Ein Sicherheitsprüfer für unsere Server hat innerhalb von zwei Wochen Folgendes verlangt:

• Eine Liste der aktuellen Benutzernamen und Klartextkennwörter für alle Benutzerkonten auf allen Servern
• Eine Liste aller Passwortänderungen der letzten sechs Monate, ebenfalls im Klartext
• Eine Liste aller Dateien, die in den letzten sechs Monaten von Remotegeräten zum Server hinzugefügt wurden
• Die öffentlichen und privaten Schlüssel aller SSH-Schlüssel
• Eine E-Mail, die ihm jedes Mal gesendet wird, wenn ein Benutzer sein Passwort ändert, das das Klartext-Passwort enthält

Wir verwenden Red Hat Linux 5/6 und CentOS 5-Boxen mit LDAP-Authentifizierung.

Soweit mir bekannt ist, ist alles auf dieser Liste entweder unmöglich oder unglaublich schwer zu bekommen, aber wenn ich diese Informationen nicht zur Verfügung stelle, droht uns der Verlust des Zugangs zu unserer Zahlungsplattform und des Einkommens während einer Übergangsphase, wenn wir zu einem wechseln neuer Service. Irgendwelche Vorschläge, wie ich diese Informationen lösen oder fälschen kann?

Ich kann mir nur vorstellen, alle Klartext-Passwörter zu erhalten, indem jeder sein Passwort zurücksetzt und notiert, auf was er es eingestellt hat. Das Problem der letzten sechs Monate mit Passwortänderungen ist damit nicht gelöst, da ich so etwas nicht rückwirkend protokollieren kann. Gleiches gilt für die Protokollierung aller Remote-Dateien.

Das Erhalten aller öffentlichen und privaten SSH-Schlüssel ist möglich (wenn auch ärgerlich), da wir nur wenige Benutzer und Computer haben. Es sei denn, ich habe einen einfacheren Weg verpasst?

Ich habe ihm oft erklärt, dass die Dinge, nach denen er fragt, unmöglich sind. Als Antwort auf meine Bedenken antwortete er mit der folgenden E-Mail:

Ich habe über 10 Jahre Erfahrung in der Sicherheitsüberprüfung und ein umfassendes Verständnis der Redhat-Sicherheitsmethoden. Ich schlage daher vor, dass Sie Ihre Fakten dahingehend überprüfen, was möglich ist und was nicht. Sie sagen, kein Unternehmen könnte möglicherweise über diese Informationen verfügen, aber ich habe Hunderte von Audits durchgeführt, bei denen diese Informationen verfügbar waren. Alle Kunden von [Generic Credit Card Processing Provider] müssen unsere neuen Sicherheitsrichtlinien einhalten. Mit dieser Prüfung soll sichergestellt werden, dass diese Richtlinien korrekt implementiert wurden *.

* Die "neuen Sicherheitsrichtlinien" wurden zwei Wochen vor unserer Prüfung eingeführt, und die sechsmonatige Protokollierung war vor den Richtlinienänderungen nicht erforderlich.

Kurz gesagt, ich brauche;

• Eine Möglichkeit, Kennwortänderungen im Wert von sechs Monaten zu "fälschen" und sie gültig erscheinen zu lassen
• Eine Möglichkeit, sechs Monate lang eingehende Dateiübertragungen zu "fälschen"
• Eine einfache Möglichkeit, alle verwendeten öffentlichen und privaten SSH-Schlüssel zu sammeln

Wenn wir die Sicherheitsüberprüfung nicht bestehen, verlieren wir den Zugriff auf unsere Kartenverarbeitungsplattform (ein wichtiger Teil unseres Systems) und es würde gut zwei Wochen dauern, bis wir woanders sind. Wie beschissen bin ich?

Update 1 (Sa 23.)

Vielen Dank für all Ihre Antworten. Es ist mir eine große Erleichterung zu wissen, dass dies keine Standardpraxis ist.

Ich plane gerade meine E-Mail-Antwort, um ihm die Situation zu erklären. Wie viele von Ihnen betonten, müssen wir PCI einhalten, das ausdrücklich festlegt, dass wir keinen Zugang zu Klartext-Passwörtern haben sollten. Ich werde die E-Mail posten, wenn ich fertig bin. Leider glaube ich nicht, dass er uns nur testet. Diese Dinge sind jetzt in der offiziellen Sicherheitsrichtlinie des Unternehmens enthalten. Ich habe jedoch die Räder in Bewegung gesetzt, um mich vorerst von ihnen weg und auf PayPal zu bewegen.

Update 2 (Sa 23.)

Dies ist die E-Mail, die ich ausgearbeitet habe. Gibt es Vorschläge für Dinge, die hinzugefügt / entfernt / geändert werden müssen?

Hallo [Name],

Leider können wir Ihnen einige der angeforderten Informationen nicht zur Verfügung stellen, hauptsächlich Klartextkennwörter, Kennwortverlauf, SSH-Schlüssel und Remote-Dateiprotokolle. Diese Dinge sind nicht nur technisch unmöglich, sondern die Bereitstellung dieser Informationen würde sowohl gegen die PCI-Standards als auch gegen das Datenschutzgesetz verstoßen.
Um die PCI-Anforderungen zu zitieren,

8.4 Machen Sie alle Passwörter während der Übertragung und Speicherung auf allen Systemkomponenten mit starker Kryptografie unlesbar.

Ich kann Ihnen eine Liste der auf unserem System verwendeten Benutzernamen und Hash-Passwörter, Kopien der öffentlichen SSH-Schlüssel und der Datei mit autorisierten Hosts zur Verfügung stellen. Auf diese Weise erhalten Sie genügend Informationen, um die Anzahl der eindeutigen Benutzer zu bestimmen, die eine Verbindung zu unseren Servern herstellen können, sowie die Verschlüsselung Methoden), Informationen zu unseren Passwort-Sicherheitsanforderungen und unserem LDAP-Server, aber diese Informationen dürfen nicht von der Website entfernt werden. Ich empfehle Ihnen dringend, Ihre Prüfungsanforderungen zu überprüfen, da wir derzeit keine Möglichkeit haben, diese Prüfung zu bestehen, obwohl wir die PCI- und Datenschutzbestimmungen einhalten.

Grüße,
[ich]

Ich werde im CTO des Unternehmens und in unserem Kundenbetreuer tätig sein und hoffe, dass der CTO bestätigen kann, dass diese Informationen nicht verfügbar sind. Ich werde mich auch an den PCI Security Standards Council wenden, um zu erklären, was er von uns verlangt.

Update 3 (26.)

Hier sind einige E-Mails, die wir ausgetauscht haben.

