Pertanyaan Auditor keamanan kami adalah idiot. Bagaimana saya memberinya informasi yang dia inginkan?


Seorang auditor keamanan untuk server kami telah menuntut yang berikut dalam waktu dua minggu:

  • Daftar nama pengguna dan kata sandi teks biasa untuk semua akun pengguna di semua server
  • Daftar semua kata sandi berubah selama enam bulan terakhir, sekali lagi dalam teks biasa
  • Daftar "setiap file yang ditambahkan ke server dari perangkat jarak jauh" dalam enam bulan terakhir
  • Kunci publik dan pribadi dari kunci SSH apa pun
  • Email yang dikirimkan kepadanya setiap kali seorang pengguna mengubah kata sandinya, yang berisi kata sandi teks biasa

Kami menjalankan Red Hat Linux 5/6 dan CentOS 5 kotak dengan otentikasi LDAP.

Sejauh yang saya ketahui, semua yang ada di daftar itu tidak mungkin atau sangat sulit didapat, tetapi jika saya tidak memberikan informasi ini, kami menghadapi kehilangan akses ke platform pembayaran kami dan kehilangan penghasilan selama periode transisi saat kami pindah ke layanan baru. Ada saran untuk bagaimana saya bisa memecahkan atau memalsukan informasi ini?

Satu-satunya cara saya dapat berpikir untuk mendapatkan semua kata sandi teks biasa, adalah meminta semua orang untuk mereset kata sandi mereka dan mencatat apa yang mereka atur. Itu tidak menyelesaikan masalah enam bulan terakhir dari perubahan kata sandi, karena saya tidak bisa secara retro log semacam itu, hal yang sama berlaku untuk pencatatan semua file jauh.

Mendapatkan semua kunci SSH publik dan pribadi adalah mungkin (meskipun menjengkelkan), karena kami hanya memiliki beberapa pengguna dan komputer. Kecuali saya melewatkan cara yang lebih mudah untuk melakukan ini?

Saya telah menjelaskan kepadanya berkali-kali bahwa hal-hal yang dia minta tidak mungkin. Menanggapi kekhawatiran saya, dia menanggapi dengan email berikut:

Saya memiliki lebih dari 10 tahun pengalaman dalam audit keamanan dan penuh   pemahaman tentang metode keamanan redhat, jadi saya sarankan Anda memeriksa   fakta Anda tentang apa yang mungkin dan tidak mungkin. Anda bilang tidak ada perusahaan yang bisa   mungkin memiliki informasi ini tetapi saya telah melakukan ratusan audit   di mana informasi ini telah tersedia. Semua [kredit umum   penyedia pemrosesan kartu] klien diminta untuk menyesuaikan dengan yang baru   kebijakan keamanan dan audit ini dimaksudkan untuk memastikan kebijakan tersebut   telah dilaksanakan * dengan benar.

* "Kebijakan keamanan baru" diperkenalkan dua minggu sebelum audit kami, dan penebangan historis selama enam bulan tidak diperlukan sebelum kebijakan berubah.

Singkatnya, saya butuh;

  • Cara untuk mengubah kata sandi "palsu" enam bulan dan membuatnya terlihat valid
  • Cara untuk "memalsukan" enam bulan transfer file masuk
  • Cara mudah untuk mengumpulkan semua kunci publik dan privat SSH yang digunakan

Jika kami gagal dalam audit keamanan, kami kehilangan akses ke platform pemrosesan kartu kami (bagian penting dari sistem kami) dan akan membutuhkan waktu dua minggu untuk pindah ke tempat lain. Seberapa kacau saya?

Perbarui 1 (Sabtu ke-23)

Terima kasih atas semua tanggapan Anda, Saya sangat lega mengetahui bahwa ini bukan praktik standar.

Saat ini saya merencanakan tanggapan email saya kepadanya menjelaskan situasi. Seperti yang banyak dari Anda tunjukkan, kita harus mematuhi PCI yang secara eksplisit menyatakan bahwa kita seharusnya tidak memiliki cara untuk mengakses password teks biasa. Saya akan memposting email setelah saya selesai menulisnya. Sayangnya saya tidak berpikir dia hanya menguji kami; hal-hal ini ada dalam kebijakan keamanan resmi perusahaan sekarang. Namun, saya telah mengatur roda untuk bergerak menjauh dari mereka dan ke PayPal untuk sementara waktu.

Perbarui 2 (Sabtu 23)

Ini adalah email yang saya buat, saran untuk hal-hal yang perlu ditambahkan / dihapus / diubah?

Hai [nama],

Sayangnya tidak ada cara bagi kami untuk memberi Anda beberapa   dari informasi yang diminta, terutama password teks biasa, kata sandi   riwayat, kunci SSH dan log file jarak jauh. Bukan hanya hal-hal ini   secara teknis tidak mungkin, tetapi juga mampu menyediakan ini   informasi akan menjadi baik terhadap Standar PCI, dan pelanggaran dari   tindakan perlindungan data.
  Untuk mengutip persyaratan PCI,

8.4 Render semua kata sandi tidak dapat dibaca selama transmisi dan penyimpanan aktif   semua komponen sistem menggunakan kriptografi yang kuat.

