Аудитор безопасности наших серверов потребовал в течение двух недель следующего:
Мы используем Red Hat Linux 5/6 и CentOS 5 с аутентификацией LDAP.
Насколько мне известно, все в этом списке либо невозможно, либо невероятно сложно получить, но если я не предоставлю эту информацию, мы столкнемся с потерей доступа к нашей платежной платформе и потерей дохода в течение переходного периода, поскольку мы переходим к новая услуга. Есть предложения, как я могу решить или подделать эту информацию?
Единственный способ получить все пароли в виде обычного текста - это заставить всех сбросить свой пароль и записать, что они установили. Это не решает проблему смены паролей за последние шесть месяцев, потому что я не могу задним числом регистрировать подобные вещи, то же самое касается регистрации всех удаленных файлов.
Получение всех открытых и закрытых ключей SSH возможно (хотя это и раздражает), поскольку у нас всего несколько пользователей и компьютеров. Разве я не упустил более простой способ сделать это?
Я много раз объяснял ему, что то, о чем он просит, невозможно. В ответ на мои опасения он ответил следующим электронным письмом:
У меня более 10 лет опыта в аудите безопасности и полное понимание методов безопасности redhat, поэтому я предлагаю вам проверить свои факты о том, что возможно, а что нет. Вы говорите, что ни одна компания не может иметь эту информацию, но я провел сотни аудитов, где эта информация была легко доступна. Все клиенты [универсального поставщика услуг обработки кредитных карт] должны соответствовать нашим новым политикам безопасности, и этот аудит предназначен для обеспечения правильного применения * этих политик.
* «Новые политики безопасности» были введены за две недели до нашего аудита, и шестимесячное ведение журнала не требовалось до изменения политики.
Короче, мне нужно;
Если мы не пройдем аудит безопасности, мы потеряем доступ к нашей платформе обработки карт (критически важной части нашей системы), и потребуется добрых две недели, чтобы переехать в другое место. Как я облажался?
Спасибо за все ваши ответы. Мне очень приятно знать, что это не стандартная практика.
В настоящее время я планирую свой ответ по электронной почте с объяснением ситуации. Как отметили многие из вас, мы должны соблюдать требования PCI, в которых прямо говорится, что у нас не должно быть никакого доступа к паролям в виде обычного текста. Я отправлю электронное письмо, когда закончу его писать. К сожалению, я не думаю, что он просто проверяет нас; теперь эти вещи включены в официальную политику безопасности компании. Я, однако, привел колеса в движение, чтобы отойти от них и перейти на PayPal.
Это письмо, которое я написал. Есть ли предложения по добавлению / удалению / изменению?
Привет [имя],
К сожалению, мы не можем предоставить вам некоторую запрошенную информацию, в основном пароли в виде обычного текста, историю паролей, ключи SSH и журналы удаленных файлов. Это не только технически невозможно, но и возможность предоставить эту информацию будет как нарушением стандартов PCI, так и нарушением закона о защите данных.
Чтобы процитировать требования PCI,8.4 Сделайте все пароли нечитаемыми во время передачи и хранения на всех компонентах системы с помощью надежной криптографии.
Я могу предоставить вам список имен пользователей и хешированных паролей, используемых в нашей системе, копии открытых ключей SSH и файл авторизованных хостов (это даст вам достаточно информации, чтобы определить количество уникальных пользователей, которые могут подключиться к нашим серверам, а также шифрование используемые методы), информацию о наших требованиях к безопасности паролей и нашем сервере LDAP, но эту информацию нельзя удалять с сайта. Я настоятельно рекомендую вам ознакомиться с вашими требованиями к аудиту, поскольку в настоящее время у нас нет возможности пройти этот аудит, оставаясь в соответствии с PCI и законом о защите данных.
С Уважением,
[меня]
Я буду руководить техническим директором компании и нашим менеджером по работе с клиентами, и я надеюсь, что технический директор подтвердит, что эта информация недоступна. Я также свяжусь с Советом по стандартам безопасности PCI, чтобы объяснить, что он от нас требует.
Вот несколько писем, которыми мы обменивались;
RE: мое первое письмо;
Как объяснялось, эта информация должна быть легко доступна в любой хорошо обслуживаемой системе любому компетентному администратору. Ваша неспособность предоставить эту информацию заставляет меня думать, что вы знаете о недостатках безопасности в своей системе и не готовы их раскрыть. Наши запросы соответствуют рекомендациям PCI, и оба они могут быть выполнены. Сильная криптография означает, что пароли должны быть зашифрованы, пока пользователь их вводит, но затем они должны быть переведены в восстанавливаемый формат для дальнейшего использования.
