Nuestro auditor de seguridad es un idiota. ¿Cómo le doy la información que quiere?


2308

Un auditor de seguridad para nuestros servidores ha exigido lo siguiente en dos semanas:

  • Una lista de nombres de usuario actuales y contraseñas de texto sin formato para todas las cuentas de usuario en todos los servidores
  • Una lista de todos los cambios de contraseña de los últimos seis meses, nuevamente en texto sin formato
  • Una lista de "cada archivo agregado al servidor desde dispositivos remotos" en los últimos seis meses
  • Las claves públicas y privadas de cualquier clave SSH
  • Un correo electrónico enviado cada vez que un usuario cambia su contraseña, que contiene la contraseña de texto sin formato

Estamos ejecutando cajas Red Hat Linux 5/6 y CentOS 5 con autenticación LDAP.

Hasta donde sé, todo lo que está en esa lista es imposible o increíblemente difícil de obtener, pero si no proporciono esta información, enfrentaremos la pérdida de acceso a nuestra plataforma de pagos y la pérdida de ingresos durante un período de transición a medida que avanzamos a un nuevo servicio ¿Alguna sugerencia sobre cómo puedo resolver o falsificar esta información?

La única forma en que puedo pensar en obtener todas las contraseñas de texto sin formato es hacer que todos restablezcan su contraseña y tomen nota de lo que han configurado. Eso no resuelve el problema de los últimos seis meses de cambios de contraseña, porque no puedo registrar retroactivamente ese tipo de cosas, lo mismo ocurre con el registro de todos los archivos remotos.

Es posible obtener todas las claves SSH públicas y privadas (aunque molestas), ya que solo tenemos unos pocos usuarios y computadoras. ¿A menos que haya perdido una forma más fácil de hacer esto?

Le he explicado muchas veces que las cosas que pide son imposibles. En respuesta a mis inquietudes, respondió con el siguiente correo electrónico:

Tengo más de 10 años de experiencia en auditoría de seguridad y una comprensión total de los métodos de seguridad de redhat, por lo que le sugiero que verifique sus hechos sobre lo que es y lo que no es posible. Usted dice que ninguna compañía podría tener esta información, pero he realizado cientos de auditorías donde esta información ha estado disponible. Todos los clientes [proveedores de procesamiento de tarjetas de crédito genéricas] deben cumplir con nuestras nuevas políticas de seguridad y esta auditoría tiene como objetivo garantizar que esas políticas se hayan implementado * correctamente.

* Las "nuevas políticas de seguridad" se introdujeron dos semanas antes de nuestra auditoría, y los seis meses de registro histórico no fueron necesarios antes de que la política cambie.

En resumen, lo necesito;

  • Una forma de "falsificar" seis meses de cambios de contraseña y hacer que parezca válido
  • Una forma de "falsificar" seis meses de transferencias de archivos entrantes
  • Una manera fácil de recopilar todas las claves públicas y privadas de SSH que se utilizan

Si fallamos en la auditoría de seguridad, perdemos el acceso a nuestra plataforma de procesamiento de tarjetas (una parte crítica de nuestro sistema) y nos llevaría unas buenas dos semanas trasladarnos a otro lugar. ¿Qué tan jodido estoy?

Actualización 1 (sábado 23)

Gracias por todas sus respuestas. Me da un gran alivio saber que esta no es una práctica estándar.

Actualmente estoy planeando mi respuesta por correo electrónico para explicarle la situación. Como muchos de ustedes señalaron, tenemos que cumplir con PCI, que establece explícitamente que no deberíamos tener ninguna forma de acceder a las contraseñas de texto sin formato. Publicaré el correo electrónico cuando termine de escribirlo. Desafortunadamente no creo que solo nos esté probando; Estas cosas están en la política de seguridad oficial de la compañía ahora. Sin embargo, por el momento he puesto las ruedas en movimiento para alejarme de ellas y entrar en PayPal.

Actualización 2 (sábado 23)

Este es el correo electrónico que he redactado, ¿alguna sugerencia de cosas para agregar / eliminar / cambiar?

Nombre Hola],

Desafortunadamente, no hay forma de que podamos proporcionarle parte de la información solicitada, principalmente contraseñas de texto sin formato, historial de contraseñas, claves SSH y registros de archivos remotos. Estas cosas no solo son técnicamente imposibles, sino que también ser capaz de proporcionar esta información sería una violación de los estándares PCI y una violación de la ley de protección de datos.
Para citar los requisitos de PCI,

8.4 Haga que todas las contraseñas sean ilegibles durante la transmisión y el almacenamiento en todos los componentes del sistema utilizando una criptografía sólida.

Puedo proporcionarle una lista de nombres de usuario y contraseñas hash utilizadas en nuestro sistema, copias de las claves públicas SSH y el archivo de hosts autorizados (Esto le dará suficiente información para determinar la cantidad de usuarios únicos que pueden conectarse a nuestros servidores y el cifrado métodos utilizados), información sobre nuestros requisitos de seguridad de contraseña y nuestro servidor LDAP, pero esta información no se puede sacar del sitio. Le sugiero encarecidamente que revise sus requisitos de auditoría, ya que actualmente no hay forma de que pasemos esta auditoría mientras cumplimos con PCI y la Ley de Protección de Datos.

Saludos,
[yo]

Estaré contactando al CTO de la compañía y a nuestro gerente de cuentas, y espero que el CTO pueda confirmar que esta información no está disponible. También me pondré en contacto con el Consejo de Normas de Seguridad de PCI para explicar lo que nos exige.

Actualización 3 (26)

Aquí hay algunos correos electrónicos que intercambiamos;

RE: mi primer correo electrónico;

Como se explicó, esta información debería estar fácilmente disponible en cualquier sistema bien mantenido para cualquier administrador competente. El hecho de que no pueda proporcionar esta información me lleva a creer que conoce las fallas de seguridad en su sistema y no está preparado para revelarlas. Nuestras solicitudes se alinean con las pautas de PCI y ambas se pueden cumplir. La criptografía sólida solo significa que las contraseñas deben estar encriptadas mientras el usuario las ingresa, pero luego deben moverse a un formato recuperable para su uso posterior.

No veo problemas de protección de datos para estas solicitudes, la protección de datos solo se aplica a los consumidores, no a las empresas, por lo que no debería haber problemas con esta información.

Simplemente, qué, no puedo, incluso ...

"Una criptografía sólida solo significa que las contraseñas deben estar encriptadas mientras el usuario las ingresa, pero luego deben moverse a un formato recuperable para su uso posterior".

Voy a enmarcar eso y ponerlo en mi pared.

Me harté de ser diplomático y lo dirigí a este hilo para mostrarle la respuesta que obtuve:

Proporcionar esta información DIRECTAMENTE contradice varios requisitos de las pautas de PCI. La sección que cité incluso dice storage (lo que implica dónde almacenamos los datos en el disco). Comencé una discusión en ServerFault.com (una comunidad en línea para profesionales de administración de sistemas) que ha creado una gran respuesta, todo lo cual sugiere que no se puede proporcionar esta información. Siéntete libre de leer a través de ti mismo

https://serverfault.com/questions/293217/

Hemos terminado de trasladar nuestro sistema a una nueva plataforma y cancelaremos nuestra cuenta con usted dentro del día siguiente más o menos, pero quiero que se dé cuenta de lo ridículas que son estas solicitudes, y ninguna compañía que implemente correctamente las pautas de PCI lo hará o debería, poder proporcionar esta información. Le sugiero que reconsidere sus requisitos de seguridad, ya que ninguno de sus clientes debería ser capaz de cumplir con esto.

