سؤال المدقق الأمني ​​لدينا هو احمق. كيف أعطي له المعلومات التي يريدها؟


طالب مدقق أمن لخوادمنا بالآتي في غضون أسبوعين:

  • قائمة بأسماء المستخدمين الحاليين وكلمات المرور للنص العادي لجميع حسابات المستخدمين على جميع الخوادم
  • قائمة بجميع تغييرات كلمة المرور خلال الأشهر الستة الماضية ، مرة أخرى في النص العادي
  • قائمة "كل ملف يتم إضافته إلى الخادم من الأجهزة البعيدة" في الأشهر الستة الماضية
  • المفاتيح العامة والخاصة لأي مفاتيح SSH
  • يتم إرسال بريد إلكتروني إليه في كل مرة يقوم فيها المستخدم بتغيير كلمة المرور الخاصة به ، والتي تحتوي على كلمة مرور النص العادي

نحن ندير صناديق Red Hat Linux 5/6 و CentOS 5 مع مصادقة LDAP.

على حد علمي ، كل شيء في تلك القائمة إما مستحيل أو يصعب الحصول عليه ، ولكن إذا لم أقدم هذه المعلومات فنحن نواجه فقدًا في الوصول إلى نظام الدفعات لدينا وفقدان الدخل خلال فترة انتقالية أثناء انتقالنا إلى خدمة جديدة. أي اقتراحات لكيفية حل هذه المعلومات أو زيفها؟

الطريقة الوحيدة التي يمكنني بها التفكير في الحصول على كلمات مرور النص العادي ، هي حث الجميع على إعادة تعيين كلمة المرور الخاصة بهم وتسجيل ملاحظة لما قاموا بتعيينه. هذا لا يحل مشكلة الأشهر الستة الماضية من تغييرات كلمة المرور ، لأنني لا أستطيع تسجيل هذا النوع من الأشياء بأثر رجعي ، وينطبق نفس الشيء على تسجيل جميع الملفات البعيدة.

الحصول على جميع مفاتيح SSH العامة والخاصة أمر ممكن (على الرغم من أنه مزعج) ، لأن لدينا عدد قليل من المستخدمين وأجهزة الكمبيوتر. ما لم تفوت طريقة أسهل للقيام بذلك؟

لقد شرحت له مرات عديدة أن الأشياء التي يطلبها مستحيلة. ردا على مخاوف بلدي ، أجاب مع البريد الإلكتروني التالي:

لدي خبرة أكثر من 10 سنوات في التدقيق الأمني ​​وممتلئ   فهم طرق الأمن redhat ، لذلك أقترح عليك التحقق   الحقائق الخاصة بك حول ما هو ممكن وغير ممكن. أنت تقول لا يمكن لأي شركة   ربما يكون لديك هذه المعلومات لكنني أديت المئات من عمليات التدقيق   حيث كانت هذه المعلومات متاحة بسهولة. كل [الائتمان العام   موفر معالجة البطاقة [العملاء] مطالبون بالتوافق مع الجديد   سياسات الأمن وهذا التدقيق يهدف إلى ضمان تلك السياسات   تم تنفيذها * بشكل صحيح.

* تم تقديم "السياسات الأمنية الجديدة" قبل أسبوعين من تدقيقنا ، ولم يكن التسجيل التاريخي لمدة ستة أشهر مطلوبًا قبل تغيير السياسة.

باختصار ، أحتاج ؛

  • طريقة "زائفة" بقيمة ستة أشهر من تغييرات كلمة المرور وجعلها تبدو صالحة
  • طريقة "وهمية" ستة أشهر من عمليات نقل الملفات الواردة
  • طريقة سهلة لتجميع مفاتيح SSH العامة والخاصة المستخدمة

إذا فشلنا في التدقيق الأمني ​​، فإننا نفقد إمكانية الوصول إلى منصة معالجة البطاقات (جزء مهم من نظامنا) وسيستغرق الأمر أسبوعين جيدًا للانتقال إلى مكان آخر. كيف ثمل أنا؟

التحديث 1 (السبت 23)

شكرا لجميع ردودكم ، إنه لمن دواعي سروري أن أعرف أن هذا ليس ممارسة قياسية.

أخطط حاليًا لرد البريد الإلكتروني الذي أرسلته إليه لشرح الموقف. كما أشار العديد منكم ، يجب علينا الالتزام بـ PCI الذي ينص صراحةً على أنه لا ينبغي أن يكون لدينا أي طريقة للوصول إلى كلمات المرور النصية العادية. سأقوم بنشر البريد الإلكتروني عند الانتهاء من كتابته. لسوء الحظ ، لا أعتقد أنه يختبرنا ؛ هذه الأمور في السياسة الأمنية الرسمية للشركة الآن. ومع ذلك ، فقد وضعت العجلات في حركة للتحرك بعيدا عنهم وعلى PayPal في الوقت الحاضر.

تحديث 2 (السبت 23)

هذا هو البريد الإلكتروني الذي صاغته ، أي اقتراحات للأشياء التي يمكن إضافتها / إزالتها / تغييرها؟

مرحبًا [الاسم] ،

لسوء الحظ ، لا توجد وسيلة لنقدم لك بعضًا منها   المعلومات المطلوبة ، وخاصة كلمات المرور النص العادي ، كلمة المرور   التاريخ ، ومفاتيح SSH وسجلات الملفات عن بعد. ليس فقط هذه الأشياء   من المستحيل تقنيا ، ولكن أيضا قادرة على توفير هذا   ستكون المعلومات على حد سواء ضد معايير PCI ، وخرق لل   قانون حماية البيانات.
  لاقتباس متطلبات PCI ،

8.4 جعل جميع كلمات المرور غير قابلة للقراءة أثناء النقل والتخزين   جميع مكونات النظام باستخدام التشفير القوي.

