Аудитор безпеки наших серверів вимагає наступного протягом двох тижнів:

• Перелік поточних імен користувачів та звичайних текстових паролів для всіх облікових записів користувачів на всіх серверах
• Список усіх змін пароля за останні півроку, знову в прямому тексті
• Список "кожного файлу, доданого на сервер із віддалених пристроїв" за останні півроку
• Публічні та приватні ключі будь-яких ключів SSH
• Електронний лист, що надсилається йому щоразу, коли користувач змінює свій пароль, що містить звичайний текстовий пароль

У нас запущені Red Hat Linux 5/6 та CentOS 5 вікна з автентифікацією LDAP.

Наскільки мені відомо, все в цьому списку неможливо отримати або неймовірно важко отримати, але якщо я не надаю цю інформацію, ми стикаємося з втратою доступу до нашої платформи платежів і втратою доходу під час переходу до нова послуга. Будь-які пропозиції щодо того, як я можу вирішити чи підробити цю інформацію?

Єдиний спосіб я можу отримати всі звичайні текстові паролі - це змусити всіх скинути свій пароль і зробити помітку про те, що вони встановили. Це не вирішує проблему останніх шести місяців зміни паролів, оскільки я не можу заднім числом реєструвати такі речі, те ж саме стосується і реєстрації всіх віддалених файлів.

Отримати всі державні та приватні SSH ключі можливо (хоча і дратує), оскільки у нас є лише кілька користувачів та комп'ютерів. Якщо я не пропустив простіший спосіб зробити це?

Я йому багато разів пояснював, що речі, про які він просить, неможливі. У відповідь на мої занепокоєння він відповів таким електронним повідомленням:

Я маю понад 10 років досвіду аудиту безпеки та повне розуміння методів redhat безпеки, тому пропоную вам перевірити свої факти про те, що є, а що неможливо. Ви кажете, що жодна компанія не могла б мати цю інформацію, але я провів сотні аудитів, де ця інформація була доступна. Усі клієнти [постачальника послуг із загальної обробки кредитних карт] зобов'язані відповідати нашим новим політикам безпеки, і цей аудит покликаний забезпечити правильність виконання цих політик *.

* "Нові політики безпеки" були введені за два тижні до нашого аудиту, і шість місяців історичного журналу не потрібно було до зміни політики.

Словом, мені потрібно;

• Спосіб "підробити" зміну пароля на півроку та зробити його виглядом дійсним
• Спосіб "підробляти" шість місяців вхідних передач файлів
• Простий спосіб зібрати всі використовувані приватні та приватні ключі SSH

Якщо ми не виконаємо аудит безпеки, ми втрачаємо доступ до нашої платформи обробки карт (критична частина нашої системи), а для переміщення куди-небудь ще потрібно два тижні. Як я накручений?

Оновлення 1 (сб 23-го)

Дякую за всі ваші відповіді, це дає мені велике полегшення знати, що це не стандартна практика.

Наразі я планую свою електронну відповідь на нього, щоб пояснити ситуацію. Як багато з вас зазначали, ми повинні дотримуватися PCI, який прямо говорить, що ми не повинні мати жодного способу доступу до простотекстових паролів. Я напишу електронний лист, коли закінчу його писати. На жаль, я не думаю, що він просто нас випробовує; ці речі зараз є в офіційній політиці безпеки компанії. Я, однак, навів колеса в рух, щоб відійти від них і на PayPal на даний момент.

Оновлення 2 (сб 23-го)

Це електронний лист, який я склав, будь-які пропозиції щодо додавання / видалення / зміни вмісту?

Привіт [ім'я],

На жаль, у нас немає можливості надати вам частину потрібної інформації, в основному просто-текстові паролі, історію паролів, SSH-ключі та журнали віддалених файлів. Це не лише технічно неможливо, але й можливість надати цю інформацію було б як проти стандартів PCI, так і порушенням закону про захист даних.
Щоб цитувати вимоги PCI,

8.4 Зробити всі паролі нечитабельними під час передачі та зберігання на всіх компонентах системи за допомогою сильної криптографії.

Я можу надати вам список імен користувачів та хешованих паролів, які використовуються в нашій системі, копії відкритих ключів SSH та дозволеного файлу хостів (Це дасть вам достатньо інформації для визначення кількості унікальних користувачів, які можуть підключитися до наших серверів, та шифрування використовувані методи), інформація про наші вимоги безпеки пароля та наш LDAP-сервер, але ця інформація може бути знята з сайту. Я настійно пропоную переглянути свої вимоги до аудиту, оскільки наразі немає можливості пройти цей аудит, зберігаючи відповідність ПКІ та закону про захист даних.

З повагою,
[мені]

Я буду керувати службою CTO компанії та менеджером нашого облікового запису, і сподіваюся, що ЦО може підтвердити, що ця інформація недоступна. Я також зв’яжуся з Радою стандартів безпеки PCI, щоб пояснити, чого він вимагає від нас.