Я не вижу проблем с защитой данных для этих запросов, защита данных распространяется только на потребителей, а не на предприятия, поэтому с этой информацией не должно быть проблем.
Просто, что, я, не могу, даже ...
«Сильная криптография означает, что пароли должны быть зашифрованы, пока пользователь их вводит, но затем они должны быть переведены в восстанавливаемый формат для дальнейшего использования».
Я собираюсь вставить это в рамку и повесить на стену.
Мне надоело быть дипломатичным, и я направил его в эту ветку, чтобы показать ему полученный мной ответ:
Предоставление этой информации НАПРЯМУЮ противоречит некоторым требованиям руководящих принципов PCI. В цитированном мною разделе даже говорится
storage(Имеется в виду, где мы храним данные на диске). Я начал обсуждение на ServerFault.com (онлайн-сообщество для профессионалов в области системных администраторов), которое вызвало огромный отклик, предполагая, что эта информация не может быть предоставлена. Не стесняйтесь читать самиhttps://serverfault.com/questions/293217/
Мы завершили перевод нашей системы на новую платформу и аннулируем нашу учетную запись у вас в течение следующего дня или около того, но я хочу, чтобы вы осознавали, насколько смешны эти запросы, и ни одна компания, правильно выполняющая рекомендации PCI, не будет или не должна: иметь возможность предоставить эту информацию. Я настоятельно рекомендую вам переосмыслить свои требования к безопасности, поскольку ни один из ваших клиентов не должен им соответствовать.
(На самом деле я забыл, что назвал его идиотом в названии, но, как уже упоминалось, мы уже отошли от их платформы, поэтому никаких реальных потерь.)
И в своем ответе он заявляет, что, видимо, никто из вас не понимает, о чем вы говорите:
Я подробно прочитал эти ответы и ваш исходный пост, все респонденты должны правильно изложить свои факты. Я работаю в этой отрасли дольше, чем кто-либо на этом сайте, получение списка паролей учетных записей пользователей невероятно простое, это должно быть одним из первых шагов, которые вы должны сделать, когда вы узнаете, как защитить свою систему, и важно для работы любого безопасного сервер. Если вам действительно не хватает навыков, чтобы сделать что-то настолько простое, я предполагаю, что на ваших серверах не установлен PCI, поскольку возможность восстановления этой информации является основным требованием программного обеспечения. Имея дело с чем-то вроде безопасности, вы не должны задавать эти вопросы на публичном форуме, если у вас нет базовых знаний о том, как это работает.
Я также хочу сказать, что любая попытка раскрыть меня или [название компании] будет считаться клеветой и будут приняты соответствующие юридические меры.
Ключевые идиотские моменты, если вы их пропустили:
Превосходно.
PCI SSC ответили и расследуют его и компанию. Наше программное обеспечение теперь переведено на PayPal, поэтому мы знаем, что оно безопасно. Я собираюсь дождаться, пока PCI сначала свяжется со мной, но меня немного беспокоит, что они, возможно, использовали эти методы безопасности внутри. Если так, то я думаю, что это серьезная проблема для нас, поскольку вся наша обработка карт проходила через них. Если бы они делали это внутри компании, я думаю, что единственная ответственная вещь, которую нужно было бы сделать, - это проинформировать наших клиентов.
Я надеюсь, что когда PCI осознает, насколько это плохо, они исследуют всю компанию и систему, но я не уверен.
Итак, теперь мы отошли от их платформы, и если предположить, что пройдет как минимум несколько дней, прежде чем PCI вернется ко мне, какие-нибудь изобретательные предложения о том, как его немного троллить? знак равно
Как только я получу разрешение от своего юриста (я очень сомневаюсь, что это на самом деле клевета, но я хотел дважды проверить), я опубликую название компании, его имя и адрес электронной почты, и, если хотите, вы можете связаться с ним и объяснить почему вы не понимаете основ безопасности Linux, например, как получить список всех паролей пользователей LDAP.
