Вопрос: Наш аудитор по безопасности является идиотом. Как мне дать ему информацию, которую он хочет?


Аудитор безопасности для наших серверов потребовал следующее в течение двух недель:

  • Список текущих имен пользователей и паролей открытого текста для всех учетных записей пользователей на всех серверах
  • Список всех изменений пароля за последние шесть месяцев, снова в текстовом виде
  • Список «каждый файл, добавленный на сервер с удаленных устройств» за последние шесть месяцев
  • Открытый и закрытый ключи любых ключей SSH
  • Электронное письмо, отправленное ему каждый раз, когда пользователь меняет свой пароль, содержащий текстовый пароль

Мы используем коробки Red Hat Linux 5/6 и CentOS 5 с аутентификацией LDAP.

Насколько мне известно, все в этом списке невозможно или невероятно сложно получить, но если я не предоставил эту информацию, мы потеряем доступ к нашей платежной платформе и потеряем доход в течение переходного периода, когда мы перейдем к новый сервис. Любые предложения по тому, как я могу решить эту проблему или подделать ее?

Единственный способ, с помощью которого я могу получить все простые текстовые пароли, - заставить всех сбросить свой пароль и заострить внимание на том, что они установили. Это не решает проблему последних шести месяцев смены пароля, потому что я не могу задним числом регистрировать такие вещи, это же касается регистрации всех удаленных файлов.

Получение всех открытых и частных ключей SSH возможно (хотя и раздражает), так как у нас всего несколько пользователей и компьютеров. Разве я пропустил более простой способ сделать это?

Я неоднократно объяснял ему, что то, о чем он просит, невозможно. В ответ на мои опасения он ответил следующим письмом:

Я имею более чем 10-летний опыт проведения аудита безопасности и полного   понимание методов защиты redhat, поэтому я предлагаю вам проверить   ваши факты о том, что есть и что невозможно. Вы говорите, что ни одна компания не может   возможно, эту информацию, но я выполнил сотни проверок   где эта информация была легко доступна. Все [общий кредит   поставщик карточной обработки] клиенты должны соответствовать нашим новым   политики безопасности, и эта проверка предназначена для обеспечения этих политик   были реализованы * правильно.

* «Новые политики безопасности» были представлены за две недели до нашей проверки, а регистрация журналов за шесть месяцев не потребовалась до изменения политики.

Короче, мне нужно;

  • Способ «подделать» изменения пароля на шесть месяцев и сделать его действительным
  • Способ «подделать» шесть месяцев передачи входящих файлов
  • Простой способ сбора всех открытых и закрытых ключей SSH

Если мы не получим аудит безопасности, мы потеряем доступ к нашей платформе обработки карт (критическая часть нашей системы), и для перехода в другое место потребуется две недели. Как я привинчен?

Обновление 1 (суббота 23-го)

Спасибо за все ваши ответы. Мне очень приятно узнать, что это не стандартная практика.

Я в настоящее время планирую свой ответ электронной почты, на котором он объясняет ситуацию. Как многие из вас отметили, мы должны выполнить PCI, который явно заявляет, что у нас не должно быть никакого способа доступа к открытым паролям. Я напишу письмо, когда напишу его. К сожалению, я не думаю, что он просто проверяет нас; теперь эти вещи находятся в официальной политике безопасности компании. Тем не менее, я установил колеса в движение, чтобы отойти от них и на PayPal.

Обновление 2 (суббота 23-го)

Это письмо, которое я разработал, любые предложения по добавлению / удалению / изменению?

Привет [имя],

К сожалению, мы не можем предоставить вам некоторые   запрашиваемой информации, в основном текстовые пароли, пароль   историю, ключи SSH и журналы удаленных файлов. Эти вещи не только   технически невозможно, но также может обеспечить это   информация будет как против стандартов PCI, так и   действие защиты данных.
  Чтобы процитировать требования PCI,

8.4. Показывать все пароли, не читаемые во время передачи и хранения.   все компоненты системы с использованием сильной криптографии.

