Аудитор безопасности для наших серверов потребовал в течение двух недель:

• Список текущих имен пользователей и текстовых паролей для всех учетных записей пользователей на всех серверах
• Список всех изменений пароля за последние шесть месяцев, снова в виде простого текста
• Список «каждый файл, добавленный на сервер с удаленных устройств» за последние шесть месяцев
• Открытый и закрытый ключи любых ключей SSH
• Письмо, отправляемое ему каждый раз, когда пользователь меняет свой пароль, содержащее простой текстовый пароль

Мы используем Red Hat Linux 5/6 и CentOS 5 с аутентификацией LDAP.

Насколько мне известно, все в этом списке либо невозможно, либо невероятно сложно получить, но если я не предоставлю эту информацию, мы столкнемся с потерей доступа к нашей платформе платежей и потерей дохода в переходный период по мере перехода к новый сервис. Любые предложения о том, как я могу решить или подделать эту информацию?

Единственный способ, которым я могу подумать, чтобы получить все простые текстовые пароли, - это заставить всех сбросить свой пароль и записать, на что он его установил. Это не решает проблему последних шести месяцев смены паролей, потому что я не могу задним числом регистрировать такие вещи, то же самое касается регистрации всех удаленных файлов.

Получение всех открытых и закрытых ключей SSH возможно (хотя и раздражает), поскольку у нас всего несколько пользователей и компьютеров. Разве я не пропустил более простой способ сделать это?

Я много раз объяснял ему, что то, о чем он просит, невозможно. В ответ на мои опасения он ответил следующим письмом:

У меня более 10 лет опыта в аудите безопасности и полное понимание методов безопасности Redhat, поэтому я предлагаю вам проверить свои факты о том, что является и не возможно. Вы говорите, что ни одна компания не может иметь эту информацию, но я провел сотни проверок, где эта информация была легко доступна. Все клиенты [поставщика универсальной обработки кредитных карт] должны соответствовать нашим новым политикам безопасности, и этот аудит предназначен для того, чтобы убедиться, что эти политики были реализованы * правильно.

* «Новые политики безопасности» были введены за две недели до нашего аудита, и регистрация изменений за шесть месяцев не требовалась до изменения политики.

Короче мне нужно;

• Способ «подделать» изменения пароля за шесть месяцев и сделать его действительным
• Способ «подделать» шесть месяцев входящей передачи файлов
• Простой способ собрать все используемые открытые и закрытые ключи SSH

Если мы не пройдем аудит безопасности, мы потеряем доступ к нашей платформе обработки карт (критически важной части нашей системы), и потребуется еще две недели, чтобы переместиться в другое место. Как я облажался?

Обновление 1 (сб 23)

Спасибо за все ваши ответы. Мне очень приятно знать, что это не стандартная практика.

В настоящее время я планирую свой ответ по электронной почте, чтобы он объяснил ситуацию. Как многие из вас отмечали, мы должны соблюдать PCI, который прямо заявляет, что у нас не должно быть никакого способа доступа к текстовым паролям. Я отправлю письмо, когда закончу писать. К сожалению, я не думаю, что он просто проверяет нас; все это сейчас в официальной политике безопасности компании. Я, однако, привел в движение колеса, чтобы отойти от них и на PayPal в настоящее время.

Обновление 2 (сб 23)

Это электронное письмо, которое я составил, какие-либо предложения по добавлению / удалению / изменению?

Привет, [имя],

К сожалению, мы не можем предоставить вам некоторую запрашиваемую информацию, в основном обычные текстовые пароли, историю паролей, ключи SSH и журналы удаленных файлов. Эти вещи не только технически невозможны, но и возможность предоставить эту информацию будет как против стандартов PCI, так и нарушением закона о защите данных.
Чтобы процитировать требования PCI,

8.4 Сделать все пароли нечитаемыми при передаче и хранении на всех компонентах системы с использованием надежной криптографии.

Я могу предоставить вам список имен пользователей и хешированных паролей, используемых в нашей системе, копии открытых ключей SSH и файл авторизованных хостов (это даст вам достаточно информации, чтобы определить количество уникальных пользователей, которые могут подключиться к нашим серверам, и шифрование используемые методы), информация о наших требованиях к безопасности паролей и нашем сервере LDAP, но эта информация не может быть удалена с сайта. Я настоятельно рекомендую вам пересмотреть ваши требования к аудиту, поскольку в настоящее время мы не можем пройти этот аудит, оставаясь при этом в соответствии с PCI и Законом о защите данных.

С уважением,
[меня]

Я буду CC'ing в CTO компании и нашего менеджера по работе с клиентами, и я надеюсь, что CTO сможет подтвердить, что эта информация недоступна. Я также свяжусь с Советом по стандартам безопасности PCI, чтобы объяснить, что он требует от нас.