Оновлення 3 (26)

Ось кілька електронних листів, якими ми обмінялися;

RE: мій перший електронний лист;

Як було пояснено, ця інформація повинна бути легко доступною в будь-якій доглянутій системі будь-якому компетентному адміністратору. Ваша неспроможність надати цю інформацію приводить мене до думки, що ви знаєте про вади безпеки у вашій системі та не готові їх розкривати. Наші запити відповідають інструкціям PCI, і обидва можуть бути задоволені. Сильна криптографія означає лише, що паролі повинні бути зашифровані, коли користувач вводить їх, але потім вони повинні бути переміщені до відновного формату для подальшого використання.

Я не бачу проблем із захистом даних для цих запитів, захист даних стосується лише споживачів, а не підприємств, тому з цією інформацією не повинно виникати жодних проблем.

Тільки що, я, не можу, навіть ...

"Сильна криптографія означає лише, що паролі повинні бути зашифровані, коли користувач вводить їх, але потім вони повинні бути переміщені до відновного формату для подальшого використання."

Я збираюся це обрамлити і покласти на свою стіну.

Я втомився бути дипломатичним і скерував його до цієї теми, щоб показати йому відповідь, яку я отримав:

Надання цієї інформації Прямо суперечить декільком вимогам інструкцій PCI. Розділ, який я цитував, навіть говорить storage (мається на увазі, де ми зберігаємо дані на диску). Я розпочав дискусію на ServerFault.com (он-лайн спільнота для професіоналів sys-admin), яка створила величезну відповідь, і всі припускають, що ця інформація не може бути надана. Сміливо читайте через себе

https://serverfault.com/questions/293217/

Ми закінчили перехід нашої системи на нову платформу і скасуємо наш рахунок з вами протягом наступного дня або близько того, але я хочу, щоб ви зрозуміли, наскільки смішні ці запити, і жодна компанія, яка правильно впроваджувала рекомендації PCI, не буде чи повинна, бути в змозі надати цю інформацію. Я настійно пропоную вам переосмислити свої вимоги безпеки, оскільки жоден із ваших клієнтів не зможе цього виконати.

(Я насправді забув, що назвав його ідіотів у назві, але, як згадувалося, ми вже віддалилися від їх платформи, так що реальних втрат не було.)

І у своїй відповіді він заявляє, що, мабуть, ніхто з вас не знає, про що ви говорите:

Я детально читаю ці відповіді та ваше оригінальне повідомлення, всім, хто відповідає, потрібно виправити свої факти. Я в цій галузі більше, ніж хто-небудь на цьому веб-сайті, отримання списку паролів облікових записів користувачів є надзвичайно базовим, це повинно бути однією з перших речей, що ви робите, коли ви навчитеся захищати свою систему і є важливою для роботи будь-якого захищеного пристрою сервер. Якщо вам справді не вистачає навичок робити щось просте, я вважаю, що у вас на серверах не встановлений ПКІ, оскільки можливість відновлення цієї інформації є основною вимогою програмного забезпечення. Якщо ви маєте справу з таким, як безпека, вам не слід задавати ці питання на публічному форумі, якщо ви не маєте базових знань, як це працює.

Я також хотів би запропонувати, що будь-яка спроба розкрити мене, або [назва компанії] буде вважатися наклепною, і будуть вжиті відповідні юридичні дії.

Ключові ідіотичні моменти, якщо ви їх пропустили:

• Він був ревізором безпеки довше, ніж хтось тут (Він або здогадується, або переслідує вас)
• Можливість отримати список паролів у системі UNIX - це «основне»
• PCI зараз програмне забезпечення
• Люди не повинні використовувати форуми, коли вони не впевнені у безпеці
• Надання фактичної інформації (до якої я маю підтвердження електронною поштою) в Інтернеті є наклеп

Відмінно.

PCI SSC відповіли і розслідують його та компанію. Наше програмне забезпечення перейшло на PayPal, тому ми знаємо, що це безпечно. Я буду чекати, коли PCI повернеться до мене спочатку, але я трохи переживаю, що вони могли використовувати ці практики безпеки всередині. Якщо так, то я думаю, що для нас це головне питання, оскільки вся наша обробка карт пройшла через них. Якщо вони робили це всередині, я думаю, що єдиним відповідальним завданням було б повідомити наших клієнтів.

Я сподіваюся, що PCI зрозуміє, наскільки це погано, вони дослідять всю компанію та систему, але я не впевнений.

Отже, тепер ми відійшли від їх платформи, і припускаючи, що пройде як мінімум кілька днів, перш ніж PCI повернеться до мене, будь-які винахідливі пропозиції, як трошки його тролити? =)

Після того, як я отримаю дозвіл від свого юридичного хлопця (я дуже сумніваюся, що все це насправді є наклеп, але я хотів би перевірити повторно), я опублікую назву компанії, його ім'я та електронну пошту, і якщо ви хочете, ви можете зв'язатися з ним та пояснити чому ви не розумієте основи безпеки Linux, як, наприклад, отримати список усіх паролів користувачів LDAP.

