Soru Güvenlik denetçimiz bir aptal. Ona istediği bilgiyi nasıl verebilirim?


Sunucularımız için bir güvenlik denetçisi iki hafta içinde aşağıdakileri talep etti:

  • Tüm sunuculardaki tüm kullanıcı hesapları için geçerli kullanıcı adları ve düz metin şifrelerinin listesi
  • Düz metin olarak son altı aydaki tüm şifre değişikliklerinin listesi
  • Son altı ayda "uzak cihazlardan sunucuya eklenen her dosya" listesi
  • Herhangi bir SSH anahtarının genel ve özel anahtarları
  • Düz metin şifresini içeren bir kullanıcı şifresini her değiştirdiğinde kendisine gönderilen bir e-posta

LDAP kimlik doğrulaması ile Red Hat Linux 5/6 ve CentOS 5 kutularını kullanıyoruz.

Bildiğim kadarıyla, bu listedeki her şey ya imkansızdır ya da elde edilmesi inanılmaz derecede zordur, ancak bu bilgiyi vermezsek, ödeme platformumuza erişimimizi kaybetme riskiyle karşı karşıya kalacağız. yeni servis Bu bilgiyi nasıl çözebileceğime veya taklit edebileceğime dair herhangi bir öneriniz var mı?

Tüm düz metin şifrelerini almayı düşünebilmemin tek yolu, herkesin şifresini sıfırlamasını ve neyi ayarladıklarını not etmesini sağlamaktır. Bu, son altı aydaki parola değişikliklerinin problemini çözmez, çünkü bu tür dosyaları geriye dönük olarak kaydedemiyorum, aynı tüm uzak dosyaları günlüğe kaydetmek için de geçerli.

Sadece birkaç kullanıcı ve bilgisayarımız olduğundan, tüm kamu ve özel SSH anahtarlarının alınması (can sıkıcı olsa da) mümkündür. Bunu yapmanın daha kolay bir yolunu kaçırmadıkça?

Ona defalarca sorduğu şeylerin imkansız olduğunu açıkladım. Kaygılarıma yanıt olarak şu e-posta ile yanıt verdi:

Güvenlik denetiminde 10 yılı aşkın tecrübem var.   Redhat güvenlik yöntemlerinin anlaşılması, bu yüzden kontrol etmenizi öneririm   gerçekler nedir ve mümkün değildir. Hiçbir şirketin yapamadığını söylüyorsun   muhtemelen bu bilgiye sahiptim ama yüzlerce denetim gerçekleştirdim   bu bilgi hazır bulundu. Tüm [jenerik kredi   kart işleme sağlayıcısı] müşterilerin yeni ile uyumlu olması gerekmektedir   Güvenlik politikaları ve bu denetim, bu politikaları sağlamayı amaçlamaktadır.   * doğru şekilde uygulandı.

* “Yeni güvenlik politikaları”, denetimden iki hafta önce uygulamaya konuldu ve politika değişmeden önce altı aylık tarihsel kayıtlara gerek duyulmadı.

Kısacası, ihtiyacım var;

  • Altı aylık bir şifreyi "sahte" hale getirmenin bir yolu değiştirir ve geçerli görünmesini sağlar
  • Gelen dosya aktarımlarının altı ayını "sahte" hale getirmenin bir yolu
  • Kullanılan tüm SSH kamu ve özel anahtarlarının toplanması için kolay bir yol

Güvenlik denetiminde başarısız olursak, kart işleme platformumuza (sistemimizin kritik bir parçası) erişimi kaybeder ve başka bir yere taşınması iki hafta sürebilir. Ne kadar berbatım?

1. Güncelleme (Sat 23)

Tüm cevaplarınız için teşekkür ederim, bunun standart uygulama olmadığını bilmek beni çok rahatlatıyor.

Şu anda durumu açıklayan e-posta yanıtımı planlıyorum. Birçoğunuzun belirttiği gibi, düz metin şifrelerine erişmenin herhangi bir yolunun olmaması gerektiğini açıkça belirten PCI ile uyumlu olmalıyız. Yazmayı bitirdiğimde e-postayı yayınlayacağım. Ne yazık ki sadece bizi test ettiğini düşünmüyorum; Bu şeyler şirketin resmi güvenlik politikasında şimdi. Bununla birlikte, tekerlekleri hareket halindeyken kendisinden ve PayPal'a taşımak için harekete geçirdim.

Güncelleme 2 (Sat 23)

Bu, hazırladığım e-posta adresi, ekleme / kaldırma / değişiklik yapma önerileridir.

Merhaba [isim],

Ne yazık ki, size bir miktar vermemizin bir yolu yok.   talep edilen bilgilerin, çoğunlukla düz metin şifreleri, şifre   geçmiş, SSH anahtarları ve uzak dosya günlükleri. Sadece bu şeyler değil   teknik olarak imkansız, ama aynı zamanda bunu sağlayabilmek   bilgi hem PCI Standartlarına karşı hem de   veri koruma Yasası.
  PCI gereksinimlerini belirtmek için,

8.4 İletim ve saklama sırasında okunamayan tüm şifreleri gösterme   güçlü kriptografi kullanan tüm sistem bileşenleri.

