Pregunta Nuestro auditor de seguridad es un idiota. ¿Cómo le doy la información que quiere?


Un auditor de seguridad para nuestros servidores ha exigido lo siguiente dentro de dos semanas:

  • Una lista de los nombres de usuario actuales y las contraseñas de texto sin formato para todas las cuentas de usuario en todos los servidores
  • Una lista de todos los cambios de contraseña de los últimos seis meses, de nuevo en texto sin formato
  • Una lista de "todos los archivos agregados al servidor desde dispositivos remotos" en los últimos seis meses
  • Las claves públicas y privadas de cualquier clave SSH.
  • Un correo electrónico que se le envía cada vez que un usuario cambia su contraseña, que contiene la contraseña de texto sin formato.

Estamos ejecutando las cajas Red Hat Linux 5/6 y CentOS 5 con autenticación LDAP.

Por lo que sé, todo lo que está en esa lista es imposible o increíblemente difícil de obtener, pero si no proporciono esta información, nos enfrentamos a la pérdida de acceso a nuestra plataforma de pagos y la pérdida de ingresos durante un período de transición a medida que avanzamos hacia una nuevo servicio ¿Alguna sugerencia de cómo puedo resolver o falsificar esta información?

La única forma en que puedo pensar para obtener todas las contraseñas de texto sin formato, es hacer que todos restablezcan su contraseña y tomen nota de lo que configuraron. Eso no resuelve el problema de los últimos seis meses de cambios de contraseña, ya que no puedo registrar de manera retroactiva ese tipo de cosas, lo mismo ocurre con el registro de todos los archivos remotos.

Es posible obtener todas las claves SSH públicas y privadas (aunque molestas), ya que solo tenemos unos pocos usuarios y computadoras. ¿A menos que me haya perdido una forma más fácil de hacer esto?

Le he explicado muchas veces que las cosas que pide son imposibles. En respuesta a mis inquietudes, respondió con el siguiente correo electrónico:

Tengo más de 10 años de experiencia en auditoría de seguridad y una completa   comprensión de los métodos de seguridad redhat, así que sugiero que compruebe   Sus datos sobre lo que es y no es posible. Usted dice que ninguna compañía podría   Posiblemente tenga esta información pero he realizado cientos de auditorías.   donde esta información ha sido fácilmente disponible. Todos [crédito genérico   proveedores de procesamiento de tarjetas] los clientes deben cumplir con nuestra nueva   políticas de seguridad y esta auditoría está destinada a garantizar esas políticas   Se han implementado * correctamente.

* Las "nuevas políticas de seguridad" se introdujeron dos semanas antes de nuestra auditoría, y el registro histórico de seis meses no fue necesario antes de que la política cambie.

En resumen, necesito;

  • Una forma de "falsificar" cambios de contraseña de seis meses y hacer que parezca válido
  • Una forma de "falsificar" seis meses de transferencias de archivos entrantes
  • Una forma fácil de recopilar todas las claves públicas y privadas de SSH que se utilizan

Si fallamos en la auditoría de seguridad, perdemos el acceso a nuestra plataforma de procesamiento de tarjetas (una parte crítica de nuestro sistema) y tardaríamos dos semanas en mudarnos a otro lugar. ¿Cómo estoy jodido?

Actualización 1 (sábado 23)

Gracias por todas sus respuestas. Me da un gran alivio saber que esto no es una práctica estándar.

Actualmente estoy planificando mi respuesta por correo electrónico a él explicando la situación. Como muchos de ustedes señalaron, debemos cumplir con PCI, que establece explícitamente que no deberíamos tener ninguna forma de acceder a las contraseñas de texto sin formato. Voy a publicar el correo electrónico cuando haya terminado de escribirlo. Desafortunadamente no creo que nos esté probando; estas cosas están en la política de seguridad oficial de la compañía ahora. Sin embargo, he puesto las ruedas en movimiento para alejarme de ellas y ponerlas en PayPal por el momento.

Actualización 2 (sábado 23)

Este es el correo electrónico que he redactado, ¿alguna sugerencia sobre cosas para agregar / eliminar / cambiar?