(De hecho, había olvidado que lo había llamado idiota en el título, pero como mencioné, ya nos habíamos alejado de su plataforma, así que no había pérdida real).

Y en su respuesta, afirma que aparentemente ninguno de ustedes sabe de lo que están hablando:

Leí en detalle a través de esas respuestas y su publicación original, todos los que responden deben tener sus datos correctos. He estado en esta industria más tiempo que nadie en ese sitio, obtener una lista de contraseñas de cuentas de usuario es increíblemente básico, debería ser una de las primeras cosas que hace al aprender cómo proteger su sistema y es esencial para el funcionamiento de cualquier seguridad servidor. Si realmente carece de las habilidades para hacer algo así de simple, asumiré que no tiene PCI instalado en sus servidores, ya que poder recuperar esta información es un requisito básico del software. Cuando se trata de algo como la seguridad, no debe hacer estas preguntas en un foro público si no tiene un conocimiento básico de cómo funciona.

También me gustaría sugerir que cualquier intento de revelarme, o [nombre de la compañía] se considerará difamación y se tomarán las acciones legales apropiadas

Puntos idiotas clave si te los perdiste:

  • Ha sido auditor de seguridad más tiempo que cualquier otra persona aquí (lo está adivinando o acechando)
  • Poder obtener una lista de contraseñas en un sistema UNIX es 'básico'
  • PCI ahora es software
  • Las personas no deberían usar foros cuando no están seguros de la seguridad
  • Publicar información objetiva (de la que tengo prueba de correo electrónico) en línea es difamación

Excelente.

PCI SSC ha respondido y lo está investigando a él y a la compañía. Nuestro software ahora se ha movido a PayPal, por lo que sabemos que es seguro. Voy a esperar a que PCI me responda primero, pero me preocupa un poco que puedan haber estado utilizando estas prácticas de seguridad internamente. Si es así, creo que es una gran preocupación para nosotros, ya que todo el procesamiento de nuestra tarjeta pasó por ellos. Si lo hicieran internamente, creo que lo único responsable sería informar a nuestros clientes.

Espero que cuando PCI se dé cuenta de lo malo que es, investigarán a toda la empresa y el sistema, pero no estoy seguro.

Así que ahora nos hemos alejado de su plataforma, y ​​suponiendo que pasen al menos unos días antes de que PCI me responda, ¿alguna sugerencia ingeniosa sobre cómo molestarlo un poco? =)

Una vez que haya obtenido la autorización de mi persona jurídica (dudo mucho de que esto sea realmente difamación, pero quería comprobarlo dos veces), publicaré el nombre de la empresa, su nombre y correo electrónico, y si lo desea, puede contactarlo y explicarle por qué no comprende los conceptos básicos de la seguridad de Linux, como cómo obtener una lista de todas las contraseñas de los usuarios de LDAP.

Pequeña actualización:

Mi "persona jurídica" ha sugerido que revelar que la compañía probablemente causaría más problemas de los necesarios. Sin embargo, puedo decir que este no es un proveedor importante, tienen menos de 100 clientes que utilizan este servicio. Originalmente comenzamos a usarlos cuando el sitio era pequeño y funcionaba con un pequeño VPS, y no queríamos hacer todo el esfuerzo de obtener PCI (solíamos redirigir a su interfaz, como PayPal Standard). Pero cuando pasamos a procesar tarjetas directamente (incluida la obtención de PCI y el sentido común), los desarrolladores decidieron seguir usando la misma compañía con una API diferente. La compañía tiene su sede en el área de Birmingham, Reino Unido, por lo que dudo mucho que alguien aquí se vea afectado.


460
Tienes dos semanas para entregarle la información, y lleva dos semanas mudarte a otro lugar que pueda procesar tarjetas de crédito. No se moleste: tome la decisión de mudarse ahora y abandonar la auditoría.
Scrivener

159
Por favor, actualícenos sobre lo que sucede con esto. Lo tengo como favorito para ver cómo se azota al auditor. =) Si te conozco, envíame un correo electrónico a la dirección de mi perfil.
Wesley

143
Él debe estar probándote para ver si eres realmente tan estúpido. ¿Derecho? Eso espero ...
Joe Phillips

187
Me gustaría conocer algunas referencias de otras compañías que él ha auditado. Si no por otra razón que saber a quién evitar . Contraseñas de texto sin formato ... ¿en serio? ¿Estás seguro de que este tipo no es realmente un sombrero negro y que las compañías estúpidas de ingeniería social entregarán sus contraseñas de usuario durante meses? Porque si hay compañías que hacen esto con él, esta es una GRAN manera de entregar las llaves ...
Bart Silverstrim

286
Cualquier incompetencia suficientemente avanzada es indistinguible de la malicia
Jeremy French

Respuestas:


1209

Primero, NO capitules. No solo es un idiota, sino PELIGROSAMENTE equivocado. De hecho, divulgar esta información violaría el estándar PCI (que es para lo que supongo que es la auditoría, ya que es un procesador de pagos) junto con todos los demás estándares existentes y simplemente sentido común. También expondría a su empresa a todo tipo de responsabilidades.

Lo siguiente que haría es enviarle un correo electrónico a su jefe para decirle que necesita involucrar a un asesor corporativo para determinar la exposición legal que enfrentaría la empresa al proceder con esta acción.

Esto último depende de usted, pero me pondría en contacto con VISA con esta información y obtendría el estado de su auditor PCI.


289
¡Me ganaste! Esta es una solicitud ilegal. Obtenga un PCI QSA para auditar la solicitud del procesador. Llámalo por teléfono. Rodea los vagones. "¡Carga por las armas!"
Wesley

9191
"obtener el estado de su auditor PCI" No sé lo que eso significa ... pero cualquier autoridad que tenga este payaso (el auditor) obviamente provino de una caja de toma de galletas húmedas y necesita ser revocada. +1
WernerCD

135
Todo esto supone que este tipo es en realidad un auditor legítimo ... me parece muy sospechoso.
Reid

31
Estoy de acuerdo suspicious auditor, o es un auditor legítimo para ver si eres lo suficientemente estúpido como para hacer cualquiera de estas cosas. Pregunte por qué necesita esta información. Solo considere la contraseña, que nunca debe ser texto sin formato, sino que debe estar detrás de un cifrado unidireccional (hash). Quizás tenga alguna razón legítima, pero con toda su "experiencia" debería poder ayudarlo a obtener la información necesaria.
vol7ron

25
¿Por qué es esto peligroso? Una lista de todas las contraseñas de texto sin formato: no debería haber ninguna. Si la lista no está vacía, tiene un punto válido. Lo mismo ocurre con más cosas. Si no los tienes porque no están allí, dilo. Se agregaron archivos remotos, eso es parte de la auditación. No lo sé: comience a instalar un sistema que lo sepa.
TomTom el

837

Como alguien que ha pasado por el procedimiento de auditoría con Price Waterhouse Coopers por un contrato gubernamental clasificado, puedo asegurarle que esto está totalmente fuera de discusión y este tipo está loco.

