私たちのセキュリティ監査人はばかです。彼が欲しい情報を彼にどのように与えるのですか?
サーバーのセキュリティ監査人は、2週間以内に次のことを要求しました。
- すべてのサーバー上のすべてのユーザーアカウントの現在のユーザー名とプレーンテキストのパスワードのリスト
- 過去6か月間のすべてのパスワード変更のリスト(これも平文)
- 過去6か月間に「リモートデバイスからサーバーに追加されたすべてのファイル」のリスト
- SSHキーの公開キーと秘密キー
- ユーザーがパスワードを変更するたびに送信される、プレーンテキストのパスワードを含むメール
LDAP認証を使用してRed Hat Linux 5/6およびCentOS 5ボックスを実行しています。
私の知る限り、このリストのすべてを取得することは不可能または非常に困難ですが、この情報を提供しないと、移行期間中に支払いプラットフォームへのアクセスを失い、移行期間中に収入を失うことに直面します。新しいサービス。この情報を解決または偽造する方法に関する提案はありますか?
すべてのプレーンテキストのパスワードを取得するために私が考えることができる唯一の方法は、全員にパスワードをリセットしてもらい、パスワードの設定をメモすることです。これは過去6か月のパスワード変更の問題を解決しません。そのようなものを遡及的にログに記録することはできないため、すべてのリモートファイルのログにも同じことが言えます。
ユーザーとコンピュータは数人しかいないので、(厄介ではありますが)すべての公開SSHキーと秘密SSHキーを取得できます。これを行う簡単な方法を見逃していない限り?
彼が求めていることは不可能だと何度も説明しました。私の懸念に応えて、彼は次のメールで返信しました:
私はセキュリティ監査で10年以上の経験があり、redhatのセキュリティメソッドを完全に理解しているので、何が可能で何が不可能であるかについての事実を確認することをお勧めします。この情報を入手できる企業はないと言っていますが、私はこの情報がすぐに利用できる状態で何百もの監査を実施しました。すべての[一般的なクレジットカード処理プロバイダー]クライアントは、新しいセキュリティポリシーに準拠する必要があります。この監査は、これらのポリシーが正しく実装されていることを確認することを目的としています*。
*「新しいセキュリティポリシー」は監査の2週間前に導入され、ポリシー変更前の6か月の履歴ログは不要でした。
要するに、私は必要です。
- 6か月分のパスワード変更を "偽装"して有効に見せるための方法
- 6か月の受信ファイル転送を "偽装"する方法
- 使用されているすべてのSSH公開鍵と秘密鍵を収集する簡単な方法
セキュリティ監査に失敗すると、カード処理プラットフォーム(システムの重要な部分)にアクセスできなくなり、別の場所に移動するには2週間ほどかかります。私はどのくらいねじ込まれていますか?
アップデート1(土23日)
すべての回答に感謝します。これが標準的な方法ではないことを知って、私は非常に安心しています。
私は現在、状況を説明する彼への私の電子メール応答を計画しています。多くの方が指摘したように、プレーンテキストのパスワードにアクセスする方法はないと明示的に規定しているPCIに準拠する必要があります。書き終えたらメールでお知らせします。残念ながら彼は私たちをテストしているだけではないと思います。これらは現在、同社の正式なセキュリティポリシーに含まれています。しかし、私はホイールを動かして、当面の間、それらから離れてPaypalに移動するようにしました。
アップデート2(土23日)
これは私が作成したメールですが、追加/削除/変更するための提案はありますか?
[名前]様
残念ながら、主にプレーンテキストのパスワード、パスワードの履歴、SSHキー、リモートファイルログなど、要求された情報の一部を提供する方法はありません。これらのことは技術的に不可能であるだけでなく、この情報を提供できることは、PCI標準に対する違反であり、データ保護法の違反となります。
PCI要件を引用すると、8.4強力な暗号化を使用して、すべてのシステムコンポーネントでの転送および保存中に、すべてのパスワードを判読不能にします。
私たちのシステムで使用されているユーザー名とハッシュ化されたパスワードのリスト、SSH公開鍵と承認済みホストファイルのコピーを提供できます(これにより、サーバーに接続できるユニークユーザーの数と暗号化を決定するための十分な情報が得られます使用された方法)、パスワードのセキュリティ要件およびLDAPサーバーに関する情報ですが、この情報はサイト外に持ち出されることはありません。 PCIとデータ保護法に準拠しながら、現在この監査に合格する方法はないため、監査要件を確認することを強くお勧めします。
よろしく、
[私]
私は会社のCTOおよびアカウントマネージャーでCCを担当します。CTOがこの情報が利用できないことを確認できることを望んでいます。また、PCI Security Standards Councilに連絡して、彼が私たちに何を求めているかを説明します。
アップデート3(26日)
交換したメールは次のとおりです。
RE:私の最初のメール。
説明したように、この情報は、適切に管理されたシステムで、有能な管理者が簡単に利用できるようにする必要があります。この情報を提供できなかったため、システムのセキュリティ上の欠陥を認識しており、それらを明らかにする準備ができていないと思います。私たちの要求はPCIガイドラインに沿っており、どちらも満たすことができます。強力な暗号化とは、ユーザーがパスワードを入力するときにパスワードを暗号化する必要があるだけで、後で使用できるように回復可能な形式に移動する必要があることを意味します。
これらのリクエストにはデータ保護の問題はありません。データ保護はビジネスではなく消費者にのみ適用されるため、この情報に問題はありません。
ただ、何、私、できない、さえ...
