Vraag Onze beveiligingsauditor is een idioot. Hoe geef ik hem de informatie die hij wil?


Een beveiligingsauditor voor onze servers heeft binnen twee weken het volgende geëist:

  • Een lijst met huidige gebruikersnamen en platte-tekstwachtwoorden voor alle gebruikersaccounts op alle servers
  • Een lijst met alle wachtwoordwijzigingen voor de afgelopen zes maanden, opnieuw in platte tekst
  • Een lijst met "elk bestand dat van externe apparaten aan de server is toegevoegd" in de afgelopen zes maanden
  • De openbare en privésleutels van SSH-sleutels
  • Een e-mail die naar hem wordt verzonden telkens wanneer een gebruiker zijn wachtwoord wijzigt, inclusief het wachtwoord voor platte tekst

We gebruiken Red Hat Linux 5/6 en CentOS 5-boxen met LDAP-authenticatie.

Voor zover ik weet, is alles op die lijst onmogelijk of ongelooflijk moeilijk te krijgen, maar als ik deze informatie niet geef, lopen we het risico de toegang tot ons betalingsplatform te verliezen en inkomsten te verliezen tijdens een overgangsperiode naarmate we overstappen naar een nieuwe service. Eventuele suggesties voor hoe ik deze informatie kan oplossen of vervalsen?

De enige manier waarop ik kan bedenken om alle platte-tekstwachtwoorden te krijgen, is om iedereen zijn wachtwoord te laten resetten en een notitie te maken van waar hij het heeft ingesteld. Dat lost het probleem van de afgelopen zes maanden van wachtwoordwijzigingen niet op, omdat ik dat soort dingen niet met terugwerkende kracht kan loggen, hetzelfde geldt voor het loggen van alle externe bestanden.

Het verkrijgen van alle publieke en private SSH-sleutels is mogelijk (hoewel vervelend), omdat we slechts een paar gebruikers en computers hebben. Tenzij ik een gemakkelijkere manier heb gemist om dit te doen?

Ik heb hem vaak uitgelegd dat de dingen waar hij om vraagt ​​onmogelijk zijn. In antwoord op mijn bezwaren reageerde hij met de volgende e-mail:

Ik heb meer dan 10 jaar ervaring met beveiligingsaudit en een volledige   begrip van de redhat beveiligingsmethoden, dus ik raad u aan om dit te controleren   jouw feiten over wat wel en niet mogelijk is. U zegt dat geen enkel bedrijf dat kan   mogelijk hebben deze informatie, maar ik heb honderden audits uitgevoerd   waar deze informatie direct beschikbaar was. Alle [generieke credit   kaartverwerkingsprovider] klanten moeten voldoen aan ons nieuwe   beveiligingsbeleid en deze audit is bedoeld om dat beleid te waarborgen   zijn * correct geïmplementeerd.

* Het 'nieuwe beveiligingsbeleid' werd twee weken vóór onze controle geïntroduceerd en de historische logboekregistratie van zes maanden was niet vereist voordat het beleid werd gewijzigd.

Kort gezegd, ik heb nodig;

  • Een manier om zes maanden lang wachtwoordwijzigingen te 'faken' en deze geldig te laten lijken
  • Een manier om zes maanden lang inkomende bestandsoverdrachten te 'faken'
  • Een eenvoudige manier om alle openbare en private SSH-sleutels te verzamelen die worden gebruikt

Als we de beveiligingsaudit mislukken, verliezen we de toegang tot ons kaartverwerkingsplatform (een cruciaal onderdeel van ons systeem) en duurt het ruim twee weken om ergens anders naartoe te gaan. Hoe geschroefd ben ik?

Update 1 (zaterdag 23)

Bedankt voor al je reacties. Het geeft me grote opluchting om te weten dat dit geen standaardpraktijk is.

Ik ben momenteel bezig met het plannen van mijn antwoord op e-mail waarin hij de situatie uitlegt. Zoals velen van u hebben opgemerkt, moeten we ons houden aan PCI, waarin expliciet staat dat we geen toegang mogen hebben tot wachtwoordcodes voor platte tekst. Ik zal de e-mail plaatsen wanneer ik klaar ben met schrijven. Helaas denk ik niet dat hij ons gewoon test; deze dingen zijn nu opgenomen in het officiële beveiligingsbeleid van het bedrijf. Ik heb echter de wielen in beweging gezet om voorlopig van hen weg te gaan en op PayPal te gaan.

Update 2 (za 23rd)

Dit is de e-mail die ik heb opgesteld, suggesties voor dingen die ik moet toevoegen / verwijderen / wijzigen?

Hallo [naam],

Helaas is er geen manier voor ons om u wat te bieden   van de gevraagde informatie, voornamelijk platte-tekstwachtwoorden, wachtwoord   geschiedenis, SSH-sleutels en externe bestandslogboeken. Niet alleen zijn deze dingen   technisch onmogelijk, maar ook in staat om dit te bieden   informatie zou zowel tegen de PCI-normen zijn als tegen de   wet bescherming persoonsgegevens.
  Om de PCI-vereisten te citeren,

8.4 Render alle wachtwoorden onleesbaar tijdens verzending en opslag aan   alle systeemcomponenten die sterke cryptografie gebruiken.