Cuando PwC quería verificar la seguridad de nuestra contraseña, ellos:

  • Pidió ver nuestros algoritmos de seguridad de contraseña
  • Corrimos unidades de prueba contra nuestros algoritmos para verificar que negarían contraseñas deficientes
  • Se le pidió ver nuestros algoritmos de cifrado para garantizar que no pudieran ser revertidos o no cifrados (incluso en las tablas de arco iris), incluso por alguien que tuviera acceso completo a todos los aspectos del sistema.
  • Se verificó que las contraseñas anteriores se almacenaron en caché para garantizar que no se pudieran reutilizar
  • Nos pidieron permiso (que les otorgamos) para que intentaran ingresar a la red y los sistemas relacionados utilizando técnicas de ingeniería no social (cosas como xss y exploits de día no 0)

Si incluso hubiera insinuado que podría mostrarles cuáles eran las contraseñas de los usuarios en los últimos 6 meses, nos habrían excluido del contrato de inmediato.

Si fuera posible proporcionar estos requisitos, fallaría instantáneamente en cada auditoría que valga la pena tener.


Actualización: su correo electrónico de respuesta se ve bien. Mucho más profesional que cualquier cosa que hubiera escrito.


109
+1. Parece preguntas razonables que NO deberían ser RESPONDIBLES. Si puede responderlas, tiene un estúpido problema de seguridad a la mano.
TomTom

99
even by rainbow tables¿eso no descarta NTLM? Quiero decir, no está salado ... AFAICR MIT Kerberos no cifró ni descifró las contraseñas activas, no sé cuál es el estado actual
Hubert Kario

66
@Hubert: no estábamos usando NTLM o Kerberos ya que los métodos de autenticación de paso estaban prohibidos y el servicio no estaba integrado con el directorio activo de todos modos. De lo contrario, tampoco podríamos mostrarles nuestros algoritmos (están integrados en el sistema operativo). Debería haber mencionado: esto era seguridad a nivel de aplicación, no una auditoría a nivel de sistema operativo.
Mark Henderson

44
@tandu: eso es lo que indican las especificaciones para el nivel de clasificación. También es bastante común evitar que las personas vuelvan a usar sus últimas n contraseñas, ya que evita que las personas solo utilicen dos o tres contraseñas de uso común, lo cual es tan inseguro como usar la misma contraseña común.
Mark Henderson

10
@Slartibartfast: pero tener un medio para conocer el texto plano de la contraseña significa que el atacante podría entrar en su base de datos y recuperar todo a la vista. En cuanto a la protección contra el uso de una contraseña similar, eso se puede hacer en JavaScript en el lado del cliente, cuando el usuario intenta cambiar la contraseña, también solicite la contraseña anterior y haga una comparación de similitud con la contraseña anterior antes de publicar la nueva contraseña en el servidor. Por supuesto, solo puede evitar la reutilización desde la última contraseña, pero en mi opinión, el riesgo de almacenar la contraseña en texto sin formato es mucho más.
Lie Ryan

456

Honestamente, parece que este tipo (el auditor) te está tendiendo una trampa. Si le das la información que está pidiendo, acabas de demostrarle que puedes ser diseñado socialmente para entregar información interna crítica. Fallar.


10
Además, ¿ha considerado un procesador de pagos de terceros, como authorize.net? la empresa para la que trabajo realiza grandes cantidades de transacciones con tarjeta de crédito a través de ellos. no tenemos que almacenar ninguna información de pago del cliente (authorize.net lo gestiona), por lo que no hay auditoría de nuestros sistemas para complicar las cosas.
anastrophe

172
Esto es exactamente lo que pensé que estaba sucediendo. La ingeniería social es probablemente la forma más fácil de obtener esta información y creo que está probando esa escapatoria. Este tipo es muy inteligente o muy tonto
Joe Phillips

44
Esta posición es al menos el primer paso más razonable. Dile que estarías infringiendo leyes / reglas / lo que sea al hacerlo, pero que aprecias su astucia.
michael

41
Pregunta tonta: ¿es aceptable la "configuración" en esta situación? La lógica común me dice que un proceso de auditoría no debe estar hecho de "trucos".
Agos

13
@Agos: Hace unos años trabajé en un lugar que contrató a una agencia para realizar una auditoría. Parte de la auditoría incluyó llamar a personas al azar en la empresa con el "<CIO> me pidió que lo llamara y obtuviera sus credenciales de inicio de sesión para que yo pueda <hacer algo>". No solo estaban verificando para ver si realmente no renunciaría a las credenciales, sino que una vez que colgó, se suponía que debía llamar inmediatamente a <CIO> o <Security Admin> e informar el intercambio.
Toby

345

Acabo de ver que estás en el Reino Unido, lo que significa que lo que te está pidiendo que hagas es violar la ley (la Ley de Protección de Datos, de hecho). También estoy en el Reino Unido, trabajo para una gran empresa fuertemente auditada y conozco la ley y las prácticas comunes en esta área. También soy un trabajo muy desagradable que felizmente pondrá un sello a este tipo para ti si te gusta solo por diversión, avísame si quieres ayuda.


28
Suponiendo que haya información personal en esos servidores, creo que entregar / todas / las credenciales para acceder en texto plano a alguien con este nivel de incompetencia demostrada sería una clara violación del Principio 7 ... ("Medidas técnicas y organizativas apropiadas se tomará contra el procesamiento no autorizado o ilegal de datos personales y contra la pérdida o destrucción accidental de, o daño a los datos personales. ")
Stephen Veiss

44
Creo que es una suposición justa: si está almacenando información de pago, probablemente también esté almacenando información de contacto para sus usuarios. Si estuviera en la posición del OP, vería "lo que me está pidiendo que haga no solo rompe las políticas y obligaciones contractuales [para cumplir con PCI], sino que también es ilegal" como un argumento más fuerte que solo mencionar la política y PCI .
Stephen Veiss

44
@Jimmy, ¿por qué una contraseña no sería información personal?
robertc

10
@ Richard, sabes que era una metáfora, ¿verdad?
Chopper3

99
@ Chopper3 Sí, sigo pensando que es inapropiado. Además, estoy contrarrestando AviD.
Richard Gadsden

285

Estás siendo diseñado socialmente. Ya sea para 'probarlo' o es un hacker haciéndose pasar por un auditor para obtener algunos datos muy útiles.


8
¿Por qué no es esta la mejor respuesta? ¿Eso dice algo sobre la comunidad, la facilidad de la ingeniería social, o me estoy perdiendo algo fundamental?
Paul

166
nunca atribuya a la malicia lo que se puede atribuir a la ignorancia
aldrinleal

13
Sin embargo, atribuir todas esas solicitudes a la ignorancia cuando el auditor dice ser un profesional estira un poco la imaginación.
Thomas K

12
El problema con esta teoría es que, incluso si él "cayó en la trampa" o "no pasó la prueba," que no podía darle la información porque es imposible .....
eds

44
Mi mejor conjetura es también 'ingeniería social seria' (¿es una coincidencia que el nuevo libro de Kevin Mitnick salga pronto?), En cuyo caso su firma de pagos se sorprenderá (¿ya ha consultado con ellos sobre esta 'auditoría'?) . La otra opción es un auditor muy novato sin conocimiento de Linux que intentó farolear y ahora está cavando más y más profundo.
Koos van den Hout

278

Estoy seriamente preocupado por la falta de OP de las habilidades éticas de resolución de problemas y la comunidad de fallas del servidor que ignora esta violación flagrante de conducta ética.

