it-swarm-korea.com

우리의 보안 감사는 바보입니다. 원하는 정보를 어떻게 제공합니까?

서버의 보안 감사관은 2 주 내에 다음을 요구했습니다.

  • 모든 서버의 모든 사용자 계정에 대한 현재 사용자 이름 및 일반 텍스트 비밀번호 목록
  • 지난 6 개월 동안의 모든 비밀번호 변경 사항 목록을 일반 텍스트로 다시 표시
  • 지난 6 개월 동안 "원격 장치에서 서버에 추가 된 모든 파일"목록
  • 모든 SSH 키의 공개 및 개인 키
  • 일반 텍스트 비밀번호를 포함하여 사용자가 비밀번호를 변경할 때마다 이메일이 발송됩니다.

LDAP 인증을 사용하여 Red Hat Linux 5/6 및 CentOS 5 박스를 실행하고 있습니다.

내가 아는 한, 그 목록에있는 모든 것을 얻는 것은 불가능하거나 믿을 수 없을 정도로 어렵지만,이 정보를 제공하지 않으면 우리는 결제 플랫폼에 대한 액세스 권한을 잃고 전환 기간 동안 수익을 잃을 것입니다. 새로운 서비스. 이 정보를 해결하거나 위조하는 방법에 대한 제안 사항이 있습니까?

일반 텍스트 비밀번호를 모두 얻을 수 있다고 생각할 수있는 유일한 방법은 모든 사람이 비밀번호를 재설정하고 설정 한 내용을 기록하도록하는 것입니다. 지난 6 개월 동안의 비밀번호 변경 문제를 해결하지 못합니다. 이러한 종류의 데이터를 소급해서 기록 할 수 없기 때문에 모든 원격 파일을 기록 할 때도 마찬가지입니다.

몇 개의 사용자와 컴퓨터가 있기 때문에 모든 공개 및 개인 SSH 키를 얻는 것이 가능합니다. 이 작업을 수행하는 더 쉬운 방법을 놓치지 않았다면?

나는 그가 요구하는 것이 불가능하다는 것을 여러 번 설명했다. 저의 우려에 부응하여 다음 이메일로 답변했습니다.

보안 감사 분야에서 10 년이 넘는 경험과 Redhat 보안 방법을 완전히 이해하고 있으므로 가능한 것과 불가능한 것에 대한 사실을 확인하는 것이 좋습니다. 당신은 아무 회사도이 정보를 가질 수 없다고 말하지만이 정보를 쉽게 이용할 수있는 곳에서 수백 건의 감사를 수행했습니다. 모든 [일반 신용 카드 처리 제공 업체] 고객은 새로운 보안 정책을 준수해야하며이 감사는 해당 정책이 올바르게 구현되었는지 확인하기위한 것입니다 *.

"감사 2 주 전에"새로운 보안 정책 "이 도입되었으며 정책 변경 전에 6 개월의 기록 로깅이 필요하지 않았습니다.

요컨대 나는 필요하다.

  • 6 개월 분량의 비밀번호 변경을 "가짜"만들어 유효하게 보이게하는 방법
  • 6 개월의 인바운드 파일 전송을 "가짜"만드는 방법
  • 사용중인 모든 SSH 공개 및 개인 키를 수집하는 쉬운 방법

보안 감사에 실패하면 카드 처리 플랫폼 (시스템의 중요한 부분)에 액세스 할 수 없으며 다른 곳으로 이동하는 데 2 ​​주가 소요됩니다. 내가 얼마나 망했어?

업데이트 1 (토 23 일)

귀하의 모든 답변에 감사드립니다, 이것이 표준 관행이 아님을 알게되어 큰 도움이됩니다.

현재 상황을 설명하는 이메일 답변을 계획 중입니다. 많은 사람들이 지적했듯이 일반 텍스트 암호에 액세스 할 수있는 방법이 없어야한다고 명시 적으로 언급 한 PCI를 준수해야합니다. 이메일 작성이 끝나면 이메일을 게시하겠습니다. 불행히도 그는 단지 우리를 테스트하고 있다고 생각하지 않습니다. 이러한 것들이 현재 회사의 공식 보안 정책에 있습니다. 그러나 나는 휠을 움직이지 않고 당분간 Paypal로 움직입니다.

업데이트 2 (토 23 일)

이것은 내가 작성한 이메일입니다. 추가/제거/변경할 제안이 있습니까?

안녕하세요, [이름] 님

불행히도 우리가 요청한 정보, 주로 일반 텍스트 암호, 암호 기록, SSH 키 및 원격 파일 로그를 제공 할 방법이 없습니다. 이러한 것들은 기술적으로 불가능할뿐만 아니라이 정보를 제공 할 수있는 것은 PCI 표준에 위배되며 데이터 보호법을 위반하는 것입니다.
PCI 요구 사항을 인용하려면

8.4 강력한 암호화를 사용하여 모든 시스템 구성 요소에서 전송 및 저장하는 동안 모든 암호를 읽을 수 없도록합니다.

시스템에서 사용되는 사용자 이름 및 해시 비밀번호 목록, SSH 공개 키 및 권한이 부여 된 호스트 파일 목록을 제공 할 수 있습니다 (이것은 서버에 연결할 수있는 고유 사용자 수 및 암호화를 결정하는 데 충분한 정보를 제공합니다) 사용 된 방법), 비밀번호 보안 요구 사항 및 LDAP 서버에 대한 정보이지만이 정보는 사이트 외부로 가져 오지 않을 수 있습니다. 현재 PCI 및 데이터 보호법을 준수하면서이 감사를 통과 할 수있는 방법이 없으므로 감사 요구 사항을 검토하는 것이 좋습니다.

