Unser Sicherheitsprüfer ist ein Idiot. Wie gebe ich ihm die gewünschten Informationen?

2307

Ein Sicherheitsprüfer für unsere Server hat innerhalb von zwei Wochen Folgendes verlangt:

  • Eine Liste der aktuellen Benutzernamen und Klartextkennwörter für alle Benutzerkonten auf allen Servern
  • Eine Liste aller Passwortänderungen der letzten sechs Monate, ebenfalls im Klartext
  • Eine Liste aller Dateien, die in den letzten sechs Monaten von Remotegeräten zum Server hinzugefügt wurden
  • Die öffentlichen und privaten Schlüssel aller SSH-Schlüssel
  • Eine E-Mail, die ihm jedes Mal gesendet wird, wenn ein Benutzer sein Passwort ändert, das das Klartext-Passwort enthält

Wir verwenden Red Hat Linux 5/6 und CentOS 5-Boxen mit LDAP-Authentifizierung.

Soweit mir bekannt ist, ist alles auf dieser Liste entweder unmöglich oder unglaublich schwer zu bekommen, aber wenn ich diese Informationen nicht zur Verfügung stelle, droht uns der Verlust des Zugangs zu unserer Zahlungsplattform und des Einkommens während einer Übergangsphase, wenn wir zu einem wechseln neuer Service. Irgendwelche Vorschläge, wie ich diese Informationen lösen oder fälschen kann?

Ich kann mir nur vorstellen, alle Klartext-Passwörter zu erhalten, indem jeder sein Passwort zurücksetzt und notiert, auf was er es eingestellt hat. Das Problem der letzten sechs Monate mit Passwortänderungen ist damit nicht gelöst, da ich so etwas nicht rückwirkend protokollieren kann. Gleiches gilt für die Protokollierung aller Remote-Dateien.

Das Erhalten aller öffentlichen und privaten SSH-Schlüssel ist möglich (wenn auch ärgerlich), da wir nur wenige Benutzer und Computer haben. Es sei denn, ich habe einen einfacheren Weg verpasst?

Ich habe ihm oft erklärt, dass die Dinge, nach denen er fragt, unmöglich sind. Als Antwort auf meine Bedenken antwortete er mit der folgenden E-Mail:

Ich habe über 10 Jahre Erfahrung in der Sicherheitsüberprüfung und ein umfassendes Verständnis der Redhat-Sicherheitsmethoden. Ich schlage daher vor, dass Sie Ihre Fakten dahingehend überprüfen, was möglich ist und was nicht. Sie sagen, kein Unternehmen könnte möglicherweise über diese Informationen verfügen, aber ich habe Hunderte von Audits durchgeführt, bei denen diese Informationen verfügbar waren. Alle Kunden von [Generic Credit Card Processing Provider] müssen unsere neuen Sicherheitsrichtlinien einhalten. Mit dieser Prüfung soll sichergestellt werden, dass diese Richtlinien korrekt implementiert wurden *.

* Die "neuen Sicherheitsrichtlinien" wurden zwei Wochen vor unserer Prüfung eingeführt, und die sechsmonatige Protokollierung war vor den Richtlinienänderungen nicht erforderlich.

Kurz gesagt, ich brauche;

  • Eine Möglichkeit, Kennwortänderungen im Wert von sechs Monaten zu "fälschen" und sie gültig erscheinen zu lassen
  • Eine Möglichkeit, sechs Monate lang eingehende Dateiübertragungen zu "fälschen"
  • Eine einfache Möglichkeit, alle verwendeten öffentlichen und privaten SSH-Schlüssel zu sammeln

Wenn wir die Sicherheitsüberprüfung nicht bestehen, verlieren wir den Zugriff auf unsere Kartenverarbeitungsplattform (ein wichtiger Teil unseres Systems) und es würde gut zwei Wochen dauern, bis wir woanders sind. Wie beschissen bin ich?

Update 1 (Sa 23.)

Vielen Dank für all Ihre Antworten. Es ist mir eine große Erleichterung zu wissen, dass dies keine Standardpraxis ist.

Ich plane gerade meine E-Mail-Antwort, um ihm die Situation zu erklären. Wie viele von Ihnen betonten, müssen wir PCI einhalten, das ausdrücklich festlegt, dass wir keinen Zugang zu Klartext-Passwörtern haben sollten. Ich werde die E-Mail posten, wenn ich fertig bin. Leider glaube ich nicht, dass er uns nur testet. Diese Dinge sind jetzt in der offiziellen Sicherheitsrichtlinie des Unternehmens enthalten. Ich habe jedoch die Räder in Bewegung gesetzt, um mich vorerst von ihnen weg und auf PayPal zu bewegen.

Update 2 (Sa 23.)

Dies ist die E-Mail, die ich ausgearbeitet habe. Gibt es Vorschläge für Dinge, die hinzugefügt / entfernt / geändert werden müssen?

Hallo [Name],

Leider können wir Ihnen einige der angeforderten Informationen nicht zur Verfügung stellen, hauptsächlich Klartextkennwörter, Kennwortverlauf, SSH-Schlüssel und Remote-Dateiprotokolle. Diese Dinge sind nicht nur technisch unmöglich, sondern die Bereitstellung dieser Informationen würde sowohl gegen die PCI-Standards als auch gegen das Datenschutzgesetz verstoßen.
Um die PCI-Anforderungen zu zitieren,

8.4 Machen Sie alle Passwörter während der Übertragung und Speicherung auf allen Systemkomponenten mit starker Kryptografie unlesbar.

Ich kann Ihnen eine Liste der auf unserem System verwendeten Benutzernamen und Hash-Passwörter, Kopien der öffentlichen SSH-Schlüssel und der Datei mit autorisierten Hosts zur Verfügung stellen. Auf diese Weise erhalten Sie genügend Informationen, um die Anzahl der eindeutigen Benutzer zu bestimmen, die eine Verbindung zu unseren Servern herstellen können, sowie die Verschlüsselung Methoden), Informationen zu unseren Passwort-Sicherheitsanforderungen und unserem LDAP-Server, aber diese Informationen dürfen nicht von der Website entfernt werden. Ich empfehle Ihnen dringend, Ihre Prüfungsanforderungen zu überprüfen, da wir derzeit keine Möglichkeit haben, diese Prüfung zu bestehen, obwohl wir die PCI- und Datenschutzbestimmungen einhalten.

Grüße,
[ich]

Ich werde im CTO des Unternehmens und in unserem Kundenbetreuer tätig sein und hoffe, dass der CTO bestätigen kann, dass diese Informationen nicht verfügbar sind. Ich werde mich auch an den PCI Security Standards Council wenden, um zu erklären, was er von uns verlangt.

Update 3 (26.)

Hier sind einige E-Mails, die wir ausgetauscht haben.

RE: meine erste E-Mail;

Wie bereits erläutert, sollten diese Informationen auf jedem gut gewarteten System für jeden zuständigen Administrator leicht verfügbar sein. Wenn Sie diese Informationen nicht bereitstellen können, bin ich der Ansicht, dass Sie Sicherheitslücken in Ihrem System kennen und nicht bereit sind, diese aufzudecken. Unsere Anfragen richten sich nach den PCI-Richtlinien und beides kann erfüllt werden. Starke Kryptografie bedeutet nur, dass die Passwörter verschlüsselt werden müssen, während der Benutzer sie eingibt. Anschließend sollten sie für die spätere Verwendung in ein wiederherstellbares Format verschoben werden.

Ich sehe keine Datenschutzprobleme für diese Anfragen. Der Datenschutz gilt nur für Verbraucher und nicht für Unternehmen. Daher sollte es keine Probleme mit diesen Informationen geben.

Nur, was, ich kann nicht einmal ...

"Starke Kryptografie bedeutet nur, dass die Passwörter verschlüsselt werden müssen, während der Benutzer sie eingibt. Sie sollten dann zur späteren Verwendung in ein wiederherstellbares Format verschoben werden."

Ich werde das rahmen und es an meine Wand hängen.

Ich hatte es satt, diplomatisch zu sein und habe ihn zu diesem Thread geleitet, um ihm die Antwort zu zeigen, die ich bekam:

Die Bereitstellung dieser Informationen widerspricht DIREKT mehreren Anforderungen der PCI-Richtlinien. Der Abschnitt, den ich zitierte, sagt sogar storage (was bedeutet, wo wir die Daten auf der Festplatte speichern). Ich habe eine Diskussion auf ServerFault.com (eine Online-Community für Systemadministrator-Experten) gestartet, die eine große Resonanz hervorgerufen hat und darauf hindeutet, dass diese Informationen nicht bereitgestellt werden können. Fühlen Sie sich frei, sich selbst durchzulesen

https://serverfault.com/questions/293217/

Wir haben unser System auf eine neue Plattform umgestellt und werden unser Konto in den nächsten Tagen bei Ihnen kündigen. Ich möchte jedoch, dass Sie erkennen, wie lächerlich diese Anfragen sind und dass kein Unternehmen, das die PCI-Richtlinien korrekt umsetzt, dies tun wird oder sollte. in der Lage sein, diese Informationen bereitzustellen. Ich empfehle Ihnen dringend, Ihre Sicherheitsanforderungen zu überdenken, da keiner Ihrer Kunden in der Lage sein sollte, dies zu tun.

(Ich hatte eigentlich vergessen, dass ich ihn im Titel einen Idioten genannt hatte, aber wie bereits erwähnt hatten wir uns bereits von ihrer Plattform entfernt, also kein wirklicher Verlust.)

