Ein Sicherheitsprüfer für unsere Server hat innerhalb von zwei Wochen Folgendes verlangt:
- Eine Liste der aktuellen Benutzernamen und Klartextkennwörter für alle Benutzerkonten auf allen Servern
- Eine Liste aller Passwortänderungen der letzten sechs Monate, ebenfalls im Klartext
- Eine Liste aller Dateien, die in den letzten sechs Monaten von Remotegeräten zum Server hinzugefügt wurden
- Die öffentlichen und privaten Schlüssel aller SSH-Schlüssel
- Eine E-Mail, die ihm jedes Mal gesendet wird, wenn ein Benutzer sein Passwort ändert, das das Klartext-Passwort enthält
Wir verwenden Red Hat Linux 5/6 und CentOS 5-Boxen mit LDAP-Authentifizierung.
Soweit mir bekannt ist, ist alles auf dieser Liste entweder unmöglich oder unglaublich schwer zu bekommen, aber wenn ich diese Informationen nicht zur Verfügung stelle, droht uns der Verlust des Zugangs zu unserer Zahlungsplattform und des Einkommens während einer Übergangsphase, wenn wir zu einem wechseln neuer Service. Irgendwelche Vorschläge, wie ich diese Informationen lösen oder fälschen kann?
Ich kann mir nur vorstellen, alle Klartext-Passwörter zu erhalten, indem jeder sein Passwort zurücksetzt und notiert, auf was er es eingestellt hat. Das Problem der letzten sechs Monate mit Passwortänderungen ist damit nicht gelöst, da ich so etwas nicht rückwirkend protokollieren kann. Gleiches gilt für die Protokollierung aller Remote-Dateien.
Das Erhalten aller öffentlichen und privaten SSH-Schlüssel ist möglich (wenn auch ärgerlich), da wir nur wenige Benutzer und Computer haben. Es sei denn, ich habe einen einfacheren Weg verpasst?
Ich habe ihm oft erklärt, dass die Dinge, nach denen er fragt, unmöglich sind. Als Antwort auf meine Bedenken antwortete er mit der folgenden E-Mail:
Ich habe über 10 Jahre Erfahrung in der Sicherheitsüberprüfung und ein umfassendes Verständnis der Redhat-Sicherheitsmethoden. Ich schlage daher vor, dass Sie Ihre Fakten dahingehend überprüfen, was möglich ist und was nicht. Sie sagen, kein Unternehmen könnte möglicherweise über diese Informationen verfügen, aber ich habe Hunderte von Audits durchgeführt, bei denen diese Informationen verfügbar waren. Alle Kunden von [Generic Credit Card Processing Provider] müssen unsere neuen Sicherheitsrichtlinien einhalten. Mit dieser Prüfung soll sichergestellt werden, dass diese Richtlinien korrekt implementiert wurden *.
* Die "neuen Sicherheitsrichtlinien" wurden zwei Wochen vor unserer Prüfung eingeführt, und die sechsmonatige Protokollierung war vor den Richtlinienänderungen nicht erforderlich.
Kurz gesagt, ich brauche;
- Eine Möglichkeit, Kennwortänderungen im Wert von sechs Monaten zu "fälschen" und sie gültig erscheinen zu lassen
- Eine Möglichkeit, sechs Monate lang eingehende Dateiübertragungen zu "fälschen"
- Eine einfache Möglichkeit, alle verwendeten öffentlichen und privaten SSH-Schlüssel zu sammeln
Wenn wir die Sicherheitsüberprüfung nicht bestehen, verlieren wir den Zugriff auf unsere Kartenverarbeitungsplattform (ein wichtiger Teil unseres Systems) und es würde gut zwei Wochen dauern, bis wir woanders sind. Wie beschissen bin ich?
Update 1 (Sa 23.)
Vielen Dank für all Ihre Antworten. Es ist mir eine große Erleichterung zu wissen, dass dies keine Standardpraxis ist.
Ich plane gerade meine E-Mail-Antwort, um ihm die Situation zu erklären. Wie viele von Ihnen betonten, müssen wir PCI einhalten, das ausdrücklich festlegt, dass wir keinen Zugang zu Klartext-Passwörtern haben sollten. Ich werde die E-Mail posten, wenn ich fertig bin. Leider glaube ich nicht, dass er uns nur testet. Diese Dinge sind jetzt in der offiziellen Sicherheitsrichtlinie des Unternehmens enthalten. Ich habe jedoch die Räder in Bewegung gesetzt, um mich vorerst von ihnen weg und auf PayPal zu bewegen.
Update 2 (Sa 23.)
Dies ist die E-Mail, die ich ausgearbeitet habe. Gibt es Vorschläge für Dinge, die hinzugefügt / entfernt / geändert werden müssen?
Hallo [Name],
Leider können wir Ihnen einige der angeforderten Informationen nicht zur Verfügung stellen, hauptsächlich Klartextkennwörter, Kennwortverlauf, SSH-Schlüssel und Remote-Dateiprotokolle. Diese Dinge sind nicht nur technisch unmöglich, sondern die Bereitstellung dieser Informationen würde sowohl gegen die PCI-Standards als auch gegen das Datenschutzgesetz verstoßen.
Um die PCI-Anforderungen zu zitieren,8.4 Machen Sie alle Passwörter während der Übertragung und Speicherung auf allen Systemkomponenten mit starker Kryptografie unlesbar.
Ich kann Ihnen eine Liste der auf unserem System verwendeten Benutzernamen und Hash-Passwörter, Kopien der öffentlichen SSH-Schlüssel und der Datei mit autorisierten Hosts zur Verfügung stellen. Auf diese Weise erhalten Sie genügend Informationen, um die Anzahl der eindeutigen Benutzer zu bestimmen, die eine Verbindung zu unseren Servern herstellen können, sowie die Verschlüsselung Methoden), Informationen zu unseren Passwort-Sicherheitsanforderungen und unserem LDAP-Server, aber diese Informationen dürfen nicht von der Website entfernt werden. Ich empfehle Ihnen dringend, Ihre Prüfungsanforderungen zu überprüfen, da wir derzeit keine Möglichkeit haben, diese Prüfung zu bestehen, obwohl wir die PCI- und Datenschutzbestimmungen einhalten.
