Sunucularımız için bir güvenlik denetçisi iki hafta içinde aşağıdakileri istedi:

• Tüm sunuculardaki tüm kullanıcı hesapları için geçerli kullanıcı adlarının ve düz metin parolalarının bir listesi
• Tüm şifrenin bir listesi son altı aydır, yine düz metin olarak değiştirildi.
• Son altı ayda "sunucuya uzak aygıtlardan eklenen her dosya" nın bir listesi
• Herhangi bir SSH anahtarının genel ve özel anahtarları
• Bir kullanıcı şifresini her değiştirdiğinde, düz metin şifresini içeren, kendisine gönderilen bir e-posta

LDAP onaylı Red Hat Linux 5/6 ve CentOS 5 kutularını kullanıyoruz.

Bildiğim kadarıyla, bu listedeki her şeyi yapmak imkansız ya da inanılmaz derecede zor, ancak bu bilgiyi sağlamazsam, ödeme platformumuza erişimimizi kaybettiğimiz ve bir geçiş dönemi içinde bir geçiş dönemi içinde gelir kaybettiğimizle karşı karşıyayız. yeni servis Bu bilgiyi nasıl çözebileceğim ya da sahte yapacağımla ilgili herhangi bir öneriniz var mı?

Tüm düz metin şifrelerini almayı düşünmenin tek yolu, herkesin şifresini sıfırlamasını ve neye ayarladıklarını not etmesini sağlamak. Bu, son altı aylık parola değişikliği sorununu çözmez, çünkü geriye dönük olarak bu tür şeyleri günlüğe kaydedemiyorum, aynısı tüm uzak dosyaları da günlüğe kaydeder.

Sadece birkaç kullanıcı ve bilgisayara sahip olduğumuz için, genel ve özel SSH anahtarlarını almak mümkündür (sinir bozucu olsa da). Bunu yapmak için kolay bir yolu özledim sürece?

Ona defalarca sorduğu şeylerin imkansız olduğunu açıkladım. Endişelerime cevap olarak, aşağıdaki e-posta ile cevap verdi:

Güvenlik denetiminde 10 yıldan fazla bir deneyime sahibim ve redhat güvenlik yöntemlerini tam olarak anlıyorum, bu yüzden neyin mümkün olup neyin olmadığı hakkındaki gerçeklerinizi kontrol etmenizi öneririm. Hiçbir şirketin bu bilgilere sahip olamayacağını söylüyorsunuz, ancak bu bilgilerin hazır olduğu yüzlerce denetim yaptım. Tüm [genel kredi kartı işlem sağlayıcısı] istemcilerinin yeni güvenlik politikalarımıza uyması zorunludur ve bu denetim bu politikaların doğru bir şekilde uygulanmasını * sağlamak için tasarlanmıştır.

* Denetimden iki hafta önce "yeni güvenlik politikaları" getirildi ve politika değişmeden önce altı aylık tarihi kayıt gerekmedi.

Kısacası ihtiyacım var;

• Altı aylık parola değişikliklerine "sahte" davranmanın ve geçerli görünmesini sağlamanın bir yolu
• 6 ay gelen dosya transferini "sahte" yapmanın bir yolu
• Kullanılan tüm SSH kamu ve özel anahtarlarını toplamak için kolay bir yol

Güvenlik denetiminden geçemezsek, kart işleme platformumuza (sistemimizin kritik bir parçası) erişimimizi kaybederiz ve başka bir yere taşınması iki hafta sürer. Nasıl batırdım ben?

Güncelleme 1 (23. Sat)

Tüm cevaplarınız için teşekkürler, bunun standart bir uygulama olmadığını bilmek beni rahatlatıyor.

Şu anda ona durumu açıklayan e-posta yanıtımı planlıyorum. Birçoğunuzun işaret ettiği gibi, açıkça düz metin şifrelerine erişmemiz gerektiğini açıkça belirten PCI'e uymak zorundayız. Yazmayı bitirdiğimde e-postayı gönderirim. Ne yazık ki sadece bizi test ettiğini sanmıyorum; bunlar artık şirketin resmi güvenlik politikasında. Bununla birlikte, şu an için tekerlekleri onlardan uzağa ve PayPal'a geçecek şekilde harekete geçirdim.

Güncelleme 2 (23 Sat)

Bu, hazırladığım e-posta, eklemek / kaldırmak / değiştirmek için herhangi bir öneriniz var mı?

Merhaba [isim],

Maalesef, size istenen bilgilerin bir kısmını (düz metinli şifreler, şifre geçmişi, SSH anahtarları ve uzak dosya günlükleri) sunmamıza imkan yok. Bunlar sadece teknik olarak imkansız değil, aynı zamanda bu bilgiyi sağlayabilmek hem PCI Standartlarına aykırı hem de veri koruma yasasının ihlali olacaktır.
PCI gereksinimlerini alıntılamak için,

8.4 Güçlü şifreleme kullanarak tüm sistem bileşenlerinde iletim ve depolama sırasında okunamayan tüm şifreleri oluşturun.

Sistemimizde kullanılan kullanıcı adlarını ve karma şifreleri, SSH açık anahtarlarının ve yetkili ana bilgisayarların kopyalarını size sağlayabilir (Bu, sunucularımıza bağlanabilecek benzersiz kullanıcıların sayısını ve şifrelemeyi belirlemek için yeterli bilgi verecektir. kullanılan yöntemler), şifre güvenlik gereksinimlerimiz ve LDAP sunucumuz hakkında bilgiler, ancak bu bilgiler site dışına alınmayabilir. PCI ve Veri Koruma yasalarına uygun olarak kalırken bu denetimi geçmemizin henüz bir yolu olmadığı için denetim gerekliliklerinizi gözden geçirmenizi şiddetle tavsiye ediyorum.

Saygılar,
[ben]

Şirketin CTO'su ve hesap yöneticimizde CC'ing olacağım ve CTO'nun bu bilginin mevcut olmadığını doğrulayabileceğini umuyorum. Ayrıca, bizden ne istediğini açıklamak için PCI Güvenlik Standartları Konseyi ile irtibata geçeceğim.