문안 인사,
[나를]

회사의 CTO와 계정 관리자에서 CC'ing을 할 예정이며 CTO가이 정보를 사용할 수 없음을 확인할 수 있기를 바랍니다. 또한 PCI 보안 표준위원회에 연락하여 그가 우리에게 무엇을 요구하는지 설명 할 것입니다.

업데이트 3 (26 일)

교환 한 이메일은 다음과 같습니다.

RE : 첫 번째 이메일;

설명 된대로이 정보는 잘 관리 된 시스템에서 유능한 관리자가 쉽게 사용할 수 있어야합니다. 이 정보를 제공하지 못하면 시스템의 보안 결함을 알고 있으며 공개 할 준비가되지 않았다고 생각합니다. 우리의 요청은 PCI 지침과 일치하며 둘 다 충족 될 수 있습니다. 강력한 암호화는 사용자가 암호를 입력하는 동안 암호를 암호화해야하지만 나중에 사용할 수 있도록 복구 가능한 형식으로 이동해야 함을 의미합니다.

이러한 요청에 대해서는 데이터 보호 문제가 없으며 데이터 보호는 비즈니스가 아닌 소비자에게만 적용되므로이 정보에 문제가 없어야합니다.

그냥, 난, 심지어 ...

"강력한 암호화는 사용자가 암호를 입력하는 동안 암호를 암호화해야하지만 나중에 사용할 수 있도록 복구 가능한 형식으로 이동해야 함을 의미합니다."

나는 그것을 틀에 담아 내 벽에 놓을 것입니다.

나는 외교적 상태에 빠졌고 그에게 내가 얻은 반응을 보여주기 위해이 스레드로 지시했습니다.

이 정보를 제공하는 것은 PCI 지침의 여러 요구 사항과 모순됩니다. 내가 인용 한 섹션은 심지어 storage (디스크에서 데이터를 저장하는 위치를 보여줍니다)라고 말합니다. 대규모 응답을 생성 한 ServerFault.com (시스템 관리자 전문가를위한 온라인 커뮤니티)에 대한 토론을 시작했는데이 정보를 모두 제공 할 수는 없습니다. 자신을 통해 자유롭게 읽으십시오

https://serverfault.com/questions/293217/

시스템을 새 플랫폼으로 이전 한 후 다음 날 내에 귀하와 함께 계정을 해지 할 것입니다. 그러나 귀하는 이러한 요청이 얼마나 우스꽝스럽고 PCI 지침을 제대로 이행하지 않는 회사인지, 또는 이 정보를 제공 할 수 있어야합니다. 고객 중 누구도이를 준수 할 수 없으므로 보안 요구 사항을 다시 생각하는 것이 좋습니다.

(나는 실제로 그를 제목으로 바보라고 불렀지 만 언급 한 바와 같이 우리는 이미 플랫폼에서 멀어 졌으므로 실제 손실은 없습니다.)

그리고 그의 답변에서, 그는 당신 중 누구도 당신이 무슨 말을하고 있는지 전혀 모른다고 말합니다.

나는 그 답변과 원래 게시물을 통해 자세히 읽었으며 응답자는 모두 사실을 올바르게 알아야합니다. 나는이 업계에서 그 사이트에있는 어느 누구보다 오랜 시간을 보냈으며, 사용자 계정 암호 목록을 얻는 것은 매우 기본적입니다. 시스템을 보호하는 방법을 배울 때 가장 먼저해야 할 일 중 하나 여야하며, 보안 운영에 필수적입니다 섬기는 사람. 이 간단한 작업을 수행하는 기술이 실제로 부족한 경우이 정보를 복구 할 수있는 것이 소프트웨어의 기본 요구 사항이므로 서버에 PCI가 설치되어 있지 않다고 가정합니다. 보안과 같은 것을 다룰 때 어떻게 작동하는지에 대한 기본 지식이 없다면 공개 포럼에서 이러한 질문을해서는 안됩니다.

또한 본인 또는 [회사 명]을 밝히려는 시도가 성추행으로 간주되고 적절한 법적 조치가 취해질 것을 제안하고 싶습니다.

당신이 그들을 놓친 경우 주요 바보 포인트 :

  • 그는 여기에 다른 사람보다 더 오래 보안 감사를 받았습니다 (그는 추측하거나 스토킹 중입니다)
  • UNIX 시스템에서 비밀번호 목록을 얻을 수있는 것은 '기본'입니다
  • PCI는 이제 소프트웨어입니다
  • 보안이 확실하지 않은 경우 포럼을 사용해서는 안됩니다.
  • 온라인상에서 사실적인 정보 (이메일 증거가있는)를 제시하는 것은 libel입니다

우수한.

PCI SSC는 그와 회사에 응답하고 조사하고 있습니다. 우리의 소프트웨어는 이제 Paypal로 옮겨져 안전하다는 것을 알게되었습니다. PCI가 나에게 다시 돌아 오기를 기다릴 것이지만, 내부적으로 이러한 보안 관행을 사용하고 있을지도 모른다는 걱정이 조금 듭니다. 그렇다면 모든 카드 처리 과정에서 문제가 해결 될 것으로 생각됩니다. 그들이 내부적으로이 일을하고 있다면 고객에게 알리는 것이 유일한 책임이라고 생각합니다.