Saya bisa memberi Anda   dengan daftar nama pengguna dan kata sandi hash yang digunakan pada sistem kami,   salinan kunci publik SSH dan file host resmi (Ini akan   memberi Anda cukup informasi untuk menentukan jumlah pengguna unik   dapat terhubung ke server kami, dan metode enkripsi yang digunakan),   informasi tentang persyaratan keamanan kata sandi kami dan LDAP kami   server tetapi informasi ini tidak dapat dihapus dari situs. Saya kuat   menyarankan Anda meninjau persyaratan audit Anda karena saat ini tidak ada jalan   bagi kami untuk lulus audit ini sambil tetap mematuhi PCI dan   Tindakan Perlindungan Data.

Salam,
  [saya]

Saya akan menjadi CC'ing di CTO perusahaan dan manajer akun kami, dan saya berharap CTO dapat mengonfirmasi bahwa informasi ini tidak tersedia. Saya juga akan menghubungi Dewan Standar Keamanan PCI untuk menjelaskan apa yang dia minta dari kami.

Perbarui 3 (26)

Berikut beberapa email yang kami tukarkan;

RE: email pertama saya;

Sebagaimana dijelaskan, informasi ini harus tersedia dengan mudah di sumur apa pun   mempertahankan sistem untuk administrator yang kompeten. Kegagalanmu   mampu memberikan informasi ini membuat saya percaya Anda sadar   kelemahan keamanan dalam sistem Anda dan tidak siap untuk mengungkapkannya. Kami   permintaan berbaris dengan pedoman PCI dan keduanya dapat dipenuhi. Kuat   kriptografi hanya berarti kata sandi harus dienkripsi sementara pengguna   sedang memasukkan mereka tetapi kemudian mereka harus dipindahkan ke format yang dapat dipulihkan   untuk digunakan nanti.

Saya tidak melihat masalah perlindungan data untuk permintaan ini, hanya perlindungan data   berlaku untuk konsumen bukan bisnis jadi seharusnya tidak ada masalah dengan ini   informasi.

Hanya, apa, aku, tidak bisa, bahkan ...

"Kriptografi yang kuat hanya berarti kata sandi harus dienkripsi sementara   pengguna memasukkannya tetapi kemudian mereka harus dipindahkan ke a   format yang dapat dipulihkan untuk digunakan nanti. "

Saya akan membingkai itu dan meletakkannya di dinding saya.

Saya bosan menjadi diplomatik dan mengarahkannya ke utas ini untuk menunjukkan respons yang saya dapatkan:

Memberikan informasi ini LANGSUNG bertentangan dengan beberapa persyaratan   dari pedoman PCI. Bagian yang saya kutip bahkan mengatakan storage   (Menyiratkan ke mana kita menyimpan data pada disk). Saya memulai   diskusi di ServerFault.com (Komunitas on-line untuk sys-admin   profesional) yang telah menciptakan respons yang sangat besar, semuanya menunjukkan hal ini   informasi tidak dapat disediakan. Jangan ragu untuk membaca sendiri

https & colon // serverfault.com / pertanyaan / 293217 /

Kami telah selesai memindahkan sistem kami ke platform baru dan nantinya   membatalkan akun kami dengan Anda dalam hari berikutnya atau lebih tapi saya ingin   Anda menyadari betapa konyolnya permintaan ini, dan tidak ada perusahaan   benar menerapkan pedoman PCI akan, atau seharusnya, dapat   berikan informasi ini. Saya sangat menyarankan Anda berpikir ulang   persyaratan keamanan karena tidak ada pelanggan Anda yang dapat melakukannya   sesuai dengan ini.

(Aku benar-benar lupa aku memanggilnya idiot dalam judul, tetapi seperti yang disebutkan, kami sudah pindah dari panggung mereka sehingga tidak ada kerugian nyata.)

Dan dalam tanggapannya, ia menyatakan bahwa tampaknya tidak ada yang tahu apa yang Anda bicarakan:

Saya membaca secara detail melalui tanggapan dan posting asli Anda,   semua responden harus mendapatkan fakta mereka dengan benar. Saya telah berada di sini   industri lebih lama dari siapa pun di situs itu, mendapatkan daftar pengguna   kata sandi akun sangat dasar, seharusnya salah satu yang pertama   hal-hal yang Anda lakukan ketika belajar cara mengamankan sistem Anda dan sangat penting   untuk pengoperasian server yang aman. Jika Anda benar-benar tidak memiliki   keterampilan untuk melakukan sesuatu yang sederhana ini saya akan menganggap Anda tidak punya   PCI yang dipasang di server Anda dapat memulihkan ini   informasi adalah kebutuhan dasar perangkat lunak. Saat berurusan dengan   sesuatu seperti keamanan Anda seharusnya tidak menanyakan pertanyaan ini   sebuah forum publik jika Anda tidak memiliki pengetahuan dasar tentang cara kerjanya.

Saya juga ingin menyarankan bahwa setiap upaya untuk mengungkapkan saya, atau   [nama perusahaan] akan dianggap fitnah dan tindakan hukum yang sesuai   akan diambil

Kunci idiot poin jika Anda melewatkannya:

  • Dia sudah menjadi auditor keamanan lebih lama dari orang lain di sini (dia menebak, atau mengintai Anda)
  • Mampu mendapatkan daftar kata sandi pada sistem UNIX adalah 'dasar'
  • PCI sekarang adalah perangkat lunak
  • Orang tidak boleh menggunakan forum ketika mereka tidak yakin tentang keamanan
  • Berpose informasi faktual (yang saya punya bukti email) online adalah fitnah

Luar biasa.