Güncelleme 3 (26)

İşte değiştirdiğimiz bazı e-postalar;

RE: ilk e-posta adresim;

Açıklandığı gibi, bu bilgilerin bakımlı bir sistemde herhangi bir yetkili yöneticiye kolayca ulaşması gerekir. Bu bilgiyi sağlayamamaktaki başarısızlığınız, sisteminizdeki güvenlik hatalarından haberdar olduğunuza ve bunları ifşa etmeye hazır olmadığınıza inanmamı sağlar. İsteklerimiz PCI yönergelerine uygun ve her ikisi de karşılanabilir. Güçlü şifreleme yalnızca kullanıcı giriş yaparken şifrelerin şifrelenmesi gerektiği, ancak daha sonra kullanılmak üzere kurtarılabilir bir biçime taşınmaları gerektiği anlamına gelir.

Bu talepler için veri koruma sorunu görmüyorum, veri koruma yalnızca işletmeler değil tüketiciler için geçerli olduğundan, bu bilgilerle ilgili herhangi bir sorun olmamalıdır.

Sadece, ne, ben, hatta ...

"Güçlü şifreleme yalnızca kullanıcı giriş yaparken şifrelerin şifrelenmesi gerektiği, ancak daha sonra kullanılmak üzere kurtarılabilir bir biçime taşınmaları gerektiği anlamına gelir."

Bunu çerçeveleyip duvarıma koyacağım.

Diplomatik olmaktan bıktım ve aldığım cevabı göstermek için onu bu konuya yönlendirdim:

Bu bilginin sağlanması DOĞRUDAN, PCI kurallarının birçok gereksinimiyle çelişir. Alıntı yaptığım bölüm bile diyor storage (verileri diskte nerede sakladığımızı ima ediyor). Muazzam bir yanıt oluşturan ServerFault.com'da (sys-admin profesyonelleri için çevrimiçi bir topluluk) bir tartışma başlattım, bu bilgilerin hiçbirinin sağlanamayacağına işaret ediyor. Kendiniz okumak için çekinmeyin

https://serverfault.com/questions/293217/

Sistemimizi yeni bir platforma taşımayı bitirdik ve ertesi gün içinde hesabımızı iptal edeceğiz, ancak bu taleplerin ne kadar saçma olduğunu ve PCI kurallarını doğru şekilde uygulayan hiçbir şirketin, ne yapacağını ya da Bu bilgiyi sağlayabilmek. Hiçbir müşterinizin buna uymaması gerektiğinden, güvenlik gereksinimlerinizi yeniden düşünmenizi şiddetle tavsiye ederim.

(Aslında onu başlıkta salak olarak adlandırdığımı unuttum, ama daha önce de belirtildiği gibi, platformlarından uzaklaştığımız için gerçek bir kayıp olmadı.)

Ve cevabında, görünüşe göre hiçbiriniz neden bahsettiğinizi bilmediğinizi belirtiyor:

Bu cevapları ve orjinal postanızı kullanarak detaylı bir şekilde okudum, cevap verenlerin gerçeklerini doğrulamaları gerekiyor. Bu sektörde o sitedeki herkesten daha uzun zamandır bulundum, kullanıcı hesabı şifrelerinin bir listesini almak inanılmaz derecede basit, sisteminizi nasıl güvenli hale getireceğinizi öğrenirken ilk yaptığınız şeylerden biri olmalı ve güvenli bir şekilde çalışması için çok önemlidir. sunucusu. Eğer gerçekten bu kadar basit bir şey yapma becerisine sahip değilseniz, bu bilgiyi elde edebilmek için sunucularınızda PCI yüklü olmadığını varsayacağım, yazılımın temel bir gereksinimidir. Güvenlik gibi bir şeyle uğraşırken, nasıl çalıştığına dair temel bir bilginiz yoksa, bu soruları halka açık bir forumda sormamanız gerekir.

Ayrıca beni ortaya çıkarmak için yapılan herhangi bir girişimin veya [şirket adının] hakaret kabul edileceğini ve uygun yasal işlemlerin uygulanacağını da belirtmek isterim.

Onları kaçırdıysanız kilit aptalca noktalar:

• Buradaki herkesten daha uzun zamandır güvenlik denetçisi olarak çalışıyor (Seni tahmin ediyor ya da takip ediyor)
• Bir UNIX sistemindeki şifrelerin listesini alabilmek 'temel'
• PCI şimdi yazılım
• İnsanlar güvenlikten emin olmadıklarında forumları kullanmamalı
• Çevrimiçi olarak (e-posta kanıtı bulduğum) gerçek bilgilerin çevrimiçi yayınlanması

Mükemmel.

PCI SSC cevap verdi ve onu ve şirketi araştırıyor. Yazılımımız artık PayPal'a taşındı ve güvenli olduğunu biliyoruz. İlk önce PCI'in bana geri dönmesini bekleyeceğim, ancak bu güvenlik uygulamalarını dahili olarak kullandıkları için endişeleniyorum. Öyleyse, tüm kart işlemlerimizden geçtikçe bunun bizim için büyük bir endişe kaynağı olduğunu düşünüyorum. Bunu dahili olarak yapıyorlarsa, yapılacak tek sorumlu şeyin müşterilerimizi bilgilendirmek olacağını düşünüyorum.

PCI, tüm şirketi ve sistemi araştıracaklarının ne kadar kötü olduğunu fark ettiğinde ümit ediyorum ama emin değilim.

Öyleyse şimdi platformlarından uzaklaştık ve PCI'in bana geri dönmesinden en az birkaç gün önce olduğunu varsayalım, onu nasıl biraz trolling yapabileceği konusunda herhangi bir yaratıcı öneriniz oldu mu? =)

Bir zamanlar hukuki adamımdan izin aldım (bunlardan herhangi birinin aslında hakaret edici olduğundan şüpheliyim ancak iki kez kontrol etmek istedim) Şirketin adını, adını ve e-postasını yayınlayacağım ve isterseniz onunla iletişim kurabilir ve açıklayabilirsiniz. neden tüm LDAP kullanıcılarının şifrelerinin bir listesini almak gibi Linux güvenliğinin temellerini anlamıyorsunuz.