PCI가 회사와 시스템 전체를 조사하는 것이 얼마나 나쁜지 깨달았지만 확실하지 않습니다.

이제 우리는 그들의 플랫폼에서 멀어졌으며 PCI가 나에게 돌아 오기까지 며칠이 걸릴 것이라고 가정하면, 그를 약간 트롤하는 방법에 대한 독창적 인 제안이 있습니까? =)

법정 담당자로부터 허가를 받으면 (이 중 실제로는 명예 훼손이지만 이중 확인을 원했습니다) 회사 이름, 그의 이름 및 이메일을 게시하고 원하는 경우 연락하여 설명 할 수 있습니다. 모든 LDAP 사용자 비밀번호 목록을 얻는 방법과 같은 Linux 보안의 기본 사항을 이해하지 못하는 이유.

작은 업데이트 :

저의 "법률 담당자"는 회사가 필요 이상으로 더 많은 문제를 야기 할 것이라고 밝혔습니다. 나는 이것이 주요 공급자가 아니며이 서비스를 사용하는 클라이언트가 100 명 미만이라고 말할 수 있습니다. 우리는 원래 사이트가 작고 약간의 VPS에서 실행되었을 때 사용하기 시작했으며 PCI를 얻는 데 많은 노력을 기울이고 싶지 않았습니다 (Paypal Standard와 같은 프론트 엔드로 리디렉션하는 데 사용). 그러나 PCI 처리 및 상식을 포함하여 직접 처리 카드로 옮길 때 개발자는 동일한 회사를 다른 API로 계속 사용하기로 결정했습니다. 이 회사는 영국 버밍엄 지역을 기반으로하므로 여기에있는 사람이 영향을 받을지 의심됩니다.

2352
Smudge

첫째, 함정하지 마십시오. 그는 바보 일뿐만 아니라 위험합니다. 실제로,이 정보를 공개하면 PCI 표준 (결제 처리기이므로 감사를 가정 한 것임)을 위반합니다 . 다른 표준과 평범한 상식. 또한 회사를 모든 종류의 부채에 노출시킬 수 있습니다.

다음으로해야 할 일은 상사에게이 조치를 진행하여 회사가 직면 할 법적 노출을 결정하기 위해 회사 변호사를 참여시켜야한다는 이메일을 보내는 것입니다.

이 마지막 비트는 당신에게 달려 있지만 [~ # ~] i [~ # ~] 이 정보로 VISA에 연락하여 PCI 감사 자 상태를 얻습니다. 뽑아.

1239
Zypher

분류 된 정부 계약에 대해 Price Waterhouse Coopers 로 감사 절차를 겪은 사람으로서, 저는 이것이 완전히 의문의 여지가없고이 사람은 미쳤다고 확신 할 수 있습니다.

PwC는 비밀번호 강도를 확인하려고했을 때

  • 비밀번호 안전성 알고리즘을 확인하도록 요청했습니다.
  • 우리의 알고리즘에 대해 테스트 장치를 실행하여 잘못된 암호를 거부하는지 확인하십시오.
  • 시스템의 모든 측면에 대한 전체 액세스 권한이있는 사람이라도 암호화 알고리즘을 되돌 리거나 암호화 할 수 없도록하기 위해 암호화 알고리즘을 확인하도록 요청했습니다.
  • 이전 비밀번호를 다시 사용할 수 없도록 캐시했는지 확인했습니다.
  • 비 사회적 엔지니어링 기술 (xss 및 0 일이 아닌 악용 등)을 사용하여 네트워크 및 관련 시스템에 침입 할 수있는 권한 (권한 부여)을 요청했습니다.

지난 6 개월 동안 사용자 암호가 무엇인지 보여줄 수 있다고 암시했다면 그들은 즉시 계약을 종료했을 것입니다.

이러한 요구 사항을 제공하는 것이 가능하면 가능한 경우 , 매번 실패 할 것입니다 가치있는 단일 감사.


업데이트 : 응답 이메일이 좋아 보입니다. 내가 쓴 것보다 훨씬 전문적입니다.

858
Mark Henderson

솔직히 말해서,이 사람 (감사 인)이 당신을 설정하는 것처럼 들립니다. 그가 요청한 정보를 제공하면 중요한 내부 정보를 포기하도록 사회 공학을 할 수 있다는 것이 입증되었습니다. 불합격.

463
anastrophe

방금 당신이 영국에 있다는 것을 발견했습니다. 즉, 그가 요구 한 것은 법을 위반하는 것입니다 (실제로 데이터 보호법). 저도 영국에 있습니다. 감사가 많은 대기업에서 일하면서이 지역의 법률과 관행을 알고 있습니다. 나는 또한 당신이 단지 그것의 재미를 좋아한다면, 당신을 위해이 사람을 행복하게 억제 할 수있는 매우 불쾌한 일입니다. 괜찮은 도움이 필요하면 알려주십시오.

349
Chopper3

당신은 사회적으로 설계되고 있습니다. 매우 유용한 데이터를 얻기 위해 감사인으로 위장한 해커 또는 '해킹 테스트'중 하나입니다.