Обновление 3 (26)

Вот несколько писем, которыми мы обменялись;

RE: мой первый адрес электронной почты;

Как объяснено, эта информация должна быть легко доступна в любой исправной системе любому компетентному администратору. Ваша неспособность предоставить эту информацию заставляет меня думать, что вы знаете о недостатках безопасности в вашей системе и не готовы их обнаружить. Наши запросы соответствуют рекомендациям PCI, и оба могут быть выполнены. Сильная криптография только означает, что пароли должны быть зашифрованы, пока пользователь вводит их, но затем они должны быть перемещены в восстанавливаемый формат для последующего использования.

Я не вижу проблем защиты данных для этих запросов, защита данных распространяется только на потребителей, а не на предприятия, поэтому с этой информацией не должно быть проблем.

Просто, что я не могу, даже ...

«Сильная криптография только означает, что пароли должны быть зашифрованы, пока пользователь вводит их, но затем они должны быть перемещены в восстанавливаемый формат для последующего использования».

Я собираюсь создать это и поставить на стену.

Мне надоело быть дипломатичным и направил его в эту ветку, чтобы показать ему ответ, который я получил:

Предоставление этой информации ПРЯМО противоречит нескольким требованиям руководящих принципов PCI. В разделе, который я цитировал, даже сказано storage (имеется в виду, где мы храним данные на диске). Я начал обсуждение на ServerFault.com (онлайн-сообщество для специалистов по системному администрированию), которое вызвало огромный отклик, и все предположили, что эту информацию предоставить невозможно. Не стесняйтесь читать через себя

https://serverfault.com/questions/293217/

Мы закончили перевод нашей системы на новую платформу и в течение следующего дня или около того будем аннулировать нашу учетную запись у вас, но я хочу, чтобы вы поняли, насколько нелепы эти запросы, и ни одна компания, правильно внедряющая рекомендации PCI, не будет или не должна, быть в состоянии предоставить эту информацию. Я настоятельно рекомендую вам пересмотреть свои требования к безопасности, поскольку ни один из ваших клиентов не должен соответствовать этому.

(Я действительно забыл, что назвал его идиотом в названии, но, как уже упоминалось, мы уже отошли от их платформы, так что никаких реальных потерь.)

И в своем ответе он заявляет, что, очевидно, никто из вас не знает, о чем вы говорите:

Я подробно ознакомился с этими ответами и вашим оригинальным сообщением. Все респонденты должны правильно изложить свои факты. Я был в этой отрасли дольше, чем кто-либо на этом сайте, получение списка паролей учетных записей пользователей невероятно просто, это должно быть одним из первых, что вы делаете, когда учитесь, как защитить свою систему, и важно для работы любого безопасного сервер. Если вам по-настоящему не хватает навыков, чтобы сделать что-то такое простое, я собираюсь предположить, что у вас не установлен PCI на ваших серверах, так как возможность восстановления этой информации является основным требованием программного обеспечения. Когда имеешь дело с чем-то вроде безопасности, тебе не следует задавать эти вопросы на публичном форуме, если у тебя нет базовых знаний о том, как это работает.

Я также хотел бы предложить, чтобы любая попытка раскрыть меня или [название компании] будет считаться клеветой, и будут приняты соответствующие юридические меры

Ключевые идиотские моменты, если вы их пропустили:

• Он был аудитором безопасности дольше, чем кто-либо другой здесь (он либо догадывается, либо преследует вас)
• Возможность получить список паролей в системе UNIX является «базовой»
• PCI теперь программное обеспечение
• Люди не должны использовать форумы, когда они не уверены в безопасности
• Размещение фактической информации (на которую у меня есть подтверждение по электронной почте) в Интернете является клеветой

Отлично.

PCI SSC ответили и расследуют его и компанию. Наше программное обеспечение перешло на PayPal, поэтому мы знаем, что это безопасно. Я собираюсь дождаться, когда PCI вернется ко мне в первую очередь, но меня немного беспокоит, что они могли использовать эти методы безопасности внутри страны. Если так, то я думаю, что это нас беспокоит, так как вся наша обработка карт проходила через них. Если бы они делали это внутренне, я думаю, что единственной ответственной вещью было бы информировать наших клиентов.

Я надеюсь, когда PCI поймет, насколько плохо они будут исследовать всю компанию и систему, но я не уверен.

Итак, теперь мы отошли от их платформы, и предположим, что пройдет не менее нескольких дней, прежде чем PCI вернется ко мне, какие-нибудь изобретательные предложения о том, как немного его троллить? знак равно

Как только я получу разрешение от моего юриста (я очень сомневаюсь, что все это на самом деле является клеветой, но я хотел еще раз проверить), я опубликую название компании, его имя и адрес электронной почты, и если вы хотите, вы можете связаться с ним и объяснить почему вы не понимаете основы безопасности Linux, например, как получить список всех паролей пользователей LDAP.

