所有服务器上所有用户帐户的当前用户名和纯文本密码列表
过去六个月中所有密码更改,均以纯文本格式
过去六个月中“从远程设备添加到服务器的每个文件”列表
任何SSH密钥的公钥和私钥
每当用户更改密码时,都会向他发送一封电子邮件,其中包含纯文本密码。
我们正在运行具有LDAP身份验证的Red Hat Linux 5/6和CentOS 5。 />
据我所知,该列表上的所有信息都是不可能的或难以置信的,但是如果我不提供此信息,我们将面临过渡期间无法使用我们的支付平台和收入损失的问题期间,我们开始使用新服务。关于如何解决或伪造此信息的任何建议?
我想获得所有纯文本密码的唯一方法是,让所有人重置密码并记下它们的设置它来。这不能解决过去六个月的密码更改问题,因为我无法追溯性地记录此类内容,因此记录所有远程文件也是如此。
获取所有由于我们只有少数用户和计算机,因此可以使用公共和私有SSH密钥(尽管很烦人)。除非我错过了更简单的方法?
我已经多次向他解释过他所要求的事情是不可能的。为了回应我的担忧,他回复了以下电子邮件:建议您检查
关于什么是和不可能的事实。您说没有公司可以提供此信息,但是我已经进行了数百次审核
这些信息很容易获得的地方。所有[通用信用卡
卡处理提供商]客户都必须遵守我们的新
安全策略,并且此审核旨在确保正确实施这些策略*。
*“新安全策略”是在我们审核前两周推出的,在策略更改之前不需要六个月的历史记录。
“伪造”六个月的密码更改并使其看起来有效的方法
“伪造”六个月的入站文件传输的方法
收集所有正在使用的SSH公钥和私钥的简单方法
如果我们未能通过安全审核,我们将无法访问我们的卡处理平台(系统的关键部分),这将需要两个时间个星期搬到其他地方。
更新1(23日星期六)
我感谢您的所有答复,这不是标准做法,这让我感到非常欣慰。
我目前正在计划对他的电子邮件回复,以说明情况。正如你们中许多人所指出的,我们必须遵守PCI,PCI明确指出我们不应有任何方式来访问纯文本密码。写完电子邮件后,我将发布该电子邮件。不幸的是,我不认为他只是在测试我们。这些东西现在已经在公司的官方安全政策中了。但是,我暂时启动了轮子,使其离开它们,移到PayPal上。
更新2(23日星期六)
这是电子邮件已经起草了,对添加/删除/更改的东西有什么建议吗?
[姓名],
您好,我们无法提供任何方法为您提供所需的一些信息,主要是纯文本密码,密码历史记录,SSH密钥和远程文件日志。这些事情不仅在技术上是不可能的,而且能够提供此功能
信息既违反PCI标准,又违反了
数据保护法。
要引用PCI要求,
8.4使所有密码在传输和存储过程中不可读
所有系统组件都使用强密码。
我可以为您提供
我们系统上使用的用户名和哈希密码列表,
SSH公钥的副本和授权的主机文件(这将
为您提供足够的信息,以确定可以连接到我们服务器的唯一用户数
,以及所使用的加密方法),
有关我们的密码安全要求和我们的LDAP
服务器,但此信息可能无法从现场获取。我强烈建议您查看审核要求,因为目前尚无办法
使我们通过审核,同时又要遵守PCI和《数据保护法》。
问候,
[我]
我将担任公司CTO和客户经理的CC'ing,我希望CTO可以确认此信息是无法使用。我还将与PCI安全标准委员会联系,以解释他对我们的要求。
更新3(26日)
这里有一些我们交换的电子邮件;
RE:我的第一封电子邮件;
如所解释的,此信息应易于在任何维护良好的系统上提供给任何合格的管理员。您无法提供此信息使我相信您知道系统中的安全漏洞,并且不准备透露这些漏洞。我们的
请求符合PCI准则,并且都可以满足。强大的
加密仅表示在用户输入密码时必须对其进行加密,但随后应将其移动为可恢复的格式以供以后使用。
我看到这些请求没有数据保护问题,仅数据保护
适用于消费者而不是企业,因此该信息应该没有问题。
什么,我什至不能...