Küçük güncelleme:

Benim "yasal adamım", şirketin muhtemelen gerekenden daha fazla soruna neden olacağını açıkladı. Yine de, bu büyük bir sağlayıcı değil, bu hizmeti kullanan daha az 100 müşterisi olduğunu söyleyebilirim. Orijinal olarak site küçükken ve biraz VPS kullanmaya başladıklarında kullanmaya başladık ve PCI alma çabalarının tümünden geçmek istemedik (PayPal Standartları gibi ön uçlarına yönlendirirdik). Ancak doğrudan kartları işlemeye geçtiğimizde (PCI alma ve sağduyu dahil), devs aynı şirketi sadece farklı bir API kullanmaya devam etmeye karar verdi. Şirket Birmingham, Birleşik Krallık bölgesinde bulunuyor.

İlk olarak, teslim etmeyin. O sadece bir salak değil, TEHLİKELİ yanlış. Aslında, bu bilgiyi serbest olacağını ihlal her orada diğer standart ve sadece düz sağduyu ile birlikte (bir ödeme işlemcisi beri ne için olduğunu ben denetim assuming olan) PCI standardı. Ayrıca, şirketinizi her türlü yükümlülüğe maruz bırakacaktır.

Yapacağım bir sonraki şey, patronunuza, bu eyleme geçerek şirketin karşı karşıya kalacağı yasal teşvikleri belirlemek için şirket danışmanı alması gerektiğini söyleyen bir e-posta göndermek.

Bu son bit size kalmış ama ben bu bilgilerle VISA başvurun ve onun PCI denetçi durumu çekti tanınacak.

Gizli bir devlet sözleşmesi için Price Waterhouse Coopers ile denetim prosedürünü uygulamış biri olarak , sizi temin ederim, bu tamamen söz konusu değil ve bu adam deli.

PwC şifre gücümüzü kontrol etmek istediğinde:

• Şifre gücü algoritmalarımızı görmek istedi
• Kötü şifreleri reddedeceklerini kontrol etmek için test ünitelerini algoritmalarımıza karşı koştum.
• Sistemin her yönüne tam erişimi olan bir kişi tarafından bile ters çevrilememelerini veya şifrelenememelerini sağlamak için şifreleme algoritmalarımızı görmemiz istendi
• Tekrar kullanılamayacaklarından emin olmak için önceki şifrelerin önbelleğe alındığını kontrol etmek için kontrol edildi.
• Sosyal olmayan mühendislik tekniklerini (xss ve 0 günlük olmayan istismarlar gibi şeyler) kullanarak ağa ve ilgili sistemlere girmeye çalışmaları için bize izin verdik (verdik).

Son 6 ay içinde kullanıcı şifrelerinin ne olduğunu onlara gösterebileceğimi bile söyleseydim, bizi derhal sözleşmeden alıkoyacaklardı.

O Eğer mümkün olsaydı bu gereksinimleri sağlamak için, olur anında başarısız olan her tek denetim değer.

Güncelleme: Yanıt e-postanız iyi görünüyor. Yazdığım her şeyden çok daha profesyonel.

Dürüst olmak gerekirse, bu adam (denetçi) sizi kuruyor gibi görünüyor. Ona istediği bilgiyi verirseniz, kritik içsel bilgilerden vazgeçmek için sosyal olarak tasarlanabileceğinizi kanıtladınız. Başarısız.

Birleşik Krallık'ta olduğunuzu fark ettim, bu da senden yapmanı istediği şey kanunları çiğnemek demektir (aslında Veri Koruma Yasası). Ben de BK'dayım, yoğun olarak denetlenen büyük bir şirkette çalışıyorum ve bu alandaki yasaları ve ortak uygulamaları biliyorum. Ayrıca sadece eğlenmek istersen bu adamı senin için mutlu bir şekilde damgalayacak çok iğrenç bir eserim, yardım istersen haberim olsun.

Sosyal olarak tasarlandınız. Ya sizi test etmeye ya da çok faydalı veriler elde etmek için denetçi olarak poz veren bir hacker.

OP’lerin etik problem çözme becerilerinden yoksun olması ve bu ahlaki davranış kurallarının ihlal edilmesini önemsememekle ilgili sunucu hata topluluğu konusunda ciddi endişelerim var .

Kısacası ihtiyacım var;

• Altı aylık parola değişikliklerini taklit etmenin ve geçerli görünmesini sağlamanın bir yolu
• Altı aylık gelen dosya transferini sahte hale getirmenin bir yolu

İki noktada açık konuşayım:

1. Normal iş sırasında verileri tahrif etmek asla uygun değildir.
2. Bu tür bilgileri asla kimseye açıklamamalısınız. Hiç.

Kayıtları tahrif etmek senin işin değil. Gerekli kayıtların mevcut, doğru ve güvenli olduğundan emin olmak sizin işinizdir.

Buradaki Sunucu Hatası'ndaki topluluk , stackoverflow sitesinin "ev ödevi" sorularını ele aldığı için bu tür soruları ele almalıdır . Bu sorunları sadece teknik bir cevapla çözemez veya etik sorumluluğu ihlal edemezsiniz.

Bu konuda çok sayıda üst düzey kullanıcı görüyor ve bu sorunun etik sonuçlarından bahsetmiyorum bile beni üzüyor.

Herkesi SAGE System Administrators'ın Etik Kurallarını okumaya teşvik ediyorum .

BTW, güvenlik denetçiniz bir aptal, ancak bu, işinizde etik dışı olmak için baskı hissetmeniz gerektiği anlamına gelmiyor.

Düzenleme: Güncelleştirmeleriniz paha biçilemez. Başınızı aşağıda tutun, tozunuzu kuru tutun ve tahta nikelleri almayın (veya vermeyin).