PCI SSC telah merespon dan sedang menginvestigasinya dan perusahaan. Perangkat lunak kami sekarang telah pindah ke PayPal sehingga kami tahu itu aman. Saya akan menunggu PCI untuk kembali kepada saya terlebih dahulu tetapi saya sedikit khawatir bahwa mereka mungkin menggunakan praktik keamanan ini secara internal. Jika demikian, saya pikir ini adalah perhatian utama bagi kami karena semua pemrosesan kartu kami berlari melaluinya. Jika mereka melakukan ini secara internal saya pikir satu-satunya hal yang bertanggung jawab untuk dilakukan adalah memberi tahu pelanggan kami.

Saya berharap ketika PCI menyadari betapa buruknya mereka akan menyelidiki seluruh perusahaan dan sistem tetapi saya tidak yakin.

Jadi sekarang kami telah pindah dari platform mereka, dan dengan asumsi itu akan setidaknya beberapa hari sebelum PCI kembali kepada saya, saran inventif apa pun tentang cara membuatnya sedikit troll? =)

Setelah saya mendapat izin dari orang hukum saya (saya sangat meragukan semua ini sebenarnya adalah fitnah tetapi saya ingin memeriksa ulang) saya akan menerbitkan nama perusahaan, nama dan emailnya, dan jika Anda ingin Anda dapat menghubungi dia dan menjelaskan mengapa Anda tidak memahami dasar-dasar keamanan Linux seperti bagaimana mendapatkan daftar semua kata sandi pengguna LDAP.

Sedikit pembaruan:

"Orang hukum" saya menyarankan untuk mengungkapkan perusahaan mungkin akan menyebabkan lebih banyak masalah daripada yang diperlukan. Namun saya dapat mengatakan, ini bukan penyedia utama, mereka memiliki kurang dari 100 klien yang menggunakan layanan ini. Kami awalnya mulai menggunakan mereka ketika situs itu kecil dan berjalan di VPS kecil, dan kami tidak ingin melalui semua upaya mendapatkan PCI (Kami digunakan untuk mengarahkan ke frontend mereka, seperti Standar PayPal). Tetapi ketika kami pindah ke kartu pemrosesan langsung (termasuk mendapatkan PCI, dan akal sehat), para pengembang memutuskan untuk tetap menggunakan perusahaan yang sama hanya dengan API yang berbeda. Perusahaan ini berbasis di daerah Birmingham, Inggris jadi saya sangat meragukan siapa pun di sini akan terpengaruh.


2253
2017-07-22 22:44




Anda memiliki dua minggu untuk menyampaikan informasi kepadanya, dan perlu dua minggu untuk pindah ke tempat lain yang dapat memproses kartu kredit. Jangan repot-repot - buat keputusan untuk pindah sekarang dan tinggalkan audit. - Scrivener
Tolong, perbarui kami tentang apa yang terjadi dengan ini. Saya sangat senang melihat bagaimana auditor mendapat pukulan. =) Jika saya mengenal Anda, kirimi saya email di alamat di profil saya. - Wesley
Dia harus menguji Anda untuk melihat apakah Anda benar-benar bodoh itu. Kanan? Saya berharap begitu... - Joe Phillips
Saya ingin tahu beberapa referensi untuk perusahaan lain yang diaudit. Jika tidak ada alasan lain selain tahu siapa menghindari. Kata sandi plaintext ... sungguh? Apakah Anda yakin orang ini benar-benar bukan perusahaan hitam dan perusahaan rekayasa sosial bodoh untuk menyerahkan kata sandi pengguna mereka selama berbulan-bulan? Karena jika ada perusahaan yang melakukan ini dengannya, ini adalah cara BESAR untuk menyerahkan kunci ... - Bart Silverstrim
Setiap inkompetensi yang cukup maju tidak dapat dibedakan dari kebencian - Jeremy French


Jawaban:


Pertama, JANGAN menyerah. Dia bukan hanya seorang idiot tapi JAHAT salah. Faktanya, merilis informasi ini akan melanggar standar PCI (yang saya asumsikan sebagai audit adalah karena ini adalah prosesor pembayaran) bersama dengan setiap standar lain di luar sana dan hanya akal sehat biasa. Itu juga akan mengekspos perusahaan Anda ke segala macam kewajiban.

Hal berikutnya yang akan saya lakukan adalah mengirim email ke atasan Anda mengatakan ia perlu melibatkan penasihat perusahaan untuk menentukan eksposur hukum yang akan dihadapi perusahaan dengan melanjutkan tindakan ini.

Bit terakhir ini terserah Anda, tapi saya akan menghubungi VISA dengan informasi ini dan mendapatkan status auditor PCI-nya ditarik.


