy rằng bạn sẽ không thực sự từ bỏ bằng chứng, nhưng một khi bạn gác máy, bạn phải gọi ngay <CIO> hoặc <Security Admin> và báo cáo trao đổi. - Toby


Tôi vừa mới phát hiện bạn đang ở Anh, điều đó có nghĩa là những gì anh ta yêu cầu bạn làm là phá luật (Đạo luật bảo vệ dữ liệu trên thực tế). Tôi cũng đang ở Anh, làm việc cho một công ty được kiểm toán lớn và biết luật pháp và các thông lệ chung quanh khu vực này. Tôi cũng là một công việc rất khó chịu, người sẽ vui vẻ kiềm chế anh chàng này cho bạn nếu bạn thích chỉ vì niềm vui của nó, hãy cho tôi biết nếu bạn muốn giúp đỡ ok.


335
2017-07-23 07:01



Giả sử có bất kỳ thông tin cá nhân nào trên các máy chủ đó, tôi cho rằng việc chuyển giao / tất cả / thông tin đăng nhập để truy cập bằng văn bản thuần túy cho người nào đó có mức độ không đủ năng lực này sẽ vi phạm Nguyên tắc 7 ... ("Các biện pháp kỹ thuật và tổ chức phù hợp sẽ được thực hiện chống lại việc xử lý dữ liệu cá nhân trái phép hoặc bất hợp pháp và chống lại việc mất mát hoặc phá hủy ngẫu nhiên hoặc làm hỏng dữ liệu cá nhân. ") - Stephen Veiss
Tôi nghĩ đó là giả định hợp lý - nếu bạn đang lưu trữ thông tin thanh toán, có thể bạn cũng đang lưu trữ thông tin liên hệ cho người dùng của mình. Nếu tôi ở vị trí của OP, tôi sẽ thấy "những gì bạn yêu cầu tôi không chỉ phá vỡ các chính sách và nghĩa vụ hợp đồng [tuân thủ PCI], mà còn là bất hợp pháp" như một lập luận mạnh mẽ hơn là chỉ đề cập đến chính sách và PCI . - Stephen Veiss
@Jimmy tại sao một mật khẩu không phải là dữ liệu cá nhân? - robertc
@ Richard, bạn có biết đó là một phép ẩn dụ đúng không? - Chopper3
@ Chopper3 Có, tôi vẫn nghĩ rằng nó không phù hợp. Thêm vào đó, tôi chống lại AviD. - Richard Gadsden


Bạn đang được thiết kế xã hội. Hoặc là để 'kiểm tra bạn' hoặc một hacker của nó giả làm kiểm toán viên để có được một số dữ liệu rất hữu ích.


271
2017-07-23 09:20



Tại sao đây không phải là câu trả lời hàng đầu? Điều đó có nói gì đó về cộng đồng, sự dễ dàng của kỹ thuật xã hội, hay tôi thiếu cái gì đó cơ bản? - Paul
không bao giờ thuộc tính để ác ý những gì có thể được quy cho sự thiếu hiểu biết - aldrinleal
Phân bổ tất cả những yêu cầu đó để vô minh khi người kiểm toán tuyên bố là một người chuyên nghiệp, mặc dù, kéo dài trí tưởng tượng một chút. - Thomas K
Vấn đề với lý thuyết này là, ngay cả khi anh ta "rơi cho nó" hoặc "thất bại trong thử nghiệm", anh ta không thể cho anh ta thông tin vì nó Không thể nào..... - eds
Suy đoán tốt nhất của tôi là 'kỹ thuật xã hội nghiêm túc' (có phải ngẫu nhiên là cuốn sách mới của Kevin Mitnick sắp ra mắt không?), Trong trường hợp đó công ty thanh toán của bạn sẽ ngạc nhiên (bạn đã kiểm tra với họ về 'kiểm toán' chưa?) . Lựa chọn khác là một người kiểm toán rất tân binh mà không có kiến ​​thức về Linux, người đã cố gắng lừa đảo và giờ đây đang đào sâu vào sâu hơn, sâu hơn và sâu hơn. - Koos van den Hout


Tôi nghiêm túc lo ngại về OPs thiếu kỹ năng giải quyết vấn đề đạo đức  cộng đồng lỗi máy chủ bỏ qua sự vi phạm trắng trợn về hành vi đạo đức này.