「強力な暗号化とは、ユーザーが入力するときにパスワードを暗号化する必要があるだけで、後で使用できるように回復可能な形式に移動する必要があることを意味します。」
それを額に入れて壁に貼ります。
私は外交的であることにうんざりして、私が得た応答を彼に示すためにこのスレッドに彼を導きました:
この情報を提供することは、PCIガイドラインのいくつかの要件に直接矛盾します。私が引用したセクションには、
storageとさえ書かれています(ディスク上のデータを格納する場所を示しています)。私はServerFault.com(sys-admin専門家向けのオンラインコミュニティ)で議論を始めましたが、これは大きな反響を呼んでおり、この情報を提供できないことを示唆しています。自由に読んでくださいhttps://serverfault.com/questions/293217/
システムの新しいプラットフォームへの移行が完了しました。翌日ほどでアカウントはキャンセルされますが、これらのリクエストがどれほどおかしいかを理解していただき、PCIガイドラインを正しく実装している企業はありません。この情報を提供できる。どの顧客もこれに準拠できないはずなので、セキュリティ要件を再考することを強くお勧めします。
(私は実際に彼がタイトルで馬鹿と呼ばれたことを忘れていましたが、言及したように、私たちはすでに彼らのプラットフォームから離れたので、本当の損失はありません。)
そして彼の反応で、彼は明らかにあなたが話していることを誰も知らないと言っています:
これらの回答と元の投稿を詳しく読んだところ、回答者全員が事実を正しく理解する必要があります。私はそのサイトの誰よりも長い間この業界にいます。ユーザーアカウントのパスワードのリストを取得することは信じられないほど基本的です。これは、システムを保護する方法を学ぶときに最初にすべきことの1つであり、安全なシステムの操作に不可欠です。サーバ。この単純なことを行うスキルが本当に不足している場合は、サーバーにPCIがインストールされていないことを想定します。これは、この情報を回復できることがソフトウェアの基本要件であるためです。セキュリティのようなものを扱うとき、それがどのように機能するかについての基本的な知識がない場合は、公開フォーラムでこれらの質問をするべきではありません。
また、私または[会社名]を明らかにしようとする試みは名誉毀損と見なされ、適切な法的措置が講じられることをお勧めします
あなたがそれらを逃した場合の重要な馬鹿げたポイント:
- 彼はここにいる誰よりも長い間セキュリティ監査人でした(彼は推測している、またはストーカーしている)
- UNIXシステムでパスワードのリストを取得できることは「基本」です
- PCIは現在ソフトウェアです
- セキュリティについて確信がない場合は、フォーラムを使用しないでください。
- 事実情報(メールの証拠があります)をオンラインでポーズすることは名誉毀損です
優秀な。
PCI SSCは対応し、彼と会社を調査しています。ソフトウェアがPaypalに移動したため、安全であることがわかります。 PCIが最初に返ってくるのを待つつもりですが、内部でこれらのセキュリティプラクティスを使用しているのではないかと少し心配しています。もしそうなら、私たちのすべてのカード処理がそれらを通過したので、それは私たちにとって大きな懸念であると思います。もし彼らが内部でこれを行っていたなら、私がするべき唯一の責任のあることは私達の顧客に知らせることだと思います。
PCIが会社やシステム全体を調査するのがどれほど悪いことかがわかるといいのですが、よくわかりません。
それで、私たちは彼らのプラットフォームから離れました、そしてそれがPCIが私に戻るまで少なくとも数日になると仮定して、彼を少し荒らす方法についての独創的な提案はありますか? =)
法務担当者から許可を取得したら(これが実際に名誉毀損であるとは非常に疑っていますが、再確認したいと思います)、会社名、氏名、電子メールを公開します。すべてのLDAPユーザーのパスワードのリストを取得する方法など、Linuxのセキュリティの基本を理解していない理由。
少し更新:
私の「法務担当者」は、会社がおそらく必要以上の問題を引き起こすことを明らかにすることを提案しました。ただし、これは主要なプロバイダーではなく、このサービスを使用するクライアントは100未満です。私たちは当初、サイトが小さく、小さなVPSで実行されていたときにそれらを使用し始めましたが、PCIを取得するためのすべての作業をやりたくありませんでした(以前はPaypal Standardなどのフロントエンドにリダイレクトしていました)。しかし、直接処理カード(PCIの取得や常識を含む)に移行したとき、開発者たちは同じ会社を別のAPIで使い続けることにしました。同社は英国のバーミンガム地域に拠点を置いているため、この地域の誰も影響を受けることはないと思います。
まず、降伏しないでください。彼はバカであるだけでなく、危険なほど間違っている。実際、この情報を公開するとviolate PCI標準(これは支払いプロセッサなので監査が目的であると私が想定しているもの)だけでなく、他のすべての標準とまったく同じ常識です。それはまたあなたの会社をあらゆる種類の責任にさらすでしょう。