“强加密仅意味着在用户输入密码时必须对密码进行加密
,但随后应将它们转换为可恢复的格式以供以后使用。”
我要把它框起来放在墙上。
我对成为外交官感到厌烦,并指示他到这个话题向他展示我得到的答复:
提供此信息直接违反了PCI准则的若干要求。我引用的部分甚至说
storage
(暗示我们在磁盘上存储数据的位置)。我在ServerFault.com(用于sys-admin专业人士的在线社区)上发起了一个讨论,该讨论引起了巨大反响,所有提示都无法提供此信息。随时阅读自己的内容
https: // serverfault.com/questions/293217/
我们已经完成了将系统转移到新平台的工作,并且将
在第二天左右取消与您的帐户,但我希望您
意识到这些要求是多么荒谬,并且没有公司
正确实施PCI准则能够或应该做到
提供此信息。我强烈建议您重新考虑您的
安全要求,因为您的所有客户都不应该
遵守此要求。
(我实际上已经忘记了我在标题中称他为白痴,但正如我们提到的,我们已经离开他们的平台了,所以没有真正的损失。)您正在谈论:
我通过这些回复和您的原始帖子进行了详细阅读,
响应者都需要弄清事实。我去过这里
行业比该站点上的任何人都要长,获取用户帐户密码列表非常基础,这应该是您在学习如何保护系统安全时要做的第一件事之一,这是必不可少的
任何安全服务器的操作。如果您确实缺乏执行此简单操作的技能,那么我将假定您没有在服务器上安装PCI,因为能够恢复此信息是基本要求。该软件。在处理诸如安全之类的问题时,如果您不了解公共安全的工作原理,则不要在公共论坛上问这些问题。
我也想建议任何试图揭露我的尝试,或者
[公司名称]将被视为诽谤,并将采取适当的法律行动
如果您错过了关键的愚蠢要点他们:
他成为安全审核员的时间比这里的任何人都要长(他在猜测或跟踪您)
能够在UNIX上获得密码列表系统是“基本”
PCI现在是软件
如果不确定安全性,人们不应该使用论坛
在网上发布事实信息(我有电子邮件证明的人)是诽谤
非常好。
PCI SSC已做出回应,并正在调查他和公司。我们的软件现已移至PayPal,因此我们知道它是安全的。我将等待PCI首先返回我,但我有点担心他们可能在内部使用了这些安全措施。如果是这样,我认为这是我们的主要关切,因为我们所有的卡处理都通过它们进行。如果他们在内部进行此操作,我认为要做的唯一负责任的事情就是通知我们的客户。
我希望PCI当意识到他们有多糟糕时,他们将调查整个公司和系统,但我不确定。
所以现在我们已经离开了他们的平台,并且假设至少要等几天PCI才能回到我身边,关于如何诱骗他的任何创造性建议? =)
一旦我得到我的法务人员的许可(我非常怀疑其中任何一项都是诽谤,但我想仔细检查),我将发布公司名称,他的姓名和电子邮件,如果愿意,可以与他联系并解释为什么您不了解Linux安全性的基础知识,例如如何获取所有LDAP用户密码的列表。
小更新:
我的“合法人士”建议透露该公司可能会引起比需要更多的问题。我可以说,虽然这不是主要的提供商,但使用此服务的客户少于100个。我们最初是在站点很小且运行在少许VPS上时才开始使用它们的,我们不想花所有的精力来获得PCI(我们曾经重定向到它们的前端,例如PayPal Standard)。但是,当我们转向直接处理卡(包括获取PCI和常识)时,开发人员决定继续使用同一家公司,只是使用不同的API。该公司位于英国伯明翰,所以我非常怀疑这里的任何人都会受到影响。
#1 楼
首先,不要投降。他不仅是个白痴,而且危险地错误。实际上,发布此信息将违反PCI标准(我假定审核是针对它的,因为它是付款处理器)以及那里的所有其他标准,只是普通常识。这也会使您的公司承担各种责任。接下来,我要发送一封电子邮件给您的老板,说他需要聘请公司法律顾问,以确定此诉讼将使公司面临的法律风险。
这取决于您,但是我会联系VISA并提供此信息,以获取其PCI审核员身份。
评论
你打败我了!这是非法请求。获取PCI QSA以审核处理器的请求。打电话给他。盘绕马车。 “为枪支充电!”
–韦斯利
2011年7月22日在23:29
“不让他的PCI审核员身份被取消”我不知道这意味着什么……但是这个小丑(审核员)所拥有的任何权限显然来自湿饼干插孔盒,需要撤销。 +1
–WernerCD
2011年7月23日下午0:53
所有这些都假设这个人实际上是合法的审计师...他对我来说听起来非常可疑。
–里德
11年7月23日在1:30
我同意-可疑的审计员,或者他是合法的审计员,以查看您是否足够愚蠢地执行任何这些操作。询问他为什么需要此信息。只需考虑密码,密码永远不能是纯文本,而应该以某种单向加密(哈希)的方式进行。也许他有一些合理的理由,但是凭借他的所有“经验”,他应该能够帮助您获得必要的信息。
–vol7ron
2011年7月23日在3:09
为什么这很危险?所有纯文本密码的列表-应该没有密码。如果列表不为空,则他有一个有效点。 msot事情也是如此。如果您没有它们,因为它们不在那里,请说。添加了远程文件-这是审核的一部分。不知道-开始放入一个知道的系统。
– TomTom
2011年7月23日下午5:17
#2 楼
作为已经通过普华永道会计师事务所进行机密政府合同审计程序的人,我可以向您保证,这完全是不可能的,而且这个人很疯狂。普华永道想检查一下他们的密码强度:
要求查看我们的密码强度算法
根据我们的算法对测试单元进行了测试,以检查它们是否会拒绝较差的密码
要求查看我们的密码强度加密算法,以确保即使是对系统各个方面均具有完全访问权限的人也无法对它们进行反向或未加密(即使通过Rainbow表也是如此)
检查是否已缓存了以前的密码,以确保他们无法重复使用
向我们征求了他们的许可(我们已授予他们),以便他们尝试使用非社会工程技术(例如xss和非0天漏洞)入侵网络和相关系统
如果我什至暗示我可以告诉他们过去6个月的用户密码是什么nths,他们会立即将我们从合同中拒之门外。 />更新:您的回复电子邮件看起来不错。比我写的任何东西都要专业得多。
评论
