שאלה רואה החשבון המבקר שלנו הוא אידיוט. איך אני נותן לו את המידע שהוא רוצה?


מבקר אבטחה עבור השרתים שלנו דרש את הדברים הבאים בתוך שבועיים:

  • רשימה של שמות משתמש קיימים וסיסמאות טקסט רגיל עבור כל חשבונות המשתמשים בכל השרתים
  • רשימה של כל השינויים הסיסמה במשך ששת החודשים האחרונים, שוב בטקסט רגיל
  • רשימה של "כל קובץ נוסף לשרת מהתקנים מרוחקים" בחצי השנה האחרונה
  • המפתחות הציבוריים והפרטיים של כל מפתחות SSH
  • דוא"ל שנשלח אליו בכל פעם שמשתמש משנה את הסיסמה שלו, שמכילה את סיסמת הטקסט הרגילה

אנחנו מריצים תיבות Red Hat Linux 5/6 ו- CentOS 5 עם אימות LDAP.

עד כמה שידוע לי, כל מה שברשימה הזאת הוא בלתי אפשרי או קשה להפליא, אבל אם לא אספק מידע זה, אנו עומדים לאבד את הגישה לפלטפורמת התשלומים שלנו ולאבד את ההכנסות במהלך תקופת המעבר, שירות חדש. כל הצעות כיצד אני יכול לפתור או זיוף מידע זה?

הדרך היחידה שאני יכול לחשוב כדי לקבל את כל סיסמאות טקסט רגיל, היא לגרום לכולם לאפס את הסיסמה שלהם ולעשות הערה של מה שהם הגדירו את זה. זה לא פותר את הבעיה של ששת החודשים האחרונים של שינויים הסיסמה, כי אני לא יכול רטרואקטיבית להיכנס זה סוג של דברים, כנ"ל לגבי רישום כל הקבצים המרוחקים.

קבלת כל המפתחות הציבוריים והפרטיים SSH אפשרי (אם כי מעצבן), שכן יש לנו רק כמה משתמשים ומחשבים. אלא אם כן החמצתי דרך קלה יותר לעשות זאת?

הסברתי לו פעמים רבות שהדברים שהוא מבקש אינם אפשריים. בתגובה לדאגותיי, הוא הגיב בדוא"ל הבא:

יש לי מעל 10 שנות ניסיון בביקורת אבטחה מלא   הבנה של שיטות אבטחה redhat, אז אני מציע לך לבדוק   העובדות שלך על מה הוא ולא אפשרי. אתה אומר שאף חברה לא יכולה   אולי יש מידע זה, אבל ביצעתי מאות ביקורות   שבו מידע זה כבר זמין. כל [אשראי כללי   לקוחות עיבוד כרטיס] לקוחות נדרשים להתאים החדש שלנו   מדיניות הב י טחון וביקורת זו מיועדת להבטיח את הפוליסות   יושמו * כראוי.

* "מדיניות האבטחה החדשה" הוכנסו שבועיים לפני הביקורת שלנו, וששת החודשים האחרונים לא נדרשו כניסה היסטורית לפני שינוי המדיניות.

בקיצור, אני צריך;

  • דרך "זיוף" של שישה חודשים בשווי של סיסמאות משתנה ולהפוך אותו נראה חוקי
  • דרך "לזייף" שישה חודשים של העברות קבצים נכנסים
  • דרך קלה לאסוף את כל המפתחות הציבוריים וה- SSH בשימוש

אם נכשל את הביקורת אבטחה אנו מאבדים גישה לפלטפורמת עיבוד הכרטיס שלנו (חלק קריטי של המערכת שלנו) וזה ייקח שבועיים טובים לעבור למקום אחר. כמה דפוק אני?

עדכון 1 (שבת 23)

תודה על כל התשובות שלך, זה נותן לי הקלה גדולה לדעת שזה לא נוהג רגיל.

אני כרגע מתכנן את התגובה שלי בדוא"ל להסביר לו את המצב. כפי שרבים מכם ציינו, אנחנו צריכים לציית PCI אשר קובע במפורש שאנחנו לא צריכים שום דרך לגשת סיסמאות טקסט רגיל. אני מתכוון לכתוב את הדוא"ל כאשר סיימתי לכתוב את זה. לרוע המזל אני לא חושב שהוא רק בודק אותנו. הדברים האלה נמצאים עכשיו במדיניות הביטחון הרשמית של החברה. יש לי, עם זאת, להגדיר את הגלגלים בתנועה להתרחק מהם על PayPal לעת עתה.

עדכון 2 (שבת 23)

זה הדוא"ל שאני כבר גיבש החוצה, כל ההצעות עבור דברים להוסיף / להסיר / לשנות?

היי [שם],

למרבה הצער אין לנו שום דרך לספק לך כמה   של המידע המבוקש, בעיקר סיסמאות טקסט רגיל, סיסמה   היסטוריה, מפתחות SSH ויומני קבצים מרוחקים. לא רק הדברים האלה   טכנית בלתי אפשרי, אבל גם להיות מסוגל לספק את זה   המידע יהיה גם נגד סטנדרטים PCI, והפרה של   חוק הגנת המידע.
  לצטט את דרישות PCI,

8.4 לעבד את כל הסיסמאות בלתי קריא במהלך שידור ואחסון ב   כל רכיבי המערכת באמצעות קריפטוגרפיה חזקה.