Ik kan je voorzien   met een lijst met gebruikersnamen en gehashte wachtwoorden die op ons systeem worden gebruikt,   kopieën van de openbare SSH-sleutels en het geautoriseerde hosts-bestand (dit zal   geeft u voldoende informatie om het aantal unieke gebruikers te bepalen   kan verbinding maken met onze servers en de versleutelingsmethoden die worden gebruikt),   informatie over onze wachtwoordbeveiligingseisen en onze LDAP   server maar deze informatie wordt mogelijk niet van de site gehaald. Ik sterk   stel voor dat u uw auditvereisten beoordeelt zoals er momenteel geen sprake van is   voor ons om deze audit te doorstaan, terwijl PCI en de   Wet bescherming persoonsgegevens.

Vriendelijke groeten,
  [me]

Ik ga CC'en in de CTO van het bedrijf en onze accountmanager en ik hoop dat de CTO kan bevestigen dat deze informatie niet beschikbaar is. Ik neem ook contact op met de PCI Security Standards Council om uit te leggen wat hij van ons eist.

Update 3 (26e)

Hier zijn enkele e-mails die we hebben uitgewisseld;

RE: mijn eerste e-mail;

Zoals uitgelegd, moet deze informatie gemakkelijk beschikbaar zijn voor elke bron   onderhouden systeem aan een bevoegde beheerder. Je falen om te zijn   in staat om deze informatie te geven, brengt me ertoe om te geloven dat je je bewust bent   beveiligingsfouten in uw systeem en zijn niet bereid deze te onthullen. Onze   vraagt ​​in lijn met de PCI-richtlijnen en beide kunnen worden gehaald. Sterk   cryptografie betekent alleen dat de wachtwoorden moeten worden gecodeerd terwijl de gebruiker   voert ze in, maar dan moeten ze naar een herstelbaar formaat worden verplaatst   voor later gebruik.

Ik zie geen gegevensbeschermingsproblemen voor deze verzoeken, alleen gegevensbescherming   is van toepassing op consumenten en niet op bedrijven, dus er mogen hier geen problemen mee zijn   informatie.

Alleen, wat, ik, kan niet, zelfs ...

"Sterke cryptografie betekent alleen dat de wachtwoorden versleuteld moeten zijn   de gebruiker voert ze in, maar dan moeten ze worden verplaatst naar een   herstelbaar formaat voor later gebruik. "

Ik ga dat inlijsten en het aan mijn muur hangen.

Ik was het zat om diplomatiek te zijn en stuurde hem naar deze thread om hem de reactie te laten zien die ik kreeg:

Het direct verstrekken van deze informatie is in tegenspraak met verschillende vereisten   van de PCI-richtlijnen. Het gedeelte dat ik heb aangehaald, zegt zelfs storage   (Dit heeft betrekking op waar we de gegevens op de schijf opslaan). Ik begon een   discussie over ServerFault.com (een online community voor sys-admin   professionals) die een enorme respons hebben gecreëerd, dit alles suggererend   informatie kan niet worden verstrekt. Voel je vrij om jezelf door te lezen

https & colon // serverfault.com / vragen / 293217 /

We zijn klaar met het verplaatsen van ons systeem naar een nieuw platform en zullen dat ook zijn   het opzeggen van ons account binnen een dag of zo, maar ik wil   je moet je realiseren hoe belachelijk deze verzoeken zijn, en geen bedrijf   correct implementeren van de PCI-richtlijnen zal, of zou moeten kunnen   verstrek deze informatie. Ik raad je ten sterkste aan je opnieuw te overwegen   beveiligingsvereisten zoals geen enkele van uw klanten zou moeten kunnen   voldoen aan dit.

(Ik was eigenlijk vergeten dat ik hem een ​​idioot had genoemd in de titel, maar zoals gezegd waren we al van hun platform af verhuisd, dus geen echt verlies.)

En in zijn reactie stelt hij dat blijkbaar niemand van u weet waar u het over hebt:

Ik lees in detail door die reacties en je originele bericht, de   responders moeten allemaal hun feiten goed begrijpen. Ik ben hierin geweest   industrie langer dan wie dan ook op die site, het krijgen van een lijst met gebruikers   account wachtwoorden is ongelooflijk basic, het zou een van de eerste moeten zijn   dingen die u doet wanneer u leert hoe u uw systeem kunt beveiligen en essentieel is   voor de werking van een beveiligde server. Als je het echt mist   vaardigheden om iets eenvoudigs te doen waarvan ik ga aannemen dat je het niet hebt   PCI is op uw servers geïnstalleerd om dit te kunnen herstellen   informatie is een basisvereiste van de software. In de omgang met   iets als beveiliging waar u deze vragen niet aan mag stellen   een openbaar forum als je geen basiskennis hebt van hoe het werkt.