Я могу предоставить вам   со списком имен пользователей и хешированных паролей, используемых в нашей системе,   копии открытых ключей SSH и файлов разрешенных хостов (это будет   предоставить вам достаточно информации для определения количества уникальных пользователей   может подключаться к нашим серверам и использовать методы шифрования),   информацию о наших требованиях к безопасности паролей и нашем LDAP   сервер, но эта информация не может быть удалена с сайта. Я настоятельно   предложите вам проверить свои требования к аудиту, поскольку в настоящее время нет способа   для нас, чтобы пройти этот аудит, оставаясь в соответствии с PCI и   Действует защита данных.

С Уважением,
  [меня]

Я буду CC'ing в CTO компании и наш менеджер по работе с клиентами, и я надеюсь, что технический директор может подтвердить, что эта информация недоступна. Я также свяжусь с Советом по стандартам безопасности PCI, чтобы объяснить, что он от нас требуется.

Обновление 3 (26)

Вот некоторые электронные письма, которые мы обменяли;

RE: мое первое электронное письмо;

Как объяснено, эта информация должна быть легко доступна на любой скважине   поддерживаемой системе любому компетентному администратору. Ваш отказ быть   способный предоставить эту информацию, заставляет меня поверить, что вы знаете   недостатки безопасности в вашей системе и не готовы их раскрывать. наш   запросы совпадают с рекомендациями PCI, и оба могут быть выполнены. сильный   криптография означает, что пароли должны быть зашифрованы, пока пользователь   вводит их, но затем их следует перенести в восстанавливаемый формат   для последующего использования.

Я не вижу проблем с защитой данных для этих запросов, только защита данных   применяется к потребителям не для бизнеса, поэтому не должно быть никаких проблем с этим   Информация.

Просто, что, я, не могу, даже ...

«Сильная криптография означает, что пароли должны быть зашифрованы во время   пользователь вводит их, но затем их следует перенести на   восстанавливаемый формат для последующего использования ».

Я собираюсь создать это и надеть на свою стену.

Я устал от дипломатии и направил его в эту тему, чтобы показать ему ответ, который у меня есть:

Предоставление этой информации НЕПРАВИЛЬНО противоречит нескольким требованиям   рекомендаций PCI. В разделе, которое я цитировал, даже говорится storage   (Подразумевая, где мы храним данные на диске). Я начал   обсуждение на сервере ServerFault.com (он-лайн сообщество для sys-admin   профессионалов), который создал огромный отклик, все это предлагает   информация не может быть предоставлена. Не стесняйтесь читать сами

HTTPS и ободочной кишки // serverfault.com / вопросы / 293217 /

Мы закончили работу над нашей системой на новой платформе и будем   отменив нашу учетную запись с вами в течение следующего дня или около того, но я хочу   вы понимаете, насколько смешны эти просьбы, и ни одна компания   правильное внедрение принципов PCI будет или должно   предоставить эту информацию. Я настоятельно рекомендую вам подумать о своем   так как ни один из ваших клиентов не сможет   соответствовать этому.

(На самом деле я забыл, что назвал его идиотом в названии, но, как уже упоминалось, мы уже отошли от платформы, поэтому никаких реальных потерь не было.)

И в своем ответе он утверждает, что, по-видимому, никто из вас не знает, о чем вы говорите:

Я подробно прочитал эти ответы и ваш оригинальный пост,   респонденты все должны правильно понимать свои факты. Я был в этом   индустрия дольше, чем кто-либо на этом сайте, получая список пользователей   пароли учетных записей невероятно простые, он должен быть одним из первых   что вы делаете, когда научитесь защищать свою систему и   к работе любого защищенного сервера. Если вам действительно не хватает   навыки, чтобы сделать что-то это просто, я собираюсь предположить, что у вас нет   PCI, установленная на ваших серверах, как возможность восстановления   информация является основным требованием программного обеспечения. При работе с   что-то такое, как безопасность, вы не должны задавать эти вопросы   общественный форум, если у вас нет базовых знаний о том, как это работает.