استطيع ان اقدم لك   مع قائمة بأسماء المستخدمين وكلمات المرور المجزأة المستخدمة في نظامنا ،   نسخ من مفاتيح SSH العامة وملفات المضيفات المصرح بها (هذه الإرادة   يعطيك معلومات كافية لتحديد عدد المستخدمين الفريدين   يمكن الاتصال بخوادمنا ، وطرق التشفير المستخدمة) ،   معلومات حول متطلبات أمان كلمة المرور الخاصة بنا و LDAP الخاص بنا   الخادم ولكن قد لا يتم أخذ هذه المعلومات خارج الموقع. انا بقوة   نقترح عليك مراجعة متطلبات التدقيق الخاصة بك حيث لا توجد طريقة حاليا   بالنسبة لنا لتمرير هذا التدقيق مع الاحتفاظ بالامتثال لـ PCI و   قانون حماية البيانات.

مع تحياتي،
  [أنا]

سأكون CC'ing في CTO الشركة ومدير الحساب الخاص بنا ، وأنا أتمنى يمكن أن يؤكد CTO هذه المعلومات غير متوفرة. سوف أتصل أيضًا بمجلس معايير الأمان لـ PCI لشرح ما يطلب منا.

التحديث 3 (26)

فيما يلي بعض رسائل البريد الإلكتروني التي تبادلناها ؛

RE: بريدي الإلكتروني الأول ؛

كما هو موضح ، يجب أن تكون هذه المعلومات متاحة بسهولة على أي بئر   الحفاظ على النظام إلى أي مسؤول مختص. فشلك في أن يكون   قادرة على تقديم هذه المعلومات يقودني إلى الاعتقاد أنك على علم   العيوب الأمنية في النظام الخاص بك وليسوا على استعداد للكشف عنها. لنا   تتوافق الطلبات مع إرشادات PCI ويمكن استيفاء كليهما. قوي   الترميز يعني فقط يجب أن تكون كلمات المرور مشفرة أثناء المستخدم   هو إدخالها ولكن يجب نقلها إلى تنسيق قابل للاسترداد   للاستخدام في وقت لاحق.

لا أرى أية مشكلات متعلقة بحماية البيانات لهذه الطلبات ، ولا توجد حماية للبيانات إلا   ينطبق على المستهلكين وليس الشركات لذلك لا ينبغي أن يكون هناك مشاكل مع هذا   معلومات.

فقط ، ما ، أنا ، لا أستطيع ، حتى ...

"التشفير القوي يعني فقط أنه يجب تشفير كلمات المرور أثناء وجودها   المستخدم هو إدخالها ولكن بعد ذلك يجب نقلها إلى   تنسيق قابل للاسترداد للاستخدام في وقت لاحق. "

أنا ذاهب لتأطير ذلك ووضعه على حائط.

لقد سئمت من كونها دبلوماسية ووجهته إلى هذا الموضوع لإظهار له الرد الذي حصلت عليه:

تقديم هذه المعلومات يتعارض مباشرة مع عدة متطلبات   من المبادئ التوجيهية PCI. القسم الذي اقتبسته حتى يقول storage   (مما يشير إلى حيث نقوم بتخزين البيانات على القرص). لقد بدأت   مناقشة على ServerFault.com (مجتمع على الإنترنت لـ sys-admin   المحترفين) الذي خلق استجابة ضخمة ، كل ذلك يشير إلى هذا   لا يمكن تقديم المعلومات. لا تتردد في قراءة من خلال نفسك

الشبكي والقولون // serverfault.com / الأسئلة / 293217 /

لقد انتهينا من نقل نظامنا إلى منصة جديدة وسوف نكون   إلغاء حسابك معنا في اليوم التالي أو ما شابه لكني أريد ذلك   عليك أن تدرك مدى سخافة هذه الطلبات ، ولا توجد شركة   تنفيذ إرشادات PCI بشكل صحيح ، أو يجب أن يكون قادراً على ذلك   تقديم هذه المعلومات. أقترح عليك بشدة إعادة التفكير في   متطلبات الأمان حيث لا يمكن لأي من عملائك أن يفعل ذلك   تتفق مع هذا.

(كنت قد نسيت بالفعل أنني كنت أصفه بأنه أحمق في العنوان ، ولكن كما ذكرنا ، فإننا قد ابتعدنا بالفعل عن منصتهم حتى لا تكون هناك خسارة حقيقية).

وفي رده ، يقول إنه من الواضح أن لا أحد منكم يعرف ما تتحدث عنه:

قرأت بالتفصيل من خلال تلك الردود ورسالتك الأصلية ، و   جميع المستجيبين بحاجة للحصول على الحقائق الصحيحة. لقد كنت في هذا   صناعة أطول من أي شخص في هذا الموقع ، والحصول على قائمة من المستخدمين   كلمات مرور الحساب أساسية بشكل لا يصدق ، يجب أن تكون واحدة من أولى   الأشياء التي تقوم بها عند تعلم كيفية تأمين النظام الخاص بك وهو ضروري   لتشغيل أي خادم آمن. إذا كنت حقا تفتقر إلى   مهارات للقيام بشيء بسيط هذا سوف أفترض أنك لم يكن لديك   تم تثبيت PCI على الخوادم الخاصة بك لتكون قادرة على استرداد هذا   المعلومات هي مطلب أساسي للبرنامج. عند التعامل مع   شيء مثل الأمن يجب أن لا تسأل هذه الأسئلة   منتدى عام إذا لم تكن لديك معرفة أساسية بكيفية عمله.