Ik zou ook willen voorstellen dat elke poging om mij te onthullen, of   [bedrijfsnaam] wordt beschouwd als smaad en passende juridische stappen   zal genomen worden

Sleutel idiote punten als je ze gemist hebt:

  • Hij is langer veiligheidscontroleur dan iemand anders hier heeft (hij raadt of stalkt)
  • Het is 'standaard' om een ​​lijst met wachtwoorden op een UNIX-systeem te krijgen
  • PCI is nu software
  • Mensen zouden geen forums moeten gebruiken als ze niet zeker zijn van de beveiliging
  • Het stellen van feitelijke informatie (waarvoor ik een e-mailbewijs heb) online is smaad

Uitstekend.

PCI SSC heeft gereageerd en onderzoekt hem en het bedrijf. Onze software is nu overgezet naar PayPal, dus we weten dat het veilig is. Ik ga wachten tot PCI eerst bij mij terugkomt, maar ik maak me een beetje zorgen dat ze deze beveiligingsprocedures intern hebben gebruikt. Als dat zo is, denk ik dat het ons een grote zorg is, omdat al onze kaartverwerking door hen heen ging. Als ze dit intern zouden doen, denk ik dat het enige verantwoordelijke zou zijn om onze klanten te informeren.

Ik hoop dat wanneer PCI zich realiseert hoe erg het is, ze het hele bedrijf en systeem zullen onderzoeken, maar ik weet het niet zeker.

Dus nu zijn we van hun platform verwijderd, en ervan uitgaande dat het minstens een paar dagen zal duren voordat PCI bij mij terugkomt, welke inventieve suggesties om hem dan een beetje te trollen? =)

Zodra ik toestemming heb gekregen van mijn legale man (ik betwijfel ten zeerste of dit in werkelijkheid echt smaad is maar ik wilde het dubbel checken) Ik zal de bedrijfsnaam, zijn naam en e-mail publiceren, en als je wilt kun je contact met hem opnemen en uitleggen waarom je de basisprincipes van Linux-beveiliging niet begrijpt, zoals hoe je een lijst krijgt van alle LDAP-gebruikerswachtwoorden.

Weinig update:

Mijn "legale man" heeft voorgesteld om te onthullen dat het bedrijf waarschijnlijk meer problemen zou veroorzaken dan nodig. Ik kan echter wel zeggen dat dit geen grote provider is, ze hebben minder dan 100 klanten die deze service gebruiken. We zijn ze oorspronkelijk gaan gebruiken toen de site klein was en op een klein VPS draaide, en we wilden niet alle moeite doen om PCI te krijgen (we hebben ons altijd doorgestuurd naar hun frontend, zoals PayPal-standaard). Maar toen we overstapten naar het direct verwerken van kaarten (inclusief het krijgen van PCI en gezond verstand), besloten de ontwikkelaars hetzelfde bedrijf alleen maar een andere API te blijven gebruiken. Het bedrijf is gevestigd in de regio Birmingham, Verenigd Koninkrijk, dus ik betwijfel ten zeerste of iedereen hier getroffen zal zijn.


2253
2017-07-22 22:44


oorsprong


Je hebt twee weken om hem de informatie te bezorgen en het duurt twee weken om ergens anders naartoe te gaan die creditcards kan verwerken. Doe geen moeite - neem de beslissing om nu te verhuizen en verlaat de audit. - Scrivener
Werk ons ​​alstublieft bij over wat er hiermee gebeurt. Ik heb het de voorkeur gegeven om te zien hoe de accountant wordt geslagen. =) Als ik je ken, email me dan op het adres in mijn profiel. - Wesley
Hij moet je testen om te zien of je echt zo stom bent. Rechts? Ik hoop het... - Joe Phillips
Ik zou graag enkele referenties willen weten voor andere bedrijven die hij heeft gecontroleerd. Als om een ​​andere reden dan te weten wie vermijden. Platte-tekstwachtwoorden ... echt? Weet je zeker dat deze man echt geen black hat en social engineering domme bedrijven is die maandenlang hun gebruikerswachtwoorden inleveren? Want als er bedrijven zijn die dit met hem doen, is dit een geweldige manier om gewoon de sleutels over te dragen ... - Bart Silverstrim
Elke voldoende geavanceerde incompetentie is niet te onderscheiden van boosaardigheid - Jeremy French


antwoorden:


Ten eerste, NIET capituleren. Hij is niet alleen een idioot, maar ook GEVAARLIJK verkeerd. In feite zou het vrijgeven van deze informatie schenden de PCI-standaard (wat ik veronderstel dat de audit is omdat het een betalingsverwerker is) samen met elke andere standaard die er is en gewoon gezond verstand. Het zou uw onderneming ook blootstellen aan allerlei verplichtingen.