RE: meine erste E-Mail;

Wie bereits erläutert, sollten diese Informationen auf jedem gut gewarteten System für jeden zuständigen Administrator leicht verfügbar sein. Wenn Sie diese Informationen nicht bereitstellen können, bin ich der Ansicht, dass Sie Sicherheitslücken in Ihrem System kennen und nicht bereit sind, diese aufzudecken. Unsere Anfragen richten sich nach den PCI-Richtlinien und beides kann erfüllt werden. Starke Kryptografie bedeutet nur, dass die Passwörter verschlüsselt werden müssen, während der Benutzer sie eingibt. Anschließend sollten sie für die spätere Verwendung in ein wiederherstellbares Format verschoben werden.

Ich sehe keine Datenschutzprobleme für diese Anfragen. Der Datenschutz gilt nur für Verbraucher und nicht für Unternehmen. Daher sollte es keine Probleme mit diesen Informationen geben.

Nur, was, ich kann nicht einmal ...

"Starke Kryptografie bedeutet nur, dass die Passwörter verschlüsselt werden müssen, während der Benutzer sie eingibt. Sie sollten dann zur späteren Verwendung in ein wiederherstellbares Format verschoben werden."

Ich werde das rahmen und es an meine Wand hängen.

Ich hatte es satt, diplomatisch zu sein und habe ihn zu diesem Thread geleitet, um ihm die Antwort zu zeigen, die ich bekam:

Die Bereitstellung dieser Informationen widerspricht DIREKT mehreren Anforderungen der PCI-Richtlinien. Der Abschnitt, den ich zitierte, sagt sogar storage (was bedeutet, wo wir die Daten auf der Festplatte speichern). Ich habe eine Diskussion auf ServerFault.com (eine Online-Community für Systemadministrator-Experten) gestartet, die eine große Resonanz hervorgerufen hat und darauf hindeutet, dass diese Informationen nicht bereitgestellt werden können. Fühlen Sie sich frei, sich selbst durchzulesen

https://serverfault.com/questions/293217/

Wir haben unser System auf eine neue Plattform umgestellt und werden unser Konto in den nächsten Tagen bei Ihnen kündigen. Ich möchte jedoch, dass Sie erkennen, wie lächerlich diese Anfragen sind und dass kein Unternehmen, das die PCI-Richtlinien korrekt umsetzt, dies tun wird oder sollte. in der Lage sein, diese Informationen bereitzustellen. Ich empfehle Ihnen dringend, Ihre Sicherheitsanforderungen zu überdenken, da keiner Ihrer Kunden in der Lage sein sollte, dies zu tun.

(Ich hatte eigentlich vergessen, dass ich ihn im Titel einen Idioten genannt hatte, aber wie bereits erwähnt hatten wir uns bereits von ihrer Plattform entfernt, also kein wirklicher Verlust.)

Und in seiner Antwort gibt er an, dass anscheinend keiner von Ihnen weiß, wovon Sie sprechen:

Ich habe diese Antworten und Ihren ursprünglichen Beitrag ausführlich durchgelesen. Alle Antwortenden müssen ihre Fakten richtig stellen. Ich bin schon länger als jeder andere auf dieser Website in dieser Branche tätig. Das Abrufen einer Liste von Benutzerkontokennwörtern ist unglaublich einfach. Dies sollte eine der ersten Aufgaben sein, die Sie beim Erlernen der Sicherheit Ihres Systems ausführen müssen Server. Wenn Sie wirklich nicht in der Lage sind, etwas so Einfaches zu tun, gehe ich davon aus, dass auf Ihren Servern kein PCI installiert ist, da die Wiederherstellung dieser Informationen eine Grundvoraussetzung für die Software ist. Wenn Sie mit etwas wie Sicherheit zu tun haben, sollten Sie diese Fragen nicht in einem öffentlichen Forum stellen, wenn Sie keine Grundkenntnisse über die Funktionsweise haben.

Ich möchte auch vorschlagen, dass jeder Versuch, mich oder [den Namen des Unternehmens] preiszugeben, als Verleumdung betrachtet und entsprechende rechtliche Schritte eingeleitet werden

Wichtige idiotische Punkte, wenn Sie sie verpasst haben:

• Er war länger als jeder andere Sicherheitsprüfer hier (er vermutet oder verfolgt Sie)
• Eine Liste von Passwörtern auf einem UNIX-System abrufen zu können, ist 'einfach'
• PCI ist jetzt Software
• Leute sollten keine Foren benutzen, wenn sie sich der Sicherheit nicht sicher sind
• Tatsacheninformationen (für die ich einen E-Mail-Nachweis habe) online zu stellen, ist Verleumdung

Ausgezeichnet.

PCI SSC hat geantwortet und untersucht ihn und das Unternehmen. Unsere Software ist jetzt auf PayPal umgezogen, sodass wir wissen, dass sie sicher ist. Ich werde darauf warten, dass PCI sich zuerst bei mir meldet, aber ich mache mir ein wenig Sorgen, dass sie diese Sicherheitspraktiken möglicherweise intern angewendet haben. Wenn ja, denke ich, ist es ein großes Anliegen für uns, da alle unsere Kartenverarbeitung durch sie lief. Wenn sie dies intern tun würden, wäre es meines Erachtens die einzige Verantwortung, unsere Kunden zu informieren.

Ich hoffe, wenn PCI erkennt, wie schlimm es ist, werden sie das gesamte Unternehmen und das System untersuchen, aber ich bin nicht sicher.

Nun haben wir uns von ihrer Plattform entfernt und gehen davon aus, dass es mindestens ein paar Tage dauern wird, bis PCI sich wieder bei mir meldet. Irgendwelche einfallsreichen Vorschläge, wie man ihn ein bisschen trollt? =)

Sobald ich die Genehmigung von meinem Anwalt erhalten habe (ich bezweifle sehr, dass dies tatsächlich eine Verleumdung ist, aber ich wollte sie noch einmal überprüfen), veröffentliche ich den Firmennamen, seinen Namen und seine E-Mail-Adresse. Wenn Sie möchten, können Sie ihn kontaktieren und erklären Warum verstehen Sie die Grundlagen der Linux-Sicherheit nicht, wie Sie eine Liste aller LDAP-Benutzerkennwörter abrufen können?

Kleines Update:

Mein "legaler Typ" hat vorgeschlagen, dass die Offenlegung des Unternehmens wahrscheinlich mehr Probleme als nötig verursachen würde. Ich kann jedoch sagen, dass dies kein großer Anbieter ist, da weniger als 100 Kunden diesen Service nutzen. Wir haben sie ursprünglich verwendet, als die Site noch winzig war und auf einem kleinen VPS lief, und wir wollten nicht all die Mühen auf sich nehmen, um PCI zu bekommen. Als wir uns jedoch der direkten Verarbeitung von Karten (einschließlich PCI und Common Sense) zuwandten, beschlossen die Entwickler, weiterhin dasselbe Unternehmen und nur eine andere API zu verwenden. Das Unternehmen hat seinen Sitz in Birmingham, Großbritannien, und ich bezweifle, dass hier jemand betroffen sein wird.

