Question Notre auditeur de sécurité est un idiot. Comment puis-je lui donner l'information qu'il veut?


Un auditeur de sécurité pour nos serveurs a demandé ce qui suit dans les deux semaines:

  • Une liste des noms d'utilisateur actuels et des mots de passe en texte brut pour tous les comptes d'utilisateurs sur tous les serveurs
  • Une liste de tous les changements de mot de passe des six derniers mois, toujours en texte clair
  • Une liste de "tous les fichiers ajoutés au serveur à partir d'appareils distants" au cours des six derniers mois
  • Les clés publiques et privées de toutes les clés SSH
  • Un email lui est envoyé chaque fois qu'un utilisateur change son mot de passe, contenant le mot de passe en texte brut

Nous utilisons les boîtes Red Hat Linux 5/6 et CentOS 5 avec authentification LDAP.

Autant que je sache, tout ce qui est sur cette liste est soit impossible, soit incroyablement difficile à obtenir, mais si je ne fournis pas ces informations, nous risquons de perdre l'accès à notre plateforme de paiement et de perdre des revenus au cours d'une période de transition. nouveau service. Des suggestions sur la façon dont je peux résoudre ou simuler cette information?

La seule façon pour moi d’obtenir tous les mots de passe en texte brut est d’amener tout le monde à réinitialiser son mot de passe et à noter sa configuration. Cela ne résout pas le problème des six derniers mois de changement de mot de passe, car je ne peux pas enregistrer ce type de données de manière rétroactive, il en va de même pour la journalisation de tous les fichiers distants.

Obtenir toutes les clés SSH publiques et privées est possible (bien que gênant), car nous ne disposons que de quelques utilisateurs et ordinateurs. À moins que j'ai raté un moyen plus facile de faire cela?

Je lui ai expliqué à maintes reprises que les choses qu'il demande sont impossibles. En réponse à mes préoccupations, il a répondu avec le courrier électronique suivant:

J'ai plus de 10 ans d'expérience en audit de sécurité et une expérience complète   compréhension des méthodes de sécurité redhat, je vous suggère donc de vérifier   vos faits sur ce qui est et n'est pas possible. Vous dites qu'aucune entreprise ne pourrait   peut-être avoir cette information, mais j'ai effectué des centaines d'audits   où cette information a été facilement disponible. Tous [crédit générique   fournisseur de traitement de cartes] les clients sont tenus de se conformer à notre nouveau   les politiques de sécurité et cet audit est destiné à assurer ces politiques   ont été implémentés * correctement.

* Les "nouvelles stratégies de sécurité" ont été introduites deux semaines avant notre audit et l'enregistrement historique de six mois n'était pas nécessaire avant les modifications de stratégie.

En bref, j'ai besoin de;

  • Un moyen de "simuler" six mois de modification du mot de passe et de lui donner un aspect valide
  • Une façon de "simuler" six mois de transferts de fichiers entrants
  • Un moyen facile de collecter toutes les clés publiques et privées SSH utilisées

Si nous échouons à l'audit de sécurité, nous perdons l'accès à notre plate-forme de traitement de cartes (élément essentiel de notre système) et il nous faudrait deux bonnes semaines pour nous déplacer ailleurs. Comment je suis foutu?

Mise à jour 1 (samedi 23)

Merci pour toutes vos réponses. Cela me soulage de savoir que ce n’est pas une pratique courante.

Je suis en train de préparer ma réponse par courrier électronique à lui expliquer la situation. Comme beaucoup d'entre vous l'ont souligné, nous devons nous conformer à la norme PCI qui stipule explicitement que nous ne devrions avoir aucun moyen d'accéder aux mots de passe en texte brut. Je posterai l'email quand j'aurai fini de l'écrire. Malheureusement, je ne pense pas qu'il nous teste seulement; ces choses sont dans la politique de sécurité officielle de l'entreprise. Cependant, j'ai mis les roues en mouvement pour m'éloigner d'eux et rejoindre PayPal pour le moment.

Mise à jour 2 (samedi 23)

Ceci est le courriel que j'ai rédigé, des suggestions pour des choses à ajouter / supprimer / changer?