وأود أيضا أن أقترح أن أي محاولة للكشف عني ، أو   سيتم اعتبار [اسم الشركة] التشهير واتخاذ الإجراءات القانونية المناسبة   سيتم اتخاذها

النقاط الغبية الأساسية إذا فاتتك:

  • لقد كان مدقق أمن أطول من أي شخص آخر هنا (إنه إما يخمنك أو يلاحقك)
  • القدرة على الحصول على قائمة بكلمات المرور على نظام UNIX هي 'الأساسية'
  • PCI هو الآن برنامج
  • يجب على الأشخاص عدم استخدام المنتديات عندما لا يكونوا متأكدين من الأمان
  • إن تقديم معلومات واقعية (يكون لديّ دليل البريد الإلكتروني الخاص بها على الإنترنت) هو تشهير

ممتاز.

وقد استجابت PCI SSC وتحقق له والشركة. لقد انتقل برنامجنا الآن إلى PayPal كي نعرف أنه آمن. ﺳﺄﻧﺗظر ﺑرﻧﺎﻣﺞ PCI ﻟﻟﻌودة إﻟﻲ أوﻻً وﻟﮐﻧﻲ أﺻﺑﺢ ﻗﻟﻘًﺎ ﻗﻟﯾل ﻣن أﻧﮭم ﻗد ﯾﺳﺗﺧدﻣون ھذه اﻟﻣﻣﺎرﺳﺎت اﻷﻣﻧﯾﺔ داﺧﻟﯾﺎً. إذا كان الأمر كذلك ، أعتقد أنه يمثل مصدر قلق كبير بالنسبة لنا لأن جميع معالجاتنا للبطاقات تمر عبرها. إذا كانوا يفعلون ذلك داخليا ، أعتقد أن الشيء الوحيد الذي يجب القيام به هو إبلاغ عملائنا.

آمل أن يدرك PCI مدى سيئته في أنه سيحقق في الشركة والنظام بالكامل ولكنني لست متأكداً.

إذن ، لقد ابتعدنا الآن عن منصتهم ، وبافتراض أنه سيكون على الأقل قبل بضعة أيام من عودة PCI إليّ ، أي اقتراحات مبتكرة لكيفية القذف به قليلاً؟ =)

بمجرد الحصول على تصريح من رجل قانوني (أشك بشدة في أن هذا هو في الواقع التشهير ولكني أردت أن أقوم بالتحقق مرتين) سأقوم بنشر اسم الشركة واسمه وبريده الإلكتروني ، وإذا كنت ترغب في الاتصال به وشرح لماذا لا تفهم أساسيات أمان Linux مثل كيفية الحصول على قائمة بكل كلمات مرور مستخدمي LDAP.

القليل من التحديث:

لقد اقترح "الشخص القانوني" الخاص بي أن الكشف عن الشركة قد يسبب مشاكل أكثر من الحاجة. يمكنني القول رغم ذلك ، هذا ليس مزودًا رئيسيًا ، فلديهم أقل من 100 عميل يستخدمون هذه الخدمة. بدأنا في الأصل في استخدامها عندما كان الموقع صغيرًا ويعمل على VPS صغيرًا ، ولم نرغب في اجتياز كل جهد الحصول على PCI (اعتدنا على إعادة التوجيه إلى الواجهة الأمامية ، مثل معيار PayPal). ولكن عندما انتقلنا إلى بطاقات المعالجة المباشرة (بما في ذلك الحصول على PCI ، والحس السليم) ، قررت devs الاستمرار في استخدام نفس الشركة فقط API مختلفة. يقع مقر الشركة في منطقة برمنغهام في المملكة المتحدة ، لذا سأشكك بشدة في أن أي شخص هنا سيتأثر بذلك.


2255
2017-07-22 22:44


الأصل


لديك أسبوعين لإيصاله المعلومات ، ويستغرق الأمر أسبوعين للانتقال إلى مكان آخر يمكنه معالجة بطاقات الائتمان. لا تهتم - اتخاذ قرار الانتقال الآن والتخلي عن المراجعة. - Scrivener
من فضلك ، تحديث لنا على ما يحدث مع هذا. لقد فضلت أن أرى كيف يحصل المدقق على الضرب. =) إذا كنت أعرفك ، أرسل لي على العنوان في ملف التعريف الخاص بي. - Wesley
يجب عليه أن يختبرك لمعرفة ما إذا كنت حقاً بهذا الغباء. حق؟ أنا امل ذلك... - Joe Phillips
أود أن أعرف بعض المراجع لشركات أخرى تم تدقيقها. إذا لسبب آخر غير معرفة من تجنب. كلمات المرور نص عادي ... حقا؟ هل أنت متأكد من أن هذا الرجل ليس حقا قبعة سوداء وشركات الهندسة الاجتماعية غبية في تسليم كلمات مرور المستخدمين الخاصة بهم لأشهر؟ لأنه إذا كانت هناك شركات تفعل ذلك معه فهذه طريقة رائعة لتسليم المفاتيح فقط ... - Bart Silverstrim
أي عدم كفاية متقدمة بشكل كافٍ لا يمكن تمييزه عن الخبث - Jeremy French


الأجوبة:


أولا ، لا تستسلم. إنه ليس مجرد أحمق بل خطأ خطير. في الواقع ، فإن إطلاق هذه المعلومات من شأنه انتهاك إن معيار PCI (وهو ما أفترض أنه التدقيق هو لأنه معالج دفع) إلى جانب كل معيار آخر هناك ومجرد الحس السليم. كما أنه سيعرض شركتك لجميع أنواع الالتزامات.

والشيء التالي الذي سأفعله هو إرسال بريد إلكتروني إلى رئيسك في العمل قائلاً إنه بحاجة إلى الاستعانة بمحامي الشركات لتحديد التعرض القانوني الذي ستواجهه الشركة من خلال المضي قدمًا في هذا الإجراء.