Маленькое обновление:

Мой «юрист» предложил раскрыть, что компания, вероятно, вызовет больше проблем, чем нужно. Хотя я могу сказать, что это не крупный провайдер, у них менее 100 клиентов, использующих эту услугу. Изначально мы начали использовать их, когда сайт был крошечным и работал на небольшом VPS, и мы не хотели прилагать все усилия для получения PCI (мы использовали перенаправление на их интерфейс, например, PayPal Standard). Но когда мы перешли к непосредственной обработке карт (включая получение PCI и здравый смысл), разработчики решили продолжать использовать одну и ту же компанию, просто другой API. Компания базируется в Бирмингеме, Великобритания, поэтому я очень сомневаюсь, что кто-то здесь будет затронут.

Во-первых, не капитулируйте. Он не только идиот, но и ОПАСНО неправ. Фактически, предоставление этой информации нарушило бы стандарт PCI (что, как я полагаю, предназначается для аудита, поскольку он является платежным процессором) наряду со всеми остальными стандартами и просто здравым смыслом. Это также подвергнет вашу компанию различным видам обязательств.

Следующее, что я хотел бы сделать, - это отправить электронное письмо вашему боссу, в котором говорится, что ему необходимо привлечь корпоративного адвоката, чтобы определить юридический риск, с которым компания столкнется при выполнении этого действия.

Этот последний бит зависит от вас, но я бы связался с VISA с этой информацией и получил бы статус его аудитора PCI.

Как человек, который прошел процедуру аудита в Price Waterhouse Coopers по секретному государственному контракту, могу вас заверить, об этом совершенно не может быть и речи, и этот парень безумен.

Когда PwC захотел проверить надежность нашего пароля, они:

• На вопрос, чтобы увидеть наши алгоритмы надежности пароля
• Проверил тестовые модули по нашим алгоритмам, чтобы убедиться, что они будут запрещать плохие пароли
• Попросили посмотреть наши алгоритмы шифрования, чтобы гарантировать, что они не могут быть перевернуты или незашифрованы (даже радужными таблицами), даже кем-то, кто имел полный доступ ко всем аспектам системы
• Проверено, чтобы видеть, что предыдущие пароли были кэшированы, чтобы гарантировать, что они не могут быть повторно использованы
• Попросили у нас разрешения (которое мы предоставили) на то, чтобы они попытались проникнуть в сеть и связанные с ней системы, используя методы несоциальной инженерии (такие как эксплойты xss и non-0 day)

Если бы я даже намекнул, что смогу показать им, какими были пароли пользователей за последние 6 месяцев, они бы немедленно отстранили нас от договора.

Если бы можно было обеспечить эти требования, вы бы сразу потерпели неудачу при каждом отдельном аудите.

Обновление: ваш ответ по электронной почте выглядит хорошо. Гораздо более профессионально, чем все, что я написал бы.

Честно говоря, похоже, что этот парень (одитор) подставляет вас. Если вы дадите ему информацию, которую он запрашивает, вы только что доказали ему, что вы можете получить социальную инженерию для предоставления важной внутренней информации. Провал.

Я только что заметил, что вы находитесь в Великобритании, а это значит, что он просит вас нарушить закон (на самом деле Закон о защите данных). Я тоже в Великобритании, работаю в крупной компании с высокой степенью аудита и знаю законодательство и обычные практики в этой области. Я также очень неприятная работа, которая с радостью обуздает этого парня для вас, если вы хотите просто для удовольствия, дайте мне знать, если вы хотите помочь, хорошо.

Вы работаете в социальной сфере. Либо это «для проверки себя», либо хакер, изображающий из себя аудитора, чтобы получить очень полезные данные.

Я серьезно обеспокоен отсутствием у этических специалистов навыков решения этических проблем, а также тем, что сообщество по проблемам с серверами игнорирует это вопиющее нарушение этического поведения.

Короче мне нужно;

• Способ «подделать» изменения пароля за шесть месяцев и сделать его действительным
• Способ «подделать» шесть месяцев входящей передачи файлов

Позвольте мне пояснить два момента:

1. Никогда не следует подделывать данные в ходе обычной деятельности.
2. Вы никогда не должны разглашать такую ​​информацию кому-либо. Когда-либо.

Это не ваша работа фальсифицировать записи. Ваша задача - убедиться, что все необходимые записи доступны, точны и безопасны.

Сообщество здесь, в Server Fault, должно рассматривать такие вопросы, как сайт stackoverflow обрабатывает вопросы «домашней работы». Вы не можете решать эти проблемы только с помощью технического ответа или игнорировать нарушение этической ответственности.

Видя, как много пользователей с высокой репутацией отвечает здесь в этой теме, и никакое упоминание об этических последствиях этого вопроса меня огорчает.

Я призываю всех прочесть Кодекс этики системных администраторов SAGE .

Кстати, ваш аудитор безопасности - идиот, но это не значит, что вам нужно чувствовать давление, чтобы быть неэтичным в вашей работе.

Изменить: Ваши обновления бесценны. Держите голову опущенной, сухой порошок и не принимайте (или не давайте) никаких деревянных никелей.