Bonjour [nom],

Malheureusement, il n’ya aucun moyen pour nous de vous fournir des   des informations demandées, principalement des mots de passe en clair, mot de passe   historique, clés SSH et journaux de fichiers distants. Non seulement ces choses sont   techniquement impossible, mais aussi capable de fournir cette   informations seraient à la fois contraires aux normes PCI et constitueraient une violation du   Loi de protection des données.
  Pour citer les exigences PCI,

8.4 Rendre tous les mots de passe illisibles pendant la transmission et le stockage sur   tous les composants du système utilisant une cryptographie forte.

Je peux vous fournir   avec une liste de noms d'utilisateur et de mots de passe hachés utilisés sur notre système,   copies du fichier de clés publiques SSH et d’hôtes autorisés (cela   vous donner suffisamment d'informations pour déterminer le nombre d'utilisateurs uniques   peut se connecter à nos serveurs, et les méthodes de cryptage utilisées),   informations sur nos exigences en matière de sécurité par mot de passe et notre protocole LDAP   serveur, mais ces informations ne peuvent pas être retirées du site. Je fortement   vous suggère de revoir vos exigences en matière de vérification, car il n’existe actuellement aucun moyen   pour nous de passer cet audit tout en restant en conformité avec PCI et la   Loi de protection des données.

Cordialement,
  [moi]

Je ferai du CC dans le CTO de la société et notre responsable de compte, et j'espère que le CTO pourra confirmer que ces informations ne sont pas disponibles. Je contacterai également le Conseil des normes de sécurité PCI pour expliquer ce qu'il nous demande.

Mise à jour 3 (26ème)

Voici quelques courriels que nous avons échangés.

RE: mon premier email;

Comme expliqué, cette information devrait être facilement disponible sur tout puits   système mis à jour à tout administrateur compétent. Votre échec à être   capable de fournir cette information me porte à croire que vous êtes au courant   failles de sécurité dans votre système et ne sont pas prêts à les révéler. Notre   les demandes s'alignent sur les directives PCI et les deux peuvent être satisfaites. Fort   cryptographie signifie seulement que les mots de passe doivent être cryptés pendant que l'utilisateur   est les entrer, mais alors ils devraient être déplacés vers un format récupérable   pour une utilisation ultérieure.

Je ne vois aucun problème de protection des données pour ces demandes, protection des données uniquement   s’applique aux consommateurs et non aux entreprises, il ne devrait donc y avoir aucun problème avec cette   information.

Juste, quoi, je ne peux même pas ...

"Une cryptographie forte signifie uniquement que les mots de passe doivent être cryptés   l'utilisateur les saisit, mais alors ils doivent être déplacés vers un   format récupérable pour une utilisation ultérieure. "

Je vais l'encadrer et le mettre sur mon mur.

J'en avais marre d'être diplomate et l'ai dirigé vers ce fil pour lui montrer la réponse que j'ai obtenue:

Fournir cette information contredit directement plusieurs exigences   des directives PCI. La section que j'ai citée dit même storage   (Cela implique que nous stockions les données sur le disque). J'ai commencé un   discussion sur ServerFault.com (une communauté en ligne pour sys-admin   professionnels) qui a suscité une énorme réaction, ce qui suggère   les informations ne peuvent pas être fournies. N'hésitez pas à lire par vous-même

https et deux points // serverfault.com / questions / 293217 /

Nous avons fini de passer de notre système à une nouvelle plate-forme et serons   annuler notre compte avec vous dans le lendemain ou alors mais je veux   vous réalisez à quel point ces demandes sont ridicules, et aucune entreprise   mise en œuvre correcte des directives PCI pourra, ou devrait, pouvoir   fournir cette information. Je vous suggère fortement de repenser votre   exigences de sécurité, car aucun de vos clients ne devrait pouvoir   se conformer à cela.

(J'avais en fait oublié que je l'avais traité d'idiot dans le titre, mais comme nous l'avions mentionné, nous nous étions déjà éloignés de leur plateforme, donc aucune perte réelle.)

