हमारा सुरक्षा ऑडिटर एक बेवकूफ है। मैं उसे वह जानकारी कैसे दूं जो वह चाहता है?

2306

हमारे सर्वर के लिए एक सुरक्षा लेखा परीक्षक ने दो सप्ताह के भीतर निम्नलिखित की मांग की है:

  • सभी सर्वर पर सभी उपयोगकर्ता खातों के लिए वर्तमान उपयोगकर्ता नाम और सादा पाठ पासवर्ड की एक सूची
  • पिछले छह महीनों के सभी पासवर्डों की एक सूची, फिर से सादे-पाठ में
  • पिछले छह महीनों में "दूरस्थ उपकरणों से सर्वर में जोड़ी गई हर फ़ाइल" की एक सूची
  • किसी भी SSH कुंजी की सार्वजनिक और निजी कुंजी
  • हर बार जब कोई उपयोगकर्ता अपना पासवर्ड भेजता है, तो उसे एक ईमेल भेजा जाता है, जिसमें सादा पाठ पासवर्ड होता है

हम Red Hat Linux 5/6 और CentOS 5 बक्से LDAP प्रमाणीकरण के साथ चला रहे हैं।

जहां तक ​​मुझे जानकारी है, उस सूची में सब कुछ या तो असंभव है या अविश्वसनीय रूप से प्राप्त करना मुश्किल है, लेकिन अगर मैं यह जानकारी प्रदान नहीं करता हूं तो हम अपने भुगतान प्लेटफॉर्म तक पहुंच खो देते हैं और संक्रमण काल ​​के दौरान आय खो देते हैं क्योंकि हम एक में चले जाते हैं। नई सेवा। मैं इस जानकारी को कैसे हल या नकली कर सकता हूं, इसके लिए कोई सुझाव?

जिस तरह से मैं सभी सादे पाठ पासवर्ड प्राप्त करने के बारे में सोच सकता हूं, वह यह है कि सभी को अपना पासवर्ड रीसेट करने के लिए प्राप्त करना है और जो वे इसे सेट करते हैं उसका एक नोट बनाना है। यह पिछले छह महीनों के पासवर्ड परिवर्तन की समस्या को हल नहीं करता है, क्योंकि मैं इस प्रकार के सामान को रेट्रो रूप से लॉग इन नहीं कर सकता, वही सभी दूरस्थ फ़ाइलों को लॉग करने के लिए जाता है।

सभी सार्वजनिक और निजी SSH कुंजी प्राप्त करना (हालांकि कष्टप्रद) संभव है, क्योंकि हमारे पास केवल कुछ उपयोगकर्ता और कंप्यूटर हैं। जब तक मैं यह करने के लिए एक आसान तरीका याद किया है?

मैंने उसे कई बार समझाया है कि वह जिन चीजों के लिए कह रहा है वे असंभव हैं। मेरी चिंताओं के जवाब में, उन्होंने निम्नलिखित ईमेल के साथ जवाब दिया:

मुझे सुरक्षा ऑडिटिंग में 10 वर्षों का अनुभव है और रेडहैट सुरक्षा विधियों की पूरी समझ है, इसलिए मेरा सुझाव है कि आप अपने तथ्यों की जांच करें कि क्या है और क्या संभव नहीं है। आप कहते हैं कि कोई भी कंपनी संभवतः यह जानकारी नहीं दे सकती थी लेकिन मैंने सैकड़ों ऑडिट किए हैं जहां यह जानकारी आसानी से उपलब्ध है। सभी [जेनेरिक क्रेडिट कार्ड प्रसंस्करण प्रदाता] ग्राहकों को हमारी नई सुरक्षा नीतियों के अनुरूप होना आवश्यक है और इस ऑडिट का उद्देश्य यह सुनिश्चित करना है कि उन नीतियों को * सही ढंग से लागू किया गया है।

* "नई सुरक्षा नीतियों" को हमारे ऑडिट से दो सप्ताह पहले पेश किया गया था, और पॉलिसी बदलने से पहले छह महीने के ऐतिहासिक लॉगिंग की आवश्यकता नहीं थी।

संक्षेप में, मुझे चाहिए;

  • छह महीने का "नकली" पासवर्ड बदलने का एक तरीका है और इसे वैध बनाता है
  • इनबाउंड फ़ाइल स्थानांतरण के छह महीने "नकली" करने का एक तरीका
  • सभी SSH सार्वजनिक और निजी कुंजी का उपयोग करने का एक आसान तरीका

यदि हम सुरक्षा ऑडिट में विफल हो जाते हैं तो हम अपने कार्ड प्रोसेसिंग प्लेटफॉर्म (हमारी प्रणाली का एक महत्वपूर्ण हिस्सा) तक पहुंच खो देते हैं और इसे कहीं और स्थानांतरित करने के लिए एक अच्छा दो सप्ताह लगेगा। मैं कितना बदसूरत हूं?

अपडेट 1 (शनि 23 वां)

आपकी सभी प्रतिक्रियाओं के लिए धन्यवाद, यह मुझे यह जानने के लिए बहुत राहत देता है कि यह मानक अभ्यास नहीं है।

मैं वर्तमान में स्थिति की व्याख्या करने के लिए अपनी ईमेल प्रतिक्रिया की योजना बना रहा हूं। जैसा कि आप में से कई ने बताया, हमें पीसीआई के साथ अनुपालन करना होगा जो स्पष्ट रूप से बताता है कि हमारे पास सादे पाठ पासवर्ड तक पहुंचने का कोई रास्ता नहीं होना चाहिए। जब मैंने इसे लिखना समाप्त कर लिया है तो मैं ईमेल पोस्ट करूँगा। दुर्भाग्य से मुझे नहीं लगता कि वह सिर्फ हमारा परीक्षण कर रहा है; ये बातें अब कंपनी की आधिकारिक सुरक्षा नीति में हैं। हालाँकि, मैं उनसे दूर जाने के लिए और पेपल पर समय के लिए गति में पहियों को सेट करता हूं।

अपडेट 2 (शनि 23 वां)

यह वह ईमेल है जिसे मैंने तैयार किया है, सामान को जोड़ने / हटाने / बदलने के लिए कोई सुझाव?

हाय [नाम],

दुर्भाग्य से, हमारे पास अनुरोधित जानकारी, मुख्य रूप से सादे-पाठ पासवर्ड, पासवर्ड इतिहास, SSH कुंजी और दूरस्थ फ़ाइल लॉग्स में से कुछ प्रदान करने का कोई तरीका नहीं है। न केवल ये चीजें तकनीकी रूप से असंभव हैं, बल्कि यह जानकारी प्रदान करने में सक्षम हैं कि दोनों पीसीआई मानकों के खिलाफ होंगे, और डेटा सुरक्षा अधिनियम का उल्लंघन होगा।
PCI आवश्यकताओं को उद्धृत करने के लिए,

8.4 मजबूत क्रिप्टोग्राफी का उपयोग करते हुए सभी सिस्टम घटकों पर ट्रांसमिशन और स्टोरेज के दौरान सभी पासवर्ड बिना पढ़े रेंडर करें।

मैं आपको हमारे सिस्टम पर उपयोग किए गए उपयोगकर्ता नाम और हैशेड पासवर्ड की सूची, SSH सार्वजनिक कुंजी और अधिकृत होस्ट फ़ाइल की प्रतियां प्रदान कर सकता हूं (इससे आपको यह जानने के लिए पर्याप्त जानकारी मिल जाएगी कि अद्वितीय उपयोगकर्ता की संख्या हमारे सर्वर और एन्क्रिप्शन से कनेक्ट हो सकती है) उपयोग किए गए तरीके), हमारी पासवर्ड सुरक्षा आवश्यकताओं और हमारे LDAP सर्वर के बारे में जानकारी लेकिन यह जानकारी साइट से नहीं ली जा सकती है। मैं दृढ़ता से आपको अपनी ऑडिट आवश्यकताओं की समीक्षा करने का सुझाव देता हूं क्योंकि पीसीआई और डेटा संरक्षण अधिनियम के अनुपालन में रहते हुए इस ऑडिट को पारित करने के लिए वर्तमान में कोई रास्ता नहीं है।

सादर,
[मुझे]

मैं कंपनी के CTO और हमारे खाता प्रबंधक में CC'ing रहूंगा, और मुझे उम्मीद है कि CTO पुष्टि कर सकता है कि यह जानकारी उपलब्ध नहीं है। मैं पीसीआई सुरक्षा मानक परिषद से यह बताने के लिए भी संपर्क करूंगा कि उसे हमसे क्या चाहिए।

अपडेट 3 (26 वां)

यहाँ कुछ ईमेल हैं जिनका हमने आदान-प्रदान किया है;

RE: मेरा पहला ईमेल;

जैसा कि समझाया गया है, यह जानकारी किसी भी सक्षम प्रशासक को अच्छी तरह से बनाए रखी गई प्रणाली पर आसानी से उपलब्ध होनी चाहिए। इस जानकारी को प्रदान करने में आपकी विफलता मुझे विश्वास दिलाती है कि आप अपने सिस्टम में सुरक्षा खामियों से अवगत हैं और उन्हें प्रकट करने के लिए तैयार नहीं हैं। हमारे अनुरोध पीसीआई दिशानिर्देशों के अनुरूप हैं और दोनों को पूरा किया जा सकता है। मजबूत क्रिप्टोग्राफी का मतलब केवल पासवर्ड एन्क्रिप्टेड होना चाहिए जबकि उपयोगकर्ता उन्हें इनपुट कर रहा है, लेकिन फिर उन्हें बाद में उपयोग करने के लिए पुनर्प्राप्त करने योग्य प्रारूप में ले जाना चाहिए।

मैं इन अनुरोधों के लिए कोई डेटा सुरक्षा समस्या नहीं देखता, डेटा सुरक्षा केवल उन व्यवसायों पर लागू होती है जो व्यवसाय नहीं करते हैं इसलिए इस जानकारी के साथ कोई समस्या नहीं होनी चाहिए।

बस, क्या, मैं भी नहीं कर सकता ...

"मजबूत क्रिप्टोग्राफी का मतलब केवल पासवर्ड एन्क्रिप्ट किया जाना चाहिए जबकि उपयोगकर्ता उन्हें इनपुट कर रहा है, लेकिन फिर उन्हें बाद के उपयोग के लिए पुनर्प्राप्त करने योग्य प्रारूप में ले जाना चाहिए।"

मैं इसे फ्रेम करने जा रहा हूं और इसे अपनी दीवार पर रखूंगा।

मैं कूटनीतिक होने से तंग आ गया और उसे इस सूत्र का निर्देश दिया कि मुझे जो प्रतिक्रिया मिल रही है उसे दिखाने के लिए:

इस जानकारी को प्रदान करना PCI दिशानिर्देशों की कई आवश्यकताओं के विपरीत है। मैंने जो खंड उद्धृत किया है, वह यह भी कहता है storage (डिस्क पर डेटा स्टोर करने के स्थान पर)। मैंने ServerFault.com (sys-admin पेशेवरों के लिए एक ऑन-लाइन समुदाय) पर एक चर्चा शुरू की, जिसने बहुत बड़ी प्रतिक्रिया पैदा की है, यह सुझाव देते हुए कि यह जानकारी प्रदान नहीं की जा सकती। खुद के माध्यम से पढ़ने के लिए स्वतंत्र महसूस करें

https://serverfault.com/questions/293217/

हमने अपने सिस्टम को एक नए प्लेटफ़ॉर्म पर ले जाना समाप्त कर दिया है और अगले दिन या उसके भीतर आपके साथ अपना खाता रद्द कर देंगे, लेकिन मैं आपको यह महसूस करना चाहता हूं कि ये अनुरोध कितने हास्यास्पद हैं, और कोई भी कंपनी पीसीआई दिशानिर्देशों को सही ढंग से लागू नहीं करेगी, या करना चाहिए, यह जानकारी प्रदान करने में सक्षम हो। मैं दृढ़ता से सुझाव देता हूं कि आप अपनी सुरक्षा आवश्यकताओं पर फिर से विचार करें क्योंकि आपके किसी भी ग्राहक को इसके अनुरूप नहीं होना चाहिए।