Het volgende dat ik zou doen, is een e-mail sturen naar je baas met de mededeling dat hij bedrijfsadvocaat moet inschakelen om te bepalen aan welke juridische blootstelling het bedrijf zou moeten voldoen door met deze actie verder te gaan.

Dit laatste is aan jou, maar ik zou met deze informatie contact opnemen met VISA en de status van zijn PCI-auditor verkrijgen.


1171
2017-07-22 23:27



Je slaat me ertegen! Dit is een onwettig verzoek. Download een PCI QSA om het verzoek van de processor te controleren. Breng hem een ​​telefoontje. Omcirkel de wagens. "Charge voor de wapens!" - Wesley
"zorg dat de status van zijn PCI-auditor wordt getrokken" Ik weet niet wat dat betekent ... maar welke autoriteit deze clown ook heeft (de auditor) kwam duidelijk uit een doos met natte crackers en moet worden ingetrokken. 1 - WernerCD
Dit gaat er allemaal vanuit dat deze kerel eigenlijk een legitieme auditor is ... hij klinkt vreselijk argwanend jegens mij. - Reid
Daar ben ik het mee eens -- suspicious auditorof hij is een legitieme auditor, kijk of je stom genoeg bent om een ​​van deze dingen te doen. Vraag waarom hij deze informatie nodig heeft. Overweeg het wachtwoord, dat nooit platte tekst mag zijn, maar achter een of andere eenrichtingsversleuteling (hash) moet zitten. Misschien heeft hij wel een legitieme reden, maar met al zijn "ervaring" moet hij in staat zijn om u te helpen de benodigde informatie te krijgen. - vol7ron
Waarom is dit gevaarlijk? Een lijst met alle wachtwoorden voor platte tekst - er zou geen wachtwoord moeten zijn. Als de lijst niet leeg is, heeft hij een geldig punt. Hetzelfde gaat door voor dingen. Als je ze niet hebt omdat ze er niet zijn, zeg dan. Externe bestanden toegevoegd - dat is onderdeel van auditiing. Weet het niet - begin met een systeem dat het weet. - TomTom


Als iemand die de auditprocedure heeft doorlopen Prijs Waterhouse Coopers voor een geheim overheidscontract, kan ik je verzekeren dat dit totaal uitgesloten is en deze kerel is gek.

Toen PwC onze wachtwoordsterkte wilde controleren, deden ze het volgende:

  • Gevraagd om onze algoritmen voor wachtwoordsterkte te bekijken
  • Ran-eenheden testen met onze algoritmen om te controleren of ze slechte wachtwoorden zouden weigeren
  • Gevraagd om onze coderingsalgoritmen te bekijken om ervoor te zorgen dat ze niet konden worden teruggedraaid of niet-gecodeerd (zelfs niet door regenboogtabellen), zelfs door iemand die volledige toegang had tot elk aspect van het systeem
  • Gecontroleerd om te zien of eerdere wachtwoorden in de cache zijn geplaatst om ervoor te zorgen dat ze niet opnieuw kunnen worden gebruikt
  • Heeft ons om toestemming gevraagd (die we hebben verleend) om te proberen in te breken in het netwerk en gerelateerde systemen met behulp van niet-sociale engineeringtechnieken (zaken als xss en niet-0-daagse exploits)

Als ik zelfs had laten doorschemeren dat ik kon laten zien wat de gebruikerswachtwoorden in de afgelopen zes maanden waren, zouden ze ons onmiddellijk hebben uitgesloten van het contract.

Als het waren mogelijk om aan deze vereisten te voldoen, zou je dat doen direct falen elke audit de moeite waard.


Update: uw reactie-e-mailadres ziet er goed uit. Veel professioneler dan alles wat ik zou hebben geschreven.


813
2017-07-23 02:34



1. Het lijkt op verstandige vragen die NIET ANTWOORDELIJK MOGEN ZIJN. Als je ze kunt beantwoorden, heb je een dom beveiligingsprobleem bij de hand. - TomTom
even by rainbow tables sluit dat niet NTLM uit? Ik bedoel, het is niet gezouten ... AFAICR MIT Kerberos versleutelde of hash niet de actieve wachtwoorden, weet niet wat de huidige status is - Hubert Kario
@Hubert - we gebruikten NTLM of Kerberos niet omdat pass-through-authenticatiemethoden waren verboden en de service toch niet was geïntegreerd met Active Directory. Anders konden we ze ook onze algoritmen niet tonen (ze zijn ingebouwd in het besturingssysteem). Moet hebben gezegd - dit was beveiliging op applicatieniveau, geen audit op OS-niveau. - Mark Henderson♦
@tandu - dat is wat de specificaties voor het niveau van classificatie vermelden. Het is ook vrij gebruikelijk om te voorkomen dat mensen hun laatste hergebruiken n wachtwoorden, omdat het voorkomt dat mensen gewoon door twee of drie veelgebruikte wachtwoorden lopen, wat net zo onveilig is als hetzelfde gemeenschappelijke wachtwoord gebruiken. - Mark Henderson♦
@Slartibartfast: maar als je de gemiddelde tekst van het wachtwoord wilt weten, kan de aanvaller net zo goed in je database binnendringen en alles in het zicht ophalen. Wat de bescherming tegen het gebruik van een soortgelijk wachtwoord betreft, kan dat in javascript worden gedaan aan de kant van de klant, wanneer de gebruiker probeert het wachtwoord te wijzigen, ook het oude wachtwoord vragen en vergelijkingen maken met het oude wachtwoord voordat het nieuwe wachtwoord naar de server wordt verzonden. Toegegeven, het kan alleen hergebruik van 1 laatste wachtwoord voorkomen, maar IMO het risico van het opslaan van een wachtwoord in leesbare tekst is veel meer. - Lie Ryan