Nombre Hola],

Desafortunadamente, no hay manera de que le proporcionemos algunos   de la información solicitada, principalmente contraseñas de texto plano, contraseña   Historial, claves SSH y registros de archivos remotos. No solo son estas cosas   Técnicamente imposible, pero también poder proporcionar este   información sería tanto en contra de los estándares de PCI, como una violación de la   Ley de protección de datos.
  Para citar los requisitos de PCI,

8.4 Hacer que todas las contraseñas sean ilegibles durante la transmisión y el almacenamiento en   Todos los componentes del sistema que utilizan criptografía fuerte.

Puedo proporcionarte   con una lista de nombres de usuario y contraseñas de hash utilizadas en nuestro sistema,   copias de las claves públicas SSH y el archivo de hosts autorizados (Esto   Proporcionarle información suficiente para determinar el número de usuarios únicos.   puede conectarse a nuestros servidores, y los métodos de cifrado utilizados),   información sobre nuestros requisitos de seguridad de contraseña y nuestro LDAP   servidor, pero esta información no puede ser sacada del sitio. Creo firmemente   le sugerimos que revise sus requisitos de auditoría ya que actualmente no hay manera   para que pasemos esta auditoría sin dejar de cumplir con PCI y la   Ley de protección de datos.

Saludos,
  [yo]

Estaré en contacto con el CTO de la compañía y con nuestro gerente de cuentas, y espero que el CTO pueda confirmar que esta información no está disponible. También me pondré en contacto con el Consejo de Normas de Seguridad de PCI para explicarle lo que necesita de nosotros.

Actualización 3 (26)

Aquí hay algunos correos electrónicos que intercambiamos;

RE: mi primer correo electrónico;

Como se explicó, esta información debería estar fácilmente disponible en cualquier pozo   Sistema mantenido a cualquier administrador competente. Tu fracaso para ser   capaz de proporcionar esta información me lleva a creer que está al tanto de   Los fallos de seguridad en su sistema y no están preparados para revelarlos. Nuestro   Las solicitudes se alinean con las pautas de PCI y ambas pueden cumplirse. Fuerte   criptografía solo significa que las contraseñas deben estar cifradas mientras el usuario   Los está ingresando pero luego deberían ser movidos a un formato recuperable.   para su uso posterior.

No veo problemas de protección de datos para estas solicitudes, solo protección de datos   se aplica a los consumidores, no a las empresas, por lo que no debería haber problemas con esto   información.

Simplemente, qué, yo, no puedo, incluso ...

"Criptografía fuerte solo significa que las contraseñas deben estar cifradas mientras   el usuario los ingresa pero luego deben ser movidos a una   Formato recuperable para su uso posterior ".

Voy a enmarcar eso y ponerlo en mi pared.

Me harté de ser diplomático y lo dirigí a este hilo para mostrarle la respuesta que obtuve:

Proporcionar esta información directamente contradice varios requisitos   de las directrices PCI. La sección que cité incluso dice storage   (Implicando a donde almacenamos los datos en el disco). Comencé un   discusión en ServerFault.com (una comunidad en línea para sys-admin   profesionales) que ha creado una gran respuesta, todos sugiriendo esto   La información no puede ser proporcionada. Siéntete libre de leer a través de ti mismo

https & colon // serverfault.com / questions / 293217 /

Hemos terminado de cambiar nuestro sistema a una nueva plataforma y seremos   Cancelar nuestra cuenta con usted dentro del próximo día o así, pero quiero   Que te des cuenta de lo ridículas que son estas solicitudes, y no hay compañía.   La implementación correcta de las pautas de PCI podrá, o debería, ser capaz de   proporcionar esta información Le sugiero que vuelva a pensar su   requisitos de seguridad, ya que ninguno de sus clientes debería poder   conforme a esto.

(De hecho, había olvidado que lo había llamado idiota en el título, pero como mencioné anteriormente, ya nos habíamos alejado de su plataforma, así que no hubo una pérdida real).

Y en su respuesta, afirma que aparentemente ninguno de ustedes sabe de qué está hablando:

Leí en detalle a través de esas respuestas y su publicación original, el   todos los respondedores necesitan para obtener su información correcta. He estado en esto   industria más larga que nadie en ese sitio, obteniendo una lista de usuarios   las contraseñas de las cuentas son increíblemente básicas, debe ser una de las primeras   cosas que haces cuando aprendes a proteger tu sistema y es esencial   Para el funcionamiento de cualquier servidor seguro. Si realmente te falta el   habilidades para hacer algo tan simple que voy a asumir que no tienes   PCI instalado en sus servidores para poder recuperar esto.   La información es un requisito básico del software. Cuando se trata de   algo como la seguridad no debería estar haciendo estas preguntas en   un foro público si no tienes un conocimiento básico de cómo funciona.