هذا الشيء الأخير متروك لك ، ولكن أنا سوف يقوم بالتواصل مع VISA بهذه المعلومات والحصول على وضع مراقب حسابات PCI.


1172
2017-07-22 23:27



لقد سبقتني إليها! هذا طلب غير قانوني. احصل على PCI QSA لتدقيق طلب المعالج. الحصول عليه على مكالمة هاتفية. ضع دائرة حول العربات. "شحن البنادق!" - Wesley
"الحصول على وضع المدقق PCI سحبت" أنا لا أعرف ما الذي يعنيه ... ولكن أيا كانت السلطة هذا المهرج قد (المدقق) من الواضح أن جاء من مربع جاك التكسير الرطب ويحتاج إلى إبطالها. +1 - WernerCD
كل هذا يفترض أن هذا الزميل هو في الواقع مدقق شرعي ... إنه يبدو مريبًا مشكوكًا فيه بالنسبة لي. - Reid
أنا موافق -- suspicious auditorأو أنه مدقق شرعي يرى ما إذا كنت غبياً بما يكفي للقيام بأي من هذه الأشياء. اسأل لماذا يحتاج هذه المعلومات. مجرد النظر في كلمة المرور ، والتي لا ينبغي أبدا أن يكون نص عادي ، ولكن ينبغي أن يكون وراء بعض التشفير طريقة واحدة (التجزئة). ربما يكون لديه سبب مشروع ، ولكن مع كل "خبرته" ، يجب أن يتمكن من مساعدتك في الحصول على المعلومات الضرورية. - vol7ron
لماذا هذا خطير؟ قائمة بكل كلمات مرور النص العادي - يجب أن يكون هناك لا شيء. إذا لم تكن القائمة فارغة ، فسيكون لديه نقطة صحيحة. وينطبق نفس الشيء على الأشياء msot. إذا كنت لا تملك لهم لأنهم ليسوا هناك قول. الملفات البعيدة المضافة - وهذا جزء من auditiing. لا أعلم - ابدأ بوضع نظام يعرف. - TomTom


كشخص قد تم من خلال إجراءات المراجعة مع برايس وترهاوس كوبرز للحصول على عقد حكومي مصنّف ، يمكنني أن أؤكد لكم ، هذا غير وارد على الإطلاق ، وهذا الرجل مجنون.

عندما أرادت PwC التحقق من قوة كلمة المرور الخاصة بنا ، فهي:

  • طلب رؤية خوارزميات قوة كلمة المرور الخاصة بنا
  • ركض وحدات الاختبار على خوارزمياتنا للتحقق من أنها ستحرم كلمات المرور الضعيفة
  • تمت مطالبتهم بمشاهدة خوارزميات التشفير لضمان عدم إمكانية عكسها أو عدم تشفيرها (حتى من خلال جداول قوس قزح) ، حتى من قِبل شخص لديه حق الوصول الكامل إلى كل جانب من جوانب النظام
  • تم التحقق لمعرفة أن كلمات المرور السابقة تم تخزينها مؤقتًا لضمان عدم إعادة استخدامها
  • طلب منا الحصول على إذن (الذي منحناه) لمحاولة اقتحام الشبكة والأنظمة ذات الصلة باستخدام تقنيات هندسية غير اجتماعية (أشياء مثل استغلالات xss و non-0)

إذا كنت قد ألمحت إلى أنه يمكنني أن أريهم ما هي كلمات مرور المستخدمين خلال الأشهر الستة الماضية ، لكانوا قد أغلقونا خارج العقد على الفور.

لو أنه ممكن لتوفير هذه المتطلبات ، من شأنه فشل على الفور كل تدقيق يستحق.


التحديث: يبدو الرد الإلكتروني جيدًا. أكثر مهنية من أي شيء كنت قد كتبت.


814
2017-07-23 02:34



+1. يبدو أن quesstions معقولة لا ينبغي أن تكون قابلة للحياة. إذا تمكنت من الرد عليهم ، فستكون لديك مشكلة أمنية غبية في متناول اليد. - TomTom
even by rainbow tablesلا يستبعد NTLM؟ أعني ، أنها ليست مملحة ... AFAICR MIT Kerberos لم تقم بتشفير أو تجزئة كلمات المرور النشطة ، لا أعرف ما هو الوضع الحالي - Hubert Kario
@ هوبرت - لم نكن نستخدم NTLM أو Kerberos حيث تم حظر طرق مصادقة المرور ولم يتم دمج الخدمة مع الدليل النشط على أي حال. وإلا فإننا لم نتمكن أيضًا من عرض خوارزمياتنا (وهي مضمنة في نظام التشغيل). يجب أن يكون قد ذكر - كان هذا الأمان على مستوى التطبيق ، وليس تدقيقًا على مستوى نظام التشغيل. - Mark Henderson♦
@ tandu - هذا ما ذكرته مواصفات مستوى التصنيف. ومن الشائع أيضًا منع الأشخاص من إعادة استخدام آخرهم ن كلمات المرور ، لأنها توقف الناس عن مجرد ركوب الدراجات من خلال اثنين أو ثلاث كلمات سر شائعة الاستخدام ، والتي هي غير آمنة مثل استخدام نفس كلمة المرور الشائعة. - Mark Henderson♦
Slartibartfast: ولكن وجود وسيلة لمعرفة النص العادي لكلمة المرور يعني أن المهاجم يمكنه كذلك اقتحام قاعدة البيانات الخاصة بك واسترداد كل شيء على مرأى من الجميع. أما بالنسبة للحماية من استخدام كلمة مرور مماثلة ، فيمكن إجراؤها في جافا سكريبت في جانب العميل ، عندما يحاول المستخدم تغيير كلمة المرور ، كما يطلب من كلمة المرور القديمة إجراء مقارنة مماثلة مع كلمة المرور القديمة قبل نشر كلمة المرور الجديدة إلى الخادم. منح ، فإنه يمكن فقط منع إعادة الاستخدام من كلمة المرور 1 آخر ، ولكن IMO خطر تخزين كلمة المرور في نص عادي هو أكثر من ذلك بكثير. - Lie Ryan


بصراحة ، يبدو أن هذا الشخص (المدقق) هو إعداد لك. إذا أعطيته المعلومات التي يطلبها ، فقد أثبتت له أنه يمكنك أن تكون مهندسا اجتماعيا للتخلي عن المعلومات الداخلية الهامة. فشل.