Sana sağlayabilirim   Sistemimizde kullanılan kullanıcı adı ve şifreli şifreler listesi ile   SSH genel anahtarlarının ve yetkili ana bilgisayar dosyasının kopyaları (Bu   benzersiz kullanıcıların sayısını belirlemek için yeterli bilgi verin   sunucularımıza ve kullanılan şifreleme yöntemlerine bağlanabilir),   şifre güvenliği gereksinimleri ve LDAP'miz hakkında bilgi   sunucu ancak bu bilgiler siteden alınmayabilir. Ben şiddetle   Hiçbir şekilde mevcut olmadığından denetim gereksinimlerinizi incelemenizi öneririz   Bizim için bu denetlemeyi PCI ve   Veri koruma Yasası.

Saygılarımızla,
  [ben mi]

Şirketin CTO'sunda ve hesap yöneticimizde CC'ing olacağım ve CTO'nun bu bilgilerin mevcut olmadığını doğrulayabileceğini umuyorum. Ayrıca bizden ne istediğini açıklamak için PCI Güvenlik Standartları Konseyi ile irtibat kuracağım.

3. Güncelleme (26.)

İşte değiş tokuş yaptığımız bazı e-postalar;

RE: ilk e-posta adresim;

Açıklandığı gibi, bu bilgi herhangi bir kuyuda kolayca bulunmalıdır.   herhangi bir yetkili yöneticiye sistem sağladı. Olmamanız   Bu bilgiyi sağlayabilmenin farkında olduğunuzu düşünmeme sebep olur.   Sisteminizdeki güvenlik kusurları ve bunları açığa çıkarmaya hazır değilsiniz. bizim   Talepler PCI yönergelerine uymaktadır ve her ikisi de karşılanabilir. kuvvetli   kriptografi, yalnızca kullanıcı şifrelerinin şifrelenmesi gerektiği anlamına gelir   onları giriyor ama sonra kurtarılabilir bir formatta taşınmaları gerekiyor   Daha sonra kullanmak için.

Bu talepler için veri koruma sorunları görmüyorum, sadece veri koruması   Tüketiciler için değil, işletmeler için geçerlidir.   bilgi.

Sadece, ne, yapamam, hatta ...

"Güçlü şifreleme sadece şifrelerin şifrelenmesi gerektiği anlamına gelir.   kullanıcı onları giriyor ama sonra bir   Daha sonra kullanmak için geri kazanılabilir format. "

Bunu çerçevelemek ve duvarımın üzerine koyacağım.

Diplomatik olmaktan bıktım ve ona aldığım yanıtı göstermek için onu bu konuya yönlendirdim:

Bu bilgilerin sağlanması DOĞRUDAN çeşitli gerekliliklerle çelişir   PCI yönergelerinin Aldığım bölüm bile söyledi storage   (Verileri diske nerede sakladığımızı ima eder). Başladım   ServerFault.com hakkında tartışma (sys-admin için çevrimiçi bir topluluk   tüm bunlar bunu öneren büyük bir tepki oluşturdu.   bilgi sağlanamaz. Kendinizi okumaktan çekinmeyin

https & kolon // serverfault.com / sorular / 293217 /

Sistemimiz üzerinde yeni bir platforma taşınmayı bitirdik ve   Bir sonraki gün içinde hesabımızı iptal etmek istiyorum ama istiyorum   Bu isteklerin ne kadar saçma olduğunu ve hiçbir şirketin olmadığını fark edersiniz.   PCI yönergelerini doğru bir şekilde uygulayabilmek,   Bu bilgiyi sağlayın. Tekrar düşünmeni tavsiye ederim.   müşterilerinizin hiçbiri gibi güvenlik gereksinimleri olmalıdır   buna uy.

(Onu gerçekten unutmuştum, ona bir aptal adını verdim, ama bahsettiğim gibi zaten platformlarından uzaklaştık, böylece gerçek bir kayıp yok.)

Ve cevabında, görünüşe göre, hiçbiriniz neden bahsettiğinizi bilmiyorsunuz:

Bu cevaplardan ve orijinal gönderilerinden detaylı olarak okudum.   Cevap verenlerin hepsinin gerçeklerini doğru olarak alması gerekir. Bende var   Sektör, bu sitedeki herkesten daha uzun, kullanıcı listesi alıyor   hesap şifreleri inanılmaz derecede basit, ilklerden biri olmalı   Sisteminizi nasıl güvenceye alacağınızı öğrenirken yaptığınız ve gerekli olan şeyler   herhangi bir güvenli sunucunun çalışması için. Eğer gerçekten yoksundur   Bu kadar basit bir şey yapmak için gerekli becerilere sahip olamayacağınızı varsayalım   Sunucularınızı kurtarabilen PCI'lar   bilgi yazılımın temel gereksinimidir. İle uğraşırken   güvenlik gibi bir şey bu soruları sormamalısınız   nasıl çalıştığına dair temel bir bilginiz yoksa bir kamu forumu.