+1。看起来像明智的问题,不应该回答。如果您可以回答他们,那么您将面临一个愚蠢的安全问题。
– TomTom
2011年7月23日下午5:18
即使通过彩虹表也不排除NTLM吗?我的意思是,它不加盐... AFAICR MIT Kerberos没有加密或散列活动密码,不知道当前状态是什么
–休伯特·卡里奥(Hubert Kario)
2011年7月23日在16:45
@Hubert-我们没有使用NTLM或Kerberos,因为禁止了传递身份验证方法,并且该服务始终未与活动目录集成。否则,我们也不会向他们展示我们的算法(它们已内置在操作系统中)。应该提到的-这是应用程序级别的安全性,而不是操作系统级别的审核。
–马克·亨德森(Mark Henderson)
11年7月23日在21:59
@tandu-这就是分类级别的规范。阻止人们重新使用其前n个密码也很普遍,因为它阻止人们仅循环使用两个或三个常用密码,这与使用相同的通用密码一样不安全。
–马克·亨德森(Mark Henderson)
2011年7月25日23:39
@Slartibartfast:但是要知道密码的纯文本意味着攻击者也可以闯入您的数据库并检索所有内容。至于防止使用相似密码的保护,可以在客户端的javascript中完成,当用户尝试更改密码时,在将新密码发布到服务器之前,还请询问旧密码并与旧密码进行相似性比较。当然,它只能防止重复使用最后一个密码,但是IMO以明文形式存储密码的风险更大。
– Lie Ryan
2011年8月2日在14:15
#3 楼
老实说,听起来这家伙(审计师)正在设置您。如果您向他提供他所要求的信息,那么您就向他证明了您可以通过社会工程来放弃重要的内部信息。失败。评论
另外,您是否考虑过第三方支付处理器,例如authorize.net?我工作的公司通过它们进行了大量的信用卡交易。我们不必存储任何客户付款信息-authorize.net可以管理该信息-因此,我们无需对系统进行审核即可使事情复杂化。
–天文学
11年7月22日在23:42
这正是我所想的。社会工程可能是获取此信息的最简单方法,我认为他正在测试漏洞。这个家伙很聪明也很笨
–乔·菲利普斯(Joe Phillips)
2011年7月23日在0:08
这个职位至少是最合理的第一步。告诉他,您将通过任何方式违反法律/规则/任何规定,但是您赞赏他的狡猾。
–迈克尔
2011年7月23日在2:59
愚蠢的问题:在这种情况下可以接受“设置”吗?通用逻辑告诉我,审核过程中不应包含“技巧”。
–前
2011年7月23日在21:04
@Agos:几年前,我在一个地方工作,该地方雇用了一家代理商进行审计。审计的一部分包括通过“
–托比
11年7月28日在12:04
#4 楼
我刚刚发现您在英国,这意味着他要您做的是违反法律(实际上是《数据保护法》)。我也在英国,也为一家大型且经过审计的公司工作,并且了解该领域的法律和惯例。我也是一件很讨厌的作品,如果您愿意的话,他会为您高兴地为这个家伙加盖印章,让我知道您是否想要帮助。评论
假设这些服务器上有任何个人信息,我认为将/ all /凭据以纯文本的形式交给具有这种已证明无能的人员,将明显违反原则7 ...(“适当的技术和组织措施应当防止未经授权或非法处理个人数据,以及防止意外丢失或破坏个人数据。”)
–斯蒂芬·维斯(Stephen Veiss)
11年7月23日在15:18
我认为这是一个合理的假设-如果您要存储付款信息,则可能还会为用户存储联系信息。如果我担任OP的职务,则除了提出政策和PCI之外,还有一个更强有力的论点:“您要我做的不仅违反[遵守PCI的政策和合同义务,而且是违法的”” 。
–斯蒂芬·维斯(Stephen Veiss)
2011年7月23日在18:25
@Jimmy为什么密码不是个人数据?
–robertc
2011年7月24日在20:45
@Richard,您知道这是一个隐喻吗?
–Chopper3
2011年7月28日在9:34
@ Chopper3是的,我仍然认为这是不合适的。另外,我要反对AviD。
–理查德·加兹登(Richard Gadsden)
2011年7月28日在9:38
#5 楼
您正在接受社会工程。要么“测试您”,要么是冒充审计员的黑客以获取一些非常有用的数据。评论
为什么这不是最佳答案?这是否说明了有关社区,简化社会工程学的信息,还是我缺少基本知识?
– Paul
2011年7月26日在22:31
从不归咎于恶意可以归因于无知
–aldrinleal
2011年7月26日23:52
但是,当审计师声称自己是专业人士时,将所有这些请求归因于无知,这会使想象力有些伸张。
–托马斯K
2011年7月27日在16:24
这种理论的问题在于,即使他“为之失败”或“测试未通过”,他也无法向他提供信息,因为这是不可能的.....
–版
11年7月28日在1:03
我最好的猜想也是“严重的社会工程学”(这是凯文·米特尼克(Kevin Mitnick)即将出版的新书的巧合吗?)在这种情况下,您的支付公司会感到惊讶(您是否已与他们核实过此“审计”?) 。另一个选择是一个非常新手的审计师,没有Linux知识,他曾尝试虚张声势,现在正越来越深入地挖掘自己。
– Koos van den Hout
11年7月28日在13:57
#6 楼
我非常担心OP缺乏道德问题解决能力,并且服务器故障社区忽略了这种公然违反道德行为的行为。 “伪造”六个月的密码更改并使其看起来有效“伪造”六个月的入站文件传输的方法
让我清楚两点:
在正常业务过程中伪造数据永远是不合适的。
您切勿将此类信息泄露给任何人。永远。
伪造记录不是您的工作。确保所有必要的记录都是可用的,准确的和安全的是您的工作。您不能仅凭技术回复来解决这些问题,也不能忽视违反道德责任的行为。
在此线程中看到如此多的高级用户答复,而没有提及该问题的道德含义使我感到悲伤。 />我鼓励大家阅读SAGE系统管理员的道德规范。
