it-swarm.cn

我们的安全审核员是白痴。我如何给他他想要的信息?

我们服务器的安全审核员在两周内要求以下内容:

  • 所有服务器上所有用户帐户的当前用户名和纯文本密码的列表
  • 过去六个月中所有密码更改的列表,再次为纯文本
  • 过去六个月中“从远程设备添加到服务器的每个文件”列表
  • 任何SSH密钥的公钥和私钥
  • 每当用户更改密码时,都会向他发送一封电子邮件,其中包含纯文本密码

我们正在运行具有LDAP身份验证的Red Hat Linux 5/6和CentOS 5盒。

据我所知,该列表上的所有信息都是不可能获得或难以置信的,但是,如果我不提供此信息,我们将无法使用付款平台,并且在过渡期间会失去收入。新服务。关于如何解决或伪造此信息的任何建议?

我想获得所有纯文本密码的唯一方法是,让所有人重置密码并记下密码。这不能解决过去六个月的密码更改问题,因为我无法追溯性地记录此类内容,记录所有远程文件也是如此。

因为我们只有几个用户和计算机,所以可以获取所有公共和私有SSH密钥(尽管很烦人)。除非我错过了一种更简单的方法?

我已经多次向他解释过他所要求的事情是不可能的。针对我的担忧,他回复了以下电子邮件:

我在安全审核方面拥有10多年的经验,并且对redhat安全方法有充分的了解,因此建议您检查一下什么是可能的以及不可能的事实。您说没有公司可能拥有此信息,但是我已经进行了数百次审核,这些信息很容易获得。所有[通用信用卡处理提供商]客户都必须遵守我们的新安全策略,该审核旨在确保正确实施了这些策略*。

*“新安全策略”是在审核前两周推出的,在策略更改之前不需要六个月的历史记录。

简而言之,我需要;

  • 一种“伪造”六个月的密码更改并使其看起来有效的方法
  • 一种“伪造”六个月的入站文件传输的方法
  • 一种收集所有正在使用的SSH公钥和私钥的简便方法

如果我们未能通过安全审核,我们将无法访问我们的卡处理平台(系统的关键部分),并且需要花两个星期才能转移到其他地方。我怎么搞砸了?

更新1(23日星期六)

感谢您的所有答复,让我感到很欣慰的是,这不是标准做法。

我目前正在计划发给他的电子邮件回信,说明情况。正如你们中许多人所指出的,我们必须遵守PCI,PCI明确指出我们不应有任何方式来访问纯文本密码。写完电子邮件后,我将发布该电子邮件。不幸的是,我不认为他只是在测试我们。这些事情现在已经在公司的官方安全政策中了。但是,我暂时将轮子移开,使其离开它们并进入Pay​​pal。

更新2(星期六23)

这是我起草的电子邮件,对添加/删除/更改内容有任何建议吗?

嗨,[名字]

不幸的是,我们无法为您提供所需的一些信息,主要是纯文本密码,密码历史记录,SSH密钥和远程文件日志。这些事情不仅在技术上是不可能的,而且能够提供此信息不仅违反PCI标准,而且违反了数据保护法。
要引用PCI要求,

8.4使用强密码技术在所有系统组件上传输和存储期间使所有密码不可读。

我可以为您提供在我们的系统上使用的用户名和哈希密码的列表,SSH公钥和授权主机文件的副本(这将为您提供足够的信息,以确定可以连接到我们服务器的唯一用户数以及加密所使用的方法),有关我们的密码安全要求和LDAP服务器的信息,但该信息可能不会在现场获取。我强烈建议您查看审核要求,因为在保持PCI和《数据保护法案》合规性的同时,我们目前无法通过该审核。

问候,
[我]

我将在该公司的CTO和我们的客户经理中担任CC'ing,希望CTO可以确认此信息不可用。我还将与PCI安全标准委员会联系,以解释他对我们的要求。

更新3(26日)

这是我们交换的一些电子邮件;

RE:我的第一封电子邮件;

如所解释的,任何合格的管理员都应可以在任何维护良好的系统上轻松获得此信息。您无法提供此信息使我相信您已经意识到系统中的安全漏洞,并且不准备透露它们。我们的要求符合PCI准则,并且都可以满足。强大的加密技术仅意味着在用户输入密码时必须对密码进行加密,但随后应将其移动为可恢复的格式以备后用。

我认为这些请求没有数据保护问题,数据保护仅适用于消费者而不是企业,因此此信息应该没有问题。

只是,我什至不能...