Вы не можете дать ему то, что вы хотите, и попытки «подделать» это, скорее всего, вернутся, чтобы укусить вас в задницу (возможно, законными способами). Вам либо нужно подать апелляцию по цепочке команд (возможно, этот одитор уродлив, хотя аудиты безопасности печально известны идиотизмом - спросите меня об одиторе, который хотел иметь доступ к AS / 400 через SMB), или получите ад из-под этих обременительных требований.

Они даже не хорошая безопасности - список всех паролей открытого текста является невероятно опасной вещью , чтобы когда - либо производить, независимо от методов , используемых для их защиты, и я буду держать пари , этот парень захочет их по электронной почте в незашифрованном , (Я уверен, что вы уже знаете это, я просто должен немного выпустить).

Что касается дерьма и хихиканья, спросите его непосредственно, как выполнить его требования - признайте, что вы не знаете, как, и хотели бы использовать его опыт. Как только вы уйдете, ответом на его «у меня более 10 лет опыта в области аудита безопасности» будет «нет, у вас есть 5 минут опыта, повторенного сотни раз».

Ни один аудитор не должен подвести вас, если обнаружит историческую проблему, которую вы сейчас исправили. На самом деле, это свидетельство хорошего поведения. Имея это в виду, я предлагаю две вещи:

а) Не ври и не выдумывай. б) Прочитайте вашу политику.

Ключевое утверждение для меня таково:

Все клиенты [поставщика общих кредитных карт] обязаны соблюдать наши новые политики безопасности

Могу поспорить, что в этих правилах есть заявление о том, что пароли не могут быть записаны и не могут быть переданы кому-либо, кроме пользователя. Если есть, то примените эти политики к его запросам. Я предлагаю обрабатывать это так:

• Список текущих имен пользователей и текстовых паролей для всех учетных записей пользователей на всех серверах

Покажите ему список имен пользователей, но не позволяйте их забирать. Объясните: предоставление паролей в виде простого текста а) невозможно, так как оно одностороннее, и б) против политики, против которой он вас одитирует, поэтому вы не будете подчиняться.

• Список всех изменений пароля за последние шесть месяцев, снова в виде простого текста

Объясните, что это не было исторически доступным. Дайте ему список недавних времен смены пароля, чтобы показать, что это сейчас делается. Объясните, как указано выше, что пароли не будут предоставлены.

• Список «каждый файл, добавленный на сервер с удаленных устройств» за последние шесть месяцев

Объясните, что есть, а что нет. Предоставьте то, что вы можете. Не предоставляйте ничего конфиденциального и объясните политикой, почему нет. Спросите, нужно ли улучшить вашу регистрацию.

• Открытый и закрытый ключи любых ключей SSH

Посмотрите на вашу ключевую политику управления. Следует указать, что закрытые ключи не допускаются из их контейнера и имеют строгие условия доступа. Примените эту политику и не разрешайте доступ. Открытые ключи, к счастью, открыты и могут быть использованы совместно.

• Письмо, отправляемое ему каждый раз, когда пользователь меняет свой пароль, содержащее простой текстовый пароль

Просто сказать нет. Если у вас есть локальный защищенный сервер журналов, позвольте ему убедиться, что он регистрируется на месте.

В общем, и мне жаль это говорить, но вы должны играть в хардбол с этим парнем. Точно следуйте своей политике, не отклоняйтесь. Не ври. И если он подведет вас из-за чего-то, чего нет в политике, пожаловайтесь его старшим в компанию, которая его отправила. Соберите бумажный след всего этого, чтобы доказать, что вы были разумны. Если вы нарушаете свою политику, вы в его власти. Если вы последуете за ними к письму, его уволят.

Да, аудитор является идиотом. Однако, как вы знаете, иногда идиоты оказываются во власти. Это один из таких случаев.

Информация , которую он просил имеет нулевое отношение к текущей безопасности системы. Объясните аудитору, что вы используете LDAP для аутентификации и что пароли хранятся с использованием одностороннего хэша. Если вы не будете выполнять сценарий перебора паролей (который может занять недели (или годы)), вы не сможете предоставить пароли.

Точно так же удаленные файлы - я бы хотел услышать, случайно, как он думает, что вы должны иметь возможность различать файлы, созданные непосредственно на сервере, и файл, который SCPed на сервер.

Как сказал @womble, ничего не притворяйся. Это не принесет пользы. Либо откажитесь от этой проверки и оштрафуйте другого брокера, либо найдите способ убедить этого «профессионала» в том, что его сыр соскользнул с его крекера.

Пусть ваш «аудитор безопасности» укажет на любой текст из любого из этих документов, в котором есть его требования, и наблюдайте, как он изо всех сил пытается придумать оправдание и в конечном итоге оправдывает себя, чтобы никогда больше не быть услышанным.

WTF! Извините, но это моя единственная реакция на это. Я не слышал о каких-либо требованиях к аудиту, которые требовали бы ввода открытого текста, не говоря уже о том, чтобы вводить им пароли при их изменении.

Во-первых, попросите его показать вам требование, которое вы предоставляете.