顺便说一句,您的安全审核员是个白痴,但这并不意味着您需要承受工作不道德的压力。 >编辑:您的更新是无价的。保持低着头,粉末干燥,不要服用(或给予)任何木制镍。
评论
我不同意。 “审计师”欺负OP泄露泄露信息,从而破坏组织的整个IT安全。 OP在任何情况下都不应生成这些记录并将其提供给任何人。 OP不应伪造记录;可以很容易地看出它们是假的。 OP应该向上级解释安全审核员要求的原因是恶意意图还是完全不称职(以纯文本形式发送电子邮件密码)所构成的威胁。 OP应建议立即终止安全审核员并全面调查前审核员的其他活动。
– jimbob博士
2011年7月25日15:01
jimbob博士,我认为您没有明白这一点:“ OP不应伪造记录;很容易将它们视为伪造。”仍然是不道德的立场,因为您建议他仅在无法将数据与真实数据区分开时才伪造数据。发送错误数据是不道德的。将您的用户密码发送给第三方是疏忽大意的。因此,我们同意在这种情况下需要采取一些措施。我评论在解决这个问题时缺乏批判性的道德思考。
–约瑟夫·科恩(Joseph Kern)
2011年7月25日15:22
我不同意“确保这些记录可用,准确且安全是您的工作”。您有义务确保系统安全;如果不合理的请求(例如存储和共享纯文本密码)危害了系统,则不应执行这些请求。存储,记录和共享纯文本密码是对用户的严重信任破坏。这是一个巨大的红旗安全威胁。可以并且应该在不暴露明文密码/ ssh私钥的情况下进行安全审核;您应该让高层知道并解决该问题。
– jimbob博士
2011年7月25日在17:06
jimbob博士,我觉得我们是两艘经过深夜的船只。我同意你所说的一切;我一定不能很清楚地阐明这些观点。我将在上面修改我的初始回复。我过分依赖线程的上下文。
–约瑟夫·科恩(Joseph Kern)
2011年7月26日在21:17
@Joseph Kern,我没有以与您自己相同的方式阅读该OP。我读得更多,因为我该如何产生六个月从未保存过的数据。当然,我同意,大多数试图满足此要求的方法都是欺诈性的。但是,如果我要获取密码数据库并提取过去6个月的时间戳,我可以创建一个记录,记录仍保留哪些更改。我认为这些“伪造”数据已经丢失。
–user179700
2011年7月31日23:30
#7 楼
你不能给他想要的东西,而试图“伪造”它可能会再次咬住你(可能是合法的)。您可能需要对命令链进行上诉(尽管众所周知,安全审计是愚蠢的,但该审计师可能已经流氓了-向我询问有关希望能够通过SMB访问AS / 400的审计师)从这些繁琐的要求中脱颖而出。它们甚至都不是很好的安全性-列出所有纯文本密码是一件极其危险的事情,无论用来保护它们的方法如何,我都会我敢打赌,这个家伙会希望他们以纯文本格式发送电子邮件。 (我确定您已经知道了,我只需要发泄一下)。
对于狗屎和傻笑,请直接问他如何执行他的要求-承认您不知道如何,并希望利用他的经验。一旦出门在外,对他的“我在安全审计领域有10年以上的经验”的回答是“不,您有5分钟的经验重复了数百次”。
评论
...想要通过SMB访问AS / 400的审计师?为什么?
–巴特·银线
2011年7月23日下午0:27
我在PCI合规性公司中遇到的一再麻烦是反对一揽子ICMP过滤,而只能阻止回声。 ICMP的存在是有充分理由的,但几乎无法向众多“按脚本工作”的审核员解释这一点。
– Twirrim
2011年7月23日在2:38
@BartSilverstrim可能是清单检查的情况。正如审计师曾经告诉我的那样-审计师为何过马路?因为那是他们去年所做的。
–斯科特包
2011年7月23日在2:44
我知道这是可行的,真正的“ WTF?”审计师认为机器在通过SMB连接之前一直容易受到SMB的攻击...
–womble♦
2011年7月23日在23:03
“您有5分钟的经验,重复了数百次” –哦,这直接进入了我的报价单! :D
– Tasos Papastylianou
16年8月31日在18:56
#8 楼
如果审计师发现您现在已解决的历史问题,那么任何审计师都不应使您失望。实际上,这就是良好行为的证据。考虑到这一点,我建议两件事:a)不要说谎或编造东西。
b)请阅读您的政策。
我就是这个人:
所有[通用信用卡处理提供商]客户都必须遵守我们的新安全策略
我敢打赌在这些政策中有一条声明说,密码不能被写下,也不能传递给用户以外的任何人。如果有,则将这些策略应用于他的请求。我建议这样处理:
所有服务器上所有用户帐户的当前用户名和纯文本密码列表
向他显示用户名列表,但不允许带走。解释说,提供纯文本密码是a)不可能的,因为它是单向的,并且b)违反了政策(他正在对您进行审计),因此您不会听从。
过去六个月中所有密码更改的列表,再次以纯文本格式
解释此密码在历史上不可用。给他一个最近密码更改时间的列表,以表明此操作已完成。如上所述,将不提供密码。
过去六个月中“从远程设备添加到服务器的每个文件”的列表
说明正在记录和未记录的内容。提供您所能提供的。不要提供任何机密信息,并按政策解释为什么不这样做。询问是否需要改进日志记录。
任何SSH密钥的公共密钥和私有密钥
查看您的密钥管理策略。它应该声明不允许私钥离开其容器并且具有严格的访问条件。应用该策略,并且不允许访问。公钥是快乐的公钥,可以共享。 />
只说不。如果您有本地安全日志服务器,请允许他看到它是就地登录的。严格遵守您的政策,请勿偏离。不撒谎。而且,如果他因不符合政策要求的任何事情而使您失败,请向派遣他的公司的前辈投诉。收集所有这些的书面记录,以证明您是合理的。如果您违反政策,那将是他的摆布。如果您跟随他们来信,他将最终被解雇。
评论
同意,这就像那些疯狂的现实表演之一,在那儿,汽车服务人员将您的汽车驶离悬崖或其他令人难以置信的事情。如果上述操作对您没有帮助,我会告诉OP,准备您的简历并离开。这显然是一个荒谬和可怕的情况。
–乔纳森(Jonathan Watmough)
2011年7月23日10:30
希望我能对此+1,000,000投票。尽管这里的大多数答案几乎都说相同的话,但是这一答案更为详尽。辛苦了,@吉米!