Ayrıca, beni ifşa etme teşebbüsünü önermek isterim, ya da   [şirket adı] hakaret ve uygun yasal işlem olarak kabul edilecektir   alınacak

Onları özlediyseniz anahtar aptal noktaları:

  • Oradaki herhangi birinden daha uzun bir güvenlik denetçisi oldu (Ya tahmin ediyor ya da seni takip ediyor)
  • UNIX sisteminde parolaların bir listesini alabilmek, 'temel'
  • PCI şimdi yazılımdır
  • Güvenlikten emin olmadıklarında, kullanıcılar forumları kullanmamalıdır
  • Fiili bilgileri (e-posta kanıtı olan) online yazmak hakarettir

Mükemmel.

PCI SSC, ona ve şirkete cevap verdi ve araştırıyor. Yazılımımız artık PayPal'a taşındı, bu yüzden güvenli olduğunu biliyoruz. İlk önce PCI’nın bana geri dönmesini bekleyeceğim ama bu güvenlik uygulamalarını dahili olarak kullanmış olabileceklerinden endişeleniyorum. Eğer öyleyse, bizim kart işlemenin onlar üzerinden geçtiği için bizim için büyük bir endişe olduğunu düşünüyorum. Bunu dahili olarak yapıyorlarsa, yapılacak tek sorumlu şeyin müşterilerimizi bilgilendirmek olduğunu düşünüyorum.

PCI, tüm şirket ve sistemi araştırmanın ne kadar kötü olduğunu anladığını umuyorum ama emin değilim.

Şimdi kendi platformlarından uzaklaştık ve PCI'nin bana dönmesinden en az birkaç gün sonra, onu biraz troll etmek için herhangi bir öneride bulunacağını düşünüyoruz? =)

Bir keresinde yasal adamdan izin aldım (bunun herhangi birinden gerçekten hakaret ettiğinden şüphe duyuyorum ama çifte kontrol etmek istedim) Şirketin adını, adını ve e-postasını yayınlayacağım ve eğer isterseniz onunla iletişime geçip Linux güvenliğinin temellerini neden tüm LDAP kullanıcı şifrelerinin bir listesini alacağınız gibi anlamıyorsunuz.

Küçük güncelleme:

Benim "yasal adam", şirketin ortaya çıkmasından daha fazla sorun yaratacağını ortaya çıkardı. Yine de, bu büyük bir sağlayıcı değil, bu hizmeti kullanarak daha az 100 müşteriye sahip olduğunu söyleyebilirim. Site başlangıçta küçük bir VPS üzerinde çalışırken ve kullanmaya başladıkça kullanmaya başladık ve biz de PCI elde etme gayretini (Biz, PayPal Standard gibi önyüzlerine yöneldik) tüm çabalarını gözden geçirmek istemedik. Ancak doğrudan işlemci kartlarına geçtiğimizde (PCI ve sağduyu dahil olmak üzere), dev'ler aynı şirketi sadece farklı bir API kullanmaya devam etmeye karar verdiler. Şirket İngiltere'nin Birmingham bölgesinde bulunuyor, bu yüzden buradaki herkesin bundan etkileneceğinden şüpheleniyorum.


2255
2017-07-22 22:44


Menşei


Ona bilgi vermek için iki haftanız var ve kredi kartlarını işleyebilecek başka bir yere taşınmak iki hafta sürüyor. Rahatsız etme - şimdi hareket etme ve denetimi terk etme kararını ver. - Scrivener
Lütfen, bununla ilgili olarak bizi güncelleyin. Denetçinin nasıl spanked olduğunu görmek için destekledim. =) Eğer sizi tanıyorsam, profilimde adresime e-posta gönderin. - Wesley
Gerçekten bu kadar aptalca olup olmadığını görmek için seni test ediyor olmalı. Sağ? Umarım... - Joe Phillips
Denetlenen diğer şirketler için bazı referanslar bilmek istiyorum. Eğer kim olduğunu bilmek başka bir sebepten ötürü önlemek. Düz metin şifreleri ... gerçekten? Bu adamın siyah şapka ve sosyal mühendislik aptal firmalarının aylarca kullanıcı şifrelerini teslim etmediğinden emin misin? Çünkü onunla bunu yapan şirketler varsa, bu sadece anahtarları teslim etmenin en iyi yolu ... - Bart Silverstrim
Yeterince gelişmiş herhangi bir yetersizlik, kötülükten ayırt edilemez - Jeremy French


Cevaplar:


İlk olarak, teslim etmeyin. O sadece bir salak değil aynı zamanda TEHLİKELİ yanlıştır. Aslında bu bilgiyi serbest bırakırdı ihlal etmek PCI standardı (bu, denetimi üstlendiğim şey, bir ödeme işlemcisi olduğu için) ve diğer tüm standartlarla birlikte ve sadece sağduyu duygusuyla. Ayrıca, şirketinizi her türlü borçlara maruz bırakacaktır.