Невелике оновлення:

Мій "хлопець-юрист" запропонував виявити, що компанія, ймовірно, спричинить більше проблем, ніж потрібно. Я можу сказати, що це не основний провайдер, у них менше 100 клієнтів, які використовують цю послугу. Ми спочатку почали користуватися ними, коли сайт був крихітним та працював на невеликій VPS, і ми не хотіли прокладати всі зусилля, щоб отримати PCI (ми звикли перенаправляти їх на інтерфейс, як PayPal Standard). Але коли ми перейшли до безпосередньо обробки карт (включаючи отримання PCI та здорового глузду), розробники вирішили продовжувати використовувати ту ж компанію лише іншим API. Компанія базується в Бірмінгемі, Великобританія, тому я дуже сумніваюся, що хтось тут не постраждає.

По-перше, НЕ капітулюйте. Він не тільки ідіот, але НЕБЕЗПЕЧНО помиляється. Насправді, оприлюднення цієї інформації порушило б стандарт PCI (саме так я вважаю, що аудит проводиться, оскільки це платіжний процесор), а також будь-який інший стандарт там і просто здоровий глузд. Це також піддасть вашій компанії всілякі зобов'язання.

Наступне, що я б зробив, - надіслати електронному листу вашому начальнику повідомлення про те, що йому потрібно залучити корпоративного радника для визначення юридичного впливу, з яким компанія зіткнеться, продовжуючи цю дію.

Останній шматочок залежить від вас, але я б зв’язався з VISA з цією інформацією і отримав би статус його аудитора PCI.

Як я можу запевнити, що хтось, хто пройшов аудиторську процедуру у Price Waterhouse Coopers за укладеним державним договором, це абсолютно не підлягає сумніву, і цей хлопець божевільний.

Коли PwC хотів перевірити міцність пароля, вони:

• Попросили переглянути наші алгоритми захисту пароля
• Проведіть тестові одиниці проти наших алгоритмів, щоб перевірити, чи не відмовляють вони погані паролі
• Попросили переглянути наші алгоритми шифрування, щоб переконатися, що вони не можуть бути повернені чи незашифровані (навіть за допомогою веселкових таблиць), навіть хтось, хто мав повний доступ до всіх аспектів системи
• Перевіряється, чи попередні паролі були кешовані, щоб переконатися, що їх неможливо повторно використовувати
• Попросив у нас дозволу (який ми надали) для того, щоб вони намагалися прорватися до мережі та пов'язаних із ними систем, використовуючи не-соціальні методи інженерії (такі речі, як xss та не 0-денний подвиг)

Якби я навіть натякнув, що я можу показати їм, які паролі були користувачі за останні 6 місяців, вони б негайно відключили нас від договору.

Якби можна було забезпечити ці вимоги, ви вмить провалили б кожен аудит, який варто мати.

Оновлення: Ваш електронний лист із відгуками виглядає добре. Набагато професійніший за все, що я написав би.

Чесно кажучи, це здається, що цей хлопець (аудитор) налаштовує вас. Якщо ви дасте йому інформацію, яку він просить, ви просто довели йому, що ви можете отримати соціальну інженерію, щоб відмовитися від критичної внутрішньої інформації. Збій.

Я щойно помітив, що ви у Великобританії, це означає, що те, що він просить вас, - це порушити закон (фактично Закон про захист даних). Я також у Великобританії, працюю у великій аудиторській компанії та знаю закон та звичні практики в цій галузі. Я також дуже неприємний твір, який із задоволенням приборкає цього хлопця для вас, якщо вам подобається просто заради цього, дайте мені знати, чи хочете ви допомогти добре.

Ви отримуєте соціальну інженерію. Або його "випробувати", або хакер, який виступає аудитором, щоб отримати дуже корисні дані.

Я серйозно стурбований відсутністю етичних навичок вирішення проблем, а також спільнотою помилок сервера, ігноруючи це кричуще порушення етичної поведінки.

Словом, мені потрібно;

• Спосіб "підробити" зміну пароля на півроку та зробити його дійсним
• Спосіб "підробити" шість місяців вхідних передач файлів

Дозвольте мені зрозуміти два моменти:

1. Ніколи не доцільно підробляти дані під час звичайного бізнесу.
2. Ніколи не слід нікому передавати подібну інформацію. Колись.

Фальсифікувати записи - це не ваша робота. Ваша робота - переконатися, що будь-які необхідні записи доступні, точні та безпечні.

Спільнота, що знаходиться тут у серверній помилці, повинна ставитися до таких питань, як сайт stackoverflow розглядає питання "домашнього завдання". Ви не можете вирішувати ці проблеми лише технічною відповіддю або ігноруючи порушення етичної відповідальності.

Побачивши стільки відповідей високопоставлених користувачів тут, у цій темі, і жодна згадка про етичні наслідки цього питання мене не засмучує.

Я б закликав усіх прочитати Етичний кодекс адміністраторів систем SAGE .

До речі, ваш аудитор безпеки - ідіот, але це не означає, що вам потрібно відчувати тиск, щоб бути неетичним у своїй роботі.

Редагувати: Ваші оновлення безцінні. Не тримайте голову вниз, ваш порошок сухий, і не беруть (і не дають) жодних дерев'яних нікелів.

Ви не можете дати йому те, що ви хочете, і спроби "підробити" це, ймовірно, повернеться, щоб вкусити вас в дупу (можливо, законними способами). Вам або потрібно оскаржити ланцюжок командування (можливо, цей аудитор відійшов у шахрайство, хоча аудит безпеки є, як відомо, ідіотичним - запитайте мене про аудитора, який хотів отримати доступ до AS / 400 через SMB), або отримати чорт з-під цих суворих вимог.