Grüße,
[ich]
Ich werde im CTO des Unternehmens und in unserem Kundenbetreuer tätig sein und hoffe, dass der CTO bestätigen kann, dass diese Informationen nicht verfügbar sind. Ich werde mich auch an den PCI Security Standards Council wenden, um zu erklären, was er von uns verlangt.
Update 3 (26.)
Hier sind einige E-Mails, die wir ausgetauscht haben.
RE: meine erste E-Mail;
Wie bereits erläutert, sollten diese Informationen auf jedem gut gewarteten System für jeden zuständigen Administrator leicht verfügbar sein. Wenn Sie diese Informationen nicht bereitstellen können, bin ich der Ansicht, dass Sie Sicherheitslücken in Ihrem System kennen und nicht bereit sind, diese aufzudecken. Unsere Anfragen richten sich nach den PCI-Richtlinien und beides kann erfüllt werden. Starke Kryptografie bedeutet nur, dass die Passwörter verschlüsselt werden müssen, während der Benutzer sie eingibt. Anschließend sollten sie für die spätere Verwendung in ein wiederherstellbares Format verschoben werden.
Ich sehe keine Datenschutzprobleme für diese Anfragen. Der Datenschutz gilt nur für Verbraucher und nicht für Unternehmen. Daher sollte es keine Probleme mit diesen Informationen geben.
Nur, was, ich kann nicht einmal ...
"Starke Kryptografie bedeutet nur, dass die Passwörter verschlüsselt werden müssen, während der Benutzer sie eingibt. Sie sollten dann zur späteren Verwendung in ein wiederherstellbares Format verschoben werden."
Ich werde das rahmen und es an meine Wand hängen.
Ich hatte es satt, diplomatisch zu sein und habe ihn zu diesem Thread geleitet, um ihm die Antwort zu zeigen, die ich bekam:
Die Bereitstellung dieser Informationen widerspricht DIREKT mehreren Anforderungen der PCI-Richtlinien. Der Abschnitt, den ich zitierte, sagt sogar
storage
(was bedeutet, wo wir die Daten auf der Festplatte speichern). Ich habe eine Diskussion auf ServerFault.com (eine Online-Community für Systemadministrator-Experten) gestartet, die eine große Resonanz hervorgerufen hat und darauf hindeutet, dass diese Informationen nicht bereitgestellt werden können. Fühlen Sie sich frei, sich selbst durchzulesenhttps://serverfault.com/questions/293217/
Wir haben unser System auf eine neue Plattform umgestellt und werden unser Konto in den nächsten Tagen bei Ihnen kündigen. Ich möchte jedoch, dass Sie erkennen, wie lächerlich diese Anfragen sind und dass kein Unternehmen, das die PCI-Richtlinien korrekt umsetzt, dies tun wird oder sollte. in der Lage sein, diese Informationen bereitzustellen. Ich empfehle Ihnen dringend, Ihre Sicherheitsanforderungen zu überdenken, da keiner Ihrer Kunden in der Lage sein sollte, dies zu tun.
(Ich hatte eigentlich vergessen, dass ich ihn im Titel einen Idioten genannt hatte, aber wie bereits erwähnt hatten wir uns bereits von ihrer Plattform entfernt, also kein wirklicher Verlust.)
Und in seiner Antwort gibt er an, dass anscheinend keiner von Ihnen weiß, wovon Sie sprechen:
Ich habe diese Antworten und Ihren ursprünglichen Beitrag ausführlich durchgelesen. Alle Antwortenden müssen ihre Fakten richtig stellen. Ich bin schon länger als jeder andere auf dieser Website in dieser Branche tätig. Das Abrufen einer Liste von Benutzerkontokennwörtern ist unglaublich einfach. Dies sollte eine der ersten Aufgaben sein, die Sie beim Erlernen der Sicherheit Ihres Systems ausführen müssen Server. Wenn Sie wirklich nicht in der Lage sind, etwas so Einfaches zu tun, gehe ich davon aus, dass auf Ihren Servern kein PCI installiert ist, da die Wiederherstellung dieser Informationen eine Grundvoraussetzung für die Software ist. Wenn Sie mit etwas wie Sicherheit zu tun haben, sollten Sie diese Fragen nicht in einem öffentlichen Forum stellen, wenn Sie keine Grundkenntnisse über die Funktionsweise haben.
Ich möchte auch vorschlagen, dass jeder Versuch, mich oder [den Namen des Unternehmens] preiszugeben, als Verleumdung betrachtet und entsprechende rechtliche Schritte eingeleitet werden
Wichtige idiotische Punkte, wenn Sie sie verpasst haben:
- Er war länger als jeder andere Sicherheitsprüfer hier (er vermutet oder verfolgt Sie)
- Eine Liste von Passwörtern auf einem UNIX-System abrufen zu können, ist 'einfach'
- PCI ist jetzt Software
- Leute sollten keine Foren benutzen, wenn sie sich der Sicherheit nicht sicher sind
- Tatsacheninformationen (für die ich einen E-Mail-Nachweis habe) online zu stellen, ist Verleumdung
Ausgezeichnet.
PCI SSC hat geantwortet und untersucht ihn und das Unternehmen. Unsere Software ist jetzt auf PayPal umgezogen, sodass wir wissen, dass sie sicher ist. Ich werde darauf warten, dass PCI sich zuerst bei mir meldet, aber ich mache mir ein wenig Sorgen, dass sie diese Sicherheitspraktiken möglicherweise intern angewendet haben. Wenn ja, denke ich, ist es ein großes Anliegen für uns, da alle unsere Kartenverarbeitung durch sie lief. Wenn sie dies intern tun würden, wäre es meines Erachtens die einzige Verantwortung, unsere Kunden zu informieren.
Ich hoffe, wenn PCI erkennt, wie schlimm es ist, werden sie das gesamte Unternehmen und das System untersuchen, aber ich bin nicht sicher.