– Iszi
11年7月24日在19:42
#9 楼
是的,审核员是白痴。但是,如您所知,有时白痴被置于权力位置。这是其中一种情况。他请求的信息对系统的当前安全性没有任何影响。向审核员说明您正在使用LDAP进行身份验证,并且密码是使用单向哈希存储的。缺少对密码哈希进行暴力破解的脚本(可能需要数周(或数年),您将无法提供密码。
同样,远程文件-我想听着,也许,他认为您应该能够区分直接在服务器上创建的文件和SCP到服务器上的文件。
正如@womble所说的,不要伪造任何东西。要么放弃这次审计,再对另一名经纪人处以罚款,要么找到一种方法说服这位“专业人士”,使他的奶酪从薄脆饼干上滑下来。
评论
+1表示“ ...他的奶酪从薄脆饼干上滑下来了。”这对我来说是新的!
–科林·艾伦
2011年7月23日在21:36
“他要求的信息对系统的当前安全性没有任何影响。” <-我实际上会说这与安全性息息相关。 :P
–Ishpeck
2011年7月27日,下午3:39
(可能要花几周(或数年),但我忘了去哪儿了,但是我在网上找到了该应用程序,该应用程序可以估算暴力破解密码所需的时间。 ,但是对于我的大多数密码,估计大约有17万亿年... :)
–卡森·迈尔斯(Carson Myers)
2011年7月29日,下午5:11
@Carson:我发现估计密码强度的在线应用程序采用了不同的方法(可能更准确):对于每个密码,它返回“您的密码不安全-您只是将其输入到不受信任的网页中!”
–詹森·欧文(Jason Owen)
2011年7月29日在5:49
@Jason哦,不,你是对的!
–卡森·迈尔斯(Carson Myers)
11年7月29日在6:03
#10 楼
让您的“安全审核员”指向这些文档中任何有其要求的文本,并注意他努力提出借口,最终借口自己再也不会被别人听到。评论
同意。为什么?一个有效的问题就是这样的情况。审核员应能够提供有关其业务/运营案例的文档。您可以对他说:“将自己置于我的位置。这是我希望有人试图进行入侵的请求。”
– jl。
11年7月27日在13:46
#11 楼
WTF!抱歉,但这是我对此的唯一反应。我从未听说过没有审计要求需要明文密码,更不用说在密码更改时将密码提供给他们了。 />
第二,如果这是用于PCI(我们都假设这是一个支付系统问题,请转到此处):https://www.pcisecuritystandards.org/approved_companies_providers/qsa_companies.php并获得新的审核员。
第三,请遵循他们的上述意见,与您的管理层联系并让他们联系与他合作的QSA公司。然后立即找另一位审核员。
审核员审核系统状态,标准,流程等。他们不需要任何信息即可访问系统。
如果希望与审核员紧密合作的任何推荐审核员或替代colo与我联系,我很乐意提供参考。
祝您好运!相信您的直觉,如果出现问题,可能就是这样。
#12 楼
没有合理的理由让他知道密码并可以访问私钥。他的要求将使他能够在任何时间模仿您的任何客户,并根据自己的意愿窃取尽可能多的资金,而没有任何方法将其视为可能的欺诈交易。这正是他应该为您审计的安全威胁类型。评论
来吧,这肯定是审计的重点,社会工程学??? 21票赞成吗?!?
– ozz
2011年7月29日在8:10
审核包括对安全程序及其是否符合既定规则的正式检查。就像消防检查员来验证您是否拥有所有必要的灭火器,并且可以根据消防法规打开门窗或您的餐厅。您不会期望消防检查员会尝试将餐厅着火,是吗?
–弗朗西·佩诺夫(Franci Penov)
2011年7月30日,下午3:20
这听起来更像是在餐厅附近设置燃烧装置,并向审核员提供远程触发,并承诺使它们保持最新状态。
– XTL
2012年3月20日13:50
#13 楼
通知管理层审计员已请求您违反安全策略,并且该请求是非法的。建议他们可能想抛弃现有的审计公司并找到合法的公司。致电警察,并要求审计员上报非法信息(在英国)。然后致电PCI,并向审计员提出要求。该请求类似于要求您随机杀死某人并移交尸体。你会那样做吗?还是会叫警察把他们交出来?
评论
为什么不只是说您不能提供信息,因为它违反了您的安全策略。在方框中打勾,并通过审核?
–user9517
11年7月23日在13:49
尽管谋杀类比可能有点过头,但您是正确的,该“审计员”违反了法律,应向您的老板,警察和PCI报告
–罗里
11年7月27日在16:48
#14 楼
回应诉讼。如果审核员要求提供纯文本密码(现在就来,蛮力破解或破解弱密码哈希并不难),他们可能会向您骗取其凭据。评论
我也认为这是不当行为,根据地区的不同,可能还会有相关法律。
–AVID
2011年7月27日在8:23
#15 楼
关于您如何表达您的回答的一个提示:不幸的是,我们无法为您提供一些请求的信息,主要是纯文本密码,密码历史记录,
SSH密钥和远程文件日志。这些事情不仅在技术上是不可能的...