440
2017-07-22 23:40



أيضًا ، هل فكرت في معالج دفع تابع لجهة خارجية ، مثل authorize.net؟ تقوم الشركة التي أعمل بها بكميات كبيرة من معاملات بطاقات الائتمان من خلالها. لا يتعين علينا تخزين أي من معلومات الدفع الخاصة بالعميل - حيث يقوم authorize.net بإدارة ذلك - لذا لا يوجد تدقيق لأنظمتنا لتعقيد الأمور. - anastrophe
هذا بالضبط ما ظننته يحدث. ربما تكون الهندسة الاجتماعية هي أسهل طريقة للحصول على هذه المعلومات وأعتقد أنه يختبر تلك الثغرة. هذا الرجل إما ذكي جدا أو غبي جدا - Joe Phillips
هذا الموقف هو على الأقل الخطوة الأولى الأكثر منطقية. أخبره أنك ستخالف القوانين / القواعد / أيا كان من خلال فعل أي منها ، لكنك تقدر موهبته. - michael
السؤال الغبي: هل "الإعداد" مقبول في هذه الحالة؟ المنطق الشائع يقول لي أن عملية التدقيق لا ينبغي أن تكون مصنوعة من "الحيل". - Agos
@ Agos: لقد عملت في مكان منذ بضع سنوات استأجرت وكالة لإجراء مراجعة. شمل جزء من التدقيق استدعاء أشخاص عشوائيين في الشركة مع "<CIO> طلبوا مني الاتصال بك والحصول على بيانات اعتماد تسجيل الدخول الخاصة بك حتى أتمكن من <القيام بشيء>." لم يقتصر الأمر على التحقق من أنك لن تتخلى عن أوراق الاعتماد فعليًا ، ولكن بمجرد أن تعلقهم ، كان من المفترض أن تتصل على الفور بـ <CIO> أو <Admin Admin> وأن تبلغ عن التبادل. - Toby


لقد اكتشفت أنك في المملكة المتحدة ، مما يعني أن ما يطلب منك فعله هو خرق القانون (قانون حماية البيانات في الواقع). أنا في المملكة المتحدة أيضًا ، أعمل في شركة كبيرة تدقيقًا كبيرًا وأعرف القانون والممارسات الشائعة في هذا المجال. أنا أيضا قطعة من العمل سيئ للغاية ، والذي سيحبط لك هذا الرجل بسعادة إذا كنت تحب المتعة فقط ، أخبرني إذا كنت ترغب في الحصول على المساعدة.


335
2017-07-23 07:01



بافتراض وجود أي معلومات شخصية على هذه الخوادم ، أعتقد أن تسليم / كل / أوراق الاعتماد للوصول بنص عادي إلى شخص بهذا المستوى من عدم الكفاءة الموضح سيكون خرقًا واضحًا للمبدأ 7 ... ("التدابير التقنية والتنظيمية المناسبة يجب اتخاذها ضد معالجة غير مصرح بها أو غير قانونية من البيانات الشخصية وضد الفقدان العرضي أو تدمير أو تلف البيانات الشخصية. ") - Stephen Veiss
أعتقد أنه افتراض عادل - إذا كنت تخزّن معلومات الدفع ، فربما كنت تخزن أيضًا معلومات اتصال لمستخدميك. إذا كنت في وضع OP ، فسأرى "ما تطلب مني القيام به لا يكتفي فقط بالسياسة والتزاماتها التعاقدية [للالتزام بـ PCI] ، ولكنه غير قانوني أيضًا" كحجة أقوى من مجرد ذكر السياسة و PCI . - Stephen Veiss
Jimmy لماذا لا تكون كلمة المرور بيانات شخصية؟ - robertc
@ ريتشارد ، أنت تعرف أنها كانت استعارة صحيحة؟ - Chopper3
@ Chopper3 نعم ، ما زلت أعتقد أنه غير مناسب. بالإضافة إلى ذلك ، أنا أواجه AviD. - Richard Gadsden


يتم هندستها اجتماعيا. إما أن "اختبر لك" أو قراصنة يتظاهر بأنه مدقق للحصول على بعض البيانات المفيدة جدا.


271
2017-07-23 09:20



لماذا ليس هذا هو الحل الأعلى؟ هل هذا يقول شيئا عن المجتمع ، وسهولة الهندسة الاجتماعية ، أو هل أنا في عداد المفقودين شيء أساسي؟ - Paul
لا تنسب أبدا إلى الخبث الذي يمكن أن يعزى إلى الجهل - aldrinleal
إن نسب كل هذه الطلبات إلى الجهل عندما يدعي المراجع أنه محترف ، يمد خياله قليلاً. - Thomas K
المشكلة مع هذه النظرية هي أنه حتى لو "وقع لها" أو "فشل الاختبار" لم أستطع يعطيه المعلومات لأنه غير ممكن..... - eds
أفضل تخميني هو "الهندسة الاجتماعية الجادة" أيضاً (هل من قبيل الصدفة أن يخرج كتاب Kevin Mitnick الجديد قريباً؟) ، وفي هذه الحالة ستفاجأ شركة الدفع الخاصة بك (هل قمت بالتدقيق معهم حول هذا "التدقيق" حتى الآن؟) . الخيار الآخر هو المدقق الصاعد جدا مع عدم المعرفة لينكس الذين حاولوا خداع والآن هو حفر نفسه في أعمق وأعمق وأعمق. - Koos van den Hout


أشعر بقلق بالغ إزاء افتقار OP إلى مهارات حل المشكلات الأخلاقية و المجتمع خطأ الخادم تجاهل هذا الخرق الصارخ للسلوك الأخلاقي.