次に行うことは、上司にメールを送信して、このアクションを進めることによって会社が直面する法的リスクを判断するために企業顧問を関与させる必要があるということです。
この最後のビットはあなた次第ですが、[〜#〜] i [〜#〜]はこの情報をVISAに連絡し、PCI監査ステータスを取得します。
機密扱いの政府契約について Price Waterhouse Coopers の監査手順を経た人として、私はあなたを保証することができます。これは完全に問題外であり、この男は正気ではありません。
PwCがパスワードの強度を確認したい場合、
- パスワード強度アルゴリズムの確認を求められました
- アルゴリズムに対してテストユニットを実行し、貧弱なパスワードを拒否するかどうかを確認しました
- システムのすべての側面に完全にアクセスできる人でも、(Rainbowテーブルによっても)暗号化アルゴリズムを元に戻したり暗号化を解除したりできないようにするために、暗号化アルゴリズムを確認するように依頼されました
- 以前のパスワードがキャッシュされていることを確認して、再利用できないことを確認した
- 非ソーシャルエンジニアリング手法(xssや非ゼロデイエクスプロイトなど)を使用してネットワークや関連システムに侵入することを許可する(許可した)ことを尋ねた
過去6か月間のユーザーのパスワードをユーザーに示すことができるとほのめかしたとしても、彼らはすぐに契約を締め切ったでしょう。
これらの要件を提供することが可能である場合、すべてすぐに失敗します持つ価値のある単一の監査。
更新:返信メールに問題はありません。私が書いたものよりもはるかにプロフェッショナルです。
正直なところ、この人(監査人)があなたをセットアップしているようです。彼が求めている情報を彼に与えると、重要な内部情報を放棄するようにソーシャルエンジニアリングできることを彼に証明しました。不合格。
私はあなたが英国にいることを発見しました。つまり、彼があなたに求めているのは、法律(実際にはデータ保護法)を破ることです。私もイギリスにいて、監査の厳しい大企業で働いており、この分野の法律と一般的な慣行を知っています。私はまた、非常に厄介な作品でもあります。もしあなたが楽しみのためだけにこの人に喜んでスタンプを押してくれるでしょう。あなたが大丈夫かどうか知りたいなら、私に知らせてください。
あなたは社会的に設計されています。 「あなたをテストする」か、非常に有用なデータを取得するために監査人を装ったハッカーのどちらかです。
私はOPが倫理的な問題解決スキルを欠いていることを真剣に懸念していますandサーバーのフォールトコミュニティは、この倫理的な行動のあからさまな違反を無視しています。
要するに、私は必要です。
- 6か月分のパスワード変更を「偽造」し、有効に見せるための方法
- 6か月の受信ファイル転送を「偽装」する方法
次の2つの点を明確にしておきます。
- 通常のビジネスの過程でデータを改ざんすることは決して適切ではありません。
- この種の情報を他人に漏らしてはいけません。いつまでも
レコードを改ざんするのはあなたの仕事ではありません。必要な記録がすべて利用可能で、正確で、安全であることを確認するのはあなたの仕事です
ここのサーバー障害のコミュニティmustこれらの種類の質問は、stackoverflowサイトが「宿題」の質問を扱うのと同じように扱います。技術的な対応だけでこれらの問題に対処したり、倫理的責任の違反を無視したりすることはできません。
このスレッドで非常に多くの高回答ユーザーがここに返信するのを見ると、質問の倫理的意味についての言及がないので悲しいです。
ところで、あなたのセキュリティ監査人はばかですが、それはあなたの仕事で非倫理的であるというプレッシャーを感じる必要があることを意味しません。
編集:あなたのアップデートは貴重です。頭を下げ、パウダーを乾かし、木製のニッケルを服用しないでください。
あなたは彼にあなたが望むものを与えることはできません、そしてそれを「偽物」にしようとすることはおそらくロバにあなたを噛むために戻ってくるでしょう(おそらく法的な方法で)。コマンドチェーンをアピールする必要があります(この監査は悪名高いが、監査はばかげている-SMB経由でAS/400にアクセスできるようにしたかった監査人について私に尋ねてください)、または地獄を取得するこれらの膨大な要件の下から。
それらは優れたセキュリティでもありません-すべての平文パスワードのリストは信じられないほどそれらを保護するために使用された方法に関係なくeverが生成する危険なものであり、私はこの一文は、彼らに平文で電子メールを送って欲しいと思うでしょう。 (私はあなたがすでにこれを知っていると確信しています、私は少し通気しなければなりません)。
たわごととくすくす笑いについては、彼の要件をどのように実行するかを直接彼に尋ねてください-あなたが方法を知らないことを認め、彼の経験を活用したいと思います。あなたが不在になると、彼の「私はセキュリティ監査で10年以上の経験があります」への応答は「いいえ、あなたは何百回も繰り返された5分の経験を持っている」でしょう。
あなたが今修正した歴史的な問題を彼らが見つけた場合、監査人はあなたを失敗させるべきではありません。実際、それは良い行動の証拠です。それを念頭に置いて、私は2つのことを提案します:
a)嘘をつくことや物を作ることはしないでください。 b)ポリシーを読みます。
私にとって重要なステートメントはこれです:
すべての[一般的なクレジットカード処理プロバイダー]クライアントは、新しいセキュリティポリシーに準拠する必要があります
これらのポリシーには、パスワードを書き留めることはできず、ユーザー以外の誰にも渡すことはできないとの記述があると思います。ある場合は、それらのポリシーを彼のリクエストに適用します。私はそれをこのように扱うことを勧めます:
- すべてのサーバー上のすべてのユーザーアカウントの現在のユーザー名とプレーンテキストのパスワードのリスト
ユーザー名のリストを彼に見せてください、しかしそれらが持ち去られることを許可しないでください。プレーンテキストのパスワードを与えることは、a)一方向であるため不可能であり、b)彼があなたを監査しているポリシーに反するため、従わないことを説明します。
- 過去6か月間のすべてのパスワード変更のリスト(これも平文)
これは歴史的に利用可能ではなかったことを説明します。これが現在行われていることを示すために、最近のパスワード変更時刻のリストを彼に提供します。上記と同様に、パスワードは提供されないことを説明します。
- 過去6か月間に「リモートデバイスからサーバーに追加されたすべてのファイル」のリスト
記録されているものと記録されていないものを説明します。できることを提供してください。機密情報は一切提供せず、ポリシーで理由を説明しないでください。ロギングを改善する必要があるかどうか尋ねます。
- SSHキーの公開キーと秘密キー
キー管理ポリシーを確認してください。秘密鍵はコンテナから出ることはできず、厳格なアクセス条件があることを明記する必要があります。そのポリシーを適用し、アクセスを許可しません。公開鍵は喜んで公開され、共有できます。
- ユーザーがパスワードを変更するたびに送信される、プレーンテキストのパスワードを含むメール
いやだっていうだけだよ。ローカルの安全なログサーバーがある場合は、これがその場でログに記録されていることを彼に確認させます。
基本的に言って申し訳ありませんが、この男とハードボールをする必要があります。ポリシーに正確に従ってください。逸脱しないでください。嘘をつかない。そして、彼がポリシーに違反している何かのためにあなたを失敗させたら、彼を送った会社で彼の上司に文句を言ってください。このすべての紙の証跡を収集して、あなたが合理的であったことを証明します。あなたがあなたの方針を破ったなら、あなたは彼のなすがままです。あなたが彼らを手紙に従っているならば、彼は結局解任されるでしょう。
はい、監査人isばかです。しかし、ご存知のように、馬鹿は権力の座に置かれることがあります。これはそれらのケースの1つです。
彼が要求した情報はzeroシステムの現在のセキュリティに関係しています。認証にLDAPを使用しており、パスワードは一方向ハッシュを使用して保存されていることを監査人に説明します。パスワードハッシュに対してブルートフォーススクリプトを実行する(数週間(または数年)かかる可能性がある)場合は、パスワードを提供できなくなります。
同様に、リモートファイル-サーバー上で直接作成されたファイルとサーバーにSCPで接続されたファイルを区別できるはずであると彼がどのように考えているかを聞きたいと思います。
@wombleが言ったように、何も偽造しないでください。それは役に立たないでしょう。この監査を破棄し、別のブローカーに罰金を科すか、またはこの「専門家」が彼のチーズがクラッカーから滑り落ちたことを納得させる方法を見つけます。
「セキュリティ監査人」に これらのドキュメント のいずれかのテキストをポイントさせ、彼の要件があり、彼が言い訳をするのに苦労していて、最終的には二度と聞こえないように言い訳しているのを見てください。
WTF!申し訳ありませんが、これは私の唯一の反応です。私が聞いたときに、プレーンテキストのパスワードを必要とする監査要件はなく、パスワードが変更されたときにパスワードを入力することは言うまでもありません。
第一に、あなたにそれを提供するという要件を示すように彼に依頼してください。
2つ目は、これがPCIの場合(支払いシステムの質問であるため、だれもが想定しているものです)、ここにアクセスします https://www.pcisecuritystandards.org/approved_companies_providers/qsa_companies.php そして新しい監査を取得します。
3番目に、彼らの上記の発言に従い、経営陣に連絡し、彼が協力しているQSA会社に連絡してもらいます。その後、すぐに別の監査人を取得します。
監査人は、システムの状態、標準、プロセスなどを監査します。監査人は、システムへのアクセスを提供する情報を持っている必要はありません。
推奨される審査員または審査員と密接に連携する別のコロが必要な場合は、私に連絡してください。参考にさせていただきます。
幸運を!あなたの腸を信頼してください、何かが間違っているように思われる場合、それはおそらく間違っています。