我会对此重新措辞,以避免引起对技术可行性的讨论。阅读审核员发送的糟糕的初始电子邮件后,看来这是一个可以挑选与主要问题无关的详细信息的人,他可能会争辩说您可以保存密码,登录名等。 :
...由于我们严格的安全策略,我们从未以纯文本形式记录过
密码。因此,从技术上讲不可能提供此数据。
或
...遵守您的要求,降低我们的内部安全水平。
#16 楼
冒着继续使高代表用户涌入这个问题的风险,这是我的想法。我可以隐约看到他为什么要使用纯文本密码,这就是判断质量的原因使用的密码。这是一种废话,我知道大多数审计师都会接受加密的哈希并运行一个饼干来查看他们可以抽出什么样的低挂水果。所有'em都将检查密码复杂性策略,并查看实施该措施的安全措施。
但是您必须提供一些密码。我建议(尽管我认为您可能已经这样做了)问他纯文本密码传递的目标是什么。他说这是为了验证您的合规性与安全性策略,因此请他为您提供该策略。询问他是否会接受您的密码复杂性体系足够强大,可以阻止用户将其密码设置为
P@55w0rd
,并且已经在有关问题的六个月内得到了证实。 如果他按下它,您可能不得不承认您不能传递纯文本密码,因为您没有设置为记录它们(这是主要的安全漏洞),但可以努力如果他需要直接验证您的密码策略是否有效,将来可以这样做。而且,如果他想证明这一点,您将很乐意为他提供加密的密码数据库(或者您!显示愿意!它会有所帮助!),以进行破解传递。
“远程文件”很可能会从SFTP会话的SSH日志中拉出,这就是我怀疑他在谈论的内容。如果您没有6个月的syslogging,将很难生成。通过SSH登录时使用wget从远程服务器提取文件是否被视为“远程文件传输”?是HTTP PUT吗?从远程用户的终端窗口中的剪贴板文本创建的文件?如果有的话,您可以用这些极端情况来困扰他,以便更好地了解他在该领域的担忧,也许可以灌输“我比您更了解这一点”的感觉,以及他正在考虑的特定技术。然后从日志和备份的存档日志中提取出您可以使用的内容。
我在SSH密钥上一无所获。我唯一能想到的就是他出于某种原因(可能是加密强度)正在检查无密码密钥。否则,我什么也没得到。
关于获取那些密钥,至少要获取公共密钥很容易;只需拖曳.ssh文件夹寻找它们。获取私钥将涉及戴上BOFH帽子并向用户讨好,例如:“将您的公共和私有SSH密钥对发送给我。我将在13天内从服务器中清除所有我不知道的东西,”如果有人(我想)将他们指向安全审核。脚本是您的朋友。至少,这将导致一堆无密码的密钥对获取密码。
如果他仍然坚持“电子邮件中的纯文本密码”,那么至少要对这些电子邮件进行GPG / PGP加密自己的钥匙。任何值得一提的安全审计师都应该能够处理类似的事情。这样,如果密码泄漏,那是因为他放了他们,而不是您。对能力的另一项试金石。危险的白痴,有危险的后果。
评论
没有白痴的证据。没有证据表明OP正式表示不可以提供此信息。当然,如果您可以提供此信息,则会使审核失败。
–user9517
11年7月23日在13:04
@Iain这就是为什么在此时此刻,对社交安全审计员进行工程设计以提取他真正想要的东西如此重要。
– sysadmin1138♦
11年7月23日在13:28
我不同意给这个显然没有安全感的人做任何事情。
– Kzqai
11年7月23日在23:17
@Tchalvak:没有“不安全”或“白痴”的迹象。
–user9517
2011年7月24日在9:19
代表不是很高的用户,但是我个人对您的回答是:将密码输入第三方,我将看看是否可以起诉。作为IT领域的某个人,我同意您提到的高级用户,并说您不应该存储密码。用户信任您的系统,将密码提供给第三方比将所有信息提供给他人更极端地违反了这种信任。作为专业人士,我永远不会那样做。
– jmoreno
2011年8月10日,下午3:15
#17 楼
他可能正在测试您,看看您是否有安全风险。如果您向他提供这些详细信息,那么您可能会立即被解雇。
将其交给您的直接上司并推卸责任。让您的老板知道,如果这个屁股再次出现在您附近,您将牵涉到相关部门。
老板要为此付出报酬。
我有一个愿景出租车后部剩下的纸片上,上面有密码,SSH密钥和用户名列表!嗯!可以立即看到报纸的头条新闻!
更新
回应下面的2条评论,我想你们两个都值得提出。无法真正发现事实真相,而张贴问题的事实则在海报上显得有些天真,也没有勇气面对可能带来职业后果的不利情况,而其他人则将目光投向了
我得出的结论是,这是一场非常有趣的辩论,大多数读者可能想知道在这种情况下他们将如何做,无论审计师还是审核员政策是有能力的。大多数人在工作生活中将面临某种形式或形式的这种困境,而这并不是那种应该被推到一个人肩膀上的责任。对于如何处理,这是业务决策,而不是个人决策。
评论
我很惊讶这还没有得到更高的选票。我只是不相信审计师是“愚蠢的”。正如其他人在评论中说的那样,但答案并不多,这是社会工程学的必要条件。当OP所做的第一件事张贴在此处并建议他可能伪造数据,然后将链接发送给审核员时,该家伙一定是在笑他的屁股,并继续以此为根据。一定?!?!