אני יכול לספק לך   עם רשימה של שמות משתמש וסיסמאות hashed בשימוש על המערכת שלנו,   עותקים של המפתחות הציבוריים של SSH וקובץ המארחים המורשה (צוואה זו   לתת לך מספיק מידע כדי לקבוע את מספר המשתמשים הייחודיים   יכול להתחבר לשרתים שלנו, ושיטות ההצפנה בשימוש),   מידע על דרישות האבטחה של הסיסמה שלנו ועל LDAP שלנו   שרת אך מידע זה לא ניתן להוריד את האתר. אני בחוזקה   להציע לך לבדוק את דרישות הביקורת שלך כפי שאין כרגע   לנו לעבור ביקורת זו תוך שמירה על תאימות של PCI ו   חוק הגנת נתונים.

בברכה,
  [לי]

אני אהיה c'ing ב CTO של החברה ומנהל החשבון שלנו, ואני מקווה CTO יכול לאשר מידע זה אינו זמין. אני גם יהיה ליצור קשר עם המועצה לתקני אבטחה PCI כדי להסביר מה הוא דורש מאיתנו.

עדכון 3 (26)

הנה כמה הודעות דוא"ל שהחלפנו;

RE: הדוא"ל הראשון שלי;

כפי שהוסבר, מידע זה צריך להיות זמין בקלות בכל טוב   מתוחזק לכל מנהל מוסמך. הכישלון שלך להיות   מסוגל לספק מידע זה מוביל אותי להאמין שאתה מודע   פגמים במערכת שלך ולא מוכנים לחשוף אותם. שלנו   בקשות שורה עם הנחיות PCI ושניהם ניתן נפגשו. חזק   קריפטוגרפיה פירושו רק את הסיסמאות חייב להיות מוצפן בזמן המשתמש   הוא הזנת אותם אבל אז הם צריכים להיות מועברים לפורמט בר ההשבה   לשימוש מאוחר יותר.

אני לא רואה שום בעיות הגנה על נתונים עבור בקשות אלה, הגנה על נתונים בלבד   חל על צרכנים לא עסקים ולכן לא אמורה להיות בעיה עם זה   מידע.

רק, מה, אני, לא יכול, אפילו ...

"קריפטוגרפיה חזקה רק אומר את הסיסמאות חייב להיות מוצפן בזמן   המשתמש הוא inputing אותם אבל אז הם צריכים להיות מועברים   פורמט ההשבה לשימוש מאוחר יותר. "

אני הולך למסגר את זה ולשים אותו על הקיר שלי.

נמאס לי להיות דיפלומטית והכוונתי אותו לחוט הזה כדי להראות לו את התשובה שקיבלתי:

מתן מידע זה ישירות סותר כמה דרישות   של הנחיות PCI. הקטע שציטטתי אפילו אומר storage   (Implying שבו אנו לאחסן את הנתונים על הדיסק). התחלתי   דיון על ServerFault.com (קהילה מקוונת עבור sys-admin   אנשי מקצוע) אשר יצרה תגובה ענקית, כל מה שמרמז על כך   לא ניתן לספק מידע. אתה מוזמן לקרוא את עצמך

https & colon // serverfault.com / questions / 293217 /

סיימנו לנוע על המערכת שלנו לפלטפורמה חדשה ויהיה   לבטל את החשבון שלנו איתך בתוך יום או כך, אבל אני רוצה   אתה מבין כמה בקשות אלה מגוחכות, ואין חברה   יישום נכון של הנחיות PCI יהיה, או צריך, להיות מסוגל   לספק מידע זה. אני ממליץ לך לחשוב מחדש   דרישות אבטחה כמו שאף אחד הלקוחות שלך צריך להיות מסוגל   להתאים את זה.

(למעשה שכחתי שקראתי לו אידיוט בכותרת, אבל כאמור, כבר התרחקנו מהמצע שלהם, אז לא הפסד אמיתי.)

ובתשובתו הוא קובע שככל הנראה אף אחד מכם לא יודע על מה אתם מדברים:

קראתי בפירוט באמצעות תגובות אלה ואת ההודעה המקורית שלך, את   המגיבים כל צריך לקבל את העובדות שלהם נכון. אני כבר נמצא בזה   תעשיית יותר מכל אחד אחר על האתר, מקבל רשימה של המשתמש   סיסמאות החשבון הוא בסיסי מאוד, זה צריך להיות אחד הראשונים   דברים שאתה עושה כאשר לומדים כיצד לאבטח את המערכת שלך הוא חיוני   לתפעול של כל שרת מאובטח. אם אתה באמת חסר   מיומנויות לעשות משהו פשוט זה אני מניח שאתה לא צריך   PCI מותקן על השרתים שלך להיות מסוגל לשחזר את זה   מידע הוא דרישה בסיסית של התוכנה. כאשר מתמודדים עם   משהו כמו אבטחה אתה לא צריך לשאול את השאלות האלה על   פורום ציבורי אם אין לך ידע בסיסי איך זה עובד.