Und in seiner Antwort gibt er an, dass anscheinend keiner von Ihnen weiß, wovon Sie sprechen:

Ich habe diese Antworten und Ihren ursprünglichen Beitrag ausführlich durchgelesen. Alle Antwortenden müssen ihre Fakten richtig stellen. Ich bin schon länger als jeder andere auf dieser Website in dieser Branche tätig. Das Abrufen einer Liste von Benutzerkontokennwörtern ist unglaublich einfach. Dies sollte eine der ersten Aufgaben sein, die Sie beim Erlernen der Sicherheit Ihres Systems ausführen müssen Server. Wenn Sie wirklich nicht in der Lage sind, etwas so Einfaches zu tun, gehe ich davon aus, dass auf Ihren Servern kein PCI installiert ist, da die Wiederherstellung dieser Informationen eine Grundvoraussetzung für die Software ist. Wenn Sie mit etwas wie Sicherheit zu tun haben, sollten Sie diese Fragen nicht in einem öffentlichen Forum stellen, wenn Sie keine Grundkenntnisse über die Funktionsweise haben.

Ich möchte auch vorschlagen, dass jeder Versuch, mich oder [den Namen des Unternehmens] preiszugeben, als Verleumdung betrachtet und entsprechende rechtliche Schritte eingeleitet werden

Wichtige idiotische Punkte, wenn Sie sie verpasst haben:

  • Er war länger als jeder andere Sicherheitsprüfer hier (er vermutet oder verfolgt Sie)
  • Eine Liste von Passwörtern auf einem UNIX-System abrufen zu können, ist 'einfach'
  • PCI ist jetzt Software
  • Leute sollten keine Foren benutzen, wenn sie sich der Sicherheit nicht sicher sind
  • Tatsacheninformationen (für die ich einen E-Mail-Nachweis habe) online zu stellen, ist Verleumdung

Ausgezeichnet.

PCI SSC hat geantwortet und untersucht ihn und das Unternehmen. Unsere Software ist jetzt auf PayPal umgezogen, sodass wir wissen, dass sie sicher ist. Ich werde darauf warten, dass PCI sich zuerst bei mir meldet, aber ich mache mir ein wenig Sorgen, dass sie diese Sicherheitspraktiken möglicherweise intern angewendet haben. Wenn ja, denke ich, ist es ein großes Anliegen für uns, da alle unsere Kartenverarbeitung durch sie lief. Wenn sie dies intern tun würden, wäre es meines Erachtens die einzige Verantwortung, unsere Kunden zu informieren.

Ich hoffe, wenn PCI erkennt, wie schlimm es ist, werden sie das gesamte Unternehmen und das System untersuchen, aber ich bin nicht sicher.

Nun haben wir uns von ihrer Plattform entfernt und gehen davon aus, dass es mindestens ein paar Tage dauern wird, bis PCI sich wieder bei mir meldet. Irgendwelche einfallsreichen Vorschläge, wie man ihn ein bisschen trollt? =)

Sobald ich die Genehmigung von meinem Anwalt erhalten habe (ich bezweifle sehr, dass dies tatsächlich eine Verleumdung ist, aber ich wollte sie noch einmal überprüfen), veröffentliche ich den Firmennamen, seinen Namen und seine E-Mail-Adresse. Wenn Sie möchten, können Sie ihn kontaktieren und erklären Warum verstehen Sie die Grundlagen der Linux-Sicherheit nicht, wie Sie eine Liste aller LDAP-Benutzerkennwörter abrufen können?

Kleines Update:

Mein "legaler Typ" hat vorgeschlagen, dass die Offenlegung des Unternehmens wahrscheinlich mehr Probleme als nötig verursachen würde. Ich kann jedoch sagen, dass dies kein großer Anbieter ist, da weniger als 100 Kunden diesen Service nutzen. Wir haben sie ursprünglich verwendet, als die Site noch winzig war und auf einem kleinen VPS lief, und wir wollten nicht all die Mühen auf sich nehmen, um PCI zu bekommen. Als wir uns jedoch der direkten Verarbeitung von Karten (einschließlich PCI und Common Sense) zuwandten, beschlossen die Entwickler, weiterhin dasselbe Unternehmen und nur eine andere API zu verwenden. Das Unternehmen hat seinen Sitz in Birmingham, Großbritannien, und ich bezweifle, dass hier jemand betroffen sein wird.

Verschmieren
quelle
459
Sie haben zwei Wochen Zeit, um ihm die Informationen zuzustellen, und es dauert zwei Wochen, bis er an einen anderen Ort gezogen ist, der Kreditkarten verarbeiten kann. Machen Sie sich keine Sorgen - entscheiden Sie sich jetzt für einen Umzug und brechen Sie die Prüfung ab.
Scrivener
159
Bitte aktualisieren Sie uns, was damit passiert. Ich freue mich zu sehen, wie der Auditor verprügelt wird. =) Wenn ich Sie kenne, senden Sie mir eine E-Mail an die Adresse in meinem Profil.
Wesley
143
Er muss dich testen, um zu sehen, ob du wirklich so dumm bist. Richtig? Ich hoffe es ...
Joe Phillips
187
Ich möchte einige Referenzen für andere Unternehmen wissen, die er auditiert hat. Wenn es keinen anderen Grund gibt, als zu wissen, wen man meidet . Klartext-Passwörter ... wirklich? Sind Sie sicher, dass dieser Kerl wirklich kein schwarzer Hut ist und dumme Unternehmen aus dem Bereich Social Engineering monatelang ihre Benutzerpasswörter übergeben müssen? Denn wenn es Firmen gibt, die das mit ihm machen, ist dies eine GROSSARTIGE Möglichkeit, nur die Schlüssel zu übergeben ...
Bart Silverstrim
286
Jede ausreichend fortgeschrittene Inkompetenz ist nicht von Böswilligkeit zu unterscheiden
Jeremy French

Antworten:

1207

Erstens, kapitulieren Sie nicht. Er ist nicht nur ein Idiot, sondern GEFÄHRLICH falsch. In der Tat würde die Veröffentlichung dieser Informationen gegen den PCI-Standard verstoßen (wofür ich bei der Prüfung davon ausgehe, dass es sich um einen Zahlungsprozessor handelt). Es würde auch Ihr Unternehmen allen Arten von Verbindlichkeiten aussetzen.

Das nächste, was ich tun würde, ist eine E-Mail an Ihren Chef zu senden, in der er darauf hinweist, dass er den Rechtsbeistand des Unternehmens einbeziehen muss, um die rechtliche Gefährdung zu ermitteln, der das Unternehmen ausgesetzt wäre, wenn Sie mit dieser Maßnahme fortfahren.

Das letzte Stück liegt bei Ihnen, aber ich würde VISA mit diesen Informationen kontaktieren und seinen PCI-Auditor-Status erhalten.

Zypher
quelle
289
Du warst schneller als ich! Dies ist eine illegale Anfrage. Holen Sie sich einen PCI-QSA, um die Anforderung des Prozessors zu prüfen. Rufen Sie ihn an. Kreise die Wagen ein. "Ladung für die Waffen!"
Wesley
91
Ich weiß nicht, was das bedeutet ... aber welche Autorität dieser Clown hat (der Auditor), kam offensichtlich aus einer feuchten Cracker-Jack-Box und muss widerrufen werden. +1
WernerCD
135
Dies alles setzt voraus, dass dieser Kerl tatsächlich ein legitimer Prüfer ist ... er klingt für mich schrecklich misstrauisch.
Reid
31
Ich stimme zu - suspicious auditoroder er ist ein legitimer Prüfer, der sieht, ob Sie dumm genug sind, eines dieser Dinge zu tun. Fragen Sie, warum er diese Informationen benötigt. Betrachten Sie einfach das Passwort, das niemals reiner Text sein sollte, sondern sich hinter einer Einwegverschlüsselung (Hash) befinden sollte. Vielleicht hat er einen legitimen Grund, aber mit all seiner "Erfahrung" sollte er Ihnen helfen können, die notwendigen Informationen zu erhalten.
vol7ron
25
Warum ist das gefährlich? Eine Liste aller Klartext-Passwörter - es sollte keine geben. Wenn die Liste nicht leer ist, hat er einen gültigen Punkt. Gleiches gilt für andere Dinge. Wenn Sie sie nicht haben, weil sie nicht dort sind, sagen Sie. Remote-Dateien hinzugefügt - das ist Teil der Überwachung. Weiß nicht - stelle ein System ein, das es weiß.
TomTom
836

Ich kann Ihnen versichern, dass jemand, der das Prüfungsverfahren mit Price Waterhouse Coopers für einen klassifizierten Regierungsvertrag durchlaufen hat, dies völlig außer Frage steht und dieser Typ ist verrückt.

Als PwC unsere Passwortsicherheit überprüfen wollte, haben sie:

  • Gefragt nach unseren Algorithmen für die Kennwortsicherheit
  • Wir haben Testeinheiten mit unseren Algorithmen verglichen, um zu überprüfen, ob sie schlechte Passwörter verweigern
  • Wir wurden gebeten, unsere Verschlüsselungsalgorithmen zu sehen, um sicherzustellen, dass sie nicht rückgängig gemacht oder unverschlüsselt werden können (auch nicht durch Regenbogentabellen), selbst wenn jemand uneingeschränkten Zugriff auf alle Aspekte des Systems hat
  • Überprüft, ob frühere Kennwörter zwischengespeichert wurden, um sicherzustellen, dass sie nicht wiederverwendet werden können
  • Wir wurden um die Erlaubnis gebeten (die wir erteilt haben), dass sie versuchen, mit nicht-sozialen Techniken (z. B. xss und nicht-0-Tage-Exploits) in das Netzwerk und verwandte Systeme einzudringen.