Eerlijk gezegd klinkt het alsof deze gast (de auditor) je opricht. Als je hem de informatie geeft waar hij om vraagt, heb je hem net bewezen dat je sociaal ontwikkeld kunt worden om kritieke interne informatie op te geven. Mislukken.


440
2017-07-22 23:40



heb je ook nagedacht over een externe verwerker, zoals authorize.net? het bedrijf waar ik voor werk, doet zeer grote hoeveelheden creditcardtransacties via hen. we hoeven geen van de betalingsinformatie van de klant op te slaan - authorize.net beheert dat - dus er is geen audit van onze systemen om dingen te compliceren. - anastrophe
dit is precies wat ik dacht dat er aan het gebeuren was. Social engineering is waarschijnlijk de gemakkelijkste manier om deze informatie te krijgen en ik denk dat hij die lacune test. Deze man is erg intelligent of erg dom - Joe Phillips
Deze positie is op zijn minst de meest redelijke eerste stap. Zeg hem dat je wetten / regels / wat dan ook zou overtreden door er iets van te doen, maar dat je zijn bedrog apprecieert. - michael
Domme vraag: is "opzetten" in deze situatie acceptabel? Volgens de gemeenschappelijke logica zou er geen auditproces mogen worden gemaakt van "trucs". - Agos
@ Agos: ik heb een paar jaar geleden op een plek gewerkt die een bureau inhuurt om een ​​audit uit te voeren. Een deel van de audit bestond uit het bellen van willekeurige mensen in het bedrijf met de "<CIO> vroeg me om je te bellen en je inloggegevens te krijgen zodat ik <iets kan doen>." Ze controleerden niet alleen dat je de inloggegevens niet zou opgeven, maar zodra je ze ophing, werd je verondersteld onmiddellijk <CIO> of <Beveiligingsbeheerder> te bellen en de uitwisseling te melden. - Toby


Ik heb net gezien dat je in Groot-Brittannië bent, wat betekent dat wat hij je vraagt ​​te doen is om de wet te overtreden (de Data Protection Act in feite). Ik ben ook in het VK, werk voor een groot, zwaar gecontroleerd bedrijf en ken de wet en gangbare praktijken op dit gebied. Ik ben ook een heel smerig stuk werk dat deze kerel graag voor je wil beteugelen als je het alleen leuk vindt, laat me weten of je hulp wilt oké.


335
2017-07-23 07:01



Ervan uitgaande dat er persoonlijke informatie over die servers is, denk ik dat het overhandigen / alle / van de inloggegevens voor toegang in platte tekst aan iemand met dit niveau van aangetoonde incompetentie een duidelijke schending zou zijn van Beginsel 7 ... ("Passende technische en organisatorische maatregelen zal worden genomen tegen ongeoorloofde of onwettige verwerking van persoonsgegevens en tegen onopzettelijk verlies of vernietiging van of schade aan persoonlijke gegevens. ") - Stephen Veiss
Ik denk dat het een goede veronderstelling is: als u betalingsinformatie opslaat, slaat u waarschijnlijk ook contactgegevens op voor uw gebruikers. Als ik in de positie van het OP zou zijn, zou ik zien "wat u van mij vraagt, breekt niet alleen beleids- en contractuele verplichtingen [om te voldoen aan PCI], maar is ook illegaal" als een sterker argument dan alleen het noemen van beleid en PCI . - Stephen Veiss
@Jimmy, waarom zou een wachtwoord geen persoonlijke gegevens zijn? - robertc
@Richard, je weet wel dat het een metafoor is toch? - Chopper3
@ Chopper3 Ja, ik denk nog steeds dat het ongepast is. En ik ga AviD tegen. - Richard Gadsden


Je wordt sociaal ontwikkeld. Ofwel om u te testen of een hacker die zich voordoet als auditor om zeer bruikbare gegevens te krijgen.