Во-вторых, если это для PCI (что мы все предполагаем, так как это вопрос платежной системы), перейдите сюда: https://www.pcisecuritystandards.org/approved_companies_providers/qsa_companies.php и получите нового аудитора.

В-третьих, следуйте указаниям выше, обратитесь к своему руководству и попросите их связаться с компанией QSA, с которой он работает. Тогда немедленно найдите другого одитора.

Аудиторы проверяют состояния системы, стандарты, процессы и т. Д. Им не нужно иметь какую-либо информацию, которая обеспечивает им доступ к системам.

Если вам нужны рекомендуемые аудиторы или альтернативные сотрудники, которые тесно сотрудничают с аудиторами, свяжитесь со мной, и я с удовольствием предоставлю рекомендации.

Удачи! Доверьтесь своей интуиции, если что-то кажется неправильным, это, вероятно, так

У него нет законных оснований знать пароль и иметь доступ к закрытым ключам. То, о чем он просил, дало бы ему возможность выдавать себя за любого из ваших клиентов в любой момент времени и откачивать столько денег, сколько он хочет, без какого-либо способа обнаружить это как возможную мошенническую транзакцию. Это будет именно тот тип угроз безопасности, за который он должен вас проверять.

Сообщите руководству, что Аудитор запросил, чтобы вы нарушили ваши политики безопасности, и что запрос является незаконным. Предположите, что они могут хотеть бросить существующую аудиторскую фирму и найти законную. Позвоните в полицию и сдайте аудитора для запроса незаконной информации (в Великобритании). Затем позвоните в PCI и отправьте аудитору запрос.

Эта просьба похожа на просьбу убить кого-то наугад и передать тело. Вы бы сделали это? или ты бы позвонил в полицию и сдал их?

Ответить с иском . Если аудитор запрашивает пароли в виде простого текста (давай сейчас, это не так сложно - взломать или взломать слабые хэши паролей), он, вероятно, солгал тебе о своих полномочиях.

Просто совет относительно того, как вы сформулируете свой ответ:

К сожалению, мы не можем предоставить вам некоторую запрашиваемую информацию, в основном обычные текстовые пароли, историю паролей, ключи SSH и журналы удаленных файлов. Мало того, что эти вещи технически невозможны ...

Я бы перефразировал это, чтобы не обсуждать техническую осуществимость. Читая ужасное начальное электронное письмо, отправленное аудитором, похоже, что это тот, кто может выбирать детали, не связанные с основной проблемой, и он может утверждать, что вы можете сохранить пароли, логины и т. Д. :

... Из-за нашей строгой политики безопасности мы никогда не записывали пароли в виде простого текста. Следовательно, технически будет невозможно предоставить эти данные.

Или же

... Мы не только значительно снизим уровень внутренней безопасности, выполнив ваш запрос ...

Удачи, и держите нас в курсе, как это заканчивается!

Риск продолжения ажиотажа среди пользователей с высокими репутациями, пытающихся ответить на этот вопрос, вот мои мысли.

Я могу смутно видеть, почему он хочет использовать незашифрованные пароли, и это позволяет судить о качестве используемых паролей. Это дерьмовый способ - большинство знакомых мне одиторов примут зашифрованные хеш-коды и запустят взломщик, чтобы посмотреть, какой из низко висящих фруктов они могут извлечь. Все они пройдут по политике сложности пароля и рассмотрят, какие меры безопасности существуют для ее применения.

Но вы должны поставить несколько паролей. Я предлагаю (хотя я думаю, что вы, возможно, уже сделали это) спросить его, какова цель доставки открытого текста. Он сказал, что это для проверки вашего соответствия политике безопасности, поэтому попросите его дать вам эту политику. Спросите его, согласится ли он с тем, что режим сложности ваших паролей достаточно надежен, чтобы пользователи не могли установить свой пароль, P@55w0rdи он, как доказано, действовал в течение 6 месяцев.

Если он его подтолкнет, вам, возможно, придется признать, что вы не можете доставить незашифрованные пароли, поскольку вы не настроены на их запись (что из-за этого является серьезной ошибкой безопасности), но вы можете попытаться сделать это в будущем, если ему потребуется прямая проверка того, что ваши политики паролей работают. И если он захочет доказать это, вы с радостью предоставите ему базу данных зашифрованных паролей (или вам! Проявите желание! Это помогает!), Чтобы пройти мимо.

«Удаленные файлы», вероятно, могут быть извлечены из журналов SSH для сеансов SFTP, о чем я и подозреваю. Если у вас нет системного журнала на 6 месяцев, это будет трудно произвести. Использование wget для извлечения файла с удаленного сервера при входе в систему через SSH считается «удаленной передачей файлов»? Что такое HTTP PUT? Файлы, созданные из текста буфера обмена в окне терминала удаленного пользователя? Во всяком случае, вы можете приставать к нему с этими крайними случаями, чтобы лучше понять его проблемы в этой области и, возможно, привить чувство «я знаю больше об этом, чем вы», а также о конкретных технологиях, о которых он думает. Затем извлеките то, что вы можете из журналов и архивированных журналов в резервных копиях.