Erstens, kapitulieren Sie nicht. Er ist nicht nur ein Idiot, sondern GEFÄHRLICH falsch. In der Tat würde die Veröffentlichung dieser Informationen gegen den PCI-Standard verstoßen (wofür ich bei der Prüfung davon ausgehe, dass es sich um einen Zahlungsprozessor handelt). Es würde auch Ihr Unternehmen allen Arten von Verbindlichkeiten aussetzen.

Das nächste, was ich tun würde, ist eine E-Mail an Ihren Chef zu senden, in der er darauf hinweist, dass er den Rechtsbeistand des Unternehmens einbeziehen muss, um die rechtliche Gefährdung zu ermitteln, der das Unternehmen ausgesetzt wäre, wenn Sie mit dieser Maßnahme fortfahren.

Das letzte Stück liegt bei Ihnen, aber ich würde VISA mit diesen Informationen kontaktieren und seinen PCI-Auditor-Status erhalten.

Ich kann Ihnen versichern, dass jemand, der das Prüfungsverfahren mit Price Waterhouse Coopers für einen klassifizierten Regierungsvertrag durchlaufen hat, dies völlig außer Frage steht und dieser Typ ist verrückt.

Als PwC unsere Passwortsicherheit überprüfen wollte, haben sie:

• Gefragt nach unseren Algorithmen für die Kennwortsicherheit
• Wir haben Testeinheiten mit unseren Algorithmen verglichen, um zu überprüfen, ob sie schlechte Passwörter verweigern
• Wir wurden gebeten, unsere Verschlüsselungsalgorithmen zu sehen, um sicherzustellen, dass sie nicht rückgängig gemacht oder unverschlüsselt werden können (auch nicht durch Regenbogentabellen), selbst wenn jemand uneingeschränkten Zugriff auf alle Aspekte des Systems hat
• Überprüft, ob frühere Kennwörter zwischengespeichert wurden, um sicherzustellen, dass sie nicht wiederverwendet werden können
• Wir wurden um die Erlaubnis gebeten (die wir erteilt haben), dass sie versuchen, mit nicht-sozialen Techniken (z. B. xss und nicht-0-Tage-Exploits) in das Netzwerk und verwandte Systeme einzudringen.

Wenn ich auch nur angedeutet hätte, dass ich ihnen die Passwörter der Benutzer der letzten 6 Monate anzeigen könnte, hätten sie uns sofort vom Vertrag ausgeschlossen.

Wenn es möglich wäre , diese Anforderungen zu erfüllen, würden Sie jede einzelne Prüfung, die sich lohnt, sofort nicht bestehen .

Update: Ihre Antwort-E-Mail sieht gut aus. Weitaus professioneller als alles, was ich geschrieben hätte.

Ehrlich gesagt klingt es so, als würde dieser Typ (der Auditor) Sie einrichten. Wenn Sie ihm die Informationen geben, nach denen er fragt, haben Sie ihm gerade bewiesen, dass Sie sozial motiviert sind, kritische interne Informationen preiszugeben. Scheitern.

Ich habe gerade gesehen, dass Sie in Großbritannien sind, was bedeutet, dass er Sie bittet, das Gesetz zu brechen (das Datenschutzgesetz in der Tat). Ich bin auch in Großbritannien, arbeite für ein großes, stark geprüftes Unternehmen und kenne die Gesetze und gängigen Praktiken in diesem Bereich. Ich bin auch ein sehr böses Stück Arbeit, das diesen Kerl gerne für dich stempelt, wenn du es nur zum Spaß magst, lass es mich wissen, wenn du Hilfe möchtest, ok.

Sie werden sozial entwickelt. Entweder ist es, Sie zu testen, oder es ist ein Hacker, der sich als Auditor ausgibt, um einige sehr nützliche Daten zu erhalten.

Ich bin ernsthaft besorgt über den Mangel an ethischen Problemlösungsfähigkeiten bei OPs und darüber, dass die Server-Fehler-Community diesen offensichtlichen Verstoß gegen ethisches Verhalten ignoriert.

Kurz gesagt, ich brauche;

• Eine Möglichkeit, Kennwortänderungen im Wert von sechs Monaten zu fälschen und sie gültig erscheinen zu lassen
• Eine Möglichkeit, sechs Monate lang eingehende Dateiübertragungen vorzutäuschen

Lassen Sie mich zwei Punkte klarstellen:

1. Es ist niemals angebracht, Daten im Rahmen des normalen Geschäftsbetriebs zu verfälschen.
2. Sie sollten diese Art von Informationen niemals an Dritte weitergeben. Je.

Es ist nicht Ihre Aufgabe, Aufzeichnungen zu fälschen. Es ist Ihre Aufgabe, sicherzustellen, dass alle erforderlichen Aufzeichnungen verfügbar, genau und sicher sind.

Die Community hier bei Server Fault muss diese Art von Fragen behandeln, da die Stackoverflow-Site "Hausaufgaben" -Fragen behandelt. Sie können diese Probleme nicht nur mit einer technischen Antwort angehen oder die Verletzung der ethischen Verantwortung ignorieren.

Es macht mich traurig, so viele hochrangige Benutzer hier in diesem Thread zu sehen und die ethischen Implikationen der Frage nicht zu erwähnen.

Ich möchte jeden ermutigen, den Verhaltenskodex der SAGE- Systemadministratoren zu lesen .

Übrigens, Ihr Sicherheitsprüfer ist ein Idiot, aber das bedeutet nicht, dass Sie Druck spüren müssen, um bei Ihrer Arbeit unethisch zu sein.

Bearbeiten: Ihre Updates sind von unschätzbarem Wert. Halte deinen Kopf gesenkt, dein Pulver trocken und nimm (oder gib) kein Holznickel.

Sie können ihm nicht geben, was Sie wollen, und Versuche, es zu "fälschen", werden wahrscheinlich zurückkommen, um Sie in den Arsch zu beißen (möglicherweise auf legale Weise). Sie müssen entweder die Befehlskette ansprechen (es ist möglich, dass dieser Auditor ein Schurke ist, obwohl Sicherheits-Audits notorisch idiotisch sind - fragen Sie mich nach dem Auditor, der über SMB auf einen AS / 400 zugreifen wollte), oder verdammt noch mal heraus von unterhalb dieser onorous Anforderungen.