Я также хотел бы предложить любую попытку раскрыть меня, или   [название компании] будет считаться клеветой и соответствующими судебными исками   будут приняты

Ключевые идиотические моменты, если вы их пропустили:

  • Он был аудитором безопасности дольше, чем кто-либо другой (он либо догадывается, либо преследует вас)
  • Возможность получить список паролей в системе UNIX - «базовая»,
  • PCI теперь является программным обеспечением
  • Люди не должны использовать форумы, когда они не уверены в безопасности
  • Помещение фактической информации (к которой у меня есть подтверждение по электронной почте) онлайн - клевета

Отлично.

PCI SSC ответили и расследуют его и компанию. Наше программное обеспечение теперь перешло на PayPal, поэтому мы знаем, что это безопасно. Я буду ждать, пока PCI вернется ко мне сначала, но я немного волнуюсь, что они, возможно, использовали эти методы безопасности внутри. Если это так, я думаю, что это является серьезной проблемой для нас, так как через них проходит наша карточная обработка. Если бы они делали это внутренне, я думаю, что единственной ответственной задачей было бы информировать наших клиентов.

Я надеюсь, что когда PCI поймет, насколько это плохо, они будут исследовать всю компанию и систему, но я не уверен.

Итак, теперь мы отошли от своей платформы и предположим, что это будет, по крайней мере, за несколько дней до того, как PCI вернется ко мне, какие-нибудь изобретательные предложения о том, как немного тронуть его? знак равно

Как только я получил разрешение от моего законного парня (я очень сомневаюсь, что все это на самом деле является клеветой, но я хотел бы проверить дважды), я опубликую название компании, его имя и адрес электронной почты, и, если вы хотите, вы можете связаться с ним и объяснить почему вы не понимаете основ безопасности Linux, например, как получить список всех паролей пользователей LDAP.

Небольшое обновление:

Мой «законный парень» предложил показать, что компания, вероятно, вызовет больше проблем, чем необходимо. Могу сказать, что это не крупный поставщик, у них менее 100 клиентов, использующих эту услугу. Мы изначально начали использовать их, когда сайт был крошечным и работал на небольшом VPS, и мы не хотели проходить все усилия по получению PCI (мы использовали для перенаправления на их интерфейс, например, PayPal Standard). Но когда мы перешли на непосредственную обработку карт (включая получение PCI и здравый смысл), разработчики решили использовать одну и ту же компанию только для другого API. Компания базируется в Бирмингеме, Великобритания, поэтому я очень сомневаюсь, что кто-то здесь будет затронут.


2232
2017-07-22 22:44


Источник


У вас есть две недели, чтобы доставить ему информацию, и требуется две недели, чтобы перебраться в другое место, кто может обрабатывать кредитные карты. Не беспокойтесь - решите сейчас перейти и отказаться от аудита. - Scrivener
Пожалуйста, уточните, что с этим происходит. Мне понравилось видеть, как аудитор получает шлепание. =) Если я знаю вас, напишите мне по адресу в моем профиле. - Wesley
Он, должно быть, проверяет тебя, если ты действительно такой глупый. Правильно? Я надеюсь, что это так... - Joe Phillips
Я хотел бы знать некоторые ссылки для других компаний, которых он проверял. Если ни по какой другой причине, кроме как знать, кто избежать, Пароли с обычным текстом ... действительно? Вы уверены, что этот парень действительно не черная шляпа, а компании социальной инженерии глупые, чтобы передавать свои пароли пользователей в течение нескольких месяцев? Потому что, если есть компании, которые делают это с ним, это БОЛЬШОЙ способ просто передать ключи ... - Bart Silverstrim
Любая достаточно развитая некомпетентность неотличима от злобы - Jeremy French


Ответы:


Во-первых, НЕ капитулируйте. Он не только идиот, но и ОПАСНО неправильно. Фактически, выпуск этой информации нарушать стандарт PCI (это то, что я предполагаю аудит, поскольку это процессор платежей), а также все другие стандарты и просто здравый смысл. Он также предоставит вашей компании все виды обязательств.