彼がパスワードを知り、秘密鍵にアクセスする正当な理由はありません。彼が要求したことは、詐欺的な取引である可能性を検出する方法なしに、任意の時点で任意のクライアントになりすまし、彼が望むだけの金額を吸い上げる能力を彼に与えるでしょう。それはまさに彼があなたを監査することになっているセキュリティの脅威のタイプになるでしょう。
監査人がセキュリティポリシーの違反を要求し、その要求が違法であることを経営陣に通知します。彼らが現在の監査会社を捨てて合法的な会社を見つけたいと思うかもしれないことを示唆してください。警察に連絡し、(英国では)違法な情報を要求するために監査人を回します。次に、PCIを呼び出して、監査人に要求を提出します。
リクエストは、誰かを無作為に殺害し、身体を手渡すことを要求するのと同じです。そうしますかそれとも警官に電話して提出しますか?
lawsuitで応答します。監査人が平文のパスワードを要求している場合(これからは、弱いパスワードハッシュを総当たりまたはクラックするのはそれほど難しくありません)、おそらく資格情報について嘘をつきました。
あなたの応答の言葉遣いに関するヒント:
残念ながら、主にプレーンテキストのパスワード、パスワードの履歴、SSHキー、リモートファイルログなど、要求された情報の一部を提供する方法はありません。 これらは技術的に不可能であるだけではありません ...
技術的な実現可能性についての議論に入らないように、これを言い換えます。監査人から送信されたひどい最初の電子メールを読んでいると、これは主な問題に関連しない詳細を選択できる人物であるように見え、彼はあなたができたと主張するかもしれませんパスワードの保存、ログインのログなど。
...厳格なセキュリティポリシーにより、パスワードをプレーンテキストで記録したことはありません。したがって、このデータを提供することは技術的に不可能です。
または
...お客様のリクエストに応じることにより、社内のセキュリティレベルを大幅に低下させるだけでなく、...
幸運を祈ります。これがどのように終わるかを投稿してください!
この質問に飛び込むハイレップユーザーのラッシュを続けるリスクがあるので、ここに私の考えがあります。
彼がプレーンテキストのパスワードを必要としている理由が漠然とわかります。それは、使用しているパスワードの品質を判断するためです。それはそれについてのくだらない方法です、私が知っているほとんどの監査人は、暗号化されたハッシュを受け入れ、クラッカーを実行して、彼らが引き出すことができるどんな種類の簡単な果物を見るでしょう。全員がパスワードの複雑さのポリシーを検討し、それを実施するために実施されている安全対策を確認します。
しかし、いくつかのパスワードを提供する必要があります。プレーンテキストのパスワード配信の目的は何であるかを尋ねることをお勧めします(ただし、すでにこれを行っていると思います)。彼はそれがあなたのコンプライアンス対セキュリティポリシーを検証することであると言ったので、彼にあなたにそのポリシーを与えるようにしてください。ユーザーに自分のパスワードをP@55w0rdそして、問題の6か月間、おそらく設置されています。
彼がそれをプッシュする場合、それらを記録するように設定されていないためにプレーンテキストのパスワードを配信できないことを認めなければならない場合があります(重大なセキュリティ障害のため)、彼が必要な場合は将来的にそうすることができますパスワードポリシーが機能していることを直接確認します。そして、彼がそれを証明したいのであれば、クラッキングパスオーバーを実行するために、暗号化されたパスワードデータベースを彼(またはあなた!喜んで見せてください!助けて!)に喜んで提供します。
「リモートファイル」は、SFTPセッションのSSHログから抽出される可能性があります。これは、彼が話していると私が推測していることです。 6か月分のsyslogがない場合、これを作成するのは困難です。 SSH経由でログインしているときに、wgetを使用してリモートサーバーからファイルをプルすることは、「リモートファイル転送」と見なされますか? HTTP PUTですか?リモートユーザーのターミナルウィンドウのクリップボードテキストから作成されたファイル?どちらかと言えば、これらのEdgeケースで彼を苦しめることができ、この領域での彼の懸念をよりよく感じ、おそらく「私はあなたよりもこれについてもっと知っている」という感覚と、彼が考えている特定のテクノロジーを教え込むことができます。次に、バックアップのログとアーカイブログから何ができるかを抽出します。
SSHキーで何も取得できませんでした。私が考えることができる唯一のことは、彼が何らかの理由でパスワードなしのキーをチェックしていること、そしてたぶん暗号強度です。そうでなければ、何も得られませんでした。
これらのキーを取得することに関しては、少なくとも公開キーの取得は十分簡単です。 .sshフォルダーを探して探してください。秘密鍵を取得するには、BOFH帽子を脱ぎ、ユーザーに「公開および秘密のSSHキーペアを送信してください。取得しないものは13日以内にサーバーから削除されます」という調子で操作します。誰かが不法行動を起こした場合(私は)セキュリティ監査を指摘します。ここでは、スクリプト作成の友です。最低でも、パスワードなしの鍵ペアがパスワードを取得することになります。