אני רוצה גם להציע שכל ניסיון לחשוף אותי, או   [שם החברה] ייחשב לדיבה ופעולה משפטית מתאימה   יילקח

נקודות אידיוטיות מפתח אם החמצת אותם:

  • הוא היה מבקר ביטחון יותר מכל אחד אחר כאן (הוא גם מנחש, או עוקב אחריך)
  • היכולת לקבל רשימה של סיסמאות במערכת UNIX היא 'בסיסי'
  • PCI היא כעת תוכנה
  • אנשים לא צריכים להשתמש בפורומים כאשר הם לא בטוחים בביטחון
  • הצגת מידע עובדתי (אשר יש לי הוכחה דוא"ל) באינטרנט היא דיבה

מצוין.

PCI SSC הגיבו והם חוקרים אותו ואת החברה. התוכנה שלנו עברה כעת אל PayPal כדי שנוכל לדעת שזה בטוח. אני הולך לחכות PCI לחזור אלי קודם אבל אני מקבל קצת מודאג כי הם היו עשויים להשתמש אלה נוהלי אבטחה פנימי. אם כך, אני חושב שזה עניין גדול עבורנו כמו כל עיבוד כרטיס שלנו רץ דרכם. אם הם עושים את זה בפנים אני חושב שהדבר האחראי היחיד לעשות הוא להודיע ​​ללקוחות שלנו.

אני מקווה כאשר PCI מבינים עד כמה זה רע הם יחקרו את החברה כולה ואת המערכת אבל אני לא בטוח.

אז עכשיו אנחנו כבר התרחקו מן הפלטפורמה שלהם, ובהנחה שזה יהיה לפחות כמה ימים לפני PCI לחזור אלי, כל הצעות המצאה כיצד טרול אותו קצת? 49

ברגע שיש לי אישור מן הבחור המשפטי שלי (אני מאוד ספק אם כל זה בעצם דיבה אבל אני רוצה לבדוק פעמיים) אני יהיה לפרסם את שם החברה, את השם ואת הדוא"ל, ואם אתה רוצה אתה יכול לפנות אליו ולהסביר למה אתה לא מבין את היסודות של אבטחה לינוקס כמו איך להשיג רשימה של כל הסיסמאות משתמשים LDAP.

עדכון קטן:

"בחור משפטי" שלי הציע לחשוף את החברה היה כנראה לגרום לבעיות יותר מהנדרש. אני יכול לומר זאת, זה לא ספק מרכזי, יש להם פחות 100 לקוחות באמצעות שירות זה. בתחילה התחלנו להשתמש בהם כאשר האתר היה זעיר ורץ על VPS קטן, ואנחנו לא רוצים לעבור את כל המאמץ להגיע PCI (נהגנו להפנות אל Frontend שלהם, כמו PayPal רגיל). אבל כאשר עברנו ישירות עיבוד כרטיסים (כולל מקבל PCI, ושכל ישר), devs החליט להמשיך להשתמש באותה חברה רק API שונה. החברה מבוססת על אזור ברמינגהאם, בריטניה ולכן הייתי מאוד ספק שמישהו כאן יושפעו.


2255
2017-07-22 22:44




יש לך שבועיים כדי לספק לו את המידע, וזה לוקח שבועיים לעבור למקום אחר שיכול לעבד כרטיסי אשראי. אל תטרח - להפוך את ההחלטה לזוז עכשיו לנטוש את הביקורת. - Scrivener
אנא, עדכן אותנו על מה שקורה עם זה. יש לי את זה מועדף לראות איך המבקר מקבל מכה. =) אם אני מכיר אותך, שלח לי דוא"ל לכתובת בפרופיל שלי. - Wesley
הוא בטח בודק אותך כדי לראות אם אתה באמת טיפש. ימין? אני מקווה... - Joe Phillips
הייתי רוצה לדעת כמה המלצות עבור חברות אחרות הוא מבוקר. אם אין סיבה אחרת מאשר לדעת מי להימנע. סיסמאות בטקסטים ... באמת? האם אתה בטוח הבחור הזה באמת לא כובע שחור וחברות הנדסה חברתית טיפש לתוך מסירת סיסמאות המשתמש שלהם במשך חודשים? כי אם יש חברות עושה את זה איתו זה דרך נהדרת רק את היד את המפתחות מעל ... - Bart Silverstrim
כל אי-יכולת מתקדמת מספיק היא בלתי ניתנת לזיהוי מזדון - Jeremy French


תשובות:


ראשית, לא להיכנע. הוא לא רק אידיוט, אלא טועה. למעשה, שחרור מידע זה היה להפר את תקן PCI (וזה מה שאני מניח את הביקורת היא שכן הוא מעבד התשלומים) יחד עם כל תקן אחר שם בחוץ פשוט השכל הישר. זה יהיה גם לחשוף את החברה שלך לכל מיני סוגים של התחייבויות.

הדבר הבא שהייתי עושה הוא לשלוח דוא"ל הבוס שלך אומר שהוא צריך לקבל ייעוץ עסקי מעורב כדי לקבוע את החשיפה המשפטית שהחברה תהיה מתמודד על ידי המשך פעולה זו.

זה קצת האחרון תלוי בך, אבל אני היה ליצור קשר עם VISA עם מידע זה ולקבל את מעמדו PCI מבקר נמשך.