باختصار ، أحتاج ؛

  • طريقة للتخلي عن ستة أسابيع من "كلمة المرور" وجعلها تبدو صالحة
  • طريقة "وهمية" ستة أشهر من عمليات نقل الملفات الواردة

دعوني أكون واضحًا في نقطتين:

  1. ليس من المناسب أبداً تزوير البيانات أثناء العمل العادي.
  2. يجب ألا تفصح عن هذا النوع من المعلومات لأي شخص. أبدا.

ليس من وظيفتك أن تزيف السجلات. مهمتك هي التأكد من توفر أي سجلات ضرورية ودقيقة وآمنة.

المجتمع هنا في خطأ الخادم يجب تعامل مع هذه الأنواع من الأسئلة حيث يعامل موقع stackoverflow أسئلة "الواجب المنزلي". لا يمكنك معالجة هذه المشكلات برد فني فقط أو تجاهل انتهاك المسؤولية الأخلاقية.

رؤية هذا العدد الكبير من المستخدمين ذوي الردود العالية هنا في هذا الموضوع ، ولا يوجد أي ذكر للآثار الأخلاقية لهذا السؤال يحزنني.

أود أن أشجع الجميع على قراءة المدونة قواعد أخلاقيات مسؤولي SAGE System. 

راجع للشغل ، المدقق الأمني ​​الخاص بك هو احمق ، ولكن هذا لا يعني أنك بحاجة إلى أن تشعر بالضغط ليكون غير أخلاقي في عملك.

تحرير: تحديثاتك لا تقدر بثمن. حافظي على رأسك ، ومسحوقك جاف ، ولا تأخذي (أو تعطي) أي نيكل خشبي.


266
2017-07-24 20:05



أنا أعترض. كان "المدقق" يتنمر على البروتوكول الاختياري في كشف المعلومات التي من شأنها أن تقوض أمن تكنولوجيا المعلومات بالكامل للمنظمة. لا يجب على OP إنشاء مثل هذه السجلات وتزويدها بأي شخص تحت أي ظرف من الظروف. يجب أن لا يكون OP سجلات مزيفة ؛ يمكن بسهولة أن ينظر إليها على أنها مزيفة. يجب أن يشرح البروتوكول الاختياري للجهات المتفوقة سبب اعتبار مدققي الحسابات الأمنيين تهديدًا إما من خلال النوايا الخبيثة أو عدم الكفاءة المطلقة (كلمات مرور البريد الإلكتروني في نص عادي). يجب على OP أن توصي بإنهاء فوري لمدقق الحسابات والتحقيق الكامل في أنشطة أخرى للمراجع السابق. - dr jimbob
الدكتور جيم بيم ، أعتقد أنك تفتقد هذه النقطة: "OP لا ينبغي أن تكون سجلات مزيفة ، ويمكن بسهولة أن ينظر إليها على أنها مزيفة." لا يزال موقفًا غير أخلاقي كما تقترح أنه يجب ألا يزيف البيانات إلا عندما لا يمكن تمييزها عن البيانات الحقيقية. إرسال بيانات خاطئة أمر غير أخلاقي. إرسال كلمات مرور المستخدمين إلى طرف ثالث هو إهمال. لذلك نحن نتفق على أن هناك حاجة إلى القيام بشيء حول هذا الوضع. أنا أعلق على عدم وجود تفكير أخلاقي حاسم في حل هذه المشكلة. - Joseph Kern
لم أوافق على "مهمتك هي التأكد من أن هذه السجلات متوفرة ودقيقة وآمنة." لديك التزام للحفاظ على أمان النظام الخاص بك ؛ لا ينبغي أن يتم الطلبات غير المعقولة (مثل كلمات المرور تخزين ومشاركة نص عادي) إذا كانت تهدد النظام. يعد تخزين كلمات مرور النص العادي وتسجيلها ومشاركتها انتهاكًا كبيرًا من الثقة للمستخدمين. إنه تهديد كبير لأمن العلم الأحمر. يمكن إجراء التدقيق الأمني ​​ويجب عدم القيام بذلك دون تعريض مفاتيح سرية لكلمات مرور / ssh خاصة. وعليك أن تدع الشركات العليا تعرف المشكلة وتحلها. - dr jimbob
دكتور جيمبوب ، أشعر أننا سفينتين تمران في الليل. أوافق على كل ما تقوله ، لا بد لي من توضيح هذه النقاط بشكل واضح بما فيه الكفاية. سأقوم بمراجعة استجابتي الأولية أعلاه. أنا اعتمدت بشدة على سياق الخيط. - Joseph Kern
Joseph Kern ، لم أقرأ البروتوكول الاختياري بنفس الطريقة التي اتبعتها بنفسك. قرأتها أكثر كيف يمكنني إنتاج ستة أشهر من البيانات التي لم نحتفظ بها أبداً. بالتأكيد ، أوافق على أن معظم الطرق لمحاولة تلبية هذا المطلب ستكون احتيالية. ومع ذلك ، هل كنت استقلت قاعدة بيانات كلمة المرور الخاصة بي واستخرجت الطوابع الزمنية للأشهر الستة الماضية ، يمكنني إنشاء سجل للتغيرات التي لا تزال محفوظة. أعتبر أن بيانات "تزوير" قد فقدت بعض البيانات. - user179700


لا يمكنك إعطائه ما تريد ، ومحاولات "التزوير" من المحتمل أن تعود إلى عضك في المؤخرة (ربما بطرق قانونية). تحتاج إما إلى الاستئناف في سلسلة القيادة (من الممكن أن يكون هذا المدقق قد ساء المارق ، على الرغم من أن عمليات التدقيق الأمني ​​هي غبية بشكل سيء - تسألني عن المدقق الذي أراد أن يتمكن من الوصول إلى AS / 400 عبر SMB) ، أو الحصول على الجحيم الخروج من تحت هذه المتطلبات الفوقية.