289
Mr Tired

OP에 윤리적 문제 해결 기술이 부족한 것에 대해 심각하게 우려하고 있습니다. and 서버 결함 커뮤니티는 이러한 명백한 윤리적 위반 행위를 무시합니다.

요컨대 나는 필요하다.

  • 6 개월 분량의 비밀번호 변경을 '가짜'만들어 유효한 것으로 만드는 방법
  • 6 개월의 인바운드 파일 전송을 '가짜'만드는 방법

두 가지 요점을 명확히하겠습니다.

  1. 정상적인 비즈니스 과정에서 데이터를 위조하는 것은 결코 적절하지 않습니다.
  2. 이러한 정보를 다른 사람에게 공개해서는 안됩니다. 이제까지.

기록을 위조하는 것은 당신의 일이 아닙니다. 필요한 모든 기록이 사용 가능하고 정확하며 안전하도록하는 것이 귀하의 임무입니다.

여기에서 서버 결함 must 커뮤니티는 이러한 종류의 질문을 스택 오버 플로우 사이트가 "숙제"질문으로 취급하므로 이러한 유형의 질문을 처리합니다. 기술적 대응만으로는 이러한 문제를 해결하거나 윤리적 책임 위반을 무시할 수 없습니다.

이 스레드에서 많은 응답이 많은 사용자가 답장을 보았을 때 질문의 윤리적 의미에 대한 언급은 나를 슬프게합니다.

모든 사람이 SAGE 시스템 관리자 윤리 강령 .]을 읽어 보시기 바랍니다.

BTW, 보안 감사원은 바보이지만, 업무에 비 윤리적이라는 압력을 느끼지 않아도되는 것은 아닙니다.

편집 : 업데이트 비용이 없습니다. 머리를 아래로 향하게하고 가루를 말리고 나무로 된 니켈을 섭취하지 마십시오.

286
Joseph Kern

당신이 원하는 것을 그에게 줄 수 없으며, "가짜"를 시도하면 엉덩이로 당신을 물게 될 것입니다 (아마도 법적인 방법으로). 사령부 체인에 이의를 제기해야합니다 (보안 감사가 악명 높음에도 불구하고이 감사자가 악의적 일 수 있습니다. SMB를 통해 AS/400에 액세스 할 수있는 감사 자에 대해 문의하십시오). 이 거대한 요구 사항 아래에서.

보안 성이 뛰어나지 않습니다. 모든 일반 텍스트 암호 목록은 보호하는 데 사용되는 방법에 관계없이 믿을 수 없을만큼 위험한 것입니다 ever 생성합니다. 이 녀석은 일반 텍스트로 전자 메일을 보내길 원할 것입니다. (나는 당신이 이것을 이미 알고 있다고 확신한다. 나는 단지 약간 통풍을해야한다).

똥과 낄낄 거림에 대해서는 요구 사항을 수행하는 방법을 직접 물어보십시오. 방법을 모르고 자신의 경험을 활용하고 싶습니다. 나가고 나면 "보안 감사에 10 년이 넘는 경험이 있습니다"라는 대답은 "아니오, 수백 번 반복 한 5 분의 경험이 있습니다"입니다.

246
womble

현재 해결 된 역사적 문제가 발견되면 감사자가 실패하지 않아야합니다. 사실, 그것은 좋은 행동의 증거입니다. 이를 염두에두고 두 가지를 제안합니다.

a) 거짓말을하거나 물건을 만들지 마십시오. b) 정책을 읽으십시오.

나를위한 핵심 내용은 다음과 같습니다.

모든 [일반 신용 카드 처리 제공 업체] 고객은 새로운 보안 정책을 준수해야합니다.

이 정책에는 암호를 적을 수 없으며 사용자 이외의 다른 사람에게 전달할 수 없다는 내용의 진술이 있습니다. 있는 경우 해당 정책을 그의 요청에 적용하십시오. 다음과 같이 처리하는 것이 좋습니다.

  • 모든 서버의 모든 사용자 계정에 대한 현재 사용자 이름 및 일반 텍스트 비밀번호 목록

그에게 사용자 이름 목록을 보여주십시오. 일반 텍스트 암호를 제공하는 것은 a) 단방향이므로 불가능하며 b) 그가 당신을 감사하는 정책에 위배되므로 귀하는 복종하지 않을 것이라고 설명하십시오.

  • 지난 6 개월 동안의 모든 비밀번호 변경 사항 목록을 일반 텍스트로 다시 표시

이것이 역사적으로 가능하지 않았다고 설명한다. 최근 암호 변경 시간 목록을 제공하여 현재 수행 중임을 보여줍니다. 위와 같이 암호는 제공되지 않습니다.

  • 지난 6 개월 동안 "원격 장치에서 서버에 추가 된 모든 파일"목록

무엇이 기록되고 있지 않은지 설명하십시오. 할 수있는 것을 제공하십시오. 기밀 정보를 제공하지 말고 정책에 따라 이유를 설명하십시오. 로깅을 개선해야하는지 물어보십시오.

  • 모든 SSH 키의 공개 및 개인 키

주요 관리 정책을보십시오. 개인 키는 컨테이너에서 허용되지 않으며 엄격한 액세스 조건이 있어야합니다. 해당 정책을 적용하고 액세스를 허용하지 마십시오. 공개 키는 행복하게 공개되며 공유 할 수 있습니다.

  • 일반 텍스트 비밀번호를 포함하여 사용자가 비밀번호를 변경할 때마다 이메일이 발송됩니다.