“强大的加密技术仅意味着在用户输入密码时必须对密码进行加密,但随后应将其移动为可恢复的格式以备后用。”

我将其框起来并放在墙上。

我厌倦了外交,并指示他进入这个话题,向他展示我的回应:

直接提供此信息与PCI准则的若干要求相矛盾。我引用的部分甚至说storage(表示我们在磁盘上存储数据的位置)。我在ServerFault.com(系统管理员专业人员的在线社区)上开始了讨论,该讨论引起了巨大反响,所有讨论都表明无法提供此信息。随意通读

https://serverfault.com/questions/293217/

我们已经完成了将系统转移到新平台的工作,并且将在第二天左右取消与您的帐户,但是我希望您意识到这些请求是多么荒谬,并且没有一家公司正确或正确地实施PCI准则,能够提供此信息。我强烈建议您重新考虑您的安全性要求,因为您的所有客户都不应该符合此要求。

(我实际上已经忘记了我称呼他为标题中的白痴,但是如上所述,我们已经离开了他们的平台,所以没有真正的损失。)

在他的回应中,他指出,显然没有人知道您在说什么:

我仔细阅读了这些答复和您的原始帖子,所有答复者都需要弄清事实。我进入该行业的时间比该网站上的任何人都要长,获取用户帐户密码的列表非常基础,这应该是您在学习如何保护系统安全时要做的第一件事,并且对于任何安全保护的操作都是必不可少的服务器。如果您真的不具备执行这种简单操作的技能,我将假定您的服务器上未安装PCI,因为能够恢复此信息是该软件的基本要求。在处理诸如安全性之类的问题时,如果您不了解其工作原理,则不应在公共论坛上提出这些问题。

我还想建议,任何试图揭露我或[公司名称]的行为都将被视为诽谤,并将采取适当的法律行动

如果您错过了关键的愚蠢观点:

  • 他担任安全审核员的时间比这里的其他任何人都要长(他在猜测或跟踪您)
  • 能够在UNIX系统上获取密码列表是“基本的”
  • PCI现在是软件
  • 人们不确定安全性时不应使用论坛
  • 在网上摆弄事实信息(我有电子邮件证明)是诽谤

优秀的。

PCI SSC已做出回应并正在调查他和该公司。我们的软件现已移至Paypal,因此我们知道它是安全的。我将等待PCI首先回到我身边,但我有点担心他们可能在内部使用了这些安全措施。如果是这样,我认为这对我们来说是一个主要问题,因为我们所有的卡处理都通过它们进行。如果他们在内部进行此操作,我认为要做的唯一负责任的事情就是通知我们的客户。

我希望当PCI意识到情况有多严重时,他们会调查整个公司和系统,但我不确定。

因此,现在我们已经离开了他们的平台,并且假设至少要过几天PCI才能回到我身边,关于如何诱骗他的任何创造性建议? =)

一旦我得到我的法务人员的许可(我非常怀疑这是否真的是诽谤,但我想仔细检查),我将发布公司名称,他的姓名和电子邮件,如果您希望可以与他联系并解释为什么您不了解Linux安全性的基础知识,例如如何获取所有LDAP用户密码的列表。

小更新:

我的“合法人士”建议透露这家公司可能会引起比需要更多的问题。我可以说,虽然这不是主要的提供商,但使用此服务的客户少于100个。我们最初是在网站很小且运行在少量VPS上时才开始使用它们的,我们不想花所有的精力来获得PCI(我们曾经重定向到它们的前端,例如Paypal Standard)。但是,当我们转向直接处理卡(包括获取PCI和常识)时,开发人员决定继续使用同一家公司,只是使用不同的API。该公司位于英国伯明翰,所以我非常怀疑这里的任何人都会受到影响。

2352
Smudge

首先,不要投降。他不仅是个白痴,而且危险地是错误的。实际上,发布此信息将违规 PCI标准(这是我假设要进行审核的原因,因为它是付款处理器)以及所有其他标准,这只是普通常识。这也会使您的公司承担各种责任。

我要做的下一件事是向您的老板发送电子邮件,说他需要让公司法律顾问参与进来,以确定采取此行动将使公司面临的法律风险。

最后一点取决于您,但是[〜#〜] i [〜#〜]会联系VISA并提供此信息,并获取其PCI审核程序状态。

1239
Zypher

作为已经通过 普华永道(Price Waterhouse Coopers =)进行机密政府合同审计程序的人,我可以向您保证,这完全是不可能的,这个人很疯狂。

当普华永道想检查我们的密码强度时,他们:

  • 要求查看我们的密码强度算法
  • 根据我们的算法对测试单元进行测试,以检查它们是否拒绝不良密码
  • 要求查看我们的加密算法,以确保即使是对系统各个方面都具有完全访问权限的人也无法对它们进行逆向或未加密(即使是通过Rainbow表)
  • 检查是否已缓存了以前的密码,以确保无法重用它们
  • 向我们寻求许可(我们已授予他们),以便他们尝试使用非社会工程技术(例如xss和非0天漏洞)入侵网络和相关系统

如果我什至暗示我可以向他们展示过去六个月中用户的密码,他们将立即将我们拒之门外。

如果有可能提供这些要求,您将立即失败值得进行一次审核。


更新:您的回复电子邮件看起来不错。比我写的任何东西都要专业得多。

858
Mark Henderson

老实说,听起来这家伙(审计师)正在设置您。如果您向他提供他所要求的信息,那么您就向他证明了您可以通过社会工程来放弃重要的内部信息。失败。

463
anastrophe

我刚刚发现您在英国,这意味着他要您做的是违反法律(实际上是《数据保护法》)。我也在英国,也为一家大型且经过严格审计的公司工作,并且了解该领域的法律和惯例。我也是一件很讨厌的作品,如果您愿意,他会很乐意为这个家伙加盖印章,如果您愿意的话,请告诉我是否想要帮助。

349
Chopper3

您正在接受社会工程。要么“测试您”,要么是冒充审计员的黑客以获取一些非常有用的数据。

289
Mr Tired

我非常担心OP缺乏道德问题解决技能服务器故障社区,而忽略了这种公然违反道德行为的行为。

简而言之,我需要;

  • 一种“伪造”六个月的密码更改并使其看起来有效的方法
  • 一种“伪造”六个月入站文件传输的方法

让我明确说明两点:

  1. 在正常业务过程中永远不伪造数据。
  2. 您切勿向任何人透露此类信息。曾经。

伪造记录不是您的工作。确保所有必要记录都可用,准确且安全是您的工作。

服务器故障的社区必须处理此类问题,而stackoverflow站点则处理“作业”问题。您不能仅凭技术回应来解决这些问题,也不能忽略违反道德责任的行为。

看到这么多高级用户在此线程中进行了答复,而没有提及该问题的道德含义令我感到难过。

我鼓励大家阅读 SAGE系统管理员道德规范

顺便说一句,您的安全审核员是个白痴,但这并不意味着您需要承受压力以使其在工作中不道德。

编辑:您的更新是无价的。保持低着头,粉末干燥,不要服用(或给予)任何木制镍。

286
Joseph Kern

你不能给他想要的东西,而试图“伪造”它可能会再次咬住你(可能是合法的方式)。您可能需要对命令链提出上诉(尽管众所周知,安全审计是愚蠢的,但该审计师可能已经流氓了-向我询问有关希望能够通过SMB访问AS/400的审计师)从这些繁重的要求中脱颖而出。