Nun haben wir uns von ihrer Plattform entfernt und gehen davon aus, dass es mindestens ein paar Tage dauern wird, bis PCI sich wieder bei mir meldet. Irgendwelche einfallsreichen Vorschläge, wie man ihn ein bisschen trollt? =)
Sobald ich die Genehmigung von meinem Anwalt erhalten habe (ich bezweifle sehr, dass dies tatsächlich eine Verleumdung ist, aber ich wollte sie noch einmal überprüfen), veröffentliche ich den Firmennamen, seinen Namen und seine E-Mail-Adresse. Wenn Sie möchten, können Sie ihn kontaktieren und erklären Warum verstehen Sie die Grundlagen der Linux-Sicherheit nicht, wie Sie eine Liste aller LDAP-Benutzerkennwörter abrufen können?
Kleines Update:
Mein "legaler Typ" hat vorgeschlagen, dass die Offenlegung des Unternehmens wahrscheinlich mehr Probleme als nötig verursachen würde. Ich kann jedoch sagen, dass dies kein großer Anbieter ist, da weniger als 100 Kunden diesen Service nutzen. Wir haben sie ursprünglich verwendet, als die Site noch winzig war und auf einem kleinen VPS lief, und wir wollten nicht all die Mühen auf sich nehmen, um PCI zu bekommen. Als wir uns jedoch der direkten Verarbeitung von Karten (einschließlich PCI und Common Sense) zuwandten, beschlossen die Entwickler, weiterhin dasselbe Unternehmen und nur eine andere API zu verwenden. Das Unternehmen hat seinen Sitz in Birmingham, Großbritannien, und ich bezweifle, dass hier jemand betroffen sein wird.
Antworten:
Erstens, kapitulieren Sie nicht. Er ist nicht nur ein Idiot, sondern GEFÄHRLICH falsch. In der Tat würde die Veröffentlichung dieser Informationen gegen den PCI-Standard verstoßen (wofür ich bei der Prüfung davon ausgehe, dass es sich um einen Zahlungsprozessor handelt). Es würde auch Ihr Unternehmen allen Arten von Verbindlichkeiten aussetzen.
Das nächste, was ich tun würde, ist eine E-Mail an Ihren Chef zu senden, in der er darauf hinweist, dass er den Rechtsbeistand des Unternehmens einbeziehen muss, um die rechtliche Gefährdung zu ermitteln, der das Unternehmen ausgesetzt wäre, wenn Sie mit dieser Maßnahme fortfahren.
Das letzte Stück liegt bei Ihnen, aber ich würde VISA mit diesen Informationen kontaktieren und seinen PCI-Auditor-Status erhalten.
quelle
suspicious auditor
oder er ist ein legitimer Prüfer, der sieht, ob Sie dumm genug sind, eines dieser Dinge zu tun. Fragen Sie, warum er diese Informationen benötigt. Betrachten Sie einfach das Passwort, das niemals reiner Text sein sollte, sondern sich hinter einer Einwegverschlüsselung (Hash) befinden sollte. Vielleicht hat er einen legitimen Grund, aber mit all seiner "Erfahrung" sollte er Ihnen helfen können, die notwendigen Informationen zu erhalten.Ich kann Ihnen versichern, dass jemand, der das Prüfungsverfahren mit Price Waterhouse Coopers für einen klassifizierten Regierungsvertrag durchlaufen hat, dies völlig außer Frage steht und dieser Typ ist verrückt.
Als PwC unsere Passwortsicherheit überprüfen wollte, haben sie:
Wenn ich auch nur angedeutet hätte, dass ich ihnen die Passwörter der Benutzer der letzten 6 Monate anzeigen könnte, hätten sie uns sofort vom Vertrag ausgeschlossen.
Wenn es möglich wäre , diese Anforderungen zu erfüllen, würden Sie jede einzelne Prüfung, die sich lohnt, sofort nicht bestehen .
Update: Ihre Antwort-E-Mail sieht gut aus. Weitaus professioneller als alles, was ich geschrieben hätte.
quelle
even by rainbow tables
schließt das NTLM nicht aus? Ich meine, es ist nicht gesalzen ... AFAICR MIT Kerberos hat die aktiven Passwörter nicht verschlüsselt oder gehasht, weiß nicht, was der aktuelle Status istEhrlich gesagt klingt es so, als würde dieser Typ (der Auditor) Sie einrichten. Wenn Sie ihm die Informationen geben, nach denen er fragt, haben Sie ihm gerade bewiesen, dass Sie sozial motiviert sind, kritische interne Informationen preiszugeben. Scheitern.
quelle
Ich habe gerade gesehen, dass Sie in Großbritannien sind, was bedeutet, dass er Sie bittet, das Gesetz zu brechen (das Datenschutzgesetz in der Tat). Ich bin auch in Großbritannien, arbeite für ein großes, stark geprüftes Unternehmen und kenne die Gesetze und gängigen Praktiken in diesem Bereich. Ich bin auch ein sehr böses Stück Arbeit, das diesen Kerl gerne für dich stempelt, wenn du es nur zum Spaß magst, lass es mich wissen, wenn du Hilfe möchtest, ok.
quelle
Sie werden sozial entwickelt. Entweder ist es, Sie zu testen, oder es ist ein Hacker, der sich als Auditor ausgibt, um einige sehr nützliche Daten zu erhalten.
quelle
Ich bin ernsthaft besorgt über den Mangel an ethischen Problemlösungsfähigkeiten bei OPs und darüber, dass die Server-Fehler-Community diesen offensichtlichen Verstoß gegen ethisches Verhalten ignoriert.
Lassen Sie mich zwei Punkte klarstellen:
Es ist nicht Ihre Aufgabe, Aufzeichnungen zu fälschen. Es ist Ihre Aufgabe, sicherzustellen, dass alle erforderlichen Aufzeichnungen verfügbar, genau und sicher sind.
Die Community hier bei Server Fault muss diese Art von Fragen behandeln, da die Stackoverflow-Site "Hausaufgaben" -Fragen behandelt. Sie können diese Probleme nicht nur mit einer technischen Antwort angehen oder die Verletzung der ethischen Verantwortung ignorieren.