Yapacağım bir sonraki şey de patronunuza, bu eylemle devam ederek şirketin karşı karşıya kalacağı yasal riski belirlemek için şirket danışmanı alması gerektiğini söyleyen bir e-posta göndermektir.

Bu son bit sana kalmış ama ben bu bilgi ile VISA ile iletişime geçerek PCI denetçi statüsünün çekilmesini sağladı.


1172
2017-07-22 23:27



Beni ona yendin! Bu yasadışı bir istek. İşlemcinin isteğini denetlemek için bir PCI QSA alın. Onu telefonla ara. Vagonları çevirin. "Silahlar için şarj edin!" - Wesley
"PCI denetçi statüsünün alınmasını sağladı" Bunun ne anlama geldiğini bilmiyorum ... ama bu palyaçinin sahip olduğu herhangi bir yetki (denetçi) açık bir şekilde bir kraker krikosu kutusundan geldi ve iptal edilmeye ihtiyacı var. +1 - WernerCD
Bu, bu adamın aslında meşru bir denetçi olduğunu varsayıyor ... bana çok şüpheli geliyor. - Reid
Katılıyorum -- suspicious auditorya da bu şeylerden herhangi birini yapacak kadar aptal olup olmadığınızı gören meşru bir denetçi. Bu bilgiye neden ihtiyaç duyduğunu sorun. Sadece düz metin olmamalı, ancak tek yönlü şifreleme (hash) arkasında olması gereken şifreyi düşünün. Belki de bazı meşru nedenleri vardır, ancak tüm "deneyimi" ile gerekli bilgileri almanıza yardımcı olmalıdır. - vol7ron
Bu neden tehlikeli? Tüm düz metin şifrelerinin bir listesi - hiçbiri olmamalıdır. Liste boş değilse geçerli bir puanı vardır. Aynı msot şeyler için devam ediyor. Eğer onlara sahip değilseniz, çünkü orada değiller. Uzak dosyalar eklendi - bu, denetimin bir parçası. Bilmiyorum - bilen bir sisteme koymaya başlayın. - TomTom


Denetim prosedüründen geçen bir kişi olarak Fiyat Waterhouse Coopers gizli bir hükümet sözleşmesi için, sizi temin ederim, bu tamamen sorudan ibaret ve bu adam çıldırmış.

PwC şifre gücümüzü kontrol etmek istediğinde:

  • Şifre gücü algoritmalarımızı görmek istedim
  • Kötü şifreleri inkar edip etmediklerini kontrol etmek için test birimlerimizi algoritmalarımıza göre değiştirin
  • Şifreleme algoritmalarımızı, sistemin her yönüne tam erişimi olan biri tarafından bile tersine çevrilemediklerini veya şifrelenemediklerini (gökkuşağı tablolarıyla bile) güvence altına almaları istenmiştir.
  • Yeniden kullanılamadıklarından emin olmak için önceki şifrelerin önbelleğe alındığını kontrol etti.
  • Sosyal mühendislik mühendisliği tekniklerini (xss ve 0 günlük olmayan istismarlar gibi) kullanarak ağa ve ilgili sistemlere girmeye çalıştıkları için izin verdiler.

Kullanıcıların şifrelerinin son 6 ay boyunca ne olduğunu gösterebileceğimi bile ima ettiysem, bizi sözleşmeden hemen çıkarırlardı.

Eğer o mümkün oldu Bu gereksinimleri sağlamak için anında başarısız sahip olduğumuz her bir denetim.


Güncelleme: Yanıt e-postanız iyi görünüyor. Yazabileceğim her şeyden çok daha profesyonel.


814
2017-07-23 02:34



+1. CEVAP VERİLMEMESİ GEREKEN SORUMLU SORUNLAR gibi görünüyor. Onlara cevap verebiliyorsanız, elinizde bir güvenlik sorunu var. - TomTom
even by rainbow tables bu, NTLM'yi göz ardı etmiyor mu? Demek istediğim, bu tuzsuz değil ... AFAICR MIT Kerberos aktif şifreleri şifrelemedi ya da yok etti, mevcut durumun ne olduğunu bilmiyor - Hubert Kario
@Hubert - pass-through kimlik doğrulama yöntemleri yasaklandı ve hizmet zaten etkin dizine entegre edilmediğinden NTLM veya Kerberos kullanmıyorduk. Aksi takdirde, onlara algoritmalarımızı da gösteremedik. Bahsetmiş olmalı - bu uygulama düzeyinde güvenlik, bir OS seviyesinde denetim değil. - Mark Henderson♦
@tandu - sınıflandırma seviyesi için belirtilen özellikler budur. İnsanların son kullanımlarını tekrar kullanmasını önlemek de oldukça yaygındır. n Parolalar, çünkü yalnızca iki veya üç yaygın olarak kullanılan parola ile sadece bisiklete binmeyi engeller, ki bu da aynı ortak parolayı kullanmak kadar güvensizdir. - Mark Henderson♦
@Slartibartfast: fakat parolanın düz metnini bilmek demek, saldırganın veritabanına da girip her şeyi düz bir şekilde ele geçirebileceği anlamına gelir. Benzer şifreyi kullanmaya karşı koruma için, kullanıcı şifre değiştirmeye çalışırken istemci tarafında javascript ile yapılabilir, eski şifreyi sorun ve yeni şifreyi sunucuya göndermeden önce eski şifre ile benzerlik karşılaştırması yapın. Verilmiş, sadece 1 son şifrenin yeniden kullanılmasını engelleyebilir, ancak IMO şifresinin düz metin içinde saklanma riski çok daha fazladır. - Lie Ryan