1172
2017-07-22 23:27



הקדמת אותי! זוהי בקשה בלתי חוקית. קבל QSA PCI לבקשת הבקשה של המעבד. תביא אותו לשיחת טלפון. מעגל את הקרונות. "תשלום על התותחים!" - Wesley
"לקבל את מעמד המבקר PCI משך" אני לא יודע מה זה אומר ... אבל מה הסמכות ליצן זה יש (המבקר) ללא ספק הגיע מתוך שקע קרקר רטוב תיבת צריך לקבל בוטל. +1 - WernerCD
כל זה מניח שהבחור הזה הוא בעצם מבקר לגיטימי ... הוא נשמע לי חשדן נורא. - Reid
אני מסכים -- suspicious auditor, או שהוא רואה חשבון אם אתה טיפש מספיק כדי לעשות את כל הדברים האלה. שאל למה הוא צריך את המידע הזה. רק לשקול את הסיסמה, אשר לא צריך להיות טקסט רגיל, אבל צריך להיות מאחורי אחד הצפנה דרך אחת (חשיש). אולי יש לו סיבה לגיטימית, אבל עם כל "הניסיון" שלו הוא אמור להיות מסוגל לעזור לך לקבל את המידע הדרוש. - vol7ron
למה זה מסוכן? רשימה של כל סיסמאות טקסט רגיל - לא צריך להיות אף אחד. אם הרשימה אינה ריקה, יש לו נקודה תקפה. כנ"ל לגבי דברים msot. אם אתה לא צריך אותם כי הם לא שם אומרים. קבצים מרחוק נוסף - כי הוא חלק auditiing. לא יודע - להתחיל לשים מערכת שיודעת. - TomTom


כמי שעבר את הליך הביקורת עם מחיר עבור חוזה ממשלתי מסווג, אני יכול להבטיח לך, זה לגמרי מחוץ לשאלה ואת הבחור הזה הוא מטורף.

כאשר PwC רצה לבדוק את חוזק הסיסמה שלנו הם:

  • נשאלנו לראות את האלגוריתמים של חוזק הסיסמה שלנו
  • רן לבדוק יחידות נגד האלגוריתמים שלנו כדי לבדוק שהם היו להכחיש סיסמאות עניים
  • כשנשאלו לראות את אלגוריתמי ההצפנה שלנו כדי להבטיח שלא ניתן להפוך אותם או לא מוצפנים (אפילו על ידי טבלאות הקשת), אפילו על ידי אדם שיש לו גישה מלאה לכל היבט של המערכת
  • נבדקה כדי לראות שסיסמאות קודמות נשמרו במטמון כדי להבטיח שלא ניתן יהיה להשתמש בהן שוב
  • שאל אותנו על אישור (אשר הענקנו) עבור אותם לנסות לפרוץ לרשת ומערכות הקשורות באמצעות טכניקות הלא הנדסה חברתית (דברים כמו xss ולא 0 יום מנצל)

אם הייתי אפילו רמז כי אני יכול להראות להם מה סיסמאות משתמשים היו מעל 6 החודשים האחרונים, הם היו סוגרים אותנו מחוץ לחוזה מיד.

אם זה היו אפשריים כדי לספק את הדרישות האלה, היית נכשלים מיד כל ביקורת שיש ערך.


עדכון: כתובת האימייל של התגובה שלך נראית טוב. הרבה יותר מקצועי מכל מה שהייתי כותב.


814
2017-07-23 02:34



+1. נראה כמו quesstions הגיוני כי לא צריך להיות ניתן. אם אתה יכול לענות עליהם יש לך בעיה אבטחה טיפש בהישג יד. - TomTom
even by rainbow tablesזה לא כלל את NTLM? אני מתכוון, זה לא salted ... AFAICR MIT Kerberos לא להצפין או hash את הסיסמאות הפעילות, לא יודע מה המצב הנוכחי - Hubert Kario
@Hubert - לא היינו משתמשים ב- NTLM או ב- Kerberos, שכן שיטות האימות של העברת המידע נאסרו והשירות לא היה משולב עם ספרייה פעילה בכל מקרה. אחרת גם לא נוכל להראות להם את האלגוריתמים שלנו (הם מובנים במערכת ההפעלה). היה צריך להזכיר - זה היה אבטחה ברמת היישום, לא ביקורת ברמת מערכת ההפעלה. - Mark Henderson♦
@tandu - זה מה מפרט עבור רמת הסיווג כאמור. זה גם די נפוץ לעצור אנשים מ-שימוש חוזר האחרון שלהם n סיסמאות, כי זה מפסיק אנשים מרכיבה על אופניים רק דרך שתיים או שלוש סיסמאות נפוץ, שהוא פשוט לא מאובטח כמו שימוש באותה סיסמה משותפת. - Mark Henderson♦
@ Slartibartfast: אבל יש משמעות לדעת את הטקסט רגיל של הסיסמה אומר התוקף יכול פשוט גם לפרוץ למסד הנתונים שלך מאחזר הכל נראה לעין. באשר להגנה מפני שימוש בסיסמה דומה, ניתן לעשות זאת ב- JavaScript בצד הלקוח, כאשר המשתמש מנסה לשנות את הסיסמה, גם לשאול את הסיסמה הישנה ולעשות השוואה הדומה עם הסיסמה הישנה לפני פרסום הסיסמה החדשה לשרת. אמנם, זה יכול רק למנוע שימוש חוזר מ 1 הסיסמה האחרונה, אבל IMO את הסיכון לאחסון הסיסמה בטקסט הוא הרבה יותר. - Lie Ryan


בכנות, זה נשמע כאילו הבחור הזה (המבקר) הוא הגדרת לך. אם אתה נותן לו את המידע שהוא מבקש, אתה פשוט הוכיח לו שאתה יכול להיות מהונדסים חברתית לוותר על מידע פנימי קריטי. נכשל.