Следующее, что я хотел бы сделать, это отправить электронное письмо своему начальнику, в котором говорится, что ему необходимо привлечь юридического консультанта для определения юридического риска, с которым компания столкнулась бы, приступив к этому действию.

Этот последний бит зависит от вас, но я свяжется с VISA с этой информацией и вытащите его статус аудитора PCI.


1164
2017-07-22 23:27



Ты подтолкнул меня на это! Это незаконный запрос. Получите PCI QSA для проверки запроса процессора. Получите его по телефону. Обведите вагоны. «Зарядись за оружие!» - Wesley
«заставить его статус аудитора PCI вытащить». Я не знаю, что это значит ... но независимо от того, какой авторитет у этого клоуна (аудитора), очевидно, прибыл из коробки с мокрой взломщиком и должен быть отменен. +1 - WernerCD
Все это предполагает, что этот человек на самом деле является законным аудитором ... он звучит ужасно подозрительно для меня. - Reid
Согласен -- suspicious auditor, или он является законным аудитором, если вы достаточно глупы, чтобы делать что-либо из этого. Спросите, зачем ему нужна эта информация. Просто рассмотрите пароль, который никогда не должен быть простым текстом, но должен быть за одним способом шифрования (хэш). Может быть, у него есть законная причина, но со всем своим «опытом» он должен быть в состоянии помочь вам получить необходимую информацию. - vol7ron
Почему это опасно? Список всех текстовых паролей - их не должно быть. Если список не пуст, он имеет действительную точку. То же самое происходит и для сообщений msot. Если у вас их нет, потому что они там не говорят. Добавлены удаленные файлы - это часть аудита. Не знаю - начните вводить систему, которая знает. - TomTom


Как кто-то, кто прошел процедуру аудита с помощью Цена Waterhouse Coopers для секретного правительственного контракта, могу вас заверить, это совершенно не может быть и речи, и этот парень безумен.

Когда PwC хотел проверить нашу силу пароля, они:

  • На вопрос о наших алгоритмах надежности пароля
  • Ускорьте тестовые блоки против наших алгоритмов, чтобы проверить, что они откажутся от плохих паролей
  • Попросили наши алгоритмы шифрования убедиться, что они не могут быть отменены или не зашифрованы (даже радужными таблицами), даже тем, кто имеет полный доступ ко всем аспектам системы
  • Проверено, чтобы убедиться, что предыдущие пароли были кэшированы, чтобы гарантировать, что они не могут быть повторно использованы
  • Попросил нас предоставить разрешение (которое мы предоставили) для них, чтобы попытаться проникнуть в сеть и связанные с ней системы с использованием методов, не связанных с социальной инженерией (такие вещи, как xss и не-0-дневные эксплойты)

Если бы я даже намекнул, что могу показать им, что пароли пользователей были в течение последних 6 месяцев, они немедленно закрыли бы нас из контракта.

Если оно были возможны для обеспечения этих требований вы мгновенно сбой каждый аудит стоит иметь.


Обновление: ваше электронное письмо с ответом выглядит хорошо. Гораздо более профессионально, чем все, что я написал бы.


808
2017-07-23 02:34



+1. Похоже на разумные ожидания, которые НЕ ДОЛЖНЫ БЫТЬ ОТВЕТСТВЕННЫМИ. Если вы можете ответить на них, у вас есть глупая проблема безопасности. - TomTom
even by rainbow tables разве это не исключает NTLM? Я имею в виду, что он не солен ... AFAICR MIT Kerberos не шифровал или не хешировал активные пароли, не знаю, что такое текущий статус - Hubert Kario
@Hubert - мы не использовали NTLM или Kerberos, поскольку методы сквозной аутентификации были запрещены, и служба все равно не была интегрирована с активным каталогом. В противном случае мы также не смогли бы показать им наши алгоритмы (они встроены в ОС). Следует упомянуть - это была безопасность на уровне приложений, а не аудит уровня ОС. - Mark Henderson♦
@tandu - это то, что указано в спецификации для уровня классификации. Также довольно часто случается, что люди не могут повторно использовать свои последние N потому что он запрещает людям просто ездить на велосипеде через два или три часто используемых пароля, что также небезопасно, поскольку использует один и тот же общий пароль. - Mark Henderson♦
@Slartibartfast: но имея в виду, что обычный текст пароля означает, что злоумышленник может так же проникнуть в вашу базу данных и получить все на виду. Что касается защиты от использования аналогичного пароля, который может быть выполнен в javascript на стороне клиента, когда пользователь пытается сменить пароль, попросите старый пароль и сравните сходство со старым паролем перед отправкой нового пароля на сервер. Конечно, он может только предотвратить повторное использование с 1 последнего пароля, но IMO риск хранения пароля в открытом тексте намного больше. - Lie Ryan