(मैं वास्तव में भूल गया था कि मैंने उसे शीर्षक में एक बेवकूफ कहा था, लेकिन जैसा कि हमने पहले ही कहा था कि उनके मंच से दूर चले गए ताकि कोई वास्तविक नुकसान न हो।)

और अपनी प्रतिक्रिया में, उन्होंने कहा कि स्पष्ट रूप से आप में से कोई भी नहीं जानता कि आप किस बारे में बात कर रहे हैं:

मैं उन प्रतिक्रियाओं और आपके मूल पोस्ट के माध्यम से विस्तार से पढ़ता हूं, उत्तरदाताओं को अपने तथ्यों को सही प्राप्त करने की आवश्यकता है। मैं इस उद्योग में उस साइट पर किसी से भी अधिक समय से हूं, उपयोगकर्ता खाते के पासवर्ड की एक सूची प्राप्त करना अविश्वसनीय रूप से बुनियादी है, यह पहली चीजों में से एक होना चाहिए जो आप सीखते हैं कि आपके सिस्टम को कैसे सुरक्षित किया जाए और किसी भी सुरक्षित के संचालन के लिए आवश्यक है। सर्वर। यदि आप वास्तव में इस सरल कुछ करने के लिए कौशल की कमी है, तो मुझे लगता है कि आप अपने सर्वर पर PCI स्थापित नहीं करते हैं क्योंकि यह जानकारी पुनर्प्राप्त करने में सक्षम है सॉफ्टवेयर की एक बुनियादी आवश्यकता है। सुरक्षा जैसी किसी चीज़ से निपटने के दौरान आपको सार्वजनिक मंच पर ये सवाल नहीं पूछने चाहिए कि अगर आपको कोई बुनियादी जानकारी नहीं है कि यह कैसे काम करता है।

मैं यह भी सुझाव देना चाहूंगा कि मुझे, या [कंपनी का नाम] प्रकट करने के किसी भी प्रयास को मानहानि माना जाएगा और उचित कानूनी कार्रवाई की जाएगी

यदि आपने उन्हें याद किया है तो मुख्य मुहावरेदार बिंदु:

  • वह यहाँ पर किसी और की तुलना में एक सुरक्षा ऑडिटर रहा है (वह या तो अनुमान लगा रहा है, या आपको घूर रहा है)
  • UNIX प्रणाली पर पासवर्डों की सूची प्राप्त करने में सक्षम होना 'बुनियादी' है
  • पीसीआई अब सॉफ्टवेयर है
  • जब वे सुरक्षा के प्रति आश्वस्त नहीं होते हैं तो लोगों को मंचों का उपयोग नहीं करना चाहिए
  • तथ्यात्मक जानकारी (जिसमें मेरे पास ईमेल प्रूफ है) को ऑनलाइन प्रस्तुत करना परिवाद है

अति उत्कृष्ट।

पीसीआई एसएससी ने जवाब दिया है और उसकी और कंपनी की जांच कर रहे हैं। हमारा सॉफ्टवेयर अब पेपाल पर चला गया है, इसलिए हमें पता है कि यह सुरक्षित है। मैं पहले पीसीआई के वापस आने का इंतजार कर रहा हूं, लेकिन मैं थोड़ा चिंतित हूं कि वे आंतरिक रूप से इन सुरक्षा प्रथाओं का उपयोग कर रहे हैं। यदि हां, तो मुझे लगता है कि यह हमारे लिए एक बड़ी चिंता का विषय है क्योंकि हमारे सभी कार्ड प्रसंस्करण उनके माध्यम से चले। यदि वे आंतरिक रूप से ऐसा कर रहे थे, तो मुझे लगता है कि हमारे ग्राहकों को सूचित करने के लिए एकमात्र जिम्मेदार बात यह होगी।

मुझे उम्मीद है कि जब पीसीआई को पता चलेगा कि यह कितना खराब है तो वह पूरी कंपनी और सिस्टम की जांच करेगा लेकिन मुझे यकीन नहीं है।

इसलिए अब हम उनके प्लेटफ़ॉर्म से दूर चले गए हैं, और यह मानकर कि पीसीआई के वापस आने से कम से कम कुछ दिन पहले मेरे पास आएंगे, कैसे उन्हें थोड़ा सा ट्रोल किया जाए, इसके लिए कोई आविष्कारशील सुझाव? =)

एक बार जब मुझे अपने कानूनी आदमी से मंजूरी मिल गई (मुझे अत्यधिक संदेह है कि वास्तव में कोई भी परिवाद है लेकिन मैं जांच को दोगुना करना चाहता हूं) मैं कंपनी का नाम, उसका नाम और ईमेल प्रकाशित करूंगा, और यदि आप चाहें तो आप उससे संपर्क कर सकते हैं और समझा सकते हैं आप लिनक्स सुरक्षा की मूल बातें क्यों नहीं समझते हैं कि सभी LDAP उपयोगकर्ताओं के पासवर्ड की सूची कैसे प्राप्त करें।

थोड़ा अद्यतन:

मेरा "कानूनी आदमी" ने कंपनी को खुलासा करने का सुझाव दिया है कि शायद जरूरत से ज्यादा समस्याएं पैदा होंगी। मैं कह सकता हूं कि, यह एक प्रमुख प्रदाता नहीं है, उनके पास इस सेवा का उपयोग करने वाले 100 ग्राहक कम हैं। जब साइट छोटी थी और थोड़े VPS पर चल रही थी, तो हमने मूल रूप से उनका उपयोग करना शुरू कर दिया था, और हम PCI पाने के सभी प्रयासों से नहीं गुजरना चाहते थे (हम अपने फ्रंटेंड को अनुप्रेषित करते थे, जैसे PayPal Standard)। लेकिन जब हम सीधे प्रसंस्करण कार्ड (पीसीआई और सामान्य ज्ञान सहित) में चले गए, तो देवों ने एक ही कंपनी का उपयोग केवल एक अलग एपीआई का उपयोग करने का निर्णय लिया। कंपनी बर्मिंघम, यूके क्षेत्र में स्थित है, इसलिए मुझे अत्यधिक संदेह है कि यहां कोई भी प्रभावित होगा।

security  pci-dss 
धब्बा
स्रोत
459
आपके पास उसे सूचना देने के लिए दो सप्ताह का समय है, और क्रेडिट कार्ड को संसाधित करने के लिए कहीं और जाने में दो सप्ताह लगते हैं। परेशान न करें - अब आगे बढ़ने और ऑडिट छोड़ने का निर्णय लें।
स्क्रिपर
159
कृपया, हमें इस बारे में अपडेट करें कि इसके साथ क्या होता है। मैंने यह देखने के लिए पक्षपात किया है कि कैसे ऑडिटर स्पंक हो जाता है। =) यदि मैं आपको जानता हूं, तो मुझे मेरे प्रोफ़ाइल के पते पर ईमेल करें।
वेस्ले
143
वह आपको यह देखने के लिए परीक्षण कर रहा होगा कि क्या आप वास्तव में बेवकूफ हैं। सही? मुझे आशा है कि ...
जो फिलिप्स
187
मैं उन अन्य कंपनियों के लिए कुछ संदर्भ जानना चाहूंगा जिनका वह ऑडिट कर रही है। अगर किसी और कारण से पता न चले तो किससे बचना चाहिए । Plaintext पासवर्ड ... वास्तव में? क्या आपको यकीन है कि इस आदमी को वास्तव में एक काली टोपी और सामाजिक इंजीनियरिंग बेवकूफ कंपनियों को महीनों तक अपने उपयोगकर्ता पासवर्ड सौंपने की ज़रूरत नहीं है? क्योंकि अगर उसके साथ ऐसा करने वाली कंपनियां हैं, तो यह एक महत्वपूर्ण तरीका है कि वह सिर्फ चाबी सौंप दे ...
बार्ट सिल्वरस्ट्रिम
286
किसी भी पर्याप्त रूप से उन्नत अक्षमता दुर्भावना से अप्रभेद्य है
जेरेमी फ्रेंच

जवाबों:

1207

सबसे पहले, टोपी नहीं। वह न केवल एक बेवकूफ है, बल्कि गलत तरीके से गलत है। वास्तव में, इस जानकारी को जारी करने से पीसीआई मानक का उल्लंघन होता है (जो कि मैं मान रहा हूं कि यह ऑडिट है क्योंकि यह एक भुगतान प्रोसेसर है) हर दूसरे मानक के साथ-साथ और सामान्य सादा अर्थ है। यह आपकी कंपनी को सभी प्रकार की देनदारियों को भी उजागर करेगा।

अगली बात जो मैं करूंगा वह आपके बॉस को एक ईमेल भेजकर कहूंगा कि कंपनी को इस कार्रवाई के साथ आगे बढ़ने के लिए कानूनी जोखिम का निर्धारण करने के लिए उसे कॉर्पोरेट परामर्श प्राप्त करने की आवश्यकता है।

यह अंतिम बिट आप पर है, लेकिन मैं इस जानकारी के साथ VISA से संपर्क करूंगा और अपने PCI ऑडिटर का दर्जा प्राप्त करूंगा।

Zypher
स्रोत
289
आपने मुझे इसमें हरा दिया! यह एक अवैध अनुरोध है। प्रोसेसर के अनुरोध के ऑडिट के लिए पीसीआई क्यूएसए प्राप्त करें। उसे एक फोन कॉल पर ले आओ। वैगनों को सर्किल करें। "बंदूक के लिए चार्ज!"
वेस्ले
91
"अपने पीसीआई ऑडिटर का दर्जा प्राप्त करें" मुझे पता नहीं है कि इसका क्या मतलब है ... लेकिन इस मसले का जो भी अधिकार है (ऑडिटर) स्पष्ट रूप से गीले पटाखा जैक बॉक्स से आया है और उसे रद्द करने की आवश्यकता है। +1
वर्नरसीडी
135
यह सब मानकर चल रहा है कि यह साथी वास्तव में एक वैध ऑडिटर है ... वह मुझे अजीब लगता है।
रीड
31
मैं सहमत हूं - suspicious auditorया वह एक वैध ऑडिटर है, यह देखकर कि आप इनमें से किसी भी चीज को करने के लिए पर्याप्त बेवकूफ हैं। पूछें कि उसे इस जानकारी की आवश्यकता क्यों है। बस पासवर्ड पर विचार करें, जो कभी भी सादे पाठ नहीं होना चाहिए, लेकिन कुछ एक तरह से एन्क्रिप्शन (हैश) के पीछे होना चाहिए। हो सकता है कि उसके पास कोई वैध कारण हो, लेकिन अपने सभी "अनुभव" के साथ वह आपको आवश्यक जानकारी प्राप्त करने में मदद करने में सक्षम होना चाहिए।
Vol7ron
25
यह खतरनाक क्यों है? सभी सादे पाठ पासवर्डों की एक सूची - कोई भी नहीं होना चाहिए। यदि सूची खाली नहीं है, तो उसके पास एक वैध बिंदु है। एमएसओटी चीजों के लिए भी समान है। यदि आपके पास नहीं है क्योंकि वे कहते हैं कि वहाँ नहीं हैं। दूरस्थ फ़ाइलें जोड़ी गईं - जो ऑडिटिंग का हिस्सा है। पता नहीं है - एक प्रणाली है कि जानता है में डाल शुरू करते हैं।
टॉमटॉम
836

किसी ऐसे व्यक्ति के रूप में जो एक वर्गीकृत सरकारी अनुबंध के लिए प्राइस वाटरहाउस कूपर्स के साथ ऑडिट प्रक्रिया के माध्यम से रहा है, मैं आपको आश्वस्त कर सकता हूं, यह पूरी तरह से सवाल से बाहर है और यह लड़का पागल है।

जब PwC हमारे पासवर्ड की शक्ति की जाँच करना चाहते थे:

  • हमारे पासवर्ड शक्ति एल्गोरिदम को देखने के लिए कहा
  • हमारे एल्गोरिदम के खिलाफ रैन परीक्षण इकाइयों की जाँच करें कि वे खराब पासवर्ड से इनकार करेंगे
  • यह सुनिश्चित करने के लिए हमारे एन्क्रिप्शन एल्गोरिदम को देखने के लिए कहा कि वे उलट या अन-एन्क्रिप्टेड (इंद्रधनुष तालिकाओं द्वारा भी) नहीं किया जा सकता है, यहां तक ​​कि किसी ऐसे व्यक्ति द्वारा भी जिसे सिस्टम के हर पहलू तक पूरी पहुंच थी।
  • यह देखने के लिए कि पिछले पासवर्डों को यह सुनिश्चित करने के लिए कैश नहीं किया गया था कि वे फिर से उपयोग नहीं किए जा सकते
  • गैर-सामाजिक इंजीनियरिंग तकनीकों (xss और गैर-0 दिन के कारनामे जैसी चीजों) का उपयोग करके नेटवर्क और संबंधित सिस्टम में सेंध लगाने का प्रयास करने के लिए हमसे (जो हमने अनुमति दी थी) हमसे पूछा।

अगर मैंने यह संकेत दिया था कि मैं उन्हें दिखा सकता हूं कि पिछले 6 महीनों में उपयोगकर्ताओं के पासवर्ड क्या थे, तो उन्होंने हमें तुरंत अनुबंध से बाहर कर दिया।

यदि इन आवश्यकताओं को प्रदान करना संभव था, तो आपके पास हर एक ऑडिट के लायक तुरंत विफल हो जाएगा।

अपडेट: आपकी प्रतिक्रिया ईमेल अच्छी लगती है। जितना मैंने लिखा है, उससे कहीं अधिक पेशेवर।

मार्क हेंडरसन
स्रोत
109
+1। समझदार quesstions की तरह लग रहा है कि नहीं होना चाहिए। यदि आप उन्हें जवाब दे सकते हैं तो आपके पास एक बेवकूफ सुरक्षा मुद्दा है।
टॉमटॉम
9
even by rainbow tablesNTLM को नियमबद्ध नहीं करता है? मेरा मतलब है, यह नमकीन नहीं है ... AFAICR MIT Kerberos ने सक्रिय पासवर्ड को एन्क्रिप्ट या हैश नहीं किया है, पता नहीं कि वर्तमान स्थिति क्या है
ह्यूबर्ट करियो
6
@Hubert - हम NTLM या Kerberos का उपयोग नहीं कर रहे थे क्योंकि पास-थ्रू प्रमाणीकरण विधियों पर प्रतिबंध लगा दिया गया था और सेवा को वैसे भी सक्रिय निर्देशिका के साथ एकीकृत नहीं किया गया था। अन्यथा हम उन्हें हमारे एल्गोरिदम या तो नहीं दिखा सकते (वे ओएस में निर्मित हैं)। उल्लेख किया जाना चाहिए - यह अनुप्रयोग-स्तरीय सुरक्षा थी, ओएस स्तर का ऑडिट नहीं।
मार्क हेंडरसन
4
@tandu - यह है कि वर्गीकरण के स्तर के लिए विशिष्टताओं को कहा गया है। लोगों को अपने अंतिम n पासवर्ड का फिर से उपयोग करने से रोकना भी काफी आम है , क्योंकि यह दो या तीन आमतौर पर इस्तेमाल किए जाने वाले पासवर्ड के माध्यम से लोगों को साइकिल चलाने से रोकता है, जो कि समान सामान्य पासवर्ड का उपयोग करने के रूप में असुरक्षित है।
मार्क हेंडरसन
10
@Slartibartfast: लेकिन पासवर्ड के सादे पाठ को जानने का एक मतलब होने का मतलब है कि हमलावर आपके डेटाबेस में बस तोड़ सकता है और सादे दृष्टि में सब कुछ पुनर्प्राप्त कर सकता है। समान पासवर्ड का उपयोग करने के खिलाफ सुरक्षा के लिए, जो कि क्लाइंट साइड में जावास्क्रिप्ट में किया जा सकता है, जब उपयोगकर्ता पासवर्ड बदलने का प्रयास कर रहा है, तो पुराने पासवर्ड से भी पूछें और नए पासवर्ड को सर्वर पर पोस्ट करने से पहले समानता की तुलना करें। दी गई है, यह केवल 1 अंतिम पासवर्ड से पुन: उपयोग को रोक सकता है, लेकिन IMO सादे में पासवर्ड संग्रहीत करने का जोखिम बहुत अधिक है।
रयान
456

ईमानदारी से, ऐसा लगता है कि यह लड़का (ऑडिटर) आपको स्थापित कर रहा है। यदि आप उसे वह जानकारी देते हैं जो वह माँग रहा है, तो आपने उसे केवल यह साबित कर दिया है कि आप महत्वपूर्ण आंतरिक जानकारी देने के लिए सामाजिक रूप से इंजीनियर हो सकते हैं। असमर्थ रहे हैं।

anastrophe
स्रोत
10
भी, क्या आपने Authorize.net की तरह तीसरे पक्ष के भुगतान प्रोसेसर पर विचार किया है? जिस कंपनी के लिए मैं काम करता हूं, उनके माध्यम से बहुत बड़ी मात्रा में क्रेडिट कार्ड लेनदेन करता है। हमें ग्राहक भुगतान की किसी भी जानकारी को संग्रहीत करने की आवश्यकता नहीं है - अधिकृत करें। यह प्रबंधित करता है - ताकि चीजों को जटिल करने के लिए हमारे सिस्टम का कोई ऑडिट न हो।
एस्ट्रोपे जूल
172
यह वही है जो मैंने सोचा था कि हो रहा था। सोशल इंजीनियरिंग शायद यह जानकारी प्राप्त करने का सबसे आसान तरीका है और मुझे लगता है कि वह उस खामी का परीक्षण कर रहा है। यह लड़का या तो बहुत बुद्धिमान है या बहुत गूंगा है
जो फिलिप्स
4
यह स्थिति कम से कम सबसे उचित पहला कदम है। उसे बताएं कि आप कानून / नियम / जो कुछ भी कर रहे हैं, उसे तोड़ देंगे, लेकिन यह कि आप उसके अपराध की सराहना करते हैं।
माइकल
41
गूंगा प्रश्न: इस स्थिति में "स्थापित करना" स्वीकार्य है? कॉमन लॉजिक बताता है कि ऑडिट प्रक्रिया "ट्रिक्स" से नहीं होनी चाहिए।
आगोस
13
@Agos: मैंने कुछ साल पहले एक जगह पर काम किया था जिसने ऑडिट करने के लिए एक एजेंसी को काम पर रखा था। ऑडिट के कुछ हिस्सों में कंपनी में यादृच्छिक लोगों को "<CIO> के साथ कॉल करने के लिए कहा गया था, ताकि मैं आपको कॉल कर सकूं और आपकी लॉगिन क्रेडेंशियल प्राप्त कर सकूं ताकि मैं <कुछ कर सकूं।" न केवल वे यह देखने के लिए जाँच कर रहे थे कि आप वास्तव में क्रेडेंशियल्स को नहीं छोड़ेंगे, बल्कि एक बार जब आप उन्हें लटका देंगे तो आपको तुरंत <CIO> या <सुरक्षा व्यवस्थापक> को कॉल करना होगा और इंटरचेंज की रिपोर्ट करनी होगी।
टॉबी
345

मैंने अभी देखा है कि आप यूके में हैं, जिसका अर्थ है कि वह आपसे जो करने के लिए कह रहा है वह कानून (वास्तव में डेटा संरक्षण अधिनियम) को तोड़ने के लिए है। मैं यूके में भी हूं, एक बड़ी भारी ऑडिट वाली कंपनी के लिए काम करता हूं और इस क्षेत्र के आसपास के कानून और सामान्य प्रथाओं को जानता हूं। मैं भी काम का एक बहुत बुरा टुकड़ा हूं जो खुशी से इस आदमी को आपके लिए रोक देगा यदि आप इसे मज़े के लिए पसंद करते हैं, तो मुझे बताएं कि क्या आप मदद करना चाहेंगे।

Chopper3
स्रोत
28
यह मानते हुए कि उन सर्वरों पर कोई व्यक्तिगत जानकारी है, मुझे लगता है कि सादे पाठ में उपयोग के लिए सभी / क्रेडेंशियल्स को सौंपना इस अक्षमता के स्तर के साथ किसी व्यक्ति को सिद्धांत 7 का स्पष्ट उल्लंघन होगा ... ("उपयुक्त तकनीकी और संगठनात्मक उपाय" व्यक्तिगत डेटा के अनधिकृत या गैरकानूनी प्रसंस्करण के खिलाफ और आकस्मिक नुकसान या विनाश, या व्यक्तिगत डेटा को नुकसान के खिलाफ लिया जाएगा।)
स्टीफन Veiss
4
मुझे लगता है कि यह एक उचित धारणा है - यदि आप भुगतान जानकारी संग्रहीत कर रहे हैं, तो आप संभवतः अपने उपयोगकर्ताओं के लिए संपर्क जानकारी भी संग्रहीत कर रहे हैं। अगर मैं ओपी की स्थिति में था, तो मैं देखूंगा "आप जो मुझसे पूछ रहे हैं वह न केवल नीति और अनुबंध संबंधी दायित्वों को तोड़ता है [पीसीआई के अनुपालन के लिए], बल्कि अवैध है" केवल नीति और पीसीआई का उल्लेख करने की तुलना में एक मजबूत तर्क के रूप में ।
स्टीफन वीस
4
@ जिमी एक पासवर्ड व्यक्तिगत डेटा क्यों नहीं होगा?
रॉबर्ट
10
@ रिचर्ड, आप जानते हैं कि यह एक रूपक अधिकार था?
चॉपर 3
9
@ चॉपर 3 हां, मुझे अभी भी लगता है कि यह अनुचित है। साथ ही, मैं एवीडी का मुकाबला कर रहा हूं।
रिचर्ड गाड्सन
285

आपको सामाजिक रूप से इंजीनियर बनाया जा रहा है। या तो 'आप का परीक्षण' करने के लिए या इसके एक बहुत उपयोगी डेटा प्राप्त करने के लिए एक लेखा परीक्षक के रूप में प्रस्तुत करने वाला हैकर।

श्री थक गए
स्रोत
8
यह शीर्ष उत्तर क्यों नहीं है? क्या यह समुदाय के बारे में कुछ कहता है, सोशल इंजीनियरिंग में आसानी है, या क्या मुझे कुछ मौलिक याद आ रही है?
पॉल
166
दुर्भावना के लिए कभी भी अज्ञानता के लिए जिम्मेदार नहीं ठहराया जा सकता
aldrinleal
13
जब ऑडिटर पेशेवर होने का दावा करता है, तो अज्ञानता के लिए उन सभी अनुरोधों को ध्यान में रखते हुए, कल्पना को थोड़ा बढ़ाते हैं।
थॉमस के
12
इस सिद्धांत के साथ समस्या यह है कि, भले ही वह "इसके लिए गिर गया" या "परीक्षण में विफल रहा," वह उसे जानकारी नहीं दे सका क्योंकि यह असंभव है .....
eds
4
मेरा सबसे अच्छा अनुमान 'गंभीर सोशल इंजीनियरिंग' भी है (क्या यह नई केविन मिटनिक की किताब जल्द ही सामने आ रही है?)? । अन्य विकल्प एक बहुत ही बदमाश ऑडिटर है, जिसके पास कोई भी ज्ञान नहीं है, जो फुलाने की कोशिश करता है और अब उसे अपने आप को खोद रहा है।
Koos van den Hout
278

मैं ओप्स के बारे में गंभीर रूप से नैतिक समस्या को सुलझाने के कौशल और सर्वर दोष समुदाय की नैतिक आचरण के इस गंभीर उल्लंघन की अनदेखी के बारे में चिंतित हूं ।

संक्षेप में, मुझे चाहिए;

  • छह महीने के पासवर्ड को 'नकली' करने का तरीका बदल जाता है और यह वैध लगता है
  • छह महीने के इनबाउंड फ़ाइल को 'फर्जी' करने का तरीका

मुझे दो बिंदुओं पर स्पष्ट होने दें:

  1. सामान्य व्यवसाय के दौरान डेटा को गलत ठहराना कभी भी उचित नहीं है।
  2. आपको इस तरह की जानकारी कभी किसी को नहीं देनी चाहिए। कभी।

रिकॉर्डों को गलत ठहराना आपका काम नहीं है। यह सुनिश्चित करना आपका काम है कि कोई भी आवश्यक रिकॉर्ड उपलब्ध, सटीक और सुरक्षित हो।