Es macht mich traurig, so viele hochrangige Benutzer hier in diesem Thread zu sehen und die ethischen Implikationen der Frage nicht zu erwähnen.
Ich möchte jeden ermutigen, den Verhaltenskodex der SAGE- Systemadministratoren zu lesen .
Übrigens, Ihr Sicherheitsprüfer ist ein Idiot, aber das bedeutet nicht, dass Sie Druck spüren müssen, um bei Ihrer Arbeit unethisch zu sein.
Bearbeiten: Ihre Updates sind von unschätzbarem Wert. Halte deinen Kopf gesenkt, dein Pulver trocken und nimm (oder gib) kein Holznickel.
quelle
Sie können ihm nicht geben, was Sie wollen, und Versuche, es zu "fälschen", werden wahrscheinlich zurückkommen, um Sie in den Arsch zu beißen (möglicherweise auf legale Weise). Sie müssen entweder die Befehlskette ansprechen (es ist möglich, dass dieser Auditor ein Schurke ist, obwohl Sicherheits-Audits notorisch idiotisch sind - fragen Sie mich nach dem Auditor, der über SMB auf einen AS / 400 zugreifen wollte), oder verdammt noch mal heraus von unterhalb dieser onorous Anforderungen.
Sie sind nicht einmal gute Sicherheit - eine Liste aller Text - Kennwörter ist eine unglaublich gefährliche Sache zu je zu produzieren, unabhängig von den verwendeten Methoden , sie zu schützen, und ich werde diese Macker wetten wollen , dass sie im Nur- Text E-Mail . (Ich bin sicher, Sie wissen das schon, ich muss nur ein wenig lüften).
Fragen Sie ihn bei Scheiße und Kichern direkt, wie er seine Anforderungen umsetzen soll - geben Sie zu, dass Sie nicht wissen, wie und möchten Sie seine Erfahrung nutzen. Sobald Sie unterwegs sind, lautet die Antwort auf seine Frage "Ich habe über 10 Jahre Erfahrung in der Sicherheitsüberprüfung" "Nein, Sie haben 5 Minuten Erfahrung, die hunderte Male wiederholt wurden".
quelle
Kein Prüfer sollte versagen, wenn er ein historisches Problem findet, das Sie jetzt behoben haben. Tatsächlich ist das ein Beweis für gutes Verhalten. In diesem Sinne schlage ich zwei Dinge vor:
a) Lüge nicht und erfinde keine Sachen. b) Lesen Sie Ihre Richtlinien.
Die Schlüsselaussage für mich ist diese:
Ich wette, in diesen Richtlinien steht, dass Passwörter nicht aufgeschrieben und nur an den Benutzer weitergegeben werden dürfen. Wenn dies der Fall ist, wenden Sie diese Richtlinien auf seine Anforderungen an. Ich schlage vor, wie folgt vorzugehen:
Zeigen Sie ihm eine Liste der Benutzernamen, lassen Sie sie jedoch nicht entfernen. Erklären Sie, dass die Eingabe von Klartext-Passwörtern a) unmöglich ist, da sie nur in eine Richtung möglich ist, und b) gegen Richtlinien verstößt, gegen die er Sie prüft, sodass Sie nicht gehorchen.
Erklären Sie, dass dies historisch nicht möglich war. Geben Sie ihm eine Liste der letzten Kennwortänderungszeiten, um zu zeigen, dass dies jetzt durchgeführt wird. Erklären Sie wie oben, dass keine Passwörter bereitgestellt werden.
Erklären Sie, was protokolliert wird und was nicht. Geben Sie an, was Sie können. Geben Sie nichts Vertrauliches an und erklären Sie durch Richtlinien, warum nicht. Fragen Sie, ob Ihre Protokollierung verbessert werden muss.
Sehen Sie sich Ihre Schlüsselverwaltungsrichtlinie an. Es sollte angegeben werden, dass private Schlüssel nicht aus ihrem Container gelassen werden dürfen und strenge Zugriffsbedingungen haben. Wenden Sie diese Richtlinie an und erlauben Sie keinen Zugriff. Öffentliche Schlüssel sind häufig öffentlich und können gemeinsam genutzt werden.
Sag einfach nein. Wenn Sie einen lokalen sicheren Protokollserver haben, lassen Sie ihn sehen, dass dieser in situ protokolliert wird.
Grundsätzlich und es tut mir leid, das zu sagen, aber du musst mit diesem Typen Hardball spielen. Befolgen Sie Ihre Politik genau, nicht abweichen. Lüge nicht. Und wenn er Sie für etwas im Stich lässt, das nicht in der Politik ist, beschweren Sie sich bei seinen Senioren in der Firma, die ihn geschickt hat. Sammeln Sie eine Papierspur, um zu beweisen, dass Sie vernünftig waren. Wenn Sie Ihre Politik brechen, sind Sie seiner Gnade ausgeliefert. Wenn Sie ihnen bis zum Ende folgen, wird er entlassen.
quelle
Ja, der Auditor ist ein Idiot. Wie Sie jedoch wissen, werden Idioten manchmal in Machtpositionen versetzt. Dies ist einer dieser Fälle.
Die von ihm angeforderten Informationen haben keinen Einfluss auf die aktuelle Sicherheit des Systems. Erklären Sie dem Prüfer, dass Sie LDAP für die Authentifizierung verwenden und dass die Kennwörter mithilfe eines One-Way-Hash gespeichert werden. Wenn Sie kein Brute-Force-Skript für die Kennwort-Hashes erstellen (was Wochen (oder Jahre) dauern kann), können Sie die Kennwörter nicht bereitstellen.
Ebenso die Remote-Dateien - ich würde gerne hören, wie er meint, Sie sollten in der Lage sein, zwischen Dateien, die direkt auf dem Server erstellt wurden, und einer Datei zu unterscheiden, die per SCP an den Server übertragen wird.