Wenn ich auch nur angedeutet hätte, dass ich ihnen die Passwörter der Benutzer der letzten 6 Monate anzeigen könnte, hätten sie uns sofort vom Vertrag ausgeschlossen.

Wenn es möglich wäre , diese Anforderungen zu erfüllen, würden Sie jede einzelne Prüfung, die sich lohnt, sofort nicht bestehen .


Update: Ihre Antwort-E-Mail sieht gut aus. Weitaus professioneller als alles, was ich geschrieben hätte.

Mark Henderson
quelle
109
+1. Sieht nach vernünftigen Fragen aus, die NICHT BEANTWORTBAR sein sollten. Wenn Sie sie beantworten können, haben Sie ein dummes Sicherheitsproblem zur Hand.
TomTom
9
even by rainbow tablesschließt das NTLM nicht aus? Ich meine, es ist nicht gesalzen ... AFAICR MIT Kerberos hat die aktiven Passwörter nicht verschlüsselt oder gehasht, weiß nicht, was der aktuelle Status ist
Hubert Kario
6
@ Hubert - Wir haben weder NTLM noch Kerberos verwendet, da die Passthrough-Authentifizierungsmethoden gesperrt wurden und der Dienst ohnehin nicht in Active Directory integriert war. Andernfalls könnten wir ihnen auch unsere Algorithmen nicht zeigen (sie sind in das Betriebssystem integriert). Sollte erwähnt werden - dies war Sicherheit auf Anwendungsebene, keine Prüfung auf Betriebssystemebene.
Mark Henderson
4
@tandu - das ist, was die Spezifikationen für die Einstufungsebene angegeben. Es ist auch ziemlich üblich, Benutzer daran zu hindern, ihre letzten n Kennwörter erneut zu verwenden, da dies verhindert, dass Benutzer nur durch zwei oder drei häufig verwendete Kennwörter blättern. Dies ist genauso unsicher wie die Verwendung desselben gemeinsamen Kennworts.
Mark Henderson
10
@Slartibartfast: Wenn der Angreifer jedoch den Klartext des Kennworts kennt, kann er auch in Ihre Datenbank eindringen und alles in Sichtweite abrufen. Zum Schutz vor der Verwendung eines ähnlichen Kennworts kann dies auf der Clientseite in JavaScript erfolgen. Wenn der Benutzer versucht, das Kennwort zu ändern, fragen Sie auch das alte Kennwort ab und führen Sie einen Ähnlichkeitsvergleich mit dem alten Kennwort durch, bevor Sie das neue Kennwort auf dem Server veröffentlichen. Zugegeben, es kann nur die Wiederverwendung von 1 letztem Passwort verhindern, aber IMO ist das Risiko des Speicherns von Passwörtern im Klartext viel größer.
Lie Ryan
456

Ehrlich gesagt klingt es so, als würde dieser Typ (der Auditor) Sie einrichten. Wenn Sie ihm die Informationen geben, nach denen er fragt, haben Sie ihm gerade bewiesen, dass Sie sozial motiviert sind, kritische interne Informationen preiszugeben. Scheitern.

eine Katastrophe
quelle
10
Haben Sie auch einen Drittanbieter-Zahlungsdienstleister wie authorize.net in Betracht gezogen? Das Unternehmen, für das ich arbeite, führt sehr große Mengen von Kreditkartentransaktionen durch. Wir müssen keine Zahlungsinformationen der Kunden speichern - authorize.net verwaltet das - daher gibt es keine Prüfung unserer Systeme, um die Dinge zu komplizieren.
Katastrophe
172
Das ist genau das, was ich dachte. Social Engineering ist wahrscheinlich der einfachste Weg, an diese Informationen zu kommen, und ich denke, er testet diese Lücke. Dieser Typ ist entweder sehr intelligent oder sehr dumm
Joe Phillips
4
Diese Position ist zumindest der vernünftigste erste Schritt. Sagen Sie ihm, Sie würden Gesetze / Regeln / was auch immer brechen, wenn Sie etwas tun, aber Sie schätzen seine List.
Michael
41
Dumme Frage: Ist "Einrichten" in dieser Situation akzeptabel? Die allgemeine Logik sagt mir, dass ein Prüfungsprozess nicht aus „Tricks“ bestehen sollte.
Vor dem
13
@Agos: Ich habe vor ein paar Jahren an einem Ort gearbeitet, der eine Agentur mit der Durchführung eines Audits beauftragt hat. Ein Teil der Prüfung umfasste das Anrufen von zufälligen Personen im Unternehmen mit der Aufforderung "<CIO>, Sie anzurufen und Ihre Anmeldeinformationen abzurufen, damit ich <etwas unternehmen> kann." Sie überprüften nicht nur, ob Sie Ihre Anmeldeinformationen tatsächlich aufgegeben hatten, sondern sollten sofort <CIO> oder <Security Admin> anrufen und den Austausch melden, sobald Sie aufgelegt hatten.
Toby
345

Ich habe gerade gesehen, dass Sie in Großbritannien sind, was bedeutet, dass er Sie bittet, das Gesetz zu brechen (das Datenschutzgesetz in der Tat). Ich bin auch in Großbritannien, arbeite für ein großes, stark geprüftes Unternehmen und kenne die Gesetze und gängigen Praktiken in diesem Bereich. Ich bin auch ein sehr böses Stück Arbeit, das diesen Kerl gerne für dich stempelt, wenn du es nur zum Spaß magst, lass es mich wissen, wenn du Hilfe möchtest, ok.

Chopper3
quelle
28
Unter der Annahme, dass sich auf diesen Servern personenbezogene Daten befinden, wäre es ein klarer Verstoß gegen Grundsatz 7 ("Geeignete technische und organisatorische Maßnahmen"), wenn jemandem mit dieser nachgewiesenen Inkompetenz alle Zugangsdaten im Klartext ausgehändigt würden gegen unbefugte oder rechtswidrige Verarbeitung personenbezogener Daten und gegen versehentlichen Verlust oder Zerstörung oder Beschädigung personenbezogener Daten
vorgehen
4
Ich denke, es ist eine faire Annahme - wenn Sie Zahlungsinformationen speichern, speichern Sie wahrscheinlich auch Kontaktinformationen für Ihre Benutzer. Wenn ich in der Position des OP wäre, würde ich sehen, dass "das, was Sie von mir verlangen, nicht nur gegen Richtlinien und vertragliche Verpflichtungen verstößt [um PCI einzuhalten], sondern auch illegal ist", als ein stärkeres Argument, als nur Politik und PCI zu erwähnen .
Stephen Veiss
4
@ Jimmy, warum sollte ein Passwort keine persönlichen Daten sein?
Robertc
10
@Richard, du weißt doch, dass es eine Metapher war, oder?
Chopper3
9
@ Chopper3 Ja, ich finde es immer noch unangemessen. Außerdem kontere ich AviD.
Richard Gadsden
285

Sie werden sozial entwickelt. Entweder ist es, Sie zu testen, oder es ist ein Hacker, der sich als Auditor ausgibt, um einige sehr nützliche Daten zu erhalten.

Herr müde
quelle
8
Warum ist das nicht die beste Antwort? Bedeutet das etwas über die Community, die Leichtigkeit des Social Engineering, oder fehlt mir etwas Grundlegendes?
Paul
166
Niemals der Bosheit zuschreiben, was der Unwissenheit zugeschrieben werden kann
aldrinleal
13
Das Zurückschreiben all dieser Anfragen auf Unwissenheit, wenn der Prüfer behauptet, ein Fachmann zu sein, regt jedoch die Vorstellungskraft ein wenig auf.
Thomas K
12
Das Problem mit dieser Theorie ist, dass er, selbst wenn er "darauf hereinfiel" oder "den Test nicht bestand" , ihm die Informationen nicht geben konnte , weil es unmöglich ist .....
eds
4
Meine beste Vermutung ist auch "Serious Social Engineering" (ist es ein Zufall, dass das neue Buch von Kevin Mitnick bald herauskommt?). In diesem Fall wird Ihre Zahlungsfirma überrascht sein (haben Sie bereits mit ihnen über diese "Prüfung" gesprochen?). . Die andere Option ist ein sehr unerfahrener Auditor ohne Linux-Kenntnisse, der versucht hat zu bluffen und sich nun tiefer, tiefer und tiefer in sich selbst vertieft.
Koos van den Hout
278

Ich bin ernsthaft besorgt über den Mangel an ethischen Problemlösungsfähigkeiten bei OPs und darüber, dass die Server-Fehler-Community diesen offensichtlichen Verstoß gegen ethisches Verhalten ignoriert.

Kurz gesagt, ich brauche;

  • Eine Möglichkeit, Kennwortänderungen im Wert von sechs Monaten zu fälschen und sie gültig erscheinen zu lassen
  • Eine Möglichkeit, sechs Monate lang eingehende Dateiübertragungen vorzutäuschen

Lassen Sie mich zwei Punkte klarstellen:

  1. Es ist niemals angebracht, Daten im Rahmen des normalen Geschäftsbetriebs zu verfälschen.
  2. Sie sollten diese Art von Informationen niemals an Dritte weitergeben. Je.

Es ist nicht Ihre Aufgabe, Aufzeichnungen zu fälschen. Es ist Ihre Aufgabe, sicherzustellen, dass alle erforderlichen Aufzeichnungen verfügbar, genau und sicher sind.

Die Community hier bei Server Fault muss diese Art von Fragen behandeln, da die Stackoverflow-Site "Hausaufgaben" -Fragen behandelt. Sie können diese Probleme nicht nur mit einer technischen Antwort angehen oder die Verletzung der ethischen Verantwortung ignorieren.

Es macht mich traurig, so viele hochrangige Benutzer hier in diesem Thread zu sehen und die ethischen Implikationen der Frage nicht zu erwähnen.