Dürüst olmak gerekirse, bu adam (denetçi) seni kuruyor gibi görünüyor. Ona istediği bilgiyi verirseniz, ona eleştirel iç bilgilerden vazgeçmek için sosyal olarak tasarlanabileceğini kanıtladınız. Başarısız.


440
2017-07-22 23:40



ayrıca, authorize.net gibi bir üçüncü taraf ödeme işlemcisini düşündünüz mü? Çalıştığım firma çok büyük miktarlarda kredi kartı işlemleri yapıyor. müşteri ödeme bilgilerinin herhangi birini saklamak zorunda değiliz - authorize.net bunu yönetir - böylece sistemlerimizi karmaşıklaştırmak için hiçbir denetim yoktur. - anastrophe
Bu tam olarak düşündüğüm şeydi. Sosyal mühendislik muhtemelen bu bilgiyi elde etmenin en kolay yoludur ve bence o boşlukları test ediyor. Bu adam ya çok zeki ya da çok aptal - Joe Phillips
Bu pozisyon en azından en makul ilk adımdır. Ona herhangi bir şey yaparak yasaları / kuralları / her şeyi kırdığınızı söyleyin, ama onun suçunu takdir ettiğiniz için. - michael
Aptal soru: bu durumda “ayarlanmak” kabul edilebilir mi? Ortak mantık bana bir denetim sürecinin “hileler” yapılmaması gerektiğini söyler. - Agos
@Agos: Birkaç yıl önce denetim yapmak için bir ajans kiralayan bir yerde çalıştım. Denetimin bir kısmı, şirkette rastgele kişileri aramakla "<CIO>, sizi aramamı ve giriş bilgilerinizi almamı istedi, böylece bir şeyler yapabilirim." Sadece kimlik bilgilerini vermeyeceğinizi görmeyi kontrol etmediler, aynı zamanda onlara bir kez kestiğinizde hemen <CIO> veya <Güvenlik Yöneticisi> 'yi aramalı ve değişimi bildirmelisiniz. - Toby


Sadece Birleşik Krallık'ta olduğunuzu fark ettim, yani senden istediği şey kanunu çiğnemektir (aslında Veri Koruma Yasası). Ben de İngiltere'deyim, ağır denetlenmiş büyük bir şirkette çalışıyorum ve bu alandaki yasaları ve ortak uygulamaları biliyorum. Ben de sadece bu eğlencenin tadını çıkarırsan, yardım etmeyi istersen bana haber ver.


335
2017-07-23 07:01



Bu sunucularda herhangi bir kişisel bilginin olduğunu varsayarsak, bu düzgünsüzlük düzeyine sahip bir kişiye düz metinde erişim için kimlik bilgilerinin tümünü / tümünü teslim etmenin İlke 7'nin açık bir ihlali olacağını düşünüyorum ... ("Uygun teknik ve kurumsal önlemler" Kişisel verilerin yetkisiz veya yasa dışı işlenmesine karşı ve kişisel verilerin kazayla kaybedilmesi veya tahrip edilmesine veya tahrip edilmesine karşı alınacaktır. ") - Stephen Veiss
Bunun adil bir varsayım olduğunu düşünüyorum - ödeme bilgilerini saklıyorsanız, muhtemelen kullanıcılarınız için iletişim bilgilerini de saklıyorsunuzdur. Eğer OP'in pozisyonunda olsaydım, “politika ve sözleşmeden doğan yükümlülükleri sadece [PCI'ye uymak için] bozmakla kalmaz, aynı zamanda yasadışıdır” politikasından ve PCI'den bahsetmekten de daha güçlü bir argüman olarak. . - Stephen Veiss
@Jimmy neden bir şifre kişisel veri olmamalı? - robertc
@Richard, bunun bir mecaz hakkı olduğunu biliyor musun? - Chopper3
@ Chopper3 Evet, hala uygunsuz olduğunu düşünüyorum. Ayrıca, ben AviD'ye karşıyım. - Richard Gadsden


Sosyal olarak tasarlanmışsın. Ya sana 'test edelim' ya da onun korsanı denetçi olarak poz vermek için çok faydalı veriler elde etmek.