Честно говоря, похоже, что этот парень (аудитор) настраивает вас. Если вы дадите ему информацию, о которой он просит, вы только что доказали ему, что вы можете быть социально сконструированы, чтобы отказаться от критической внутренней информации. Потерпеть неудачу.


435
2017-07-22 23:40



Кроме того, вы считали сторонний процессор платежей, например authorize.net? компания, с которой я работаю, делает через них очень большие суммы операций с кредитными картами. нам не нужно хранить какую-либо информацию о платежах клиента - authorize.net управляет этим - поэтому нет никаких проверок наших систем, чтобы усложнять ситуацию. - anastrophe
это именно то, что я думал, что происходит. Социальная инженерия, вероятно, самый простой способ получить эту информацию, и я думаю, что он тестирует эту лазейку. Этот парень либо очень умный, либо очень немой - Joe Phillips
Эта позиция является, по крайней мере, самым разумным первым шагом. Скажите ему, что вы нарушаете законы / правила / что бы ни делали, но вы цените его хитрость. - michael
Тупой вопрос: «Принятие» приемлемо в этой ситуации? Общая логика говорит мне, что процесс аудита не должен заключаться в «трюках». - Agos
@Agos: Несколько лет назад я работал в одном месте, нанял агентство для проведения аудита. Часть аудита включала вызов случайных людей в компании, когда «<CIO> попросил меня позвонить вам и получить учетные данные для входа, чтобы я мог <сделать что-то». » Мало того, что они проверяли, что вы фактически не откажетесь от учетных данных, но как только вы повесили трубку, вы должны были немедленно вызвать <CIO> или <Security Admin> и сообщить об обмене. - Toby


Я только что заметил, что вы в Великобритании, а это значит, что то, что он просит, это нарушить закон (фактически, Закон о защите данных). Я тоже в Великобритании, работаю в большой проверенной компанией компании и знаю закон и общие практики в этой области. Я также очень противный кусок работы, который с радостью обуздает этот парень для вас, если вам нравится только для удовольствия, сообщите мне, если вы хотите помочь.


331
2017-07-23 07:01



Предполагая, что на этих серверах есть личная информация, я думаю, что передача / все / учетных данных для доступа в текстовом виде кому-то с таким уровнем продемонстрированной некомпетентности будет явным нарушением Принципа 7 ... («Соответствующие технические и организационные меры должны быть приняты против несанкционированной или незаконной обработки персональных данных и от случайной потери или уничтожения или повреждения персональных данных ».) - Stephen Veiss
Я думаю, что это справедливое предположение - если вы храните платежную информацию, вы, вероятно, также сохраняете контактную информацию для своих пользователей. Если бы я был в позиции ОП, я бы увидел, «что вы просите меня не только нарушать политические и договорные обязательства [соблюдать PCI], но и противозаконно», как более сильный аргумент, чем просто упоминание политики и PCI , - Stephen Veiss
@Jimmy, почему пароль не будет личными данными? - robertc
@ Рихард, ты же знаешь, что это была метафора? - Chopper3
@ Chopper3 Да, я все еще думаю, что это неуместно. Кроме того, я против AviD. - Richard Gadsden


Вы социально сконструированы. Либо он «проверяет вас», либо его хакер, представляющий аудитора, чтобы получить очень полезные данные.