Ich möchte jeden ermutigen, den Verhaltenskodex der SAGE- Systemadministratoren zu lesen .

Übrigens, Ihr Sicherheitsprüfer ist ein Idiot, aber das bedeutet nicht, dass Sie Druck spüren müssen, um bei Ihrer Arbeit unethisch zu sein.

Bearbeiten: Ihre Updates sind von unschätzbarem Wert. Halte deinen Kopf gesenkt, dein Pulver trocken und nimm (oder gib) kein Holznickel.

Joseph Kern
quelle
44
Ich stimme dir nicht zu. Der "Prüfer" mobbte OP, um Informationen zu verbreiten, die die gesamte IT-Sicherheit des Unternehmens gefährden würden. OP sollte diese Aufzeichnungen unter keinen Umständen generieren und an Dritte weitergeben. OP sollte keine Aufzeichnungen fälschen; Man kann leicht sehen, dass sie gefälscht sind. OP sollte den Vorgesetzten erklären, warum die Forderungen der Sicherheitsprüfer eine Bedrohung darstellen, entweder durch böswillige Absichten oder durch völlige Inkompetenz (E-Mail-Passwörter im Klartext). Das OP sollte die sofortige Kündigung des Sicherheitsprüfers und eine umfassende Untersuchung anderer Aktivitäten des ehemaligen Prüfers empfehlen.
Dr. Jimbob
18
dr. jimbob, ich glaube, sie übersehen den punkt: "op sollte keine aufzeichnungen fälschen; sie können leicht als gefälscht angesehen werden." Es ist immer noch eine unethische Position, da Sie vorschlagen, dass er Daten nur dann fälschen sollte, wenn sie nicht von wahren Daten unterschieden werden können. Das Senden falscher Daten ist unethisch. Das Senden von Passwörtern Ihrer Benutzer an Dritte ist fahrlässig. Wir sind uns also einig, dass in dieser Situation etwas getan werden muss. Ich kommentiere den Mangel an kritischem ethischem Denken bei der Lösung dieses Problems.
Joseph Kern
13
Ich stimme dem nicht zu. "Es ist Ihre Aufgabe, sicherzustellen, dass diese Aufzeichnungen verfügbar, genau und sicher sind." Sie sind verpflichtet, Ihr System sicher zu halten. Unangemessene Anforderungen (wie das Speichern und Freigeben von Klartextkennwörtern) sollten nicht ausgeführt werden, wenn sie das System gefährden. Das Speichern, Aufzeichnen und Freigeben von Klartextkennwörtern ist ein schwerwiegender Vertrauensbruch für Ihre Benutzer. Es ist eine große Sicherheitsbedrohung der roten Fahne. Die Sicherheitsüberprüfung kann und sollte ohne Offenlegung von Klartextkennwörtern / ssh privaten Schlüsseln durchgeführt werden. und Sie sollten die höheren Personen wissen lassen und das Problem lösen.
Dr. Jimbob
11
dr. jimbob, ich fühle, dass wir zwei schiffe sind, die in der nacht vorbeifahren. Ich stimme mit allem überein, was Sie sagen. Ich muss diese Punkte nicht klar genug formuliert haben. Ich werde meine erste Antwort oben überarbeiten. Ich habe mich zu sehr auf den Kontext des Threads verlassen.
Joseph Kern
4
@ Joseph Kern, ich habe das OP nicht so gelesen wie Sie. Ich habe es eher so gelesen, wie ich sechs Monate lang Daten produzieren kann, die wir nie aufbewahrt haben. Natürlich stimme ich zu, dass die meisten Versuche, diese Anforderung zu erfüllen, betrügerisch wären. Würde ich jedoch meine Passwortdatenbank verwenden und die Zeitstempel der letzten 6 Monate extrahieren, könnte ich eine Aufzeichnung darüber erstellen, welche Änderungen noch erhalten sind. Ich bin der Meinung, dass "gefälschte" Daten verloren gegangen sind.
user179700
242

Sie können ihm nicht geben, was Sie wollen, und Versuche, es zu "fälschen", werden wahrscheinlich zurückkommen, um Sie in den Arsch zu beißen (möglicherweise auf legale Weise). Sie müssen entweder die Befehlskette ansprechen (es ist möglich, dass dieser Auditor ein Schurke ist, obwohl Sicherheits-Audits notorisch idiotisch sind - fragen Sie mich nach dem Auditor, der über SMB auf einen AS / 400 zugreifen wollte), oder verdammt noch mal heraus von unterhalb dieser onorous Anforderungen.

Sie sind nicht einmal gute Sicherheit - eine Liste aller Text - Kennwörter ist eine unglaublich gefährliche Sache zu je zu produzieren, unabhängig von den verwendeten Methoden , sie zu schützen, und ich werde diese Macker wetten wollen , dass sie im Nur- Text E-Mail . (Ich bin sicher, Sie wissen das schon, ich muss nur ein wenig lüften).

Fragen Sie ihn bei Scheiße und Kichern direkt, wie er seine Anforderungen umsetzen soll - geben Sie zu, dass Sie nicht wissen, wie und möchten Sie seine Erfahrung nutzen. Sobald Sie unterwegs sind, lautet die Antwort auf seine Frage "Ich habe über 10 Jahre Erfahrung in der Sicherheitsüberprüfung" "Nein, Sie haben 5 Minuten Erfahrung, die hunderte Male wiederholt wurden".

womble
quelle
8
... ein Auditor, der über SMB auf einen AS / 400 zugreifen wollte? ... warum?
Bart Silverstrim
11
Ich habe wiederholt Probleme mit PCI-Compliance-Unternehmen, die gegen das pauschale ICMP-Filtern und nur das Blockieren von Echo argumentieren. ICMP gibt es aus einem sehr guten Grund, aber es ist so gut wie unmöglich, dies den zahlreichen Prüfern zu erklären, die von einem Skript aus arbeiten.
Twirrim
48
@BartSilverstrim Wahrscheinlich ein Fall von Checklistenprüfung. Ein Wirtschaftsprüfer sagte mir einmal: Warum hat der Wirtschaftsprüfer die Straße überquert? Weil sie das letztes Jahr getan haben.
Scott Pack
10
Ich weiß, es ist machbar, die echte "WTF?" war die Tatsache, dass der Prüfer der Ansicht war, dass der Computer für Angriffe über SMB anfällig war, bis er sich über SMB verbinden konnte ...
womble
14
"Sie haben 5 Minuten Erfahrung, die hunderte Male wiederholt wurden" --- ooooh, das geht direkt in meine Zitatsammlung! : D
Tasos Papastylianou
183

Kein Prüfer sollte versagen, wenn er ein historisches Problem findet, das Sie jetzt behoben haben. Tatsächlich ist das ein Beweis für gutes Verhalten. In diesem Sinne schlage ich zwei Dinge vor:

a) Lüge nicht und erfinde keine Sachen. b) Lesen Sie Ihre Richtlinien.

Die Schlüsselaussage für mich ist diese:

Alle Kunden von [Generic Credit Card Processing Provider] müssen unsere neuen Sicherheitsrichtlinien einhalten

Ich wette, in diesen Richtlinien steht, dass Passwörter nicht aufgeschrieben und nur an den Benutzer weitergegeben werden dürfen. Wenn dies der Fall ist, wenden Sie diese Richtlinien auf seine Anforderungen an. Ich schlage vor, wie folgt vorzugehen:

  • Eine Liste der aktuellen Benutzernamen und Klartextkennwörter für alle Benutzerkonten auf allen Servern

Zeigen Sie ihm eine Liste der Benutzernamen, lassen Sie sie jedoch nicht entfernen. Erklären Sie, dass die Eingabe von Klartext-Passwörtern a) unmöglich ist, da sie nur in eine Richtung möglich ist, und b) gegen Richtlinien verstößt, gegen die er Sie prüft, sodass Sie nicht gehorchen.

  • Eine Liste aller Passwortänderungen der letzten sechs Monate, ebenfalls im Klartext

Erklären Sie, dass dies historisch nicht möglich war. Geben Sie ihm eine Liste der letzten Kennwortänderungszeiten, um zu zeigen, dass dies jetzt durchgeführt wird. Erklären Sie wie oben, dass keine Passwörter bereitgestellt werden.

  • Eine Liste aller Dateien, die in den letzten sechs Monaten von Remotegeräten zum Server hinzugefügt wurden

Erklären Sie, was protokolliert wird und was nicht. Geben Sie an, was Sie können. Geben Sie nichts Vertrauliches an und erklären Sie durch Richtlinien, warum nicht. Fragen Sie, ob Ihre Protokollierung verbessert werden muss.

  • Die öffentlichen und privaten Schlüssel aller SSH-Schlüssel

Sehen Sie sich Ihre Schlüsselverwaltungsrichtlinie an. Es sollte angegeben werden, dass private Schlüssel nicht aus ihrem Container gelassen werden dürfen und strenge Zugriffsbedingungen haben. Wenden Sie diese Richtlinie an und erlauben Sie keinen Zugriff. Öffentliche Schlüssel sind häufig öffentlich und können gemeinsam genutzt werden.

  • Eine E-Mail, die ihm jedes Mal gesendet wird, wenn ein Benutzer sein Passwort ändert, das das Klartext-Passwort enthält

Sag einfach nein. Wenn Sie einen lokalen sicheren Protokollserver haben, lassen Sie ihn sehen, dass dieser in situ protokolliert wird.