271
2017-07-23 09:20



Neden bu en iyi cevap değil? Toplumla ilgili bir şey mi var, sosyal mühendisliğin kolaylığı mı yoksa temel bir şeyi mi özlüyorum? - Paul
asla cehalete atfedilebilecek malice'e atıfta bulunma - aldrinleal
Denetçinin bir profesyonel olduğunu iddia ettiği zaman, tüm bu istekleri cehaletle ilişkilendirmek, hayal gücünü biraz daraltır. - Thomas K
Bu teori ile ilgili problem şudur: “onun için düşmüş” veya “testi başarısız” olsa bile could ona bilgi ver çünkü imkansız..... - eds
Benim en iyi tahminim de 'ciddi sosyal mühendislik' (yeni Kevin Mitnick kitabının yakında çıkması bir tesadüf mü?), Bu durumda ödeme firmanız şaşıracak (bu 'denetim' hakkında daha önce bunları kontrol ettiniz mi?) . Diğer bir seçenek ise, blöf yapmayı deneyen ve şimdi kendisini daha derin, daha derin ve daha derinlerde kazmaya çalışan hiçbir linux bilgisi olmayan bir çaylak denetçisidir. - Koos van den Hout


OP'lerin etik problem çözme becerilerinin eksikliğinden ciddi olarak endişeliyim ve Sunucu hata topluluğu, bu açık ahlaki davranış ihlalini göz ardı ediyor.

Kısacası, ihtiyacım var;

  • Altı aylık bir şifre değerinin 'sahte' olması ve geçerli görünmesini sağlamak için bir yol
  • Gelen dosya aktarımlarından altı ay sonra 'sahte' olmanın bir yolu

İki noktada açık olalım:

  1. Normal iş akışı sırasında verileri tahrif etmek asla uygun değildir.
  2. Bu tür bilgileri asla kimseye açıklamamalısınız. Hiç.

Kayıtları tahrif etmek senin işin değil. Gerekli kayıtların kullanılabilir, doğru ve güvenli olduğundan emin olmak sizin işinizdir.

Sunucu Hatası'ndaki topluluk şart stackoverflow sitesi "ev ödevi" sorularını ele aldığı için bu tür soruları ele alın. Bu sorunları yalnızca teknik bir yanıtla ele alamazsınız veya etik sorumluluğun ihlali göz ardı edemezsiniz.

Bu konuya bu kadar çok sayıda yüksek-rep kullanıcısı yanıt veriyor ve sorunun etik anlamlarından hiç bahsetmemek beni üzüyor.

Herkesi okumaya teşvik ederim SAGE Sistem Yöneticilerinin Etik Kuralları. 

BTW, güvenlik denetmeniniz bir aptaldır, ancak bu, işinizde etik olmayan bir baskı hissetmeniz gerektiği anlamına gelmez.

Düzenleme: Güncellemeleriniz paha biçilemez. Başınızı aşağı, tozunuzu kuru tutun ve herhangi bir ahşap nikel almayın (veya vermeyin).


266
2017-07-24 20:05



Katılmıyorum. "Denetçi", OP'yi örgütün tüm IT güvenliğini zayıflatacak olan açıklamalara zorluyordu. Hiçbir koşul altında OP bu kayıtları üretmeli ve bunları kimseye vermemelidir. OP sahte kayıtlar olmamalıdır; Sahte oldukları kolayca görülebilir. OP, denetçilerin niçin kötü niyetli niyetler ya da tam bir yetersizlik (düz metin içinde e-posta parolaları) yoluyla bir tehdit oluşturduğunu daha yüksek seviyelere açıklamalıdır. OP, güvenlik denetçisinin derhal feshedilmesini ve eski denetçinin diğer faaliyetlerine ilişkin tam bir soruşturmayı tavsiye etmelidir. - dr jimbob
dr jimbob, sanırım şu noktayı kaçırıyorsunuz: "OP sahte kayıt olmamalı, kolayca sahte görülebilir." Veriler, yalnızca gerçek verilerden ayırt edilemediğinde verileri tahrif etmesi gerektiğini öne sürdüğünüz gibi hala etik olmayan bir konumdur. Yanlış veri göndermek etik değildir. Kullanıcılarınızın şifrelerini üçüncü bir tarafa göndermek ihmalkardır. Bu yüzden bu durum hakkında bir şeyler yapılması gerektiğine katılıyoruz. Bu problemin çözümünde eleştirel etik düşüncenin eksikliğine dair yorum yapıyorum. - Joseph Kern
"Bu kayıtların kullanılabilir, doğru ve güvenli olduğundan emin olmak sizin işinizdir" ile aynı fikirde değilim. Sisteminizi güvende tutma yükümlülüğünüz var; sistemden ödün vermedikleri takdirde makul olmayan istekler (mağaza ve paylaşımlı metin şifreleri gibi) yapılmamalıdır. Plaintext şifrelerinin saklanması, kaydedilmesi ve paylaşılması, kullanıcılarınızla büyük bir güvensizliktir. Büyük bir kırmızı bayrak güvenlik tehdidi. Güvenlik denetimi, düz metin şifreleri / ssh özel anahtarlarını göstermeden yapılabilir ve yapılmalıdır; ve üst düzey kullanıcıların sorunu tanımasına ve çözmesine izin vermelisiniz. - dr jimbob
dr jimbob, gece geçerken iki gemi olduğumuzu hissediyorum. Söylediğin her şeye katılıyorum; Bu noktaları açıkça belirtmemeliydim. Yukarıdaki ilk yanıtımı gözden geçireceğim. İplik bağlamında çok fazla güveniyordum. - Joseph Kern
@Joseph Kern, OP'yi kendinizle aynı şekilde okumamıştım. Asla tuttuğumuz altı aylık verileri nasıl üretebilirim. Kuşkusuz, kabul ediyorum ki, bu şartı yerine getirmeye çalışmanın çoğu yolu hileli olacaktır. Ancak, şifre veritabanımı almam ve son 6 aydaki zaman damgasını çıkarmama rağmen, hangi değişikliklerin hala korunabileceğine dair bir kayıt oluşturabiliyordum. Bazı veriler kaybolarak verileri "taklit etme" olarak görüyorum. - user179700