En resumen, lo necesito;

  • Una forma de "falsificar" seis meses de cambios de contraseña y hacer que parezca válido
  • Una forma de 'falsificar' seis meses de transferencias de archivos entrantes

Déjame ser claro en dos puntos:

  1. Nunca es apropiado falsificar datos durante el curso de un negocio normal.
  2. Nunca debe divulgar este tipo de información a nadie. Siempre.

No es su trabajo falsificar registros. Es su trabajo asegurarse de que todos los registros necesarios estén disponibles, sean precisos y seguros.

La comunidad aquí en Server Fault debe tratar este tipo de preguntas como el sitio stackoverflow trata las preguntas de "tarea". No puede abordar estos problemas solo con una respuesta técnica o ignorar la violación de la responsabilidad ética.

Ver tantos usuarios de alta reputación responde aquí en este hilo y no mencionar las implicaciones éticas de la pregunta me entristece.

Animo a todos a leer el Código de Ética de los Administradores del Sistema SAGE .

Por cierto, su auditor de seguridad es un idiota, pero eso no significa que necesite sentir presión para no ser ético en su trabajo.

Editar: sus actualizaciones no tienen precio. Mantén la cabeza baja, el polvo seco y no tomes (ni des) niqueles de madera.


44
Estoy en desacuerdo. El "auditor" estaba intimidando a OP para divulgar información que socavaría toda la seguridad de TI de la organización. Bajo ninguna circunstancia OP debe generar esos registros y proporcionárselos a nadie. OP no debe falsificar registros; pueden verse fácilmente como falsos. OP debería explicar a los superiores por qué las demandas de los auditores de seguridad son una amenaza, ya sea por intenciones maliciosas o por incompetencia total (contraseñas de correo electrónico en texto sin formato). OP debe recomendar la terminación inmediata del auditor de seguridad y una investigación completa de otras actividades del antiguo auditor.
dr jimbob

18
Dr. Jimbob, creo que se está perdiendo el punto: "OP no debe falsificar registros; se puede ver fácilmente que son falsos". sigue siendo una posición poco ética, ya que sugiere que solo debe falsificar los datos cuando no se pueden distinguir de los verdaderos. Enviar datos falsos no es ético. Enviar contraseñas de sus usuarios a un tercero es negligente. Por lo tanto, estamos de acuerdo en que se debe hacer algo al respecto. Estoy comentando sobre la falta de pensamiento ético crítico para resolver este problema.
Joseph Kern

13
No estoy de acuerdo con "Es su trabajo asegurarse de que esos registros estén disponibles, sean precisos y seguros". Tiene la obligación de mantener su sistema seguro; No se deben realizar solicitudes no razonables (como almacenar y compartir contraseñas de texto sin formato) si comprometen el sistema. Almacenar, registrar y compartir contraseñas de texto sin formato es una violación importante de confianza con sus usuarios. Es una gran amenaza de seguridad de bandera roja. La auditoría de seguridad puede y debe hacerse sin exponer contraseñas de texto sin formato / claves privadas ssh; y debe informar a los superiores y resolver el problema.
dr jimbob

11
Dr. Jimbob, siento que somos dos barcos que pasan en la noche. Estoy de acuerdo con todo lo que dices; No debo haber articulado estos puntos con suficiente claridad. Revisaré mi respuesta inicial arriba. Me basé demasiado en el contexto del hilo.
Joseph Kern

44
@ Joseph Kern, no leí el OP de la misma manera que tú. Lo leí más sobre cómo puedo producir seis meses de datos que nunca conservamos. Ciertamente, estoy de acuerdo, que la mayoría de las formas de tratar de cumplir con este requisito serían fraudulentas. Sin embargo, si tomara mi base de datos de contraseñas y extrajera marcas de tiempo durante los últimos 6 meses, podría crear un registro de los cambios que aún se conservan. Considero que los datos 'falsificados' se han perdido.
user179700

242

No puedes darle lo que quieres, y es probable que los intentos de "falsificarlo" vuelvan a morderte el culo (posiblemente de manera legal). Debe apelar la cadena de mando (es posible que este auditor se haya vuelto pícaro, aunque las auditorías de seguridad son notoriamente idiotas; pregúnteme sobre el auditor que quería poder acceder a un AS / 400 a través de SMB), o aléjese. fuera de debajo de estos onorosos requisitos.

Ni siquiera son una buena seguridad: una lista de todas las contraseñas de texto sin formato es algo increíblemente peligroso que se produzca, independientemente de los métodos utilizados para salvaguardarlas, y apuesto a que este tipo querrá que se envíen por correo electrónico en texto sin formato . (Estoy seguro de que ya lo sabes, solo tengo que darme un respiro).

Para mierdas y risas, pregúntele directamente cómo ejecutar sus requisitos: admita que no sabe cómo y le gustaría aprovechar su experiencia. Una vez que haya salido y se haya ido, una respuesta a su "Tengo más de 10 años de experiencia en auditoría de seguridad" sería "no, tiene 5 minutos de experiencia repetidos cientos de veces".


8
... un auditor que quería acceder a un AS / 400 a través de SMB? ... ¿por qué?
Bart Silverstrim

11
Una molestia muy repetida que he tenido con las compañías de cumplimiento de PCI está argumentando en contra del filtrado general de ICMP, y solo bloquea el eco. ICMP está allí por una muy buena razón, pero es casi imposible explicar eso a los numerosos auditores que trabajan desde un guión.
Twirrim

48
@BartSilverstrim Probablemente un caso de auditoría de listas de verificación. Como un auditor me dijo una vez: ¿Por qué el auditor cruzó la calle? Porque eso es lo que hicieron el año pasado.
Scott Pack

10
Sé que es factible, el verdadero "WTF?" fue el hecho de que el auditor considera que la máquina era vulnerable a los ataques a través de SMB hasta que pudiera conectarse a través de SMB ...
womble

14
"Tienes 5 minutos de experiencia repetidos cientos de veces" --- ooooh, ¡eso va directamente a mi colección de citas! : D
Tasos Papastylianou

183

Ningún auditor debe fallarle si encuentra un problema histórico que ya ha solucionado. De hecho, eso es evidencia de buen comportamiento. Con eso en mente, sugiero dos cosas:

a) No mientas ni inventes cosas. b) Lea sus políticas.

La declaración clave para mí es esta:

Todos los clientes de [proveedor de procesamiento de tarjetas de crédito genérico] deben cumplir con nuestras nuevas políticas de seguridad

Apuesto a que hay una declaración en esas políticas que dice que las contraseñas no pueden escribirse ni transmitirse a nadie más que al usuario. Si es así, aplique esas políticas a sus solicitudes. Sugiero manejarlo así:

  • Una lista de nombres de usuario actuales y contraseñas de texto sin formato para todas las cuentas de usuario en todos los servidores

Muéstrele una lista de nombres de usuario, pero no permita que se los quiten. Explique que dar contraseñas de texto sin formato es a) imposible ya que es unidireccional, yb) en contra de la política, contra la cual lo está auditando, por lo que no obedecerá.

  • Una lista de todos los cambios de contraseña de los últimos seis meses, nuevamente en texto sin formato

Explique que esto no estuvo históricamente disponible. Dele una lista de los últimos tiempos de cambio de contraseña para mostrar que esto se está haciendo ahora. Explique, como se indicó anteriormente, que no se proporcionarán contraseñas.

  • Una lista de "cada archivo agregado al servidor desde dispositivos remotos" en los últimos seis meses

Explique qué se registra y qué no. Proporcione lo que pueda. No proporcione nada confidencial y explique por política por qué no. Pregunte si necesita mejorar su registro.