Grundsätzlich und es tut mir leid, das zu sagen, aber du musst mit diesem Typen Hardball spielen. Befolgen Sie Ihre Politik genau, nicht abweichen. Lüge nicht. Und wenn er Sie für etwas im Stich lässt, das nicht in der Politik ist, beschweren Sie sich bei seinen Senioren in der Firma, die ihn geschickt hat. Sammeln Sie eine Papierspur, um zu beweisen, dass Sie vernünftig waren. Wenn Sie Ihre Politik brechen, sind Sie seiner Gnade ausgeliefert. Wenn Sie ihnen bis zum Ende folgen, wird er entlassen.

Jimmy
quelle
28
Zugegeben, das ist wie in einer dieser verrückten Reality-Shows, in denen ein Servicetechniker Ihr Auto von einer Klippe oder etwas ähnlich Unglaublichem fährt. Ich würde dem OP sagen, Ihren Lebenslauf vorbereiten und gehen, wenn die oben genannten Maßnahmen für Sie nicht funktionieren. Dies ist eindeutig eine lächerliche und schreckliche Situation.
Jonathan Watmough
5
Ich wünschte, ich könnte diese +1,000,000 up-stimmen. Während die meisten Antworten hier so ziemlich dasselbe aussagen, ist diese viel gründlicher. Großartige Arbeit, @ Jimmy!
Iszi
141

Ja, der Auditor ist ein Idiot. Wie Sie jedoch wissen, werden Idioten manchmal in Machtpositionen versetzt. Dies ist einer dieser Fälle.

Die von ihm angeforderten Informationen haben keinen Einfluss auf die aktuelle Sicherheit des Systems. Erklären Sie dem Prüfer, dass Sie LDAP für die Authentifizierung verwenden und dass die Kennwörter mithilfe eines One-Way-Hash gespeichert werden. Wenn Sie kein Brute-Force-Skript für die Kennwort-Hashes erstellen (was Wochen (oder Jahre) dauern kann), können Sie die Kennwörter nicht bereitstellen.

Ebenso die Remote-Dateien - ich würde gerne hören, wie er meint, Sie sollten in der Lage sein, zwischen Dateien, die direkt auf dem Server erstellt wurden, und einer Datei zu unterscheiden, die per SCP an den Server übertragen wird.

Wie @womble sagte, fälsche nichts. Das wird nichts nützen. Entweder lassen Sie diese Prüfung hinter sich und verhängen Sie einen anderen Broker mit einer Geldstrafe, oder Sie finden einen Weg, diesen "Fachmann" davon zu überzeugen, dass sein Käse von seinem Cracker gerutscht ist.

EEAA
quelle
61
+1 für "... dass sein Käse von seinem Cracker gerutscht ist." Das ist neu für mich!
Collin Allen
2
"Die von ihm angeforderten Informationen haben keinen Einfluss auf die aktuelle Sicherheit des Systems." <- Ich würde sagen, es hat viel Einfluss auf die Sicherheit. : P
Ishpeck
2
(which could take weeks (or years)Ich habe vergessen, wo, aber ich fand diese App online, die abschätzen würde, wie lange es dauern würde, Ihr Passwort zu erzwingen. Ich weiß nicht, was die angenommenen Brute-Force- oder Hashing-Algorithmen waren, aber es schätzte die meisten meiner Passwörter auf 17 Billionen Jahre ... :)
Carson Myers
60
@Carson: Die Online-App, die ich gefunden habe, um die Kennwortstärke einzuschätzen, hat einen anderen (und möglicherweise genaueren) Ansatz: Für jedes Kennwort wurde "Ihr Kennwort ist unsicher - Sie haben es einfach in eine nicht vertrauenswürdige Webseite eingegeben!" Zurückgegeben.
Jason Owen
3
@ Jason oh nein, du hast recht!
Carson Myers
90

Lassen Sie Ihren "Sicherheitsprüfer" auf einen Text aus einem dieser Dokumente verweisen, der seine Anforderungen erfüllt, und beobachten Sie, wie er sich bemüht, eine Entschuldigung zu finden, und sich schließlich entschuldigt, nie wieder etwas zu hören.

verdammt
quelle
11
Zustimmen. Warum? ist eine gültige Frage ist ein Umstand wie dieser. Der Prüfer sollte in der Lage sein, für seine Anforderungen eine Dokumentation des Geschäfts- / Betriebsfalls bereitzustellen. Sie können zu ihm sagen: "Versetzen Sie sich in meine Position. Dies ist die Art von Anfrage, die ich von jemandem erwarte, der versucht, ein Eindringen einzuleiten."
jl.
75

WTF! Entschuldigung, aber das ist meine einzige Reaktion darauf. Es gibt keine Prüfungsanforderungen, von denen ich jemals gehört habe, dass sie ein Klartext-Passwort erfordern, geschweige denn, dass sie die Passwörter eingeben, wenn sie sich ändern.

Bitten Sie ihn zunächst, Ihnen die Anforderung zu zeigen, die Sie bereitstellen.

2. Wenn dies für PCI ist (was wir alle annehmen, da es sich um eine Frage des Zahlungssystems handelt), gehen Sie hier: https://www.pcisecuritystandards.org/approved_companies_providers/qsa_companies.php und holen Sie sich einen neuen Prüfer.

3. Befolgen Sie die oben genannten Anweisungen, wenden Sie sich an Ihr Management und lassen Sie sie das QSA-Unternehmen kontaktieren, mit dem er zusammenarbeitet. Dann sofort einen anderen Auditor holen.

Prüfer prüfen Systemzustände, -standards, -prozesse usw. Sie müssen keine Informationen haben, die ihnen den Zugriff auf Systeme ermöglichen.

Wenn Sie empfohlene Auditoren oder alternative Farbtöne wünschen, die eng mit den Auditoren zusammenarbeiten, wenden Sie sich an mich, und ich gebe Ihnen gerne Referenzen.

Viel Glück! Vertraue deinem Bauch, wenn etwas nicht stimmt, ist es wahrscheinlich.

dmz006
quelle
67

Es gibt keinen legitimen Grund für ihn, das Passwort zu kennen und Zugang zu den privaten Schlüsseln zu haben. Was er verlangte, würde ihm die Möglichkeit geben, sich jederzeit als einer Ihrer Kunden auszugeben und so viel Geld wie er möchte abzusaugen, ohne es als mögliche betrügerische Transaktion zu erkennen. Es ist genau die Art von Sicherheitsbedrohungen, für die er Sie überwachen soll.

Franci Penov
quelle
2
Komm schon, das ist doch der Punkt des Audits, Social Engineering ??? 21 Gegenstimmen?!?
ozz
16
Ein Audit besteht aus einer amtlichen Überprüfung der Sicherheitsverfahren und der Übereinstimmung mit den festgelegten Regeln. Es wäre, als ob der Brandinspektor überprüfen würde, ob Sie alle erforderlichen Feuerlöscher haben und die Türen und Fenster oder Ihr Restaurant gemäß dem Brandcode geöffnet werden können. Sie würden doch nicht erwarten, dass der Brandinspektor versucht, das Restaurant in Brand zu setzen, oder?
Franci Penov
8
Dies klingt eher so, als würden im Restaurant Brandvorrichtungen aufgestellt und dem Auditor Fernauslöser gegeben, die versprechen, sie auf dem neuesten Stand zu halten.
XTL
62

Benachrichtigen Sie das Management, dass der Prüfer Sie aufgefordert hat, Ihre Sicherheitsrichtlinien zu unterbinden, und dass die Anforderung rechtswidrig ist. Schlagen Sie vor, dass sie die gegenwärtige Wirtschaftsprüfungsgesellschaft entleeren und eine legitime finden möchten. Rufen Sie die Polizei und wenden Sie sich an den Rechnungsprüfer, um illegale Informationen anzufordern (in Großbritannien). Rufen Sie dann die PCI an und wenden Sie sich an den Auditor.

Die Bitte ist vergleichbar mit der Frage, ob Sie nach dem Zufallsprinzip jemanden umbringen und ihm die Leiche übergeben wollen. Würdest du das machen? oder würdest du die Bullen anrufen und sie abgeben?

oii
quelle
8
Warum nicht einfach sagen, dass Sie die Informationen nicht bereitstellen können, weil sie gegen Ihre Sicherheitsrichtlinien verstoßen? Holen Sie sich Ihr Häkchen in die Box und bestehen Sie die Prüfung?
user619714
8
Obwohl die Mord Analogie zu ein wenig weit sein könnte, sind Sie richtig , dass diese „Revisor“ das Gesetz bricht, und sollte zu Ihrem Chef gemeldet werden, die Polizei und PCI
Rory
60

Antworten Sie mit einer Klage . Wenn ein Auditor nach Klartext-Passwörtern fragt (es ist nicht so schwer, schwache Passwort-Hashes zu knacken oder zu knacken), hat er Sie wahrscheinlich wegen seiner Anmeldeinformationen belogen.

postmodern
quelle
9
Ich würde es auch als Fehlverhalten ansehen, je nach Gebietsschema gibt es wahrscheinlich auch Gesetze.
AviD
54

Nur ein Tipp, wie Sie Ihre Antwort formulieren:

Leider können wir Ihnen einige der angeforderten Informationen nicht zur Verfügung stellen, hauptsächlich Klartextkennwörter, Kennwortverlauf, SSH-Schlüssel und Remote-Dateiprotokolle. Diese Dinge sind nicht nur technisch unmöglich ...

Ich würde dies umformulieren, um eine Diskussion über die technische Machbarkeit zu vermeiden. Wenn Sie die schreckliche E-Mail lesen, die der Prüfer ursprünglich gesendet hat, sieht es so aus, als wäre dies jemand, der Details heraussuchen kann, die nicht mit dem Hauptproblem zusammenhängen, und der argumentiert, Sie könnten Passwörter speichern, sich anmelden usw. Also entweder sagen :

... Aufgrund unserer strengen Sicherheitsrichtlinien haben wir Passwörter nie im Klartext protokolliert. Daher ist es technisch unmöglich, diese Daten bereitzustellen.