Ona ne istediğini veremezsin ve "sahte" olmaya çalışırsa ... ... seni kıçından ısırmaya geri gelebilir (muhtemelen yasal yollarla). Ya komuta zincirine itiraz etmeniz gerekiyor (bu denetçinin hileli gitmesine rağmen, güvenlik denetimleri kötü niyetli olsa da - bir AS / 400 üzerinden SMB'ye erişmek isteyen denetçi hakkında bana bilgi verin) veya cehenneme dönün. bu onorous gereksinimleri altında.

İyi bir güvenlik bile değil - tüm düz metin şifrelerinin bir listesi inanılmaz tehlikeli şey hiç onları korumak için kullanılan yöntemlere bakılmaksızın üretirler ve bahse girerim bu bloke onları düz metin halinde e-posta ile gönderir. (Eminim bunu zaten biliyorsun, sadece biraz havalandırmalıyım).

Pislik ve kıkırdaklar için, ona direktiflerini nasıl uygulayacağını doğrudan sor - nasıl olduğunu bilmediğini itiraf et, ve onun deneyimini kullanmak istiyor. Dışarı çıkıp gittikten sonra, "Güvenlik denetiminde 10 yılı aşkın tecrübem var" yanıtına "hayır, yüzlerce kez tekrarlanan 5 dakikalık deneyime sahip olursunuz" cevabını verir.


232
2017-07-22 23:00



... SMB aracılığıyla bir AS / 400'e erişmek isteyen bir denetçi? ... neden? - Bart Silverstrim
PCI uyumluluk şirketleri ile yaptığım çok fazla sıkıntı, battaniye ICMP filtrelemesine karşı çıkıyor ve sadece yankıyı engelliyor. ICMP çok iyi bir sebepten dolayı var, ancak 'senaryodan' denetçilerden çok sayıda çalışmayı açıklamak imkansız. - Twirrim
@BartSilverstrim Muhtemelen bir kontrol listesi denetimi vakası. Bir denetçi bir keresinde bana anlattı - Denetçi neden yoldan geçti? Çünkü geçen sene yaptılar. - Scott Pack
Yapılabilir olduğunu biliyorum, gerçek "WTF?" Denetçinin, SMB aracılığıyla bağlanabilmesi için makinenin SMB aracılığıyla saldırılara karşı savunmasız olduğunu düşündüğü gerçeğiydi ... - womble♦
"Yüzlerce kez tekrarlanan 5 dakikalık deneyime sahipsin" --- ooooh, bu doğrudan alıntı koleksiyonuma gidiyor! : D - Tasos Papastylianou


Artık düzeltmiş olduğunuz tarihsel bir problem bulursanız, denetçi sizi rahatsız etmemelidir. Aslında, bu iyi davranış kanıtıdır. Bununla aklımda iki şey öneriyorum:

a) Yalan söyleme ya da yapma. b) Politikalarınızı okuyun.

Benim için anahtar açıklama şu:

Tüm [genel kredi kartı işleme sağlayıcısı] müşterileri yeni güvenlik politikalarımıza uymak zorundadır.

Bahse girerim, bu politikalarda, parolaların yazılmayacağını ve kullanıcı dışındaki herhangi bir kişiye iletilemeyeceğini söyleyen bir ifade vardır. Varsa, o politikaları isteklerine uygulayın. Bunu böyle ele almayı öneriyorum:

  • Tüm sunuculardaki tüm kullanıcı hesapları için geçerli kullanıcı adları ve düz metin şifrelerinin listesi

Ona kullanıcı adları listesi gösterin, ancak bunların alınmasına izin vermeyin. Düz metin parolaları vermenin a) tek yönlü olduğundan ve b) size karşı denetlediği politikalara karşı imkansız olduğunu açıklayın, bu nedenle itaat etmeyeceksiniz.