सर्वर फाल्ट पर यहां के समुदाय को इस प्रकार के प्रश्नों का इलाज करना चाहिए क्योंकि स्टैकओवरफ्लो साइट "होमवर्क" प्रश्नों का व्यवहार करती है। आप केवल तकनीकी प्रतिक्रिया के साथ इन मुद्दों को संबोधित नहीं कर सकते हैं या नैतिक जिम्मेदारी के उल्लंघन की अनदेखी कर सकते हैं।

इतने उच्च प्रतिनिधि उपयोगकर्ताओं को इस धागे में यहाँ देखते हैं और प्रश्न के नैतिक निहितार्थों का कोई उल्लेख मुझे दुखी करता है।

मैं सभी को SAGE सिस्टम एडमिनिस्ट्रेटर की आचार संहिता पढ़ने के लिए प्रोत्साहित करूंगा ।

BTW, आपका सुरक्षा ऑडिटर एक बेवकूफ है, लेकिन इसका मतलब यह नहीं है कि आपको अपने काम में अनैतिक होने के लिए दबाव महसूस करने की आवश्यकता है।

संपादित करें: आपके अपडेट अनमोल हैं। अपने सिर को नीचे रखें, अपने पाउडर को सूखा लें, और किसी भी लकड़ी के निकल्स को न लें (या दें)।

जोसेफ केर्न
स्रोत
44
मैं असहमत हूं। "ऑडिटर" ओपी को विभाजनकारी जानकारी में बदनाम कर रहा था जो संगठन की संपूर्ण आईटी सुरक्षा को कमजोर कर देगा। किसी भी परिस्थिति में ओपी को उन रिकॉर्डों को उत्पन्न नहीं करना चाहिए और उन्हें किसी को भी प्रदान करना चाहिए। ओपी को नकली रिकॉर्ड नहीं चाहिए; उन्हें आसानी से नकली माना जा सकता है। ओपी को उच्च-अप को समझाना चाहिए कि सुरक्षा लेखा परीक्षकों की मांग दुर्भावनापूर्ण इरादे या पूरी तरह से अक्षमता (प्लेटेक्स्ट में ईमेल पासवर्ड) के माध्यम से या तो खतरा है। ओपी को सुरक्षा लेखा परीक्षक की तत्काल समाप्ति और पूर्व लेखा परीक्षक की अन्य गतिविधियों की पूरी जांच की सिफारिश करनी चाहिए।
जंबो जूल
18
dr jimbob, मुझे लगता है कि आप इस बिंदु को याद कर रहे हैं: "ओपी को नकली रिकॉर्ड नहीं होना चाहिए; उन्हें आसानी से नकली माना जा सकता है।" अभी भी एक अनैतिक स्थिति है जैसा कि आप सुझाव दे रहे हैं कि उसे केवल डेटा को गलत करना चाहिए जब उसे सच्चे डेटा से अलग नहीं किया जा सकता है। गलत डेटा भेजना अनैतिक है। अपने उपयोगकर्ताओं के पासवर्ड किसी तीसरे पक्ष को भेजना लापरवाही है। इसलिए हम सहमत हैं कि इस स्थिति के बारे में कुछ किए जाने की आवश्यकता है। मैं इस समस्या को हल करने में महत्वपूर्ण नैतिक सोच की कमी पर टिप्पणी कर रहा हूं।
जोसेफ केर्न
13
मैं इस बात से असहमत था कि "यह सुनिश्चित करना आपका काम है कि रिकॉर्ड उपलब्ध, सटीक और सुरक्षित हैं।" आपका दायित्व है कि आप अपने सिस्टम को सुरक्षित रखें; यदि वे सिस्टम से समझौता करते हैं तो अनुचित अनुरोध (स्टोर और प्लेटेक्स्ट पासवर्ड साझा करें) नहीं किया जाना चाहिए। स्टोर करना, रिकॉर्डिंग करना और प्लेनटेक्स्ट पासवर्ड साझा करना अपने उपयोगकर्ताओं के साथ विश्वास का एक बड़ा उल्लंघन है। यह एक बड़ा लाल झंडा सुरक्षा के लिए खतरा है। सुरक्षा ऑडिट साफ्टवेयर पासवर्ड / ssh निजी कुंजियों को उजागर किए बिना किया जा सकता है और किया जाना चाहिए; और आपको उच्च अप्स को समस्या को जानने और हल करने देना चाहिए।
डॉ। जिंबाब
11
dr jimbob, मुझे लगता है कि हम रात में गुजरने वाले दो जहाज हैं। मैं आपकी हर बात से सहमत हूं; मुझे इन बिंदुओं को स्पष्ट रूप से स्पष्ट नहीं करना चाहिए था। मैं ऊपर अपनी प्रारंभिक प्रतिक्रिया को संशोधित करूंगा। मैं थ्रेड के संदर्भ पर बहुत अधिक निर्भर था।
जोसेफ केर्न
4
@ जोसेफ कर्न, मैंने ओपी को खुद की तरह नहीं पढ़ा। मैंने इसे और अधिक पढ़ा कि मैं छह महीने का डेटा कैसे बना सकता हूं जिसे हमने कभी नहीं रखा। निश्चित रूप से, मैं सहमत हूं, कि इस आवश्यकता को पूरा करने की कोशिश करने के अधिकांश तरीके कपटपूर्ण होंगे। हालांकि, क्या मुझे अपना पासवर्ड डेटाबेस लेने और पिछले 6 महीनों के लिए टाइमस्टैम्प निकालने के लिए मैं रिकॉर्ड बना सकता था कि क्या परिवर्तन अभी भी संरक्षित थे। मेरा मानना ​​है कि 'फ़ेकिंग' डेटा के रूप में कुछ डेटा खो गया है।
user179700
242

आप उसे वह नहीं दे सकते जो आप चाहते हैं, और "नकली" करने का प्रयास करते हैं यह आपको गधे में काटने के लिए वापस आने की संभावना है (संभवतः कानूनी रूप से)। आपको या तो कमांड की श्रृंखला को अपील करने की आवश्यकता है (यह संभव है कि यह ऑडिटर की बदमाश संभव है, हालांकि सुरक्षा ऑडिट कुख्यात हैं - मुझे उस ऑडिटर के बारे में पूछें जो एसएमबी के माध्यम से एएस / 400 तक पहुंचने में सक्षम होना चाहता था), या नरक प्राप्त करना इन प्याज आवश्यकताओं के नीचे से बाहर।

वे अच्छी सुरक्षा भी नहीं कर रहे हैं - सभी प्लेनटेक्स्ट पासवर्डों की एक सूची कभी भी उत्पादन करने के लिए एक अविश्वसनीय रूप से खतरनाक चीज है , भले ही उन्हें सुरक्षित रखने के लिए इस्तेमाल किए जाने वाले तरीकों की परवाह किए बिना, और मैं शर्त लगाता हूं कि यह ब्लो उन्हें सादे-पाठ में ई-मेल करेगा । (मुझे यकीन है कि आप यह पहले से ही जानते हैं, मुझे बस थोड़ा वेंट करना होगा)।

शिट्स और गिगल्स के लिए, उसे सीधे अपनी आवश्यकताओं को निष्पादित करने का तरीका पूछें - आप यह नहीं जानते कि कैसे, और अपने अनुभव का लाभ उठाना चाहते हैं। एक बार जब आप बाहर चले गए और चले गए, तो उनके जवाब "मुझे सुरक्षा ऑडिटिंग में 10 साल से अधिक का अनुभव है" होगा "नहीं, आपके पास 5 मिनट का अनुभव सैकड़ों बार दोहराया गया है"।

वमन
स्रोत
8
... एक लेखा परीक्षक जो एसएमबी के माध्यम से एएस / 400 तक पहुंच चाहता था? ... क्यों?
बार्ट सिल्वरस्ट्रिम
11
पीसीआई अनुपालन कंपनियों के साथ मेरे द्वारा दोहराए गए एक बहुत परेशानी का कारण कंबल आईसीएमपी फ़िल्टरिंग के खिलाफ है, और केवल ब्लॉकिंग इको है। ICMP एक बहुत अच्छे कारण के लिए है, लेकिन यह असंभव है कि यह समझा जाए कि एक स्क्रिप्ट के ऑडिटर्स से कई काम किए जा रहे हैं।
ट्विरिमिम
48
@BartSilverstrim संभवत: चेक-लिस्ट ऑडिटिंग का मामला है। एक ऑडिटर के रूप में एक बार मुझसे कहा था - ऑडिटर ने सड़क क्यों पार की? क्योंकि पिछले साल उन्होंने ऐसा ही किया था।
स्कॉट पैक
10
मुझे पता है कि यह उचित है, वास्तविक "डब्ल्यूटीएफ?" तथ्य यह है लेखा परीक्षक माना जाता है कि उस मशीन एसएमबी के माध्यम से हमले के लिए असुरक्षित था जब तक वह एसएमबी के माध्यम से कनेक्ट कर सकते हैं ... था
Womble
14
"आपके पास 5 मिनट का अनुभव सैकड़ों बार दोहराया गया है" --- ओहो, यह सीधे मेरे उद्धरण संग्रह में जा रहा है! : D
टासोस पापस्टीलियनौ
183

यदि कोई ऐतिहासिक समस्या है जिसे आपने अब ठीक कर लिया है, तो कोई भी ऑडिटर आपको विफल नहीं होना चाहिए। वास्तव में, यह अच्छे व्यवहार का सबूत है। इस बात को ध्यान में रखते हुए, मैं दो बातों का सुझाव देता हूं:

क) झूठ मत बोलो या सामान बनाओ। b) अपनी नीतियों को पढ़ें।

मेरे लिए मुख्य कथन यह है:

सभी [जेनेरिक क्रेडिट कार्ड प्रसंस्करण प्रदाता] ग्राहकों को हमारी नई सुरक्षा नीतियों के अनुरूप होना आवश्यक है

मैं शर्त लगाता हूं कि उन नीतियों में एक कथन है कि पासवर्ड नीचे नहीं लिखे जा सकते हैं और उपयोगकर्ता के अलावा किसी और को पारित नहीं किए जा सकते हैं। यदि है, तो उन नीतियों को उसके अनुरोधों पर लागू करें। मेरा सुझाव है कि इसे इस तरह से हैंडल करना:

  • सभी सर्वर पर सभी उपयोगकर्ता खातों के लिए वर्तमान उपयोगकर्ता नाम और सादा पाठ पासवर्ड की एक सूची

उसे उपयोगकर्ता नाम की एक सूची दिखाएं, लेकिन उन्हें दूर ले जाने की अनुमति न दें। बता दें कि सादा पाठ पासवर्ड देना एक) असंभव है क्योंकि यह पॉलिसी के खिलाफ एकतरफा है, और बी), जिसे वह आपके खिलाफ ऑडिट कर रहा है, इसलिए आप इसका पालन नहीं करेंगे।

  • पिछले छह महीनों के सभी पासवर्डों की एक सूची, फिर से सादे-पाठ में

बता दें कि यह ऐतिहासिक रूप से उपलब्ध नहीं था। उसे हाल के पासवर्ड बदलने की सूची दें, ताकि यह दिखाया जा सके कि अब ऐसा किया जा रहा है। समझाएं, जैसा कि ऊपर, पासवर्ड प्रदान नहीं किया जाएगा।

  • पिछले छह महीनों में "दूरस्थ उपकरणों से सर्वर में जोड़ी गई हर फ़ाइल" की एक सूची

समझाएं कि क्या है और लॉग नहीं किया जा रहा है। आप जो कर सकते हैं प्रदान करें। गोपनीय कुछ भी प्रदान न करें, और नीति द्वारा स्पष्ट करें कि क्यों नहीं। यह पूछें कि क्या आपके लॉगिंग में सुधार करना है।

  • किसी भी SSH कुंजी की सार्वजनिक और निजी कुंजी

अपनी मुख्य प्रबंधन नीति देखें। यह बताना चाहिए कि निजी चाबियों को उनके कंटेनर से बाहर जाने की अनुमति नहीं है और पहुंच की सख्त शर्तें हैं। उस नीति को लागू करें, और पहुँच की अनुमति न दें। सार्वजनिक कुंजी खुशी से सार्वजनिक होती हैं और साझा की जा सकती हैं।