Я ничего не получил по ключам SSH. Единственное, о чем я могу думать, это то, что он по какой-то причине проверяет ключи без пароля и, возможно, криптостойкость. В противном случае я ничего не получил.

Что касается получения этих ключей, то собрать хотя бы открытые ключи достаточно просто; просто прокрутите папки .ssh, ища их. Получение закрытых ключей будет включать в себя надевание шляпы BOFH и жестокое обращение с вашими пользователями на тему: «Пришлите мне ваши открытые и частные пары ключей SSH. Все, что я не получу, будет удалено с серверов через 13 дней», и если кто-то вопит (я бы) указал им на аудит безопасности. Сценарии - ваш друг здесь. Как минимум, это приведет к тому, что куча пар ключей без пароля получит пароли.

Если он по-прежнему настаивает на «текстовых паролях в электронной почте», по крайней мере, подвергните эти письма шифрованию GPG / PGP с помощью своего собственного ключа. Любой аудитор безопасности, достойный его соли, должен уметь справляться с чем-то подобным Таким образом, если утечка паролей, это произойдет потому, что он их выпустил, а не вы. Еще один лакмусовый тест на компетентность.

Я должен согласиться с Зайфером и Уомблом в этом вопросе. Опасный идиот с опасными последствиями.

Он, вероятно, проверяет вас, чтобы убедиться, что вы представляете угрозу безопасности. Если вы предоставите эти данные ему, вы, вероятно, будете немедленно уволены. Отнеси это своему непосредственному боссу и передай доллар. Сообщите своему боссу, что вы привлечете соответствующие органы, если эта задница снова окажется рядом с вами.

Вот за что боссы платят.

У меня есть видение листа бумаги, оставленного в задней части такси, на котором есть список паролей, ключей SSH и имен пользователей! Hhhmmm! Можете увидеть заголовки газет прямо сейчас!

Обновить

В ответ на 2 комментария ниже, я думаю, у вас обоих есть хорошие замечания. Нет никакого способа действительно узнать правду, и тот факт, что вопрос был опубликован вообще, демонстрирует небольшую наивность со стороны плаката, а также смелость столкнуться с неблагоприятной ситуацией с потенциальными карьерными последствиями, когда другие суют голову в песок и убежать.

Мой вывод о том, чего это стоит, заключается в том, что это очень интересная дискуссия, которая, вероятно, заставила большинство читателей задуматься над тем, что они будут делать в этой ситуации, независимо от того, компетентны ли аудитор или политика аудиторов. Большинство людей сталкиваются с такой дилеммой в той или иной форме в своей трудовой жизни, и это действительно не та ответственность, которую следует переложить на плечи одного человека. Это бизнес-решение, а не решение отдельных лиц, как с этим бороться.

Ясно, что здесь есть много полезной информации, но позвольте мне добавить свой 2c, как человека, который пишет программное обеспечение, которое продается моим работодателем по всему миру крупным предприятиям, в первую очередь, чтобы помочь людям соблюдать правила безопасности управления учетными записями и проходить аудиты; за что это стоит.

Во-первых, это звучит очень подозрительно, как вы (и другие) отметили. Либо аудитор просто следует процедуре, которую он не понимает (возможно), либо проверяет вас на уязвимость, например социальную инженерию (вряд ли после последующих обменов), либо мошенническую социальную инженерию вы (также возможно), либо просто общий идиот (вероятно, наверняка). Что касается рекомендаций, я бы предложил вам поговорить со своим руководством и / или найти новую аудиторскую компанию и / или сообщить об этом в соответствующее надзорное агентство.

Что касается заметок, пара вещей:

• Это возможно (при определенных условиях) , чтобы предоставить информацию , которую он просил, если ваша система настроена , чтобы позволить. Однако это ни в коем случае не является «наилучшей практикой» в области безопасности и не будет распространено вообще.
• Обычно аудиты связаны с проверкой практики, а не с проверкой фактической защищенной информации. Я бы очень подозрительно относился к тому, что кто-то запрашивает фактические пароли или сертификаты в виде простого текста, а не методы, используемые для проверки того, что они «хороши» и надежно защищены.

Надеюсь, что это помогает, даже если это в основном повторяет то, что посоветовали другие люди. Как и вы, я не собираюсь называть свою компанию, в моем случае, потому что я не говорю за них (личный кабинет / мнения и все); извиняюсь, если это подрывает доверие, но пусть будет так. Удачи.

Это может и должно быть опубликовано в IT Security - Stack Exchange .

Я не эксперт в области аудита безопасности, но первое, что я узнал о политике безопасности, это "NEVER GIVE PASSWORDS AWAY". Этот парень, возможно, был в этом бизнесе в течение 10 лет, но, как сказал Уомбл"no, you have 5 minutes of experience repeated hundreds of times"

Я работал с банковскими ИТ-специалистами в течение некоторого времени, и когда я увидел твою публикацию, я показал им это ... Они так сильно смеялись. Мне сказали, что этот парень выглядит как мошенник. Они имели дело с такими вещами для безопасности клиентов банка.