그냥 아니라고 말해. 로컬 보안 로그 서버가있는 경우이 서버가 현장에서 로그되고 있는지 확인할 수 있습니다.

기본적으로, 나는 이것을 유감스럽게 생각하지만, 당신은이 남자와 하드볼을해야합니다. 당신의 정책을 정확하게 따르십시오. 거짓말을하지 않는다. 그리고 그가 정책에 맞지 않는 어떤 것에 대해 당신을 실패한다면, 그를 보낸 회사의 선배들에게 불평하십시오. 당신이 합리적 이었다는 것을 증명하기 위해이 모든 것의 종이 흔적을 모으십시오. 당신이 당신의 정책을 위반하면 그의 자비에 있습니다. 당신이 편지를 따라 가면, 그는 약탈 당할 것입니다.

187
Jimmy

예, 감사자는 is 바보입니다. 그러나 아시다시피 때때로 바보는 권력의 위치에 배치됩니다. 이것은 그러한 경우 중 하나입니다.

그가 요청한 정보는 시스템의 현재 보안과 관련된 zero를 갖습니다. 인증 자에게 LDAP를 사용하고 있으며 암호는 단방향 해시를 사용하여 저장되어 있다고 감사 자에게 설명하십시오. 암호 해시에 대해 무차별 대입 스크립트를 사용하지 않으면 (몇 주 또는 몇 년이 걸릴 수 있음) 암호를 제공 할 수 없습니다.

마찬가지로 원격 파일-서버에서 직접 만든 파일과 서버에 SCP로 저장된 파일을 구별 할 수 있어야한다고 생각합니다.

@womble이 말했듯이 아무것도 속이지 마십시오. 그것은 좋지 않습니다. 이 감사를 버리고 다른 중개인에게 벌금을 부과하거나,이 "전문가"에게 그의 치즈가 크래커에서 미끄러 져 나갔음을 확신시키는 방법을 찾으십시오.

143
EEAA

귀하의 "보안 감사관"에게 이 문서들 중 어느 것이라도 자신의 요구 사항을 가지고 있고, 변명을하기 위해 노력하고 결국 다시는들을 수없는 변명을하는 것을 지켜 보는 텍스트를 가리키게하십시오.

91
ablackhat

WTF! 미안하지만 이것에 대한 나의 유일한 반응입니다. 필자가 들어 본 암호 요구 사항을 변경하지 않으면 서 일반 텍스트 암호를 요구하는 감사 요구 사항은 없습니다.

첫째, 당신이 그 요구 사항을 보여달라고 부탁하십시오.

둘째, PCI에 대한 것이라면 (결제 시스템 질문이므로 우리 모두가 가정합니다) https://www.pcisecuritystandards.org/approved_companies_providers/qsa_companies.php 새로운 감사원을 받으십시오.

셋째, 위에서 말한 내용을 따르고 경영진에게 연락하여 함께 작업중인 QSA 회사에 연락하십시오. 그런 다음 즉시 다른 감사원을 확보하십시오.

감사자는 시스템 상태, 표준, 프로세스 등을 감사합니다. 시스템에 액세스 할 수있는 정보가 필요하지 않습니다.

감사원과 긴밀히 협력하는 추천 감사원 또는 대체 콜로를 원할 경우 저에게 연락하시면 기꺼이 참조 해 드리겠습니다.

행운을 빕니다! 당신의 직감을 신뢰하십시오.

77
dmz006

암호를 알고 개인 키에 액세스 할 수있는 합당한 이유는 없습니다. 그가 요청한 것은 고객을 언제라도 가장 할 수 있으며 사기성 거래로 감지 ​​할 수있는 방법없이 원하는만큼 많은 금액을 지불 할 수 있습니다. 그가 감사해야 할 보안 위협의 유형일 것입니다.

69
Franci Penov

감사가 보안 정책을 위반하고 요청이 불법임을 경영진에게 알립니다. 그들은 현재 감사 회사를 버리고 합법적 인 회사를 찾을 것을 제안합니다. 영국에 불법 정보를 요청하기 위해 경찰에 전화하여 감사관을 제출하십시오. 그런 다음 PCI를 호출하고 요청을 위해 감사자를 켜십시오.

요청은 무작위로 누군가를 살해하고 몸을 넘겨달라고 요청하는 것과 유사합니다. 그렇게 하시겠습니까? 아니면 경찰에 전화해서 돌려 줄래?

64
oii

법정으로 응답하십시오. 감사자가 일반 텍스트 비밀번호를 요청하는 경우 (지금 출시 될 경우 약한 비밀번호 해시를 무차별 처리하거나 크랙하기가 어렵지 않음) 자격 증명에 대해 사용자에게 거짓말했을 것입니다.

62
postmodern

당신이 당신의 응답을 어떻게 말하고 있는지에 관한 팁 :

불행히도 우리가 요청한 정보, 주로 일반 텍스트 암호, 암호 기록, SSH 키 및 원격 파일 로그를 제공 할 방법이 없습니다. 기술적으로 불가능할뿐 아니라 ...

기술적 타당성에 대한 논의를 피하기 위해 이것을 다시 말하고 싶습니다. 감사자가 보낸 끔찍한 초기 전자 메일을 읽으면 이것이 주요 문제와 관련이없는 세부 정보를 선택할 수있는 사람처럼 보이며 could 암호를 저장한다고 주장 할 수 있습니다 , 로그인 로그인 등을 말합니다.