それでも彼が「電子メールの平文パスワード」を主張する場合、少なくともそれらの電子メールに彼自身の鍵を使用したGPG/PGP暗号化を適用します。彼の才能に値するセキュリティ監査人は、そのようなことを処理できるはずです。そうすれば、パスワードが漏洩した場合、それは彼が「あなたではなく」それらを公開したためです。さらに別のリトマスは能力をテストします。
これについては、ZypherとWombleの両方に同意する必要があります。危険な結果を伴う危険な馬鹿。
彼はおそらくあなたがセキュリティリスクかどうかを確認するためにあなたをテストしています。これらの詳細を彼に提供すると、おそらくすぐに解雇されます。これを直接上司に渡して、金を渡します。このお尻が再びあなたの近くのどこかに来たら、関係当局に関与することを上司に知らせてください。
それはボスが支払われるものです。
パスワード、SSHキー、ユーザー名のリストが記載されたタクシーの後ろに紙が残っているというビジョンがあります。うーん!今すぐ新聞の見出しを見ることができます!
更新
以下の2つのコメントへの回答として、両方とも良い点があると思います。真実を実際に見つける方法はなく、質問が投稿されたという事実は、ポスターの一部に少しナイーブであるだけでなく、他の人が彼らの頭を突き刺す潜在的なキャリアの結果を伴う不利な状況に直面する勇気を示しています砂と逃げる。
価値あることについての私の結論は、これはおそらく監査人または監査人の方針が有能であるかどうかに関係なく、ほとんどの読者がこの状況で何をするのか疑問に思っている完全に興味深い議論であるということです。ほとんどの人は、この種のジレンマに実際の生活の中で何らかの形で直面するでしょう。これは、一人の肩に押し付けられるべき責任ではありません。これへの対処方法に関する個人の決定ではなく、ビジネスの決定です。
明らかに、ここには多くの良い情報がありますが、私の2cを追加できます。主にアカウント管理のセキュリティポリシーへの準拠と監査の通過を支援するために、雇用主から大企業に世界中で販売されているソフトウェアを書いている人です。それだけの価値があるからです。
まず、あなた(そして他の人々)が指摘したように、これは非常に疑わしく聞こえます。監査人が、彼が理解していない手順に従う(可能性がある)か、脆弱性をテストしてソーシャルエンジニアリング(フォローアップのやり取りの後ではない)か、詐欺的なソーシャルエンジニアリング(可能性もあります)か、一般的なバカ(おそらく)最も可能性が高い)。アドバイスに関しては、経営陣に相談したり、新しい監査会社を見つけたり、適切な監督機関に報告したりすることをお勧めします。
ノートに関しては、いくつかの事柄があります:
- システムが許可するように設定されている場合、彼が要求した情報を提供するのは可能(特定の条件下で)です。ただし、これは、どのような意味でもセキュリティの「ベストプラクティス」ではなく、一般的なことでもありません。
- 一般に、監査は実際の安全な情報を検査するのではなく、プラクティスの検証に関係しています。私は、実際にプレーンテキストのパスワードや証明書を要求するのではなく、それらが「適切」で適切に保護されていることを確認するために使用される方法よりも、非常に疑わしいと思います。
それが他の人々が助言したことをほとんど繰り返しているとしても、それが役に立てば幸いです。あなたのように、私は彼らのことを話していないので(私の個人的なアカウント/意見など)、私の場合は私の会社に名前を付けません。それが信頼性を損なう場合はお詫び申し上げますが、そうです。幸運を。
これは ITセキュリティ-スタック交換 に投稿できます。
私はセキュリティ監査の専門家ではありませんが、セキュリティポリシーについて最初に学んだことは"NEVER GIVE PASSWORDS AWAY"。この男はおそらくこのビジネスに10年間携わっていますが、Wombleのように"no, you have 5 minutes of experience repeated hundreds of times"
私は以前から銀行のIT担当者と仕事をしていて、あなたが投稿したのを見て、それを見せました...彼らはとても笑っていました。彼らは男が詐欺のように見えると私に言った。彼らは銀行の顧客の安全のためにこの種のことを扱っていました。
明確なパスワード、SSHキー、パスワードログを要求することは、明らかに深刻な専門家の不正行為です。この男は危険です。
私はすべてが順調であること、そしてあなたが彼らとのあなたの以前のトランザクションのログを保持できたという事実に問題がないことを願っています。
ポイント1、2、4、および5で要求された情報(公開鍵を除く)を提供できる場合は、監査に失敗するはずです。
セキュリティポリシーではプレーンテキストのパスワードを保持しないこと、およびパスワードを元に戻せないアルゴリズムを使用して暗号化する必要があるため、準拠できないことをポイント1、2、5に正式に回答します。ポイント4についても、セキュリティポリシーに違反するため、秘密鍵を提供することはできません。
ポイント3について。あなたがデータを持っている場合それを提供します。収集する必要がなかったためにそうしなかった場合は、そのように発言し、新しい要件にどのように取り組んでいるかを示します。
サーバーのセキュリティ監査人から次の要求がありました2週間以内:
...