  • Düz metin olarak son altı aydaki tüm şifre değişikliklerinin listesi

Bunun tarihsel olarak mevcut olmadığını açıklayın. Bu işlemin yapıldığını göstermek için ona yeni şifre değişikliği süreleri listesi verin. Yukarıdaki gibi, şifrelerin sağlanmayacağını açıklayın.

  • Son altı ayda "uzak cihazlardan sunucuya eklenen her dosya" listesi

Neyin kaydedildiğini ve olmadığını açıklayın. Ne yapabileceğini sağla. Hiçbir şeyi gizli tutmayın ve neden politikayla açıklamayın. Günlüğünüzün iyileştirilmesi gerekip gerekmediğini sorun.

  • Herhangi bir SSH anahtarının genel ve özel anahtarları

Anahtar yönetim politikanıza bakın. Özel anahtarların konteynırlarına girmesine izin verilmediğini ve katı erişim şartlarına sahip olduğunu belirtmelidir. Bu politikayı uygulayın ve erişime izin vermeyin. Ortak anahtarlar mutlu bir şekilde halka açıktır ve paylaşılabilir.

  • Düz metin şifresini içeren bir kullanıcı şifresini her değiştirdiğinde kendisine gönderilen bir e-posta

Sadece hayır de. Yerel bir güvenli günlük sunucunuz varsa, bunun situ olarak oturum açıldığını görmesine izin verin.

Temel olarak, ve bunu söylemekten dolayı özür dilerim, ama bu adamla hardball oynamak zorundasın. Politikanızı tam olarak izleyin, sapmayın. Yalan söyleme. Ve eğer politikada olmayan herhangi bir şey için sizi başarısız bırakırsa, onu gönderen şirketteki yaşlılarına şikayette bulunun. Makul olduğunuzu kanıtlamak için tüm bunları bir kağıt izi toplayın. Eğer politikanızı kırarsanız onun merhametinde olursunuz. Onları mektuba kadar takip ederseniz, görevden alınacak.


177
2017-07-23 10:15



Anlaşılan bu, bu çılgın gerçeklik gösterilerinden biri, araba serviscilerinin arabanızı uçurumdan ya da inanılmaz derecede inanılmaz bir şeye götürdüğü yerlerden biri. OP'e söylerim, özgeçmişinizi hazırlayın ve yukarıdaki eylemler sizin için çalışmazsa, bırakın. Bu açıkça gülünç ve korkunç bir durum. - Jonathan Watmough
Bu +1,000,000 kadar oy verebilseydim. Buradaki cevapların çoğu hemen hemen aynı şeyi söylüyor olsa da, bu çok daha kapsamlı. Harika iş, Jimmy! - Iszi


Evet, denetçi olduğu aptal. Ancak, bildiğiniz gibi, bazen aptallar güç pozisyonlarına yerleştirilir. Bu, o davalardan biri.

İstediği bilgi var sıfır Sistemin mevcut güvenliği üzerinde. Denetçiye, kimlik doğrulama için LDAP kullandığınızı ve şifrelerin tek yönlü bir hash kullanılarak saklandığını açıklayın. Şifre karmalarına karşı bir kaba kuvvet betiği yapmanın kısa bir süre (haftalarca sürebilir), parolaları sağlayamayacaksınız.

Benzer şekilde uzaktaki dosyalar - Duymak isterim, duymak istiyorum, doğrudan sunucu üzerinde oluşturulan dosyalar ile sunucuya SCP olan bir dosya arasında ayrım yapabilmeniz gerektiğini düşünüyor.

@Womble'ın dediği gibi, hiçbir şey yapmayın. Bu iyi olmaz. Ya bu denetimi iptal edin ve başka bir komisyoncuya danışın ya da bu "profesyonel" i, peynirinin krakerden çıkarıldığı konusunda ikna etmenin bir yolunu bulun.


134
2017-07-22 23:05



"... peyniri krakerinden kaçmış." Bu benim için yeni bir tane! - Collin Allen
"İstediği bilgi, sistemin mevcut güvenliği üzerinde sıfırdır." <- Aslında güvenlik konusunda çok şey taşıdığını söyleyebilirim. : P - Ishpeck
(which could take weeks (or years) Nerede olduğunu unuttum, ancak bu uygulamayı online olarak buldum, bu da şifrenizi zorlamak için ne kadar süreceğini tahmin ederdi. Tahmin ettiğim kaba kuvvet veya karma algoritmaların ne olduğunu bilmiyorum ama şifrelerin çoğu için 17 trilyon yıl gibi bir şey tahmin ediyordu ... :) - Carson Myers
@Carson: Parola gücünü tahmin etmek için bulduğum çevrimiçi uygulama farklı (ve muhtemelen daha doğru) bir yaklaşıma sahipti: her şifre için, "Parolanız güvensiz - sadece güvenilmeyen bir web sayfasına yazdınız!" - Jason Owen
@ Jason oh hayır, haklısın! - Carson Myers