Oder

... Wir würden nicht nur unser internes Sicherheitsniveau erheblich senken, indem wir Ihrer Anfrage nachkommen, ...

Viel Glück und halten Sie uns auf dem Laufenden, wie dies endet!

user60129
quelle
37

Hier sind meine Gedanken, da die Gefahr besteht, dass sich immer wieder hochrangige Benutzer mit dieser Frage befassen.

Ich kann irgendwie vage verstehen, warum er die Klartext-Passwörter haben möchte, und das ist ein Urteil über die Qualität der verwendeten Passwörter. Das ist eine blöde Methode. Die meisten Auditoren, von denen ich weiß, dass sie die verschlüsselten Hashes akzeptieren und einen Cracker laufen lassen, um zu sehen, welche Art von tief hängenden Früchten sie herausholen können. Alle werden die Richtlinien zur Kennwortkomplexität durchgehen und prüfen, welche Sicherheitsvorkehrungen vorhanden sind, um dies durchzusetzen.

Sie müssen jedoch einige Passwörter übermitteln. Ich schlage vor (obwohl ich glaube, dass Sie dies bereits getan haben), ihn zu fragen, was das Ziel der Übermittlung von Klartext-Passwörtern ist. Er sagte, es sei Ihre Compliance-Richtlinie im Vergleich zur Sicherheitsrichtlinie zu validieren, also fordern Sie ihn auf, Ihnen diese Richtlinie zu geben. Fragen Sie ihn, ob er akzeptiert, dass Ihr Kennwortkomplexitätsregime robust genug ist, um zu verhindern, dass Benutzer ihr Kennwort P@55w0rdfestlegen , und nachweislich in den fraglichen 6 Monaten vorhanden sind.

Wenn er darauf drängt, müssen Sie möglicherweise zugeben, dass Sie keine Klartext-Passwörter übermitteln können, da Sie nicht für die Aufzeichnung von Passwörtern eingerichtet sind (was ein schwerwiegender Sicherheitsfehler ist), können dies jedoch in Zukunft tun, wenn er dies erfordert Direkte Überprüfung, ob Ihre Kennwortrichtlinien funktionieren. Und wenn er es beweisen will, stellen Sie ihm gerne die verschlüsselte Passwortdatenbank zur Verfügung (oder Sie! Zeigen Sie Bereitschaft! Es hilft!), Um einen knackigen Pass zu durchlaufen.

Die "Remote-Dateien" können wahrscheinlich aus den SSH-Protokollen für SFTP-Sitzungen abgerufen werden, wovon er vermutlich spricht. Wenn Sie kein Syslogging für 6 Monate haben, ist dies schwer zu realisieren. Wird die Verwendung von wget zum Abrufen einer Datei von einem Remote-Server, während Sie über SSH angemeldet sind, als "Remote-Dateiübertragung" betrachtet? Sind HTTP-PUTs? Dateien, die aus dem Text der Zwischenablage im Terminalfenster des Remotebenutzers erstellt wurden? Wenn überhaupt, können Sie ihn mit diesen Randbemerkungen belästigen, um ein besseres Gefühl für seine Bedenken in diesem Bereich zu bekommen und vielleicht das Gefühl "Ich weiß mehr darüber als Sie" sowie die spezifischen Technologien, über die er nachdenkt, zu vermitteln. Extrahieren Sie dann das, was Sie können, aus Protokollen und archivierten Protokollen für Sicherungen.

Ich habe nichts auf den SSH-Schlüsseln. Das Einzige, woran ich denken kann, ist, dass er aus irgendeinem Grund nach passwortlosen Schlüsseln sucht und möglicherweise nach Kryptostärke. Ansonsten habe ich nichts bekommen.

Bezüglich des Erhaltens dieser Schlüssel ist es einfach genug, zumindest die öffentlichen Schlüssel zu sammeln; Durchsuchen Sie einfach die .ssh-Ordner, um nach ihnen zu suchen. Um die privaten Schlüssel zu erhalten, müssen Sie Ihren BOFH-Hut aufsetzen und Ihre Benutzer anstoßen, um zu erfahren, wie Sie mir Ihre öffentlichen und privaten SSH-Schlüsselpaare senden. Alles, was ich nicht erhalte, wird in 13 Tagen von den Servern gelöscht wenn jemand kreischt (ich würde), zeigen Sie sie auf die Sicherheitsüberprüfung. Scripting ist dein Freund hier. Zumindest führt dies dazu, dass eine Reihe passwortloser Schlüsselpaare Passwörter abrufen.

Wenn er immer noch auf "Klartext-Passwörtern in E-Mails" besteht, müssen diese E-Mails mindestens mit seinem eigenen Schlüssel einer GPG / PGP-Verschlüsselung unterzogen werden. Jeder Sicherheitsprüfer, der sein Geld wert ist, sollte in der Lage sein, mit so etwas umzugehen. Auf diese Weise, wenn die Passwörter lecken, liegt es daran, dass er sie rauslässt, nicht Sie. Noch ein Lackmustest für Kompetenz.


In diesem Punkt muss ich sowohl Zypher als auch Womble zustimmen. Gefährlicher Idiot mit gefährlichen Folgen.

sysadmin1138
quelle
1
Kein Hinweis auf Idiotie. Keine Beweise dafür, dass das OP offiziell Nein gesagt hat. Ich kann diese Informationen nicht bereitstellen. Wenn Sie diese Informationen bereitstellen können, besteht die Prüfung mit Sicherheit nicht.
user619714
2
@Iain Aus diesem Grund ist es an dieser Stelle so wichtig, den Sicherheitsprüfer so zu konstruieren, dass er herausfindet, wonach er wirklich sucht.
sysadmin1138
9
Ich bin nicht damit einverstanden, diesem eindeutig unsicheren Individuum etwas zu geben.
Kzqai
@Tchalvak: kein Hinweis auf "unsicher" oder "idiotisch".
user619714
1
Kein High-Rep-Benutzer, aber mein persönliches Empfinden für Ihre Antwort lautet: Geben Sie mein Passwort an Dritte weiter, und ich werde sehen, ob ich nicht klagen kann. Als jemand im IT-Bereich stimme ich den von Ihnen erwähnten Nutzern mit hohen Wiederholungszahlen zu und sage, dass Sie kein Passwort speichern sollten. Der Benutzer vertraut Ihrem System, und die Weitergabe seines Passworts an Dritte stellt eine Verletzung dieses Vertrauens dar, die weitaus schwerwiegender ist als die Weitergabe aller Daten an Dritte. Als Profi würde ich das niemals tun.
Jmoreno
31

Wahrscheinlich testet er Sie, um festzustellen, ob Sie ein Sicherheitsrisiko darstellen. Wenn Sie ihm diese Daten mitteilen, werden Sie wahrscheinlich sofort entlassen. Bringen Sie dies zu Ihrem direkten Vorgesetzten und geben Sie das Geld weiter. Lassen Sie Ihren Chef wissen, dass Sie die zuständigen Behörden einbeziehen, wenn dieser Arsch wieder in Ihrer Nähe ist.

Dafür werden Chefs bezahlt.

Ich sehe ein Stück Papier im hinteren Teil eines Taxis, auf dem sich eine Liste mit Passwörtern, SSH-Schlüsseln und Benutzernamen befindet. Hhhmmm! Kann die Schlagzeilen jetzt sehen!

Aktualisieren

In Reaktion auf die 2 Kommentare unten, denke ich, haben Sie beide gute Punkte zu machen. Es gibt keine Möglichkeit, wirklich die Wahrheit herauszufinden, und die Tatsache, dass die Frage überhaupt gestellt wurde, zeigt ein wenig Naivität seitens des Plakats sowie den Mut, sich einer negativen Situation mit möglichen Karrierefolgen zu stellen, in der andere ihren Kopf in den Nacken stecken würden Sand und weglaufen.

Mein Fazit für das, was es wert ist, ist, dass dies eine durchaus interessante Debatte ist, bei der sich die meisten Leser wahrscheinlich fragen, was sie in dieser Situation tun würden, unabhängig davon, ob der Abschlussprüfer oder die Prüfungsrichtlinien kompetent sind oder nicht. Die meisten Menschen werden in ihrem Arbeitsleben mit diesem Dilemma in irgendeiner Form konfrontiert sein, und dies ist wirklich nicht die Art von Verantwortung, die auf die Schultern einer einzelnen Person übertragen werden sollte. Es ist eher eine geschäftliche Entscheidung als eine individuelle Entscheidung, wie man damit umgeht.

jamesw
quelle
1
Ich bin überrascht, dass dies keine höheren Stimmen hat. Ich glaube einfach nicht, dass der Auditor "dumm" ist. Wie andere in Kommentaren gesagt haben, aber nicht viele als Antworten, riecht dies nach Social Engineering. Und wenn das OP als erstes hier postet und vorschlägt, die Daten zu fälschen, und dann den Link an den Auditor sendet, muss der Typ sich den Arsch auslachen und weiterhin danach fragen. SICHERLICH?!?!
ozz
3
In Anbetracht dessen, dass er sein Unternehmen als Ergebnis des OP-Geschäfts verloren hat, scheint es keine sehr gute Prüftechnik zu sein, wenn dies der Fall wäre. Zumindest hätte ich erwartet, dass er „sauber“ wird, wenn sich herausstellt, dass sie das Geschäft verlieren, und erklärt, dass dies Teil des verwendeten Prüfungsansatzes ist, anstatt weiterhin darauf zu bestehen. Ich kann verstehen, dass Sie, wenn Sie "ethische Hacker" mit einbeziehen, vielleicht erwarten, dass ein "Social Engineering" -Ansatz wie dieser gewählt wird, aber nicht für ein Audit (das darauf abzielt, zu überprüfen, ob alle geeigneten Kontrollen und Verfahren vorhanden sind)
Kris C
1
Angesichts der weiteren E-Mails des Wirtschaftsprüfers halte ich dies nicht mehr für wahr. the responders all need to get their facts right. I have been in this industry longer than anyone on that site- unbezahlbar
SLaks
29

Natürlich gibt es hier viele gute Informationen, aber erlauben Sie mir, mein 2c als jemand hinzuzufügen, der Software schreibt, die von meinem Arbeitgeber weltweit an große Unternehmen verkauft wird, hauptsächlich, um Menschen bei der Einhaltung der Sicherheitsrichtlinien für die Kontoverwaltung und beim Bestehen von Audits zu unterstützen. für was das wert ist.