Sie sind nicht einmal gute Sicherheit - eine Liste aller Text - Kennwörter ist eine unglaublich gefährliche Sache zu je zu produzieren, unabhängig von den verwendeten Methoden , sie zu schützen, und ich werde diese Macker wetten wollen , dass sie im Nur- Text E-Mail . (Ich bin sicher, Sie wissen das schon, ich muss nur ein wenig lüften).

Fragen Sie ihn bei Scheiße und Kichern direkt, wie er seine Anforderungen umsetzen soll - geben Sie zu, dass Sie nicht wissen, wie und möchten Sie seine Erfahrung nutzen. Sobald Sie unterwegs sind, lautet die Antwort auf seine Frage "Ich habe über 10 Jahre Erfahrung in der Sicherheitsüberprüfung" "Nein, Sie haben 5 Minuten Erfahrung, die hunderte Male wiederholt wurden".

Kein Prüfer sollte versagen, wenn er ein historisches Problem findet, das Sie jetzt behoben haben. Tatsächlich ist das ein Beweis für gutes Verhalten. In diesem Sinne schlage ich zwei Dinge vor:

a) Lüge nicht und erfinde keine Sachen. b) Lesen Sie Ihre Richtlinien.

Die Schlüsselaussage für mich ist diese:

Alle Kunden von [Generic Credit Card Processing Provider] müssen unsere neuen Sicherheitsrichtlinien einhalten

Ich wette, in diesen Richtlinien steht, dass Passwörter nicht aufgeschrieben und nur an den Benutzer weitergegeben werden dürfen. Wenn dies der Fall ist, wenden Sie diese Richtlinien auf seine Anforderungen an. Ich schlage vor, wie folgt vorzugehen:

• Eine Liste der aktuellen Benutzernamen und Klartextkennwörter für alle Benutzerkonten auf allen Servern

Zeigen Sie ihm eine Liste der Benutzernamen, lassen Sie sie jedoch nicht entfernen. Erklären Sie, dass die Eingabe von Klartext-Passwörtern a) unmöglich ist, da sie nur in eine Richtung möglich ist, und b) gegen Richtlinien verstößt, gegen die er Sie prüft, sodass Sie nicht gehorchen.

• Eine Liste aller Passwortänderungen der letzten sechs Monate, ebenfalls im Klartext

Erklären Sie, dass dies historisch nicht möglich war. Geben Sie ihm eine Liste der letzten Kennwortänderungszeiten, um zu zeigen, dass dies jetzt durchgeführt wird. Erklären Sie wie oben, dass keine Passwörter bereitgestellt werden.

• Eine Liste aller Dateien, die in den letzten sechs Monaten von Remotegeräten zum Server hinzugefügt wurden

Erklären Sie, was protokolliert wird und was nicht. Geben Sie an, was Sie können. Geben Sie nichts Vertrauliches an und erklären Sie durch Richtlinien, warum nicht. Fragen Sie, ob Ihre Protokollierung verbessert werden muss.

• Die öffentlichen und privaten Schlüssel aller SSH-Schlüssel

Sehen Sie sich Ihre Schlüsselverwaltungsrichtlinie an. Es sollte angegeben werden, dass private Schlüssel nicht aus ihrem Container gelassen werden dürfen und strenge Zugriffsbedingungen haben. Wenden Sie diese Richtlinie an und erlauben Sie keinen Zugriff. Öffentliche Schlüssel sind häufig öffentlich und können gemeinsam genutzt werden.

• Eine E-Mail, die ihm jedes Mal gesendet wird, wenn ein Benutzer sein Passwort ändert, das das Klartext-Passwort enthält

Sag einfach nein. Wenn Sie einen lokalen sicheren Protokollserver haben, lassen Sie ihn sehen, dass dieser in situ protokolliert wird.

Grundsätzlich und es tut mir leid, das zu sagen, aber du musst mit diesem Typen Hardball spielen. Befolgen Sie Ihre Politik genau, nicht abweichen. Lüge nicht. Und wenn er Sie für etwas im Stich lässt, das nicht in der Politik ist, beschweren Sie sich bei seinen Senioren in der Firma, die ihn geschickt hat. Sammeln Sie eine Papierspur, um zu beweisen, dass Sie vernünftig waren. Wenn Sie Ihre Politik brechen, sind Sie seiner Gnade ausgeliefert. Wenn Sie ihnen bis zum Ende folgen, wird er entlassen.

Ja, der Auditor ist ein Idiot. Wie Sie jedoch wissen, werden Idioten manchmal in Machtpositionen versetzt. Dies ist einer dieser Fälle.

Die von ihm angeforderten Informationen haben keinen Einfluss auf die aktuelle Sicherheit des Systems. Erklären Sie dem Prüfer, dass Sie LDAP für die Authentifizierung verwenden und dass die Kennwörter mithilfe eines One-Way-Hash gespeichert werden. Wenn Sie kein Brute-Force-Skript für die Kennwort-Hashes erstellen (was Wochen (oder Jahre) dauern kann), können Sie die Kennwörter nicht bereitstellen.

Ebenso die Remote-Dateien - ich würde gerne hören, wie er meint, Sie sollten in der Lage sein, zwischen Dateien, die direkt auf dem Server erstellt wurden, und einer Datei zu unterscheiden, die per SCP an den Server übertragen wird.

Wie @womble sagte, fälsche nichts. Das wird nichts nützen. Entweder lassen Sie diese Prüfung hinter sich und verhängen Sie einen anderen Broker mit einer Geldstrafe, oder Sie finden einen Weg, diesen "Fachmann" davon zu überzeugen, dass sein Käse von seinem Cracker gerutscht ist.

Lassen Sie Ihren "Sicherheitsprüfer" auf einen Text aus einem dieser Dokumente verweisen, der seine Anforderungen erfüllt, und beobachten Sie, wie er sich bemüht, eine Entschuldigung zu finden, und sich schließlich entschuldigt, nie wieder etwas zu hören.

WTF! Entschuldigung, aber das ist meine einzige Reaktion darauf. Es gibt keine Prüfungsanforderungen, von denen ich jemals gehört habe, dass sie ein Klartext-Passwort erfordern, geschweige denn, dass sie die Passwörter eingeben, wenn sie sich ändern.

Bitten Sie ihn zunächst, Ihnen die Anforderung zu zeigen, die Sie bereitstellen.

2. Wenn dies für PCI ist (was wir alle annehmen, da es sich um eine Frage des Zahlungssystems handelt), gehen Sie hier: https://www.pcisecuritystandards.org/approved_companies_providers/qsa_companies.php und holen Sie sich einen neuen Prüfer.