440
2017-07-22 23:40



גם, יש לך נחשב צד שלישי תשלום התשלומים, כמו authorize.net? החברה אני עובד עבור עושה כמויות גדולות מאוד של עסקאות בכרטיסי אשראי דרכם. אנחנו לא צריכים לאחסן את כל פרטי התשלום של הלקוח - authorize.net מנהל את זה - כך שאין ביקורת של המערכות שלנו כדי לסבך את הדברים. - anastrophe
זה בדיוק מה שחשבתי שקורה. הנדסה חברתית היא כנראה הדרך הקלה ביותר לקבל את המידע הזה ואני חושב שהוא בודק את הפרצה. הבחור הזה הוא אינטליגנטי מאוד או מטומטם מאוד - Joe Phillips
עמדה זו היא לפחות הצעד הראשון הסביר ביותר. תגיד לו שאתה תהיה שבירת חוקים / כללים / מה לעשות על ידי כל זה, אבל אתה מעריך את המגרעת שלו. - michael
שאלה מטומטמת: האם "הגדרת" מקובלת במצב זה? היגיון משותף אומר לי תהליך הביקורת לא צריך להיות עשוי "טריקים". - Agos
@ Agos: עבדתי במקום לפני כמה שנים, כי שכרה סוכנות לעשות ביקורת. חלק מהביקורת כלל קריאה לאנשים אקראיים בחברה עם "CIO> שאל אותי להתקשר אליך ולקבל את פרטי הכניסה שלך, כך שאני יכול לעשות משהו." לא רק שהם בדקו כדי לראות כי אתה לא ממש לוותר על אישורים, אבל ברגע שאתה ניתק אותם היית אמור מיד להתקשר <CIO> או <Security Admin> ולדווח על מחלף. - Toby


אני רק הבחינו שאתה בבריטניה, כלומר מה שהוא מבקש ממך לעשות הוא לשבור את החוק (חוק הגנת נתונים למעשה). אני גם בבריטניה, לעבוד עבור גדול בכבדות מבוקר החברה ולדעת את החוק ואת נהלים נפוצים באזור זה. אני גם חתיכת עבודה מאוד מגעיל אשר בשמחה לרסן חותמת הבחור הזה בשבילך אם אתה רוצה רק בשביל הכיף של זה, תודיע לי אם אתה רוצה לעזור אישור.


335
2017-07-23 07:01



בהנחה שיש מידע אישי על השרתים האלה, אני חושב שהמסירה / את כל / האישורים לגישה בטקסט רגיל למישהו עם רמה זו של חוסר יכולת מופגנת תהיה הפרה ברורה של עקרון 7 ... ("אמצעים טכניים וארגוניים מתאימים תילקח נגד עיבוד בלתי מורשה או בלתי חוקי של נתונים אישיים ונגד אובדן או הרס בשוגג או נזק, או נזק, נתונים אישיים. ") - Stephen Veiss
אני חושב שזאת הנחה הוגנת - אם אתה מאחסן פרטי תשלום, סביר להניח שאתה גם שומר פרטי קשר עבור המשתמשים שלך. אם הייתי במצב של OP, הייתי רואה "מה שאתה מבקש ממני לעשות לא רק שובר את המדיניות ואת החובות החוזיות [כדי לציית PCI], אבל גם לא חוקי" כטיעון חזק יותר מאשר רק להזכיר מדיניות PCI . - Stephen Veiss
@ ג'ימי למה סיסמה לא תהיה נתונים אישיים? - robertc
@ ריצ'רד, אתה יודע שזה היה מטאפורה נכון? - Chopper3
@ Chopper3 כן, אני עדיין חושב שזה לא הולם. בנוסף, אני נגד AviD. - Richard Gadsden


אתם מהונדסים מבחינה חברתית. או שלה כדי "לבדוק אותך" או האקר שלו מתחזה כמבקר כדי לקבל כמה נתונים שימושיים מאוד.


271
2017-07-23 09:20



מדוע אין זו התשובה העליונה? האם זה אומר משהו על הקהילה, על הקלות של הנדסה חברתית, או שאני חסר משהו בסיסי? - Paul
לעולם לא מייחסים לרשעות את מה שניתן לייחס לבורות - aldrinleal
ייחוס כל הבקשות הללו לבורות כאשר המבקר טוען כי הוא מקצועי, אם כי, מותח קצת את הדמיון. - Thomas K
הבעיה בתיאוריה זו היא, שגם אם הוא "נפל על זה" או "נכשל במבחן", הוא לא יכול תן לו את המידע כי זה בלתי אפשרי..... - eds
הניחוש הטוב ביותר שלי הוא "הנדסה חברתית רצינית" מדי (האם זה צירוף מקרים הספר החדש קווין מיטניק הוא יוצא בקרוב?), ובמקרה זה חברת התשלום שלך יהיה מופתע (יש לך בדק איתם על זה "הביקורת" עדיין?) . האפשרות האחרת היא רוקי מאוד, ללא ידע של לינוקס שניסה לבלום ועכשיו הוא חופר את עצמו עמוק יותר, עמוק יותר ויותר. - Koos van den Hout


אני מודאג ברצינות על אופס חוסר בעיות אתיות פתרון מיומנויות ו קהילת תקלות השרתים מתעלמת מהפרה בוטה זו של התנהגות אתית.