Erstens klingt dies sehr verdächtig, wie Sie (und andere) bemerkt haben. Entweder befolgt der Auditor nur ein Verfahren, das er nicht versteht (möglich), oder er testet Sie auf Schwachstellen, so dass Social Engineering (unwahrscheinlich nach einem Austausch) oder ein Betrugs-Social-Engineering, das Sie (auch möglich), oder nur einen generischen Idioten (wahrscheinlich) höchstwahrscheinlich). In Bezug auf die Beratung würde ich Ihnen empfehlen, mit Ihrem Management zu sprechen und / oder eine neue Prüfungsgesellschaft zu finden und / oder diese der zuständigen Aufsichtsbehörde zu melden.

Wie für Notizen, ein paar Dinge:

  • Es ist möglich (unter bestimmten Bedingungen), die von ihm angeforderten Informationen bereitzustellen, wenn Ihr System so eingerichtet ist, dass es dies zulässt. Es ist jedoch in keiner Weise eine "Best Practice" für die Sicherheit, und es wäre überhaupt nicht üblich.
  • Im Allgemeinen geht es bei Audits um die Validierung von Praktiken, nicht um die Prüfung der tatsächlichen sicheren Informationen. Ich bin sehr misstrauisch, wenn jemand nach echten Klartext-Passwörtern oder -Zertifikaten fragt, und nicht nach den Methoden, mit denen sichergestellt wird, dass sie "gut" und ordnungsgemäß gesichert sind.

Ich hoffe, das hilft, auch wenn es hauptsächlich darum geht, zu wiederholen, was andere Leute geraten haben. Wie Sie werde ich meine Firma nicht nennen, in meinem Fall, weil ich nicht für sie spreche (persönliches Konto / Meinungen und alles); Entschuldigung, wenn das die Glaubwürdigkeit beeinträchtigt, aber so sei es. Viel Glück.

Nick
quelle
24

Dies könnte und sollte auf die IT-Sicherheit - Stack Exchange gebucht werden .

Ich bin kein Experte für Sicherheitsüberprüfung, aber das Erste, was ich über Sicherheitspolitik gelernt habe, ist "NEVER GIVE PASSWORDS AWAY". Dieser Typ ist vielleicht seit 10 Jahren in diesem Geschäft, aber wie Womble sagte"no, you have 5 minutes of experience repeated hundreds of times"

Ich arbeite seit einiger Zeit mit Bank-IT-Leuten zusammen, und als ich Sie beim Posten sah, habe ich es ihnen gezeigt ... Sie haben so hart gelacht. Sie sagten mir, dass dieser Typ wie ein Betrüger aussieht. Sie handelten mit solchen Dingen, um die Sicherheit der Bankkunden zu gewährleisten.

Die Aufforderung zur Eingabe eines eindeutigen Kennworts, von SSH-Schlüsseln und Kennwortprotokollen ist eindeutig ein schwerwiegendes berufliches Fehlverhalten. Dieser Typ ist gefährlich.

Ich hoffe, dass jetzt alles in Ordnung ist und dass Sie kein Problem damit haben, dass sie Ihre vorherige Transaktion mit ihnen protokolliert haben können.

Anarko_Bizounours
quelle
19

Wenn Sie eine der in den Punkten 1, 2, 4 und 5 geforderten Informationen (mit der möglichen Ausnahme der öffentlichen Schlüssel) bereitstellen können, sollten Sie damit rechnen, dass die Prüfung nicht bestanden wird.

Antworten Sie förmlich auf die Punkte 1, 2 und 5 und geben Sie an, dass Sie diese nicht einhalten können, da Ihre Sicherheitsrichtlinie erfordert, dass Sie keine Klartextkennwörter verwenden und Kennwörter mit einem nicht umkehrbaren Algorithmus verschlüsselt werden. Auch unter Punkt 4 können Sie die privaten Schlüssel nicht angeben, da dies gegen Ihre Sicherheitsrichtlinien verstoßen würde.

Zu Punkt 3. Wenn Sie die Daten haben, geben Sie sie an. Wenn Sie dies nicht tun, weil Sie es nicht sammeln mussten, sagen Sie es und zeigen Sie, wie Sie jetzt (darauf hin) arbeiten, um die neue Anforderung zu erfüllen.

user619714
quelle
18

Ein Sicherheitsprüfer für unsere Server hat innerhalb von zwei Wochen Folgendes verlangt :

...

Wenn wir die Sicherheitsüberprüfung nicht bestehen, verlieren wir den Zugriff auf unsere Kartenverarbeitungsplattform (ein wichtiger Teil unseres Systems) und es würde gut zwei Wochen dauern, bis wir woanders sind . Wie beschissen bin ich?

Es scheint, als hätten Sie Ihre eigene Frage beantwortet. (Hinweise finden Sie im fettgedruckten Text.)

Es kommt nur eine Lösung in den Sinn: Fordern Sie jeden auf, sein letztes und aktuelles Passwort aufzuschreiben und es dann sofort durch ein neues zu ersetzen. Wenn er die Passwortqualität testen möchte (und die Qualität der Übergänge von Passwort zu Passwort, um beispielsweise sicherzustellen, dass niemand rfvujn125 und dann rfvujn126 als nächstes Passwort verwendet), sollte diese Liste der alten Passwörter ausreichen.

Wenn das nicht akzeptabel ist, würde ich vermuten, dass der Typ ein Mitglied von Anonymous / LulzSec ist. An diesem Punkt sollten Sie ihn fragen, wie er damit umgeht, und ihm sagen, dass er aufhören soll, so ein Peeling zu sein!

Michael
quelle
21
Die Leute sollten nicht aufgefordert werden, ihre eigenen Passwörter an Dritte weiterzugeben.
Chris Farmer
Entwickeln Sie gute Passwortänderungsfunktionen, anstatt die aktuellen Passwörter der Benutzer aufzuzeichnen und eine Änderung zu erzwingen. Auf dem Bildschirm zum Ändern des Passworts gibt der Benutzer z. B. sowohl old_pass als auch new_pass ein. Entwickeln Sie eine Reihe automatisierter Überprüfungen. zB, dass nicht mehr als zwei Zeichen in old_pass in new_pass am selben Ort sind; oder dass in beliebiger Reihenfolge nicht mehr als 4 Zeichen an einem Ort wiederverwendet werden. Stellen Sie außerdem sicher, dass new_pass nicht wie das alte pw funktioniert. Ja, man könnte eine Reihe ungesicherter Passwörter wie rfvujn125 / jgwoei125 / rfvujn126 entfernen, aber das sollte akzeptabel sein.
Dr. Jimbob
17

Wie oli sagte: Die betreffende Person versucht, Sie dazu zu bringen, gegen das Gesetz (Datenschutz / EU-Vertraulichkeitsrichtlinien) / interne Vorschriften / PCI-Standards zu verstoßen. Sie sollten nicht nur die Geschäftsleitung benachrichtigen müssen (wie Sie es meiner Meinung nach bereits getan haben), sondern Sie können auch die Polizei wie vorgeschlagen anrufen.

Wenn die betreffende Person über eine Akkreditierung / Zertifizierung verfügt, z. B. CISA (Certified Information Systems Auditor) oder das britische Äquivalent der US CPA (Bezeichnung eines Wirtschaftsprüfers), können Sie auch die Akkreditierungsorganisationen informieren, um dies zu untersuchen. Diese Person versucht nicht nur, Sie dazu zu bringen, gegen das Gesetz zu verstoßen, sondern es ist auch eine äußerst inkompetente "Prüfung", die möglicherweise gegen jeden ethischen Prüfungsstandard verstößt, nach dem akkreditierte Prüfer den Verlust der Akkreditierung zu verantworten haben.

Wenn die betreffende Person Mitglied eines größeren Unternehmens ist, benötigen die genannten Prüforganisationen außerdem häufig eine Art QS-Abteilung, die die Qualität der Prüfungen und die Prüfungsablage überwacht und Beschwerden untersucht. Sie können sich also auch bei der betreffenden Prüfungsgesellschaft beschweren.

reiniero
quelle
16

Ich lerne noch und als Erstes habe ich beim Einrichten von Servern gelernt, dass Sie sich bereits für einen riesigen Verstoß gefährden, wenn Sie die Protokollierung von Klartext-Passwörtern ermöglichen. Außer dem Benutzer, der das Kennwort verwendet, sollte kein Kennwort bekannt sein.

Wenn dieser Typ ein seriöser Auditor ist, sollte er Sie nicht nach diesen Dingen fragen. Für mich klingt er wie ein Missetäter . Ich würde mich an das Regulierungsorgan wenden, weil dieser Typ wie ein kompletter Idiot klingt.