... 엄격한 보안 정책으로 인해 비밀번호를 일반 텍스트로 기록한 적이 없습니다. 따라서이 데이터를 제공하는 것은 기술적으로 불가능합니다.

또는

... 귀하의 요청에 따라 내부 보안 수준을 크게 낮추고있을뿐만 아니라 ...

행운을 빕니다.

56
user60129

이 질문에 대해 답이 많은 사용자의 러쉬를 계속할 위험에 처한 나의 생각은 다음과 같습니다.

왜 그가 일반 텍스트 암호를 원하는지 모호하게 알 수 있는데, 이것이 사용중인 암호의 품질을 판단하는 것입니다. 내가 아는 대부분의 감사인은 암호화 된 해시를 수락하고 크래커를 실행하여 어떤 종류의 저 과일을 뽑을 수 있는지 알 수 있습니다. 모든 직원은 암호 복잡성 정책을 검토하고이를 시행하기위한 보호 조치를 검토합니다.

그러나 일부 비밀번호를 제공해야합니다. 나는 당신이 평문 암호 전달의 목표가 무엇인지 묻는 것을 제안합니다 (당신이 이미 이것을했을 것이라고 생각합니다). 그는 규정 준수와 보안 정책의 유효성을 검사하는 것이기 때문에 해당 정책을 제공 할 것이라고 말했습니다. 비밀번호 복잡성 체계가 사용자가 비밀번호를 [email protected] 문제의 6 개월 동안있었습니다.

그가 암호를 입력하면 일반 텍스트 암호를 기록하도록 설정하지 않았기 때문에 (일반 보안이 실패한 경우) 일반 텍스트 암호를 제공 할 수 없지만 필요한 경우 나중에 암호를 입력 할 수 있음을 인정해야 할 수도 있습니다. 비밀번호 정책이 작동하는지 직접 확인 그리고 그가 그것을 증명하고 싶다면, 당신은 기꺼이 암호 해독 데이터베이스를 제공 할 것입니다 (또는 당신! 기꺼이 보여주세요! 도움이됩니다!).

SFTP 세션의 SSH 로그에서 "원격 파일"을 뽑을 수 있습니다. 6 개월 분량의 syslogging이 없으면 생성하기가 어렵습니다. wget을 사용하여 SSH를 통해 로그인 한 상태에서 원격 서버에서 파일을 가져 오는 것이 '원격 파일 전송'으로 간주됩니까? HTTP PUT입니까? 원격 사용자의 터미널 창에 클립 보드 텍스트로 작성된 파일? 어쨌든, 당신은이 Edge 케이스로 그를 괴롭 히고이 분야에 대한 그의 관심사에 대해 더 나은 느낌을 얻고 아마도 "당신보다 이것에 대해 더 많이 알고 있습니다"라는 느낌과 그가 생각하고있는 특정 기술을 강요 할 수 있습니다. 그런 다음 백업에서 로그 및 아카이브 된 로그에서 가능한 것을 추출하십시오.

SSH 키에는 아무것도 없습니다. 내가 생각할 수있는 유일한 것은 그가 어떤 이유로 암호가없는 키를 확인하고 아마 암호 강도입니다. 그렇지 않으면 아무것도 없습니다.

그 열쇠를 얻는 것에 관해서는, 적어도 공개 열쇠를 수확하는 것은 충분히 쉽습니다. .ssh 폴더를 찾아서 찾으십시오. 개인 키를 얻으려면 BOFH 모자를 기증하고 사용자에게 "공개 및 개인 SSH 키 쌍을 보내십시오. 내가받지 못한 것은 13 일 후에 서버에서 제거됩니다." 누군가가 보안 감사에 스 쿼크하면 (나는) 것입니다. 스크립팅은 당신의 친구입니다. 최소한 암호가 필요없는 키 쌍이 암호를 얻습니다.

그래도 "전자 메일의 일반 텍스트 암호"를 고집하는 경우에는 해당 전자 메일을 자신의 키로 GPG/PGP 암호화해야합니다. 그의 염가 가치가있는 보안 감사관은 그와 같은 것을 처리 할 수 ​​있어야합니다. 그렇게하면 암호가 유출되면 그가 아닌 사람이 나왔기 때문입니다. 또 다른 리트머스 능력 테스트.


나는 이것에 대해 Zypher와 Womble에 동의해야합니다. 위험한 결과를 초래하는 위험한 바보.

39
sysadmin1138

그는 아마도 당신이 보안 위험인지 확인하기 위해 당신을 테스트하고있을 것입니다. 당신이 그에게 세부 사항을 제공하면 아마 즉시 해산됩니다. 이것을 직속 상사에게 가져 가서 벅을 전달하십시오. 이 엉덩이가 다시 가까운 곳에 있으면 관련 당국이 참여할 것임을 상사에게 알리십시오.

그것이 상사에게 지불되는 것입니다.

택시, 택시 뒤에는 암호, SSH 키 및 사용자 이름 목록이있는 종이가 있습니다. 흠! 지금 신문 헤드 라인을 볼 수 있습니다!

업데이트

아래 두 의견에 대한 답변으로 두 가지 모두 좋은 지적이 있다고 생각합니다. 실제로 진실을 알 수있는 방법은 없으며, 질문이 게시 된 사실은 포스터 부분에 약간의 순진함을 보여줄뿐만 아니라 다른 사람들이 자신의 머리를 찌르는 잠재적 인 경력 결과로 불리한 상황에 직면 할 용기를 보여줍니다. 모래와 도망.