Et dans sa réponse, il déclare qu’apparemment, aucun d’entre vous ne sait de quoi vous parlez:

J'ai lu en détail ces réponses et votre message original, le   les intervenants ont tous besoin de vérifier leurs faits. J'ai été dans cette   l'industrie plus longtemps que quiconque sur ce site, obtenir une liste d'utilisateurs   les mots de passe des comptes est incroyablement basique, il devrait être l’un des premiers   Ce que vous faites lorsque vous apprenez à sécuriser votre système est essentiel.   au fonctionnement de tout serveur sécurisé. Si vous manquez vraiment le   compétences pour faire quelque chose d'aussi simple, je vais supposer que vous n'avez pas   PCI installé sur vos serveurs comme pouvant le récupérer   les informations sont une exigence de base du logiciel. En traitant avec   quelque chose comme la sécurité, vous ne devriez pas poser ces questions sur   un forum public si vous n'avez aucune connaissance de base sur la façon dont cela fonctionne.

Je voudrais aussi suggérer que toute tentative de me révéler, ou   [nom de l'entreprise] sera considéré comme une diffamation et une action judiciaire appropriée   seront prises

Points clés idiots si vous les avez manqués:

  • Il est auditeur de sécurité depuis plus longtemps que tout le monde ici (il devine ou vous traque)
  • Être capable d'obtenir une liste de mots de passe sur un système UNIX est «basique»
  • PCI est maintenant un logiciel
  • Les gens ne devraient pas utiliser les forums quand ils ne sont pas sûrs de la sécurité
  • Poser des informations factuelles (pour lesquelles j'ai une preuve électronique) en ligne est une diffamation

Excellent.

PCI SSC a répondu et enquête sur lui et sur la société. Notre logiciel a maintenant été transféré sur PayPal, nous savons donc qu'il est sécurisé. J'attendrai que PCI me contacte d'abord, mais je crains un peu qu'ils utilisent peut-être ces pratiques de sécurité en interne. Si c'est le cas, je pense que c'est une préoccupation majeure pour nous, car tous les processus de traitement de nos cartes les ont traitées. S'ils le faisaient en interne, je pense que la seule chose responsable à faire serait d'informer nos clients.

J'espère que lorsque PCI réalisera à quel point il est difficile d'enquêter sur l'ensemble de l'entreprise et du système, je ne suis pas sûr.

Alors maintenant, nous nous sommes éloignés de leur plate-forme, et en supposant que ce soit au moins quelques jours avant que PCI ne me revienne, des suggestions inventives sur la façon de le suivre un peu? =)

Une fois que mon avocat aura obtenu l'autorisation (je doute fort que tout cela soit en réalité une diffamation, mais je voulais vérifier). Je publierai le nom de l'entreprise, son nom et son adresse électronique. Si vous le souhaitez, vous pouvez le contacter pour lui expliquer. pourquoi vous ne comprenez pas les bases de la sécurité Linux, comme obtenir une liste de tous les mots de passe des utilisateurs LDAP.

Petite mise à jour:

Mon "type juridique" a suggéré de révéler que la société causerait probablement plus de problèmes que nécessaire. Je peux cependant dire que ce n’est pas un fournisseur majeur, ils ont moins de 100 clients utilisant ce service. Nous avons commencé à les utiliser quand le site était très petit et fonctionnait sous un petit VPS, et nous ne voulions pas passer par tous les efforts pour obtenir le PCI (nous avions l'habitude de rediriger vers leur interface, comme PayPal Standard). Mais lorsque nous sommes passés aux cartes de traitement direct (y compris l'obtention du PCI et du bon sens), les développeurs ont décidé de continuer à utiliser la même société, juste une API différente. La société est basée à Birmingham, au Royaume-Uni, alors je doute fort que quiconque ici sera touché.


2253
2017-07-22 22:44


origine


Vous avez deux semaines pour lui transmettre les informations et il faut deux semaines pour le transférer ailleurs, capable de traiter les cartes de crédit. Ne vous embêtez pas - prenez la décision de déménager maintenant et abandonnez la vérification. - Scrivener
S'il vous plaît, informez-nous de ce qui se passe avec cela. J'ai la chance de voir comment le vérificateur est fessé. =) Si je te connais, écris-moi à l'adresse indiquée dans mon profil. - Wesley
Il doit vous tester pour voir si vous êtes vraiment aussi stupide. Droite? J'espere... - Joe Phillips
J'aimerais connaître certaines références d'autres sociétés qu'il a vérifiées. Si rien d'autre que de savoir à qui s'adresser éviter. Les mots de passe en clair, vraiment? Êtes-vous sûr que ce type n'est pas vraiment un chapeau noir et que les entreprises stupides d'ingénierie sociale remettent leurs mots de passe d'utilisateurs pendant des mois? Parce que s'il y a des entreprises qui le font avec lui, c'est un excellent moyen de simplement remettre les clés ... - Bart Silverstrim
Toute incompétence suffisamment avancée est indiscernable de la malice - Jeremy French