1171
2017-07-22 23:27



Anda mengalahkan saya untuk itu! Ini adalah permintaan ilegal. Dapatkan PCI QSA untuk mengaudit permintaan prosesor. Dapatkan dia di panggilan telepon. Lingkari gerobak. "Isi untuk senjata!" - Wesley
"dapatkan status auditor PCI-nya ditarik" Saya tidak tahu apa artinya itu ... tapi otoritas apa pun yang dimiliki badut ini (auditor) jelas datang dari kotak jack cracker basah dan perlu dicabut. +1 - WernerCD
Ini semua dengan asumsi bahwa orang ini sebenarnya adalah auditor yang sah ... dia terdengar sangat mencurigakan bagiku. - Reid
Saya setuju -- suspicious auditor, atau dia seorang auditor yang sah melihat apakah Anda cukup bodoh untuk melakukan hal-hal ini. Tanyakan mengapa dia membutuhkan informasi ini. Hanya mempertimbangkan kata sandi, yang tidak boleh berupa teks biasa, tetapi harus berada di balik enkripsi satu arah (hash). Mungkin dia memiliki beberapa alasan yang sah, tetapi dengan semua "pengalamannya" dia harus dapat membantu Anda mendapatkan informasi yang diperlukan. - vol7ron
Kenapa ini berbahaya? Daftar semua kata sandi teks biasa - seharusnya tidak ada. Jika daftar itu tidak kosong, ia memiliki poin yang valid. Sama berlaku untuk hal-hal msot. Jika Anda tidak memilikinya karena mereka tidak ada di sana katakan. File remote ditambahkan - itu adalah bagian dari auditiing. Tidak tahu - mulailah menempatkan dalam sistem yang tahu. - TomTom


Sebagai seseorang yang telah melalui prosedur audit bersama Harga Waterhouse Coopers untuk kontrak pemerintah rahasia, saya dapat meyakinkan Anda, ini benar-benar keluar dari pertanyaan dan orang ini gila.

Ketika PwC ingin memeriksa kekuatan kata sandi kami, mereka:

  • Diminta untuk melihat algoritme kekuatan sandi kami
  • Menjalankan unit uji terhadap algoritme kami untuk memeriksa apakah mereka akan menolak kata sandi yang buruk
  • Diminta untuk melihat algoritma enkripsi kami untuk memastikan bahwa mereka tidak dapat dibalik atau tidak dienkripsi (bahkan oleh tabel pelangi), bahkan oleh seseorang yang memiliki akses penuh ke setiap aspek sistem
  • Diperiksa untuk melihat bahwa kata sandi sebelumnya di-cache untuk memastikan bahwa mereka tidak dapat digunakan kembali
  • Meminta kami untuk meminta izin (yang kami berikan) kepada mereka untuk mencoba membobol jaringan dan sistem terkait menggunakan teknik rekayasa non-sosial (hal-hal seperti xss dan non-0 hari eksploit)

Jika saya bahkan mengisyaratkan bahwa saya dapat menunjukkan kepada mereka apa kata sandi pengguna selama 6 bulan terakhir, mereka akan segera menutup kami dari kontrak.

Jika itu mungkin untuk menyediakan persyaratan ini, Anda akan langsung gagal setiap audit berharga.


Pembaruan: Email respons Anda terlihat bagus. Jauh lebih profesional dari apa pun yang akan saya tulis.


813
2017-07-23 02:34



+1. Terlihat seperti quesstions yang masuk akal yang TIDAK BISA DIJAWAB. Jika Anda dapat menjawabnya, Anda memiliki masalah keamanan yang bodoh di tangan. - TomTom
even by rainbow tablesbukankah itu mengesampingkan NTLM? Maksudku, itu tidak asin ... AFAICR MIT Kerberos tidak mengenkripsi atau hash password aktif, tidak tahu statusnya saat ini - Hubert Kario
@Hubert - kami tidak menggunakan NTLM atau Kerberos karena metode otentikasi pass-through dilarang dan layanan tidak terintegrasi dengan direktori aktif. Kalau tidak, kami juga tidak bisa menunjukkan kepada mereka algoritme kami (mereka dibangun ke dalam OS). Seharusnya disebutkan - ini adalah keamanan tingkat aplikasi, bukan audit tingkat OS. - Mark Henderson♦
@tandu - itulah spesifikasi untuk tingkat klasifikasi yang dinyatakan. Ini juga cukup umum untuk menghentikan orang menggunakan kembali yang terakhir n kata sandi, karena menghentikan orang dari hanya bersepeda melalui dua atau tiga kata sandi yang umum digunakan, yang sama tidak amannya dengan menggunakan kata sandi umum yang sama. - Mark Henderson♦
@Slartibartfast: tetapi memiliki maksud untuk mengetahui teks sederhana dari kata sandi berarti penyerang bisa saja masuk ke database Anda dan mengambil semuanya di depan mata. Adapun perlindungan terhadap penggunaan kata sandi yang sama, yang dapat dilakukan dalam javascript di sisi klien, ketika pengguna mencoba untuk mengubah kata sandi, juga meminta kata sandi lama dan melakukan perbandingan kesamaan dengan kata sandi lama sebelum memposting kata sandi baru ke server. Memang, itu hanya dapat mencegah penggunaan kembali dari 1 kata sandi terakhir, tetapi IMO risiko menyimpan kata sandi dalam plaintext jauh lebih banyak. - Lie Ryan


Sejujurnya, kedengarannya seperti orang ini (auditor) sedang mengatur Anda. Jika Anda memberinya informasi yang ia minta, Anda baru saja membuktikan kepadanya bahwa Anda dapat direkayasa secara sosial untuk menyerahkan informasi internal yang penting. Gagal.