Tóm lại, tôi cần;

  • Một cách để 'giả' sáu tháng thay đổi mật khẩu và làm cho nó trông hợp lệ
  • Một cách để 'giả' sáu tháng chuyển tập tin gửi đến

Hãy để tôi được rõ ràng về hai điểm:

  1. Nó không bao giờ thích hợp để làm sai lệch dữ liệu trong quá trình kinh doanh bình thường.
  2. Bạn không bao giờ nên tiết lộ loại thông tin này cho bất kỳ ai. Không bao giờ.

Nó không phải là công việc của bạn để làm sai lệch hồ sơ. Đó là công việc của bạn để đảm bảo rằng mọi hồ sơ cần thiết đều có sẵn, chính xác và an toàn.

Cộng đồng ở đây tại Server Fault phải đối xử với các loại câu hỏi này khi trang stackoverflow xử lý các câu hỏi "bài tập về nhà". Bạn không thể giải quyết những vấn đề này chỉ với một phản ứng kỹ thuật hoặc bỏ qua việc vi phạm trách nhiệm đạo đức.

Thấy rất nhiều người dùng đại diện trả lời ở đây trong chủ đề này và không đề cập đến những tác động đạo đức của câu hỏi làm tôi buồn.

Tôi sẽ khuyến khích mọi người đọc Quy tắc đạo đức của quản trị viên hệ thống SAGE. 

BTW, kiểm toán viên an ninh của bạn là một thằng ngốc, nhưng điều đó không có nghĩa là bạn cần phải cảm thấy áp lực là phi đạo đức trong công việc của bạn.

Chỉnh sửa: Cập nhật của bạn là vô giá. Giữ đầu của bạn xuống, bột khô của bạn, và không mất (hoặc cho) bất kỳ nickels gỗ.


266
2017-07-24 20:05



Tôi không đồng ý. "Kiểm toán viên" đã bắt nạt OP vào việc tiết lộ thông tin sẽ làm suy yếu toàn bộ an ninh CNTT của tổ chức. Trong mọi trường hợp, OP sẽ không tạo ra các hồ sơ đó và cung cấp cho bất kỳ ai. OP không nên giả mạo hồ sơ; họ có thể dễ dàng được nhìn thấy là giả mạo. OP nên giải thích cho các cấp cao hơn tại sao các yêu cầu kiểm toán an ninh là một mối đe dọa hoặc thông qua các ý định độc hại hoặc không đủ năng lực (mật khẩu email trong văn bản thuần túy). OP nên đề nghị chấm dứt ngay lập tức kiểm toán viên an ninh và điều tra đầy đủ các hoạt động khác của kiểm toán viên trước đây. - dr jimbob
dr jimbob, tôi nghĩ rằng bạn đang thiếu điểm: "OP không nên hồ sơ giả mạo, họ có thể dễ dàng được nhìn thấy là giả mạo." vẫn là một vị trí phi đạo đức như bạn đang gợi ý rằng anh ta chỉ nên làm sai lệch dữ liệu khi nó không thể được phân biệt với dữ liệu thực. Gửi dữ liệu sai là phi đạo đức. Việc gửi mật khẩu của người dùng của bạn cho bên thứ ba là không đáng kể. Vì vậy, chúng tôi đồng ý rằng một cái gì đó cần phải được thực hiện về tình trạng này. Tôi đang bình luận về việc thiếu tư duy đạo đức quan trọng trong việc giải quyết vấn đề này. - Joseph Kern
Tôi không đồng ý với "Đó là công việc của bạn để đảm bảo những hồ sơ đó có sẵn, chính xác và an toàn". Bạn có nghĩa vụ bảo vệ hệ thống của mình; yêu cầu không hợp lý (như lưu trữ mật khẩu và chia sẻ mật khẩu) không nên được thực hiện nếu chúng thỏa hiệp hệ thống. Lưu trữ, ghi âm và chia sẻ mật khẩu văn bản thuần túy là một sự vi phạm lớn về sự tin tưởng với người dùng của bạn. Nó là một mối đe dọa an ninh cờ đỏ lớn. Kiểm toán an ninh có thể và nên được thực hiện mà không cần lộ mật khẩu thô / khóa riêng tư ssh; và bạn nên để các cấp cao hơn biết và giải quyết vấn đề. - dr jimbob
dr jimbob, tôi cảm thấy rằng chúng tôi là hai con tàu đi qua đêm. Tôi đồng ý với mọi điều bạn đang nói; Tôi không phải nói rõ những điểm này một cách rõ ràng. Tôi sẽ sửa lại câu trả lời ban đầu của tôi ở trên. Tôi dựa quá nhiều vào bối cảnh của chủ đề. - Joseph Kern
@ Joseph Kern, tôi đã không đọc bản OP theo cách giống như chính bạn. Tôi đọc nó nhiều hơn như thế nào tôi có thể sản xuất sáu tháng dữ liệu chúng tôi không bao giờ giữ. Chắc chắn, tôi đồng ý rằng hầu hết các cách cố gắng để đáp ứng yêu cầu này sẽ là gian lận. Tuy nhiên, tôi đã lấy cơ sở dữ liệu mật khẩu của mình và trích xuất dấu thời gian trong 6 tháng qua tôi có thể tạo bản ghi về những thay đổi nào vẫn được giữ nguyên. Tôi cho rằng dữ liệu 'giả mạo' vì một số dữ liệu đã bị mất. - user179700