انهم ليسوا حتى امن جيد - قائمة بكل كلمات السر غير العادية هي لا يصدق شيء خطير ل أبدا إنتاج ، بغض النظر عن الأساليب المستخدمة لحماية لهم ، وسأراهن أن هذا الرجل سوف يريدون إرسالها بالبريد الإلكتروني في نص عادي. (أنا متأكد من أنك تعرف هذا بالفعل ، لا بد لي من تنفيس قليلا).

للتغلب على الضحك والضحكات ، اسأله مباشرة عن كيفية تنفيذ متطلباته - اعترف أنك لا تعرف كيف ، وترغب في الاستفادة من خبرته. وبمجرد أن تخرج وتذهب ، سيكون الرد على "لدي خبرة أكثر من 10 سنوات في التدقيق الأمني" هو "لا ، لديك 5 دقائق من الخبرة تتكرر مئات المرات".


232
2017-07-22 23:00



... مدقق يريد الوصول إلى AS / 400 عبر SMB؟ ... لماذا؟ - Bart Silverstrim
هناك تكرار متكرر واجهته مع شركات توافق PCI ضد تصفية ICMP الشاملة ، وحجب الصدى فقط. توجد ICMP لسبب وجيه للغاية ، ولكن من المستحيل توضيح ذلك للعديد من مراجعي الحسابات "العمل من نص". - Twirrim
BartSilverstrim ربما كانت حالة تدقيق قائمة التدقيق. كما قال لي أحد المدققين ذات مرة - لماذا مرر المدقق الطريق؟ لأن هذا ما فعلوه في العام الماضي. - Scott Pack
وأنا أعلم أنه ممكن ، و "WTF" الحقيقي؟ كان حقيقة أن المدقق اعتبر أن الجهاز كان عرضة للهجمات عبر SMB حتى يتمكن من الاتصال عبر SMB ... - womble♦
"لديك 5 دقائق من الخبرة تتكرر مئات المرات" --- ooooh ، وهذا يذهب مباشرة إلى مجموعة عروض الأسعار الخاصة بي! :د - Tasos Papastylianou


يجب ألا يفشل أي مدقق إذا وجد مشكلة تاريخية قمت بإصلاحها الآن. في الواقع ، هذا دليل على حسن السلوك. ومع أخذ ذلك في الاعتبار ، أقترح شيئين:

أ) لا تكذب أو تجعل الأشياء. ب) قراءة السياسات الخاصة بك.

البيان الرئيسي بالنسبة لي هو هذا:

يطلب من جميع عملاء [موفر معالجة بطاقات الائتمان العامة] الالتزام بسياسات الأمن الجديدة لدينا

أراهن أن هناك بيانًا في هذه السياسات يقول أن كلمات المرور لا يمكن كتابتها ولا يمكن تمريرها إلى أي شخص آخر غير المستخدم. إذا كان هناك ، فسنطبق هذه السياسات على طلباته. أقترح التعامل معها على النحو التالي:

  • قائمة بأسماء المستخدمين الحاليين وكلمات المرور للنص العادي لجميع حسابات المستخدمين على جميع الخوادم

اعرض له قائمة بأسماء المستخدمين ، ولكن لا تسمح بإزالتها. اشرح أن إعطاء كلمات مرور نص عادي هو) مستحيل كما هو في اتجاه واحد ، و b) ضد السياسة ، التي يراجعها ضدك ، لذلك لن تطيع.

  • قائمة بجميع تغييرات كلمة المرور خلال الأشهر الستة الماضية ، مرة أخرى في النص العادي

اشرح أن هذا لم يكن متاحًا من الناحية التاريخية. أعطه قائمة بأحدث أوقات تغيير كلمة المرور لتوضيح أن هذا يتم الآن. اشرح ، على النحو الوارد أعلاه ، أنه لن يتم توفير كلمات المرور.

  • قائمة "كل ملف يتم إضافته إلى الخادم من الأجهزة البعيدة" في الأشهر الستة الماضية

اشرح ما هو ولا يتم تسجيله. قدم ما تستطيع. لا تقدم أي شيء سري ، واشرح من خلال السياسة لماذا لا. اسأل ما إذا كان تسجيل الدخول يحتاج إلى تحسين.

  • المفاتيح العامة والخاصة لأي مفاتيح SSH

انظر إلى سياسة إدارة المفاتيح الخاصة بك. ينبغي أن تنص على أنه لا يُسمح للمفاتيح الخاصة بالخروج من الحاوية الخاصة بها وأن تكون هناك شروط صارمة للوصول إليها. طبّق هذه السياسة ، ولا تسمح بالوصول إليها. المفاتيح العامة لحسن الحظ العامة ويمكن مشاركتها.

  • يتم إرسال بريد إلكتروني إليه في كل مرة يقوم فيها المستخدم بتغيير كلمة المرور الخاصة به ، والتي تحتوي على كلمة مرور النص العادي

فقط قل لا. إذا كان لديك خادم سجلات محلي آمن ، فدعه يرى أن هذا يتم تسجيله في الموقع.