Réponses:


Tout d'abord, ne capitule pas. Il est non seulement un idiot, mais DANGEREUSEMENT faux. En fait, la divulgation de cette information serait violer la norme PCI (ce à quoi je suppose que la vérification s'adresse puisqu'il s'agit d'un processeur de paiement), ainsi que toutes les autres normes en vigueur et le bon sens tout simplement. Cela exposerait également votre entreprise à toutes sortes de responsabilités.

La prochaine chose que je ferais serait d’envoyer un courrier électronique à votre patron pour lui dire qu’il devait faire appel à un conseil d’entreprise pour déterminer les risques juridiques auxquels l’entreprise serait exposée en poursuivant cette action.

Ce dernier bit est à vous, mais je contacterait VISA avec ces informations et obtiendrait son statut d’auditeur PCI.


1171
2017-07-22 23:27



Vous m'avez battu à ça! Ceci est une demande illégale. Obtenez un PCI QSA pour auditer la demande du processeur. Obtenez-le sur un appel téléphonique. Entourez les wagons. "Charge pour les armes!" - Wesley
"obtenir son statut d'auditeur PCI retiré" Je ne sais pas ce que cela signifie ... mais quelle que soit l'autorité de ce clown (l'auditeur), elle vient évidemment d'une boîte à craquelins mouillée et doit être révoquée. +1 - WernerCD
Tout cela en supposant que cet homme est en fait un auditeur légitime ... il me semble terriblement méfiant. - Reid
Je suis d'accord -- suspicious auditor, ou il est un auditeur légitime qui voit si vous êtes assez stupide pour faire l’une de ces choses. Demandez pourquoi il a besoin de cette information. Considérez simplement le mot de passe, qui ne devrait jamais être du texte brut, mais devrait se trouver derrière un cryptage à sens unique (hash). Peut-être qu'il a une raison légitime, mais avec toute son "expérience", il devrait pouvoir vous aider à obtenir les informations nécessaires. - vol7ron
Pourquoi est-ce dangereux? Une liste de tous les mots de passe en texte clair - il devrait en exister aucun. Si la liste n'est pas vide, il a un point valide. Même chose pour les choses de msot. Si vous ne les avez pas parce qu'ils ne sont pas là, dites-le. Ajout de fichiers distants - cela fait partie de l'audit. Ne sais pas - commencez à mettre en place un système qui sait. - TomTom


En tant que personne ayant suivi la procédure d'audit avec Price Waterhouse Coopers pour un contrat gouvernemental classifié, je peux vous assurer que ceci est totalement hors de question et que ce type est fou.

Lorsque PwC a voulu vérifier la force de notre mot de passe, ils ont:

  • Demandé de voir nos algorithmes de force de mot de passe
  • Testé des unités de test contre nos algorithmes pour vérifier qu'ils refuseraient les mots de passe médiocres
  • Nous avons demandé à voir nos algorithmes de cryptage pour nous assurer qu'ils ne pourraient pas être inversés ou non cryptés (même par des tables arc-en-ciel), même par une personne ayant un accès complet à tous les aspects du système
  • Vérifié que les mots de passe précédents ont été mis en cache pour s'assurer qu'ils ne pourront pas être réutilisés
  • Nous leur avons demandé la permission (que nous leur avons accordée) de tenter de pénétrer dans le réseau et les systèmes associés en utilisant des techniques d'ingénierie non sociales (des choses comme xss et des exploits non-0 jours)

Si j'avais même laissé entendre que je pouvais leur montrer les mots de passe des utilisateurs au cours des 6 derniers mois, ils nous auraient immédiatement mis fin au contrat.

Si ça étaient possibles pour répondre à ces exigences, vous échouer instantanément chaque audit vaut la peine d'avoir.


Mise à jour: Votre email de réponse a l'air bien. Bien plus professionnel que tout ce que j'aurais écrit.