它们甚至都不是很好的安全性-所有明文密码的列表都是难以置信的产生的ever危险的事情,无论用于保护它们的方法是什么,我相信这个家伙会希望他们以纯文本形式发送电子邮件。 (我确定您已经知道这一点,我只需要发泄一下)。

对于狗屎和傻笑,直接问他如何执行他的要求-承认您不知道如何,并且想利用他的经验。一旦出门在外,对他的“我在安全审计领域有10年以上的经验”的回答是“不,您有5分钟的经验重复了数百次”。

246
womble

如果审计师发现您现在已解决的历史问题,那么任何审计师都不能使您失望。实际上,这就是良好行为的证据。考虑到这一点,我建议两件事:

a)不要说谎或编造东西。 b)阅读您的政策。

对我来说,关键的声明是这样的:

所有[通用信用卡处理提供商]客户都必须遵守我们的新安全政策

我敢打赌,这些策略中有一条声明说密码不能被写下,也不能传递给用户以外的任何人。如果有,则将这些策略应用于他的请求。我建议这样处理:

  • 所有服务器上所有用户帐户的当前用户名和纯文本密码的列表

向他显示用户名列表,但不允许其被删除。解释一下,提供纯文本密码是a)不可能的,因为它是单向的,并且b)违反了政策(他正在对您进行审计),因此您不会听从。

  • 过去六个月中所有密码更改的列表,再次为纯文本

说明这在历史上是不可用的。给他一个最近密码更改时间的列表,以表明现在已经完成了。如上所述,说明将不提供密码。

  • 过去六个月中“从远程设备添加到服务器的每个文件”列表

说明什么是和没有被记录。提供您所能提供的。不要提供任何机密信息,并按政策解释为什么不这样做。询问您的日志记录是否需要改进。

  • 任何SSH密钥的公钥和私钥

查看您的密钥管理策略。它应声明不允许私钥离开其容器,并具有严格的访问条件。应用该策略,并且不允许访问。公开密钥很高兴是公开的,可以共享。

  • 每当用户更改密码时,都会向他发送一封电子邮件,其中包含纯文本密码

拒绝吧。如果您有本地安全日志服务器,请允许他查看它是否已就地登录。

基本上,我很抱歉这么说,但是您必须和这个家伙打硬仗。严格遵守您的政策,请勿偏离。不撒谎。而且,如果他因不符合政策要求的任何事情而使您失败,请向派遣他的公司的前辈投诉。收集所有这些的书面记录,以证明您是合理的。如果您违反政策,那将是他的摆布。如果您跟随他们来信,他将最终被解雇。

187
Jimmy

是的,审核员is一个白痴。但是,如您所知,有时白痴被置于权力位置。这是其中一种情况。

他请求的信息具有关系到系统的当前安全性。向审核员说明您正在使用LDAP进行身份验证,并且密码是使用单向哈希存储的。缺少对密码哈希进行暴力破解的脚本(可能需要数周(或数年),您将无法提供密码。

同样,远程文件-我想听听,他的看法,他认为您应该能够区分直接在服务器上创建的文件和被SCPed到服务器的文件。

正如@womble所说的,不要伪造任何东西。那没有用。要么放弃这次审计,再对另一名经纪人处以罚款,要么找到一种方法说服这位“专业人士”,使他的奶酪从薄脆饼干上滑下来。

143
EEAA

让您的“安全审核员”指向 这些文档 中任何有他的要求的文本,并注意他在努力寻找借口并最终借口自己再也不会被别人听到。

91
ablackhat

WTF!对不起,但这是我对此的唯一反应。我从未听说过没有审核要求要求使用纯文本密码的情况,更不用说在更改密码时将密码提供给他们了。

1,请他向您展示您提供的要求。

第二,如果这是用于PCI(我们都假定这是一个支付系统问题),请转到此处: https://www.pcisecuritystandards.org/approved_companies_providers/qsa_companies.php 并获得一名新审核员。