  • हर बार जब कोई उपयोगकर्ता अपना पासवर्ड भेजता है, तो उसे एक ईमेल भेजा जाता है, जिसमें सादा पाठ पासवर्ड होता है

सिर्फ नहीं बोल। यदि आपके पास एक स्थानीय सुरक्षित लॉग सर्वर है, तो उसे यह देखने की अनुमति दें कि यह सीटू में लॉग इन किया जा रहा है।

मूल रूप से, और मुझे यह कहने के लिए खेद है, लेकिन आपको इस आदमी के साथ हार्डबॉल खेलना होगा। अपनी नीति का ठीक से पालन करें, विचलन न करें। झूठ मत बोलो। और अगर वह आपको किसी ऐसी चीज के लिए विफल करता है जो नीति में नहीं है, तो अपने वरिष्ठ अधिकारियों से कंपनी में शिकायत करें जिसने उसे भेजा था। यह साबित करने के लिए कि आप वाजिब रहे हैं, इन सबका एक पेपर ट्रेल लीजिए। यदि आप अपनी नीति को तोड़ते हैं तो आप उसकी दया पर हैं। यदि आप उन्हें पत्र का पालन करते हैं, तो वह समाप्त हो जाएगा।

सर्व-कुंची
स्रोत
28
सहमत, यह उन पागल रियलिटी शो में से एक है, जहां एक कार सेवा लड़का आपकी कार को एक चट्टान या कुछ समान रूप से अविश्वसनीय रूप से ड्राइव करता है। मैं ओपी से कहूंगा कि अपना रिज्यूम तैयार करें और छोड़ें, अगर ऊपर की कार्रवाई आपके लिए कारगर नहीं है। यह स्पष्ट रूप से एक हास्यास्पद और भयानक स्थिति है।
जोनाथन वाटमॉ
5
काश मैं इस +1,000,000 को वोट कर पाता। जबकि ज्यादातर जवाब यहाँ बहुत एक ही बात कहते हैं, यह एक बहुत अधिक पूरी तरह से है। महान काम, @ जिमी!
इस्ज़
141

हाँ, लेखा परीक्षक है एक मूर्ख। हालाँकि, जैसा कि आप जानते हैं, कभी-कभी बेवकूफों को सत्ता के पदों पर रखा जाता है। यह उन मामलों में से एक है।

उन्होंने जो जानकारी का अनुरोध किया है, वह सिस्टम की वर्तमान सुरक्षा पर शून्य असर डालता है। ऑडिटर को स्पष्ट करें कि आप प्रमाणीकरण के लिए LDAP का उपयोग कर रहे हैं और पासवर्ड एक-तरफ़ा हैश का उपयोग करके संग्रहीत किए गए हैं। पासवर्ड हैश (जो कि सप्ताह (या वर्ष) ले सकता है) के खिलाफ एक ब्रूट-फोर्स स्क्रिप्ट करने में सक्षम है, आप पासवर्ड प्रदान करने में सक्षम नहीं होंगे।

इसी तरह दूरस्थ फाइलें - मैं सुनना चाहता हूँ, खतरनाक, वह कैसे सोचता है कि आपको सर्वर पर बनाई गई फ़ाइलों और सर्वर पर SCPed फ़ाइल के बीच अंतर करने में सक्षम होना चाहिए।

जैसा @womble ने कहा, कुछ भी नकली मत करो। वह अच्छा नहीं करेगा। या तो इस ऑडिट को ठीक करें और दूसरे ब्रोकर को ठीक करें, या इस "पेशेवर" को समझाने का एक तरीका खोजें कि उसका पनीर उसके क्रैकर से फिसल गया है।

EEAA
स्रोत
61
+1 के लिए "... कि उसका पनीर उसके पटाखे से फिसल गया है।" यह मेरे लिए एक नया है!
कोलिन एलन
2
"उन्होंने जो जानकारी का अनुरोध किया है, वह सिस्टम की वर्तमान सुरक्षा पर शून्य असर डालता है।" <- मैं वास्तव में कहूंगा कि इसका सुरक्षा पर बहुत असर है। : पी
इश्पेक
2
(which could take weeks (or years)मैं भूल जाता हूं कि कहां है, लेकिन मुझे यह ऐप ऑनलाइन मिला है जो अनुमान लगाएगा कि आपके पासवर्ड को ब्रूट-फोर्स में कितना समय लगेगा। मुझे नहीं पता कि यह कितना बड़ा जानवर या हैशिंग एल्गोरिदम था, लेकिन इसने मेरे अधिकांश पासवर्डों के लिए 17 ट्रिलियन वर्षों जैसा अनुमान लगाया ... :)
कार्सन मायर्स
60
@Carson: पासवर्ड की ताकत का अनुमान लगाने के लिए ऑनलाइन ऐप में एक अलग (और संभवतः अधिक सटीक) दृष्टिकोण था: हर पासवर्ड के लिए, यह "आपका पासवर्ड असुरक्षित है - आपने इसे एक अविश्वसनीय वेब पेज में टाइप किया!"
जेसन ओवेन
3
@ जेसन ओह नो, यू आर राइट!
कार्सन मायर्स
90

अपने "सुरक्षा लेखा परीक्षक" को इन दस्तावेजों में से किसी भी पाठ से इंगित करें , जिसमें उसकी आवश्यकताएं हैं और वह देखता है क्योंकि वह एक बहाने के साथ आने के लिए संघर्ष करता है और अंततः खुद को फिर से कभी नहीं सुना जाने का बहाना करता है।

ablackhat
स्रोत
11
इस बात से सहमत। क्यों? एक वैध प्रश्न इस तरह की एक परिस्थिति है। लेखा परीक्षक को अपने अनुरोधों के लिए व्यवसाय / परिचालन मामले के प्रलेखन प्रदान करने में सक्षम होना चाहिए। आप उससे कह सकते हैं "अपने आप को मेरी स्थिति में रखो। यह अनुरोध का एक प्रकार है जो मैं एक घुसपैठ को स्थापित करने का प्रयास करने वाले किसी व्यक्ति से अपेक्षा करता हूं।"
जेएल
75

WTF! क्षमा करें, लेकिन यह केवल मेरी प्रतिक्रिया है। कोई ऑडिट आवश्यकताएं नहीं हैं, जिनके बारे में मैंने कभी भी एक सादा पासवर्ड की आवश्यकता के बारे में सुना है, जैसे ही वे बदलते हैं, उन्हें पासवर्ड खिलाने दें।

1, उसे आपसे वह आवश्यकता दिखाने के लिए कहें जो आप प्रदान करते हैं।

2, अगर यह PCI के लिए है (जिसे हम सभी भुगतान प्रणाली के प्रश्न के बाद से मानते हैं) यहाँ जाएँ : https://www.pcisecuritystandards.org/approved_companies_providers/qsa_companies.php और एक नया ऑडिटर प्राप्त करें

3, जो उन्होंने ऊपर कहा था, उसका पालन करें, अपने प्रबंधन से संपर्क करें और उनके साथ काम करने वाली क्यूएसए कंपनी से संपर्क करें। फिर तुरंत एक और ऑडिटर मिलता है।

लेखा परीक्षकों की ऑडिट प्रणाली राज्यों, मानकों, प्रक्रियाओं आदि को बताती है कि उन्हें ऐसी कोई जानकारी होने की आवश्यकता नहीं है जो उन्हें सिस्टम तक पहुँच प्रदान करती है।

यदि आप कोई अनुशंसित ऑडिटर चाहते हैं या ऑल्टरनेटेड कोलो के विकल्प को ऑडीटरों के साथ मिलकर काम करते हैं तो मुझसे संपर्क करें और मुझे संदर्भ प्रदान करने में खुशी होगी।

सौभाग्य! अपने पेट पर भरोसा करें, अगर कुछ गलत लगता है तो शायद यही है।

dmz006
स्रोत
67

उसके पास पासवर्ड जानने और निजी कुंजियों तक पहुंच के लिए कोई वैध कारण नहीं है। उसने जो अनुरोध किया वह उसे किसी भी समय अपने किसी भी ग्राहक को थोपने की क्षमता प्रदान करेगा और जितना संभव हो उतना पैसा छीनेगा, बिना किसी संभावित धोखाधड़ी के लेनदेन का पता लगाने के लिए। यह ठीक उसी प्रकार का सुरक्षा खतरा होगा जिसके लिए वह आपको ऑडिट करने वाला है।

फ्रैंकी पेनोव
स्रोत
2
चलो, निश्चित रूप से यह ऑडिट का बिंदु है, सोशल इंजीनियरिंग ??? इसके लिए 21 अप-वोट?!?
ozz
16
ऑडिट में सुरक्षा प्रक्रियाओं का एक आधिकारिक निरीक्षण शामिल है और वे स्थापित नियमों के अनुसार हैं या नहीं। यह अग्नि निरीक्षक की तरह होगा जो यह सत्यापित करेगा कि आपके पास सभी आवश्यक अग्निशामक यंत्र हैं, और दरवाजे और खिड़कियां या आपके रेस्तरां को अग्नि संहिता के अनुसार खोला जा सकता है। आप आग निरीक्षक को रेस्तरां में आग लगाने की कोशिश करने की उम्मीद नहीं करेंगे, क्या आप करेंगे?
फ्रैंकी पेनोव जूल 30'11
8
ऐसा लगता है कि रेस्तरां के चारों ओर आग लगाने वाले उपकरण स्थापित करना और ऑडिटर को उनके लिए रिमोट ट्रिगर देना और उन्हें अद्यतित रखने का वादा करना।
XTL
62

उस प्रबंधन को सूचित करें जिसे ऑडिटर ने अनुरोध किया है कि आप अपनी सुरक्षा नीतियों को समाप्त कर दें, और यह अनुरोध अवैध है। सुझाव दें कि वे वर्तमान ऑडिटिंग फर्म को डंप करना चाहते हैं और एक वैध खोज सकते हैं। पुलिस को कॉल करें और ऑडिटर को अवैध जानकारी (यूके में) का अनुरोध करने के लिए चालू करें। फिर पीसीआई को कॉल करें और उनके अनुरोध के लिए ऑडिटर में बारी करें।

अनुरोध यह पूछने के लिए कि आप बेतरतीब ढंग से किसी की हत्या करें और शरीर को सौंप दें। आप ऐसा करेंगे? या क्या आप पुलिस को कॉल करेंगे और उन्हें चालू करेंगे?

OII
स्रोत
8
केवल यह क्यों नहीं कहा जा सकता है कि आप जानकारी प्रदान नहीं कर सकते क्योंकि यह सुरक्षा नीति का उल्लंघन करता है। बॉक्स में अपना टिक प्राप्त करें और ऑडिट पास करें?
user619714
8
हालाँकि हत्या की समानता थोड़ी बहुत दूर हो सकती है, आप सही हैं कि यह "ऑडिटर" कानून तोड़ रहा है, और आपके बॉस, पुलिस और पीसीआई को सूचना दी जानी चाहिए
रोरी
60

मुकदमे का जवाब दिया । यदि कोई ऑडिटर सादे-टेक्स्ट पासवर्ड के लिए पूछ रहा है (अब आओ, यह कमजोर पासवर्ड हैश को भंग करना या दरार करना मुश्किल नहीं है), तो उन्होंने शायद अपनी साख के बारे में आपसे झूठ बोला।

उत्तरआधुनिक
स्रोत
9
मैं इसे कदाचार के रूप में भी देखूंगा, स्थानिकता के आधार पर संभवतः इसके आस-पास भी कानून हैं।
AviD
54

आप अपनी प्रतिक्रिया कैसे देते हैं, इस संबंध में सिर्फ एक टिप:

दुर्भाग्य से, हमारे पास अनुरोधित जानकारी, मुख्य रूप से सादे-पाठ पासवर्ड, पासवर्ड इतिहास, SSH कुंजी और दूरस्थ फ़ाइल लॉग्स में से कुछ प्रदान करने का कोई तरीका नहीं है। न केवल ये चीजें तकनीकी रूप से असंभव हैं ...