Вони навіть не мають надійної безпеки - перелік усіх паролів прямого тексту - надзвичайно небезпечна річ, яку коли-небудь можна створити, незалежно від методів, які використовуються для їх захисту, і я благаю під сумнів, що ця особа захоче їх надсилати електронною поштою у звичайному тексті. . (Я впевнений, що ти це вже знаєш, мені просто доведеться трохи вийти).

Що стосується лайна і хихикань, запитайте його прямо, як виконати його вимоги - визнайте, ви не знаєте як, і хотіли б скористатися його досвідом. Після того, як ви не підете і не підете, відповідь на його "Я маю досвід роботи 10 років в аудиті безпеки" буде "ні, у вас 5 хвилин досвіду повторюються сотні разів".

Жоден аудитор не повинен вас збити, якщо вони виявлять історичну проблему, яку ви вирішили зараз. Насправді, це свідчить про хорошу поведінку. Зважаючи на це, я пропоную дві речі:

а) Не брешіть і не складайте речі. b) Прочитайте свою політику.

Ключове твердження для мене:

Усі клієнти [постачальника послуг із загального обслуговування кредитних карт] зобов'язані відповідати нашій новій політиці безпеки

Я думаю, що в цій політиці є твердження про те, що паролі не можна записувати і не можна передавати іншим, окрім користувача. Якщо є, то застосуйте ці політики до його запитів. Я пропоную поводитись так:

• Перелік поточних імен користувачів та звичайних текстових паролів для всіх облікових записів користувачів на всіх серверах

Покажіть йому список імен користувачів, але не дозволяйте їх забрати. Поясніть, що надання простих текстових паролів а) неможливо, оскільки це одностороння, і б) проти політики, проти якої він перевіряє, тому ви не будете слухатися.

• Список усіх змін пароля за останні півроку, знову в прямому тексті

Поясніть, що це не було історично. Дайте йому список останніх разів зміни пароля, щоб показати, що це зараз робиться. Поясніть, як зазначено вище, що паролі не надаються.

• Список "кожного файлу, доданого на сервер із віддалених пристроїв" за останні півроку

Поясніть, що є, а що не реєструється. Надайте, що можете. Не надайте нічого конфіденційного, а поясніть політикою, чому ні. Запитайте, чи потрібно покращити вашу реєстрацію.

• Публічні та приватні ключі будь-яких ключів SSH

Подивіться на свою ключову політику управління. Слід зазначити, що приватні ключі забороняються виходити з контейнера і мають суворі умови доступу. Застосуйте цю політику та не дозволяйте доступ. Публічні ключі, на щастя, є загальнодоступними і ними можна ділитися.

• Електронний лист, що надсилається йому щоразу, коли користувач змінює свій пароль, що містить звичайний текстовий пароль

Просто скажіть ні. Якщо у вас локальний захищений сервер журналу, дозвольте йому побачити, що це робиться в системі in situ.

В основному, і мені шкода цього сказати, але ти повинен зіграти з цим хлопцем хардбол. Точно дотримуйтесь своєї політики, не відхиляйтесь. НЕ лежать. І якщо він відмовить вас у чомусь, що не стосується політики, поскаржиться своїм старшим в компанії, яка його направила. Зберіть паперовий слід у всьому цьому, щоб довести, що ви були розумними. Якщо ви порушите свою політику, ви знаходитесь у його владі. Якщо ви дотримуєтесь їх до листа, він врешті буде звільнений.

Так, аудитор - ідіот. Однак, як відомо, іноді ідіоти ставляться на владні позиції. Це один із таких випадків.

Інформація, яку він запитував, не має жодного стосунку до поточної безпеки системи. Поясніть аудитору, що ви використовуєте LDAP для аутентифікації та що паролі зберігаються за допомогою однобічного хеша. Якщо не зробити жорстокого сценарію проти хешей паролів (що може зайняти тижні (або роки), ви не зможете надати паролі.

Так само і віддалені файли - я хотів би зрозуміти, як він вважає, що ви повинні мати можливість розмежувати файли, створені безпосередньо на сервері, і файл, який SCPed передається серверу.

Як сказав @womble, нічого не підробляйте. Це не принесе користі. Або викопайте цей аудит, і оштрафуйте іншого брокера, або знайдіть спосіб переконати цього "професіонала" в тому, що його сир зісковзнув з його сухаря.

Попросіть вашого "ревізора безпеки" вказати на будь-який текст будь-якого з цих документів, який має його вимоги, і слідкуйте за тим, як він намагається придумати виправдання і, зрештою, виправдовує себе, щоб його більше не почули.

WTF! Вибачте, але це моя єдина реакція на це. Я не чув жодних вимог до аудиту, які вимагали б простого пароля, не кажучи вже про подачу їм паролів під час зміни.

По-перше, попросіть його показати вам вимогу, яку ви надаєте.