Ona istediğini veremezsin ve "sahte" olmaya çalışırsa, seni kıçından (muhtemelen yasal yollarla) ısırmaya geri dönme olasılığı vardır. Komuta zincirine itiraz etmeniz gerekebilir (bu denetçinin kötü niyetli olmasına rağmen, güvenlik denetimleri aptalca aptalca olsa da - bana bir AS / 400'e SMB üzerinden erişmek isteyen denetçiden bahsedin ya da cehennemi ele geçirin) bu zorlayıcı şartların altından.

Tüm düz metin şifreler bir liste bir olduğunu - Onlar bile iyi bir güvenlik değiliz inanılmaz tehlikeli şey hiç onları korumak için kullanılan yöntemlerin bakılmaksızın, üretmek ve bu adam onları düz metin olarak gönderilecek isteyecektir bahse girerim . (Bunu zaten bildiğine eminim, sadece biraz havalandırmalıyım).

Boklar ve kıkırdamalar için, doğrudan gereksinimlerini nasıl yerine getireceğini sorun - nasıl yapıldığını bilmediğinizi ve deneyimlerinden yararlanmak istediğini itiraf edin. Dışarı çıkıp gittikten sonra, "güvenlik denetiminde 10 yıldan fazla deneyime sahibim" cevabını "hayır, yüzlerce kez tekrar eden 5 dakikalık tecrüben var" olacaktır.

Şu anda çözdüğünüz tarihsel bir sorunla karşılaşırlarsa hiçbir denetçi sizi başarısız etmemelidir. Aslında, bu iyi davranış kanıtıdır. Bunu akılda tutarak, iki şey öneririm:

a) Yalan söylemeyin ya da makyaj yapmayın. b) Politikalarınızı okuyun.

Benim için en önemli ifade şudur:

Tüm [genel kredi kartı işlem sağlayıcısı] istemcilerinin yeni güvenlik politikalarımıza uyması gerekir.

Bahse girerim ki bu politikalarda, şifrelerin yazılamadığını ve kullanıcı dışında kimseye iletilemediğini söyleyen bir ifade vardır. Varsa, bu politikaları isteklerine uygulayın. Bu şekilde kullanılmasını öneririm:

• Tüm sunuculardaki tüm kullanıcı hesapları için geçerli kullanıcı adlarının ve düz metin parolalarının bir listesi

Ona bir kullanıcı adı listesi gösterin, ancak onların alınmalarına izin vermeyin. Düz metin şifreleri vermenin a) tek yönlü olduğu için imkansız olduğunu ve b) sizi denetlediği politikaya aykırı olduğunu açıklayın, bu nedenle itaat etmeyeceksiniz.

• Tüm şifrenin bir listesi son altı aydır, yine düz metin olarak değiştirildi.

Bunun tarihsel olarak mevcut olmadığını açıklayın. Bunun şimdi yapılmakta olduğunu göstermek için ona en son şifre değiştirme zamanlarının bir listesini verin. Yukarıda belirtildiği gibi şifrelerin sağlanmayacağını açıklayın.

• Son altı ayda "sunucuya uzak aygıtlardan eklenen her dosya" nın bir listesi

Neyin ve neyin kaydedilmediğini açıklayın. Yapabileceklerini sağla. Gizli hiçbir şey vermeyin ve neden olmasın politika ile açıklayın. Günlük kaydınızın iyileştirilmesi gerekip gerekmediğini sorun.

• Herhangi bir SSH anahtarının genel ve özel anahtarları

Anahtar yönetim politikanıza bakın. Özel anahtarların kaplarından çıkmasına izin verilmediğini ve katı erişim koşullarına sahip olduğunu belirtmelidir. Bu politikayı uygulayın ve erişime izin verme. Açık anahtarlar mutlu bir şekilde açıktır ve paylaşılabilir.

• Bir kullanıcı şifresini her değiştirdiğinde, düz metin şifresini içeren, kendisine gönderilen bir e-posta

Sadece hayır de. Yerel bir güvenli günlük sunucunuz varsa, bunun yerinde kaydedildiğini görmesine izin verin.

Temel olarak, bunu söylediğim için üzgünüm ama bu adamla hardball oynamak zorundasın. Politikanızı tam olarak izleyin, sapma. Yalan söyleme. Politikada olmayan herhangi bir şey için sizi başarısızlığa uğratırsa, onu gönderen şirketteki yaşlılarına şikayet edin. Tüm bunların makul olduğunu kanıtlamak için bir kağıt izi toplayın. Politikanızı bozarsanız, onun insafına kalırsınız. Onları mektuba kadar takip edersen, kovulacak.

Evet, denetçi olan bir aptal. Ancak, bildiğiniz gibi, bazen salaklar güç pozisyonlarına yerleştirilir. Bu, o davalardan biri.

Diye talep edilen bilgiler vardır sıfır sisteminin mevcut güvenliği yatağı. Denetçiye, kimlik doğrulama için LDAP kullandığınızı ve şifrelerin tek yönlü bir karma kullanarak depolandığını açıklayın. Parola karmaşasına (haftalar (veya yıllar sürebilir)) karşı bir kaba kuvvet komut dosyası yapmak yerine, parolaları sağlayamazsınız.

Aynı şekilde uzak dosyalar - Doğrudan sunucuda oluşturulan dosyalar ile sunucuya SCPed edilmiş bir dosya arasında ayrım yapabilmeniz gerektiğini düşündüğünü duymak isterim.

@ Womble'ın dediği gibi, hiçbir şey yapma. Bu işe yaramaz. Ya bu denetimden kurtulun ve başka bir komisyoncuya para cezası verin ya da bu "profesyonel" i peynirinin krakerinden çıkardığı konusunda ikna etmenin bir yolunu bulun.

"Güvenlik denetçinize", bu gerekçelere sahip olan ve mazereti bulmaya çalışırken ve bir daha asla duyulmaması için mazeret bulması için izleyen , bu belgelerin herhangi birindeki herhangi bir metni işaret etmesini sağlayın .

O NE LAN! Üzgünüm ama bu benim tek tepkim. Daha önce hiç duyduğum, düz metin şifresi gerektiren, değiştirdikleri şifreleri beslemekten bile bağımsız olan denetim gerekliliği yoktur.

Birincisi, sizden bunu sağlamanızın gerekliliğini göstermesini isteyin.