मैं तकनीकी व्यवहार्यता के बारे में चर्चा करने से बचने के लिए इसे फिर से लिखूंगा। ऑडिटर द्वारा भेजे गए भयानक शुरुआती ई-मेल को पढ़ना, ऐसा लगता है कि यह कोई है जो उन विवरणों को चुन सकता है जो मुख्य समस्या से संबंधित नहीं हैं, और वह तर्क दे सकता है कि आप पासवर्ड, लॉग इन लॉगिन आदि को बचा सकते हैं, इसलिए या तो कहें :

... हमारी सख्त सुरक्षा नीतियों के कारण, हमने कभी भी सादे पाठ में पासवर्ड नहीं डाले हैं। इसलिए, यह डेटा प्रदान करना तकनीकी रूप से असंभव होगा।

या

... न केवल हम आपके अनुरोध का अनुपालन करके हमारे आंतरिक सुरक्षा स्तर को महत्वपूर्ण रूप से कम कर देंगे, ...

गुड लक, और हमें पोस्ट करते रहें कि यह कैसे समाप्त होता है!

user60129
स्रोत
37

इस सवाल पर कूदने वाले उच्च-प्रतिनिधि उपयोगकर्ताओं की भीड़ को जारी रखने के जोखिम में, यहां मेरे विचार हैं।

मैं स्पष्ट रूप से देख सकता हूं कि वह प्लेटेक्स्ट पासवर्ड क्यों चाहता है, और वह उपयोग में पासवर्ड की गुणवत्ता का न्याय करता है। यह उस बारे में जाने का एक बकवास तरीका है, मुझे पता है कि ज्यादातर ऑडिटर क्रिप्टेड हैश को स्वीकार करेंगे और एक पटाखा चलाएंगे कि यह देखने के लिए कि वे किस तरह के कम लटकने वाले फल निकाल सकते हैं। इन सभी को पासवर्ड-कॉम्प्लेक्सिटी पॉलिसी पर जाना होगा और समीक्षा करनी होगी कि इसे लागू करने के लिए कौन से सुरक्षा उपाय हैं।

लेकिन आपको कुछ पासवर्ड देने होंगे। मैं सुझाव देता हूं (हालांकि मुझे लगता है कि आप पहले से ही ऐसा कर चुके होंगे) उससे पूछ रहा था कि प्लेनटेक्स्ट पासवर्ड डिलीवरी का लक्ष्य क्या है। उन्होंने कहा कि यह आपके अनुपालन बनाम सुरक्षा नीति को मान्य करने के लिए है, इसलिए उसे आप उस नीति को देने के लिए प्राप्त करें। उससे पूछें कि क्या वह यह स्वीकार करेगा कि उपयोगकर्ताओं को अपना पासवर्ड सेट करने से रोकने के लिए आपका पासवर्ड जटिलता शासन काफी मजबूत है P@55w0rdऔर 6 महीने के प्रश्न के लिए निश्चित रूप से जगह में है।

यदि वह इसे धकेलता है, तो आपको यह स्वीकार करना होगा कि आप सादे पासवर्ड नहीं दे सकते हैं क्योंकि आप उन्हें रिकॉर्ड करने के लिए सेट नहीं हैं (क्या इसके साथ एक बड़ी सुरक्षा विफल हो रही है), लेकिन भविष्य में ऐसा करने का प्रयास कर सकते हैं यदि उन्हें आवश्यकता होती है प्रत्यक्ष सत्यापन कि आपकी पासवर्ड नीतियां काम कर रही हैं। और अगर वह इसे साबित करना चाहता है, तो आप ख़ुशी से उसके लिए क्रिप्टेड पासवर्ड डेटाबेस प्रदान करेंगे (या आपको दिखाओ! तैयार! यह मदद करता है!) क्रैकिंग पास को चलाने के लिए।

"दूरस्थ फाइलों" को संभवतः एसएफटीपी सत्रों के लिए एसएसएच लॉग से निकाला जा सकता है, जो कि मुझे संदेह है कि वह किस बारे में बात कर रहा है। यदि आपके पास 6 महीने का साइज़लॉगिंग नहीं है, तो यह उत्पादन करना मुश्किल होगा। SSH के माध्यम से लॉग इन करते समय दूरस्थ सर्वर से फ़ाइल खींचने के लिए wget का उपयोग करना 'दूरस्थ फ़ाइल स्थानांतरण' माना जाता है? क्या HTTP PUTs हैं? दूरस्थ-उपयोगकर्ता की टर्मिनल विंडो में क्लिपबोर्ड पाठ से बनाई गई फाइलें? यदि कुछ भी हो, तो आप इस क्षेत्र में उसकी चिंताओं के लिए बेहतर महसूस करने के लिए इन किनारे-मामलों के साथ उसे रोक सकते हैं और शायद "मुझे इस बारे में अधिक पता है कि आप क्या कर रहे हैं" महसूस करने के साथ-साथ वह किन विशिष्ट तकनीकों के बारे में सोच रहा है। फिर जो आप लॉग से बाहर निकाल सकते हैं और बैकअप पर संग्रहीत लॉग निकाल सकते हैं।

मुझे SSH कीज़ पर कुछ नहीं मिला। केवल एक चीज जो मैं सोच सकता हूं, वह यह है कि वह किसी कारण के लिए पासवर्ड रहित कुंजी की जांच कर रहा है, और शायद क्रिप्टो ताकत। नहीं तो मुझे कुछ नहीं मिला।

उन कुंजियों को प्राप्त करने के लिए, कम से कम सार्वजनिक कुंजियों में कटाई करना काफी आसान है; बस ट्रोल .ssh फ़ोल्डर्स उनकी तलाश में। निजी कुंजी प्राप्त करने में आपकी BOFH टोपी का दान करना और आपके उपयोगकर्ताओं को इस बात की धुन में शामिल करना होगा, "मुझे अपनी सार्वजनिक और निजी SSH की-जोड़े भेजें। मुझे जो कुछ भी नहीं मिलेगा वह 13 दिनों में सर्वर से शुद्ध हो जाएगा," यदि कोई भी सुरक्षा लेखा परीक्षा में उन्हें (मुझे) इंगित करेगा। स्क्रिप्टिंग यहां आपका दोस्त है। कम से कम यह पासवर्ड प्राप्त करने के लिए पासवर्ड-कम कीपर्स का एक गुच्छा पैदा करेगा।

यदि वह अभी भी "ईमेल में सादे-टेक्स्ट पासवर्ड" पर जोर देता है, तो कम से कम उन ईमेल को अपनी स्वयं की कुंजी के साथ GPG / PGP एन्क्रिप्शन के अधीन कर दें। अपने नमक के लायक कोई भी सुरक्षा ऑडिटर ऐसा कुछ करने में सक्षम होना चाहिए। इस तरह से अगर पासवर्ड लीक हो जाता है, तो ऐसा इसलिए होगा क्योंकि वह आपको नहीं, बल्कि बाहर जाने देगा। फिर भी क्षमता के लिए एक और लिटमस टेस्ट।

मुझे इस पर Zypher और Womble दोनों से सहमत होना होगा। खतरनाक परिणामों के साथ खतरनाक बेवकूफ।

sysadmin1138
स्रोत
1
मुहावरे का कोई प्रमाण नहीं। कोई सबूत नहीं है कि ओपी ने औपचारिक रूप से कहा है कि मैं यह जानकारी नहीं दे सकता। निश्चित रूप से यदि आप यह जानकारी प्रदान कर सकते हैं तो आप ऑडिट को विफल कर देंगे।
user619714
2
@ कौन सा कारण है कि सामाजिक रूप से इंजीनियरिंग सुरक्षा ऑडिटर को निकालने के लिए कि वह वास्तव में इस मोड़ पर इतना महत्वपूर्ण है।
sysadmin1138
9
मैं इस स्पष्ट रूप से असुरक्षित व्यक्ति को कुछ भी देने से असहमत हूं।
Kzqai
@ त्चलक: 'असुरक्षित' या 'बेवकूफ' का कोई सबूत नहीं।
user619714
1
एक उच्च प्रतिनिधि उपयोगकर्ता नहीं है, लेकिन आपके उत्तर के लिए मेरी व्यक्तिगत भावना है: अपना पासवर्ड किसी तीसरे पक्ष को दें और मैं देखूंगा कि क्या मैं मुकदमा नहीं कर सकता। आईटी क्षेत्र में किसी के रूप में, मैं आपके द्वारा उल्लिखित उच्च प्रतिनिधि उपयोगकर्ताओं से सहमत हूं और कहूंगा कि आपको पासवर्ड स्टोर करने की आवश्यकता नहीं है। उपयोगकर्ता आपके सिस्टम पर भरोसा कर रहा है, किसी तीसरे पक्ष को अपना पासवर्ड देना उस विश्वास का उल्लंघन है जो किसी को अपनी सभी जानकारी देने से ज्यादा चरम पर है। एक पेशेवर के रूप में मैं ऐसा कभी नहीं करूंगा।
jmoreno
31

वह शायद आपको यह देखने के लिए परीक्षण कर रहा है कि क्या आप एक सुरक्षा जोखिम हैं। यदि आप उसे ये विवरण प्रदान करते हैं तो आप शायद तुरंत खारिज हो जाएंगे। इसे अपने तत्काल बॉस के पास ले जाएं और रुपये को पास करें। अपने बॉस को बताएं कि आप संबंधित अधिकारियों को शामिल करेंगे यदि यह गधा आपके पास फिर से कहीं भी आता है।

यही मालिकों के लिए भुगतान किया जाता है।

मेरे पास एक टैक्सी कैब के पीछे एक कागज़ का एक टुकड़ा है जो पासवर्ड, एसएसएच कुंजी और उस पर उपयोगकर्ता नामों की एक सूची है! Hhhmmm! अभी अखबार की सुर्खियाँ देख सकते हैं!

अपडेट करें

नीचे दिए गए 2 टिप्पणियों के जवाब में मुझे लगता है कि आपके पास बनाने के लिए अच्छे अंक हैं। वास्तव में सच्चाई का पता लगाने का कोई तरीका नहीं है और इस सवाल को सभी पर पोस्ट किया गया था पोस्टर के हिस्से पर थोड़ा सा ध्यान देने के साथ-साथ संभावित कैरियर के परिणामों के साथ प्रतिकूल स्थिति का सामना करने का साहस है, जहां अन्य लोग अपना सिर अंदर करेंगे। रेत और भाग जाओ।

यह क्या है इसके लिए मेरा निष्कर्ष यह है कि यह एक अच्छी तरह से दिलचस्प बहस है जो शायद अधिकांश पाठकों को आश्चर्यचकित कर रहा है कि वे इस स्थिति में क्या करेंगे चाहे वह ऑडिटर या ऑडिटर की नीतियां सक्षम हों या नहीं। अधिकांश लोग अपने कामकाजी जीवन में किसी न किसी रूप में इस तरह की दुविधा का सामना करेंगे और यह वास्तव में उस तरह की ज़िम्मेदारी नहीं है जिसे एक व्यक्ति के कंधों पर डाला जाना चाहिए। यह एक व्यक्ति के निर्णय के बजाय एक व्यावसायिक निर्णय है कि इससे कैसे निपटा जाए।

jamesw
स्रोत
1
मुझे आश्चर्य है कि इसे उच्च मत नहीं मिले। मैं नहीं मानता कि ऑडिटर "बेवकूफ" है। जैसा कि अन्य लोगों ने टिप्पणियों में कहा है, लेकिन जवाब के रूप में कई नहीं, सोशल इंजीनियरिंग के इस reeks। और जब पहली बात यह है कि ओपी यहाँ पर पोस्ट करता है और सुझाव देता है कि वह डेटा को नकली कर सकता है, और फिर ऑडिटर को लिंक भेजता है, तो आदमी को अपने गधे को हंसना चाहिए, और इसके आधार पर पूछना जारी रखना चाहिए। निश्चित रूप से?!?!
जूल
3
यह देखते हुए कि उन्होंने अपनी कंपनी को ओपी व्यवसाय खो दिया है नतीजतन, यह एक बहुत अच्छी ऑडिट तकनीक की तरह प्रतीत नहीं होता है अगर ऐसा था। कम से कम मैंने उनसे उम्मीद की थी कि जब वे व्यापार में हार रहे थे, तो यह स्पष्ट हो जाएगा कि वे इस बात पर जोर दे रहे हैं कि यह ऑडिट दृष्टिकोण का हिस्सा है, बजाय इसके कि इसे जारी रखने के। मैं समझ सकता हूं कि अगर आप 'एथिकल हैकर्स' में लाते हैं, तो आप 'सोशल इंजीनियरिंग' के दृष्टिकोण की उम्मीद कर सकते हैं, जैसे कि इसे लिया जाना चाहिए, लेकिन ऑडिट के लिए नहीं (जिसका उद्देश्य जाँच करना है कि सभी उचित जाँच और प्रक्रियाएँ लागू हैं)
क्रिश
1
ऑडिटर के आगे के ईमेल को देखते हुए, मुझे नहीं लगता कि यह सच है। the responders all need to get their facts right. I have been in this industry longer than anyone on that site- अनमोल
SLaks 19
29