271
2017-07-23 09:20



Waarom is dit niet het beste antwoord? Zegt dat iets over de gemeenschap, het gemak van social engineering, of mis ik iets fundamenteels? - Paul
geef nooit kwalijke gevoelens die te wijten zijn aan onwetendheid - aldrinleal
Het toewijzen van al die verzoeken aan onwetendheid wanneer de auditor beweert een professional te zijn, verruimt echter de verbeeldingskracht een beetje. - Thomas K
Het probleem met deze theorie is dat, zelfs als hij "ervoor viel" of "de test niet doormaakte", hij kon het niet geef hem de informatie omdat het zo is onmogelijk..... - eds
Mijn beste inschatting is ook 'serieuze social engineering' (is het toeval dat het nieuwe Kevin Mitnick-boek binnenkort uitkomt?), In welk geval uw betaalkantoor verrast zal zijn (heeft u al eens een vraag over deze 'audit' gehad?) . De andere optie is een zeer rookie-auditor zonder linux-kennis die probeerde te bluffen en die zichzelf nu dieper, dieper en dieper graaft. - Koos van den Hout


Ik maak me ernstig zorgen over het gebrek aan ethische probleemoplossende vaardigheden van OP en de server fault community negeert deze flagrante schending van ethisch gedrag.

Kort gezegd, ik heb nodig;

  • Een manier om zes maanden lang wachtwoordwijzigingen te 'faken' en deze geldig te laten lijken
  • Een manier om zes maanden lang inkomende bestandsoverdrachten te 'faken'

Laat mij op twee punten duidelijk zijn:

  1. Het is nooit gepast om gegevens te vervalsen in de loop van de normale bedrijfsvoering.
  2. U mag dit soort informatie nooit aan iemand bekend maken. Ooit.

Het is niet jouw taak om records te vervalsen. Het is uw taak om ervoor te zorgen dat de benodigde gegevens beschikbaar, nauwkeurig en veilig zijn.

De community hier bij Server Fault moet behandel dit soort vragen omdat de stackoverflowsite "huiswerk" -vragen behandelt. U kunt deze problemen niet alleen aanpakken met een technisch antwoord of de schending van ethische verantwoordelijkheid negeren.

Zoveel antwoorden van hoge repgebruikers hier in deze thread en geen melding maken van de ethische implicaties van de vraag bedroeft me.

Ik zou iedereen willen aanmoedigen om het te lezen SAGE Systeembeheerders ethische code. 

Trouwens, je security auditor is een idioot, maar dat betekent niet dat je druk moet voelen om onethisch te zijn in je werk.

Bewerken: uw updates zijn van onschatbare waarde. Houd je hoofd naar beneden, droog je poeder en neem geen houten stuivers in.


266
2017-07-24 20:05



Ben ik het niet mee eens. De "auditor" was OP aan het pesten om informatie bekend te maken die de volledige IT-beveiliging van de organisatie zou ondermijnen. In geen geval mag OP die gegevens genereren en deze aan iemand verstrekken. OP mag geen records faken; ze kunnen gemakkelijk als nep worden gezien. OP zou uit moeten leggen waarom de eisen van de beveiligingsauditors een bedreiging vormen, hetzij door kwaadwillige bedoelingen, hetzij door volledige onbekwaamheid (e-mailwachtwoorden in leesbare tekst). OP moet de onmiddellijke beëindiging van de beveiligingsauditor aanbevelen en een volledig onderzoek naar andere activiteiten van de vorige auditor. - dr jimbob
dr jimbob, ik denk dat je het punt mist: "OP mag geen nep-records maken, ze kunnen gemakkelijk als nep worden gezien." is nog steeds een onethische positie omdat u suggereert dat hij alleen gegevens mag vervalsen als deze niet kan worden onderscheiden van echte gegevens. Het verzenden van valse gegevens is onethisch. Het verzenden van wachtwoorden van uw gebruikers naar een derde partij is nalatig. Dus we zijn het erover eens dat er iets aan deze situatie moet worden gedaan. Ik becommentarieer het gebrek aan kritisch ethisch denken bij het oplossen van dit probleem. - Joseph Kern
Ik ben het niet eens met de "Het is jouw taak om ervoor te zorgen dat die records beschikbaar, nauwkeurig en veilig zijn." U bent verplicht om uw systeem te beveiligen; onredelijke verzoeken (zoals opslaan en delen van leesbare platte wachtwoorden) mogen niet worden gedaan als ze het systeem in gevaar brengen. Het opslaan, opnemen en delen van leesbare wachtwoorden is een grote inbreuk op uw gebruikersrelaties. Het is een grote bedreiging voor de veiligheid van de rode vlag. De beveiligingsaudit kan en moet worden uitgevoerd zonder plaintext-wachtwoorden / ssh-privésleutels weer te geven; en je moet de hogere ups hiervan op de hoogte stellen en het probleem oplossen. - dr jimbob
Dr. jimbob, ik voel dat we twee schepen zijn die 's nachts voorbijgaan. Ik ben het eens met alles wat je zegt; Ik moet deze punten niet duidelijk genoeg hebben verwoord. Ik zal mijn oorspronkelijke antwoord hierboven herzien. Ik vertrouwde te zwaar op de context van de thread. - Joseph Kern
@ Joseph Kern, ik heb het OP niet op dezelfde manier gelezen als jijzelf. Ik lees het meer over hoe ik zes maanden gegevens kan produceren die we nooit hebben bewaard. Zeker, ik ben het ermee eens, dat de meeste manieren om te proberen aan deze vereiste te voldoen, frauduleus zouden zijn. Wanneer ik echter mijn wachtwoorddatabase zou nemen en tijdstempels zou extraheren voor de laatste 6 maanden, dan zou ik een overzicht kunnen maken van de wijzigingen die nog bewaard zijn gebleven. Ik beschouw dat 'vervalsen' van gegevens omdat sommige gegevens verloren zijn gegaan. - user179700