İkincisi, eğer bu PCI için (bir ödeme sistemi sorusundan beri hepimiz varsayalım), buraya gidin: https://www.pcisecuritystandards.org/approved_companies_providers/qsa_companies.php ve yeni bir denetçi edinin.

Üçüncüsü, yukarıda söylediklerini takip edin, yönetiminizle iletişim kurun ve birlikte çalıştığı QSA şirketine başvurmalarını sağlayın. Sonra hemen başka bir denetçi olsun.

Denetçiler, sistem durumlarını, standartlarını, süreçlerini vb. Denetler. Sistemlere erişmelerini sağlayan hiçbir bilgiye sahip olmaları gerekmez.

Denetçilerle yakın çalışan herhangi bir denetçi veya alternatif görevlinin olmasını istiyorsanız benimle iletişime geçin ve referansları vermekten memnuniyet duyarım.

İyi şanslar! Bağırsaklarına güven, eğer bir şeyler yanlış gözüküyorsa, muhtemelen öyle.

Şifreyi bilmesi ve özel anahtarlara erişmesi için meşru bir sebep yoktur. İstediği herhangi bir zamanda, müşterilerinizden herhangi bir zamanda kimliğine bürünebilme ve olası bir hileli işlem olarak tespit etmenin herhangi bir yolu olmadan istediği kadar para sifre edebilme becerisini kazandıracaktı. Tam olarak seni denetlemesi gereken güvenlik tehdidi türü olacak.

Denetime, güvenlik politikalarınızı ihlal etmenizi istediğini ve isteğin yasadışı olduğunu yönetime bildirin. Mevcut denetim firmasını terk etmek ve meşru bir firma bulmak isteyebileceklerini ileri sürün. Polisi arayın ve denetleyiciyi yasa dışı bilgi istemek için teslim edin (İngiltere'de). Ardından PCI'i arayın ve Denetçiyi talepleri için çevirin.

Talep, senden rastgele birini öldürüp vücudunu teslim etmeni istemek gibi. Bunu yapar mısın? yoksa polisi arayabilir ve teslim mi edeceksin?

Davayla cevap ver . Bir denetçi düz metin parolaları istiyorsa (şimdi gelin, zayıf parola karmaşasını kırmak ya da kırmak o kadar da zor değil), muhtemelen size referansları hakkında yalan söylediler.

Yanıtınızı nasıl belirttiğinize dair sadece bir ipucu:

Maalesef, size istenen bilgilerin bir kısmını (düz metinli şifreler, şifre geçmişi, SSH anahtarları ve uzak dosya günlükleri) sunmamıza imkan yok. Sadece bunlar teknik olarak imkansız değil ...

Teknik fizibilite hakkında tartışma yapmaktan kaçınmak için bunu tekrar ifade ederim. Denetçi tarafından gönderilen korkunç ilk e-postayı okumak, ana sorunla ilgili olmayan detayları seçebilecek biri gibi görünüyor ve şifrelerinizi, giriş bilgilerinizi, vb. Kaydedebileceğinizi iddia edebilir . :

... Sıkı güvenlik politikalarımız nedeniyle, asla şifreleri düz metin olarak kaydetmedik. Bu nedenle, bu verileri sağlamak teknik olarak imkansız olacaktır.

Veya

... Yalnızca isteğinize uyarak iç güvenlik seviyemizi önemli ölçüde düşürmekle kalmaz, ...

İyi şanslar ve bunun nasıl bittiğini bize bildir!

Bu soruya atlayan üst düzey kullanıcıların acelesini devam ettirme riski altında, işte benim düşüncelerim.

Düz metin şifrelerini neden istediğini belli belirsizce görebiliyorum ve bu, kullanılan şifrelerin kalitesini değerlendirmek. Bunu yapmanın saçma bir yolu, tanıdığım çoğu denetçi şifreli karmaları kabul edecek ve ne tür bir düşük meyveli meyve alabileceklerini görmek için bir kraker çalıştıracak. Hepsi şifre-karmaşıklık politikasını gözden geçirecek ve bunu uygulamak için hangi önlemlerin alınacağını gözden geçirecektir.

Ancak bazı şifreler vermek zorundasınız. Plaintext şifre teslimatının amacının ne olduğunu sormanızı öneririm (bunu zaten yapmış olabileceğinizi düşünüyorum). Güvenlik politikasına karşı uygunluğunuzu doğrulamanın, bu politikayı size vermesini söyledi. Kullanıcılara parolalarını ayarlamalarını P@55w0rdve söz konusu 6 ay boyunca kanıtlanmış olmalarını engellemek için parola karmaşıklığı rejiminizin yeterince sağlam olduğunu kabul edip etmediğini sorun.

Basarsa, düz metin şifreleri veremeyeceğinizi itiraf etmeniz gerekebilir, çünkü onları kaydetmeye ayarlanmadıysanız (ne büyük bir güvenlik arızası olur), ancak isterse gelecekte bunu yapmaya çalışabilir Şifre politikalarınızın çalıştığını doğrulayın. Kanıtlamak istiyorsa, şifreli parola veritabanını sizin için (veya siz istekli! Göster! Yardımcı olur!) Bir çatlama geçişi gerçekleştirmesini sağlayacaksınız.

"Uzak dosyalar" muhtemelen konuştuğundan şüphelendiğim SFTP oturumları için SSH kayıtlarından çıkarılabilir. Eğer 6 ay boyunca syslogging yapmazsanız, üretmesi zor olacaktır. SSH ile oturum açarken bir uzak sunucudan dosya çekmek için wget kullanıyor mu 'uzak dosya aktarımı' olarak kabul edilir? HTTP PUT'ları NEDİR? Uzaktaki kullanıcının terminal penceresinde pano metninden oluşturulan dosyalar? Eğer bir şey varsa, bu alandaki endişelerini daha iyi hissetmek için onu bu son davalarla rahatsız edebilir ve belki de "Bu konuda sizden daha fazla şey biliyorum" hissini ve onun hakkında düşündüğü belirli teknolojileri aşılayabilirsiniz. Ardından, günlüklerden ve arşivlenmiş günlüklerden yedekler üzerine yapabileceklerinizi çıkarın.