स्पष्ट रूप से यहां बहुत सारी अच्छी जानकारी है, लेकिन मुझे अपना 2 सी जोड़ने की अनुमति दें, क्योंकि कोई व्यक्ति जो सॉफ्टवेयर लिखता है, जो दुनिया भर में मेरे नियोक्ता द्वारा बड़े उद्यमों को बेचा जाता है, जो मुख्य रूप से खाता प्रबंधन सुरक्षा नीतियों का पालन करने और ऑडिट पास करने में लोगों की सहायता करता है; इसके लायक जो है।

सबसे पहले, यह बहुत संदेहास्पद लगता है, जैसा कि आपने (और अन्य ने) नोट किया है। या तो ऑडिटर एक ऐसी प्रक्रिया का पालन कर रहा है, जिसे वह समझ नहीं पा रहा है (संभव है), या आप भेद्यता के लिए परीक्षण कर रहे हैं इसलिए सोशल इंजीनियरिंग (फॉलोअप एक्सचेंजों के बाद भी नहीं), या एक धोखाधड़ी सामाजिक इंजीनियरिंग (आप भी संभव है), या सिर्फ एक सामान्य बेवकूफ (शायद सबसे अधिक संभावना)। जहाँ तक सलाह हो, मैं आपको अपने प्रबंधन से बात करने की पेशकश करूँगा, और / या एक नई ऑडिटिंग कंपनी ढूंढूँ, और / या उपयुक्त ओवरसाइट एजेंसी को इसकी सूचना दूं।

नोट्स के लिए, कुछ बातें:

  • यह संभव है (विशिष्ट शर्तों के तहत) उसने मांगी गई जानकारी प्रदान करने के लिए, यदि आपका सिस्टम इसे अनुमति देने के लिए सेट किया गया है। हालांकि, यह किसी भी तरह से सुरक्षा के लिए "सर्वोत्तम अभ्यास" नहीं है, और न ही यह बिल्कुल भी सामान्य है।
  • आम तौर पर, ऑडिट्स वास्तविक सुरक्षित जानकारी की जांच नहीं करते हुए मान्यताओं के साथ संबंध रखते हैं। मुझे वास्तविक सादे-पाठ पासवर्ड या प्रमाणपत्र के लिए पूछने वाले किसी भी व्यक्ति पर अत्यधिक संदेह होगा, बजाय इसके कि वे "अच्छे" हैं और ठीक से सुरक्षित हैं, यह सुनिश्चित करने के लिए उपयोग किए जाने वाले तरीकों के बजाय।

आशा है कि मदद करता है, भले ही यह ज्यादातर लोगों को सलाह दी है कि क्या दोहरा रहा है। आपकी तरह, मैं अपनी कंपनी का नाम अपने मामले में नहीं रखने जा रहा हूं क्योंकि मैं उनके लिए नहीं बोल रहा हूं (व्यक्तिगत खाता / राय और सभी); माफी अगर वह विश्वसनीयता से अलग हो जाती है, लेकिन ऐसा हो। सौभाग्य।

छेद
स्रोत
24

यह आईटी सिक्योरिटी - स्टैक एक्सचेंज में पोस्ट किया जा सकता है ।

मैं सुरक्षा ऑडिटिंग का विशेषज्ञ नहीं हूं, लेकिन सुरक्षा नीति के बारे में मैंने जो पहली चीज सीखी है, वह है "NEVER GIVE PASSWORDS AWAY"। यह आदमी शायद 10 साल से इस व्यवसाय में है, लेकिन वोमबले ने कहा"no, you have 5 minutes of experience repeated hundreds of times"

मैं कुछ समय से बैंकिंग आईटी वालों के साथ काम कर रहा था, और जब मैंने आपको पोस्ट करते हुए देखा, तो मैंने उन्हें दिखाया ... वे बहुत मुश्किल से हंस रहे थे। उन्होंने मुझे बताया कि आदमी एक घोटाले की तरह दिखता है। वे बैंक ग्राहक की सुरक्षा के लिए इस तरह का व्यवहार करते थे।

स्पष्ट पासवर्ड, SSH चाबियाँ, पासवर्ड लॉग के लिए पूछना, स्पष्ट रूप से एक गंभीर पेशेवर कदाचार है। यह आदमी खतरनाक है।

मुझे आशा है कि अब सब कुछ ठीक है, और आपको इस तथ्य से कोई समस्या नहीं है कि वे आपके साथ अपने पिछले लेन-देन के लॉग को रख सकते हैं।

Anarko_Bizounours
स्रोत
19

यदि आप 1,2,4 अंक में अनुरोध की गई कोई भी जानकारी (सार्वजनिक कुंजी के संभावित अपवाद के साथ) प्रदान कर सकते हैं, और 5 आपको ऑडिट में विफल होने की उम्मीद करनी चाहिए।

औपचारिक रूप से अंक 1,2 और 5 पर प्रतिक्रिया देते हुए कहा गया है कि आप अपनी सुरक्षा नीति का पालन नहीं कर सकते, इसके लिए आवश्यक है कि आप सादा पाठ पासवर्ड न रखें और गैर-प्रतिवर्ती एल्गोरिथ्म का उपयोग करके पासवर्ड एन्क्रिप्ट किए गए हैं। 4 को इंगित करने के लिए, फिर से, आप निजी कुंजी की आपूर्ति नहीं कर सकते क्योंकि यह आपकी सुरक्षा नीति का उल्लंघन करेगा।

जैसा कि बिंदु 3. यदि आपके पास डेटा है तो इसे प्रदान करें। यदि आप ऐसा नहीं करते हैं क्योंकि आपको इसे इकट्ठा नहीं करना है, तो ऐसा कहें और प्रदर्शित करें कि आप अब कैसे (नई दिशा में) काम कर रहे हैं।

user619714
स्रोत
18

हमारे सर्वर के लिए एक सुरक्षा लेखा परीक्षक ने दो सप्ताह के भीतर निम्नलिखित की मांग की है :

...

यदि हम सुरक्षा ऑडिट में विफल हो जाते हैं तो हम अपने कार्ड प्रोसेसिंग प्लेटफॉर्म (हमारी प्रणाली का एक महत्वपूर्ण हिस्सा) तक पहुंच को ढीला कर देते हैं और इसे कहीं और स्थानांतरित करने में दो सप्ताह का समय लगेगा । मैं कितना बदसूरत हूं?

ऐसा प्रतीत होता है जैसे आपने अपने प्रश्न का उत्तर दे दिया है। (संकेत के लिए बोल्ड टेक्स्ट देखें।)

केवल एक समाधान दिमाग में आता है: सभी को अपना अंतिम और वर्तमान पासवर्ड लिखने के लिए प्राप्त करें और फिर तुरंत इसे एक नए में बदल दें। यदि वह पासवर्ड की गुणवत्ता (और पासवर्ड से पासवर्ड में संक्रमण की गुणवत्ता, जैसे कि कोई भी rfvujn125 और फिर उनके अगले पासवर्ड के रूप में rfvujn126 का उपयोग करता है, यह सुनिश्चित करने के लिए परीक्षण करना चाहते हैं), तो पुराने पासवर्ड की सूची पर्याप्त होनी चाहिए।

यदि वह स्वीकार्य नहीं माना जाता है, तो मुझे संदेह होगा कि लड़का बेनामी / लल्ज़सेक का सदस्य है ... जिस बिंदु पर आपको उससे पूछना चाहिए कि उसका हैंडल क्या है और उसे बताएं कि वह ऐसा स्क्रब है!

माइकल
स्रोत
21
लोगों को किसी को भी अपना पासवर्ड प्रदान करने के लिए नहीं कहा जाना चाहिए।
क्रिस किसान
रिकॉर्ड उपयोगकर्ताओं के वर्तमान पासवर्ड के बजाय अच्छे पासवर्ड परिवर्तन कार्य विकसित करें और परिवर्तन को बाध्य करें। जैसे, पासवर्ड चेंज स्क्रीन पर उपयोगकर्ता टाइप करते हैं, दोनों पुराने_पास और new_pass। स्वचालित जांच की एक श्रृंखला विकसित करना; उदाहरण के लिए, पुराने_पास में दो से अधिक वर्ण समान स्थान पर new_pass में नहीं हैं; या कि किसी भी क्रम में किसी भी स्थान पर 4 से अधिक वर्णों का पुन: उपयोग नहीं किया जाता है। इसके अलावा, जांचें कि new_pass पुराने pw में से किसी के रूप में काम नहीं करेगा। हां, rfvujn125 / jgwoei125 / rfvujn126 जैसे असुरक्षित पासवर्ड की एक श्रृंखला को दूर किया जा सकता है, लेकिन यह स्वीकार्य होना चाहिए।
डॉ। जिंबाब
17

जैसा कि ओली ने कहा: विचाराधीन व्यक्ति आपको कानून (डेटा सुरक्षा / यूरोपीय संघ की गोपनीयता के निर्देशों) / आंतरिक नियमों / पीसीआई मानकों को तोड़ने के लिए प्राप्त करने की कोशिश कर रहा है। न केवल आपको प्रबंधन को सूचित करना चाहिए (जैसा कि आपने पहले से ही मुझे लगता था), लेकिन आप पुलिस को सुझाव के रूप में कॉल कर सकते हैं।

यदि विचाराधीन व्यक्ति किसी प्रकार की मान्यता / प्रमाणन रखता है, जैसे CISA (प्रमाणित सूचना प्रणाली लेखा परीक्षक), या US CPA (एक पब्लिक अकाउंटेंट पदनाम) के बराबर यूके, तो आप इसके लिए उसकी जांच करने के लिए मान्यता प्राप्त संगठनों को भी सूचित कर सकते हैं। न केवल वह व्यक्ति जो आपको कानून तोड़ने की कोशिश कर रहा है, यह अत्यंत अक्षम "ऑडिटिंग" भी है और शायद हर नैतिक ऑडिट मानक के उल्लंघन में जिसके द्वारा मान्यता प्राप्त ऑडिटर्स को मान्यता के नुकसान के दर्द का सामना करना पड़ता है।

इसके अतिरिक्त, यदि प्रश्न में व्यक्ति किसी बड़ी कंपनी का सदस्य है, तो अग्रगामी ऑडिटिंग संगठनों को अक्सर किसी प्रकार के क्यूए विभाग की आवश्यकता होती है जो ऑडिट और ऑडिट फाइलिंग की गुणवत्ता की देखरेख करता है और शिकायतों की जांच करता है। इसलिए आपको विचाराधीन ऑडिट कंपनी से शिकायत करने पर भी जाना पड़ सकता है।

reiniero
स्रोत
16

मैं अभी भी अध्ययन कर रहा हूं और सर्वर सेट करते समय मैंने जो पहली चीज सीखी वह यह है कि यदि आप प्लेनटेक्स्ट पासवर्ड लॉग करना संभव बनाते हैं, तो आप पहले से ही एक विशाल उल्लंघन के लिए खुद को खतरे में डालते हैं। किसी भी पासवर्ड को उस उपयोगकर्ता के अलावा नहीं जाना चाहिए जो इसे नियुक्त करता है।

अगर यह लड़का एक गंभीर ऑडिटर है, तो उसे आपसे ये बातें नहीं पूछनी चाहिए। मेरे लिए वह एक मिसफिशर की तरह लगता है । मैं विनियमित अंग के साथ जाँच करूँगा क्योंकि यह आदमी एक पूर्ण बेवकूफ की तरह लगता है।

अपडेट करें

होल्ड करें, उनका मानना ​​है कि आपको केवल पासवर्ड संचारित करने के लिए एक सममित एन्क्रिप्शन का उपयोग करना चाहिए, लेकिन फिर उन्हें अपने डेटाबेस में प्लेनटेक्स्ट स्टोर करें, या उन्हें डिक्रिप्ट करने का एक तरीका प्रदान करें। इसलिए मूल रूप से, डेटाबेस पर सभी गुमनाम हमलों के बाद, जहां उन्होंने सादे पाठ उपयोगकर्ता पासवर्ड दिखाए, उनका मानना ​​है कि यह पर्यावरण को "सुरक्षित" करने का एक अच्छा तरीका है।

वह 1960 के दशक में फंसे एक डायनासोर है ...