También me gustaría sugerir que cualquier intento de revelarme, o   [nombre de la empresa] se considerará difamación y acción legal apropiada   se tomarán

Puntos idiotas clave si los perdiste:

  • Él ha sido un auditor de seguridad por más tiempo que nadie más aquí (o está adivinando o acosando a usted)
  • Ser capaz de obtener una lista de contraseñas en un sistema UNIX es "básico"
  • PCI es ahora software
  • La gente no debería usar los foros cuando no está segura de la seguridad.
  • Posicionar información objetiva (para la cual tengo comprobante de correo electrónico) en línea es difamación

Excelente.

PCI SSC ha respondido y lo están investigando a él y a la empresa. Nuestro software ahora se ha movido a PayPal, así que sabemos que es seguro. Voy a esperar a que PCI me conteste primero, pero me estoy preocupando un poco de que hayan estado usando estas prácticas de seguridad internamente. Si es así, creo que es una preocupación importante para nosotros, ya que todo el procesamiento de nuestra tarjeta se realizó a través de ellos. Si estuvieran haciendo esto internamente, creo que lo único responsable sería informar a nuestros clientes.

Espero que cuando PCI se dé cuenta de lo mal que van a investigar toda la compañía y el sistema, pero no estoy seguro.

Así que ahora nos hemos alejado de su plataforma, y ​​suponiendo que pasarán al menos unos días antes de que PCI vuelva a consultarme, ¿alguna sugerencia inventiva sobre cómo engañarlo un poco? =)

Una vez que haya obtenido la autorización de mi representante legal (dudo mucho que esto sea en realidad calumnia, pero quise verificarlo nuevamente). Publicaré el nombre de la compañía, su nombre y correo electrónico, y si lo desea, puede contactarlo y explicarlo. ¿Por qué no entiende los conceptos básicos de la seguridad de Linux? ¿Cómo obtener una lista de todas las contraseñas de los usuarios de LDAP?

Poca actualización:

Mi "persona jurídica" ha sugerido que revelar la compañía probablemente causaría más problemas de los necesarios. Sin embargo, puedo decir que este no es un proveedor importante, tienen menos de 100 clientes que usan este servicio. Originalmente, comenzamos a usarlos cuando el sitio era pequeño y se ejecutaba en un pequeño VPS, y no queríamos hacer todo el esfuerzo de obtener PCI (solíamos redirigir a su interfaz, como PayPal Standard). Pero cuando pasamos directamente al procesamiento de tarjetas (incluyendo la obtención de PCI y el sentido común), los desarrolladores decidieron seguir usando la misma compañía solo una API diferente. La compañía tiene su sede en el área de Birmingham, Reino Unido, por lo que dudo mucho que alguien aquí se vea afectado.


2253
2017-07-22 22:44


origen


Tiene dos semanas para entregarle la información, y se necesitan dos semanas para mudarse a otro lugar que pueda procesar tarjetas de crédito. No se moleste: tome la decisión de mudarse ahora y abandone la auditoría. - Scrivener
Por favor, infórmenos sobre lo que pasa con esto. Lo tengo favorito para ver cómo se azota al auditor. =) Si te conozco, mándame un correo electrónico a la dirección en mi perfil. - Wesley
Él debe estar probándote para ver si eres realmente tan estúpido. ¿Derecha? Yo espero que sí... - Joe Phillips
Me gustaría saber algunas referencias de otras empresas que ha auditado. Si no fuera por otra razón que saber a quién. evitar. Contraseñas de texto sin formato ... ¿de verdad? ¿Estás seguro de que este tipo no es realmente un imitador y una estúpida empresa de ingeniería social que entregará sus contraseñas de usuario durante meses? Porque si hay compañías que hacen esto con él, esta es una GRAN manera de entregar las llaves ... - Bart Silverstrim
Cualquier incompetencia suficientemente avanzada es indistinguible de la malicia. - Jeremy French


Respuestas:


Primero, NO capitules. Él no solo es un idiota, sino PELIGROSamente equivocado. De hecho, liberar esta información violar el estándar PCI (que es para lo que asumo que es la auditoría, ya que es un procesador de pagos) junto con todos los demás estándares existentes y simplemente el sentido común. También expondría su empresa a todo tipo de responsabilidades.