SSH anahtarlarında hiçbir şeyim yok. Aklıma gelen tek şey, bir sebepten dolayı şifresiz anahtarları ve belki de kripto gücünü kontrol etmesi . Aksi takdirde hiçbir şeyim yok.

Bu anahtarlara gelince, en azından açık anahtarların toplanması yeterince kolaydır; Sadece onları arayan .ssh klasörleri troll. Özel anahtarları almak, BOFH şapkanızı takmayı ve kullanıcılarınıza "Genel ve özel SSH anahtar çiftlerinizi gönderin. Alamadığım her şeyi 13 gün içinde sunuculardan temizleyeceksiniz" ve eğer biri gıcırdarsa (ben) güvenlik denetimine işaret ederdim. Scripting, burada senin arkadaşın. En azından şifrelerin bir sürü şifresiz keypairs'in şifreler almasına neden olacak.

Eğer hala "e-postadaki düz metin şifreler" konusunda ısrar ederse, en azından bu e-postaları kendi anahtarıyla GPG / PGP şifrelemeye tabi tutun. Tuzuna değer herhangi bir güvenlik denetçisi böyle bir şeyle başa çıkabilmelidir. Bu şekilde eğer şifreler sızarsa, onları çıkarmasına izin verir, senden değil. Yetkinlik için bir başka turnusol testi.

Bu konuda hem Zypher hem de Womble ile aynı fikirdeyim. Tehlikeli sonuçları olan tehlikeli salak.

Muhtemelen bir güvenlik riski olup olmadığını görmek için sizi test ediyor. Bu detayları ona verirseniz, muhtemelen anında görevden alınacaksınız. Bunu acil patronuna götür ve parayı at. Patronunuza, bu kıç tekrar size yaklaşırsa ilgili makamları dahil edeceğinizi bildirin.

Patronlar bunun için para alıyor.

Üzerinde bir şifre listesi, SSH anahtarları ve kullanıcı isimleri olan bir taksi arkasının arkasında bırakılmış bir kağıt parçasına dair bir vizyonum var! Hhhmmm! Şu anda gazete manşetlerini görebiliyorsunuz!

Güncelleme

Aşağıdaki 2 yoruma cevaben, ikinizin de yapması gereken iyi noktaların olduğunu düşünüyorum. Gerçeği ve sorunun ne olduğunu hiç bir şekilde anlamanın hiçbir yolu yoktur, posterin parçası üzerinde küçük bir saflık olduğu gibi, başkalarının başını sokabilecekleri potansiyel kariyer sonuçları olan olumsuz bir durumla yüzleşme cesareti gösterir. kumlayın ve kaçın.

Bunun değeri hakkındaki sonucum, bunun, denetçinin ya da denetçi politikalarının yetkin olup olmadığına bakmaksızın, muhtemelen bu durumda ne yapacaklarını merak eden okuyucularla sonuçlanan ilginç bir tartışma olduğu. Çoğu insan bu tür bir ikilemle çalışma yaşamlarında bir biçimde veya biçimde karşılaşacaktır ve bu gerçekten tek bir kişinin omuzlarına atılması gereken bir sorumluluk değildir. Bununla nasıl başa çıkılacağı konusunda birey kararından ziyade bir iş kararıdır.

Açıkçası burada çok fazla iyi bilgi var, ancak işverenim tarafından dünya genelinde satılan ve öncelikle hesap yönetimi güvenlik politikalarına uyma ve denetimlerde bulunmalarına yardımcı olmak için büyük işletmelere yazılım satan bir kişi olarak 2c'mi eklememe izin ver; bunun için değer.

İlk olarak, bu siz ve diğerlerinin de belirttiği gibi çok şüpheli geliyor. Denetçi ya anlamadığı bir prosedürü takip ediyor (mümkün), ya da sizi kırılganlık açısından test ediyor, sosyal mühendislik (müteakip borsalardan sonra pek mümkün değil) ya da sizi dolandırıcılık sosyal mühendislik (ayrıca mümkün) veya sadece genel bir aptal (muhtemelen) büyük ihtimalle). Tavsiyelere gelince, yönetiminizle konuşmanızı ve / veya yeni bir denetim şirketi bulmanızı ve / veya bunu bir uygun denetim kuruluşuna bildirmenizi öneririm.

Notlara gelince, birkaç şey:

• Öyle mümkün sistem buna izin ayarlanmışsa o istenen bilgileri temin etmek (belirli koşullar altında). Bununla birlikte, herhangi bir anlamda güvenlik için “en iyi uygulama” değildir ve hiçbir şekilde ortak olmayacaktır.
• Genel olarak, denetimler gerçek güvenli bilgileri incelemek yerine uygulamaları doğrulamakla ilgilenir. "İyi" olmalarını sağlamak için kullanılan yöntemler yerine gerçek düz metinli şifreler veya sertifikalar isteyen herhangi birinden şüpheliyim.

Umarım yardımcı olur, çoğunlukla başkalarının tavsiye ettiği şeyleri yinelemesine rağmen. Senin gibi, şirketimi isimlendirmeyeceğim, benim durumumda çünkü onlar için konuşmuyorum (kişisel hesap / görüşler ve diğerleri); Bu, güvenilirliği bozduğum için özür diler, ama öyle olsun. İyi şanslar.

Bu, BT Güvenliği - Yığın Değiş tokuşu'na gönderilebilir ve gönderilmelidir .

Güvenlik denetiminde uzman değilim, ancak güvenlik politikası hakkında ilk öğrendiğim şey "NEVER GIVE PASSWORDS AWAY". Bu adam belki de 10 yıldır bu işte çalışıyor, ama Womble'ın dediği gibi"no, you have 5 minutes of experience repeated hundreds of times"

Bir süredir BT çalışanlarının bankacılığı ile uğraşıyorum ve sizi gönderdiğini gördüğümde onlara gösterdim ... Çok sert gülüyorlardı. Bana o adamın bir aldatmacaya benzediğini söylediler. Banka müşterisinin güvenliği için bu tür şeylerle uğraşırlardı.