लुकास कॉफ़मैन
स्रोत
10
"वह एक डायनासोर है जो 90 के दशक में फंस गया है" - मैं 70 के दशक में अनुमान लगाऊंगा, वास्तव में। 1870 सटीक होना है। भगवान ने ऑगस्ट केरकेहोफ को आशीर्वाद दिया। :)
मार्टिन सोजका
5
90 के दशक? मेरा मानना ​​है कि यूनिक्स ने 1970 के दशक में हैशेड और नमकीन पासवर्ड का इस्तेमाल किया था ...
रोरी
7
मैं इस तथ्य से प्यार करता हूं कि लुकास ने इसे 1960 के दशक में बदल दिया :)
रिकेडक
1
क्या किसी भी कंप्यूटर (होम माइक्रो के लिए BASIC ट्यूटोरियल्स को छोड़कर) सिस्टम में गंभीर पासवर्ड हैं और उन्हें प्लेनटेक्स्ट में स्टोर किया है?
XTL
शायद बहुत समय पहले ... आपको किसी भी ट्यूटोरियल की ओर इशारा नहीं किया जा सकता। लेकिन यह साइट वास्तव में घरेलू प्रणालियों के लिए अनुकूल नहीं है, मेरा सुझाव है कि आप सुपरसुअर.कॉम पर एक नज़र डालें। धरती पर आप क्रेडिट कार्ड विवरण / पासवर्ड सादे पाठ को फिर भी क्यों संग्रहीत करेंगे? केवल खराब तरीके से तैयार किए गए सिस्टम।
लुकास कौफमैन
13
  • सभी सर्वर पर सभी उपयोगकर्ता खातों के लिए वर्तमान उपयोगकर्ता नाम और सादा पाठ पासवर्ड की एक सूची
    • वर्तमान उपयोगकर्ता नाम "हम इसे जारी कर सकते हैं" के दायरे में होना चाहिए और "हम आपको यह दिखा सकते हैं," के दायरे में होना चाहिए, लेकिन आप इसे बंद नहीं कर सकते।
    • प्लेन-टेक्स्ट पासवर्ड अधिक समय तक मौजूद नहीं होना चाहिए क्योंकि यह उन्हें एक तरफ़ा हैश में ले जाता है और उन्हें निश्चित रूप से मेमोरी नहीं छोड़नी चाहिए (तारों के पार भी नहीं जाना चाहिए), इसलिए स्थायी भंडारण में उनका अस्तित्व एक नहीं-नहीं है।
  • पिछले छह महीनों के सभी पासवर्डों की एक सूची, फिर से सादे-पाठ में
    • देखें "स्थायी भंडारण एक नहीं-नहीं है"।
  • पिछले छह महीनों में "दूरस्थ उपकरणों से सर्वर में जोड़ी गई हर फ़ाइल" की एक सूची
    • यह सुनिश्चित करने के लिए हो सकता है कि आप भुगतान-प्रसंस्करण सर्वर (से) में फ़ाइल स्थानांतरण को लॉग इन करें, यदि आपके पास लॉग हैं तो इसे पारित करने के लिए ठीक होना चाहिए। यदि आपके पास लॉग्स नहीं हैं, तो जांच लें कि संबंधित सुरक्षा नीतियां उस जानकारी को लॉग करने के बारे में क्या कहती हैं।
  • किसी भी SSH कुंजी की सार्वजनिक और निजी कुंजी
    • हो सकता है कि यह जांचने का प्रयास किया जाए कि 'SSH कुंजियों में पास-वाक्यांश होना चाहिए' नीति में है और इसका पालन किया जाता है। आप सभी निजी कुंजियों पर पास-वाक्यांश चाहते हैं।
  • हर बार जब कोई उपयोगकर्ता अपना पासवर्ड भेजता है, तो उसे एक ईमेल भेजा जाता है, जिसमें सादा पाठ पासवर्ड होता है
    • यह निश्चित रूप से एक नहीं-नहीं है।

मैं अपने जवाबों की तर्ज पर कुछ का जवाब देना चाहता हूं, पीसीआई-अनुपालन, SOX_compliance और आंतरिक सुरक्षा नीति दस्तावेजों की आवश्यकता के अनुसार।

Vatine
स्रोत
11

यह लोग उच्च स्वर्ग के लिए अनुरोध करते हैं, और मैं सहमत हूं कि यहां से कोई भी पत्राचार सीटीओ के माध्यम से होना चाहिए। या तो वह आपको गोपनीय सूचना जारी करने के लिए उक्त अनुरोध को पूरा करने में सक्षम नहीं होने के लिए पतन करने के लिए प्रयास कर रहा है, या मोटे तौर पर असंगत है। उम्मीद है कि आपका CTO / प्रबंधक इस लड़के के अनुरोध पर दोहरा काम करेगा और सकारात्मक कार्रवाई की जाएगी, और अगर वे इस आदमी के कार्यों के पीछे हो गए, तो ठीक है, अच्छे sys व्यवस्थापक हमेशा की तरह क्लासीफाइड की मांग में हैं ऐसा लगता है कि अगर ऐसा होता है तो किसी जगह की तलाश शुरू करने का समय आ गया है।

canadiancreed
स्रोत
11

मैं उसे बताऊंगा कि पासवर्ड के लिए क्रैकिंग इन्फ्रास्ट्रक्चर बनाने में समय, प्रयास और पैसा लगता है, लेकिन क्योंकि आप SHA256 या जैसे भी मजबूत हैशिंग का उपयोग करते हैं, 2 सप्ताह के भीतर पासवर्ड प्रदान करना संभव नहीं हो सकता है। उस के शीर्ष पर, मैं बताऊंगा कि मैंने कानूनी विभाग से संपर्क करके यह पुष्टि करने के लिए कि क्या यह डेटा किसी के साथ साझा करना वैध है। PCI DSS भी एक अच्छा विचार के रूप में उल्लेख किया था। :)

मेरे सहयोगी इस पोस्ट को पढ़कर स्तब्ध हैं।

इस्तवान
स्रोत
10

मुझे हनीपोट खातों के लिए उसे उपयोगकर्ता नाम / पासवर्ड / निजी कुंजी की एक सूची देने के लिए जोरदार प्रलोभन दिया जाएगा, अगर वह कभी इन खातों के लिए लॉगिन का परीक्षण करता है तो उसे एक कंप्यूटर सिस्टम पर अनधिकृत पहुंच के लिए करते हैं। हालाँकि, दुर्भाग्यवश यह संभवत: आपको एक कम से कम किसी तरह के नागरिक अत्याचार को फर्जी प्रतिनिधित्व बनाने के लिए उजागर करता है।

benmmurphy
स्रोत
9

बस जानकारी का खुलासा करने से इनकार करें, यह बताते हुए कि आप पासवर्ड पर पास नहीं कर सकते क्योंकि आपके पास उन तक पहुंच नहीं है। खुद एक ऑडिटर होने के नाते, उन्हें किसी संस्था का प्रतिनिधित्व करना चाहिए। ऐसी संस्थाएं आमतौर पर इस तरह के ऑडिट के लिए दिशानिर्देश प्रकाशित करती हैं। देखें कि क्या ऐसा अनुरोध उन दिशानिर्देशों के अनुरूप है। आप ऐसे संघों से भी शिकायत कर सकते हैं। ऑडिटर को यह भी स्पष्ट करें कि किसी भी गलत काम के मामले में दोष उसके पास (ऑडिटर) वापस आ सकता है क्योंकि उसके पास सभी पासवर्ड हैं।

नटवर
स्रोत
8

मैं कहूंगा कि आपके पास अनुरोधित जानकारी के साथ उसे प्रदान करने का कोई तरीका नहीं है।

  • उपयोगकर्ता नाम उन खातों में एक अंतर्दृष्टि प्रदान करते हैं जिनकी आपके सिस्टम तक पहुंच है, एक सुरक्षा जोखिम
  • पासवर्ड इतिहास पासवर्ड पैटर्न में एक अंतर्दृष्टि प्रदान करता है जो उसे चेन में अगले पासवर्ड का अनुमान लगाकर हमले के संभावित एवेन्यू देता है
  • सिस्टम में हस्तांतरित फ़ाइलें गोपनीय जानकारी हो सकती हैं जो आपके सिस्टम के खिलाफ एक हमले में इस्तेमाल की जा सकती हैं, साथ ही उन्हें आपके फ़ाइल संरचना में एक अंतर्दृष्टि दे सकती हैं।
  • सार्वजनिक और निजी कुंजी, यदि आप उन्हें इच्छित उपयोगकर्ता के अलावा किसी अन्य व्यक्ति को देने के लिए थे, तो उनके पास होने की क्या बात होगी?
  • एक उपयोगकर्ता द्वारा हर बार पासवर्ड बदलने पर भेजे गए ईमेल से उसे प्रत्येक उपयोगकर्ता खाते के लिए अद्यतित पासवर्ड मिल जाएगा।

इस आदमी को खींच रहा है आपका प्लांटर दोस्त! आपको उनकी अपमानजनक मांगों की पुष्टि करने के लिए कंपनी में उनके प्रबंधक या किसी अन्य ऑडिटर के साथ संपर्क करने की आवश्यकता है। और ASAP को हटा दें।

93196.93
स्रोत
0

समस्या अब तक हल हो गई है, लेकिन भविष्य के पाठकों के लाभ के लिए ...

उस पर विचार करना:

  • ऐसा लगता है कि आपने इस पर एक घंटे से अधिक समय बिताया है।

  • आपको कंपनी के कानूनी परामर्शदाता से परामर्श करना होगा।

  • वे आपके समझौते में फेरबदल करने के बाद बहुत काम कर रहे हैं।

  • आप पैसे और अधिक समय के लिए स्विचन करेंगे।

आपको यह समझाना चाहिए कि आपके सामने बहुत अधिक धन की आवश्यकता होगी और न्यूनतम चार घंटे का समय होगा।

पिछले कुछ समय मैंने किसी को बताया कि वे अचानक इतने जरूरतमंद नहीं थे।

आप अभी भी स्विचओवर के दौरान हुए किसी भी नुकसान के लिए और समय लगने पर उन्हें बिल दे सकते हैं, क्योंकि उन्होंने आपका समझौता बदल दिया है। मैं यह नहीं कह रहा हूं कि वे दो सप्ताह के भीतर भुगतान करेंगे, जितना उन्होंने सोचा था कि आप उस समय के भीतर अनुपालन करेंगे - वे एकतरफा होंगे, मुझे कोई संदेह नहीं है।

यदि आपके वकील के कार्यालय ने संग्रह नोटिस भेजा तो यह उन्हें खड़खड़ कर देगा। यह ऑडिटर कंपनी के मालिक का ध्यान आकर्षित करना चाहिए।

मैं उनके साथ आगे किसी भी व्यवहार के खिलाफ सलाह दूंगा, बस आगे की चर्चा के लिए आवश्यक कार्य के लिए जमा राशि जमा करनी होगी। फिर आपको उन्हें बंद बताने के लिए भुगतान किया जा सकता है।

यह अजीब है कि आपके पास प्रभाव में एक समझौता है और फिर दूसरे छोर पर कोई व्यक्ति बंद हो जाएगा - यदि यह सुरक्षा या खुफिया परीक्षण नहीं है तो यह निश्चित रूप से आपके धैर्य की परीक्षा है।

लूटना
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.