Aktualisieren

Warten Sie, er ist der Meinung, dass Sie eine symmetrische Verschlüsselung verwenden sollten, um nur das Kennwort zu übertragen, diese dann aber in Ihrer Datenbank als Klartext speichern oder eine Möglichkeit zum Entschlüsseln bereitstellen. Nach all den anonymen Angriffen auf Datenbanken, bei denen Benutzerpasswörter im Klartext angezeigt wurden, ist er STILL der Ansicht, dass dies ein guter Weg ist, eine Umgebung zu "sichern".

Er ist ein Dinosaurier, der in den 1960er Jahren feststeckte ...

Lucas Kauffman
quelle
10
"Er ist ein Dinosaurier, der in den Neunzigern steckt" - eigentlich würde ich in den Siebzigern raten. Um genau zu sein 1870. Gott segne Auguste Kerckhoffs. :)
Martin Sojka
5
90er Jahre? Ich glaube, Unix hat in den 1970er Jahren gehashte und gesalzene Passwörter verwendet ...
Rory
7
Ich liebe die Tatsache, dass Lucas es jetzt in die 1960er geändert hat :)
Rickyduck
1
Hatte ein Computer (mit Ausnahme von BASIC-Tutorials für Heim-Mikrosysteme) jemals ernsthafte Passwörter und speicherte diese im Klartext?
XTL
Vielleicht ist es sehr lange her ... ich kann Sie nicht auf Tutorials verweisen. Aber diese Seite ist nicht wirklich für Heimsysteme geeignet. Ich schlage vor, Sie schauen sich superuser.com an. Warum in aller Welt würden Sie Kreditkartendetails / Passwörter ohnehin im Klartext speichern? Nur schlecht ausgelegte Systeme.
Lucas Kauffman
13
  • Eine Liste der aktuellen Benutzernamen und Klartextkennwörter für alle Benutzerkonten auf allen Servern
    • Aktuelle Benutzernamen können im Bereich "Wir können dies veröffentlichen" liegen und sollten im Bereich "Wir können dies Ihnen zeigen, aber Sie dürfen es nicht außerhalb der Website veröffentlichen" liegen.
    • Klartext-Passwörter sollten nicht länger existieren, als es für One-Way-Hashes erforderlich ist, und sie sollten auf keinen Fall den Speicher verlassen (nicht einmal, um über Kabel zu gehen), so dass ihre Existenz im permanenten Speicher ein Nein-Nein ist.
  • Eine Liste aller Passwortänderungen der letzten sechs Monate, ebenfalls im Klartext
    • Siehe "Permanenter Speicher ist ein Nein-Nein".
  • Eine Liste aller Dateien, die in den letzten sechs Monaten von Remotegeräten zum Server hinzugefügt wurden
    • Dies kann dazu dienen, um sicherzustellen, dass Sie Dateiübertragungen zu / von Zahlungsverarbeitungsservern protokollieren. Wenn Sie über die Protokolle verfügen, sollte es in Ordnung sein, diese weiterzuleiten. Wenn Sie keine Protokolle haben, überprüfen Sie, was die relevanten Sicherheitsrichtlinien zur Protokollierung dieser Informationen sagen.
  • Die öffentlichen und privaten Schlüssel aller SSH-Schlüssel
    • Möglicherweise ist in der Richtlinie ein Versuch enthalten, zu überprüfen, ob für SSH-Schlüssel eine Passphrase erforderlich ist. Sie möchten Passwörter für alle privaten Schlüssel.
  • Eine E-Mail, die ihm jedes Mal gesendet wird, wenn ein Benutzer sein Passwort ändert, das das Klartext-Passwort enthält
    • Dies ist definitiv ein Nein-Nein.

Ich würde mit etwas antworten, das meinen Antworten entspricht und bei Bedarf durch PCI-Compliance, SOX_compliance und interne Dokumente zu Sicherheitsrichtlinien gestützt wird.

Vatine
quelle
11

Dieser Kerl bittet darum, in den Himmel zu stinken, und ich stimme zu, dass jegliche Korrespondenz von hier an über den CTO geführt werden sollte. Entweder versucht er, Sie zum Sündenbock zu machen, weil Sie dieser Aufforderung nicht nachkommen können, weil Sie vertrauliche Informationen preisgeben, oder er ist grob inkompetent. Hoffentlich nimmt Ihr CTO / Manager diese Anfrage doppelt auf und es werden positive Maßnahmen ergriffen, und wenn sie hinter den Maßnahmen dieses Typen stehen ... sind gute Systemadministratoren in den Kleinanzeigen immer gefragt, wie Es hört sich so an, als wäre es an der Zeit, nach einem Ort Ausschau zu halten, wenn dies passiert.

Kanadierkraut
quelle
11

Ich würde ihm sagen, dass es Zeit, Mühe und Geld kostet, die Cracking-Infrastruktur für die Passwörter aufzubauen, aber da Sie starkes Hashing wie SHA256 oder was auch immer verwenden, ist es möglicherweise nicht möglich, die Passwörter innerhalb von 2 Wochen bereitzustellen. Darüber hinaus habe ich die Rechtsabteilung kontaktiert, um zu bestätigen, ob die Weitergabe dieser Daten an Dritte zulässig ist. PCI DSS ist auch eine gute Idee, die Sie erwähnen sollten. :)

Meine Kollegen sind schockiert, wenn sie diesen Beitrag lesen.

Istvan
quelle
10

Ich wäre sehr versucht, ihm eine Liste mit Benutzernamen / Passwörtern / privaten Schlüsseln für Honeypot-Konten zu geben, falls er jemals die Anmeldungen für diese Konten auf unberechtigten Zugriff auf ein Computersystem überprüft. Leider setzt dies Sie jedoch mindestens einer Art zivilrechtlichen Delikts aus, wenn Sie eine betrügerische Darstellung vornehmen.

benmmurphy
quelle
9

Lehnen Sie es einfach ab, die Informationen preiszugeben, und geben Sie an, dass Sie die Passwörter nicht weitergeben können, da Sie keinen Zugriff darauf haben. Da er selbst Wirtschaftsprüfer ist, muss er eine Institution vertreten. Solche Institute veröffentlichen in der Regel Richtlinien für eine solche Prüfung. Überprüfen Sie, ob eine solche Anforderung diesen Richtlinien entspricht. Sie können sich sogar bei solchen Vereinigungen beschweren. Machen Sie dem Prüfer auch klar, dass im Falle eines Fehlverhaltens die Schuld auf ihn (den Prüfer) zurückgehen kann, da er alle Passwörter hat.

Natwar
quelle
8

Ich würde sagen, dass Sie ihm KEINE der angeforderten Informationen zur Verfügung stellen können.

  • Benutzernamen geben ihm einen Einblick in die Konten, die Zugriff auf Ihre Systeme haben, ein Sicherheitsrisiko
  • Der Passwortverlauf würde einen Einblick in die verwendeten Passwortmuster geben und ihm einen möglichen Angriffsweg bieten, indem er das nächste Passwort in der Kette errät
  • Auf das System übertragene Dateien können vertrauliche Informationen enthalten, die bei einem Angriff auf Ihr System verwendet werden können, und geben einen Einblick in Ihre Dateisystemstruktur
  • Öffentliche und private Schlüssel, was zum Teufel wäre der Sinn, wenn Sie sie jemand anderem als dem beabsichtigten Benutzer aushändigen würden?
  • Eine E-Mail, die jedes Mal gesendet wird, wenn ein Benutzer ein Kennwort ändert, gibt ihm aktuelle Kennwörter für jedes Benutzerkonto.

Dieser Kerl zieht deinen Kumpel! Sie müssen entweder mit seinem Vorgesetzten oder einem anderen Wirtschaftsprüfer im Unternehmen Kontakt aufnehmen, um seine unerhörten Forderungen zu bestätigen. Und entfernen Sie sich so schnell wie möglich.

93196.93
quelle
0

Problem mittlerweile gelöst, aber zum Wohle zukünftiger Leser ...

Bedenkt, dass:

  • Sie scheinen mehr als eine Stunde dafür aufgewendet zu haben.

  • Sie mussten den Rechtsbeistand des Unternehmens konsultieren.

  • Sie verlangen viel Arbeit, nachdem sie Ihre Vereinbarung geändert haben.

  • Sie haben kein Geld mehr und mehr Zeit zum Umsteigen.

Sie sollten erklären, dass Sie im Vorfeld viel Geld benötigen und dass mindestens vier Stunden erforderlich sind.

Die letzten Male habe ich jemandem gesagt, dass er plötzlich nicht mehr so ​​bedürftig ist.

Sie können sie weiterhin für Verluste während der Umstellung und für die benötigte Zeit in Rechnung stellen, da sie Ihre Vereinbarung geändert haben. Ich sage nicht, dass sie innerhalb von zwei Wochen zahlen werden, so wie sie dachten, dass Sie sich innerhalb dieser Zeit daran halten würden - sie werden einseitig sein, daran besteht kein Zweifel.

Es wird sie rasseln, wenn die Kanzlei Ihres Anwalts den Abholschein sendet. Es sollte die Aufmerksamkeit des Eigentümers der Wirtschaftsprüfungsgesellschaft auf sich ziehen.

Ich würde davon abraten, mit ihnen weiter zu verhandeln. Nur um die Angelegenheit weiter zu erörtern, muss eine Kaution für die erforderliche Arbeit hinterlegt werden. Dann kannst du dafür bezahlt werden, dass du sie verraten hast.

Es ist seltsam, dass Sie eine Vereinbarung getroffen haben und dann jemand am anderen Ende von der Spur gerät - wenn es kein Test für Sicherheit oder Intelligenz ist, ist es sicherlich ein Test für Ihre Geduld.

rauben
quelle