가치있는 것에 대한 나의 결론은 이것이 대부분의 독자들에게 감사 자나 감사 자 정책이 유능한 지 여부에 관계없이이 상황에서 그들이 무엇을할지 궁금해하는 완전히 흥미로운 토론이라는 결론이다. 대부분의 사람들은 직장 생활에서 어떤 형태 나 형태로 이런 종류의 딜레마에 직면하게 될 것입니다. 이것은 실제로 한 사람의 어깨에 닿아 야 할 책임이 아닙니다. 이것을 다루는 방법에 대한 개인적인 결정보다는 비즈니스 결정입니다.

32
jamesc

여기에 좋은 정보가 많이 있지만 분명히 2c를 추가 할 수 있습니다. 저의 고용주가 전 세계적으로 판매하는 소프트웨어를 대기업에 쓰는 사람은 주로 사람들이 계정 관리 보안 정책을 준수하고 감사를 통과하도록 지원합니다. 그만한 가치가 있습니다.

첫째, 이것은 당신 (그리고 다른 사람들)이 지적했듯이 매우 의심스러운 것 같습니다. 감사인이 이해하지 못하거나 (가능할 수있는) 절차를 따르거나 사회 공학 (추적 교환 후 가능성이 거의 없음), 또는 사기 사회 공학 (가능한 경우) 또는 일반 바보 (아마도) 가장 가능성이 높습니다). 조언이있는 한, 나는 당신이 당신의 경영진에게 말하고 그리고/또는 새로운 감사 회사를 찾고, 그리고/또는 이것을 적절한 감독 기관에보고하도록 제안합니다.

메모와 관련하여 몇 가지 사항 :

  • 시스템이 허용하도록 설정된 경우 요청한 정보를 제공하는 것은 가능한 (특정 조건 하에서)입니다. 그러나 어떤 식 으로든 보안을위한 "모범 사례"는 아니며 전혀 일반적인 것이 아닙니다.
  • 일반적으로 감사는 실제 보안 정보를 조사하지 않고 검증 관행과 관련이 있습니다. 나는 "양호한"보안을 유지하기 위해 사용 된 방법보다는 실제 일반 텍스트 암호 나 인증서를 요구하는 사람이 매우 의심 스럽다.

다른 사람들이 조언 한 내용을 되풀이하는 경우에도 도움이되기를 바랍니다. 당신처럼, 나는 내 회사 이름을 밝히지 않을 것입니다. 나는 그들을 위해 말하지 않기 때문에 (개인 계정/의견 및 기타); 그것이 신뢰성을 떨어 뜨린다면 사과하지만, 그렇게하십시오. 행운을 빕니다.

31
Nick

이것은 IT Security-Stack Exchange 에 게시 될 수 있으며 게시되어야합니다.

보안 감사 전문가는 아니지만 보안 정책에 대해 처음 알게 된 것은 "NEVER GIVE PASSWORDS AWAY". 이 녀석은 10 년 동안이 사업에 종사해 왔지만 Womble과 마찬가지로 "no, you have 5 minutes of experience repeated hundreds of times"

나는 한동안 은행 IT 직원들과 일해 왔는데, 당신이 게시 한 것을 보았을 때 나는 그것을 보여주었습니다 ... 그들은 너무 웃고있었습니다. 그들은 사람이 사기처럼 보인다고 말했습니다. 그들은 은행 고객의 보안을 위해 이런 종류의 일을 처리했습니다.

명확한 비밀번호, SSH 키, 비밀번호 로그를 요구하는 것은 분명히 심각한 전문 위법 행위입니다. 이 사람은 위험 해.

지금은 모든 것이 잘 되었기를 바랍니다. 이전 거래 내역을 기록 할 수 있다는 사실에 아무런 문제가 없기를 바랍니다.

26

포인트 1,2,4 및 5에서 요청한 정보 (공개 키 제외)를 제공 할 수 있으면 감사에 실패해야합니다.

보안 정책에 따라 일반 텍스트 비밀번호를 유지하지 않아야하고 비가역 알고리즘을 사용하여 비밀번호를 암호화해야하므로 1, 2 및 5 지점에 공식적으로 응답합니다. 다시 4를 지적하면 개인 키는 보안 정책을 위반하므로 개인 키를 제공 할 수 없습니다.

포인트 3. 데이터가 있다면 제공하십시오. 당신이 그것을 모을 필요가 없었기 때문에 그렇지 않다면 그렇게 말하고 새로운 요구 사항을 충족시키는 방법을 보여주십시오.

20
user9517

우리 서버의 보안 감사관은 다음을 요구했습니다 2 주 이내 :

...

보안 감사에 실패하면 카드 처리 플랫폼 (시스템의 중요한 부분)에 대한 액세스가 느슨해지며 다른 곳으로 이동하려면 2 주가 소요됩니다. 내가 얼마나 망했어?

자신의 질문에 답한 것처럼 보입니다. 힌트를 보려면 굵게 표시된 텍스트를 참조하십시오.