440
2017-07-22 23:40



juga, sudahkah Anda mempertimbangkan prosesor pembayaran pihak ketiga, seperti authorize.net? perusahaan tempat saya bekerja melakukan banyak sekali transaksi kartu kredit melalui mereka. kami tidak perlu menyimpan salah satu info pembayaran pelanggan - authorize.net mengelola itu - jadi tidak ada audit sistem kami untuk mempersulit hal-hal. - anastrophe
ini persis apa yang saya pikir sedang terjadi. Rekayasa sosial mungkin adalah cara termudah untuk mendapatkan info ini dan saya pikir dia menguji celah itu. Orang ini sangat pintar atau sangat bodoh - Joe Phillips
Posisi ini setidaknya merupakan langkah pertama yang paling masuk akal. Katakan padanya bahwa Anda akan melanggar hukum / aturan / apa pun dengan melakukan semua itu, tetapi Anda menghargai akal bulusnya. - michael
Pertanyaan bodoh: apakah "pengaturan" dapat diterima dalam situasi ini? Logika umum memberi tahu saya proses audit tidak boleh terbuat dari "trik". - Agos
@Agos: Saya bekerja di suatu tempat beberapa tahun yang lalu yang menyewa agen untuk melakukan audit. Bagian dari audit termasuk memanggil orang secara acak di perusahaan dengan "<CIO> meminta saya untuk menghubungi Anda dan mendapatkan kredensial login Anda sehingga saya dapat <melakukan sesuatu>." Bukan saja mereka memeriksa untuk melihat bahwa Anda tidak akan benar-benar menyerahkan kredensial, tetapi begitu Anda menutupnya, Anda seharusnya segera menelepon <CIO> atau <Admin Keamanan> dan melaporkan pertukaran tersebut. - Toby


Saya baru saja melihat Anda berada di Inggris, yang berarti bahwa apa yang ia minta Anda lakukan adalah melanggar hukum (UU Perlindungan Data sebenarnya). Saya juga di Inggris, bekerja untuk perusahaan besar yang diaudit dan tahu hukum dan praktik umum di area ini. Saya juga merupakan karya yang sangat jahat yang akan dengan senang hati mengekang orang ini untuk Anda jika Anda hanya ingin bersenang-senang, beri tahu saya jika Anda ingin membantu.


335
2017-07-23 07:01



Dengan asumsi ada informasi pribadi di server tersebut, saya pikir menyerahkan / semua / mandat untuk akses dalam teks biasa kepada seseorang dengan tingkat ketidakmampuan yang ditunjukkan ini jelas merupakan pelanggaran Prinsip 7 ... ("Tindakan teknis dan organisasi yang tepat harus diambil terhadap pemrosesan data pribadi yang tidak sah atau melanggar hukum dan terhadap kehilangan atau kerusakan yang tidak disengaja, atau kerusakan pada, data pribadi. ") - Stephen Veiss
Saya pikir ini adalah asumsi yang adil - jika Anda menyimpan informasi pembayaran, Anda mungkin juga menyimpan informasi kontak untuk pengguna Anda. Jika saya berada dalam posisi OP, saya akan melihat "apa yang Anda minta untuk saya lakukan tidak hanya melanggar kebijakan dan kewajiban kontraktual [untuk mematuhi PCI], tetapi juga ilegal" sebagai argumen yang lebih kuat daripada hanya menyebutkan kebijakan dan PCI . - Stephen Veiss
@Jimmy mengapa kata sandi tidak menjadi data pribadi? - robertc
@ Richard, Anda tahu itu adalah metafora, kan? - Chopper3
@ Chopper3 Ya, saya masih berpikir itu tidak pantas. Plus, saya sedang melawan AviD. - Richard Gadsden


Anda sedang direkayasa secara sosial. Entah itu untuk 'menguji Anda' atau seorang hacker yang menyamar sebagai auditor untuk mendapatkan beberapa data yang sangat berguna.


271
2017-07-23 09:20



Kenapa ini bukan jawaban atas? Apakah itu mengatakan sesuatu tentang komunitas, kemudahan rekayasa sosial, atau saya kehilangan sesuatu yang mendasar? - Paul
tidak pernah atribut ke kejahatan apa yang dapat dikaitkan dengan ketidaktahuan - aldrinleal
Mengaitkan semua permintaan itu dengan ketidaktahuan ketika auditor mengklaim sebagai seorang profesional, meskipun, membentang sedikit imajinasi. - Thomas K
Masalah dengan teori ini adalah bahwa, bahkan jika dia "jatuh untuk itu" atau "gagal dalam ujian," dia tidak bisa beri dia informasi karena itu mustahil..... - eds
Tebakan terbaik saya adalah 'rekayasa sosial yang serius' juga (apakah kebetulan buku Kevin Mitnick yang baru akan segera keluar?), Dalam hal mana perusahaan pembayaran Anda akan terkejut (sudahkah Anda memeriksa dengan mereka tentang 'audit' ini?) . Pilihan lainnya adalah auditor yang sangat rookie tanpa pengetahuan linux yang mencoba menggertak dan sekarang menggali dirinya sendiri lebih dalam, lebih dalam dan lebih dalam. - Koos van den Hout


Saya sangat prihatin tentang kurangnya keterampilan pemecahan masalah etika OP dan komunitas kesalahan server mengabaikan pelanggaran perilaku etis yang mencolok ini.