Мой «юрист» предположил, что компания, вероятно, вызовет больше проблем, чем необходимо. Но могу сказать, что это не крупный провайдер, у них менее 100 клиентов пользуются этой услугой. Изначально мы начали использовать их, когда сайт был крошечным и работал на небольшом VPS, и мы не хотели тратить все силы на получение PCI (раньше мы перенаправляли на их интерфейс, например PayPal Standard). Но когда мы перешли к прямой обработке карт (включая получение PCI и здравого смысла), разработчики решили продолжать использовать одну и ту же компанию, только другой API. Компания базируется в Бирмингеме, Великобритания, поэтому я очень сомневаюсь, что кто-то здесь пострадает.
Во-первых, НЕ капитулируйте. Он не только идиот, но и ОПАСНО неправ. Фактически, раскрытие этой информации нарушать стандарт PCI (который, как я предполагаю, предназначен для аудита, поскольку это платежный процессор) вместе со всеми другими стандартами и просто здравым смыслом. Это также подвергнет вашу компанию разного рода обязательствам.
Следующее, что я сделаю, - это отправлю электронное письмо вашему боссу, в котором говорится, что ему необходимо привлечь корпоративного юриста, чтобы определить, с какими юридическими последствиями может столкнуться компания, продолжая это действие.
Последнее зависит от вас, но я свяжется с VISA с этой информацией и получит статус аудитора PCI.
Как человек, прошедший процедуру аудита с Прайс Уотерхаус Куперс Что касается секретного государственного контракта, могу вас заверить, это совершенно недопустимо, и этот парень ненормальный.
Когда PwC захотела проверить надежность нашего пароля, они:
Если бы я даже намекнул, что могу показать им, какие пароли пользователей были за последние 6 месяцев, они бы немедленно исключили нас из контракта.
Если это были возможны чтобы обеспечить эти требования, вы бы мгновенно потерпеть неудачу каждый аудит стоит того.
Обновление: ваш ответ по электронной почте выглядит хорошо. Гораздо более профессионально, чем я мог бы написать.
Честно говоря, похоже, что этот парень (одитор) вас подставляет. Если вы предоставите ему информацию, которую он запрашивает, вы только что доказали ему, что вы можете быть социально спроектированы, чтобы отказаться от важной внутренней информации. Потерпеть поражение.
Я только что заметил, что вы находитесь в Великобритании, а это значит, что он просит вас нарушить закон (фактически, Закон о защите данных). Я тоже живу в Великобритании, работаю в крупной компании с сильным аудитом и знаю законы и общепринятые практики в этой области. Я также очень неприятный работник, и я с радостью обуздаю этого парня за вас, если хотите, просто для удовольствия, дайте мне знать, если вам нужна помощь, окей.
Вы получаете социальную инженерию. Либо это «проверить вас», либо хакер, изображающий из себя аудитора, чтобы получить очень полезные данные.
Я серьезно обеспокоен отсутствием у ОП навыков этического решения проблем и сообщество по вине сервера игнорирует это вопиющее нарушение этического поведения.
Короче, мне нужно;
- Способ «подделать» шесть месяцев смены пароля и сделать его действительным
- Способ "подделать" шесть месяцев входящих передач файлов
Позвольте мне прояснить два момента:
Фальсификация записей - не ваша работа. Ваша задача - обеспечить доступность, точность и безопасность всех необходимых записей.
Сообщество здесь, в Server Fault должен относитесь к таким вопросам, как сайт stackoverflow к вопросам «домашнего задания». Вы не можете решить эти проблемы с помощью только технического ответа или игнорировать нарушение этической ответственности.
Меня огорчает тот факт, что в этой ветке так много ответов пользователей с высоким уровнем репутации и отсутствие упоминания об этических последствиях вопроса.
Я рекомендую всем прочитать Кодекс этики системных администраторов SAGE.
Кстати, ваш аудитор по безопасности идиот, но это не значит, что вам нужно чувствовать давление, чтобы быть неэтичным в своей работе.
Изменить: ваши обновления бесценны. Держите голову опущенной, порошок сухой и не берите (и не давайте) никаких деревянных пятак.
Вы не можете дать ему то, что хотите, и попытки «подделать» это, скорее всего, вернутся, чтобы укусить вас за задницу (возможно, законными способами). Вам либо нужно подать апелляцию по цепочке команд (возможно, этот аудитор стал мошенником, хотя аудиты безопасности заведомо идиотские - спросите меня об аудиторе, который хотел иметь доступ к AS / 400 через SMB), либо к черту из-под этих жестких требований.
Они даже не обеспечивают хорошую безопасность - список всех паролей в виде открытого текста невероятно опасная вещь для Когда-либо производят, независимо от методов, используемых для их защиты, и держу пари, этот парень захочет, чтобы они отправили их по электронной почте в виде обычного текста. (Я уверен, что вы это уже знаете, мне просто нужно немного выговориться).