  • Las claves públicas y privadas de cualquier clave SSH

Mire su política de gestión de claves. Debe indicar que las claves privadas no están permitidas fuera de su contenedor y tienen condiciones estrictas de acceso. Aplique esa política y no permita el acceso. Las claves públicas son felizmente públicas y se pueden compartir.

  • Un correo electrónico enviado cada vez que un usuario cambia su contraseña, que contiene la contraseña de texto sin formato

Solo di no. Si tiene un servidor de registro seguro local, permítale ver que esto se está registrando in situ.

Básicamente, y lamento decir esto, pero tienes que jugar duro con este chico. Siga su política exactamente, no se desvíe. No mientas. Y si le falla por algo que no está en la política, quejarse con sus superiores en la empresa que lo envió. Reúna un rastro en papel de todo esto para demostrar que ha sido razonable. Si rompes tu política, estás a su merced. Si los sigues al pie de la letra, terminará siendo despedido.


28
De acuerdo, esto es como uno de esos reality shows locos, donde un tipo de servicio de automóviles conduce su automóvil por un precipicio o algo igualmente increíble. Le diría al OP, prepare su currículum vitae y váyase, si las acciones anteriores no funcionan para usted. Esta es claramente una situación ridícula y terrible.
Jonathan Watmough

55
Ojalá pudiera votar este +1,000,000. Si bien la mayoría de las respuestas aquí dicen más o menos lo mismo, esta es mucho más exhaustiva. ¡Buen trabajo, @Jimmy!
Iszi

141

Sí, el auditor es un idiota. Sin embargo, como saben, a veces los idiotas se colocan en posiciones de poder. Este es uno de esos casos.

La información que solicita tiene cero que ver con la actual de la seguridad del sistema. Explique al auditor que está utilizando LDAP para la autenticación y que las contraseñas se almacenan utilizando un hash unidireccional. A menos que haga una secuencia de comandos de fuerza bruta contra los valores hash de contraseña (que podría llevar semanas (o años), no podrá proporcionar las contraseñas).

Del mismo modo, los archivos remotos: me gustaría escuchar, tal vez, cómo cree que debería poder diferenciar entre los archivos creados directamente en el servidor y un archivo que se SCP al servidor.

Como dijo @womble, no finjas nada. Eso no servirá de nada. O abandone esta auditoría y multa a otro corredor, o encuentre una manera de convencer a este "profesional" de que su queso se ha desprendido de su galleta.


61
+1 para "... que su queso se ha deslizado de su galleta". ¡Eso es nuevo para mí!
Collin Allen

2
"La información que solicitó no tiene relación con la seguridad actual del sistema". <- De hecho, diría que tiene mucha relación con la seguridad. : P
Ishpeck

2
(which could take weeks (or years)Olvidé dónde, pero encontré esta aplicación en línea que estimaría cuánto tiempo tomaría forzar su contraseña por fuerza bruta. No sé cuáles fueron los algoritmos de fuerza bruta o hash que asumió, pero estimó algo así como 17 billones de años para la mayoría de mis contraseñas ... :)
Carson Myers

6060
@Carson: la aplicación en línea que encontré para estimar la seguridad de la contraseña tenía un enfoque diferente (y posiblemente más preciso): para cada contraseña, devolvía "Su contraseña es insegura, ¡simplemente la ingresó en una página web no confiable!"
Jason Owen

3
@ Jason oh no, tienes razón!
Carson Myers

90

Pídale a su "auditor de seguridad" que señale cualquier texto de cualquiera de estos documentos que tenga sus requisitos y mire mientras lucha por encontrar una excusa y, finalmente, se excusa para no volver a recibir noticias suyas.


11
De acuerdo. ¿Por qué? Es una pregunta válida es una circunstancia como esta. El auditor debe poder proporcionar documentación del caso comercial / operativo para sus solicitudes. Puedes decirle "ponte en mi posición. Este es el tipo de solicitud que esperaría de alguien que intenta establecer una intrusión".
jl.

75

WTF! Lo siento, pero esa es mi única reacción a esto. No he oído hablar de requisitos de auditoría que requieran una contraseña de texto sin formato, y mucho menos proporcionarles las contraseñas a medida que cambian.

Primero, pídale que le muestre el requisito de que se lo proporcione.

En segundo lugar, si esto es para PCI (que todos suponemos ya que es una pregunta sobre el sistema de pago), vaya aquí: https://www.pcisecuritystandards.org/approved_companies_providers/qsa_companies.php y obtenga un nuevo auditor.

Tercero, siga lo que dijeron anteriormente, comuníquese con su gerencia y pídales que se comuniquen con la compañía QSA con la que está trabajando. Luego, inmediatamente obtenga otro auditor.

Los auditores auditan estados, estándares, procesos, etc. del sistema. No necesitan tener ninguna información que les proporcione acceso a los sistemas.

Si desea auditores recomendados o colores alternativos que trabajen estrechamente con los auditores, comuníquese conmigo y con gusto le proporcionaré referencias.

¡Buena suerte! Confíe en su instinto, si algo parece estar mal, probablemente lo esté.


67

No hay una razón legítima para que él sepa la contraseña y tenga acceso a las claves privadas. Lo que solicitó le daría la capacidad de hacerse pasar por cualquiera de sus clientes en cualquier momento y extraer todo el dinero que quiera, sin ninguna forma de detectarlo como una posible transacción fraudulenta. Será exactamente el tipo de amenazas de seguridad por las que se supone que debe auditarte.


2
Vamos, seguramente este es el punto de la auditoría, ingeniería social. 21 votos a favor para esto?!?
ozz

16
Una auditoría consiste en una inspección oficial de los procedimientos de seguridad y si están de acuerdo con las reglas establecidas. Sería como si el inspector de incendios viniera a verificar que tiene todos los extintores de incendios necesarios, y que las puertas y ventanas o su restaurante se pueden abrir de acuerdo con el código de incendios. No esperarías que el inspector de bomberos intentara incendiar el restaurante, ¿verdad?
Franci Penov

8
Esto suena más como configurar dispositivos incendiarios alrededor del restaurante y darles al auditor disparadores remotos y prometerles mantenerlos actualizados.
XTL

62

Notifique a la gerencia que el Auditor le ha solicitado que viole sus políticas de seguridad y que la solicitud es ilegal. Sugiérales que quieran deshacerse de la firma de auditoría actual y encontrar una legítima. Llame a la policía y entregue al auditor para solicitar información ilegal (en el Reino Unido). Luego llame al PCI y entregue al Auditor su solicitud.

La solicitud es similar a pedirte que asesines a alguien al azar y le entregues el cuerpo. ¿Podrías hacer eso? o llamarías a la policía y los entregarías?


8
¿Por qué no decir que no puede proporcionar la información porque infringe su política de seguridad? ¿Entra en la casilla y pasa la auditoría?
user9517

8
Aunque la analogía del asesinato podría estar demasiado lejos, tiene razón en que este "auditor" está infringiendo la ley, y debe ser denunciado a su jefe, la policía y PCI
Rory

60

Responda con una demanda . Si un auditor solicita contraseñas de texto sin formato (vamos, no es tan difícil forzar o descifrar hashes de contraseñas débiles), probablemente le mintieron acerca de sus credenciales.