Singkatnya, saya butuh;

  • Cara untuk mengubah kata sandi 'palsu' selama enam bulan dan membuatnya terlihat valid
  • Cara untuk 'memalsukan' enam bulan transfer file masuk

Biarkan saya menjelaskan dua hal:

  1. Tidak pernah tepat untuk memalsukan data selama bisnis normal.
  2. Anda tidak boleh membocorkan informasi semacam ini kepada siapa pun. Pernah.

Bukan tugas Anda untuk memalsukan catatan. Adalah tugas Anda untuk memastikan bahwa semua catatan yang diperlukan tersedia, akurat, dan aman.

Komunitas di sini di Server Fault harus perlakukan pertanyaan seperti ini karena situs stackoverflow memperlakukan pertanyaan "pekerjaan rumah". Anda tidak dapat mengatasi masalah ini hanya dengan respons teknis atau mengabaikan pelanggaran tanggung jawab etis.

Melihat begitu banyak pengguna high-rep menjawab di sini di utas ini dan tidak menyebutkan implikasi etis dari pertanyaan yang membuat saya sedih.

Saya akan mendorong semua orang untuk membaca SAGE Kode Etik Administrator Sistem. 

BTW, auditor keamanan Anda adalah idiot, tetapi itu tidak berarti Anda perlu merasakan tekanan untuk menjadi tidak etis dalam pekerjaan Anda.

Edit: Pembaruan Anda tak ternilai harganya. Jaga kepala Anda turun, bubuk Anda kering, dan jangan mengambil (atau memberi) setiap koin kayu.


266
2017-07-24 20:05



Saya tidak setuju. "Auditor" itu menggertak OP untuk membocorkan informasi yang akan merusak seluruh keamanan TI organisasi. Dalam situasi apa pun OP tidak boleh menghasilkan catatan itu dan memberikannya kepada siapa pun. OP seharusnya tidak memalsukan catatan; mereka dapat dengan mudah dilihat sebagai palsu. OP harus menjelaskan kepada petinggi mengapa tuntutan auditor keamanan merupakan ancaman baik melalui niat jahat atau ketidakmampuan mengucapkan (kata sandi email dalam plaintext). OP harus merekomendasikan penghentian segera auditor keamanan dan penyelidikan penuh ke dalam aktivitas lain dari mantan auditor. - dr jimbob
dr jimbob, saya pikir Anda kehilangan intinya: "OP seharusnya tidak memalsukan catatan; mereka dapat dengan mudah dilihat sebagai palsu." masih posisi yang tidak etis karena Anda menyarankan dia hanya memalsukan data ketika tidak dapat dibedakan dari data yang benar. Mengirim data palsu tidak etis. Mengirim kata sandi pengguna Anda ke pihak ketiga adalah kelalaian. Jadi kami setuju bahwa ada sesuatu yang perlu dilakukan tentang situasi ini. Saya mengomentari kurangnya pemikiran etis kritis dalam memecahkan masalah ini. - Joseph Kern
Saya tidak setuju dengan "Ini adalah pekerjaan Anda untuk memastikan catatan itu tersedia, akurat, dan aman." Anda memiliki kewajiban untuk menjaga keamanan sistem Anda; permintaan yang tidak masuk akal (seperti menyimpan & membagikan kata sandi plaintext) tidak boleh dilakukan jika mereka membahayakan sistem. Menyimpan, merekam, dan membagikan kata sandi plaintext adalah pelanggaran kepercayaan besar dengan pengguna Anda. Ini adalah ancaman keamanan bendera merah besar. Audit keamanan dapat dan harus dilakukan tanpa memaparkan kunci pribadi plaintext password / ssh; dan Anda harus membiarkan atasan mengetahui dan menyelesaikan masalah. - dr jimbob
dr jimbob, saya merasa bahwa kami adalah dua kapal yang lewat di malam hari. Saya setuju dengan semua yang Anda katakan; Saya tidak harus mengartikulasikan poin-poin ini dengan cukup jelas. Saya akan merevisi tanggapan awal saya di atas. Saya terlalu bergantung pada konteks utas. - Joseph Kern
@Joseph Kern, saya tidak membaca OP dengan cara yang sama seperti Anda. Saya membacanya lebih banyak karena bagaimana saya bisa menghasilkan data enam bulan yang tidak pernah kami simpan. Tentu saja, saya setuju, bahwa sebagian besar cara untuk memenuhi persyaratan ini adalah penipuan. Namun, saya harus mengambil basis data kata sandi dan mengekstrak stempel waktu selama 6 bulan terakhir saya dapat membuat catatan tentang perubahan apa yang masih dipertahankan. Saya menganggap bahwa 'memalsukan' data karena beberapa data telah hilang. - user179700


Anda tidak bisa memberikan apa yang Anda inginkan, dan mencoba untuk "pura-pura" itu mungkin akan kembali menggigit Anda di pantat (mungkin dengan cara hukum). Anda juga perlu mengajukan banding atas rantai komando (ada kemungkinan auditor ini menjadi nakal, meskipun audit keamanan terkenal bodoh - tanya saya tentang auditor yang ingin dapat mengakses AS / 400 melalui SMB), atau dapatkan neraka keluar dari bawah persyaratan onorous ini.