Wie @womble sagte, fälsche nichts. Das wird nichts nützen. Entweder lassen Sie diese Prüfung hinter sich und verhängen Sie einen anderen Broker mit einer Geldstrafe, oder Sie finden einen Weg, diesen "Fachmann" davon zu überzeugen, dass sein Käse von seinem Cracker gerutscht ist.
quelle
(which could take weeks (or years)
Ich habe vergessen, wo, aber ich fand diese App online, die abschätzen würde, wie lange es dauern würde, Ihr Passwort zu erzwingen. Ich weiß nicht, was die angenommenen Brute-Force- oder Hashing-Algorithmen waren, aber es schätzte die meisten meiner Passwörter auf 17 Billionen Jahre ... :)Lassen Sie Ihren "Sicherheitsprüfer" auf einen Text aus einem dieser Dokumente verweisen, der seine Anforderungen erfüllt, und beobachten Sie, wie er sich bemüht, eine Entschuldigung zu finden, und sich schließlich entschuldigt, nie wieder etwas zu hören.
quelle
WTF! Entschuldigung, aber das ist meine einzige Reaktion darauf. Es gibt keine Prüfungsanforderungen, von denen ich jemals gehört habe, dass sie ein Klartext-Passwort erfordern, geschweige denn, dass sie die Passwörter eingeben, wenn sie sich ändern.
Bitten Sie ihn zunächst, Ihnen die Anforderung zu zeigen, die Sie bereitstellen.
2. Wenn dies für PCI ist (was wir alle annehmen, da es sich um eine Frage des Zahlungssystems handelt), gehen Sie hier: https://www.pcisecuritystandards.org/approved_companies_providers/qsa_companies.php und holen Sie sich einen neuen Prüfer.
3. Befolgen Sie die oben genannten Anweisungen, wenden Sie sich an Ihr Management und lassen Sie sie das QSA-Unternehmen kontaktieren, mit dem er zusammenarbeitet. Dann sofort einen anderen Auditor holen.
Prüfer prüfen Systemzustände, -standards, -prozesse usw. Sie müssen keine Informationen haben, die ihnen den Zugriff auf Systeme ermöglichen.
Wenn Sie empfohlene Auditoren oder alternative Farbtöne wünschen, die eng mit den Auditoren zusammenarbeiten, wenden Sie sich an mich, und ich gebe Ihnen gerne Referenzen.
Viel Glück! Vertraue deinem Bauch, wenn etwas nicht stimmt, ist es wahrscheinlich.
quelle
Es gibt keinen legitimen Grund für ihn, das Passwort zu kennen und Zugang zu den privaten Schlüsseln zu haben. Was er verlangte, würde ihm die Möglichkeit geben, sich jederzeit als einer Ihrer Kunden auszugeben und so viel Geld wie er möchte abzusaugen, ohne es als mögliche betrügerische Transaktion zu erkennen. Es ist genau die Art von Sicherheitsbedrohungen, für die er Sie überwachen soll.
quelle
Benachrichtigen Sie das Management, dass der Prüfer Sie aufgefordert hat, Ihre Sicherheitsrichtlinien zu unterbinden, und dass die Anforderung rechtswidrig ist. Schlagen Sie vor, dass sie die gegenwärtige Wirtschaftsprüfungsgesellschaft entleeren und eine legitime finden möchten. Rufen Sie die Polizei und wenden Sie sich an den Rechnungsprüfer, um illegale Informationen anzufordern (in Großbritannien). Rufen Sie dann die PCI an und wenden Sie sich an den Auditor.
Die Bitte ist vergleichbar mit der Frage, ob Sie nach dem Zufallsprinzip jemanden umbringen und ihm die Leiche übergeben wollen. Würdest du das machen? oder würdest du die Bullen anrufen und sie abgeben?
quelle
Antworten Sie mit einer Klage . Wenn ein Auditor nach Klartext-Passwörtern fragt (es ist nicht so schwer, schwache Passwort-Hashes zu knacken oder zu knacken), hat er Sie wahrscheinlich wegen seiner Anmeldeinformationen belogen.
quelle
Nur ein Tipp, wie Sie Ihre Antwort formulieren:
Ich würde dies umformulieren, um eine Diskussion über die technische Machbarkeit zu vermeiden. Wenn Sie die schreckliche E-Mail lesen, die der Prüfer ursprünglich gesendet hat, sieht es so aus, als wäre dies jemand, der Details heraussuchen kann, die nicht mit dem Hauptproblem zusammenhängen, und der argumentiert, Sie könnten Passwörter speichern, sich anmelden usw. Also entweder sagen :
Oder
Viel Glück und halten Sie uns auf dem Laufenden, wie dies endet!
quelle
Hier sind meine Gedanken, da die Gefahr besteht, dass sich immer wieder hochrangige Benutzer mit dieser Frage befassen.
Ich kann irgendwie vage verstehen, warum er die Klartext-Passwörter haben möchte, und das ist ein Urteil über die Qualität der verwendeten Passwörter. Das ist eine blöde Methode. Die meisten Auditoren, von denen ich weiß, dass sie die verschlüsselten Hashes akzeptieren und einen Cracker laufen lassen, um zu sehen, welche Art von tief hängenden Früchten sie herausholen können. Alle werden die Richtlinien zur Kennwortkomplexität durchgehen und prüfen, welche Sicherheitsvorkehrungen vorhanden sind, um dies durchzusetzen.
Sie müssen jedoch einige Passwörter übermitteln. Ich schlage vor (obwohl ich glaube, dass Sie dies bereits getan haben), ihn zu fragen, was das Ziel der Übermittlung von Klartext-Passwörtern ist. Er sagte, es sei Ihre Compliance-Richtlinie im Vergleich zur Sicherheitsrichtlinie zu validieren, also fordern Sie ihn auf, Ihnen diese Richtlinie zu geben. Fragen Sie ihn, ob er akzeptiert, dass Ihr Kennwortkomplexitätsregime robust genug ist, um zu verhindern, dass Benutzer ihr Kennwort
P@55w0rd
festlegen , und nachweislich in den fraglichen 6 Monaten vorhanden sind.Wenn er darauf drängt, müssen Sie möglicherweise zugeben, dass Sie keine Klartext-Passwörter übermitteln können, da Sie nicht für die Aufzeichnung von Passwörtern eingerichtet sind (was ein schwerwiegender Sicherheitsfehler ist), können dies jedoch in Zukunft tun, wenn er dies erfordert Direkte Überprüfung, ob Ihre Kennwortrichtlinien funktionieren. Und wenn er es beweisen will, stellen Sie ihm gerne die verschlüsselte Passwortdatenbank zur Verfügung (oder Sie! Zeigen Sie Bereitschaft! Es hilft!), Um einen knackigen Pass zu durchlaufen.