Je kunt hem niet geven wat je wilt, en pogingen om het te "faken", komen waarschijnlijk terug om je in de kont te bijten (mogelijk op legale manieren). Je moet ofwel de commandostructuur aanspreken (het is mogelijk dat deze auditor schurken heeft geleid, hoewel beveiligingsaudits notoir idioot zijn - vraag me naar de auditor die via SMB toegang wilde krijgen tot een AS / 400), of ga naar de hel onder deze ondeugende eisen vandaan.

Ze zijn niet eens goed beveiligd - een lijst met alle leesbare wachtwoorden is een ongelooflijk gevaarlijk ding om ooit produceren, ongeacht de methoden die worden gebruikt om ze te beschermen, en ik wed dat deze gast wil dat ze per e-mail worden verzonden in platte tekst. (Ik weet zeker dat je dit al weet, ik moet gewoon wat ventileren).

Voor shits en giechelt, vraag hem direct hoe hij zijn vereisten kan uitvoeren - toegeven dat je niet weet hoe, en zijn ervaringen graag wilt benutten. Als je eenmaal weg bent, zou een reactie op zijn "Ik heb meer dan 10 jaar ervaring met veiligheidsaudit" zijn "nee, je hebt 5 minuten ervaring die je honderden keren hebt herhaald".


232
2017-07-22 23:00



... een auditor die via SMB toegang wilde krijgen tot een AS / 400? ... waarom? - Bart Silverstrim
Een veel herhaalde rompslomp die ik heb gehad met PCI-compliancebedrijven pleit tegen algemene ICMP-filtering en blokkeert alleen echo. ICMP is daar voor een zeer goede reden, maar het is bijna onmogelijk om dat uit te leggen aan de vele auditors van 'working from a script'. - Twirrim
@BartSilverstrim Waarschijnlijk een geval van checklist auditing. Zoals een auditor me eens vertelde: waarom kruiste de auditor de weg? Omdat ze dat vorig jaar deden. - Scott Pack
Ik weet dat het te doen is, de echte "WTF?" was het feit dat de auditor van mening was dat de machine kwetsbaar was voor aanvallen via SMB totdat hij verbinding kon maken via SMB ... - womble♦
"Je hebt 5 minuten ervaring die je honderden keren hebt herhaald" --- ooooh, dat gaat regelrecht in mijn quote-verzameling! : D - Tasos Papastylianou


Geen auditor zou u moeten teleurstellen als zij een historisch probleem vinden dat u nu hebt opgelost. Dat is in feite een bewijs van goed gedrag. Met dat in gedachten, stel ik twee dingen voor:

a) Lieg niet of verzin dingen. b) Lees uw beleid.

De belangrijkste verklaring voor mij is deze:

Alle [generieke creditcardverwerkingsprovider] -clients moeten voldoen aan ons nieuwe beveiligingsbeleid

Ik wed dat er in dat beleid een verklaring staat dat wachtwoorden niet kunnen worden opgeschreven en niet kunnen worden doorgegeven aan iemand anders dan de gebruiker. Als dat zo is, past u dat beleid dan toe op zijn verzoeken. Ik stel voor om het als volgt te behandelen:

  • Een lijst met huidige gebruikersnamen en platte-tekstwachtwoorden voor alle gebruikersaccounts op alle servers

Laat hem een ​​lijst met gebruikersnamen zien, maar sta niet toe dat deze worden weggenomen. Leg uit dat het geven van platte tekstwachtwoorden a) onmogelijk is omdat het eenrichtingsverkeer is, en b) tegen het beleid, waar hij u tegen controleert, dus daarom zult u niet gehoorzamen.

  • Een lijst met alle wachtwoordwijzigingen voor de afgelopen zes maanden, opnieuw in platte tekst

Leg uit dat dit niet historisch beschikbaar was. Geef hem een ​​lijst met recente tijden voor het wijzigen van het wachtwoord om aan te geven dat dit nu wordt gedaan. Leg uit, zoals hierboven, dat wachtwoorden niet worden verstrekt.