第三,遵循他们的上述意见,与您的管理层联系并让他们联系与他合作的QSA公司。然后立即请另一位审核员。

审核员审核系统状态,标准,过程等。他们不需要任何信息即可访问系统。

如果您需要与审核员紧密合作的任何推荐审核员或替代colo,请与我联系,我很乐意提供参考。

祝好运!相信自己的直觉,如果出现问题,可能是错误的。

77
dmz006

没有合理的理由让他知道密码并可以访问私钥。他的要求将使他能够在任何时间模仿您的任何客户,并根据自己的意愿窃取尽可能多的资金,而没有任何方法将其视为可能的欺诈交易。这正是他应该为您审计的安全威胁类型。

69
Franci Penov

通知管理层审计员已请求您违反安全策略,并且该请求是非法的。建议他们可能想抛弃现有的审计公司并找到合法的公司。致电警察,并要求审计员上报非法信息(在英国)。然后致电PCI,并请审核员提出要求。

该请求类似于要求您随机杀死某人并交出尸体。你会那样做吗?还是会叫警察把他们交出来?

64
oii

回复诉讼。如果审核员要求输入纯文本密码(现在就来,蛮力破解或破解弱密码哈希并不难),他们可能会向您撒谎以证明您的凭据。

62
postmodern

关于您如何措辞回应的提示:

不幸的是,我们无法为您提供所需的一些信息,主要是纯文本密码,密码历史记录,SSH密钥和远程文件日志。 不仅这些事情在技术上是不可能的 ...

我将对此重新表述,以避免进入有关技术可行性的讨论。阅读审核员发送的糟糕的初始电子邮件后,看来这是可以选择与主要问题无关的详细信息的人,他可能会争辩说您可以(保存密码,登录名等。因此,要么说:

...由于我们严格的安全政策,我们从未以纯文本形式记录密码。因此,从技术上讲不可能提供此数据。

要么

...我们不仅会通过满足您的要求来大大降低我们的内部安全级别,...

祝您好运,并告诉我们这是怎么结束的!

56
user60129

冒着继续使高重复用户涌入这个问题的风险,这是我的想法。

我可以隐约看到他为什么要使用纯文本密码,那就是判断使用的密码的质量。这是一种废话,我知道,大多数审计师都会接受加密的哈希并运行一个饼干来查看他们可以抽出什么样的低挂水果。 'em的所有内容都将遍历密码复杂性策略,并审查实施该保护措施的措施。

但是您必须提供一些密码。我建议(尽管我认为您可能已经这样做了)问他纯文本密码传递的目标是什么。他说这是为了验证您的合规性与安全性策略,因此请他为您提供该策略。询问他是否会接受您的密码复杂性机制足够强大以阻止用户将其密码设置为[email protected]并已证明已经解决了六个月。

如果他推了它,您可能不得不承认您不能提供纯文本密码,因为您没有设置为记录纯文本密码(这是主要的安全漏洞),但是如果他要求,将来可以尝试这样做直接验证您的密码策略是否有效。如果他想证明这一点,您将很乐意为他提供加密的密码数据库(或者您!显示愿意!它会有所帮助!),以进行破解传递。

“远程文件”可能会从SFTP会话的SSH日志中拉出,这是我怀疑他在谈论的内容。如果您没有价值6个月的syslogging,将很难生成。使用wget在通过SSH登录时从远程服务器提取文件是否被视为“远程文件传输”?是HTTP PUT吗?从远程用户的终端窗口中的剪贴板文本创建的文件?如果有的话,您可以用这些Edge-case来烦扰他,以更好地了解他在该领域的担忧,并灌输“我比你更了解这一点”的感觉,以及他正在考虑的特定技术。然后从日志和备份的存档日志中提取您可以提取的内容。