Die "Remote-Dateien" können wahrscheinlich aus den SSH-Protokollen für SFTP-Sitzungen abgerufen werden, wovon er vermutlich spricht. Wenn Sie kein Syslogging für 6 Monate haben, ist dies schwer zu realisieren. Wird die Verwendung von wget zum Abrufen einer Datei von einem Remote-Server, während Sie über SSH angemeldet sind, als "Remote-Dateiübertragung" betrachtet? Sind HTTP-PUTs? Dateien, die aus dem Text der Zwischenablage im Terminalfenster des Remotebenutzers erstellt wurden? Wenn überhaupt, können Sie ihn mit diesen Randbemerkungen belästigen, um ein besseres Gefühl für seine Bedenken in diesem Bereich zu bekommen und vielleicht das Gefühl "Ich weiß mehr darüber als Sie" sowie die spezifischen Technologien, über die er nachdenkt, zu vermitteln. Extrahieren Sie dann das, was Sie können, aus Protokollen und archivierten Protokollen für Sicherungen.
Ich habe nichts auf den SSH-Schlüsseln. Das Einzige, woran ich denken kann, ist, dass er aus irgendeinem Grund nach passwortlosen Schlüsseln sucht und möglicherweise nach Kryptostärke. Ansonsten habe ich nichts bekommen.
Bezüglich des Erhaltens dieser Schlüssel ist es einfach genug, zumindest die öffentlichen Schlüssel zu sammeln; Durchsuchen Sie einfach die .ssh-Ordner, um nach ihnen zu suchen. Um die privaten Schlüssel zu erhalten, müssen Sie Ihren BOFH-Hut aufsetzen und Ihre Benutzer anstoßen, um zu erfahren, wie Sie mir Ihre öffentlichen und privaten SSH-Schlüsselpaare senden. Alles, was ich nicht erhalte, wird in 13 Tagen von den Servern gelöscht wenn jemand kreischt (ich würde), zeigen Sie sie auf die Sicherheitsüberprüfung. Scripting ist dein Freund hier. Zumindest führt dies dazu, dass eine Reihe passwortloser Schlüsselpaare Passwörter abrufen.
Wenn er immer noch auf "Klartext-Passwörtern in E-Mails" besteht, müssen diese E-Mails mindestens mit seinem eigenen Schlüssel einer GPG / PGP-Verschlüsselung unterzogen werden. Jeder Sicherheitsprüfer, der sein Geld wert ist, sollte in der Lage sein, mit so etwas umzugehen. Auf diese Weise, wenn die Passwörter lecken, liegt es daran, dass er sie rauslässt, nicht Sie. Noch ein Lackmustest für Kompetenz.
In diesem Punkt muss ich sowohl Zypher als auch Womble zustimmen. Gefährlicher Idiot mit gefährlichen Folgen.
quelle
Wahrscheinlich testet er Sie, um festzustellen, ob Sie ein Sicherheitsrisiko darstellen. Wenn Sie ihm diese Daten mitteilen, werden Sie wahrscheinlich sofort entlassen. Bringen Sie dies zu Ihrem direkten Vorgesetzten und geben Sie das Geld weiter. Lassen Sie Ihren Chef wissen, dass Sie die zuständigen Behörden einbeziehen, wenn dieser Arsch wieder in Ihrer Nähe ist.
Dafür werden Chefs bezahlt.
Ich sehe ein Stück Papier im hinteren Teil eines Taxis, auf dem sich eine Liste mit Passwörtern, SSH-Schlüsseln und Benutzernamen befindet. Hhhmmm! Kann die Schlagzeilen jetzt sehen!
Aktualisieren
In Reaktion auf die 2 Kommentare unten, denke ich, haben Sie beide gute Punkte zu machen. Es gibt keine Möglichkeit, wirklich die Wahrheit herauszufinden, und die Tatsache, dass die Frage überhaupt gestellt wurde, zeigt ein wenig Naivität seitens des Plakats sowie den Mut, sich einer negativen Situation mit möglichen Karrierefolgen zu stellen, in der andere ihren Kopf in den Nacken stecken würden Sand und weglaufen.
Mein Fazit für das, was es wert ist, ist, dass dies eine durchaus interessante Debatte ist, bei der sich die meisten Leser wahrscheinlich fragen, was sie in dieser Situation tun würden, unabhängig davon, ob der Abschlussprüfer oder die Prüfungsrichtlinien kompetent sind oder nicht. Die meisten Menschen werden in ihrem Arbeitsleben mit diesem Dilemma in irgendeiner Form konfrontiert sein, und dies ist wirklich nicht die Art von Verantwortung, die auf die Schultern einer einzelnen Person übertragen werden sollte. Es ist eher eine geschäftliche Entscheidung als eine individuelle Entscheidung, wie man damit umgeht.
quelle
the responders all need to get their facts right. I have been in this industry longer than anyone on that site
- unbezahlbarNatürlich gibt es hier viele gute Informationen, aber erlauben Sie mir, mein 2c als jemand hinzuzufügen, der Software schreibt, die von meinem Arbeitgeber weltweit an große Unternehmen verkauft wird, hauptsächlich, um Menschen bei der Einhaltung der Sicherheitsrichtlinien für die Kontoverwaltung und beim Bestehen von Audits zu unterstützen. für was das wert ist.
Erstens klingt dies sehr verdächtig, wie Sie (und andere) bemerkt haben. Entweder befolgt der Auditor nur ein Verfahren, das er nicht versteht (möglich), oder er testet Sie auf Schwachstellen, so dass Social Engineering (unwahrscheinlich nach einem Austausch) oder ein Betrugs-Social-Engineering, das Sie (auch möglich), oder nur einen generischen Idioten (wahrscheinlich) höchstwahrscheinlich). In Bezug auf die Beratung würde ich Ihnen empfehlen, mit Ihrem Management zu sprechen und / oder eine neue Prüfungsgesellschaft zu finden und / oder diese der zuständigen Aufsichtsbehörde zu melden.