  • Een lijst met "elk bestand dat van externe apparaten aan de server is toegevoegd" in de afgelopen zes maanden

Leg uit wat wel en niet wordt vastgelegd. Bied wat je kunt. Verstrek niets vertrouwelijks en leg uit volgens het beleid waarom niet. Vraag of uw logboekregistratie moet worden verbeterd.

  • De openbare en privésleutels van SSH-sleutels

Kijk naar uw beleid voor sleutelbeheer. Het moet vermelden dat privésleutels niet uit hun container mogen en dat er strikte toegangsvoorwaarden zijn. Pas dat beleid toe en sta geen toegang toe. Publieke sleutels zijn gelukkig openbaar en kunnen worden gedeeld.

  • Een e-mail die naar hem wordt verzonden telkens wanneer een gebruiker zijn wachtwoord wijzigt, inclusief het wachtwoord voor platte tekst

Zeg gewoon neen. Als u een lokale beveiligde logboekserver hebt, sta hem toe om te zien dat dit ter plaatse wordt geregistreerd.

Eigenlijk, en het spijt me dit te moeten zeggen, maar je moet hardball spelen met deze gast. Volg je beleid precies, niet afwijken. Lieg niet. En als hij je tekortschiet voor iets dat niet in beleid is, klaag dan bij zijn senioren naar het bedrijf dat hem heeft gestuurd. Verzamel een papieren spoor van dit alles om te bewijzen dat je redelijk bent geweest. Als je je beleid overtreedt, ben je overgeleverd aan zijn genade. Als je ze naar de letter volgt, wordt hij uiteindelijk ontslagen.


177
2017-07-23 10:15



Akkoord, dit is als een van die waanzinnige realityshows, waarbij een autodienstman je auto van een klif afrijdt of zoiets ongelofelijk. Ik zou tegen het OP willen zeggen, je CV voorbereiden en vertrekken als de bovenstaande acties niet voor jou werken. Dit is duidelijk een belachelijke en vreselijke situatie. - Jonathan Watmough
Ik zou willen dat ik deze +1.000.000 meer zou stemmen. Hoewel de meeste antwoorden hier ongeveer hetzelfde zeggen, is deze veel grondiger. Fantastisch werk, @Jimmy! - Iszi


Ja, de auditor is een idioot. Echter, zoals je weet, worden idioten soms op machtsposities geplaatst. Dit is een van die gevallen.

De informatie die hij heeft opgevraagd heeft nul invloed op de huidige beveiliging van het systeem. Leg de auditor uit dat u LDAP gebruikt voor verificatie en dat de wachtwoorden worden opgeslagen met een eenrichtingshash. Kort na het doen van een brute-force script tegen de wachtwoord hashes (die weken (of jaren) zou kunnen duren, zult u niet in staat zijn om de wachtwoorden te verstrekken.

Evenzo de externe bestanden - ik zou graag willen horen, hoe hij denkt dat je een onderscheid moet kunnen maken tussen bestanden die rechtstreeks op de server zijn gemaakt en een bestand dat is SCPed naar de server.

Zoals @womble zei, doe niks nep. Dat zal geen goed doen. Ofwel sloot deze audit en boete een andere makelaar, of vind een manier om deze "professional" ervan te overtuigen dat zijn kaas van zijn cracker is gegleden.


134
2017-07-22 23:05



+1 voor "... dat zijn kaas van zijn kraker is gegleden". Dat is een nieuwe voor mij! - Collin Allen
"De gevraagde informatie heeft geen invloed op de huidige beveiliging van het systeem." <- Ik zou eigenlijk zeggen dat het veel invloed heeft op de beveiliging. : P - Ishpeck
(which could take weeks (or years) Ik ben vergeten waar, maar ik vond deze app online die schatte hoe lang het zou duren om je wachtwoord bruut te forceren. Ik weet niet wat de brute-force of hashing algoritmen waren die het veronderstelde waren, maar het schatte iets van 17 triljoen jaar voor de meeste van mijn wachtwoorden ... :) - Carson Myers
@Carson: de online-app die ik vond om de wachtwoordsterkte te schatten had een andere (en mogelijk meer accurate) benadering: voor elk wachtwoord kwam het terug "Uw wachtwoord is onveilig - u hebt het gewoon in een niet-vertrouwde webpagina getypt!" - Jason Owen
@Jason oh nee, je hebt gelijk! - Carson Myers


Laat uw "beveiligingsauditor" wijzen op elke tekst van een van deze documenten die zijn eisen hebben en kijken terwijl hij worstelt om met een excuus te komen en zich uiteindelijk verontschuldigt om nooit meer van hem gehoord te worden.


86
2017-07-22 23:15



Mee eens. Waarom? is een geldige vraag is een omstandigheid zoals deze. De auditor moet in staat zijn documentatie te verstrekken over de zakelijke / operationele argumenten voor zijn verzoeken. Je kunt tegen hem zeggen "Zet jezelf in mijn positie, dit is het soort verzoek dat ik zou verwachten van iemand die probeert een inbraak in te stellen.". - jl.