По-друге, якщо це стосується PCI (який ми всі вважаємо, оскільки це питання платіжної системи), перейдіть сюди: https://www.pcisecuritystandards.org/approved_companies_providers/qsa_companies.php та знайдіть нового аудитора.

По-третє, дотримуйтесь сказаного вище, зв’яжіться зі своїм керівництвом та зверніться до компанії QSA, з якою він працює. Тоді негайно знайдіть іншого аудитора.

Стани, стандарти, процеси аудиту системи аудиту тощо. У них немає необхідності мати інформацію, яка забезпечує їм доступ до систем.

Якщо ви хочете, щоб будь-які рекомендовані аудитори або інші колеги, які тісно співпрацюють з аудиторами, зв'яжіться зі мною, і я буду радий надати довідки.

Удачі! Довіряйте своїй кишці, якщо щось здається не так, мабуть.

Немає законної причини, щоб він знав пароль і мав доступ до приватних ключів. Те, що він просив, дасть йому можливість ввести себе у будь-який із ваших клієнтів у будь-який момент часу та зафіксувати стільки грошей, скільки захоче, без жодного способу виявити це як можливу шахрайську операцію. Це буде саме той тип загроз безпеці, який він повинен перевірити.

Повідомте керівництво про те, що Аудитор вимагає, щоб ви порушили свою політику безпеки, і що запит є незаконним. Запропонуйте, що вони можуть захотіти скинути цю аудиторську фірму та знайти законну. Зателефонуйте до поліції та зверніться до аудитора, коли він вимагає незаконної інформації (у Великобританії). Потім зателефонуйте до PCI та зверніться до Аудитора для їх запиту.

Прохання схоже на те, щоб просити когось убити випадково і здати тіло. Ви б це зробили? чи ти зателефонував би поліціям і запустив їх?

Відповідь за позовом . Якщо аудитор запитує просто текстові паролі (давай зараз, не так вже й важко побивати чи зламати слабкі хеши паролів), вони, ймовірно, брехали тобі про свої облікові дані.

Лише порада щодо того, як ви формулюєте свою відповідь:

На жаль, у нас немає можливості надати вам частину потрібної інформації, в основному просто-текстові паролі, історію паролів, SSH-ключі та журнали віддалених файлів. Мало того, що ці речі технічно неможливі ...

Я б переформулював це, щоб уникнути дискусії щодо технічної можливості. Читаючи жахливий початковий електронний лист, надісланий аудитором, схоже, що це хтось, хто може вибрати деталі, не пов’язані з основною проблемою, і він може стверджувати, що ви можете зберегти паролі, логіни та ін. :

... Через нашу сувору політику безпеки ми ніколи не реєстрували паролі у простому тексті. Тому надати ці дані буде технічно неможливо.

Або

... Ми не тільки суттєво знизимо рівень своєї внутрішньої безпеки, задовольнивши ваш запит, ...

Удачі, і повідомте нам, як це закінчується!

Загрожуючи продовжувати поспіх користувачів висококористувальників, що вступають у це питання, ось мої думки.

Я можу неясно бачити, чому він хоче паролі простого тексту, і це судити про якість використовуваних паролів. Це гадкий шлях для цього, більшість відомих мені ревізорів приймуть скріплені хеши і запускають сухарики, щоб побачити, які фрукти з низьким висом вони можуть витягнути. Усі вони переглянуть політику складності пароля та переглянуть, які гарантії існують для їх виконання.

Але вам доведеться доставити деякі паролі. Я пропоную (хоча, думаю, ви це вже зробили) запитати його, яка мета доставки простого тексту паролем. Він сказав, що це підтвердити відповідність на відповідність політиці безпеки, тому змусьте його дати вам цю політику. Запитайте його, чи прийме він, що режим складності вашого пароля достатньо надійний, щоб перешкоджати користувачам встановлювати свій пароль P@55w0rdі, ймовірно, діяти протягом 6-ти місяців.

Якщо він натискає на нього, вам, можливо, доведеться визнати, що ви не можете доставляти паролі прямого тексту, оскільки ви не налаштовані для їх запису (що може бути серйозною помилкою безпеки), але ви можете домагатися цього в майбутньому, якщо цього вимагатиме пряма перевірка того, що правила щодо паролів працюють. І якщо він хоче це довести, ви з радістю надасте йому зашифровану базу даних паролів (або ви! Проявіть бажання! Це допомагає!), Щоб виконати прохідний прохід.

"Віддалені файли", ймовірно, можуть бути витягнуті з журналів SSH для сеансів SFTP, про що я підозрюю, що він говорить. Якщо ви не маєте 6-ти місяців вашої систематизації, це буде важко зробити. Чи використання wget для витягування файлу з віддаленого сервера під час входу через SSH вважається "віддаленою передачею файлів"? Чи є HTTP PUT? Файли, створені з тексту буфера обміну у вікні термінала віддаленого користувача? Якщо що-небудь, ви можете змусити його за допомогою цих крайових справ, щоб краще відчути його занепокоєння в цій галузі і, можливо, прищепити почуття "Я знаю більше про це, ніж ви", а також про те, які конкретні технології він думає. Потім витягніть те, що можна з журналів та архівованих журналів на резервних копіях.