Bạn không thể cho anh ta những gì bạn muốn, và cố gắng để "giả" nó có khả năng trở lại để cắn bạn trong ass (có thể theo cách pháp lý). Bạn cần phải kháng cáo chuỗi lệnh (có thể người kiểm toán này đã bị lừa đảo, mặc dù kiểm toán bảo mật nổi tiếng là ngu ngốc - hãy hỏi tôi về kiểm toán viên muốn truy cập AS / 400 qua SMB) hoặc truy cập địa ngục từ bên dưới những yêu cầu khắt khe này.

Chúng thậm chí không an toàn tốt - một danh sách tất cả các mật khẩu thô là một vô cùng điều nguy hiểm cho không bao giờ sản xuất, bất kể các phương pháp được sử dụng để bảo vệ chúng, và tôi sẽ đặt cược này bloke sẽ muốn chúng e-mailed trong văn bản thuần. (Tôi chắc rằng bạn đã biết điều này rồi, tôi chỉ cần mạo hiểm một chút).

Đối với shits và giggles, yêu cầu anh ta trực tiếp làm thế nào để thực hiện yêu cầu của mình - thừa nhận bạn không biết làm thế nào, và muốn tận dụng kinh nghiệm của mình. Một khi bạn ra ngoài và đi, một phản ứng với "Tôi có hơn 10 năm kinh nghiệm trong kiểm toán an ninh" sẽ là "không, bạn có 5 phút kinh nghiệm lặp đi lặp lại hàng trăm lần".


232
2017-07-22 23:00



... một kiểm toán viên muốn truy cập vào AS / 400 qua SMB? ... tại sao? - Bart Silverstrim
Một rắc rối lặp đi lặp lại nhiều tôi đã có với các công ty tuân thủ PCI là tranh luận chống lại lọc ICMP chăn, và chỉ chặn tiếng vang. ICMP có lý do rất tốt, nhưng bên cạnh đó không thể giải thích được điều đó với rất nhiều người kiểm toán 'làm việc từ một kịch bản'. - Twirrim
@BartSilverstrim Có thể là trường hợp kiểm tra danh sách kiểm tra. Là một kiểm toán viên đã từng nói với tôi - Tại sao kiểm toán viên băng qua đường? Bởi vì đó là những gì họ đã làm năm ngoái. - Scott Pack
Tôi biết nó có thể thực hiện được, "WTF" thực sự? là một thực tế là các kiểm toán viên cho rằng máy đã dễ bị tấn công thông qua SMB cho đến khi anh ta có thể kết nối thông qua SMB ... - womble♦
"Bạn có 5 phút kinh nghiệm lặp đi lặp lại hàng trăm lần" --- ooooh, điều đó đang đi thẳng vào bộ sưu tập trích dẫn của tôi! : D - Tasos Papastylianou


Không có kiểm toán viên nào thất bại bạn nếu họ tìm thấy một vấn đề lịch sử mà bạn đã sửa. Trong thực tế, đó là bằng chứng về hành vi tốt. Với ý nghĩ đó, tôi đề nghị hai điều:

a) Đừng nói dối hoặc làm đồ vật. b) Đọc chính sách của bạn.