Lo siguiente que haría es enviar un correo electrónico a su jefe diciendo que necesita involucrar a un abogado corporativo para determinar la exposición legal que enfrentaría la compañía al proceder con esta acción.

Este último bit depende de ti, pero yo contactaría a VISA con esta información y obtendría su estado de auditor PCI.


1171
2017-07-22 23:27



¡Me has vencido! Esta es una solicitud ilegal. Obtenga un PCI QSA para auditar la solicitud del procesador. Ponlo en una llamada telefónica. Rodea los carros. "¡Carga por las armas!" - Wesley
"obtenga su estado de auditor de PCI" No sé lo que eso significa ... pero cualquier autoridad que tenga este payaso (el auditor) obviamente proviene de una caja de conexiones de cracker húmedas y necesita ser revocada. +1 - WernerCD
Todo esto suponiendo que este tipo sea realmente un auditor legítimo ... me parece muy sospechoso. - Reid
Estoy de acuerdo -- suspicious auditor, o es un auditor legítimo que ve si eres lo suficientemente estúpido como para hacer cualquiera de estas cosas. Pregunte por qué necesita esta información. Solo considere la contraseña, que nunca debe ser texto simple, sino que debe estar detrás de algún cifrado de una forma (hash). Tal vez tenga alguna razón legítima, pero con toda su "experiencia" debería poder ayudarte a obtener la información necesaria. - vol7ron
¿Por qué es esto peligroso? Una lista de todas las contraseñas de texto sin formato, no debería haber ninguna. Si la lista no está vacía, tiene un punto válido. Lo mismo ocurre con msot cosas. Si no los tienes porque no están ahí digan. Archivos remotos agregados - eso es parte de la audición. No sé - empieza a poner en un sistema que sabe. - TomTom


Como alguien que ha pasado por el procedimiento de auditoría con Precio Waterhouse Coopers Para un contrato gubernamental clasificado, puedo asegurarle que esto está totalmente fuera de discusión y este tipo está loco.

Cuando PwC quiso comprobar la fortaleza de nuestra contraseña, ellos:

  • Pidió ver nuestros algoritmos de fuerza de contraseña
  • Controle las unidades de prueba con nuestros algoritmos para verificar que denegarán contraseñas deficientes
  • Pidió ver nuestros algoritmos de encriptación para garantizar que no puedan ser revertidos o no encriptados (incluso en tablas arcoiris), incluso por alguien que tuvo acceso completo a todos los aspectos del sistema
  • Se verificó para ver que las contraseñas anteriores se almacenaron en caché para garantizar que no se pudieran reutilizar
  • Nos pidieron permiso (que se nos otorgó) para que intenten entrar en la red y los sistemas relacionados utilizando técnicas de ingeniería no sociales (cosas como xss y exploits que no sean de 0 días)

Si hubiera insinuado que podría mostrarles cuáles fueron las contraseñas de los usuarios en los últimos 6 meses, nos habrían excluido del contrato de inmediato.

Si se eran posibles para proporcionar estos requisitos, lo haría fallar al instante cada auditoría vale la pena tener.


Actualización: su correo electrónico de respuesta se ve bien. Mucho más profesional que cualquier otra cosa que hubiera escrito.