Если вы хотите посмеяться и посмеяться, спросите его напрямую, как выполнить его требования - признайте, что вы не знаете, как это сделать, и хотели бы использовать его опыт. Как только вы уйдете, ответ на его «У меня более 10 лет опыта в аудите безопасности» будет «нет, у вас есть 5-минутный опыт, повторенный сотни раз».
Ни один аудитор не должен подвести вас, если обнаружит историческую проблему, которую вы сейчас исправили. Фактически, это свидетельство хорошего поведения. Имея это в виду, я предлагаю две вещи:
а) Не лгите и не придумывайте ничего. б) Прочтите вашу политику.
Ключевое утверждение для меня таково:
Все клиенты [универсального поставщика услуг по обработке кредитных карт] должны соблюдать наши новые политики безопасности.
Бьюсь об заклад, что в этих политиках есть утверждение, что пароли нельзя записать и передать кому-либо, кроме пользователя. Если есть, примените эти политики к его запросам. Я предлагаю обращаться с этим так:
- Список текущих имен пользователей и паролей в виде простого текста для всех учетных записей пользователей на всех серверах
Покажите ему список имен пользователей, но не позволяйте их забирать. Объясните, что предоставление паролей в виде простого текста а) невозможно, так как это одностороннее и б) противоречит политике, против которой он вас проверяет, поэтому вы не будете подчиняться.
- Список всех изменений паролей за последние шесть месяцев, снова в виде простого текста
Объясните, что исторически этого не было. Дайте ему список последних изменений пароля, чтобы показать, что это сейчас делается. Объясните, как указано выше, что пароли не будут предоставлены.
- Список «всех файлов, добавленных на сервер с удаленных устройств» за последние шесть месяцев.
Объясните, что регистрируется, а что нет. Предоставьте все, что можете. Не сообщайте ничего конфиденциального и объясните, почему бы и нет. Спросите, нужно ли улучшить ваше ведение журнала.
- Открытый и закрытый ключи любых SSH-ключей
Посмотрите на свою политику управления ключами. В нем должно быть указано, что закрытые ключи не допускаются за пределы своего контейнера и имеют строгие условия доступа. Примените эту политику и не разрешайте доступ. К счастью, открытые ключи являются общедоступными, и ими можно делиться.
- Электронное письмо, отправляемое ему каждый раз, когда пользователь меняет свой пароль, содержащее простой текстовый пароль.
Просто сказать нет. Если у вас есть локальный защищенный сервер журналов, позвольте ему увидеть, что он регистрируется на месте.
В принципе, и мне жаль это говорить, но с этим парнем нужно играть жестко. Точно следуйте своей политике, не отклоняйтесь. Не ври. А если он подводит вас в чем-то, что не соответствует политике, пожаловаться его старшим в компании, которая его послала. Соберите все это на бумаге, чтобы доказать, что вы поступили разумно. Если вы нарушите свою политику, вы окажетесь в его власти. Если вы последуете за ними до буквы, его уволят.
Да, аудитор является идиот. Однако, как известно, иногда идиотов ставят на руководящие должности. Это один из таких случаев.
Запрошенная им информация нуль влияющие на текущую безопасность системы. Объясните аудитору, что вы используете LDAP для аутентификации и что пароли хранятся с использованием одностороннего хэша. Если не выполнить сценарий перебора хэшей паролей (что может занять недели (или годы), вы не сможете предоставить пароли.
То же самое и с удаленными файлами - я бы хотел услышать, возможно, как, по его мнению, вы должны иметь возможность различать файлы, созданные непосредственно на сервере, и файлы, отправленные на сервер через SCP.
Как сказал @womble, ничего не подделывайте. Это не поможет. Либо откажитесь от этой проверки и оштрафуйте другого брокера, либо найдите способ убедить этого «профессионала» в том, что его сыр соскользнул с его крекера.
Пусть ваш «аудитор безопасности» укажет на любой текст из любого эти документы у которых есть его требования, и наблюдайте, как он изо всех сил пытается придумать оправдание и в конце концов извиняется, чтобы о нем больше никогда не слышали.
WTF! Извините, но это моя единственная реакция на это. Нет никаких требований аудита, о которых я когда-либо слышал, которые требуют пароля в виде открытого текста, не говоря уже о том, чтобы вводить пароли по мере их изменения.