Я нічого не маю на ключах SSH. Єдине, про що я можу подумати - це те, що він чомусь перевіряє незахищені ключі, а може , і криптовалюта. Інакше я нічого не отримав.

Щодо отримання цих ключів, збирання принаймні відкритих ключів є досить простим; просто тролюйте папки .ssh, які шукають їх. Отримання приватних ключів передбачає надягання вашої шапки BOFH та приборкання у ваших користувачів мелодії: "Надішліть мені ваші публічні та приватні пари ключів SSH. Все, чого я не отримаю, буде очищено з серверів протягом 13 днів" та якщо хтось блукає (я б вказав) на аудит безпеки. Сценарій - ваш друг тут. Як мінімум, це призведе до купу паролів без паролів, щоб отримати паролі.

Якщо він все ще наполягає на "звичайних текстових паролях в електронній пошті", принаймні піддайте ці електронні листи шифруванню GPG / PGP за допомогою власного ключа. Будь-який ревізор безпеки, який вартує своєї солі, повинен мати можливість впоратися з подібним. Таким чином, якщо паролі просочаться, це буде тому, що він їх випустив, а не ви. Ще один лакмусовий тест на компетентність.

Я повинен погодитись із Зіфером та Уемблом на цьому. Небезпечний ідіот з небезпечними наслідками.

Він, ймовірно, перевіряє вас, щоб побачити, чи є ви ризиком для безпеки. Якщо ви надасте йому ці дані, то, ймовірно, ви будете миттєво звільнені. Віднесіть це до свого безпосереднього начальника і передайте долар. Повідомте вашому начальникові знати, що ви залучите відповідні органи, якщо ця дупа знову з’явиться десь поблизу вас.

Ось за що платять начальству.

У мене є бачення папірця, що залишився в задній частині таксі таксі, на якому є список паролів, ключі SSH та імена користувачів! Хммммм! Можна побачити заголовки газети прямо зараз!

Оновлення

У відповідь на 2 коментарі нижче, я гадаю, що у вас обох є хороші моменти. Неможливо реально з’ясувати істину, і той факт, що питання було розміщено взагалі, свідчить про трохи наївності з боку афіші, а також про сміливість зіткнутися з несприятливою ситуацією з потенційними наслідками для кар’єри, коли інші засунуть голову в пісок і тікай.

Я можу зробити висновок про те, що це важливо, це те, що це цілком цікава дискусія, яка, мабуть, змушує більшості читачів задатися питанням, що вони робитимуть у цій ситуації незалежно від того, компетентна чи не аудиторна політика чи аудиторська політика. Більшість людей зіштовхнуться з такою дилемою в якійсь формі чи формі у своєму робочому житті, і це насправді не така відповідальність, яку слід покласти на плечі однієї людини. Це рішення бізнесу, а не рішення приватних осіб щодо того, як з цим боротися.

Зрозуміло, що тут є багато корисної інформації, але дозвольте мені додати 2с, як хтось, хто пише програмне забезпечення, яке продається моїм роботодавцем на великих підприємствах, перш за все, щоб допомогти людям у дотриманні політики безпеки управління та проходження аудиту; для чого це варто.

По-перше, це звучить дуже підозріло, як ви (та інші) відзначили. Або аудитор просто дотримується процедури, яку він не розуміє (можливої), або перевіряє вас на вразливість, так що соціальна інженерія (навряд чи після подальших обмінів), або шахрайська соціальна інженерія, яку ви (також можливо), або просто загальний ідіот (напевно ймовірно). Що стосується порад, я пропоную вам поговорити з керівництвом та / або знайти нову аудиторську компанію та / або повідомити про це у відповідне наглядове агентство.

Щодо нотаток, кілька речей:

• Це можливо (при певних умовах) , щоб надати інформацію , яку він просив, якщо ваша система налаштована , щоб дозволити. Однак це в жодному сенсі не є «найкращою практикою» щодо безпеки, і не було б взагалі загальним.
• Як правило, аудиторські перевірки стосуються методів перевірки, а не перевірки фактичної захищеної інформації. Я б з великою підозрою ставився до тих, хто запитує фактичні паролі чи сертифікати простого тексту, а не методи, які використовуються для забезпечення їх «хорошого» та належного захисту.

Сподіваюся, що це допомагає, навіть якщо це в основному повторює те, що порадили інші. Як і ви, я не збираюся називати свою компанію, в моєму випадку, тому що я не виступаю за них (особистий рахунок / думки та все); вибачте, якщо це погіршує довіру, але так і нехай. Удачі.

Це може бути і слід розміщувати в ІТ-безпеці - обміні стеків .

Я не фахівець з аудиту безпеки, але перше, що я дізнався про політику безпеки - це "NEVER GIVE PASSWORDS AWAY". Цей хлопець, можливо, займався цим бізнесом 10 років, але, як сказав Вомбл"no, you have 5 minutes of experience repeated hundreds of times"

Я деякий час працюю з банківськими ІТ-людьми, і коли я побачив, як ви пишете, я їм це показав ... Вони так сильно сміялися. Вони сказали мені, що хлопець схожий на аферу. Вони мали справу з подібними речами для безпеки клієнта банку.