בקיצור, אני צריך;

  • דרך 'זיוף' של שישה חודשים בשווי של סיסמאות משתנה ולהפוך אותו לתוקף
  • דרך 'זיוף' של שישה חודשים של העברות קבצים נכנסות

תן לי להיות ברור על שתי נקודות:

  1. זה אף פעם לא מתאים לזייף נתונים במהלך העסקים הרגיל.
  2. אתה אף פעם לא צריך לגלות מידע מסוג זה לאף אחד. פעם.

זה לא התפקיד שלך לזייף רשומות. זה התפקיד שלך כדי לוודא שכל הרשומות הדרושות זמינות, מדויקות ומאובטחות.

הקהילה כאן ב- Server Fault צריך לטפל בשאלות מסוג זה כמו האתר stackoverflow מטפל "שיעורי הבית" שאלות. אינך יכול לטפל בבעיות אלה רק בתגובה טכנית או להתעלם מהפרת האחריות האתית.

כשראיתי כל כך הרבה משתמשים בעלי תשובות גבוהות כאן בשרשור זה, וכל אזכור של ההשלכות האתיות של השאלה מעציב אותי.

הייתי מעודד את כולם לקרוא SAGE מנהלי מערכת קוד אתי. 

BTW, מבקר האבטחה שלך הוא אידיוט, אבל זה לא אומר שאתה צריך להרגיש לחץ להיות לא מוסרי בעבודה שלך.

עריכה: העדכונים שלך לא יסולאו בפז. שמור את הראש למטה, אבקת שלך יבש, לא לקחת (או לתת) כל ניקל עץ.


266
2017-07-24 20:05



אני לא מסכים. "המבקר" היה מתרפק על OP למידע גלוי שיערער את כל אבטחת ה- IT של הארגון. בשום אופן לא OP ליצור רשומות אלה ולספק להם לכל אחד. OP לא צריך רשומות מזויפות; הם יכולים בקלות להיות מזויפים. OP צריך להסביר למבצעים גבוהים יותר מדוע הדרישות של מבקרי הביטחון הן איום או באמצעות כוונות זדוניות או אי יעילות מלאה (סיסמאות דוא"ל בטקסט). על OP להמליץ ​​על סיום מיידי של רואה החשבון המבקר ועל חקירה מלאה של פעילויות אחרות של רואה החשבון המבקר. - dr jimbob
ד"ר ג'ימבוב, אני חושב שאתה חסר את הנקודה: "אופ לא צריך זיוף רשומות, הם יכולים בקלות להיות נראה מזויף." הוא עדיין עמדה לא מוסרית כפי שאתה מציע הוא צריך רק לזייף נתונים כאשר לא ניתן להבחין בין נתונים אמיתיים. שליחת נתונים כוזבים אינה מוסרית. שליחת סיסמאות של המשתמשים שלך לצד שלישי היא רשלנית. אז אנחנו מסכימים שמשהו צריך להיעשות על המצב הזה. אני מעיר על היעדר חשיבה אתית ביקורתית בפתרון בעיה זו. - Joseph Kern
אני לא מסכים עם "זה התפקיד שלך כדי לוודא רשומות אלה זמינים, מדויק, ומאובטח." יש לך מחויבות לשמור על אבטחת המערכת שלך; בקשות לא סבירות (כמו החנות וסיסמאות לשתף) לא צריך להיעשות אם הם להתפשר על המערכת. אחסון, הקלטה ושיתוף של סיסמאות בטקסט הוא הפרת אמון גדולה עם המשתמשים שלך. זהו איום ביטחוני גדול בדגל אדום. ביקורת האבטחה יכולה וצריכה להיעשות מבלי לחשוף סיסמאות בטקסטים / מפתחות פרטיים; ואתה צריך לתת את עליות גבוה לדעת ולפתור את הבעיה. - dr jimbob
dr jimbob, אני מרגיש שאנחנו שתי ספינות חולפות בלילה. אני מסכים עם כל מה שאתה אומר; אסור היה לי לבטא את הנקודות האלה בבירור. אני אשנה את התגובה הראשונית שלי לעיל. הסתמכתי יותר מדי על הקשר של החוט. - Joseph Kern
@ יוסף קרן, לא קראתי את OP באותה דרך כמו עצמך. קראתי את זה יותר כמו איך אני יכול לייצר שישה חודשים של נתונים שמעולם לא שמרו. אין ספק, אני מסכים, כי רוב הדרכים לנסות לענות על דרישה זו תהיה הונאה. עם זאת, היו לי לקחת את מסד הנתונים הסיסמה שלי ואת חותמת חותמת לחלץ במשך 6 החודשים האחרונים אני יכול ליצור תיעוד של מה השינויים עדיין נשמרו. אני מחשיב את זה 'מזויף' נתונים כמו כמה נתונים אבדו. - user179700


אתה לא יכול לתת לו מה שאתה רוצה, ומנסה "מזויף" זה צפוי לחזור לנשוך אותך בתחת (אולי בדרכים משפטיות). אתה צריך גם לערער את שרשרת הפיקוד (ייתכן שהמבקר הזה נעלם, אם כי ביקורות האבטחה הן אידיוטיות לשמצה - שאל אותי על המבקר שרצה להיות מסוגל לגשת ל- AS / 400 באמצעות SMB), או לקבל את הגיהינום מתוך דרישות אלו.