813
2017-07-23 02:34



+1 Ressemble à des questions sensibles qui ne devraient PAS ÊTRE RÉPONSIBLES. Si vous pouvez y répondre, vous avez un problème de sécurité stupide. - TomTom
even by rainbow tables cela n'exclut-il pas NTLM? Je veux dire, ce n'est pas salé ... AFAICR MIT Kerberos n'a pas chiffré ni haché les mots de passe actifs, je ne sais pas quel est le statut actuel - Hubert Kario
@Hubert - nous n'utilisions pas NTLM ni Kerberos car les méthodes d'authentification directe étaient interdites et le service n'était de toute façon pas intégré à Active Directory. Sinon, nous ne pourrions pas non plus leur montrer nos algorithmes (ils sont intégrés au système d'exploitation). Aurait dû mentionner - il s'agissait de la sécurité au niveau de l'application, pas d'un audit au niveau du système d'exploitation. - Mark Henderson♦
@tandu - c'est ce que les spécifications pour le niveau de classification ont indiqué. Il est également assez courant d'empêcher les gens de réutiliser leur dernier n les mots de passe, car ils empêchent les utilisateurs de simplement parcourir deux ou trois mots de passe couramment utilisés, ce qui est aussi peu sûr que d'utiliser le même mot de passe commun. - Mark Henderson♦
@Slartibartfast: mais avoir le moyen de connaître le texte clair du mot de passe signifie que l'attaquant pourrait tout aussi bien s'introduire dans votre base de données et tout récupérer à la vue. En ce qui concerne la protection contre l’utilisation de mots de passe similaires, cela peut être fait en javascript côté client, lorsque l’utilisateur tente de changer de mot de passe, demandez également l’ancien mot de passe et effectuez une comparaison de similarité avec l’ancien mot de passe avant de publier le nouveau mot de passe sur le serveur. Certes, cela ne peut empêcher la réutilisation du dernier mot de passe, mais, IMO, le risque de stocker le mot de passe en texte brut est beaucoup plus grand. - Lie Ryan


Honnêtement, on dirait que ce type (le vérificateur) vous prépare. Si vous lui donnez les informations qu'il demande, vous venez de lui prouver que vous pouvez être socialement conçu pour renoncer à des informations internes critiques. Échouer.


440
2017-07-22 23:40



De plus, avez-vous envisagé d'utiliser un processeur de paiement tiers, comme authorize.net? la société pour laquelle je travaille effectue une très grande quantité de transactions par carte de crédit. nous n'avons pas besoin de stocker les informations de paiement des clients - authorize.net gère cela - il n'y a donc aucun audit de nos systèmes pour compliquer les choses. - anastrophe
c'est exactement ce que je pensais L'ingénierie sociale est probablement le moyen le plus simple d'obtenir cette information et je pense qu'il teste cette échappatoire. Ce mec est très intelligent ou très stupide - Joe Phillips
Cette position est au moins la première étape la plus raisonnable. Dites-lui que vous enfreignez les lois / règles / quoi que ce soit en le faisant, mais que vous appréciez sa ruse. - michael
Question idiote: la "mise en place" est-elle acceptable dans cette situation? La logique commune me dit qu'un processus de vérification ne devrait pas être constitué de «trucs». - Agos
@Agos: J'ai travaillé il y a quelques années dans un endroit qui a engagé une agence pour effectuer un audit. Une partie de l'audit a consisté à appeler des personnes de l'entreprise au hasard à l'aide du "<CIO>> m'a demandé de vous appeler et d'obtenir vos informations de connexion afin que je puisse <faire quelque chose>." Non seulement ils vérifiaient que vous n'abandonniez pas vos informations d'identification, mais une fois que vous les aviez raccroché, vous deviez immédiatement appeler <CIO> ou <Security Admin> et signaler l'échange. - Toby


Je viens de m'apercevoir que vous êtes au Royaume-Uni, ce qui signifie qu'il vous demande d'enfreindre la loi (la loi sur la protection des données en fait). Je suis aussi au Royaume-Uni, je travaille pour une grande entreprise fortement auditée et je connais la loi et les pratiques courantes dans ce domaine. Je suis aussi un travail très méchant qui va heureusement freiner ce garçon pour vous si vous aimez juste pour le plaisir, laissez-moi savoir si vous voulez de l'aide, d'accord.