Запрашивать ясный пароль, ключи SSH, журналы паролей - явно серьезное профессиональное нарушение. Этот парень опасен.

Я надеюсь, что сейчас все в порядке, и у вас нет никаких проблем с тем, что они могли вести журнал вашей предыдущей транзакции с ними.

Если вы можете предоставить какую-либо информацию (с возможным исключением открытых ключей), запрошенную в пунктах 1, 2, 4 и 5, вы должны ожидать, что провалите аудит.

Официально ответьте на пункты 1, 2 и 5, сказав, что вы не можете выполнить, так как ваша политика безопасности требует, чтобы вы не хранили простые текстовые пароли и чтобы пароли были зашифрованы с использованием необратимого алгоритма. В пункте 4, опять же, вы не можете предоставить закрытые ключи, так как это нарушит вашу политику безопасности.

Что касается пункта 3. Если у вас есть данные, предоставьте его. Если вы этого не сделаете, потому что вам не нужно было его собирать, скажите об этом и продемонстрируйте, как вы сейчас (работаете в направлении) выполняете новое требование.

Аудитор безопасности для наших серверов потребовал в течение двух недель :

...

Если мы не пройдем аудит безопасности, мы потеряем доступ к нашей платформе обработки карт (критически важной части нашей системы), и для перехода в другое место потребуются добрые две недели . Как я облажался?

Похоже, что вы ответили на свой вопрос. (См. Жирный текст для подсказок.)

На ум приходит только одно решение: заставить всех записать свой последний и текущий пароль, а затем немедленно сменить его на новый. Если он хочет проверить качество пароля (и качество перехода от пароля к паролю, например, чтобы убедиться, что никто не использует rfvujn125, а затем rfvujn126 в качестве следующего пароля), то этого списка старых паролей должно быть достаточно.

Если это не будет сочтено приемлемым, то я подозреваю, что этот парень является членом Anonymous / LulzSec ... в этот момент вы должны спросить его, каков он, и сказать ему, чтобы он прекратил быть таким скрабом!

Как сказала Оли: данное лицо пытается заставить вас нарушить закон (Защита данных / Директивы ЕС о конфиденциальности) / Внутренние правила / Стандарты PCI. Вы должны не только уведомить руководство (как я уже говорил), но вы также можете позвонить в полицию, как это было предложено.

Если у данного лица имеется какая-либо аккредитация / сертификация, например, CISA (Сертифицированный аудитор информационных систем) или британский эквивалент CPA США (публичное обозначение бухгалтера), вы также можете сообщить об этом аккредитующим организациям для его расследования. Этот человек не только пытается заставить вас нарушить закон, но и крайне некомпетентен в «аудите» и, вероятно, противоречит всем этическим стандартам аудита, которым аккредитованные аудиторы должны соблюдать страх потери аккредитации.

Кроме того, если данное лицо является членом более крупной компании, упомянутым аудиторским организациям часто требуется какой-то отдел обеспечения качества, который наблюдает за качеством аудитов, а также за регистрацией и расследованием жалоб. Таким образом, вы также можете обратиться с жалобой в соответствующую аудиторскую компанию.

Я все еще учусь, и первое, что я узнал при настройке серверов, это то, что если вы позволяете регистрировать незашифрованные пароли, вы уже подвергаете себя опасности гигантского взлома. Ни один пароль не должен быть известен, кроме пользователя, который его использует.

Если этот парень серьезный одитор, он не должен спрашивать вас об этом. Для меня он звучит как обманщик . Я бы посоветовался с регулирующим органом, потому что этот парень звучит как полный идиот.

Обновить

Подождите, он считает, что вы должны использовать симметричное шифрование только для передачи пароля, а затем сохранить их в виде открытого текста в вашей базе данных или предоставить способ их расшифровки. Таким образом, в основном, после всех анонимных атак на базы данных, где они показывали пароли пользователей в виде простого текста, он по-прежнему считает, что это хороший способ «защитить» среду.

Он динозавр застрял в 1960-х ...

• Список текущих имен пользователей и текстовых паролей для всех учетных записей пользователей на всех серверах
  • Текущие имена пользователей МОГУТ быть в рамках «мы можем выпустить это» и должны быть в рамках «мы можем показать вам это, но вы не можете перенести это за пределы сайта».
  • Обычные текстовые пароли не должны существовать дольше, чем требуется для одностороннего хэширования, и они, конечно, никогда не должны оставлять память (даже не переходить по проводам), поэтому их существование в постоянном хранилище - нет-нет.
• Список всех изменений пароля за последние шесть месяцев, снова в виде простого текста
  • Смотрите «постоянное хранилище - нет-нет».
• Список «каждый файл, добавленный на сервер с удаленных устройств» за последние шесть месяцев
  • Это может быть связано с тем, что вы регистрируете передачу файлов на / с серверов обработки платежей, если у вас есть журналы, они должны быть в порядке для передачи. Если у вас нет журналов, проверьте, что соответствующие политики безопасности говорят о регистрации этой информации.
• Открытый и закрытый ключи любых ключей SSH
  • Может быть, попытка проверить, что «ключи SSH должны иметь парольную фразу» есть в политике и последует. Вам нужны парольные фразы для всех закрытых ключей.
• Письмо, отправляемое ему каждый раз, когда пользователь меняет свой пароль, содержащее простой текстовый пароль
  • Это определенно нет-нет.