הם אפילו לא אבטחה טובה - רשימה של כל סיסמאות בטקסט הוא בצורה מדהימה דבר מסוכן אי פעם לייצר, ללא קשר לשיטות המשמשות כדי להגן עליהם, ואני מוכן להתערב את זה בחור רוצה אותם בדואר אלקטרוני בטקסט רגיל. (אני בטוח שאתה כבר יודע את זה, אני רק צריך לפרוק קצת).

עבור חרא ו צחקוקים, לשאול אותו ישירות איך לבצע את הדרישות שלו - מודה שאתה לא יודע איך, ואת רוצה למנף את החוויה שלו. ברגע שאתה הולך ונעלם, תגובה שלו "יש לי מעל 10 שנות ניסיון בביקורת אבטחה" יהיה "לא, יש לך 5 דקות של ניסיון חזר מאות פעמים".


232
2017-07-22 23:00



... המבקר שרצה גישה AS / 400 באמצעות SMB? ... למה? - Bart Silverstrim
הטרחה הרבה חזרתי עם חברות תאימות PCI הוא מתווכח נגד סינון ICMP שמיכה, ורק חסימת הד. ICMP יש סיבה טובה מאוד, אבל זה כמעט בלתי אפשרי להסביר את זה עבור רבים "עובד מתוך סקריפט" רואי החשבון. - Twirrim
@BartSilverstrim כנראה מקרה של ביקורת רשימת ביקורת. כפי שאמר לי פעם מבקר - מדוע חצה המבקר את הכביש? כי זה מה שהם עשו בשנה שעברה. - Scott Pack
אני יודע שזה אפשרי, ה- WTF האמיתי? היתה העובדה כי המבקר נחשב כי המכונה היתה פגיעה להתקפות באמצעות SMB עד שהוא יכול להתחבר דרך SMB ... - womble♦
"יש לך 5 דקות של ניסיון חזר מאות פעמים" --- ooooh, זה הולך ישר לתוך אוסף הציטוט שלי! : ד - Tasos Papastylianou


אף מבקר לא צריך להיכשל אם הם מוצאים בעיה היסטורית שתיקנת עכשיו. למעשה, זוהי עדות להתנהגות טובה. עם זאת, אני מציע שני דברים:

א) לא לשקר או לעשות דברים למעלה. ב) קרא את המדיניות שלך.

משפט המפתח עבורי הוא זה:

כל לקוחות [ספקי עיבוד כרטיסי האשראי הגנריים] נדרשים לפעול בהתאם למדיניות האבטחה החדשה שלנו

אני בטוח שיש הצהרה במדיניות זו, כי לא ניתן לרשום סיסמאות ולא ניתן להעבירן לאף משתמש אחר מאשר למשתמש. אם יש, ואז להחיל את מדיניות אלה לבקשות שלו. אני מציע לטפל בזה כך:

  • רשימה של שמות משתמש קיימים וסיסמאות טקסט רגיל עבור כל חשבונות המשתמשים בכל השרתים

הראה לו רשימה של שמות משתמשים, אך אל תאפשר להם לקחת אותם משם. הסבר כי מתן סיסמאות טקסט פשוט הוא) בלתי אפשרי כמו זה חד כיווני, ב) נגד מדיניות, אשר הוא מבקר אותך נגד, ולכן אתה לא לציית.

  • רשימה של כל השינויים הסיסמה במשך ששת החודשים האחרונים, שוב בטקסט רגיל

הסבר כי זה לא היה זמין מבחינה היסטורית. תן לו רשימה של פעמים האחרונות לשנות את הסיסמה כדי להראות כי זה נעשה עכשיו. הסבר, כמו לעיל, כי סיסמאות לא יינתן.

  • רשימה של "כל קובץ נוסף לשרת מהתקנים מרוחקים" בחצי השנה האחרונה

הסבר מה הוא ולא נרשם. לספק את מה שאתה יכול. אל תספק שום דבר סודי, ולהסביר על ידי מדיניות למה לא. שאל אם יש צורך לשפר את הרישום שלך.

  • המפתחות הציבוריים והפרטיים של כל מפתחות SSH

תסתכל על מדיניות ניהול המפתח שלך. יש לציין כי מפתחות פרטיים אינם מורשים לצאת מן המיכל שלהם יש תנאים קפדניים של גישה. החל את המדיניות הזו ואינך מתיר גישה. המפתחות הציבוריים שמחים לציבור וניתן לחלוק אותם.

  • דוא"ל שנשלח אליו בכל פעם שמשתמש משנה את הסיסמה שלו, שמכילה את סיסמת הטקסט הרגילה

פשוט תגיד לא. אם יש לך שרת יומן מאובטח המקומי, לאפשר לו לראות כי זה להיות מחובר לאתרם.