335
2017-07-23 07:01



En supposant que des informations personnelles se trouvent sur ces serveurs, je pense que le fait de remettre tout / toutes les informations d'identification permettant l'accès en texte clair à une personne présentant ce niveau d'incompétence démontré constituerait une violation manifeste du principe 7 ... ("Mesures techniques et organisationnelles appropriées sont prises contre le traitement non autorisé ou illégal de données à caractère personnel et contre la perte, la destruction ou l'endommagement accidentels de données à caractère personnel. ") - Stephen Veiss
Je pense que c'est une hypothèse juste: si vous stockez des informations de paiement, vous stockez probablement aussi des informations de contact pour vos utilisateurs. Si j'étais dans la position du PO, je verrais "ce que vous me demandez non seulement de briser les obligations politiques et contractuelles [de se conformer à la norme PCI], mais également de manière illégale", en tant qu'argument plus puissant que simplement la politique et la . - Stephen Veiss
@ Jimmy, pourquoi un mot de passe ne serait-il pas une donnée personnelle? - robertc
@ Richard, vous savez que c'était une métaphore, n'est-ce pas? - Chopper3
@ Chopper3 Oui, je pense toujours que c'est inapproprié. De plus, je contrecarre AviD. - Richard Gadsden


Vous êtes socialement d'ingénierie. Soit pour vous «tester», soit pour un pirate informatique se faisant passer pour un auditeur afin d’obtenir des données très utiles.


271
2017-07-23 09:20



Pourquoi n'est-ce pas la meilleure des réponses? Est-ce que cela en dit long sur la communauté, sur la facilité d'ingénierie sociale, ou est-ce que je manque quelque chose de fondamental? - Paul
ne jamais attribuer à la malice ce qui peut être attribué à l'ignorance - aldrinleal
Attribuer toutes ces demandes à l'ignorance alors que l'auditeur prétend être un professionnel étire toutefois un peu l'imagination. - Thomas K
Le problème avec cette théorie est que, même s'il "tombait pour" ou "échouait à l'examen", il ne pouvait pas donnez-lui l'information parce que c'est impossible..... - eds
Ma meilleure hypothèse est aussi celle de "l'ingénierie sociale sérieuse" (est-ce une coïncidence si le nouveau livre de Kevin Mitnick va bientôt paraître?), Auquel cas votre société de paiement sera surprise (avez-vous déjà vérifié auprès de cet "audit"?) . L’autre option est un auditeur très débutant, sans aucune connaissance de Linux, qui a essayé de bluffer et qui se plonge à présent de plus en plus profondément. - Koos van den Hout


Je suis sérieusement préoccupé par le manque de compétences en résolution de problèmes éthiques chez les PO et la communauté des serveurs défaillants ignore cette violation flagrante de la déontologie.

En bref, j'ai besoin de;

  • Un moyen de «simuler» six mois de modification du mot de passe et de lui donner un aspect valide
  • Un moyen de «simuler» six mois de transferts de fichiers entrants

Laissez-moi être clair sur deux points:

  1. Il n'est jamais approprié de falsifier des données au cours d'une activité normale.
  2. Vous ne devriez jamais divulguer ce genre d'informations à qui que ce soit. Déjà.

Ce n'est pas à vous de falsifier des disques. Il est de votre devoir de vous assurer que tous les enregistrements nécessaires sont disponibles, exacts et sécurisés.

La communauté ici chez Server Fault doit traiter ce genre de questions comme le site stackoverflow traite de questions "devoirs". Vous ne pouvez pas aborder ces problèmes avec une simple réponse technique ou ignorer la violation de la responsabilité éthique.

Voir autant d’utilisateurs très représentatifs répond ici dans ce fil, sans aucune mention des implications éthiques de la question qui m’attriste.

J'encourage tout le monde à lire le Code de déontologie des administrateurs système SAGE. 

BTW, votre auditeur de sécurité est un idiot, mais cela ne signifie pas que vous devez ressentir de la pression pour ne pas être éthique dans votre travail.

Edit: Vos mises à jour sont inestimables. Gardez la tête baissée, la poudre sèche, et ne prenez pas (et ne donnez pas) de nickels en bois.