Mereka bahkan bukan keamanan yang baik - daftar semua kata sandi plaintext adalah sebuah luar biasa hal yang berbahaya untuk pernah menghasilkan, terlepas dari metode yang digunakan untuk menjaga mereka, dan saya berani bertaruh bloke ini akan ingin mereka mengirim e-mail dalam teks biasa. (Saya yakin Anda sudah tahu ini, saya hanya perlu melampiaskan sedikit).

Untuk kengerian dan cekikikan, tanyakan langsung cara melaksanakan persyaratannya - akui Anda tidak tahu caranya, dan ingin memanfaatkan pengalamannya. Setelah Anda keluar dan pergi, tanggapan terhadap "Saya memiliki lebih dari 10 tahun pengalaman dalam audit keamanan" adalah "tidak, Anda memiliki 5 menit pengalaman berulang ratusan kali".


232
2017-07-22 23:00



... auditor yang menginginkan akses ke AS / 400 melalui SMB? ... kenapa? - Bart Silverstrim
Banyak kerumitan berulang yang saya miliki dengan perusahaan kepatuhan PCI yang menentang penyaringan ICMP, dan hanya memblokir gema. ICMP ada untuk alasan yang sangat bagus, tetapi hampir tidak mungkin untuk menjelaskannya kepada banyak auditor 'yang bekerja dari naskah'. - Twirrim
@BartSilverstrim Mungkin ada kasus audit daftar pemeriksaan. Seperti seorang auditor pernah mengatakan kepada saya - Mengapa auditor menyeberang jalan? Karena itulah yang mereka lakukan tahun lalu. - Scott Pack
Saya tahu itu bisa dilakukan, yang sebenarnya "WTF?" adalah fakta bahwa auditor menganggap bahwa mesin itu rentan terhadap serangan melalui SMB sampai ia dapat terhubung melalui SMB ... - womble♦
"Anda memiliki 5 menit pengalaman berulang ratusan kali" --- ooooh, itu akan langsung masuk ke dalam koleksi kutipan saya! : D - Tasos Papastylianou


Tidak ada auditor yang harus gagal jika mereka menemukan masalah historis yang Anda perbaiki sekarang. Faktanya, itu adalah bukti perilaku yang baik. Dengan mengingat hal itu, saya menyarankan dua hal:

a) Jangan berbohong atau mengarang-ngarang. b) Baca kebijakan Anda.

Pernyataan kunci untuk saya adalah yang satu ini:

Semua klien [penyedia kartu kredit generik] diharuskan untuk menyesuaikan dengan kebijakan keamanan kami yang baru

Saya yakin ada pernyataan dalam kebijakan yang mengatakan bahwa kata sandi tidak dapat ditulis dan tidak dapat diteruskan kepada orang lain selain pengguna. Jika ada, maka terapkan kebijakan tersebut ke permintaannya. Saya sarankan untuk menanganinya seperti ini:

  • Daftar nama pengguna dan kata sandi teks biasa untuk semua akun pengguna di semua server

Tunjukkan daftar nama pengguna, tetapi jangan biarkan mereka dibawa pergi. Jelaskan bahwa memberikan password teks biasa adalah a) tidak mungkin karena itu satu arah, dan b) terhadap kebijakan, yang dia audit Anda melawan, jadi karena itu Anda tidak akan patuh.

  • Daftar semua kata sandi berubah selama enam bulan terakhir, sekali lagi dalam teks biasa

Jelaskan bahwa ini tidak tersedia secara historis. Beri dia daftar waktu perubahan sandi baru-baru ini untuk menunjukkan bahwa ini sekarang sedang dilakukan. Jelaskan, seperti di atas, kata sandi itu tidak akan disediakan.

  • Daftar "setiap file yang ditambahkan ke server dari perangkat jarak jauh" dalam enam bulan terakhir

Jelaskan apa yang sedang dan sedang tidak dicatat. Berikan apa yang Anda bisa. Jangan memberikan sesuatu yang rahasia, dan jelaskan dengan kebijakan mengapa tidak. Tanyakan apakah penebangan Anda perlu ditingkatkan.

  • Kunci publik dan pribadi dari kunci SSH apa pun

Lihatlah kebijakan manajemen utama Anda. Harus dinyatakan bahwa kunci privat tidak diizinkan keluar dari wadahnya dan memiliki ketentuan akses yang ketat. Terapkan kebijakan itu, dan jangan izinkan akses. Kunci publik dengan senang hati publik dan dapat dibagikan.

  • Email yang dikirimkan kepadanya setiap kali seorang pengguna mengubah kata sandinya, yang berisi kata sandi teks biasa

Katakan saja tidak. Jika Anda memiliki server log aman lokal, izinkan dia untuk melihat bahwa ini sedang login di situ.

Pada dasarnya, dan saya minta maaf untuk mengatakan ini, tetapi Anda harus bermain keras dengan orang ini. Ikuti kebijakan Anda dengan tepat, jangan menyimpang. Jangan berbohong. Dan jika dia gagal Anda untuk apa pun yang tidak dalam kebijakan, komplain kepada seniornya di perusahaan yang mengirimnya. Kumpulkan jejak kertas semua ini untuk membuktikan bahwa Anda telah masuk akal. Jika Anda melanggar kebijakan Anda, Anda berada di belas kasihannya. Jika Anda mengikuti mereka ke surat itu, ia akan berakhir dipecat.