Во-первых, попросите его показать вам требование, которое вы предоставляете.
Во-вторых, если это для PCI (что мы все предполагаем, поскольку это вопрос платежной системы), перейдите сюда: https://www.pcisecuritystandards.org/approved_companies_providers/qsa_companies.php и найди нового аудитора.
В-третьих, следуйте тому, что они сказали выше, свяжитесь с вашим менеджментом и попросите его связаться с компанией QSA, с которой он работает. Тогда немедленно найдите другого одитора.
Аудиторы проверяют состояние систем, стандарты, процессы и т. Д. Они не нуждаются в какой-либо информации, которая обеспечивает им доступ к системам.
Если вы хотите, чтобы какие-либо рекомендованные аудиторы или альтернативные сотрудники, которые тесно сотрудничают с аудиторами, свяжитесь со мной, и я буду рад предоставить рекомендации.
Удачи! Доверяйте своей интуиции, если что-то кажется неправильным, вероятно, это так.
У него нет законных причин знать пароль и иметь доступ к закрытым ключам. То, что он просил, дало ему возможность выдавать себя за любого из ваших клиентов в любой момент времени и выкачивать столько денег, сколько он хочет, без какого-либо способа обнаружить это как возможную мошенническую транзакцию. Это будет именно та угроза безопасности, которую он должен проверять на вас.
Сообщите руководству, что Аудитор запросил у вас нарушение политики безопасности и что запрос является незаконным. Предположите, что они могут захотеть бросить существующую аудиторскую фирму и найти законную. Позвоните в полицию и предоставьте аудитору за запрос незаконной информации (в Великобритании). Затем позвоните в PCI и обратитесь к Аудитору для его запроса.
Эта просьба сродни тому, чтобы вас попросили убить кого-нибудь наугад и передать тело. Вы бы сделали это? или вы вызовете копов и сдадите их?
Ответьте иск. Если аудитор запрашивает пароли в виде простого текста (давай, не так уж и сложно подобрать или взломать слабые хэши паролей), он, вероятно, солгал вам о своих учетных данных.
Просто подсказка относительно того, как вы сформулируете свой ответ:
К сожалению, мы не можем предоставить вам некоторую запрошенную информацию, в основном пароли в виде обычного текста, историю паролей, ключи SSH и журналы удаленных файлов. Мало того, что это технически невозможно...
Я бы перефразировал это, чтобы не вдаваться в дискуссию о технической осуществимости. Читая ужасное первоначальное электронное письмо, отправленное аудитором, похоже, что это тот, кто может выбирать детали, не связанные с основной проблемой, и он может возразить, что вы мог сохранять пароли, логины и т. д. Так что либо скажите:
... Из-за нашей строгой политики безопасности мы никогда не записывали пароли в виде обычного текста. Поэтому предоставить эти данные будет технически невозможно.
Или
... Мы не только значительно снизим уровень нашей внутренней безопасности, выполнив ваш запрос, ...
Удачи, и держите нас в курсе, чем это закончится!
Рискуя продолжить наплыв пользователей с высоким уровнем репутации, которые будут отвечать на этот вопрос, вот мои мысли.
Я смутно понимаю, зачем ему нужны пароли в виде открытого текста, и это для оценки качества используемых паролей. Это дерьмовый способ сделать это, большинство одиторов, которых я знаю, принимают зашифрованные хэши и запускают взломщик, чтобы посмотреть, какие низко висящие плоды они могут извлечь. Все они ознакомятся с политикой сложности паролей и рассмотрят, какие меры предосторожности существуют для ее соблюдения.
Но вам нужно доставить пароли. Я предлагаю (хотя я думаю, что вы, возможно, уже это сделали) спросить его, какова цель доставки пароля открытым текстом. Он сказал, что это нужно для проверки соответствия вашей политике безопасности, поэтому попросите его дать вам эту политику. Спросите его, согласится ли он с тем, что ваш режим сложности пароля достаточно надежен, чтобы пользователи не могли установить свой пароль на P@55w0rd и, вероятно, находились на месте в течение рассматриваемых 6 месяцев.
Если он нажмет на это, вам, возможно, придется признать, что вы не можете доставлять пароли в виде открытого текста, поскольку вы не настроены для их записи (что связано с серьезным нарушением безопасности), но вы можете попытаться сделать это в будущем, если он потребует прямая проверка того, что ваша политика паролей работает. И если он захочет доказать это, вы с радостью предоставите ему (или вам! Покажите, что готовы! Это поможет!) Базу данных зашифрованных паролей, чтобы пройти процедуру взлома.