Прохання про чіткий пароль, SSH ключі, журнали паролів, явно є серйозним професійним проступком. Цей хлопець небезпечний.

Я сподіваюся, що зараз все гаразд, і що у вас немає проблем з тим, що вони могли вести журнал вашої попередньої транзакції з ними.

Якщо ви можете надати будь-яку інформацію (за можливим винятком відкритих ключів), запитувану в пунктах 1,2,4 та 5, ви повинні розраховувати на збій аудиту.

Офіційно відповідайте на пункти 1,2 та 5, в яких говориться, що ви не можете дотримуватися, оскільки ваша політика безпеки вимагає, щоб ви не зберігали просто текстові паролі, а паролі були зашифровані за допомогою незворотного алгоритму. Знову до пункту 4, ви не можете надати приватні ключі, оскільки це порушить вашу політику безпеки.

Щодо пункту 3. Якщо у вас є дані, надайте їх. Якщо ви цього не зробите, тому що вам не довелося збирати це, тоді скажіть так і продемонструйте, як ви зараз (працюєте) до виконання нової вимоги.

Аудитор безпеки наших серверів вимагає наступного протягом двох тижнів :

...

Якщо ми не виконаємо аудит безпеки, ми втрачаємо доступ до нашої платформи обробки карт (критична частина нашої системи), а для переміщення куди-небудь ще потрібно два тижні . Як я накручений?

Схоже, ви відповіли на власне запитання. (Для підказки див. Жирний текст.)

Приходить лише одне рішення: змусити всіх записати свій останній та поточний пароль, а потім негайно змінити його на новий. Якщо він хоче перевірити якість пароля (і якість переходів від пароля до пароля, наприклад, щоб переконатися, що ніхто не використовує rfvujn125, а потім rfvujn126 як їх наступний пароль), цей список старих паролів повинен бути достатнім.

Якщо це не вважатиметься прийнятним, я б підозрював, що хлопець є членом Anonymous / LulzSec ... в цей момент ви повинні запитати у нього, що за його ручка, і сказати йому, щоб він кинув такий скраб!

Як казав Олі: особа, про яку йдеться, намагається змусити вас порушити закон (директиви щодо захисту даних / ЄС щодо конфіденційності) / внутрішні регламенти / стандарти PCI. Ви не тільки повинні повідомити керівництво (як ви вже думали), але і можете викликати поліцію, як пропонується.

Якщо ця особа має певну акредитацію / сертифікацію, наприклад, CISA (сертифікований аудитор інформаційних систем) або еквівалент Великобританії CPA (позначення публічного бухгалтера), ви можете також повідомити акредитуючі організації, щоб розслідувати його для цього. Мало того, що людина, яка намагається змусити вас порушити закон, це також надзвичайно некомпетентна "аудиторська перевірка" і, ймовірно, всупереч кожному стандарту етичного аудиту, згідно з яким акредитовані аудитори повинні дотримуватися болю від втрати акредитації.

Крім того, якщо відповідна особа є членом більшої компанії, вищезгаданим аудиторським організаціям часто потрібен якийсь відділ контролю якості, який здійснює нагляд за якістю аудиту та подання аудиту та розслідує скарги. Таким чином, ви також можете поскаржитися на відповідну аудиторську компанію.

Я все ще вивчаю, і перше, що я дізнався під час налаштування серверів, це те, що якщо ви даєте можливість ввімкнути паролі простого тексту, ви вже піддаєте собі небезпеку за гігантські порушення. Не повинен бути відомий пароль, окрім користувача, який його використовує.

Якщо цей хлопець є серйозним аудитором, він не повинен запитувати вас у цих речах. Мені він начебто звучить як недоброзичливець . Я б звернувся до регулюючого органу, бо цей хлопець звучить як повний ідіот.

Оновлення

Тримайтеся, він вважає, що вам слід використовувати симетричне шифрування лише для передачі пароля, а потім зберігати їх у простому базі даних чи надавати спосіб їх розшифрування. Таким чином, після всіх анонімних атак на бази даних, де вони показували звичайні текстові паролі користувачів, він все-таки вважає, що це хороший спосіб "забезпечення" середовища.

Він динозавр, застряг у 1960-х роках ...

• Перелік поточних імен користувачів та звичайних текстових паролів для всіх облікових записів користувачів на всіх серверах
  • Поточні імена користувачів МОЖУТЬ бути в межах "ми можемо випустити це" і повинні бути в межах "ми можемо показати вам це, але ви не можете знімати його поза сайтом".
  • Звичайні текстові паролі не повинні існувати довше, ніж це потрібно для однобічного хешування, і вони, звичайно, ніколи не повинні залишати пам'ять (навіть не переходити по дротах), тому їх існування в постійному сховищі - ні-ні.
• Список усіх змін пароля за останні півроку, знову в прямому тексті
  • Див. "Постійне зберігання - ні-ні".
• Список "кожного файлу, доданого на сервер із віддалених пристроїв" за останні півроку
  • Це може бути гарантовано, що ви реєструєте передачі файлів на / з серверів (-ів) обробки платежів, якщо у вас є журнали, для передачі даних повинно бути гаразд. Якщо у вас немає журналів, перевірте, що відповідна політика безпеки говорить про реєстрацію цієї інформації.
• Публічні та приватні ключі будь-яких ключів SSH
  • Можливо, спроба перевірити, що "ключі SSH повинні містити фразу", є в політиці. Ви хочете пропускати фрази на всіх приватних ключах.
• Електронний лист, що надсилається йому щоразу, коли користувач змінює свій пароль, що містить звичайний текстовий пароль
  • Це, безумовно, ні-ні.