Я отвечал чем-то в соответствии с моими ответами, подкрепленными документами о соответствии PCI, SOX_compliance и внутренней политикой безопасности по мере необходимости.

Эта просьба, ребята, пахнет на небеса, и я согласен, что любая переписка с этого момента должна проходить через CTO. Либо он пытается заставить вас упасть за неспособность удовлетворить указанный запрос, либо за предоставление конфиденциальной информации, либо крайне некомпетентен. Надеюсь, ваш технический директор / менеджер сделает двойной запрос по этому запросу парней, и будут предприняты позитивные действия, и если они зациклены на действиях этого парня ... ну, хорошие администраторы sys всегда востребованы в объявлениях, так как Похоже, пришло время начать искать какое-то место, если это произойдет.

Я бы сказал ему, что для создания инфраструктуры взлома паролей требуются время, усилия и деньги, но поскольку вы используете сильное хеширование, такое как SHA256 или что-то еще, вы не сможете предоставить пароли в течение 2 недель. Вдобавок ко всему, я бы сказал, что связался с юридическим отделом, чтобы подтвердить, законно ли предоставлять эти данные кому-либо. PCI DSS также хорошая идея, чтобы упомянуть, как вы это сделали. :)

Мои коллеги в шоке, прочитав этот пост.

Я очень хотел бы дать ему список имен пользователей / паролей / закрытых ключей для учетных записей honeypot, а затем, если он когда-либо проверяет логины для этих учетных записей, делает его для несанкционированного доступа к компьютерной системе. Хотя, к сожалению, это, вероятно, подвергает вас как минимум гражданскому правонарушению за мошенническое представление.

Просто отклоните раскрытие информации, заявив, что вы не можете передавать пароли, поскольку у вас нет к ним доступа. Будучи самим одитором, он должен представлять какое-то учреждение. Такие учреждения обычно публикуют руководящие принципы для такого аудита. Посмотрите, соответствует ли такой запрос этим рекомендациям. Вы даже можете пожаловаться на такие ассоциации. Также проясните аудитору, что в случае каких-либо нарушений вина может вернуться к нему (аудитору), поскольку у него есть все пароли.

Я бы сказал, что вы не можете предоставить ему ЛЮБУЮ запрашиваемую информацию.

• Имена пользователей предоставляют ему представление об учетных записях, имеющих доступ к вашим системам, - это угроза безопасности
• История паролей позволит лучше понять используемые пароли, что даст ему возможность атаковать, угадав следующий пароль в цепочке.
• Файлы, передаваемые в систему, могут содержать конфиденциальную информацию, которая может быть использована для атаки на ваши системы, а также дать им представление о структуре вашей файловой системы.
• Открытые и закрытые ключи, что, черт возьми, имело бы смысл иметь их, если бы вы раздавали их кому-то другому, а не предполагаемому пользователю?
• Письмо, отправляемое каждый раз, когда пользователь меняет пароль, дает ему обновленные пароли для каждой учетной записи пользователя.

Этот парень тянет твоего приятеля-плонкера! Вам необходимо связаться с его менеджером или другим аудитором в компании, чтобы подтвердить его возмутительные требования. И отойди как можно скорее.

Проблема решена уже сейчас, но в интересах будущих читателей ...

Учитывая, что:

• Вы, кажется, потратили больше часа на это.

• Вы должны были проконсультироваться с юрисконсультом компании.

• Они просят много работы после изменения вашего соглашения.

• У тебя не будет денег и больше времени на переключение.

Вы должны объяснить, что вам нужно много денег заранее, и есть минимум четыре часа.

Последние несколько раз я говорил кому-то, что они внезапно стали не такими нуждающимися.

Вы по-прежнему можете выставлять им счета за любые убытки, понесенные во время перехода, и за время, затраченное на изменение, поскольку они изменили ваше соглашение. Я не говорю, что они заплатят в течение двух недель, так же, как они думали, что вы согласитесь в это время - они будут односторонними, я не сомневаюсь.

Это испугает их, если офис вашего адвоката отправит уведомление о сборе. Это должно привлечь внимание владельца аудиторской компании.

Я бы посоветовал не вступать с ними в дальнейшие отношения, просто для дальнейшего обсуждения этого вопроса потребуется задаток за требуемую работу. Тогда вам могут заплатить за то, что выговорили их.

Странно, что у вас есть действующее соглашение, и тогда кто-то на другом конце сойдет с рельсов - если это не проверка безопасности или интеллекта, это, безусловно, проверка вашего терпения.