«Удаленные файлы», скорее всего, можно вытащить из журналов SSH для сеансов SFTP, о чем я подозреваю, и о чем он говорит. Если у вас нет системного журнала за 6 месяцев, это будет сложно сделать. Считается ли использование wget для извлечения файла с удаленного сервера при входе в систему через SSH «удаленной передачей файлов»? HTTP PUT? Файлы, созданные из текста буфера обмена в окне терминала удаленного пользователя? Во всяком случае, вы можете приставать к нему этими крайними случаями, чтобы лучше понять его проблемы в этой области и, возможно, внушить чувство «Я знаю об этом больше, чем вы», а также о том, о каких конкретных технологиях он думает. Затем извлеките все, что вы можете, из журналов и архивных журналов резервных копий.
У меня ничего не было с ключами SSH. Единственное, о чем я могу думать, это то, что он по какой-то причине проверяет ключи без пароля, и может быть криптостойкость. В противном случае я ничего не получил.
Что касается получения этих ключей, собрать хотя бы открытые ключи достаточно просто; просто пролистайте папки .ssh в поисках их. Получение закрытых ключей потребует надевания шляпы BOFH и нападок на ваших пользователей под фразу: «Пришлите мне свои общедоступные и закрытые пары ключей SSH. Все, что я не получу, будет удалено с серверов через 13 дней» и если кто-то кричит (я бы) указал им на аудит безопасности. Сценарии здесь ваш друг. Как минимум, это вызовет кучу пар ключей без пароля для получения паролей.
Если он по-прежнему настаивает на использовании «простых текстовых паролей в электронной почте», по крайней мере, подвергайте эти электронные письма шифрованию GPG / PGP с его собственным ключом. Любой достойный аудитор безопасности должен уметь справиться с чем-то подобным. Таким образом, если пароли просочатся, это произойдет потому, что он их выпустил, а не вы. Еще одна лакмусовая бумажка на компетентность.
Я должен согласиться с Зайфером и Уомблом в этом вопросе. Опасный идиот с опасными последствиями.
Он, вероятно, проверяет вас, чтобы убедиться, что вы не представляете угрозу безопасности. Если вы предоставите ему эти данные, вас, вероятно, сразу уволят. Отнесите это своему непосредственному боссу и переложите ответственность. Сообщите своему боссу, что вы привлечете соответствующие органы, если этот осел снова появится рядом с вами.
Вот за что платят начальникам.
У меня есть видение листка бумаги, оставленного в задней части такси, со списком паролей, ключей SSH и имен пользователей! Хммммм! Заголовки газет можно увидеть прямо сейчас!
Обновить
В ответ на 2 комментария ниже, я думаю, у вас обоих есть хорошие замечания. Невозможно по-настоящему узнать правду, и тот факт, что вопрос был опубликован, показывает небольшую наивность со стороны автора, а также смелость, чтобы противостоять неблагоприятной ситуации с потенциальными последствиями для карьеры, когда другие сунутся в песок и убегай.
Я пришел к выводу, что это действительно интересная дискуссия, которая, вероятно, заставила большинство читателей задуматься, что они будут делать в этой ситуации, независимо от того, компетентны ли аудитор или политика аудитора. Большинство людей в той или иной форме сталкиваются с подобной дилеммой в своей трудовой жизни, и это действительно не та ответственность, которую следует перекладывать на плечи одного человека. Это бизнес-решение, а не индивидуальное решение о том, как с этим бороться.
Ясно, что здесь много полезной информации, но позвольте мне добавить свой 2c, как человека, который пишет программное обеспечение, которое мой работодатель продает по всему миру крупным предприятиям, в первую очередь, чтобы помочь людям в соблюдении политик безопасности управления учетными записями и прохождении аудитов; за что это стоит.
Во-первых, это звучит очень подозрительно, как вы (и другие) заметили. Либо аудитор просто следует процедуре, которую он не понимает (возможно), либо проверяет вас на уязвимость, поэтому социальная инженерия (маловероятно после последующих обменов), либо мошенничество с социальной инженерией вас (также возможно), либо просто обычный идиот (вероятно наверняка). Что касается совета, я предлагаю вам поговорить со своим руководством и / или найти новую аудиторскую компанию, и / или сообщить об этом соответствующему надзорному органу.