Açık bir şifre, SSH anahtarları, şifre günlükleri istemek açıkça ciddi bir profesyonel suistimaldir. Bu adam tehlikeli.

Umarım her şey yolundadır ve onlarla önceki işleminizin kaydını tutabilecekleri gerçeğiyle ilgili herhangi bir sorun yaşamadığınızı umarız.

1,2,4 ve 5 numaralı maddelerde istenen bilgileri (açık anahtarlar hariç) açıklayabilirseniz, denetimin başarısız olmasını beklemelisiniz.

Güvenlik politikanıza uymayacağınızı söyleyerek 1,2 ve 5 numaralı noktalara resmi olarak yanıt verin; düz metin parolaları saklamamanızı ve parolaların geri dönüşü olmayan bir algoritma kullanarak şifrelenmesini gerektirir. 4. noktaya tekrar geçmek için, güvenlik anahtarınızı ihlal ettiği için özel anahtarları sağlayamazsınız.

3. noktaya gelince Verilere sahipseniz sağlayın. Eğer toplamanız gerekmediği için yapmazsanız, o zaman söyleyin ve şimdi yeni gereksinimi nasıl karşıladığınızı gösterin.

Sunucularımız için bir güvenlik denetçisi iki hafta içinde aşağıdakileri istedi :

...

Güvenlik denetiminden geçemezsek, kart işleme platformumuza (sistemimizin kritik bir parçası) erişimimizi kaybediyoruz ve başka bir yere taşınması iyi bir iki hafta alacaktır . Nasıl batırdım ben?

Kendi sorunuzu cevaplamışsınız gibi görünüyor. (İpuçları için koyu yazılmış metne bakın.)

Tek bir çözüm akla geliyor: herkesin son ve mevcut şifresini yazmasını sağlayın ve ardından hemen yenisiyle değiştirin. Eğer şifre kalitesini (ve şifreden şifreye geçişlerin kalitesini test etmek istiyorsa, örneğin kimsenin rfvujn125 ve daha sonra rfvujn126'yı bir sonraki şifre olarak kullanmamasını sağlamak için) eski şifrelerin listesi yeterli olmalıdır.

Eğer bu kabul edilebilir sayılmazsa, o zaman adamın Anonymous / LulzSec'in bir üyesi olduğundan şüphelenirim ... hangi noktada ona kolunun ne olduğunu sormalı ve ona böyle bir fırçalamayı bırakmasını söylemelisin!

Oli'nin dediği gibi: Söz konusu kişi yasaları çiğnemeye çalışıyor (Veri Koruma / AB gizlilik yönergeleri) / iç düzenlemeler / PCI standartları. Sadece yönetime bildirmek zorunda değilsiniz (düşündüğünüz gibi), ama polisi önerildiği gibi arayabilirsiniz.

Söz konusu kişi bir tür akreditasyon / sertifikasyona sahipse, örneğin, CISA (Sertifikalı Bilgi Sistemleri Denetçisi) veya ABD’nin ABD EBM’si (bir kamu muhasebecisi tanımı) eşdeğeri ise, bunun için araştırma yapması için akreditasyon kuruluşlarına bilgi verebilirsiniz. Sadece sizi yasaları çiğnemeye çalışan kişi değil, aynı zamanda son derece beceriksiz bir "denetim" ve muhtemelen akredite denetçilerin akreditasyon kaybına dayanması gereken her etik denetim standardına aykırı olması.

Ek olarak, söz konusu kişi daha büyük bir şirketin üyesiyse, söz konusu denetim kuruluşları genellikle, denetim kalitesini denetleyen ve şikâyetleri inceleyen ve şikayetleri araştıran bir tür QA departmanına ihtiyaç duyarlar. Dolayısıyla, söz konusu denetim şirketine şikayette bulunabilirsiniz.

Hala ders çalışıyorum ve sunucu kurarken ilk öğrendiğim şey düz metin şifrelerini kaydetmeyi mümkün kılarsanız, çok büyük bir ihlal için kendinizi tehlikeye atıyor olmanızdır. Kullanan kullanıcı dışında hiçbir şifre bilinmemelidir.

Eğer bu adam ciddi bir denetçi ise, sana bunları sormamalı. Bana göre bir misfeasor gibi geliyor . Düzenleyici organı kontrol ederdim çünkü bu adam tam bir aptal gibi geliyor.

Güncelleme

Bekle, yalnızca şifreyi iletmek için simetrik bir şifreleme kullanmanız gerektiğine, ancak bunları düz metinleri veritabanınıza kaydetmeniz veya şifresini çözmek için bir yol sağlamanız gerektiğine inanıyor. Temel olarak, düz metin kullanıcı şifreleri gösterdikleri veritabanlarına yapılan anonim saldırılardan sonra, STILL'in bunun bir ortamı güvenli kılmanın iyi bir yolu olduğuna inanıyor.

1960'larda sıkışmış bir dinozor.

• Tüm sunuculardaki tüm kullanıcı hesapları için geçerli kullanıcı adlarının ve düz metin parolalarının bir listesi
  • Mevcut kullanıcı adları "bunu serbest bırakabiliriz" kapsamında olabilir ve "size bunu gösterebiliriz, ancak saha dışına çıkaramayabilirsiniz" kapsamında olmalıdır.
  • Düz metinli şifreler, onları tek yönlü bir şekilde harcadıklarından daha uzun süre olmamalı ve kesinlikle hiçbir zaman hafızadan ayrılmamalıdır (hatta kablolar arasında dolaşmasalar bile), bu nedenle kalıcı depolamadaki varlıkları bir hayır-hayırdır.
• Tüm şifrenin bir listesi son altı aydır, yine düz metin olarak değiştirildi.
  • "Kalıcı depolama bir hayır-hayırdır" bölümüne bakınız.
• Son altı ayda "sunucuya uzak aygıtlardan eklenen her dosya" nın bir listesi
  • Bu, günlükleri elinizde tuttuğunuzda tamam olması gereken ödeme işlemlerine / sunucularına dosya transferlerini kaydetmenizi sağlamak olabilir. Kayıtlarınız yoksa, ilgili güvenlik politikalarının bu bilgileri kaydetmekle ilgili söylediklerini kontrol edin.
• Herhangi bir SSH anahtarının genel ve özel anahtarları
  • Belki de 'SSH anahtarlarının bir şifre içermesi gerektiğini' kontrol etme girişimi politikadadır ve izlenmiştir. Tüm özel anahtarlarda şifre cümleleri istersiniz.
• Bir kullanıcı şifresini her değiştirdiğinde, düz metin şifresini içeren, kendisine gönderilen bir e-posta
  • Bu kesinlikle bir hayır-hayır.