266
2017-07-24 20:05



Je ne suis pas d'accord. L '"auditeur" a intimé OP à divulguer des informations susceptibles de nuire à la sécurité informatique de l'organisation. OP ne doit en aucun cas générer ces enregistrements et les fournir à qui que ce soit. OP ne devrait pas être un faux disque; ils peuvent facilement être vus comme faux. OP devrait expliquer aux autorités hiérarchiques pourquoi les demandes des auditeurs de la sécurité constituent une menace, que ce soit par des intentions malveillantes ou par une incompétence totale (mots de passe des messages électroniques en texte clair). OP devrait recommander la révocation immédiate de l'auditeur de sécurité et une enquête approfondie sur les autres activités de l'ancien auditeur. - dr jimbob
Dr Jimbob, je pense que vous manquez le point: "OP ne devrait pas être un faux disque, on peut facilement le voir comme un faux." est toujours une position contraire à l'éthique comme vous le suggérez, il ne devrait falsifier des données que si elles ne peuvent pas être distinguées des vraies données Envoyer de fausses données est contraire à l'éthique. Envoyer des mots de passe de vos utilisateurs à un tiers est négligent. Nous convenons donc qu'il faut faire quelque chose pour remédier à cette situation. Je commente le manque de réflexion éthique critique dans la résolution de ce problème. - Joseph Kern
Je n’étais pas d’accord avec le principe suivant: «C’est votre travail de vous assurer que ces dossiers sont disponibles, exacts et sécurisés». Vous avez l'obligation de protéger votre système. les demandes déraisonnables (telles que stocker et partager des mots de passe en clair) ne doivent pas être effectuées si elles compromettent le système. Le stockage, l'enregistrement et le partage de mots de passe en texte clair constituent une grave atteinte à la confiance de vos utilisateurs. C'est une grande menace de sécurité pour le drapeau rouge. L'audit de sécurité peut et doit être effectué sans exposer les mots de passe en texte clair / clés privées ssh; et vous devriez en informer les supérieurs hiérarchiques et résoudre le problème. - dr jimbob
Dr Jimbob, je pense que nous sommes deux navires qui passent la nuit. Je suis d'accord avec tout ce que vous dites. Je ne dois pas avoir articulé ces points assez clairement. Je vais réviser ma réponse initiale ci-dessus. Je me suis trop appuyé sur le contexte du fil. - Joseph Kern
@ Joseph Kern, je n’ai pas lu le PO de la même manière que vous-même. Je le lis plus souvent, comment puis-je produire six mois de données que nous n'avons jamais conservées? Certes, je conviens que la plupart des moyens d’essayer de respecter cette exigence seraient frauduleux. Cependant, si je prenais ma base de données de mots de passe et extrayais les horodatages des 6 derniers mois, je pourrais créer un enregistrement des modifications encore conservées. Je considère cela comme une «fausse» donnée car certaines données ont été perdues. - user179700


Vous ne pouvez pas lui donner ce que vous voulez, et les tentatives de "falsification" risquent de revenir vous mordre à la gorge (éventuellement de manière légale). Vous devez soit faire appel dans la chaîne de commandement (il est possible que cet auditeur soit devenu un voyou, même si les audits de sécurité sont notoirement idiots - demandez-moi si l'auditeur souhaitait pouvoir accéder à un AS / 400 via SMB) ou obtenir l'enfer sortir de dessous ces exigences onoriques.

Ils ne sont même pas une bonne sécurité - une liste de tous les mots de passe en clair est un incroyablement Ce qui est dangereux déjà produire, quelles que soient les méthodes utilisées pour les protéger, et je parie que ce mec voudra les envoyer par e-mail en clair. (Je suis sûr que vous le savez déjà, je dois juste me défouler un peu).

Pour des merdes et des rires, demandez-lui directement comment exécuter ses exigences - admettez que vous ne savez pas comment et que vous souhaitez tirer parti de son expérience. Une fois que vous êtes parti, sa réponse "J'ai plus de 10 ans d'expérience en audit de sécurité" serait "Non, vous avez 5 minutes d'expérience répétée des centaines de fois".