99
También lo vería como negligencia, dependiendo de la ubicación, probablemente también hay leyes al respecto.
AviD

54

Solo un consejo con respecto a cómo redacta su respuesta:

Desafortunadamente, no hay forma de que podamos proporcionarle parte de la información solicitada, principalmente contraseñas de texto sin formato, historial de contraseñas, claves SSH y registros de archivos remotos. Estas cosas no solo son técnicamente imposibles ...

Reformularía esto para evitar entrar en una discusión sobre la viabilidad técnica. Al leer el horrible correo electrónico inicial enviado por el auditor, parece que es alguien que puede elegir los detalles que no están relacionados con el problema principal, y podría argumentar que podría guardar contraseñas, iniciar sesión, etc. :

... Debido a nuestras estrictas políticas de seguridad, nunca hemos registrado contraseñas en texto plano. Por lo tanto, será técnicamente imposible proporcionar estos datos.

O

... No solo estaríamos reduciendo significativamente nuestro nivel de seguridad interna al cumplir con su solicitud, ...

¡Buena suerte y manténganos informados sobre cómo termina esto!


37

A riesgo de continuar con la avalancha de usuarios de alta reputación que intervienen en esta pregunta, aquí están mis pensamientos.

Puedo ver vagamente por qué quiere las contraseñas de texto sin formato, y eso es para juzgar la calidad de las contraseñas en uso. Es una manera horrible de hacerlo, la mayoría de los auditores que conozco aceptarán los hash encriptados y ejecutarán una galleta para ver qué tipo de fruta baja pueden sacar. Todos ellos repasarán la política de complejidad de contraseña y revisarán qué medidas de seguridad existen para hacer cumplir eso.

Pero tienes que entregar algunas contraseñas. Sugiero (aunque creo que ya lo ha hecho) preguntarle cuál es el objetivo de la entrega de la contraseña de texto sin formato. Dijo que es para validar su cumplimiento frente a la política de seguridad, así que haga que le dé esa política. Pregúntele si aceptará que su régimen de complejidad de contraseña es lo suficientemente robusto como para evitar que los usuarios establezcan su contraseña P@55w0rdy que hayan estado vigentes durante los 6 meses en cuestión.

Si lo empuja, es posible que tenga que admitir que no puede entregar contraseñas de texto sin formato, ya que no está configurado para grabarlas (lo que es una falla de seguridad importante), pero puede tratar de hacerlo en el futuro si lo requiere verificación directa de que sus políticas de contraseña están funcionando. Y si él quiere demostrarlo, con gusto le proporcionará la base de datos de contraseñas encriptadas para él (¡o para usted!

Es probable que los "archivos remotos" puedan extraerse de los registros SSH para las sesiones SFTP, de lo que sospecho que está hablando. Si no tiene 6 meses de syslogging, será difícil de producir. ¿Usar wget para extraer un archivo de un servidor remoto mientras está conectado a través de SSH se considera una 'transferencia de archivos remota'? ¿Son HTTP PUT? ¿Archivos creados a partir del texto del portapapeles en la ventana de terminal del usuario remoto? En todo caso, puede molestarlo con estos casos extremos para tener una mejor idea de sus preocupaciones en esta área y tal vez inculcar el sentimiento "Sé más sobre esto que tú", así como las tecnologías específicas en las que está pensando. Luego extraiga lo que pueda de los registros y registros archivados en las copias de seguridad.

No tengo nada en las claves SSH. Lo único en lo que puedo pensar es que está buscando claves sin contraseña por alguna razón, y tal vez la fuerza de cifrado. De lo contrario, no tengo nada.

En cuanto a obtener esas claves, cosechar al menos las claves públicas es bastante fácil; simplemente troll las carpetas .ssh buscándolas. Obtener las claves privadas implicará ponerse su sombrero BOFH y hostigar a sus usuarios con la melodía de "Enviarme sus pares de claves SSH públicas y privadas. Cualquier cosa que no obtenga será purgada de los servidores en 13 días", y si alguien grazna (quisiera) señalarlos en la auditoría de seguridad. El scripting es tu amigo aquí. Como mínimo, hará que un montón de pares de claves sin contraseña obtengan contraseñas.

Si todavía insiste en "contraseñas de texto sin formato en el correo electrónico", al menos someta esos correos electrónicos a cifrado GPG / PGP con su propia clave. Cualquier auditor de seguridad que valga la pena debería ser capaz de manejar algo así. De esa manera, si las contraseñas se filtran, será porque él las dejó salir, no tú. Sin embargo, otra prueba de fuego para la competencia.


Tengo que estar de acuerdo con Zypher y Womble en este caso. Peligroso idiota con consecuencias peligrosas.


1
No hay evidencia de idiotez. No hay evidencia de que el OP haya dicho formalmente que no. No puedo proporcionar esta información. Seguramente si puede proporcionar esta información, fallará la auditoría.
user9517

2
@Iain Por eso es tan importante en este momento diseñar socialmente al auditor de seguridad para extraer lo que realmente busca.
sysadmin1138

99
No estoy de acuerdo con dar algo a este individuo claramente inseguro.
Kzqai

@Tchalvak: no hay evidencia de 'inseguro' o 'idiota'.
user9517

1
No soy un usuario de alta reputación, pero mi respuesta personal es: dar mi contraseña a un tercero y veré si no puedo demandar. Como alguien en el campo de TI, estoy de acuerdo con los usuarios de alta reputación que mencionas y digo que no debes almacenar una contraseña. El usuario confía en su sistema, dar su contraseña a un tercero es una violación de esa confianza más extrema que dar toda su información a alguien. Como profesional, nunca haría eso.
jmoreno

31

Probablemente te esté probando para ver si eres un riesgo de seguridad. Si le proporciona estos detalles, probablemente será despedido de inmediato. Lleva esto a tu jefe inmediato y pasa el dinero. Hazle saber a tu jefe que involucrarás a las autoridades relevantes si este trasero se acerca a ti nuevamente.

Por eso se paga a los jefes.

¡Tengo una visión de un trozo de papel que quedó en la parte trasera de un taxi que tiene una lista de contraseñas, claves SSH y nombres de usuario! Hhhmmm! ¡Puedo ver los titulares de los periódicos ahora mismo!

Actualizar

En respuesta a los 2 comentarios a continuación, supongo que ambos tienen buenos puntos para hacer. No hay forma de descubrir realmente la verdad y el hecho de que la pregunta se haya publicado muestra un poco de ingenuidad por parte del póster, así como el coraje para enfrentar una situación adversa con posibles consecuencias profesionales en las que otros podrían meter la cabeza en el arena y salir corriendo.

Mi conclusión sobre lo que vale la pena es que este es un debate completamente interesante que probablemente ha hecho que la mayoría de los lectores se pregunten qué harían en esta situación, independientemente de si el auditor o las políticas de los auditores son competentes o no. La mayoría de las personas se enfrentarán a este tipo de dilema de alguna forma en su vida laboral y esto realmente no es el tipo de responsabilidad que debe llevarse a los hombros de una sola persona. Es una decisión comercial en lugar de una decisión individual sobre cómo lidiar con esto.