3. Befolgen Sie die oben genannten Anweisungen, wenden Sie sich an Ihr Management und lassen Sie sie das QSA-Unternehmen kontaktieren, mit dem er zusammenarbeitet. Dann sofort einen anderen Auditor holen.

Prüfer prüfen Systemzustände, -standards, -prozesse usw. Sie müssen keine Informationen haben, die ihnen den Zugriff auf Systeme ermöglichen.

Wenn Sie empfohlene Auditoren oder alternative Farbtöne wünschen, die eng mit den Auditoren zusammenarbeiten, wenden Sie sich an mich, und ich gebe Ihnen gerne Referenzen.

Viel Glück! Vertraue deinem Bauch, wenn etwas nicht stimmt, ist es wahrscheinlich.

Es gibt keinen legitimen Grund für ihn, das Passwort zu kennen und Zugang zu den privaten Schlüsseln zu haben. Was er verlangte, würde ihm die Möglichkeit geben, sich jederzeit als einer Ihrer Kunden auszugeben und so viel Geld wie er möchte abzusaugen, ohne es als mögliche betrügerische Transaktion zu erkennen. Es ist genau die Art von Sicherheitsbedrohungen, für die er Sie überwachen soll.

Benachrichtigen Sie das Management, dass der Prüfer Sie aufgefordert hat, Ihre Sicherheitsrichtlinien zu unterbinden, und dass die Anforderung rechtswidrig ist. Schlagen Sie vor, dass sie die gegenwärtige Wirtschaftsprüfungsgesellschaft entleeren und eine legitime finden möchten. Rufen Sie die Polizei und wenden Sie sich an den Rechnungsprüfer, um illegale Informationen anzufordern (in Großbritannien). Rufen Sie dann die PCI an und wenden Sie sich an den Auditor.

Die Bitte ist vergleichbar mit der Frage, ob Sie nach dem Zufallsprinzip jemanden umbringen und ihm die Leiche übergeben wollen. Würdest du das machen? oder würdest du die Bullen anrufen und sie abgeben?

Antworten Sie mit einer Klage . Wenn ein Auditor nach Klartext-Passwörtern fragt (es ist nicht so schwer, schwache Passwort-Hashes zu knacken oder zu knacken), hat er Sie wahrscheinlich wegen seiner Anmeldeinformationen belogen.

Nur ein Tipp, wie Sie Ihre Antwort formulieren:

Leider können wir Ihnen einige der angeforderten Informationen nicht zur Verfügung stellen, hauptsächlich Klartextkennwörter, Kennwortverlauf, SSH-Schlüssel und Remote-Dateiprotokolle. Diese Dinge sind nicht nur technisch unmöglich ...

Ich würde dies umformulieren, um eine Diskussion über die technische Machbarkeit zu vermeiden. Wenn Sie die schreckliche E-Mail lesen, die der Prüfer ursprünglich gesendet hat, sieht es so aus, als wäre dies jemand, der Details heraussuchen kann, die nicht mit dem Hauptproblem zusammenhängen, und der argumentiert, Sie könnten Passwörter speichern, sich anmelden usw. Also entweder sagen :

... Aufgrund unserer strengen Sicherheitsrichtlinien haben wir Passwörter nie im Klartext protokolliert. Daher ist es technisch unmöglich, diese Daten bereitzustellen.

Oder

... Wir würden nicht nur unser internes Sicherheitsniveau erheblich senken, indem wir Ihrer Anfrage nachkommen, ...

Viel Glück und halten Sie uns auf dem Laufenden, wie dies endet!

Hier sind meine Gedanken, da die Gefahr besteht, dass sich immer wieder hochrangige Benutzer mit dieser Frage befassen.

Ich kann irgendwie vage verstehen, warum er die Klartext-Passwörter haben möchte, und das ist ein Urteil über die Qualität der verwendeten Passwörter. Das ist eine blöde Methode. Die meisten Auditoren, von denen ich weiß, dass sie die verschlüsselten Hashes akzeptieren und einen Cracker laufen lassen, um zu sehen, welche Art von tief hängenden Früchten sie herausholen können. Alle werden die Richtlinien zur Kennwortkomplexität durchgehen und prüfen, welche Sicherheitsvorkehrungen vorhanden sind, um dies durchzusetzen.

Sie müssen jedoch einige Passwörter übermitteln. Ich schlage vor (obwohl ich glaube, dass Sie dies bereits getan haben), ihn zu fragen, was das Ziel der Übermittlung von Klartext-Passwörtern ist. Er sagte, es sei Ihre Compliance-Richtlinie im Vergleich zur Sicherheitsrichtlinie zu validieren, also fordern Sie ihn auf, Ihnen diese Richtlinie zu geben. Fragen Sie ihn, ob er akzeptiert, dass Ihr Kennwortkomplexitätsregime robust genug ist, um zu verhindern, dass Benutzer ihr Kennwort P@55w0rdfestlegen , und nachweislich in den fraglichen 6 Monaten vorhanden sind.

Wenn er darauf drängt, müssen Sie möglicherweise zugeben, dass Sie keine Klartext-Passwörter übermitteln können, da Sie nicht für die Aufzeichnung von Passwörtern eingerichtet sind (was ein schwerwiegender Sicherheitsfehler ist), können dies jedoch in Zukunft tun, wenn er dies erfordert Direkte Überprüfung, ob Ihre Kennwortrichtlinien funktionieren. Und wenn er es beweisen will, stellen Sie ihm gerne die verschlüsselte Passwortdatenbank zur Verfügung (oder Sie! Zeigen Sie Bereitschaft! Es hilft!), Um einen knackigen Pass zu durchlaufen.

Die "Remote-Dateien" können wahrscheinlich aus den SSH-Protokollen für SFTP-Sitzungen abgerufen werden, wovon er vermutlich spricht. Wenn Sie kein Syslogging für 6 Monate haben, ist dies schwer zu realisieren. Wird die Verwendung von wget zum Abrufen einer Datei von einem Remote-Server, während Sie über SSH angemeldet sind, als "Remote-Dateiübertragung" betrachtet? Sind HTTP-PUTs? Dateien, die aus dem Text der Zwischenablage im Terminalfenster des Remotebenutzers erstellt wurden? Wenn überhaupt, können Sie ihn mit diesen Randbemerkungen belästigen, um ein besseres Gefühl für seine Bedenken in diesem Bereich zu bekommen und vielleicht das Gefühl "Ich weiß mehr darüber als Sie" sowie die spezifischen Technologien, über die er nachdenkt, zu vermitteln. Extrahieren Sie dann das, was Sie können, aus Protokollen und archivierten Protokollen für Sicherungen.