232
2017-07-22 23:00



... un auditeur qui voulait accéder à un AS / 400 via SMB? ... pourquoi? - Bart Silverstrim
Un problème récurrent que j'ai eu avec des entreprises de conformité PCI est de s'opposer au filtrage ICMP global et au blocage d'écho uniquement. ICMP existe pour une très bonne raison, mais il est pratiquement impossible d'expliquer cela aux nombreux auditeurs qui travaillent avec un script. - Twirrim
@BartSilverstrim Probablement un cas d'audit de liste de contrôle. Comme un auditeur m'a dit un jour - Pourquoi l'auditeur a-t-il traversé la route? Parce que c'est ce qu'ils ont fait l'année dernière. - Scott Pack
Je sais que c'est faisable, le vrai "WTF?" c’est le fait que l’auditeur a estimé que la machine était vulnérable aux attaques via SMB jusqu’à ce qu’il puisse se connecter via SMB ... - womble♦
"Vous avez 5 minutes d'expérience répétées des centaines de fois" --- ooooh, ça va directement dans ma collection de citations! :RÉ - Tasos Papastylianou


Aucun auditeur ne devrait vous laisser tomber s'il trouve un problème historique que vous avez résolu. En fait, c'est la preuve d'un bon comportement. Dans cet esprit, je suggère deux choses:

a) Ne mentez pas et ne maquillez pas. b) Lisez vos politiques.

La déclaration clé pour moi est celle-ci:

Tous les clients [fournisseurs génériques de traitement de cartes de crédit] doivent se conformer à nos nouvelles politiques de sécurité.

Je parie que ces politiques contiennent une déclaration selon laquelle les mots de passe ne peuvent pas être écrits ni transmis à une personne autre que l'utilisateur. Si tel est le cas, appliquez ces stratégies à ses demandes. Je suggère de le manipuler comme ceci:

  • Une liste des noms d'utilisateur actuels et des mots de passe en texte brut pour tous les comptes d'utilisateurs sur tous les serveurs

Montrez-lui une liste de noms d'utilisateurs, mais ne les laissez pas être enlevés. Expliquez que donner des mots de passe en clair est a) impossible car il est à sens unique, et b) contre la politique contre laquelle il vous audite, donc vous n'obéirez pas.

  • Une liste de tous les changements de mot de passe des six derniers mois, toujours en texte clair

Expliquez que ceci n'était pas disponible historiquement. Donnez-lui une liste des derniers changements de mot de passe pour montrer que cela est en train de se faire. Expliquez, comme ci-dessus, que les mots de passe ne seront pas fournis.

  • Une liste de "tous les fichiers ajoutés au serveur à partir d'appareils distants" au cours des six derniers mois

Expliquez ce qui est et n'est pas enregistré. Fournissez ce que vous pouvez. Ne fournissez rien de confidentiel et expliquez par politique pourquoi pas. Demandez si votre journalisation doit être améliorée.

  • Les clés publiques et privées de toutes les clés SSH

Regardez votre politique de gestion des clés. Il convient d'indiquer que les clés privées ne sont pas autorisées à sortir de leur conteneur et que leurs conditions d'accès sont strictes. Appliquez cette stratégie et n'autorisez pas l'accès. Les clés publiques sont heureusement publiques et peuvent être partagées.

  • Un email lui est envoyé chaque fois qu'un utilisateur change son mot de passe, contenant le mot de passe en texte brut

Dis juste non. Si vous avez un serveur de journalisation sécurisé local, laissez-lui savoir qu'il est consigné in situ.

En gros, et je suis désolé de le dire, mais vous devez jouer dur avec ce gars. Suivez votre politique exactement, ne déviez pas. Ne mens pas. Et s'il vous omet pour quoi que ce soit qui ne soit pas dans la politique, se plaindre à ses aînés à la compagnie qui l'a envoyé. Recueillez une trace écrite de tout cela pour prouver que vous avez été raisonnable. Si vous enfreignez votre politique, vous êtes à sa merci. Si vous les suivez à la lettre, il finira par être renvoyé.


177
2017-07-23 10:15



D'accord, c'est comme une de ces émissions de télé-réalité folles, où un chauffeur de voiture conduit votre voiture d'une falaise ou de quelque chose d'aussi incroyable. Je dirais au PO de préparer votre CV et de partir, si les actions ci-dessus ne vous conviennent pas. C'est clairement une situation ridicule et terrible. - Jonathan Watmough
Si seulement je pouvais voter avec ce +1 000 000. Alors que la plupart des réponses ici disent à peu près la même chose, celle-ci est beaucoup plus approfondie. Excellent travail, @ Jimmy! - Iszi