813
2017-07-23 02:34



+1. Parece que las preguntas sensatas que NO deben ser respondidas. Si puedes responderlos, tienes un estúpido problema de seguridad a la mano. - TomTom
even by rainbow tables ¿Eso no descarta NTLM? Quiero decir, no está salado ... AFAICR MIT Kerberos no cifró o no modificó las contraseñas activas, no sabe cuál es el estado actual - Hubert Kario
@Hubert: no estábamos usando NTLM o Kerberos, ya que los métodos de autenticación de paso fueron prohibidos y el servicio no estaba integrado con el directorio activo de todos modos. De lo contrario, tampoco podríamos mostrarles nuestros algoritmos (están incorporados en el sistema operativo). Debería haberlo mencionado: esto era seguridad a nivel de aplicación, no una auditoría a nivel de SO. - Mark Henderson♦
@tandu - eso es lo que indican las especificaciones para el nivel de clasificación. También es bastante común evitar que las personas reutilicen su último norte contraseñas, porque impide que las personas pasen por las dos o tres contraseñas de uso común, lo que es tan inseguro como usar la misma contraseña común. - Mark Henderson♦
@Slartibartfast: pero tener un medio para conocer el texto simple de la contraseña significa que el atacante podría ingresar a su base de datos y recuperar todo a la vista. En cuanto a la protección contra el uso de una contraseña similar, eso se puede hacer en javascript en el lado del cliente, cuando el usuario está intentando cambiar la contraseña, también solicite la contraseña anterior y haga una comparación de similitud con la contraseña anterior antes de enviar la nueva contraseña al servidor. Por supuesto, solo puede evitar la reutilización desde la última contraseña, pero en mi opinión, el riesgo de almacenar la contraseña en texto sin formato es mucho más. - Lie Ryan


Honestamente, parece que este tipo (el auditor) te está preparando. Si le da la información que está solicitando, le acaba de demostrar que puede ser socialmente diseñado para renunciar a información interna crítica. Fallar.


440
2017-07-22 23:40



también, ¿ha considerado un procesador de pago de terceros, como authorize.net? La empresa para la que trabajo realiza grandes cantidades de transacciones de tarjetas de crédito a través de ellas. no tenemos que almacenar ninguna de las informaciones de pago del cliente - authorize.net administra eso - por lo que no hay una auditoría de nuestros sistemas para complicar las cosas. - anastrophe
esto es exactamente lo que pensé que estaba pasando. La ingeniería social es probablemente la forma más fácil de obtener esta información y creo que está probando esa brecha. Este chico es muy inteligente o muy tonto - Joe Phillips
Esta posición es al menos el primer paso más razonable. Dígale que estaría infringiendo las leyes / reglas / lo que sea haciendo algo de eso, pero que aprecia su astucia. - michael
Pregunta tonta: ¿es aceptable "configurar" en esta situación? La lógica común me dice que no se debe hacer un proceso de auditoría de "trucos". - Agos
@Agos: Trabajé en un lugar hace unos años que contrató a una agencia para hacer una auditoría. Parte de la auditoría incluyó llamar a personas al azar en la compañía con el "<CIO> que me pidió que lo llamara y obtuviera sus credenciales de inicio de sesión para que pueda <hacer algo>". No solo estaban verificando que realmente no renunciarías a las credenciales, sino que una vez que las colgabas, debías llamar de inmediato a <CIO> o <Administrador de seguridad> e informar el intercambio. - Toby


Acabo de descubrir que estás en el Reino Unido, lo que significa que lo que te pide que hagas es violar la ley (de hecho, la Ley de protección de datos). También estoy en el Reino Unido, trabajo para una gran empresa fuertemente auditada y conozco la ley y las prácticas comunes en esta área. También soy un trabajo muy desagradable que felizmente va a ponerle un timbre a este tipo por ti si quieres solo por diversión, avísame si quieres ayuda, ok.


335
2017-07-23 07:01



Suponiendo que haya información personal en esos servidores, creo que entregar / todas / las credenciales para el acceso en texto sin formato a alguien con este nivel de incompetencia demostrada sería una clara violación del Principio 7 ... ("Medidas técnicas y organizativas apropiadas se tomará contra el procesamiento no autorizado o ilegal de datos personales y contra la pérdida o destrucción accidental o el daño de los datos personales ". - Stephen Veiss
Creo que es una suposición justa: si está almacenando información de pago, probablemente también esté almacenando información de contacto para sus usuarios. Si estuviera en la posición del OP, vería "lo que me está pidiendo que haga, no solo rompe la política y las obligaciones contractuales [para cumplir con la PCI], sino que también es ilegal" como un argumento más sólido que solo mencionar la política y la PCI . - Stephen Veiss
@Jimmy, ¿por qué una contraseña no es información personal? - robertc
@ Richard, sabes que fue una metáfora, ¿no? - Chopper3
@ Chopper3 Sí, sigo pensando que es inapropiado. Además, estoy contrarrestando AviD. - Richard Gadsden


Estás siendo socialmente diseñado. Ya sea para probarlo o para ser un pirata informático que se hace pasar por un auditor para obtener datos muy útiles.