265
2017-07-23 09:20



Почему это не лучший ответ? Говорит ли это что-то о сообществе, легкость социальной инженерии или я что-то теряю? - Paul
никогда не приписывать злобу то, что можно отнести к невежеству - aldrinleal
Приписывая все эти запросы невежеству, когда аудитор утверждает, что он профессионал, хотя и немного растягивает воображение. - Thomas K
Проблема с этой теорией заключается в том, что даже если он «упал за нее» или «не прошел тест», он не может дать ему информацию, потому что это невозможно..... - eds
Мое лучшее предположение - «серьезная социальная инженерия» тоже (совпадение, скоро появится новая книга Кевина Митника?), И в этом случае ваша платежная фирма будет удивлена ​​(вы проверили с ними об этом «аудите»?) , Другой вариант - очень новичок-одитор, не владеющий Linux, который пытался блефовать и сейчас копает себя глубже, глубже и глубже. - Koos van den Hout


Я серьезно обеспокоен отсутствием навыков устранения этических проблем OPs а также сообщество ошибок сервера игнорирует это вопиющее нарушение этического поведения.

Короче, мне нужно;

  • Способ «подделать» изменения пароля на шесть месяцев и сделать его действительным
  • Способ «подделать» шесть месяцев передачи входящих файлов

Позвольте мне пояснить два момента:

  1. Никогда не уместно фальсифицировать данные в ходе обычного бизнеса.
  2. Вы никогда не должны раскрывать эту информацию никому. Когда-либо.

Это не ваша работа по фальсификации записей. Ваша задача - убедиться, что все необходимые записи доступны, точны и безопасны.

Сообщество здесь, на сервере Fault должен рассматривайте такие вопросы, поскольку сайт stackoverflow рассматривает вопросы «домашних заданий». Вы не можете решать эти проблемы только с помощью технического ответа или игнорировать нарушение этической ответственности.

Наблюдение за тем, как многие высокопоставленные пользователи отвечают здесь в этой теме, и не упоминает этические последствия этого вопроса, опечаляет меня.

Я бы рекомендовал всем прочитать Кодекс этики системных администраторов SAGE, 

Кстати, ваш аудитор по безопасности является идиотом, но это не значит, что вам нужно чувствовать давление, чтобы быть неэтичным в вашей работе.

Изменить: ваши обновления бесценны. Держите голову, сухой порошок, и не принимайте (или не давайте) никаких деревянных никелей.


263
2017-07-24 20:05



Я не согласен. «Аудитор» издевался над OP на разглашение информации, которая подорвала бы всю ИТ-безопасность организации. Ни при каких обстоятельствах OP не создает эти записи и не предоставляет их кому-либо. OP не должен подделывать записи; их можно легко увидеть подделкой. OP должен объяснить более высоким требованиям, почему требования аудиторов безопасности являются угрозой либо посредством злонамеренных намерений, либо с полной некомпетентностью (почтовые пароли в открытом виде). ОП должен рекомендовать немедленное прекращение аудита безопасности и полное расследование других действий бывшего аудитора. - dr jimbob
dr jimbob, я думаю, вам не хватает смысла: «OP не должен подделывать записи, их можно легко увидеть подделкой». по-прежнему является неэтичным положением, поскольку вы предполагаете, что он должен только фальсифицировать данные, если их нельзя отличить от истинных данных. Отправка ложных данных неэтична. Отправка паролей ваших пользователей третьей стороне является небрежным. Поэтому мы согласны с тем, что над этой ситуацией нужно что-то делать. Я комментирую отсутствие критического этического мышления в решении этой проблемы. - Joseph Kern
Я не согласился с «Это ваша работа, чтобы убедиться, что эти записи доступны, точны и безопасны». Вы обязаны обеспечивать безопасность своей системы; необоснованные запросы (например, хранить и распространять незашифрованные пароли) не должны выполняться, если они нарушают систему. Хранение, запись и совместное использование паролей с открытым текстом является серьезным нарушением доверия с вашими пользователями. Это угроза безопасности большого красного флага. Аудит безопасности может и должен выполняться без раскрытия секретных ключей открытого текста / ssh; и вы должны позволить более высоким уровням узнать и решить проблему. - dr jimbob
dr jimbob, я чувствую, что мы два корабля, проходящие ночью. Я согласен со всем, что вы говорите; Я не должен был четко сформулировать эти моменты. Я пересмотрю свой первоначальный ответ выше. Я слишком сильно полагался на контекст потока. - Joseph Kern
@Joseph Kern, я не читал OP так же, как вы. Я читал его больше, как я могу представить шесть месяцев данных, которые мы никогда не хранили. Конечно, я согласен, что большинство способов удовлетворить это требование будут мошенническими. Однако, если бы я взял свою базу паролей и вынул временные метки за последние 6 месяцев, я мог бы создать запись о том, какие изменения все еще сохранялись. Я считаю, что «подделка» данных, поскольку некоторые данные были потеряны. - user179700