我在SSH密钥上一无所获。我唯一能想到的就是他出于某种原因正在检查无密码密钥,并且也许加密强度。否则,我什么都没有。

至于获取那些密钥,至少要获取公共密钥就足够了。只需拖曳.ssh文件夹寻找它们。获取私钥将涉及戴上BOFH帽子并向用户讨好,例如:“将您的公共和私有SSH密钥对发送给我。我将在13天内从服务器中清除所有我不知道的东西,”如果有人(我想)将他们指向安全审核。脚本是您的朋友。至少,这将导致一堆无密码的密钥对获取密码。

如果他仍然坚持使用“电子邮件中的纯文本密码”,那么至少要使用自己的密钥对这些电子邮件进行GPG/PGP加密。任何值得一提的安全审计师都应该能够处理类似的事情。这样,如果密码泄漏,那将是因为他放了他们,而不是您。另一个对能力的试金石。


我必须同意Zypher和Womble的观点。危险的白痴,有危险的后果。

39
sysadmin1138

他可能正在测试您,以查看您是否存在安全风险。如果您向他提供这些详细信息,那么您可能会立即被解雇。将此交给您的直接上司,并推卸责任。让您的老板知道,如果这个屁股再次出现在您附近,您将牵涉到相关部门。

这就是老板要付的钱。

我看到的士出租车的后部有一张纸,上面有一个密码,SSH密钥和用户名列表!嗯!现在可以看到报纸头条!

更新

作为对下面2条评论的回应,我想你们两个都有自己的优点。无法真正找出事实真相,而张贴问题的事实却在海报上显得有些天真,也没有勇气面对可能带来职业后果的不利情况,而其他人则将目光投向了沙子然后逃跑。

我得出的结论是,这是一场非常有趣的辩论,大多数读者可能想知道,无论审计师或审计师政策是否有效,在这种情况下他们将如何做。大多数人会在工作生活中面临某种形式或形式的这种困境,而这并不是那种应被推到一个人肩膀上的责任。对于如何处理,这是业务决策,而不是个人决策。

32
jamesc

显然这里有很多很好的信息,但是请允许我添加我的2c,他是一位写由我的雇主在全球范围内出售给大型企业的软件的人,主要目的是帮助人们遵守帐户管理安全政策并通过审核。为了那值得。

首先,正如您(和其他人)指出的那样,这听起来非常可疑。审计员只是在遵循他不理解的程序(可能),或者在测试您的漏洞以进行社会工程(不太可能在跟进交流后),或者是欺诈性的社会工程(您也可以),或者只是白痴(可能是)最有可能的)。就建议而言,我建议您应与您的管理层交谈,和/或找到新的审计公司,和/或将此报告给适当的监督机构。

至于注释,有几件事:

  • 如果您的系统已设置为允许,则在特定条件下提供可能(在特定条件下)。但是,从任何意义上讲,这都不是安全的“最佳实践”,也绝不是普遍的。
  • 通常,审核只关注验证实践,而不关注实际的安全信息。我会非常怀疑有人要求提供实际的纯文本密码或证书,而不是要求使用用于确保其“良好”和正确保护的方法。

希望能有所帮助,即使它主要是重申其他人的建议。像您一样,在我的情况下,我也不想命名自己的公司,因为我不代表他们说话(个人帐户/意见和所有建议);道歉,如果这有损信誉,那就这样。祝好运。

31
Nick

可以并且应该将其发布到 IT安全-堆栈交换

我不是安全审核方面的专家,但是我了解到的有关安全策略的第一件事是"NEVER GIVE PASSWORDS AWAY"。这个人可能已经从事这项业务10年了,但是就像Womble所说的"no, you have 5 minutes of experience repeated hundreds of times"

我已经和银行业的IT人员一起工作了一段时间,当我看到你的帖子时,我向他们展示了这些信息……他们笑得很厉害。他们告诉我那个家伙看起来像个骗局。为了保护银行客户的安全,他们过去常常处理这种事情。