Ich habe nichts auf den SSH-Schlüsseln. Das Einzige, woran ich denken kann, ist, dass er aus irgendeinem Grund nach passwortlosen Schlüsseln sucht und möglicherweise nach Kryptostärke. Ansonsten habe ich nichts bekommen.

Bezüglich des Erhaltens dieser Schlüssel ist es einfach genug, zumindest die öffentlichen Schlüssel zu sammeln; Durchsuchen Sie einfach die .ssh-Ordner, um nach ihnen zu suchen. Um die privaten Schlüssel zu erhalten, müssen Sie Ihren BOFH-Hut aufsetzen und Ihre Benutzer anstoßen, um zu erfahren, wie Sie mir Ihre öffentlichen und privaten SSH-Schlüsselpaare senden. Alles, was ich nicht erhalte, wird in 13 Tagen von den Servern gelöscht wenn jemand kreischt (ich würde), zeigen Sie sie auf die Sicherheitsüberprüfung. Scripting ist dein Freund hier. Zumindest führt dies dazu, dass eine Reihe passwortloser Schlüsselpaare Passwörter abrufen.

Wenn er immer noch auf "Klartext-Passwörtern in E-Mails" besteht, müssen diese E-Mails mindestens mit seinem eigenen Schlüssel einer GPG / PGP-Verschlüsselung unterzogen werden. Jeder Sicherheitsprüfer, der sein Geld wert ist, sollte in der Lage sein, mit so etwas umzugehen. Auf diese Weise, wenn die Passwörter lecken, liegt es daran, dass er sie rauslässt, nicht Sie. Noch ein Lackmustest für Kompetenz.

In diesem Punkt muss ich sowohl Zypher als auch Womble zustimmen. Gefährlicher Idiot mit gefährlichen Folgen.

Wahrscheinlich testet er Sie, um festzustellen, ob Sie ein Sicherheitsrisiko darstellen. Wenn Sie ihm diese Daten mitteilen, werden Sie wahrscheinlich sofort entlassen. Bringen Sie dies zu Ihrem direkten Vorgesetzten und geben Sie das Geld weiter. Lassen Sie Ihren Chef wissen, dass Sie die zuständigen Behörden einbeziehen, wenn dieser Arsch wieder in Ihrer Nähe ist.

Dafür werden Chefs bezahlt.

Ich sehe ein Stück Papier im hinteren Teil eines Taxis, auf dem sich eine Liste mit Passwörtern, SSH-Schlüsseln und Benutzernamen befindet. Hhhmmm! Kann die Schlagzeilen jetzt sehen!

Aktualisieren

In Reaktion auf die 2 Kommentare unten, denke ich, haben Sie beide gute Punkte zu machen. Es gibt keine Möglichkeit, wirklich die Wahrheit herauszufinden, und die Tatsache, dass die Frage überhaupt gestellt wurde, zeigt ein wenig Naivität seitens des Plakats sowie den Mut, sich einer negativen Situation mit möglichen Karrierefolgen zu stellen, in der andere ihren Kopf in den Nacken stecken würden Sand und weglaufen.

Mein Fazit für das, was es wert ist, ist, dass dies eine durchaus interessante Debatte ist, bei der sich die meisten Leser wahrscheinlich fragen, was sie in dieser Situation tun würden, unabhängig davon, ob der Abschlussprüfer oder die Prüfungsrichtlinien kompetent sind oder nicht. Die meisten Menschen werden in ihrem Arbeitsleben mit diesem Dilemma in irgendeiner Form konfrontiert sein, und dies ist wirklich nicht die Art von Verantwortung, die auf die Schultern einer einzelnen Person übertragen werden sollte. Es ist eher eine geschäftliche Entscheidung als eine individuelle Entscheidung, wie man damit umgeht.

Natürlich gibt es hier viele gute Informationen, aber erlauben Sie mir, mein 2c als jemand hinzuzufügen, der Software schreibt, die von meinem Arbeitgeber weltweit an große Unternehmen verkauft wird, hauptsächlich, um Menschen bei der Einhaltung der Sicherheitsrichtlinien für die Kontoverwaltung und beim Bestehen von Audits zu unterstützen. für was das wert ist.

Erstens klingt dies sehr verdächtig, wie Sie (und andere) bemerkt haben. Entweder befolgt der Auditor nur ein Verfahren, das er nicht versteht (möglich), oder er testet Sie auf Schwachstellen, so dass Social Engineering (unwahrscheinlich nach einem Austausch) oder ein Betrugs-Social-Engineering, das Sie (auch möglich), oder nur einen generischen Idioten (wahrscheinlich) höchstwahrscheinlich). In Bezug auf die Beratung würde ich Ihnen empfehlen, mit Ihrem Management zu sprechen und / oder eine neue Prüfungsgesellschaft zu finden und / oder diese der zuständigen Aufsichtsbehörde zu melden.

Wie für Notizen, ein paar Dinge:

• Es ist möglich (unter bestimmten Bedingungen), die von ihm angeforderten Informationen bereitzustellen, wenn Ihr System so eingerichtet ist, dass es dies zulässt. Es ist jedoch in keiner Weise eine "Best Practice" für die Sicherheit, und es wäre überhaupt nicht üblich.
• Im Allgemeinen geht es bei Audits um die Validierung von Praktiken, nicht um die Prüfung der tatsächlichen sicheren Informationen. Ich bin sehr misstrauisch, wenn jemand nach echten Klartext-Passwörtern oder -Zertifikaten fragt, und nicht nach den Methoden, mit denen sichergestellt wird, dass sie "gut" und ordnungsgemäß gesichert sind.

Ich hoffe, das hilft, auch wenn es hauptsächlich darum geht, zu wiederholen, was andere Leute geraten haben. Wie Sie werde ich meine Firma nicht nennen, in meinem Fall, weil ich nicht für sie spreche (persönliches Konto / Meinungen und alles); Entschuldigung, wenn das die Glaubwürdigkeit beeinträchtigt, aber so sei es. Viel Glück.

Dies könnte und sollte auf die IT-Sicherheit - Stack Exchange gebucht werden .

Ich bin kein Experte für Sicherheitsüberprüfung, aber das Erste, was ich über Sicherheitspolitik gelernt habe, ist "NEVER GIVE PASSWORDS AWAY". Dieser Typ ist vielleicht seit 10 Jahren in diesem Geschäft, aber wie Womble sagte"no, you have 5 minutes of experience repeated hundreds of times"

Ich arbeite seit einiger Zeit mit Bank-IT-Leuten zusammen, und als ich Sie beim Posten sah, habe ich es ihnen gezeigt ... Sie haben so hart gelacht. Sie sagten mir, dass dieser Typ wie ein Betrüger aussieht. Sie handelten mit solchen Dingen, um die Sicherheit der Bankkunden zu gewährleisten.