– ozz
2011年7月29日在8:08
鉴于他因此失去了OP业务的公司,如果真是那样,这似乎不是一种很好的审计技术。至少我曾期望他会在他们明显失去业务时“变得干净”,并解释说这是所使用的审计方法的一部分,而不是继续坚持下去。我可以理解,如果您引入了“道德黑客”,您可能会期望采用这种“社会工程学”方法,而不是进行审核(旨在检查所有适当的检查和程序是否到位)
– Kris C
2011年8月3日15:18
考虑到审计员的进一步邮件,我不再认为这是真的。响应者都需要弄清事实。我进入该行业的时间比该网站上的任何人都长-无价
– Slaks
2011年8月3日19:00
确实,我很高兴有人提到它。升级到经理/老板是头等大事,并将审核员的行为标记为可疑,并建议升级到主管部门是第一步。我简直不敢相信这不是第一个答案。如果老板和老板的老板不在乎,我只是抄送或密送抄送当局和审计师公司的老板。
–极客大师
7月24日17:28
#18 楼
显然,这里有很多很好的信息,但是请允许我添加我的2c,因为他写的软件是由我的雇主在全球范围内出售给大型企业的,主要是为了帮助人们遵守帐户管理安全政策和通过审核;首先,这听起来很可疑,正如您(和其他人)所指出的那样。审计员只是在遵循他不理解的程序(可能),或者在测试您的漏洞以进行社会工程(不太可能在后续交流之后),或者是欺诈性的社会工程(您也可以),或者只是白痴(可能是)最有可能的)。至于建议,我建议您应该与您的管理层交谈,和/或找到新的审计公司,和/或将此报告给适当的监督机构。
关于注释,有两件事:
(如果您的系统已设置为允许)可以(在特定条件下)提供他要求的信息。但是,从某种意义上说,它不是安全的“最佳实践”,也绝不是普遍的。
通常,审计只关注验证实践,而不是检查实际的安全信息。我会非常怀疑有人要求提供实际的纯文本密码或证书,而不是要求使用用于确保它们“良好”并得到正确保护的方法。
希望有帮助,即使大多数情况下也是如此重申其他人的建议。像您一样,在我的情况下,我也不想命名自己的公司,因为我不代表他们说话(个人帐户/意见和所有);道歉,如果这有损信誉,那就这样。祝你好运。
#19 楼
这可以并且应该发布到IT Security-Stack Exchange。我不是安全审计方面的专家,但是我了解到的关于安全策略的第一件事是
"NEVER GIVE PASSWORDS AWAY"
。这个人可能已经从事这项业务10年了,但是就像Womble所说的那样。 ...他们笑得那么厉害。他们告诉我那个家伙看起来像个骗局。为了保护银行客户的安全,他们过去常常处理此类事情。寻求清晰的密码,SSH密钥,密码日志,显然是严重的专业不端行为。这个家伙很危险。
我希望现在一切都很好,并且您可以与他们保持以前的交易记录这一事实对您没有任何问题。
#20 楼
如果您可以提供第1,2,4和5点中要求的任何信息(可能有公共密钥例外),您应该期望审核失败。对第1点做出正式回应,2和5表示您不能遵守,因为您的安全策略要求您不要保留纯文本密码,并且使用不可逆算法对密码进行加密。再次指向第4点,您不能提供私钥,因为这会违反您的安全策略。
关于第3点。如果有数据,请提供。如果您不是因为没有必要而收集它,那么请这样说,并证明您现在(正在努力)满足新要求。
#21 楼
我们服务器的安全审核员在两周内要求以下内容:...系统的一部分),并且需要花两个星期才能转移到其他地方。我是怎么搞砸了?
好像您已经回答了自己的问题。 (请参见粗体字以获得提示。)
只有一种解决方案:让每个人写下他们的最新密码,然后立即将其更改为新密码。如果他想测试密码质量(以及确保从密码到密码的过渡质量,例如确保没有人使用rfvujn125和rfvujn126作为下一个密码),则旧密码列表应该足够。
如果认为这不能接受,那么我会怀疑该人是Anonymous / LulzSec的成员...在这一点上,您应该问问他的柄是什么,并告诉他戒除这种磨砂膏!
评论
不应要求人们向任何人提供自己的密码。
–克里斯·法默
2011年7月24日在2:45
开发良好的密码更改功能,而不是记录用户当前的密码并强制更改。例如,在密码更改屏幕上,用户键入输入old_pass和new_pass。开发一系列自动检查;例如,在old_pass中,在同一位置的new_pass中字符数不超过两个;或以任何顺序在任何位置重用不超过4个字符。此外,请检查new_pass是否不能与旧的pw一起使用。是的,可以摆脱一系列不安全的密码,例如rfvujn125 / jgwoei125 / rfvujn126,但这应该是可以接受的。
– jimbob博士
11年7月25日在17:24
#22 楼
正如oli所说:有问题的人正在试图让您违反法律(数据保护/ EU保密指令)/内部法规/ PCI标准。不仅要通知管理人员,因为我已经这样做了。认为),但您可以按照建议的方式报警。
如果所涉人员持有某种认证/证明,例如CISA(认证信息系统审计师)或相当于美国CPA(英国注册会计师)的英国人,也可以通知认证组织对此进行调查。该人不仅试图使您触犯法律,而且极其无能为力的“审计”,并且可能违反了每一个道德的审计标准,经认证的审计师必须遵守这些准则,以免失去认证的痛苦。
此外,如果所涉人员是大公司的成员,则上述审计组织通常需要某种质量检查部门来监督审计和审计备案的质量并调查投诉。因此,您也可以向投诉的审计公司投诉。
#23 楼
我仍在学习,设置服务器时我学到的第一件事是,如果您可以记录纯文本密码,那么您就已经面临着重大违规的危险。除使用密码的用户外,不应知道密码。如果这个人是认真的审核员,他不应该问您这些问题。对我来说,他听起来像是个不当行为。我会向监管机构查询,因为这个家伙听起来像个白痴。
更新
等等,他相信您应该使用对称加密来传输密码,然后将它们以纯文本格式存储在您的数据库中,或者提供一种对它们进行解密的方法。因此,基本上,在对数据库进行了所有匿名攻击之后,他们都显示了纯文本用户密码,他仍然认为这是“保护”环境的一种好方法。
他是1960年代被困的恐龙...