セキュリティ監査に失敗すると、カード処理プラットフォーム(システムの重要な部分)にアクセスできなくなり、他の場所に移動するには2週間ほどかかります 。私はどのくらいねじ込まれていますか?
自分の質問に答えたようです。 (ヒントについては、太字のテキストを参照してください。)
頭に浮かぶのは1つのソリューションだけです。全員に最後と現在のパスワードを書き留めて、すぐに新しいパスワードに変更してもらいます。パスワードの品質(およびパスワードからパスワードへの移行の品質)をテストする場合、たとえば、誰もrfvujn125を使用していないことを確認し、次にrfvujn126それらの次のパスワードとして、)古いパスワードのリストで十分です。
それが許容できないと思われる場合は、その男がAnonymous/LulzSecのメンバーであると思われます...その時点で、彼にハンドルを教えて、そのようなスクラブをやめるように言う必要があります。
Oliが言ったように:問題の人物はあなたに法律(データ保護/ EU機密性指令)/内部規則/ PCI標準を破らせようとしています。経営陣に通知する必要があるだけでなく(既におっしゃったように)、必要に応じて警察に電話をかけることができます。
問題の人物が何らかの認定/認証を保持している場合。 CISA(Certified Information Systems Auditor)、またはUS CPAに相当する英国(公認会計士の指定)の場合は、認定機関に調査を依頼することもできます。その人はあなたに法律を破らせようとしているだけでなく、非常に無能な「監査」でもあり、おそらく認定された監査人が認定の喪失の痛みを遵守しなければならないすべての倫理監査基準に違反しています。
さらに、問題の人物がより大きな会社のメンバーである場合、前述の監査組織は、監査と監査の提出の質を監視し、苦情を調査するある種のQA部門を必要とすることがよくあります。そのため、問題の監査会社に不平を言うこともできます。
私はまだ勉強していて、サーバーを設定するときに最初に学んだことは、プレーンテキストのパスワードをログに記録できるようにすると、すでに大規模な侵害の危険にさらされているということです。パスワードは、それを使用するユーザー以外には知られてはなりません。
この人が真面目な監査人であるならば、彼はあなたにこれらのことを尋ねるべきではありません。私にとって、彼は misfeasor のように聞こえます。この男は完全な馬鹿のように聞こえるので、私は規制機関に確認します。
更新
ちょっと待ってください。対称暗号化を使用してパスワードを送信するだけで、平文をデータベースに保存するか、またはそれらを復号化する方法を提供する必要があると彼は信じています。つまり、基本的には、データベースへのすべての匿名攻撃の後、プレーンテキストのユーザーパスワードが表示された後、これは環境を「保護する」ための良い方法だと信じています。
彼は1960年代に立ち往生している恐竜です...