Tuyên bố chính cho tôi là câu này:

Tất cả các khách hàng [nhà cung cấp dịch vụ xử lý thẻ tín dụng chung] đều phải tuân thủ các chính sách bảo mật mới của chúng tôi

Tôi đặt cược rằng có một tuyên bố trong những chính sách nói rằng mật khẩu không thể được viết xuống và không thể được chuyển cho bất kỳ ai khác ngoài người dùng. Nếu có, sau đó áp dụng các chính sách đó cho các yêu cầu của mình. Tôi đề nghị xử lý nó như thế này:

  • Danh sách tên người dùng hiện tại và mật khẩu thuần văn bản cho tất cả tài khoản người dùng trên tất cả máy chủ

Chỉ cho anh ta một danh sách tên người dùng, nhưng không cho phép chúng được lấy đi. Giải thích rằng việc cung cấp mật khẩu thuần văn bản là a) không thể vì nó là một chiều, và b) đối với chính sách, mà anh ta đang kiểm tra bạn chống lại, do đó bạn sẽ không tuân theo.

  • Danh sách tất cả các thay đổi mật khẩu trong sáu tháng qua, một lần nữa trong văn bản thuần tuý

Giải thích rằng điều này không có sẵn trong lịch sử. Cung cấp cho anh ta một danh sách thời gian thay đổi mật khẩu gần đây để cho thấy rằng điều này hiện đang được thực hiện. Giải thích, như trên, mật khẩu sẽ không được cung cấp.

  • Danh sách "mọi tệp được thêm vào máy chủ từ thiết bị từ xa" trong sáu tháng qua

Giải thích những gì là và không được đăng nhập. Cung cấp những gì bạn có thể. Không cung cấp bất cứ điều gì bí mật, và giải thích bằng chính sách tại sao không. Hỏi xem liệu nhật ký của bạn có cần được cải thiện hay không.

  • Khóa công khai và riêng tư của bất kỳ khóa SSH nào

Nhìn vào chính sách quản lý chủ chốt của bạn. Nó nên nói rằng các khóa riêng không được phép ra khỏi vùng chứa của chúng và có các điều kiện truy cập nghiêm ngặt. Áp dụng chính sách đó và không cho phép truy cập. Khóa công khai vui vẻ công khai và có thể được chia sẻ.

  • Một email được gửi đến anh ấy mỗi lần người dùng thay đổi mật khẩu của họ, chứa mật khẩu thuần văn bản

Chỉ cần nói không. Nếu bạn có một máy chủ đăng nhập an toàn cục bộ, hãy cho phép anh ta thấy rằng điều này đang được đăng nhập tại chỗ.

Về cơ bản, và tôi xin lỗi để nói điều này, nhưng bạn phải chơi bóng cứng với anh chàng này. Thực hiện đúng chính sách của bạn, đừng đi chệch. Đừng nói dối. Và nếu anh ta thất bại bạn vì bất cứ điều gì không có trong chính sách, phàn nàn với người cao niên của mình tại công ty đã gửi cho anh ta. Thu thập một đường mòn giấy của tất cả điều này để chứng minh rằng bạn đã được hợp lý. Nếu bạn phá vỡ chính sách của bạn, bạn đang ở lòng thương xót của mình. Nếu bạn theo họ đến bức thư, anh ta sẽ bị sa thải.


177
2017-07-23 10:15



Đồng ý, điều này giống như một trong những chương trình thực tế điên rồ, nơi một anh chàng dịch vụ xe hơi lái xe của bạn khỏi một vách đá hoặc một thứ gì đó không thể tin được. Tôi sẽ nói với OP, chuẩn bị hồ sơ của bạn và để lại, nếu các hành động trên không hiệu quả với bạn. Đây rõ ràng là một tình huống vô lý và khủng khiếp. - Jonathan Watmough
Ước gì tôi có thể bỏ phiếu +1,000,000 này. Trong khi hầu hết các câu trả lời ở đây khá nhiều nói cùng một điều, điều này là kỹ lưỡng hơn nhiều. Làm tốt lắm, @Jimmy! - Iszi


Có, kiểm toán viên  một thằng ngốc. Tuy nhiên, như bạn biết, đôi khi kẻ ngốc được đặt ở các vị trí quyền lực. Đây là một trong những trường hợp đó.

Thông tin anh ta yêu cầu có số không mang về an ninh hiện tại của hệ thống. Giải thích cho kiểm toán viên rằng bạn đang sử dụng LDAP để xác thực và mật khẩu được lưu trữ bằng cách sử dụng băm một chiều. Không thể thực hiện một tập lệnh brute-force đối với băm mật khẩu (có thể mất vài tuần (hoặc nhiều năm), bạn sẽ không thể cung cấp mật khẩu.