Вы не можете дать ему то, что хотите, и попытки «подделать», скорее всего, вернутся, чтобы укусить вас в задницу (возможно, законным путем). Вам нужно либо подать апелляцию на цепочку действий (возможно, этот аудитор ушел из-под стражи, хотя аудит безопасности, как известно, идиотский - спросите меня об аудиторе, который хотел иметь доступ к AS / 400 через SMB), или получить ад из-под этих утомительных требований.

У них даже нет хорошей безопасности - список всех открытых текстовых паролей - это невероятно опасная вещь для Когда-либо независимо от методов, используемых для их защиты, и я готов поспорить, что этот парень захочет, чтобы они были отправлены по электронной почте в текстовом виде. (Я уверен, что вы это уже знаете, мне просто нужно немного отпустить).

За дерьмо и хихиканье спросите его прямо, как выполнить его требования - признайте, что вы не знаете, как и хотели бы использовать его опыт. Когда вы выйдете и уйдете, ответ на его «Я имею более чем 10-летний опыт аудита безопасности» будет «нет, у вас есть 5 минут опыта, повторяемого сотни раз».


231
2017-07-22 23:00



... аудитор, который хотел получить доступ к AS / 400 через SMB? ... почему? - Bart Silverstrim
Многократная стычка, с которой я столкнулась с компаниями, отвечающими за соблюдение требований PCI, утверждает, что противная фильтрация ICMP блокируется и блокирует только эхо. ICMP существует по очень веской причине, но почти невозможно объяснить это многочисленным «работающим от сценария» аудиторам. - Twirrim
@BartSilverstrim Вероятно, случай проверки контрольного списка. Как однажды сказал одитор, почему аудитор перешел дорогу? Потому что это то, что они делали в прошлом году. - Scott Pack
Я знаю, что это выполнимо, настоящий «WTF»? был тот факт, что аудитор считал, что машина уязвима для атак через SMB, пока он не сможет подключиться через SMB ... - womble♦
«У вас есть 5 минут опыта, повторяемого сотни раз» --- ооооо, это происходит прямо в моей коллекции цитат! : D - Tasos Papastylianou


Ни один аудитор не сможет вас отказать, если найдет историческую проблему, которую вы сейчас исправили. Фактически, это свидетельствует о хорошем поведении. Имея это в виду, я предлагаю две вещи:

a) Не лгите и не делайте вещи. б) Прочитайте свои политики.

Ключевое заявление для меня:

Все клиенты [клиенты общей клиентской обработки кредитных карт] должны соответствовать нашим новым политикам безопасности

Бьюсь об заклад, что в этих правилах говорится, что пароли не могут быть записаны и не могут быть переданы никому, кроме пользователя. Если есть, то применяйте эти политики к его запросам. Я предлагаю обработать его следующим образом:

  • Список текущих имен пользователей и паролей открытого текста для всех учетных записей пользователей на всех серверах

Покажите ему список имен пользователей, но не позволяйте им забираться. Объясните, что предоставление простых текстовых паролей является a) невозможным, поскольку оно одностороннее, и b) против политики, с которой он вас проверяет, поэтому вы не будете подчиняться.