Я відповів би щось, що відповідає моїм відповідям, підкріпленим відповідності PCI, SOX_compliance та документам про внутрішню безпеку, якщо потрібно.

Хлопці просять похвалитися на високе небо, і я погоджуюся, що будь-яка кореспонденція з цього моменту повинна проходити через CTO. Або він намагається змусити вас зробити падіння хлопцем за те, що не зможете задовольнити зазначений запит, за видання конфіденційної інформації, або є грубо некомпетентним. Сподіваємось, ваш керівник CTO / менеджер зробить подвійний вплив на цей запит хлопців, і позитивні дії будуть зроблені, і якщо вони будуть гун хо за дії цього хлопця .... ну, хороші адміністратори системи завжди користуються попитом в оголошеннях, як ти звучить так, що саме час почати шукати якесь місце, якщо це станеться.

Я б сказав йому, що для створення зламуючої інфраструктури для паролів потрібен час, зусилля та гроші, але оскільки ви використовуєте сильний хешинг, як SHA256 чи будь-що інше, надати паролі неможливо протягом 2 тижнів. На додаток до цього, я хотів би сказати, що я зв’язався з юридичним департаментом, щоб підтвердити, чи є законним обмін цими даними з ким-небудь. PCI DSS також хорошу ідею згадати, як і ви. :)

Мої колеги в шоці, читаючи цей пост.

Мені б дуже сподобатися надати йому список імен користувача / паролів / приватних ключів для акаунтів медоносів, тоді, якщо він коли-небудь перевірятиме вхід для цих облікових записів, зробить його для несанкціонованого доступу до комп'ютерної системи. Хоча, на жаль, це, мабуть, піддає вам як мінімум якусь цивільну деліктність за те, що вона подала шахрайство.

Просто відмовтеся від розкриття інформації, заявивши, що ви не можете передавати паролі, оскільки у вас немає доступу до них. Будучи самим аудитором, він повинен представляти якусь установу. Такі установи зазвичай публікують вказівки щодо такого аудиту. Перевірте, чи відповідає такий запит цим інструкціям. Можна навіть скаржитися на такі асоціації. Також дайте зрозуміти аудитору, що у випадку будь-яких правопорушень провина може повернутися до нього (аудитора), оскільки у нього є всі паролі.

Я б сказав, що ви не можете надати йому БУДЬ-кого із запитуваної інформації.

• Імена користувачів дають йому уявлення про облікові записи, які мають доступ до ваших систем, ризик для безпеки
• Історія паролів дозволить зрозуміти використовувані шаблони паролів, що дають йому можливий шлях атаки, відгадавши наступний пароль у ланцюжку
• Файли, передані в систему, можуть містити конфіденційну інформацію, яка може бути використана для нападу на ваші системи, а також давати їм уявлення про структуру вашої файлової системи.
• Публічні та приватні ключі, що за чорт має сенс мати їх, якщо ви віддасте їх комусь, окрім призначеного користувача?
• Електронний лист, що надсилається щоразу, коли користувач змінює пароль, надасть йому актуальні паролі для кожного облікового запису користувача.

Цей хлопець тягне твого напарника! Вам потрібно зв’язатися або з його менеджером, або з будь-яким іншим аудитором компанії, щоб підтвердити його обурливі вимоги. І віддаляйтесь якнайшвидше.

Проблема вирішена наразі, але на користь майбутніх читачів ...

Враховуючи, що:

• Ви, здається, витратили на це більше години.

• Вам довелося проконсультуватися з юридичним радником компанії.

• Вони просять багато роботи після зміни вашої угоди.

• Вам не вистачить грошей і більше часу на переключення.

Ви повинні пояснити, що вам потрібно буде багато грошей наперед, і є мінімум чотири години.

Останні кілька разів я казав комусь, що вони раптом не були такими нужденними.

Ви все одно можете виставити їм рахунок за будь-які збитки, понесені під час перемикання, та за час, що відбувся, оскільки вони змінили вашу угоду. Я не кажу, що вони заплатять протягом двох тижнів, стільки, як вони думали, що ви дотримаєтеся цього часу - вони будуть однобічними, я не сумніваюся.

Вони будуть гріхати ними, якщо ваша адвокатська контора надішле повідомлення про збір. Це повинно привертати увагу власника аудиторської компанії.

Я б радив не допускати будь-яких інших стосунків з ними, а лише для подальшого обговорення цього питання потягне за собою завдаток за необхідну роботу. Тоді вам можуть бути виплачені за те, що ви скажете їм

Як не дивно, що у вас є діюча угода, і тоді хтось з іншого боку піде з рейок - якщо це не тест безпеки чи інтелекту, це, безумовно, перевірка вашого терпіння.