ביסודו של דבר, ואני מצטער לומר את זה, אבל אתה צריך לשחק כדורעף עם הבחור הזה. בצע את המדיניות שלך בדיוק, לא לסטות. אל תשקר. ואם הוא נכשל לך על כל דבר שאינו במדיניות, להתלונן בפני קשישים שלו בחברה ששלח אותו. לאסוף שובל נייר של כל זה כדי להוכיח שאתה כבר הגיוני. אם תשבור את המדיניות שלך אתה נתון לחסדיו. אם אתה מבין אותם על המכתב, הוא בסופו של דבר להיות מפוטר.


177
2017-07-23 10:15



מוסכם, זה כמו אחת מאותן תוכניות מציאות מטורפות, שבו גבר שירות המכונית כוננים את המכונית שלך מצוק או משהו לא ייאמן באותה מידה. הייתי אומר OP, להכין את resumé שלך לעזוב, אם הפעולות לעיל לא עובד בשבילך. זה בבירור מצב מגוחך ונורא. - Jonathan Watmough
הלוואי שיכולתי עד להצביע זה +1,000,000. בעוד רוב התשובות כאן די הרבה לומר את אותו הדבר, זה אחד יסודי יותר. עבודה נהדרת, @ ג'ימי! - Iszi


כן, המבקר J אידיוט. עם זאת, כפי שאתה יודע, לפעמים אידיוטים ממוקמים בעמדות כוח. זהו אחד מאותם מקרים.

המידע שביקש אפס הנושאת את ביטחונה הנוכחי של המערכת. הסבר למבקר שאתה משתמש ב- LDAP לאימות ושהסיסמאות מאוחסנות באמצעות hash בכיוון אחד. קצר עושה סקריפט כוח הזרוע נגד hashes הסיסמה (אשר יכול לקחת שבועות (או שנים), לא תוכל לספק את הסיסמאות.

כמו כן את הקבצים המרוחקים - אני רוצה לשמוע, perchance, איך הוא חושב שאתה צריך להיות מסוגל להבדיל בין קבצים שנוצרו ישירות על השרת ואת הקובץ כי הוא SCPed לשרת.

כפי @womble אמר, לא מזויפים שום דבר. זה לא יעזור. או תעלה את הביקורת ואת בסדר אחר ברוקר, או למצוא דרך לשכנע את זה "מקצועי" כי הגבינה שלו יש החליק של קרקר שלו.


134
2017-07-22 23:05



+1 עבור "... כי הגבינה שלו יש החליק של קרקר שלו." ללא שם: זהו אחד חדש לי! - Collin Allen
"המידע שביקש יש אפס הנושא על הביטחון הנוכחי של המערכת." <- אני באמת אומר את זה יש הרבה נושאים על האבטחה. : P - Ishpeck
(which could take weeks (or years) אני שוכח איפה, אבל מצאתי את זה באינטרנט App זה היה להעריך כמה זמן זה ייקח כוח בכוח הזרוע שלך. אני לא יודע מה כוח אלים או אלגוריתמים hashing היה להניח, אבל זה מעריך משהו כמו 17 טריליון שנים עבור רוב הסיסמאות שלי ... :) - Carson Myers
@ Carson: האפליקציה המקוונת שמצאתי להערכת חוזק הסיסמה הייתה שונה (ואולי אף מדויקת יותר): עבור כל סיסמה היא החזירה "הסיסמה שלך לא מאובטח - אתה פשוט הקלדת אותו לדף אינטרנט לא מהימן!" - Jason Owen
@Jason אה לא, אתה צודק! - Carson Myers


האם "מבקר הביטחון" שלך מצביע על טקסט כלשהו המסמכים האלה כי יש דרישות שלו ולראות איך הוא נאבק לבוא עם תירוץ ובסופו של דבר מתנצל על עצמו לא להישמע שוב.


86
2017-07-22 23:15



מסכים. למה? היא שאלה תקפה היא נסיבות כאלה. המבקר צריך להיות מסוגל לספק תיעוד של מקרה עסקי / תפעולי לבקשותיו. אתה יכול לומר לו: "שים את עצמך במצב שלי, זה סוג הבקשה שאני מצפה ממישהו שינסה ליצור חדירה". - jl.


WTF! סליחה אבל זו התגובה היחידה שלי על זה. אין דרישות ביקורת ששמעתי אי פעם על זה הדורשות סיסמה בטקסט, שלא לדבר על הזנת הסיסמאות כפי שהן משתנות.

1, לבקש ממנו להראות לך את הדרישה שאתה מספק את זה.

2, אם זה עבור PCI (שכולנו מניחים כי זה שאלה מערכת התשלום) ללכת כאן: https://www.pcisecuritystandards.org/approved_companies_providers/qsa_companies.php ולקבל מבקר חדש.

3, בצע את מה שהם אמרו לעיל, פנה וניהול שלך יש להם קשר עם החברה QSA הוא עובד עם. ואז מיד לקבל עוד מבקר.

רואי חשבון ביקורת מערכת מדינות, תקנים, תהליכים, וכו 'אין להם צורך לקבל כל מידע המספק להם גישה למערכות.

אם אתה רוצה כל רואי החשבון המומלצים או colo חלופי זה לעבוד בשיתוף פעולה הדוק עם רואי חשבון צרו איתי קשר ואני אשמח לספק הפניות.

בהצלחה! לסמוך על הבטן שלך, אם משהו לא בסדר זה כנראה.


71
2017-07-22 23:55