Wie für Notizen, ein paar Dinge:
Ich hoffe, das hilft, auch wenn es hauptsächlich darum geht, zu wiederholen, was andere Leute geraten haben. Wie Sie werde ich meine Firma nicht nennen, in meinem Fall, weil ich nicht für sie spreche (persönliches Konto / Meinungen und alles); Entschuldigung, wenn das die Glaubwürdigkeit beeinträchtigt, aber so sei es. Viel Glück.
quelle
Dies könnte und sollte auf die IT-Sicherheit - Stack Exchange gebucht werden .
Ich bin kein Experte für Sicherheitsüberprüfung, aber das Erste, was ich über Sicherheitspolitik gelernt habe, ist
"NEVER GIVE PASSWORDS AWAY"
. Dieser Typ ist vielleicht seit 10 Jahren in diesem Geschäft, aber wie Womble sagte"no, you have 5 minutes of experience repeated hundreds of times"
Ich arbeite seit einiger Zeit mit Bank-IT-Leuten zusammen, und als ich Sie beim Posten sah, habe ich es ihnen gezeigt ... Sie haben so hart gelacht. Sie sagten mir, dass dieser Typ wie ein Betrüger aussieht. Sie handelten mit solchen Dingen, um die Sicherheit der Bankkunden zu gewährleisten.
Die Aufforderung zur Eingabe eines eindeutigen Kennworts, von SSH-Schlüsseln und Kennwortprotokollen ist eindeutig ein schwerwiegendes berufliches Fehlverhalten. Dieser Typ ist gefährlich.
Ich hoffe, dass jetzt alles in Ordnung ist und dass Sie kein Problem damit haben, dass sie Ihre vorherige Transaktion mit ihnen protokolliert haben können.
quelle
Wenn Sie eine der in den Punkten 1, 2, 4 und 5 geforderten Informationen (mit der möglichen Ausnahme der öffentlichen Schlüssel) bereitstellen können, sollten Sie damit rechnen, dass die Prüfung nicht bestanden wird.
Antworten Sie förmlich auf die Punkte 1, 2 und 5 und geben Sie an, dass Sie diese nicht einhalten können, da Ihre Sicherheitsrichtlinie erfordert, dass Sie keine Klartextkennwörter verwenden und Kennwörter mit einem nicht umkehrbaren Algorithmus verschlüsselt werden. Auch unter Punkt 4 können Sie die privaten Schlüssel nicht angeben, da dies gegen Ihre Sicherheitsrichtlinien verstoßen würde.
Zu Punkt 3. Wenn Sie die Daten haben, geben Sie sie an. Wenn Sie dies nicht tun, weil Sie es nicht sammeln mussten, sagen Sie es und zeigen Sie, wie Sie jetzt (darauf hin) arbeiten, um die neue Anforderung zu erfüllen.
quelle
Ein Sicherheitsprüfer für unsere Server hat innerhalb von zwei Wochen Folgendes verlangt :
...
Wenn wir die Sicherheitsüberprüfung nicht bestehen, verlieren wir den Zugriff auf unsere Kartenverarbeitungsplattform (ein wichtiger Teil unseres Systems) und es würde gut zwei Wochen dauern, bis wir woanders sind . Wie beschissen bin ich?
Es scheint, als hätten Sie Ihre eigene Frage beantwortet. (Hinweise finden Sie im fettgedruckten Text.)
Es kommt nur eine Lösung in den Sinn: Fordern Sie jeden auf, sein letztes und aktuelles Passwort aufzuschreiben und es dann sofort durch ein neues zu ersetzen. Wenn er die Passwortqualität testen möchte (und die Qualität der Übergänge von Passwort zu Passwort, um beispielsweise sicherzustellen, dass niemand rfvujn125 und dann rfvujn126 als nächstes Passwort verwendet), sollte diese Liste der alten Passwörter ausreichen.
Wenn das nicht akzeptabel ist, würde ich vermuten, dass der Typ ein Mitglied von Anonymous / LulzSec ist. An diesem Punkt sollten Sie ihn fragen, wie er damit umgeht, und ihm sagen, dass er aufhören soll, so ein Peeling zu sein!
quelle
Wie oli sagte: Die betreffende Person versucht, Sie dazu zu bringen, gegen das Gesetz (Datenschutz / EU-Vertraulichkeitsrichtlinien) / interne Vorschriften / PCI-Standards zu verstoßen. Sie sollten nicht nur die Geschäftsleitung benachrichtigen müssen (wie Sie es meiner Meinung nach bereits getan haben), sondern Sie können auch die Polizei wie vorgeschlagen anrufen.
Wenn die betreffende Person über eine Akkreditierung / Zertifizierung verfügt, z. B. CISA (Certified Information Systems Auditor) oder das britische Äquivalent der US CPA (Bezeichnung eines Wirtschaftsprüfers), können Sie auch die Akkreditierungsorganisationen informieren, um dies zu untersuchen. Diese Person versucht nicht nur, Sie dazu zu bringen, gegen das Gesetz zu verstoßen, sondern es ist auch eine äußerst inkompetente "Prüfung", die möglicherweise gegen jeden ethischen Prüfungsstandard verstößt, nach dem akkreditierte Prüfer den Verlust der Akkreditierung zu verantworten haben.
Wenn die betreffende Person Mitglied eines größeren Unternehmens ist, benötigen die genannten Prüforganisationen außerdem häufig eine Art QS-Abteilung, die die Qualität der Prüfungen und die Prüfungsablage überwacht und Beschwerden untersucht. Sie können sich also auch bei der betreffenden Prüfungsgesellschaft beschweren.
quelle
Ich lerne noch und als Erstes habe ich beim Einrichten von Servern gelernt, dass Sie sich bereits für einen riesigen Verstoß gefährden, wenn Sie die Protokollierung von Klartext-Passwörtern ermöglichen. Außer dem Benutzer, der das Kennwort verwendet, sollte kein Kennwort bekannt sein.