评论
“他是90年代的恐龙”-实际上我猜是在70年代。确切地说是1870年。上帝保佑奥古斯特·克尔科夫斯。 :)
– Martin Sojka
11年7月27日在13:10
90年代?我相信Unix在1970年代使用过哈希密码和咸密码...
–罗里
11年7月27日在16:50
我喜欢卢卡斯现在将其更改为1960年代的事实:)
–rickyduck
11年8月4日在11:11
是否有任何计算机(家用微机的BASIC教程除外)系统都具有认真的密码并将其以纯文本格式存储?
– XTL
2012-03-20 13:54
也许很久以前……无法将您指向任何教程。但是该站点并不真正适合家庭系统,建议您访问superuser.com。您到底为什么还要存储信用卡详细信息/密码纯文本?只有设计欠佳的系统才能使用。
–卢卡斯·考夫曼(Lucas Kauffman)
2012年3月20日13:59
#24 楼
所有服务器上所有用户帐户的当前用户名和纯文本密码列表
当前用户名可能在“我们可以释放此用户名”的范围内,并且应在“我们可以向您展示此内容,但您可能无法将其带离现场”。
纯文本密码的存在时间不应长于单向散列它们所需的时间,并且它们绝对不应离开内存(
过去六个月中所有密码更改的列表,再次以纯文本格式
请参阅“永久存储是不行”。
列表中的“从远程设备添加到服务器的每个文件”列表过去六个月
这可能是为了确保您记录到/从付款处理服务器的文件传输,如果有日志,则可以继续进行。如果没有日志,请检查有关记录该信息的相关安全策略。
任何SSH密钥的公钥和私钥
策略中可能尝试检查“ SSH密钥必须具有通行短语”,然后按照该规则进行操作。您确实想要所有私钥上的通行短语。
用户每次更改密码时都会向他发送一封电子邮件,其中包含纯文本密码
这绝对是不可以的。内部安全策略文档。
#25 楼
这些家伙要求到高空天堂的表情,我同意从现在开始的任何通信都应通过CTO。他要么试图使您成为无法满足上述要求的人,要么发布机密信息,要么完全不称职。希望您的CTO /经理对这个人的要求做出双重决定,并会采取积极的行动,如果他们在这个人的行动背后behind之以鼻....那么,优秀的系统管理员总是对分类广告有需求。 ti听起来好像是时候开始寻找找寻合适的地方了。#26 楼
我会告诉他,建立用于破解密码的破解基础结构需要花费时间,精力和金钱,但是由于您使用了像SHA256之类的强哈希,因此可能无法在2周内提供密码。最重要的是,我会告诉我与法律部门联系,以确认与任何人共享此数据是否合法。与您一样,PCI DSS也是一个好主意。 :)我的同事对这篇文章感到震惊。
#27 楼
我很想给他一个蜜罐帐户的用户名/密码/私钥列表,然后如果他曾经测试过这些帐户的登录名,就可以对他进行未经授权的计算机系统访问。但是,不幸的是,这至少会使您遭受某种形式的欺诈性民事侵权行为。#28 楼
只需拒绝透露信息,说明您无法传递密码,因为您无权访问密码。作为我自己的审计师,他必须代表某个机构。这些机构通常会发布有关此类审核的指南。查看此类请求是否符合那些准则。您甚至可以向此类协会投诉。还应向审核员明确指出,如果有任何不当行为,责任归咎于他(审核员),因为他拥有所有密码。#29 楼
我想说,您无法向他提供所要求的任何信息。用户名使他能够深入了解可以访问您系统的帐户,这是一种安全性风险
密码历史记录可以通过猜测链中的下一个密码来深入了解所使用的密码模式,从而为他提供了一种可能的攻击途径。
传输到系统的文件可能包含可以在攻击中使用的机密信息针对您的系统,以及让他们深入了解文件系统结构
公钥和私钥,如果要将它们提供给目标用户以外的其他人,拥有它们到底有什么意义呢?
用户每次更改密码都会发送一封电子邮件,该电子邮件将为他提供每个用户帐户的最新密码。
这个家伙正在拉你的老兄!您需要与他的经理或公司中的其他审计师取得联系,以确认他的苛刻要求。并尽快离开。
#30 楼
问题现在就解决了,但为了将来的读者受益...考虑到:
您似乎已经花了一个多小时。
您必须咨询公司的法律顾问。
他们在更改您的协议后要求进行大量工作。
您将花光金钱,并花费更多时间进行转换。 br />
你应该解释一下,你需要很多钱,而且最少要花四个小时。
最后几次,我告诉某人他们突然没那么需要了。
由于更改协议,您仍然可以为他们支付切换期间和所花费的时间所产生的任何损失。我并不是说他们会在两周内付款,就像他们认为您会在这段时间内遵守一样-我毫不怀疑,他们将是单面的。
如果您的律师办公室发送催收通知,它将令他们感到不安。它应该引起审计师公司所有者的注意。然后,您可以因为告诉他们而付费。
奇怪的是,您已经达成协议,然后另一端的人会脱离轨道-如果这不是安全性或情报的考验,那肯定是您耐心的考验。 >
评论
您有两个星期的时间向他提供信息,而转移到其他可以处理信用卡的地方则需要两个星期。不用担心-决定立即采取行动,放弃审核。请向我们更新有关此情况的信息。我最喜欢看到审计员如何打屁股。 =)如果我认识您,请通过我个人资料中的地址给我发送电子邮件。
他一定在测试你,看看你是否真的那么傻。对?希望如此...
我想知道他审核过的其他公司的一些参考资料。如果没有其他原因,不知道要避免谁。纯文本密码...真的吗?您确定这个人真的不是黑帽会议和社会工程愚蠢的公司要交出几个月的用户密码吗?因为如果有公司与他一起做这是一种很棒的方法,只需交出钥匙即可...
任何足够先进的能力与恶意都无法区分