Что касается заметок, пара вещей:
Надеюсь, что это поможет, даже если это в основном повторение того, что посоветовали другие люди. Как и вы, я не собираюсь называть свою компанию в моем случае, потому что я говорю не от их имени (личный кабинет / мнения и все такое); извиняюсь, если это умаляет доверие, но пусть будет так. Удачи.
Это можно и нужно опубликовать в ИТ-безопасность - Stack Exchange.
Я не специалист в области аудита безопасности, но первое, что я узнал о политике безопасности, это "NEVER GIVE PASSWORDS AWAY". Этот парень, возможно, был в этом бизнесе уже 10 лет, но, как сказал Уомбл, "no, you have 5 minutes of experience repeated hundreds of times"
Я некоторое время работал с банковскими ИТ-специалистами, и когда я увидел ваш пост, я показал его им ... Они так сильно смеялись. Мне сказали, что этот парень похож на афериста. Раньше они занимались подобными вещами для безопасности клиентов банка.
Запрашивать четкий пароль, ключи SSH, журналы паролей, несомненно, является серьезным профессиональным проступком. Этот парень опасен.
Я надеюсь, что теперь все в порядке, и что у вас нет проблем с тем, что они могли вести журнал вашей предыдущей транзакции с ними.
Если вы можете предоставить какую-либо информацию (за возможным исключением открытых ключей), запрошенную в пунктах 1, 2, 4 и 5, вы должны ожидать, что аудит не пройдет.
Официально ответьте на пункты 1, 2 и 5, заявив, что вы не можете их соблюдать, поскольку ваша политика безопасности требует, чтобы вы не хранили пароли в виде обычного текста и чтобы пароли были зашифрованы с использованием необратимого алгоритма. Возвращаясь к пункту 4, опять же, вы не можете предоставить закрытые ключи, поскольку это нарушит вашу политику безопасности.
Что касается пункта 3. Если у вас есть данные, предоставьте их. Если вы этого не сделаете, потому что вам не нужно было его собирать, скажите об этом и продемонстрируйте, как вы сейчас (работаете над) соответствием новому требованию.
Как сказал Оли: указанное лицо пытается заставить вас нарушить закон (Директивы о защите данных / ЕС о конфиденциальности) / внутренние правила / стандарты PCI. Вы должны не только уведомить руководство (как вы уже сделали, я думаю), но вы также можете позвонить в полицию, как было предложено.
Если данное лицо имеет какую-либо аккредитацию / сертификацию, например CISA (Сертифицированный аудитор информационных систем) или британский эквивалент CPA в США (статус государственного бухгалтера), вы также можете проинформировать аккредитующие организации для расследования этого вопроса. Мало того, что этот человек пытается заставить вас нарушить закон, это также чрезвычайно некомпетентный «аудит» и, вероятно, нарушение всех этических стандартов аудита, которые аккредитованные аудиторы должны соблюдать под угрозой потери аккредитации.
Кроме того, если данное лицо является сотрудником более крупной компании, вышеупомянутым аудиторским организациям часто требуется какой-либо отдел обеспечения качества, который следит за качеством аудитов и регистрацией аудитов и расследует жалобы. Таким образом, вы также можете подать жалобу в соответствующую аудиторскую компанию.
Аудитор безопасности для наших серверов потребовал следующего в течение двух недель:
...
Если мы не пройдем аудит безопасности, мы потеряем доступ к нашей платформе обработки карт (критической части нашей системы) и чтобы переехать в другое место, потребуется добрых две недели. Как я облажался?
Похоже, вы ответили на свой вопрос. (Подсказки см. В выделенном жирным шрифтом тексте.)
На ум приходит только одно решение: попросите всех записать свой последний и текущий пароль, а затем немедленно смените его на новый. Если он хочет проверить качество пароля (и качество переходов от пароля к паролю, например, чтобы убедиться, что никто не использует rfvujn125 а потом rfvujn126 в качестве следующего пароля) этого списка старых паролей должно быть достаточно.
Если это будет сочтено неприемлемым, то я подозреваю, что этот парень является членом Anonymous / LulzSec ... в этот момент вы должны спросить его, каков его идентификатор, и сказать ему, чтобы он перестал быть таким скрабом!
Я все еще учусь, и первое, что я узнал при настройке серверов, это то, что если вы сделаете возможным регистрацию паролей в виде открытого текста, вы уже подвергнете себя опасности из-за гигантского взлома. Пароль должен быть известен только тому пользователю, который его использует.