Tương tự như vậy các tập tin từ xa - Tôi muốn nghe, perchance, làm thế nào ông nghĩ rằng bạn nên có thể phân biệt giữa các tập tin được tạo trực tiếp trên máy chủ và một tập tin đó là SCPed đến máy chủ.

Như @ womble đã nói, không giả mạo bất cứ điều gì. Điều đó sẽ không tốt. Hoặc mương kiểm tra này và phạt một nhà môi giới khác, hoặc tìm cách thuyết phục "chuyên nghiệp" này rằng pho mát của anh đã trượt khỏi bánh quy của anh ta.


134
2017-07-22 23:05



1 cho "... pho mát của anh ấy đã trượt khỏi bánh quy của anh ấy." Đó là một cái mới cho tôi! - Collin Allen
"Thông tin mà anh ta yêu cầu không mang về an ninh hiện tại của hệ thống." <- Tôi thực sự nói nó có rất nhiều sức chịu đựng về an ninh. : P - Ishpeck
(which could take weeks (or years) Tôi quên ở đâu, nhưng tôi tìm thấy ứng dụng trực tuyến này sẽ ước tính phải mất bao lâu để tạo mật khẩu của bạn. Tôi không biết thuật toán brute-force hoặc băm được giả định là gì, nhưng ước tính khoảng 17 nghìn tỷ năm cho hầu hết các mật khẩu của tôi ... :) - Carson Myers
@Carson: ứng dụng trực tuyến mà tôi tìm thấy để ước tính độ mạnh của mật khẩu có cách tiếp cận khác (và có thể chính xác hơn): đối với mọi mật khẩu, nó trả về "Mật khẩu của bạn không an toàn - bạn chỉ cần nhập nó vào một trang web không đáng tin cậy!" - Jason Owen
@ Jason oh không, bạn nói đúng! - Carson Myers


Yêu cầu "kiểm toán viên bảo mật" trỏ tới bất kỳ văn bản nào từ bất kỳ những tài liệu này có yêu cầu và quan sát của anh ta khi anh ấy đấu tranh để đưa ra một lý do và cuối cùng bào chữa cho mình để không bao giờ được nghe từ một lần nữa.


86
2017-07-22 23:15



Đồng ý. Tại sao? là một câu hỏi hợp lệ là một tình huống như thế này. Kiểm toán viên có thể cung cấp tài liệu về trường hợp kinh doanh / hoạt động cho các yêu cầu của mình. Bạn có thể nói với anh ta "Đặt mình vào vị trí của tôi. Đây là loại yêu cầu tôi mong đợi của một người nào đó đang cố gắng thiết lập một sự xâm nhập." - jl.


WTF! Xin lỗi nhưng đó là phản ứng duy nhất của tôi về điều này. Không có yêu cầu kiểm toán nào mà tôi từng nghe nói về việc yêu cầu mật khẩu văn bản thuần túy, đừng để cho họ ăn mật khẩu khi chúng thay đổi.

Thứ nhất, yêu cầu anh ta cho bạn thấy yêu cầu mà bạn cung cấp.

Thứ hai, nếu điều này là dành cho PCI (mà tất cả chúng ta giả định vì nó là một câu hỏi hệ thống thanh toán) đi ở đây: https://www.pcisecuritystandards.org/approved_companies_providers/qsa_companies.php và có được một kiểm toán viên mới.

3, hãy làm theo những gì họ đã nói ở trên, liên hệ với ban quản lý của bạn và yêu cầu họ liên lạc với công ty QSA mà anh ấy đang làm việc. Sau đó ngay lập tức có được một kiểm toán viên khác.

Kiểm toán các trạng thái hệ thống, tiêu chuẩn, quy trình, vv Họ không cần phải có bất kỳ thông tin nào cung cấp cho họ quyền truy cập vào các hệ thống.

Nếu bạn muốn bất kỳ kiểm toán viên được đề nghị hoặc colo thay thế làm việc chặt chẽ với kiểm toán viên liên hệ với tôi và tôi rất sẵn lòng cung cấp tài liệu tham khảo.

Chúc may mắn! Tin tưởng vào ruột của bạn, nếu có vẻ như nó có vẻ sai.


71
2017-07-22 23:55