177
2017-07-23 10:15



Setuju, ini seperti salah satu reality show gila, di mana seorang pria layanan mobil mengendarai mobil Anda dari tebing atau sesuatu yang sama sekali tidak bisa dipercaya. Saya akan mengatakan kepada OP, siapkan resume Anda dan pergi, jika tindakan di atas tidak berhasil untuk Anda. Ini jelas situasi yang konyol dan mengerikan. - Jonathan Watmough
Seandainya saya bisa menaikkan suara ini +1.000.000. Sementara sebagian besar jawaban di sini cukup banyak mengatakan hal yang sama, yang satu ini jauh lebih menyeluruh. Kerja bagus, @Jimmy! - Iszi


Ya, auditor aku s seorang idiot. Namun, seperti yang Anda tahu, kadang-kadang orang bodoh ditempatkan di posisi kekuasaan. Ini merupakan salah satu dari kasus-kasus itu.

Informasi yang dimintanya nol bersandar pada keamanan sistem saat ini. Jelaskan kepada auditor bahwa Anda menggunakan LDAP untuk otentikasi dan kata sandi disimpan menggunakan hash satu arah. Pendek melakukan skrip brute-force terhadap hash kata sandi (yang bisa memakan waktu berminggu-minggu (atau bertahun-tahun), Anda tidak akan dapat memberikan kata sandi.

Demikian juga file remote - Saya ingin mendengar, mungkin, bagaimana dia berpikir Anda harus dapat membedakan antara file yang dibuat langsung di server dan file yang SCPed ke server.

Seperti kata @womble, jangan memalsukan apa pun. Itu tidak akan berhasil. Baik selesaikan audit ini dan denda broker lain, atau temukan cara untuk meyakinkan "profesional" bahwa kejunya telah lepas dari cracker-nya.


134
2017-07-22 23:05



+1 untuk "... bahwa kejunya telah lepas dari cracker-nya." Itu yang baru bagiku! - Collin Allen
"Informasi yang dia minta tidak ada kaitannya dengan keamanan sistem saat ini." <- Saya benar-benar mengatakan itu memiliki banyak pengaruh pada keamanan. : P - Ishpeck
(which could take weeks (or years) Saya lupa di mana, tetapi saya menemukan aplikasi ini online yang akan memperkirakan berapa lama waktu yang dibutuhkan untuk memaksa kata sandi Anda. Saya tidak tahu apa yang disebut oleh algoritma brute-force atau hashing, tetapi diperkirakan kira-kira 17 triliun tahun untuk sebagian besar kata sandi saya ... :) - Carson Myers
@Carson: aplikasi online yang saya temukan untuk memperkirakan kekuatan kata sandi memiliki pendekatan yang berbeda (dan mungkin lebih akurat): untuk setiap kata sandi, itu mengembalikan "Kata sandi Anda tidak aman - Anda hanya mengetiknya ke halaman web yang tidak dipercaya!" - Jason Owen
@Jason oh tidak, kamu benar! - Carson Myers


Minta "auditor keamanan" Anda menunjuk ke teks apa pun dari mana saja dokumen-dokumen ini yang memiliki persyaratan dan perhatikan saat dia berjuang untuk mendapatkan alasan dan akhirnya meminta dirinya untuk tidak pernah terdengar lagi.


86
2017-07-22 23:15



Setuju. Mengapa? adalah pertanyaan yang valid adalah keadaan seperti ini. Auditor harus dapat memberikan dokumentasi kasus bisnis / operasional untuk permintaannya. Anda dapat mengatakan kepadanya, "Tempatkan diri Anda di posisi saya. Ini adalah jenis permintaan yang saya harapkan dari seseorang yang berusaha untuk membuat gangguan." - jl.


WTF! Maaf, tapi itulah satu-satunya reaksi saya terhadap ini. Tidak ada persyaratan audit yang pernah saya dengar yang memerlukan kata sandi plaintext, apalagi memberi mereka kata sandi ketika mereka berubah.

Pertama, minta dia menunjukkan kepada Anda persyaratan yang Anda berikan itu.

Kedua, jika ini untuk PCI (yang kita anggap semua karena ini pertanyaan sistem pembayaran), pergilah ke sini: https://www.pcisecuritystandards.org/approved_companies_providers/qsa_companies.php dan dapatkan auditor baru.

Ketiga, ikuti apa yang mereka katakan di atas, hubungi manajemen Anda dan minta mereka menghubungi perusahaan QSA yang bekerja dengannya. Maka segera dapatkan auditor lain.

Auditor mengaudit keadaan sistem, standar, proses, dll. Mereka tidak perlu memiliki informasi yang memberikan mereka akses ke sistem.

Jika Anda menginginkan auditor yang direkomendasikan atau colo alternatif yang bekerja sama dengan auditor, hubungi saya dan saya akan dengan senang hati memberikan referensi.

Semoga berhasil! Percayalah pada keberanian Anda, jika ada sesuatu yang keliru.


71
2017-07-22 23:55