1
Me sorprende que esto no tenga más votos. Simplemente no creo que el auditor sea "estúpido". Como otros han dicho en los comentarios, pero no muchas respuestas, esto apesta a ingeniería social. Y cuando lo primero que hace el OP es publicar aquí y sugerir que puede falsificar los datos, y luego envía el enlace al auditor, el tipo debe estar riéndose a carcajadas y continuar preguntando en base a esto. ¡¿¡¿SEGURAMENTE?!?!
ozz

3
Dado que ha perdido a su empresa como negocio de OP como resultado, no parece una muy buena técnica de auditoría si ese fuera el caso. Por lo menos, esperaba que él 'se aclarara' cuando se hizo evidente que estaban perdiendo el negocio y explicara que era parte del enfoque de auditoría en uso, en lugar de continuar insistiendo en ello. Puedo entender que si traes 'hackers éticos', podrías esperar un enfoque de 'ingeniería social' como este, pero no para una auditoría (que tiene como objetivo verificar que todas las verificaciones y procedimientos apropiados estén en su lugar)
Kris C

1
Dados los correos electrónicos adicionales del auditor, ya no creo que esto sea cierto. the responders all need to get their facts right. I have been in this industry longer than anyone on that site- no tiene precio
SLaks

29

Claramente, hay mucha buena información aquí, pero permítanme agregar mi 2c, como alguien que escribe software que mi empleador vende en todo el mundo a grandes empresas principalmente para ayudar a las personas a cumplir con las políticas de seguridad de administración de cuentas y aprobar auditorías; por lo que vale.

Primero, esto suena muy sospechoso, como usted (y otros) han notado. O bien el auditor solo está siguiendo un procedimiento que no comprende (posible), o lo está probando para detectar vulnerabilidades, por lo que la ingeniería social (poco probable después de los intercambios de seguimiento), o una ingeniería social fraudulenta (también posible), o simplemente un idiota genérico (probablemente más probable). En cuanto al consejo, le ofrecería que hable con su gerencia y / o encuentre una nueva compañía de auditoría, y / o informe esta a la agencia de supervisión correspondiente.

En cuanto a las notas, un par de cosas:

  • Es posible (bajo condiciones específicas) proporcionar la información que solicitó, si su sistema está configurado para permitirlo. Sin embargo, no es en ningún sentido una "mejor práctica" para la seguridad, ni sería en absoluto común.
  • En general, las auditorías están relacionadas con la validación de prácticas, no con el examen de información segura real. Sospecharía mucho de cualquiera que solicite contraseñas o certificados de texto sin formato, en lugar de los métodos utilizados para garantizar que sean "buenos" y estén protegidos correctamente.

Espero que ayude, incluso si reitera principalmente lo que otras personas han aconsejado. Al igual que usted, no voy a nombrar a mi empresa, en mi caso porque no estoy hablando por ellos (cuenta personal / opiniones y todo); disculpas si eso le resta credibilidad, pero que así sea. Buena suerte.


24

Esto podría y debería publicarse en la Seguridad de TI - Intercambio de pila .

No soy un experto en auditoría de seguridad, pero lo primero que aprendí sobre la política de seguridad es "NEVER GIVE PASSWORDS AWAY". Este tipo tal vez ha estado en este negocio durante 10 años, pero como dijo Womble"no, you have 5 minutes of experience repeated hundreds of times"

He estado trabajando con personas de TI bancarias durante algún tiempo, y cuando te vi publicar, se lo mostré ... Se reían tanto. Me dijeron que ese tipo parece una estafa. Solían lidiar con este tipo de cosas para la seguridad del cliente del banco.

Pedir una contraseña clara, claves SSH, registros de contraseña, es claramente una mala conducta profesional grave. Este chico es peligroso.

Espero que todo esté bien ahora, y que no tenga ningún problema con el hecho de que pueden haber mantenido un registro de su transacción anterior con ellos.


19

Si puede proporcionar alguna de la información (con la posible excepción de las claves públicas) solicitada en los puntos 1, 2, 4 y 5, debe esperar que falle la auditoría.

Responda formalmente a los puntos 1, 2 y 5 diciendo que no puede cumplir, ya que su política de seguridad requiere que no guarde las contraseñas de texto sin formato y que las contraseñas se cifren con un algoritmo no reversible. Al punto 4, nuevamente, no puede proporcionar las claves privadas ya que violaría su política de seguridad.

En cuanto al punto 3. Si tiene los datos, proporciónelos. Si no lo hace porque no tuvo que recolectarlo, dígalo y demuestre cómo está (trabajando para) cumplir con el nuevo requisito.


18

Un auditor de seguridad para nuestros servidores ha exigido lo siguiente en dos semanas :

...

Si fallamos en la auditoría de seguridad, perdemos el acceso a nuestra plataforma de procesamiento de tarjetas (una parte crítica de nuestro sistema) y nos llevaría unas buenas dos semanas trasladarnos a otro lugar . ¿Qué tan jodido estoy?

Parece que has respondido tu propia pregunta. (Consulte el texto en negrita para obtener sugerencias).

Solo se me ocurre una solución: hacer que todos escriban su contraseña actual y última y luego cambiarla de inmediato por una nueva. Si quiere probar la calidad de la contraseña (y la calidad de las transiciones de contraseña a contraseña, por ejemplo, para asegurarse de que nadie use rfvujn125 y luego rfvujn126 como su próxima contraseña), esa lista de contraseñas antiguas debería ser suficiente.

Si eso no se considera aceptable, entonces sospecharía que el tipo es miembro de Anonymous / LulzSec ... ¡en ese momento debes preguntarle cuál es su nombre y decirle que deje de ser un matorral!


21
No se debe pedir a las personas que proporcionen sus propias contraseñas a nadie.
Chris Farmer

Desarrolle buenas funciones de cambio de contraseña, en lugar de registrar las contraseñas actuales de los usuarios y forzar un cambio. Por ejemplo, en la pantalla de cambio de contraseña, el usuario escribe entradas tanto old_pass como new_pass. Desarrollar una serie de controles automatizados; por ejemplo, que no más de dos caracteres en old_pass están en new_pass en la misma ubicación; o que en cualquier orden no se reutilizan más de 4 caracteres en cualquier ubicación. Además, verifique que new_pass no funcione como cualquiera de los viejos pw. Sí, uno podría escapar de una serie de contraseñas no seguras como rfvujn125 / jgwoei125 / rfvujn126, pero eso debería ser aceptable.
dr jimbob

17

Como dijo oli: la persona en cuestión está tratando de hacer que infrinja la ley (Protección de datos / directivas de confidencialidad de la UE) / regulaciones internas / estándares PCI. No solo debe notificar a la administración (como ya lo hizo, creo), sino que puede llamar a la policía como se sugiere.

Si la persona en cuestión posee algún tipo de acreditación / certificación, por ejemplo, CISA (Certified Information Systems Auditor), o el equivalente en el Reino Unido de US CPA (una designación de contador público), también puede informar a las organizaciones de acreditación para que lo investiguen. Esa persona no solo está tratando de hacer que infrinja la ley, sino que también es una "auditoría" extremadamente incompetente y probablemente en contravención de cada estándar de auditoría ética por el cual los auditores acreditados deben cumplir bajo pena de pérdida de acreditación.

Además, si la persona en cuestión es miembro de una empresa más grande, las organizaciones de auditoría mencionadas a menudo requieren algún tipo de departamento de control de calidad que supervisa la calidad de las auditorías y la presentación de auditorías e investiga las quejas. Por lo tanto, también puede intentar quejarse con la compañía de auditoría en cuestión.


16

Todavía estoy estudiando y lo primero que aprendí al configurar servidores es que si haces posible registrar contraseñas de texto sin formato, ya te estás poniendo en peligro por una violación gigante. No se debe conocer ninguna contraseña, excepto para el usuario que la emplea.