要求提供清晰的密码,SSH密钥,密码日志显然是严重的专业不当行为。这个家伙很危险。

我希望现在一切都好,而且您可以与他们保持以前的交易记录这一事实对您没有任何问题。

26
Anarko_Bizounours

如果您可以提供第1,2,4和5点中要求的任何信息(可能有公共密钥例外),您应该期望审核失败。

正式回应第1,2和5点,表示您不能遵守,因为安全策略要求您不要保留纯文本密码,并且使用不可逆算法对密码进行加密。再次指向第4点,您不能提供私钥,因为这会违反您的安全策略。

关于第3点。如果有数据,请提供。如果您不是因为没有必要收集它,那么请这样说并演示您现在(如何)满足新要求。

20
user9517

我们服务器的安全审核员要求以下两周内

...

如果我们未能通过安全审核,我们将失去对卡处理平台(系统的关键部分)的访问权限,并且需要花两周的时间才能转移到其他地方 。我是怎么搞砸的?

看来您已经回答了自己的问题。 (有关提示,请参见粗体文本。)

想到的只有一种解决方案:让每个人写下他们的最新密码,然后立即将其更改为新密码。如果他想测试密码质量(以及从密码到密码的转换质量,例如,确保没有人使用rfvujn125,然后再使用rfvujn126作为其下一个密码,)旧密码列表应该足够了。

如果那被认为不可接受,那么我会怀疑这个家伙是Anonymous/LulzSec的成员...在这一点上,您应该问他的把手是什么,并告诉他不要再像这样洗刷了!

19
Michael

正如oli所说:有问题的人正在试图让您违反法律(数据保护/ EU保密指令)/内部法规/ PCI标准。您不仅必须通知管理层(正如您已经想到的那样),而且可以按照建议的方式报警。

如果有关人员持有某种认证/证明,例如CISA(认证信息系统审核员),或等同于US CPA(英国注册会计师)的英国标准,您也可以通知认证组织对此进行调查。该人不仅试图使您触犯法律,而且还极其无能为力的“审计”,并且可能违反了每一个道德的审计标准,经认证的审计师必须遵守这些准则,以免失去认证资格。

此外,如果所涉人员是大公司的成员,则上述审计组织通常需要某种质量检查部门来监督审计和审计备案的质量并调查投诉。因此,您也可以向有关的审计公司投诉。

18
reiniero

我仍在学习,设置服务器时我学到的第一件事是,如果您可以记录纯文本密码,那么您就已经面临着巨大的安全隐患。除使用密码的用户外,不应知道任何密码。

如果这个人是认真的审核员,他不应该问你这些事情。对我来说,他听起来像 misfeasor 。我会去检查一下调节器官,因为这个家伙听起来像个白痴。

更新

坚持下去,他认为您应该仅使用对称加密来传输密码,然后将其以纯文本格式存储在数据库中,或者提供一种解密密码的方法。因此,基本上,在对数据库进行了所有匿名攻击之后,他们都显示了纯文本用户密码,他仍然认为这是“保护”环境的一种好方法。

他是被困在1960年代的恐龙。

18
Lucas Kauffman
  • 所有服务器上所有用户帐户的当前用户名和纯文本密码的列表
    • 当前的用户名可能在“我们可以发布此文件”的范围内,而应该在“我们可以向您显示此文件,但您可能不会将其移离站点”的范围内。
    • 纯文本密码的存在时间不应该超过对它们进行单向哈希处理所花费的时间,并且它们绝对不应该离开内存(甚至不能跨越电线),因此它们在永久性存储中的存在是不可以的。
  • 过去六个月中所有密码更改的列表,再次为纯文本
    • 请参阅“永久存储是禁忌”。
  • 过去六个月中“从远程设备添加到服务器的每个文件”列表
    • 这可能是为了确保您记录了与付款处理服务器之间的文件传输,如果您有日志,则可以继续传输。如果没有日志,请检查有关记录该信息的相关安全策略。
  • 任何SSH密钥的公共密钥和私有密钥
    • 可能尝试在策略中检查“ SSH密钥必须具有密码”。您确实想要所有私钥上的密码短语。
  • 每当用户更改密码时,都会向他发送一封电子邮件,其中包含纯文本密码
    • 这绝对是不可以的。