في الأساس ، وأنا آسف لقول ذلك ، ولكن عليك أن تلعب كرة قوية مع هذا الرجل. اتبع سياستك بالضبط ، لا تحيد. لا تكذب. وإذا أخفقك في أي شيء ليس في السياسة ، فاشتكى إلى كبار السن في الشركة التي أرسلته. اجمع ورقة بحثية من كل هذا لإثبات أنك كنت معقولاً. إذا كنت كسر السياسة الخاصة بك فأنت تحت رحمته. إذا تابعتهم إلى الرسالة ، سينتهي به الأمر إلى أن يتم فصله.


177
2017-07-23 10:15



اتفق ، هذا هو مثل واحد من تلك البرامج الواقعية المجنونة ، حيث يقوم سائق سيارة يقود سيارتك من جرف أو شيء لا يصدق على حد سواء. أود أن أقول لـ OP ، أعد سيرتك الذاتية وخرج ، إذا لم تنجح الإجراءات المذكورة أعلاه لك. من الواضح أن هذا وضع سخيفة ومرهقة. - Jonathan Watmough
أتمنى أن أتمكن من التصويت على هذا الرقم 1،000،000،000. في حين أن معظم الإجابات هنا تقال إلى حد كبير نفس الشيء ، فهذه الإجابة أكثر دقة. عمل رائع ، @ جيمي! - Iszi


نعم ، المدقق هو أحمق. ومع ذلك ، كما تعلمون ، في بعض الأحيان يتم وضع البلهاء في مواقع السلطة. هذه هي واحدة من تلك الحالات.

المعلومات التي طلبها لديها صفر تحمل على الأمن الحالي للنظام. اشرح للمدقق أنك تستخدم LDAP للمصادقة وأنه يتم تخزين كلمات المرور باستخدام تجزئة ذات اتجاه واحد. إذا لم يكن لديك نص برمجي قوي ضد تجزئة كلمة المرور (التي قد تستغرق أسابيع (أو سنوات) ، فلن تتمكن من توفير كلمات المرور.

وبالمثل الملفات عن بعد - أود أن أسمع ، perchance ، وكيف يعتقد أنه يجب أن تكون قادرة على التفريق بين الملفات التي تم إنشاؤها مباشرة على الخادم وملف SCPed إلى الخادم.

كما قال womble @ ، لا تزوير أي شيء. هذا لن يفيد. إما أن تتخلص من هذا التدقيق وأن تتخلى عن وسيط آخر ، أو أن تجد طريقة لإقناع هذا "المحترف" بأن الجبن قد انزلق عن جهاز تكسيره.


134
2017-07-22 23:05



+1 لـ "... أن جبنه قد انزلق من جهاز تكسيره." هذا هو واحد جديد بالنسبة لي! - Collin Allen
"المعلومات التي طلبها لا تحمل أي تأثير على الأمن الحالي للنظام." <- كنت أقول في الواقع لديها الكثير من التأثير على الأمن. : P - Ishpeck
(which could take weeks (or years) نسيان المكان ، ولكنني عثرت على هذا التطبيق عبر الإنترنت والذي سيقدر المدة التي سيستغرقها إجهاض كلمة المرور. أنا لا أعرف ما هي خوارزميات القوة الغاشمة أو التجزئة التي افترض أنها كانت ، لكنها قدرت شيئًا مثل 17 تريليون عام لمعظم كلمات المرور الخاصة بي ... :) - Carson Myers
Carson: التطبيق عبر الإنترنت الذي وجدته لتقدير قوة كلمة المرور كان له أسلوب مختلف (وربما أكثر دقة): لكل كلمة مرور ، عادت "كلمة مرورك غير آمنة - لقد قمت بكتابتها في صفحة ويب غير موثوق بها!" - Jason Owen
@ جاسون لا ، أنت على حق! - Carson Myers


اطلب من "مراجع الحسابات الأمني" الإشارة إلى أي نص من أي من هذه المستندات التي لديها متطلباته ومشاهدته وهو يناضل من أجل التوصل إلى عذر ، وفي نهاية المطاف يعذر نفسه لعدم سماعه من جديد.


86
2017-07-22 23:15



يوافق على. لماذا ا؟ هو سؤال صالح هو ظرف كهذا. ينبغي أن يكون المراجع قادرًا على تقديم مستندات الحالة التجارية / التشغيلية لطلباته. يمكنك أن تقول له "ضع نفسك في موقفي. هذا هو نوع الطلب الذي أتوقعه من شخص ما يحاول إعداد عملية تطفل". - jl.


WTF! عذرا ولكن هذا رد فعلى الوحيد على هذا. لا توجد متطلبات التدقيق التي سمعتها من قبل والتي تتطلب كلمة مرور نص عادي ، ناهيك عن تزويدهم كلمات المرور أثناء تغييرها.

أولاً ، أطلب منه أن يريك متطلبات توفير ذلك.

ثانيًا ، إذا كان هذا لـ PCI (الذي نفترضه جميعًا لأنه سؤال حول نظام الدفع) ، فانتقل إلى هنا: https://www.pcisecuritystandards.org/approved_companies_providers/qsa_companies.php والحصول على مدقق جديد.

ثالثًا ، اتبع ما قالته أعلاه ، واتصل بإدارتك واطلب منهم الاتصال بشركة QSA التي يعمل معها. ثم على الفور الحصول على مدقق آخر.

مدققي حسابات نظام تدقيق الحسابات ، المعايير ، العمليات ، إلخ. ليسوا بحاجة إلى أي معلومات توفر لهم الوصول إلى الأنظمة.

إذا كنت ترغب في أن يتصل بي أي مراجع مدقق أو كولو بديل يعمل عن كثب مع المدققين ، فسأكون سعيدًا بتقديم المراجع.

حظا سعيدا! ثق بأمراضك ، إذا كان هناك شيء يبدو خاطئًا على الأرجح.


71
2017-07-22 23:55