Cevapları doğrultusunda, PCI uyumluluğu, SOX_compliance ve dahili güvenlik politikası belgeleri tarafından desteklenen bir şeyle cevap vereceğim.

Bu adamlar yüksek cennete rica ediyorlar ve bundan sonra yapılacak yazışmaların CTO'dan geçmesi gerektiğine katılıyorum. Ya söz konusu isteği yerine getiremediğiniz, gizli bilgileri serbest bıraktığınız ya da fena halde beceriksiz olduğu için sizi düşmeye başlayan adam yapmaya çalışıyor. Umarım CTO'nuz / yöneticiniz bu çocukların talebini iki katına çıkarır ve olumlu eylemler yapılır ve bu adamın eylemlerinin gerisinde kalırlarsa .... iyi, iyi sys yöneticileri her zaman ilanlarda talep görürler. Bu olursa bir yer aramaya başlama zamanı gelmiş gibi geliyor.

Parolalar için çatlama altyapısını oluşturmanın zaman, çaba ve para gerektirdiğini söylerdim, ancak SHA256 gibi güçlü bir karmaşayı kullandığınızdan veya 2 hafta içinde şifreleri sağlamanız mümkün olmayabilir. Bunun da ötesinde, bu verilerin herhangi biriyle paylaşılmasının yasal olup olmadığını onaylamak için hukuk departmanıyla iletişim kurduğumu söylerdim. PCI DSS de yaptığınız gibi bahsetmek için iyi bir fikir. :)

Meslektaşlarım bu yazıyı okuyarak şok oldu.

Ona honeypot hesapları için bir kullanıcı adı / parola / özel anahtar listesi vereceğim ve daha sonra bu hesapların girişlerini bir bilgisayar sistemine yetkisiz erişim için test etmesi durumunda beni heyecanlandırırdım. Yine de, maalesef bu muhtemelen sizi en azından sahte bir temsili yapmak için bir tür sivil aleyhte tutar.

Bilgilere ulaşmayı reddetmeniz yeterlidir; bunlara erişiminiz olmadığından şifreleri giremeyeceğinizi belirtir. Kendimde bir denetçi olarak bazı kurumları temsil ediyor olmalı. Bu tür kurumlar genellikle böyle bir denetim için kılavuzlar yayınlar. Böyle bir isteğin bu kurallara uygun olup olmadığına bakın. Hatta bu derneklere şikayet edebilirsiniz. Ayrıca denetçiye, herhangi bir yanlışlık olması durumunda, tüm şifreleri olduğu için suçlamanın kendisine (denetçi) geri dönebileceğini açıkça belirtin.

İstenilen bilgilerden HERHANGİ BİRİ ona temin etmenin bir yolu olmadığını söyleyebilirim.

• Kullanıcı adları, sisteminize erişimi olan hesaplara, güvenlik riskine ilişkin bir kavrayış sağlar
• Şifre geçmişi, zincirdeki bir sonraki şifreyi tahmin ederek ona olası bir saldırı yolu verecek şekilde kullanılan şifre kalıpları hakkında bir fikir verecektir.
• Sisteme aktarılan dosyalar, sisteminize yapılan saldırılarda kullanılabilecekleri gizli bilgileri içerebilir, ayrıca dosya sistemi yapınıza ilişkin bir fikir verebilir.
• Genel ve özel anahtarlar, amaçlanan kullanıcı dışında birisine vermeniz durumunda, onlara sahip olmanın amacı ne olabilir?
• Bir kullanıcı şifreyi her değiştirdiğinde gönderilen bir e-posta ona her kullanıcı hesabı için güncel şifreler verir.

Bu herif, pilon arkadaşını çekiyor! Çirkin taleplerini teyit etmek için menajeri veya şirketteki başka bir denetçi ile görüşmeniz gerekir. Ve en kısa zamanda uzaklaş.

Şimdilik çözülen sorun, ancak gelecekteki okuyucuların yararına ...

Hesaba katıldığında:

• Bunun için bir saatten fazla zaman harcadığın görülüyor.

• Şirketin hukuk danışmanına danışmanız gerekiyordu.

• Sözleşmenizi değiştirdikten sonra çok fazla iş istiyorlar.

• Para ve daha fazla zaman geçişi olacak.

Öncelikle çok paraya ihtiyacınız olduğunu ve asgari dört saat olduğunu açıklamalısınız.

Son birkaç kez birine birdenbire ihtiyaç duymadıklarını söyledim.

Geçiş sırasında ve sözleşmeniz değiştiğinden beri geçen süre boyunca meydana gelebilecek herhangi bir zarar için hala fatura kesebilirsiniz. İki hafta içinde ödeyeceklerini söylemiyorum, o zaman içinde uymayı düşündükleri kadar - tek taraflı olacaklar, hiç şüphem yok.

Avukatınızın ofisi tahsilat bildirimini gönderirse, onları çırpınacaktır. Denetçi şirketin sahibinin dikkatini çekmelidir.

Onlarla daha fazla uğraşmamaya karşı tavsiyede bulunacağım, sadece konuyu daha fazla tartışmak için gereken iş için bir depozito gerektirecek. O zaman onlara anlattığın için ödeme yapılabilir.

Yürürlükte olan bir anlaşmanız olması garip ve diğer taraftaki bir kişi raylardan inecek - güvenlik ya da istihbarat testi değilse kesinlikle sabrınızın bir testi.