- すべてのサーバー上のすべてのユーザーアカウントの現在のユーザー名とプレーンテキストパスワードのリスト
- 現在のユーザー名は「これをリリースできます」の範囲内である可能性があり、「これを表示することはできますが、オフサイトに移動することはできません」の範囲内である必要があります。
- 平文のパスワードは、一方向のハッシュよりも長く存在することはできません。また、決してメモリを離れることはありません(ワイヤをまたぐこともありません)。そのため、永続的なストレージに存在することはできません。
- 過去6か月間のすべてのパスワード変更のリスト。これも平文
- 「永続ストレージは禁止事項」を参照してください。
- 過去6か月の「リモートデバイスからサーバーに追加されたすべてのファイル」のリスト
- これは、支払い処理サーバーとの間のファイル転送を確実にログに記録するためである可能性があります。ログがない場合は、関連するセキュリティポリシーがその情報のロギングについて何を言っているかを確認してください。
- SSHキーの公開キーと秘密キー
- 「SSH鍵にパスフレーズが必要」を確認する試みがポリシーに含まれている可能性があります。すべての秘密鍵にパスフレーズが必要です。
- ユーザーがパスワードを変更するたびに送信される、プレーンテキストのパスワードを含むメール
- これは間違いなくノーノーです。
必要に応じて、PCIコンプライアンス、SOX_compliance、および内部セキュリティポリシードキュメントに裏付けられた、私の答えの線に沿った何かで応答します。
パスワードのクラッキングインフラストラクチャを構築するには時間、労力、費用がかかると彼に言いますが、SHA256などの強力なハッシュを使用しているため、2週間以内にパスワードを提供できない場合があります。その上で、このデータを誰かと共有することが合法であるかどうかを確認するために法務部門に連絡したことを私は言うでしょう。 PCI DSSあなたがしたように言及するのも良い考えです。:)
私の同僚は、この投稿を読んでショックを受けています。
この連中は高い天国へのリークを要求し、今後のやり取りはすべてCTOを通過するべきだと私は同意する。彼はあなたがこの要求に応えることができなかった、機密情報を公開したことであなたを転倒させようとしているのか、それともまったく無能なのか。うまくいけば、あなたのCTO /マネージャーがこの人の要求を二重に取り、前向きな行動が行われ、彼らがこの人の行動の背後にある場合は...それが起こった場合、それはいくつかの場所を探し始める時が来たように聞こえます。
ハニーポットアカウントのユーザー名/パスワード/秘密鍵のリストを彼に提供したいと強く思うでしょう。もし彼がこれらのアカウントのログインをテストした場合、コンピューターシステムへの不正アクセスがないか彼に確認します。しかし、残念ながら、これはおそらく、詐欺的な表現をするために、少なくとも何らかの種類の民事不法行為にあなたをさらします。
パスワードへのアクセス権がないため、パスワードを渡すことはできないと述べて、情報の開示を拒否してください。私自身が監査人であるため、彼は何らかの機関を代表しているに違いありません。そのような機関は通常、そのような監査のガイドラインを公開しています。そのようなリクエストがそれらのガイドラインに準拠しているかどうかを確認してください。あなたはそのような団体に不満を言うことさえできます。また、不正行為があった場合、すべてのパスワードを持っているため、責任が彼(監査人)にある可能性があることを監査人に明確に伝えます。
要求された情報を彼に提供する方法はないと私は言うでしょう。
- ユーザー名は、システムへのアクセス権を持つアカウント、セキュリティリスクへの洞察を彼に提供します
- パスワード履歴は、使用されているパスワードパターンへの洞察を提供し、チェーン内の次のパスワードを推測することにより、攻撃の可能性を提供します。
- システムに転送されたファイルには、システムへの攻撃に使用される可能性がある機密情報が含まれている可能性があります。
- 公開鍵と秘密鍵、意図したユーザー以外の誰かにそれらを渡した場合、それらを持っていることは一体何ですか?
- ユーザーがパスワードを変更するたびに送信される電子メールは、すべてのユーザーアカウントの最新のパスワードを提供します。
この男はあなたのプロンカーの仲間を引っ張っています!あなたは彼の法外な要求を確認するために、彼の上司または会社の他の監査人と連絡を取る必要があります。そして、できるだけ早く離れてください。
これで問題は解決しましたが、将来の読者のために...
それを考慮して:
これに1時間以上費やしたようです。
あなたは会社の弁護士に相談しなければなりませんでした。
彼らはあなたの合意を変更した後、多くの仕事を求めています。
あなたはお金を使い、より多くの時間を切り替えるでしょう。
あなたはあなたが前もってたくさんのお金を必要とするであろうと説明しなければなりません、そして、4時間の最低限があります。
最後の数回私は誰かに突然彼らはそれほど必要ではなかったと言いました。
契約が変更されたため、スイッチオーバー中に発生した損失と所要時間については引き続き請求できます。彼らが2週間以内に支払うと言っているわけではありません。彼らがその期間内にあなたが従うと思っていたのと同じくらいです。
あなたの弁護士事務所が収集通知を送るならば、それは彼らをがたがたにします。それは監査人の会社の所有者の注意を引くはずです。
私は彼らとそれ以上の取引をしないようにアドバイスします。問題をさらに議論するだけで、必要な仕事の保証金が必要になります。その後、あなたはそれらをオフに伝えるために支払うことができます。
同意が有効で、反対側の誰かがRails-それがセキュリティまたはインテリジェンスのテストでない場合、それは確かにあなたの忍耐力のテストです。