271
2017-07-23 09:20



¿Por qué no es esta la mejor respuesta? ¿Eso dice algo acerca de la comunidad, la facilidad de la ingeniería social, o me estoy perdiendo algo fundamental? - Paul
Nunca atribuya a la malicia lo que puede atribuirse a la ignorancia. - aldrinleal
Sin embargo, atribuir todas esas solicitudes a la ignorancia cuando el auditor dice ser un profesional, extiende un poco la imaginación. - Thomas K
El problema con esta teoría es que, incluso si "cayó en la trampa" o "falló la prueba", no podría darle la información porque es imposible..... - eds
Mi mejor conjetura es también 'ingeniería social seria' (¿es una coincidencia que el nuevo libro de Kevin Mitnick salga pronto?), En cuyo caso su empresa de pagos se sorprenderá (¿ya ha consultado con ellos sobre esta 'auditoría'?) . La otra opción es un auditor muy novato, sin conocimientos de Linux, que intentó hacer un farol y ahora se está hundiendo más y más profundo. - Koos van den Hout


Estoy muy preocupado por la falta de habilidades éticas para resolver problemas y la comunidad de fallas del servidor ignorando esta flagrante violación de la conducta ética.

En resumen, necesito;

  • Una forma de "falsificar" cambios de contraseña de seis meses y hacer que parezca válido
  • Una forma de 'falsificar' seis meses de transferencias de archivos entrantes

Déjame ser claro en dos puntos:

  1. Nunca es apropiado falsificar datos durante el curso de un negocio normal.
  2. Nunca debes divulgar este tipo de información a nadie. Siempre.

No es su trabajo falsificar registros. Es su trabajo asegurarse de que todos los registros necesarios estén disponibles, sean precisos y seguros.

La comunidad aquí en Server Fault debe tratar este tipo de preguntas como el sitio de stackoverflow trata preguntas de "tarea". No puede abordar estos problemas solo con una respuesta técnica o ignorar la violación de la responsabilidad ética.

Ver tantas respuestas de usuarios con altas repeticiones aquí en este hilo y ninguna mención de las implicaciones éticas de la pregunta me entristece.

Yo animaría a todos a leer el Código de Ética de los Administradores del Sistema SAGE. 

Por cierto, su auditor de seguridad es un idiota, pero eso no significa que deba sentirse presionado para no ser ético en su trabajo.

Edición: sus actualizaciones no tienen precio. Mantenga la cabeza agachada, el polvo seco y no tome ni le dé níqueles de madera.


266
2017-07-24 20:05



Estoy en desacuerdo. El "auditor" estaba intimidando a OP para que divulgara información que socavaría toda la seguridad de TI de la organización. Bajo ninguna circunstancia debe OP generar esos registros y proporcionarlos a nadie. OP no debe falsificar registros; Se les puede ver fácilmente como falsos. OP debería explicar a los miembros de mayor rango por qué las demandas de los auditores de seguridad son una amenaza, ya sea por intenciones maliciosas o por una total incompetencia (contraseñas de correo electrónico en texto plano). OP debe recomendar la terminación inmediata del auditor de seguridad y una investigación completa de otras actividades del auditor anterior. - dr jimbob
Dr. Jimbob, creo que le está faltando el punto: "OP no debería falsificar registros; pueden verse fácilmente como falsos". sigue siendo una posición poco ética, ya que está sugiriendo que solo debe falsificar datos cuando no se pueden distinguir de los datos reales. Enviar datos falsos no es ético. El envío de contraseñas de sus usuarios a un tercero es negligente. Entonces estamos de acuerdo en que hay que hacer algo con respecto a esta situación. Estoy comentando la falta de pensamiento ético crítico para resolver este problema. - Joseph Kern
No estoy de acuerdo con el "Es su trabajo asegurarse de que esos registros estén disponibles, sean precisos y seguros". Usted tiene la obligación de mantener su sistema seguro; no se deben hacer solicitudes irrazonables (como almacenar y compartir contraseñas de texto plano) si comprometen el sistema. El almacenamiento, la grabación y el intercambio de contraseñas de texto sin formato es una violación importante de la confianza de los usuarios. Es una gran amenaza de seguridad de bandera roja. La auditoría de seguridad puede y debe hacerse sin exponer las contraseñas de texto sin formato / ssh claves privadas; y debes informar a los superiores y resolver el problema. - dr jimbob
Dr. Jimbob, siento que somos dos barcos que pasan en la noche. Estoy de acuerdo con todo lo que dices; No debí haber articulado estos puntos con suficiente claridad. Revisaré mi respuesta inicial arriba. Confié demasiado en el contexto del hilo. - Joseph Kern
@Joseph Kern, no leí el OP de la misma manera que tú. Lo leo más como cómo puedo producir seis meses de datos que nunca conservamos. Ciertamente, estoy de acuerdo, que la mayoría de las formas de tratar de cumplir con este requisito serían fraudulentas. Sin embargo, si tomara mi base de datos de contraseñas y extrajera las marcas de tiempo de los últimos 6 meses, podría crear un registro de los cambios que aún se conservaron. Considero que "falsificar" los datos ya que algunos datos se han perdido. - user179700