Die Aufforderung zur Eingabe eines eindeutigen Kennworts, von SSH-Schlüsseln und Kennwortprotokollen ist eindeutig ein schwerwiegendes berufliches Fehlverhalten. Dieser Typ ist gefährlich.

Ich hoffe, dass jetzt alles in Ordnung ist und dass Sie kein Problem damit haben, dass sie Ihre vorherige Transaktion mit ihnen protokolliert haben können.

Wenn Sie eine der in den Punkten 1, 2, 4 und 5 geforderten Informationen (mit der möglichen Ausnahme der öffentlichen Schlüssel) bereitstellen können, sollten Sie damit rechnen, dass die Prüfung nicht bestanden wird.

Antworten Sie förmlich auf die Punkte 1, 2 und 5 und geben Sie an, dass Sie diese nicht einhalten können, da Ihre Sicherheitsrichtlinie erfordert, dass Sie keine Klartextkennwörter verwenden und Kennwörter mit einem nicht umkehrbaren Algorithmus verschlüsselt werden. Auch unter Punkt 4 können Sie die privaten Schlüssel nicht angeben, da dies gegen Ihre Sicherheitsrichtlinien verstoßen würde.

Zu Punkt 3. Wenn Sie die Daten haben, geben Sie sie an. Wenn Sie dies nicht tun, weil Sie es nicht sammeln mussten, sagen Sie es und zeigen Sie, wie Sie jetzt (darauf hin) arbeiten, um die neue Anforderung zu erfüllen.

Ein Sicherheitsprüfer für unsere Server hat innerhalb von zwei Wochen Folgendes verlangt :

...

Wenn wir die Sicherheitsüberprüfung nicht bestehen, verlieren wir den Zugriff auf unsere Kartenverarbeitungsplattform (ein wichtiger Teil unseres Systems) und es würde gut zwei Wochen dauern, bis wir woanders sind . Wie beschissen bin ich?

Es scheint, als hätten Sie Ihre eigene Frage beantwortet. (Hinweise finden Sie im fettgedruckten Text.)

Es kommt nur eine Lösung in den Sinn: Fordern Sie jeden auf, sein letztes und aktuelles Passwort aufzuschreiben und es dann sofort durch ein neues zu ersetzen. Wenn er die Passwortqualität testen möchte (und die Qualität der Übergänge von Passwort zu Passwort, um beispielsweise sicherzustellen, dass niemand rfvujn125 und dann rfvujn126 als nächstes Passwort verwendet), sollte diese Liste der alten Passwörter ausreichen.

Wenn das nicht akzeptabel ist, würde ich vermuten, dass der Typ ein Mitglied von Anonymous / LulzSec ist. An diesem Punkt sollten Sie ihn fragen, wie er damit umgeht, und ihm sagen, dass er aufhören soll, so ein Peeling zu sein!

Wie oli sagte: Die betreffende Person versucht, Sie dazu zu bringen, gegen das Gesetz (Datenschutz / EU-Vertraulichkeitsrichtlinien) / interne Vorschriften / PCI-Standards zu verstoßen. Sie sollten nicht nur die Geschäftsleitung benachrichtigen müssen (wie Sie es meiner Meinung nach bereits getan haben), sondern Sie können auch die Polizei wie vorgeschlagen anrufen.

Wenn die betreffende Person über eine Akkreditierung / Zertifizierung verfügt, z. B. CISA (Certified Information Systems Auditor) oder das britische Äquivalent der US CPA (Bezeichnung eines Wirtschaftsprüfers), können Sie auch die Akkreditierungsorganisationen informieren, um dies zu untersuchen. Diese Person versucht nicht nur, Sie dazu zu bringen, gegen das Gesetz zu verstoßen, sondern es ist auch eine äußerst inkompetente "Prüfung", die möglicherweise gegen jeden ethischen Prüfungsstandard verstößt, nach dem akkreditierte Prüfer den Verlust der Akkreditierung zu verantworten haben.

Wenn die betreffende Person Mitglied eines größeren Unternehmens ist, benötigen die genannten Prüforganisationen außerdem häufig eine Art QS-Abteilung, die die Qualität der Prüfungen und die Prüfungsablage überwacht und Beschwerden untersucht. Sie können sich also auch bei der betreffenden Prüfungsgesellschaft beschweren.

Ich lerne noch und als Erstes habe ich beim Einrichten von Servern gelernt, dass Sie sich bereits für einen riesigen Verstoß gefährden, wenn Sie die Protokollierung von Klartext-Passwörtern ermöglichen. Außer dem Benutzer, der das Kennwort verwendet, sollte kein Kennwort bekannt sein.

Wenn dieser Typ ein seriöser Auditor ist, sollte er Sie nicht nach diesen Dingen fragen. Für mich klingt er wie ein Missetäter . Ich würde mich an das Regulierungsorgan wenden, weil dieser Typ wie ein kompletter Idiot klingt.

Aktualisieren

Warten Sie, er ist der Meinung, dass Sie eine symmetrische Verschlüsselung verwenden sollten, um nur das Kennwort zu übertragen, diese dann aber in Ihrer Datenbank als Klartext speichern oder eine Möglichkeit zum Entschlüsseln bereitstellen. Nach all den anonymen Angriffen auf Datenbanken, bei denen Benutzerpasswörter im Klartext angezeigt wurden, ist er STILL der Ansicht, dass dies ein guter Weg ist, eine Umgebung zu "sichern".

Er ist ein Dinosaurier, der in den 1960er Jahren feststeckte ...

• Eine Liste der aktuellen Benutzernamen und Klartextkennwörter für alle Benutzerkonten auf allen Servern
  • Aktuelle Benutzernamen können im Bereich "Wir können dies veröffentlichen" liegen und sollten im Bereich "Wir können dies Ihnen zeigen, aber Sie dürfen es nicht außerhalb der Website veröffentlichen" liegen.
  • Klartext-Passwörter sollten nicht länger existieren, als es für One-Way-Hashes erforderlich ist, und sie sollten auf keinen Fall den Speicher verlassen (nicht einmal, um über Kabel zu gehen), so dass ihre Existenz im permanenten Speicher ein Nein-Nein ist.
• Eine Liste aller Passwortänderungen der letzten sechs Monate, ebenfalls im Klartext
  • Siehe "Permanenter Speicher ist ein Nein-Nein".
• Eine Liste aller Dateien, die in den letzten sechs Monaten von Remotegeräten zum Server hinzugefügt wurden
  • Dies kann dazu dienen, um sicherzustellen, dass Sie Dateiübertragungen zu / von Zahlungsverarbeitungsservern protokollieren. Wenn Sie über die Protokolle verfügen, sollte es in Ordnung sein, diese weiterzuleiten. Wenn Sie keine Protokolle haben, überprüfen Sie, was die relevanten Sicherheitsrichtlinien zur Protokollierung dieser Informationen sagen.
• Die öffentlichen und privaten Schlüssel aller SSH-Schlüssel
  • Möglicherweise ist in der Richtlinie ein Versuch enthalten, zu überprüfen, ob für SSH-Schlüssel eine Passphrase erforderlich ist. Sie möchten Passwörter für alle privaten Schlüssel.
• Eine E-Mail, die ihm jedes Mal gesendet wird, wenn ein Benutzer sein Passwort ändert, das das Klartext-Passwort enthält
  • Dies ist definitiv ein Nein-Nein.