Si este tipo es un auditor serio, no debería preguntarte estas cosas. Para mí, suena como un malvado . Verificaría con el órgano regulador porque este tipo suena como un completo idiota.

Actualizar

Espere, él cree que debe usar un cifrado simétrico solo para transmitir la contraseña, pero luego almacenarlos en texto plano en su base de datos, o proporcionar una forma de descifrarlos. Básicamente, después de todos los ataques anónimos en las bases de datos, donde mostraban contraseñas de usuario de texto sin formato, TODAVÍA cree que esta es una buena manera de "asegurar" un entorno.

Es un dinosaurio atrapado en la década de 1960 ...


10
"Es un dinosaurio atrapado en los años 90". Supongo que en los años 70, en realidad. 1870 para ser precisos. Dios bendiga a Auguste Kerckhoffs. :)
Martin Sojka

55
90? Creo que Unix usó contraseñas hash y saladas en la década de 1970 ...
Rory

77
Me encanta el hecho de que Lucas lo cambió a 1960 ahora :)
rickyduck

1
¿Alguna computadora (excepto los tutoriales BÁSICOS para micro hogar) alguna vez tuvo contraseñas serias y las almacenó en texto sin formato?
XTL

tal vez hace mucho tiempo ... no puedo señalar ningún tutorial. Pero este sitio no es realmente adecuado para sistemas domésticos, sugiero que eche un vistazo a superuser.com. ¿Por qué demonios almacenarías los datos de la tarjeta de crédito / contraseñas de texto simple? Solo los sistemas mal diseñados lo hacen.
Lucas Kauffman

13
  • Una lista de nombres de usuario actuales y contraseñas de texto sin formato para todas las cuentas de usuario en todos los servidores
    • Los nombres de usuario actuales PUEDEN estar dentro del alcance de "podemos liberar esto" y deben estar dentro del alcance de "podemos mostrarle esto, pero no puede sacarlo del sitio".
    • Las contraseñas de texto sin formato no deberían existir por más tiempo de lo que se necesita para un hash unidireccional y ciertamente nunca deberían dejar memoria (ni siquiera para cruzar los cables), por lo que su existencia en almacenamiento permanente es un no-no.
  • Una lista de todos los cambios de contraseña de los últimos seis meses, nuevamente en texto sin formato
    • Consulte "el almacenamiento permanente es un no-no".
  • Una lista de "cada archivo agregado al servidor desde dispositivos remotos" en los últimos seis meses
    • Esto puede ser para garantizar que registre las transferencias de archivos a / desde los servidores de procesamiento de pagos, si tiene los registros, debería estar bien pasarlos. Si no tiene los registros, verifique lo que dicen las políticas de seguridad relevantes sobre el registro de esa información.
  • Las claves públicas y privadas de cualquier clave SSH
    • Tal vez un intento de verificar que 'las claves SSH deben tener una frase de contraseña' está en la política y se sigue. Desea frases de contraseña en todas las claves privadas.
  • Un correo electrónico enviado cada vez que un usuario cambia su contraseña, que contiene la contraseña de texto sin formato
    • Esto definitivamente es un no-no.

Respondería con algo similar a mis respuestas, respaldado por el cumplimiento de PCI, cumplimiento de SOX y documentos de política de seguridad interna según sea necesario.


11

Estos muchachos piden malos olores, y estoy de acuerdo en que cualquier correspondencia de aquí en adelante debe pasar por el CTO. O está tratando de hacerte el chico de la caída por no poder cumplir con dicha solicitud, por divulgar información confidencial, o es muy incompetente. Con suerte, su CTO / gerente hará una doble toma de esta solicitud de los chicos y se tomarán medidas positivas, y si están detrás de las acciones de este tipo ... bueno, los buenos administradores del sistema siempre están en demanda en los clasificados, como Parece que es hora de comenzar a buscar un lugar si eso sucede.


11

Le diría que se necesita tiempo, esfuerzo y dinero para construir la infraestructura de descifrado de las contraseñas, pero debido a que utiliza un hashing fuerte como SHA256 o lo que sea, es posible que no sea posible proporcionar las contraseñas en 2 semanas. Además de eso, diría que contacté al departamento legal para confirmar si es legal compartir estos datos con alguien. PCI DSS también es una buena idea para mencionar como lo hizo. :)

Mis colegas se sorprenden al leer esta publicación.


10

Me sentiría fuertemente tentado a darle una lista de nombre de usuario / contraseñas / claves privadas para las cuentas de honeypot, y si alguna vez prueba los inicios de sesión para estas cuentas, haga que tenga acceso no autorizado a un sistema informático. Sin embargo, desafortunadamente esto probablemente lo expone a un mínimo de algún tipo de agravio civil por hacer una representación fraudulenta.


9

Simplemente rechace revelar la información, indicando que no puede pasar las contraseñas ya que no tiene acceso a ellas. Siendo auditor yo mismo, debe estar representando a alguna institución. Dichas instituciones generalmente publican pautas para dicha auditoría. Vea si tal solicitud se ajusta a esas pautas. Incluso puedes quejarte ante tales asociaciones. También aclare al auditor que, en caso de irregularidades, la culpa puede recaer sobre él (el auditor), ya que tiene todas las contraseñas.


8

Yo diría que no hay forma de que usted le brinde CUALQUIERA de la información solicitada.

  • Los nombres de usuario le brindan una idea de las cuentas que tienen acceso a sus sistemas, un riesgo de seguridad
  • El historial de contraseñas proporcionaría una idea de los patrones de contraseña utilizados, dándole una posible vía de ataque al adivinar la próxima contraseña en la cadena
  • Los archivos transferidos al sistema pueden contener información confidencial que podría usarse en un ataque contra sus sistemas, así como darles una idea de la estructura de su sistema de archivos
  • Claves públicas y privadas, ¿cuál sería el punto de tenerlas si se las entregara a alguien que no sea el usuario previsto?
  • Un correo electrónico enviado cada vez que un usuario cambia una contraseña le daría contraseñas actualizadas para cada cuenta de usuario.

¡Este tipo está tirando de tu compañero plonker! Debe ponerse en contacto con su gerente o con algún otro auditor de la compañía para confirmar sus escandalosas demandas. Y aléjate lo antes posible.


0

Problema resuelto por ahora, pero para el beneficio de futuros lectores ...

Teniendo en cuenta que:

  • Parece que has pasado más de una hora en esto.

  • Debes consultar al asesor legal de la empresa.

  • Piden mucho trabajo después de alterar su acuerdo.

  • Se quedará sin dinero y más tiempo cambiando.

Debe explicar que necesitará mucho dinero por adelantado y que hay un mínimo de cuatro horas.

Las últimas veces le dije a alguien que de repente no estaba tan necesitado.

Todavía puede facturarles por cualquier pérdida incurrida durante el cambio y por el tiempo necesario, ya que cambiaron su acuerdo. No estoy diciendo que pagarán dentro de dos semanas, por mucho que pensaron que cumplirías dentro de ese tiempo; serán unilaterales, no tengo dudas.

Los hará sonar si la oficina de su abogado envía el aviso de cobro. Debe atraer la atención del propietario de la empresa del auditor.

Aconsejaría contra cualquier otro trato con ellos, solo para discutir más el asunto implicará un depósito por el trabajo requerido. Entonces se le puede pagar por despedirlos.

Es extraño que tenga un acuerdo vigente y luego alguien en el otro extremo se salga del camino; si no es una prueba de seguridad o inteligencia, ciertamente es una prueba de su paciencia.