No puedes darle lo que quieres, y los intentos de "fingir" es probable que vuelvan para morderte el culo (posiblemente de manera legal). O bien es necesario apelar la cadena de mando (es posible que este auditor se haya vuelto descontrolado, aunque las auditorías de seguridad son notoriamente idiotas; pregúnteme sobre el auditor que quería poder acceder a un AS / 400 a través de SMB), o infórmese. por debajo de estos requisitos onoros.

Ni siquiera son una buena seguridad: una lista de todas las contraseñas de texto simple es una increíblemente cosa peligrosa para siempre produzca, independientemente de los métodos utilizados para salvaguardarlos, y apuesto a que este tipo querrá que se los envíe por correo electrónico en texto sin formato. (Estoy seguro de que ya lo sabes, solo tengo que desahogarme un poco).

Para las mierdas y las risitas, pregúntele directamente cómo cumplir sus requisitos; admita que no sabe cómo y le gustaría aprovechar su experiencia. Una vez que haya salido y se haya ido, una respuesta a su "Tengo más de 10 años de experiencia en auditoría de seguridad" sería "no, tiene 5 minutos de experiencia repetida cientos de veces".


232
2017-07-22 23:00



... un auditor que quería acceder a un AS / 400 a través de SMB? ... ¿por qué? - Bart Silverstrim
Un problema muy repetido que he tenido con las compañías de cumplimiento de PCI es discutir contra el filtrado ICMP general y solo bloquear el eco. ICMP está allí por una muy buena razón, pero es casi imposible explicárselo a los numerosos auditores que 'trabajan desde un script'. - Twirrim
@BartSilverstrim Probablemente sea un caso de auditoría de lista de verificación. Como me dijo un auditor una vez, ¿por qué cruzó la calle el auditor? Porque eso es lo que hicieron el año pasado. - Scott Pack
Sé que es factible, el verdadero "WTF?" fue el hecho de que el auditor consideró que la máquina era vulnerable a ataques a través de SMB hasta que pudiera conectarse a través de SMB ... - womble♦
"Tienes 5 minutos de experiencia repetidos cientos de veces" --- ooooh, ¡eso va directo a mi colección de citas! :RE - Tasos Papastylianou


Ningún auditor debería fallarle si encuentra un problema histórico que ahora ha solucionado. De hecho, eso es evidencia de buen comportamiento. Con eso en mente, sugiero dos cosas:

a) No mientas ni inventes cosas. b) Lea sus políticas.

La declaración clave para mí es esta:

Todos los clientes de [proveedor genérico de procesamiento de tarjetas de crédito] deben cumplir con nuestras nuevas políticas de seguridad

Apuesto a que hay una declaración en esas políticas que dice que las contraseñas no se pueden escribir y no se pueden pasar a nadie más que al usuario. Si hay, entonces aplique esas políticas a sus peticiones. Sugiero manejarlo así:

  • Una lista de los nombres de usuario actuales y las contraseñas de texto sin formato para todas las cuentas de usuario en todos los servidores

Muéstrele una lista de nombres de usuario, pero no permita que se los quiten. Explique que la entrega de contraseñas de texto simple es a) imposible, ya que es unidireccional, yb) contra la política, contra la cual él lo audita, por lo tanto, no obedecerá.