Ich würde mit etwas antworten, das meinen Antworten entspricht und bei Bedarf durch PCI-Compliance, SOX_compliance und interne Dokumente zu Sicherheitsrichtlinien gestützt wird.

Dieser Kerl bittet darum, in den Himmel zu stinken, und ich stimme zu, dass jegliche Korrespondenz von hier an über den CTO geführt werden sollte. Entweder versucht er, Sie zum Sündenbock zu machen, weil Sie dieser Aufforderung nicht nachkommen können, weil Sie vertrauliche Informationen preisgeben, oder er ist grob inkompetent. Hoffentlich nimmt Ihr CTO / Manager diese Anfrage doppelt auf und es werden positive Maßnahmen ergriffen, und wenn sie hinter den Maßnahmen dieses Typen stehen ... sind gute Systemadministratoren in den Kleinanzeigen immer gefragt, wie Es hört sich so an, als wäre es an der Zeit, nach einem Ort Ausschau zu halten, wenn dies passiert.

Ich würde ihm sagen, dass es Zeit, Mühe und Geld kostet, die Cracking-Infrastruktur für die Passwörter aufzubauen, aber da Sie starkes Hashing wie SHA256 oder was auch immer verwenden, ist es möglicherweise nicht möglich, die Passwörter innerhalb von 2 Wochen bereitzustellen. Darüber hinaus habe ich die Rechtsabteilung kontaktiert, um zu bestätigen, ob die Weitergabe dieser Daten an Dritte zulässig ist. PCI DSS ist auch eine gute Idee, die Sie erwähnen sollten. :)

Meine Kollegen sind schockiert, wenn sie diesen Beitrag lesen.

Ich wäre sehr versucht, ihm eine Liste mit Benutzernamen / Passwörtern / privaten Schlüsseln für Honeypot-Konten zu geben, falls er jemals die Anmeldungen für diese Konten auf unberechtigten Zugriff auf ein Computersystem überprüft. Leider setzt dies Sie jedoch mindestens einer Art zivilrechtlichen Delikts aus, wenn Sie eine betrügerische Darstellung vornehmen.

Lehnen Sie es einfach ab, die Informationen preiszugeben, und geben Sie an, dass Sie die Passwörter nicht weitergeben können, da Sie keinen Zugriff darauf haben. Da er selbst Wirtschaftsprüfer ist, muss er eine Institution vertreten. Solche Institute veröffentlichen in der Regel Richtlinien für eine solche Prüfung. Überprüfen Sie, ob eine solche Anforderung diesen Richtlinien entspricht. Sie können sich sogar bei solchen Vereinigungen beschweren. Machen Sie dem Prüfer auch klar, dass im Falle eines Fehlverhaltens die Schuld auf ihn (den Prüfer) zurückgehen kann, da er alle Passwörter hat.

Ich würde sagen, dass Sie ihm KEINE der angeforderten Informationen zur Verfügung stellen können.

• Benutzernamen geben ihm einen Einblick in die Konten, die Zugriff auf Ihre Systeme haben, ein Sicherheitsrisiko
• Der Passwortverlauf würde einen Einblick in die verwendeten Passwortmuster geben und ihm einen möglichen Angriffsweg bieten, indem er das nächste Passwort in der Kette errät
• Auf das System übertragene Dateien können vertrauliche Informationen enthalten, die bei einem Angriff auf Ihr System verwendet werden können, und geben einen Einblick in Ihre Dateisystemstruktur
• Öffentliche und private Schlüssel, was zum Teufel wäre der Sinn, wenn Sie sie jemand anderem als dem beabsichtigten Benutzer aushändigen würden?
• Eine E-Mail, die jedes Mal gesendet wird, wenn ein Benutzer ein Kennwort ändert, gibt ihm aktuelle Kennwörter für jedes Benutzerkonto.

Dieser Kerl zieht deinen Kumpel! Sie müssen entweder mit seinem Vorgesetzten oder einem anderen Wirtschaftsprüfer im Unternehmen Kontakt aufnehmen, um seine unerhörten Forderungen zu bestätigen. Und entfernen Sie sich so schnell wie möglich.

Problem mittlerweile gelöst, aber zum Wohle zukünftiger Leser ...

Bedenkt, dass:

• Sie scheinen mehr als eine Stunde dafür aufgewendet zu haben.

• Sie mussten den Rechtsbeistand des Unternehmens konsultieren.

• Sie verlangen viel Arbeit, nachdem sie Ihre Vereinbarung geändert haben.

• Sie haben kein Geld mehr und mehr Zeit zum Umsteigen.

Sie sollten erklären, dass Sie im Vorfeld viel Geld benötigen und dass mindestens vier Stunden erforderlich sind.

Die letzten Male habe ich jemandem gesagt, dass er plötzlich nicht mehr so ​​bedürftig ist.

Sie können sie weiterhin für Verluste während der Umstellung und für die benötigte Zeit in Rechnung stellen, da sie Ihre Vereinbarung geändert haben. Ich sage nicht, dass sie innerhalb von zwei Wochen zahlen werden, so wie sie dachten, dass Sie sich innerhalb dieser Zeit daran halten würden - sie werden einseitig sein, daran besteht kein Zweifel.

Es wird sie rasseln, wenn die Kanzlei Ihres Anwalts den Abholschein sendet. Es sollte die Aufmerksamkeit des Eigentümers der Wirtschaftsprüfungsgesellschaft auf sich ziehen.

Ich würde davon abraten, mit ihnen weiter zu verhandeln. Nur um die Angelegenheit weiter zu erörtern, muss eine Kaution für die erforderliche Arbeit hinterlegt werden. Dann kannst du dafür bezahlt werden, dass du sie verraten hast.

Es ist seltsam, dass Sie eine Vereinbarung getroffen haben und dann jemand am anderen Ende von der Spur gerät - wenn es kein Test für Sicherheit oder Intelligenz ist, ist es sicherlich ein Test für Ihre Geduld.