Если этот парень серьезный одитор, ему не следует спрашивать вас об этом. Для меня он звучит как злодей. Я бы посоветовался с регулирующим органом, потому что этот парень звучит как полный идиот.
Обновить
Погодите, он считает, что вы должны использовать симметричное шифрование только для передачи пароля, но затем сохранить их в виде открытого текста в своей базе данных или предоставить способ их расшифровки. В общем, после всех анонимных атак на базы данных, где они показывали пароли пользователей в виде обычного текста, он ВСЕ ЕЩЕ полагает, что это хороший способ «защиты» среды.
Он динозавр, застрявший в 1960-х ...
Я бы ответил чем-то вроде моих ответов, подкрепленных PCI-compliance, SOX_compliance и документами внутренней политики безопасности, если это необходимо.
Я бы сказал ему, что создание инфраструктуры взлома паролей требует времени, усилий и денег, но из-за того, что вы используете сильное хеширование, такое как SHA256 или что-то еще, может оказаться невозможным предоставить пароли в течение 2 недель. Вдобавок к этому я бы сказал, что связался с юридическим отделом, чтобы подтвердить, законно ли передавать эти данные кому-либо. PCI DSS тоже неплохо было бы упомянуть, как и вы. :)
Мои коллеги в шоке, прочитав этот пост.
Этот запрос парней доходит до небес, и я согласен, что любая корреспонденция с этого момента должна проходить через технического директора. Либо он пытается сделать вас падшим парнем из-за того, что вы не можете выполнить указанный запрос, за разглашение конфиденциальной информации, либо он крайне некомпетентен. Надеюсь, ваш технический директор / менеджер дважды рассмотрит этот запрос парня, и будут предприняты позитивные действия, и если они будут зациклены на действиях этого парня ... ну, хорошие системные администраторы всегда востребованы в объявлениях, поскольку Похоже, пора начинать искать какое-нибудь место, если это произойдет.
У меня возникло бы сильное искушение дать ему список имен пользователей / паролей / закрытых ключей для учетных записей приманок, а затем, если он когда-нибудь проверит логины для этих учетных записей, сделайте ему несанкционированный доступ к компьютерной системе. Хотя, к сожалению, это, вероятно, подвергнет вас как минимум некоторому гражданскому правонарушению за предоставление мошеннических заявлений.
Просто откажитесь от раскрытия информации, заявив, что вы не можете передавать пароли, поскольку у вас нет к ним доступа. Я сам являюсь одитором, поэтому он, должно быть, представляет какое-то учреждение. Такие учреждения обычно публикуют инструкции для такого аудита. Посмотрите, соответствует ли такой запрос этим правилам. Вы даже можете пожаловаться в такие ассоциации. Также проясните аудитору, что в случае каких-либо нарушений вина может вернуться к нему (аудитору), поскольку у него есть все пароли.
Я бы сказал, что вы не можете предоставить ему ЛЮБУЮ запрошенную информацию.
Этот парень тянет за собой твоего напарника! Вам нужно связаться либо с его менеджером, либо с каким-либо другим аудитором в компании, чтобы подтвердить его возмутительные требования. И уходите как можно скорее.
Проблема решена, но для будущих читателей ...
Учитывая, что:
Кажется, вы потратили на это больше часа.
Вам пришлось проконсультироваться с юрисконсультом компании.
Они просят много работать после изменения вашего соглашения.
У вас не будет денег и больше времени на переключение.
Вы должны объяснить, что вам нужно много денег заранее и минимум четыре часа.
Последние несколько раз я говорил кому-то, что они внезапно перестали быть такими нуждающимися.
Вы по-прежнему можете выставить им счет за любые убытки, понесенные во время переключения, и за потраченное время, поскольку они изменили ваше соглашение. Я не говорю, что они заплатят в течение двух недель, как они думали, что вы подчинитесь в течение этого времени - они будут односторонними, я не сомневаюсь.
Если офис вашего юриста пришлет уведомление о взыскании, они будут потрясены. Он должен привлечь внимание владельца аудиторской компании.
Я бы не советовал вести с ними дальнейшие дела, просто для дальнейшего обсуждения этого вопроса потребуется внести залог за необходимую работу. Тогда вам могут заплатить за их отговорку.
Странно, что у вас есть действующее соглашение, а затем кто-то на другом конце сойдет с пути - если это не проверка безопасности или интеллекта, это определенно проверка вашего терпения.