我会根据自己的回答做出回应,并根据需要提供PCI兼容,SOX_compliance和内部安全策略文档作为后盾。

14
Vatine

我会告诉他,建立用于破解密码的破解基础结构需要花费时间,精力和金钱,但是由于您使用了诸如SHA256之类的强哈希,因此可能无法在2周内提供密码。最重要的是,我会告诉我与法律部门联系,以确认与任何人共享此数据是否合法。 PCI DSS也像​​您一样提个好主意。:)

我的同事对这篇文章感到震惊。

12
Istvan

这些家伙要求到高处的人大笑,我同意从现在开始的任何通信都应通过CTO。他要么试图使您成为无法满足上述要求的人,要么发布机密信息,要么完全不称职。希望您的CTO /经理对这个人的要求做出双重决定,并会采取积极的行动,如果他们对这个人的行动表示支持....那么,优秀的系统管理员总是对分类广告有需求。听起来,这是时候开始寻找一些地方了。

12
canadiancreed

我会很想给他一个蜜罐帐户的用户名/密码/私钥列表,然后,如果他曾经测试过这些帐户的登录名,就会对他进行未经授权的计算机系统访问。但是,不幸的是,这可能会使您至少因欺诈性陈述而遭受某种民事侵权。

11
benmmurphy

只需拒绝透露信息,说明您无法传递密码,因为您无权访问密码。我自己是一名审计师,他必须代表某个机构。这些机构通常会发布有关此类审核的指南。查看此类请求是否符合那些准则。您甚至可以向此类协会投诉。还应向审核员明确指出,如果有任何不当行为,责任归咎于他(审核员),因为他拥有所有密码。

10
Natwar

我想说,您无法向他提供所要求的任何信息。

  • 用户名为他提供了对可以访问您的系统的帐户的深入了解,存在安全风险
  • 密码历史记录可以帮助您深入了解所使用的密码模式,从而通过猜测链中的下一个密码为他提供了一种可能的攻击途径
  • 传输到系统的文件可能包含机密信息,这些信息可能会用于对您的系统的攻击,以及使他们深入了解您的文件系统结构
  • 公钥和私钥,如果要将它们分发给目标用户以外的其他人,那么拥有它们到底有什么意义呢?
  • 每次用户更改密码时发送的电子邮件都会为他提供每个用户帐户的最新密码。

这个家伙在拉你的老兄!您需要与他的经理或公司中的其他审计师取得联系,以确认他的苛刻要求。并尽快离开。

9
93196.93

现在已经解决了问题,但是为了将来的读者...

考虑到:

  • 您似乎已经花了一个多小时。

  • 您必须咨询公司的法律顾问。

  • 他们在更改您的协议后要求大量工作。

  • 您将花光金钱,并有更多时间切换。

您应该说明自己需要大量资金,而且最少需要四个小时。

上几次我告诉某人,他们突然没那么需要了。

由于更改了您的协议​​,您仍然可以向他们收取切换期间和所花费的任何时间的损失。我并不是说他们会在两周内付款,就像他们认为您会在这段时间内遵守一样-毫无疑问,他们将是单面的。

如果您的律师办公室发送催收通知,它将令他们感到不安。它应引起审计师公司所有者的注意。

我建议不要进一步与他们打交道,只是为了进一步讨论此事,需要为所需的工作交纳保证金。然后,您可以因为告诉他们而付费。

奇怪的是,您已经达成协议,然后另一端的人会放弃Rails-如果这不是安全性或智力的考验,那肯定是您耐心的考验。

1
Rob