  • Список всех изменений пароля за последние шесть месяцев, снова в текстовом виде

Объясните, что это не было исторически доступным. Дайте ему список последних изменений пароля, чтобы показать, что это делается сейчас. Объясните, как указано выше, что пароли не будут предоставлены.

  • Список «каждый файл, добавленный на сервер с удаленных устройств» за последние шесть месяцев

Объясните, что такое и не регистрируется. Предоставьте то, что вы можете. Не предоставляйте ничего конфиденциального и объясните по правилам, почему бы и нет. Спросите, нужно ли улучшить ведение журнала.

  • Открытый и закрытый ключи любых ключей SSH

Посмотрите на свою политику управления ключами. Он должен указать, что закрытые ключи не допускаются из контейнера и имеют строгие условия доступа. Примените эту политику и не разрешайте доступ. Открытые ключи счастливы и доступны.

  • Электронное письмо, отправленное ему каждый раз, когда пользователь меняет свой пароль, содержащий текстовый пароль

Просто сказать нет. Если у вас есть локальный сервер защищенного журнала, дайте ему понять, что он регистрируется на месте.

В принципе, и мне очень жаль это говорить, но вам нужно играть в мяч с этим парнем. Соблюдайте свою политику точно, не отклоняйтесь. Не ври. И если он откажет вам в чем-либо, что не в политике, жалуйтесь своим пожилым в компании, которая его отправила. Соберите бумажный след всего этого, чтобы доказать, что вы были разумными. Если вы нарушите свою политику, вы по его милости. Если вы последуете за ним в письме, он в конечном итоге будет уволен.


177
2017-07-23 10:15



Согласившись, это похоже на одно из этих сумасшедших реалити-шоу, где парень по автосервису ведет свой автомобиль со скалы или что-то столь же невероятное. Я бы сказал ОП, подготовлю ваше резюме и уйду, если вышеприведенные действия не сработают для вас. Это явно смешная и страшная ситуация. - Jonathan Watmough
Хотел бы я проголосовать за это +1,000,000. В то время как большинство ответов здесь в значительной степени говорят одно и то же, это гораздо более основательно. Отличная работа, @ Джимми! - Iszi


Да, аудитор является идиот. Однако, как вы знаете, иногда идиоты помещаются в позиции власти. Это один из таких случаев.

Запрошенная им информация нуль с учетом текущей безопасности системы. Объясните аудитору, что вы используете LDAP для аутентификации и что пароли хранятся с использованием одностороннего хэша. Если не выполнить сценарий грубой силы против хэшей паролей (которые могут занять недели (или годы), вы не сможете предоставить пароли.

Точно так же удаленные файлы - я бы хотел услышать, как он думает, что вы должны иметь возможность различать файлы, созданные непосредственно на сервере, и файл SCPed на сервере.

Как сказал @womble, не подделывайте ничего. Это не принесет пользы. Либо проверите этот аудит, и еще один брокер, или найдите способ убедить этого «профессионала», что его сыр соскользнул с его взломщика.


134
2017-07-22 23:05



+1 за «... что его сыр соскользнул с крекера». Это новое для меня! - Collin Allen
«Запрошенная информация имеет нулевое отношение к текущей безопасности системы». <- Я бы сказал, что это имеет большое значение для безопасности. :П - Ishpeck
(which could take weeks (or years) Я забыл, где, но я нашел это приложение онлайн, которое будет оценивать, сколько времени потребуется для перебора пароля. Я не знаю, какие алгоритмы грубой силы или хеширования он принимал, но для большинства моих паролей он оценил примерно 17 триллионов лет ... :) - Carson Myers
@Carson: онлайн-приложение, которое я нашел для оценки силы пароля, отличалось (и, возможно, более точным): для каждого пароля он возвращал «Ваш пароль небезопасен - вы просто набрали его на ненадежную веб-страницу!» - Jason Owen
@ Джейсон, нет, ты прав! - Carson Myers