  • Una lista de todos los cambios de contraseña de los últimos seis meses, de nuevo en texto sin formato

Explique que esto no estaba disponible históricamente. Dale una lista de los últimos tiempos de cambio de contraseña para mostrar que esto se está haciendo ahora. Explique, como arriba, que las contraseñas no serán proporcionadas.

  • Una lista de "todos los archivos agregados al servidor desde dispositivos remotos" en los últimos seis meses

Explica qué es y qué no se está registrando. Proporcione lo que pueda. No proporcione nada confidencial, y explique por política por qué no. Pregunte si su registro necesita ser mejorado.

  • Las claves públicas y privadas de cualquier clave SSH.

Mire su política de gestión de claves. Debe indicar que las claves privadas no están permitidas fuera de su contenedor y tienen condiciones estrictas de acceso. Aplica esa política, y no permitas el acceso. Las claves públicas son felizmente públicas y se pueden compartir.

  • Un correo electrónico que se le envía cada vez que un usuario cambia su contraseña, que contiene la contraseña de texto sin formato.

Solo di no. Si tiene un servidor de registro seguro local, permítale ver que esto se está iniciando in situ.

Básicamente, y lamento decir esto, pero tienes que jugar duro con este tipo. Siga su póliza exactamente, no se desvíe. No mientas. Y si te falla por algo que no está en la política, reclama a sus superiores en la empresa que lo envió. Recoja un rastro de todo esto para demostrar que ha sido razonable. Si rompes tu política estás a su merced. Si los sigues hasta la carta, él terminará siendo despedido.


177
2017-07-23 10:15



De acuerdo, esto es como uno de esos locos reality shows, en los que un empleado del servicio de automóviles conduce su automóvil por un precipicio o algo igualmente increíble. Le diría al OP, preparar su currículum y dejarlo, si las acciones anteriores no funcionan para usted. Esta es claramente una situación ridícula y terrible. - Jonathan Watmough
Ojalá pudiera votar este +1,000,000. Si bien la mayoría de las respuestas aquí dicen más o menos lo mismo, esta es mucho más exhaustiva. Gran trabajo, @Jimmy! - Iszi


Si el auditor es una idiota. Sin embargo, como saben, a veces los idiotas se colocan en posiciones de poder. Este es uno de esos casos.

La información que solicitó tiene cero teniendo en cuenta la seguridad actual del sistema. Explique al auditor que está usando LDAP para la autenticación y que las contraseñas se almacenan utilizando un hash de una sola vía. A menos que se realice una secuencia de comandos de fuerza bruta contra los hashes de contraseña (lo que podría llevar semanas (o años), no podrá proporcionar las contraseñas).

Del mismo modo, los archivos remotos: me gustaría saber, por casualidad, cómo cree que debería poder diferenciar entre los archivos creados directamente en el servidor y un archivo que se envía directamente al servidor.

Como dijo @womble, no falsifique nada. Eso no servirá de nada. Olvídate de esta auditoría y multa a otro corredor, o encuentra una manera de convencer a este "profesional" de que su queso se ha salido de su galleta.


134
2017-07-22 23:05



+1 por "... que su queso se ha deslizado fuera de su galleta". ¡Eso es nuevo para mí! - Collin Allen
"La información que solicitó no tiene incidencia en la seguridad actual del sistema". <- En realidad diría que tiene mucho que ver con la seguridad. :PAG - Ishpeck
(which could take weeks (or years) Olvidé dónde, pero encontré esta aplicación en línea que estimaría cuánto tiempo tomaría forzar la contraseña de forma bruta. No sé cuáles fueron los algoritmos de fuerza bruta o hash que asumió, pero estimó algo así como 17 billones de años para la mayoría de mis contraseñas ... :) - Carson Myers
@Carson: la aplicación en línea que encontré para estimar la fortaleza de la contraseña tenía un enfoque diferente (y posiblemente más preciso): para cada contraseña, se devolvía "Su contraseña es insegura. ¡Simplemente la escribió en una página web no confiable!" - Jason Owen
@Jason oh no, tienes razón! - Carson Myers