Wenn dieser Typ ein seriöser Auditor ist, sollte er Sie nicht nach diesen Dingen fragen. Für mich klingt er wie ein Missetäter . Ich würde mich an das Regulierungsorgan wenden, weil dieser Typ wie ein kompletter Idiot klingt.
Aktualisieren
Warten Sie, er ist der Meinung, dass Sie eine symmetrische Verschlüsselung verwenden sollten, um nur das Kennwort zu übertragen, diese dann aber in Ihrer Datenbank als Klartext speichern oder eine Möglichkeit zum Entschlüsseln bereitstellen. Nach all den anonymen Angriffen auf Datenbanken, bei denen Benutzerpasswörter im Klartext angezeigt wurden, ist er STILL der Ansicht, dass dies ein guter Weg ist, eine Umgebung zu "sichern".
Er ist ein Dinosaurier, der in den 1960er Jahren feststeckte ...
quelle
Ich würde mit etwas antworten, das meinen Antworten entspricht und bei Bedarf durch PCI-Compliance, SOX_compliance und interne Dokumente zu Sicherheitsrichtlinien gestützt wird.
quelle
Dieser Kerl bittet darum, in den Himmel zu stinken, und ich stimme zu, dass jegliche Korrespondenz von hier an über den CTO geführt werden sollte. Entweder versucht er, Sie zum Sündenbock zu machen, weil Sie dieser Aufforderung nicht nachkommen können, weil Sie vertrauliche Informationen preisgeben, oder er ist grob inkompetent. Hoffentlich nimmt Ihr CTO / Manager diese Anfrage doppelt auf und es werden positive Maßnahmen ergriffen, und wenn sie hinter den Maßnahmen dieses Typen stehen ... sind gute Systemadministratoren in den Kleinanzeigen immer gefragt, wie Es hört sich so an, als wäre es an der Zeit, nach einem Ort Ausschau zu halten, wenn dies passiert.
quelle
Ich würde ihm sagen, dass es Zeit, Mühe und Geld kostet, die Cracking-Infrastruktur für die Passwörter aufzubauen, aber da Sie starkes Hashing wie SHA256 oder was auch immer verwenden, ist es möglicherweise nicht möglich, die Passwörter innerhalb von 2 Wochen bereitzustellen. Darüber hinaus habe ich die Rechtsabteilung kontaktiert, um zu bestätigen, ob die Weitergabe dieser Daten an Dritte zulässig ist. PCI DSS ist auch eine gute Idee, die Sie erwähnen sollten. :)
Meine Kollegen sind schockiert, wenn sie diesen Beitrag lesen.
quelle
Ich wäre sehr versucht, ihm eine Liste mit Benutzernamen / Passwörtern / privaten Schlüsseln für Honeypot-Konten zu geben, falls er jemals die Anmeldungen für diese Konten auf unberechtigten Zugriff auf ein Computersystem überprüft. Leider setzt dies Sie jedoch mindestens einer Art zivilrechtlichen Delikts aus, wenn Sie eine betrügerische Darstellung vornehmen.
quelle
Lehnen Sie es einfach ab, die Informationen preiszugeben, und geben Sie an, dass Sie die Passwörter nicht weitergeben können, da Sie keinen Zugriff darauf haben. Da er selbst Wirtschaftsprüfer ist, muss er eine Institution vertreten. Solche Institute veröffentlichen in der Regel Richtlinien für eine solche Prüfung. Überprüfen Sie, ob eine solche Anforderung diesen Richtlinien entspricht. Sie können sich sogar bei solchen Vereinigungen beschweren. Machen Sie dem Prüfer auch klar, dass im Falle eines Fehlverhaltens die Schuld auf ihn (den Prüfer) zurückgehen kann, da er alle Passwörter hat.
quelle
Ich würde sagen, dass Sie ihm KEINE der angeforderten Informationen zur Verfügung stellen können.
Dieser Kerl zieht deinen Kumpel! Sie müssen entweder mit seinem Vorgesetzten oder einem anderen Wirtschaftsprüfer im Unternehmen Kontakt aufnehmen, um seine unerhörten Forderungen zu bestätigen. Und entfernen Sie sich so schnell wie möglich.
quelle
Problem mittlerweile gelöst, aber zum Wohle zukünftiger Leser ...
Bedenkt, dass:
Sie scheinen mehr als eine Stunde dafür aufgewendet zu haben.
Sie mussten den Rechtsbeistand des Unternehmens konsultieren.
Sie verlangen viel Arbeit, nachdem sie Ihre Vereinbarung geändert haben.
Sie haben kein Geld mehr und mehr Zeit zum Umsteigen.
Sie sollten erklären, dass Sie im Vorfeld viel Geld benötigen und dass mindestens vier Stunden erforderlich sind.
Die letzten Male habe ich jemandem gesagt, dass er plötzlich nicht mehr so bedürftig ist.
Sie können sie weiterhin für Verluste während der Umstellung und für die benötigte Zeit in Rechnung stellen, da sie Ihre Vereinbarung geändert haben. Ich sage nicht, dass sie innerhalb von zwei Wochen zahlen werden, so wie sie dachten, dass Sie sich innerhalb dieser Zeit daran halten würden - sie werden einseitig sein, daran besteht kein Zweifel.
Es wird sie rasseln, wenn die Kanzlei Ihres Anwalts den Abholschein sendet. Es sollte die Aufmerksamkeit des Eigentümers der Wirtschaftsprüfungsgesellschaft auf sich ziehen.
Ich würde davon abraten, mit ihnen weiter zu verhandeln. Nur um die Angelegenheit weiter zu erörtern, muss eine Kaution für die erforderliche Arbeit hinterlegt werden. Dann kannst du dafür bezahlt werden, dass du sie verraten hast.
Es ist seltsam, dass Sie eine Vereinbarung getroffen haben und dann jemand am anderen Ende von der Spur gerät - wenn es kein Test für Sicherheit oder Intelligenz ist, ist es sicherlich ein Test für Ihre Geduld.
quelle