단 하나의 해결책 만 생각하면됩니다. 모든 사람이 마지막 암호와 현재 암호를 기록한 다음 즉시 새 암호로 변경하십시오. 비밀번호 품질 (및 비밀번호에서 비밀번호로의 전환 품질을 테스트하려는 경우 (예 : rfvujn125 및 다음 rfvujn126을 다음 비밀번호로 사용하지 않도록) 이전 비밀번호로 충분해야합니다.

만약 그것이 받아 들여지지 않는다면, 그 남자가 Anonymous/LulzSec의 멤버라고 생각합니다. 그 시점에서 당신은 그의 핸들이 무엇인지 물어보고 그런 스크럽이 그만두라고 말해줘야합니다!

19
Michael

Oli가 말했듯이 : 문제의 사람이 법률 (데이터 보호/EU 기밀성 지침)/내부 규정/PCI 표준을 위반하도록 노력하고 있습니다. 이미 생각한대로 경영진에게 알려야 할뿐만 아니라 제안 된대로 경찰에 신고 할 수도 있습니다.

문제의 사람이 일종의 인증/인증을 보유한 경우 (예 : CISA (Certified Information Systems Auditor) 또는 영국의 미국 CPA (공공 회계사 지정)에 대해서도 인증 기관에이를 조사하도록 알릴 수 있습니다. 그 사람이 당신이 법을 어기도록 노력할뿐만 아니라 극도로 무능한 "감사"일뿐 아니라 인증 된 감사관이 인증 상실의 고통을 감수해야하는 모든 윤리 감사 기준에 위배 될 수 있습니다.

또한 문제의 사람이 더 큰 회사의 구성원 인 경우, 앞서 언급 한 감사 조직은 종종 감사 및 감사 제출을 감독하고 불만을 조사하는 QA 부서를 요구합니다. 따라서 해당 감사 회사에 불만을 제기 할 수도 있습니다.

18
reiniero

나는 아직도 공부하고 있으며 서버를 설정할 때 가장 먼저 배운 것은 평문 암호를 기록 할 수있게되면 이미 큰 위반에 대해 위험에 처한다는 것입니다. 비밀번호를 사용하는 사용자를 제외하고는 비밀번호를 알 수 없습니다.

이 사람이 심각한 감사인이라면 이런 것들을 묻지 말아야합니다. 나에게 그는 일종의 misfeasor 같은 소리를냅니다. 이 녀석은 완전한 바보처럼 들리기 때문에 조절 기관에 문의하십시오.

업데이트

잠깐 그는 암호를 전송하기 위해 대칭 암호화를 사용해야하지만 데이터베이스에 일반 텍스트를 저장하거나 암호를 해독 할 수있는 방법을 제공해야한다고 생각합니다. 따라서 기본적으로 데이터베이스에 대한 모든 익명 공격이 일반 텍스트 사용자 암호를 표시 한 후에도 이것이 환경을 "보안"하는 좋은 방법이라고 생각합니다.

그는 1960 년대에 갇힌 공룡입니다.

18
Lucas Kauffman
  • 모든 서버의 모든 사용자 계정에 대한 현재 사용자 이름 및 일반 텍스트 비밀번호 목록
    • 현재 사용자 이름은 "우리는 이것을 릴리스 할 수 있습니다"의 범위 내에있을 수 있으며 "우리는 이것을 보여줄 수 있지만 오프 사이트로 가져갈 수는 없습니다"범위 내에 있어야합니다.
    • 일반 텍스트 암호는 단방향 해시보다 오래 지속되어서는 안되며 절대로 메모리를 떠나지 않아야합니다 (전선을 가로 지르지 않아도 됨). 영구 저장소에 존재하는 것은 결코 아닙니다.
  • 지난 6 개월 동안의 모든 암호 변경 사항 목록을 일반 텍스트 로 다시 표시합니다.
    • "영구 저장 공간은 없습니다"를 참조하십시오.
  • 지난 6 개월 동안 "원격 장치에서 서버에 추가 된 모든 파일"목록
    • 이는 지불 처리 서버와의 파일 전송을 기록하기 위해 필요할 수 있습니다. 로그가 있으면 전달해도됩니다. 로그가없는 경우 해당 정보 로깅에 대한 관련 보안 정책의 내용을 확인하십시오.
  • SSH 키의 공개 및 개인 키
    • 정책에 'SSH 키에 암호가 있어야합니다'를 확인하려는 시도가있을 수 있습니다. 모든 개인 키에 암호 문구를 원합니다.
  • 일반 텍스트 비밀번호 를 포함하여 사용자가 비밀번호를 변경할 때마다 이메일이 전송됩니다.
    • 이것은 가장 확실한 것입니다.

필요에 따라 PCI 준수, SOX_compliance 및 내부 보안 정책 문서가 뒷받침하는 답변에 따라 답변을 드리겠습니다.

14
Vatine

암호에 대한 크래킹 인프라를 구축하는 데 시간과 노력이 필요하지만 SHA256과 같은 강력한 해싱을 사용하기 때문에 2 주 내에 암호를 제공하지 못할 수도 있습니다. 또한 법무 부서에 연락하여이 데이터를 다른 사람과 공유하는 것이 합법적인지 확인했습니다. PCI DSS 또한 언급했듯이 좋은 생각입니다. :)

이 게시물을 읽으면 동료들이 충격을받습니다.

12
Istvan

이 사람들은 높은 하늘에 악취를 요청하고 여기에서 나오는 모든 통신문이 CTO를 통과해야한다는 데 동의합니다. 그는 해당 요청을 충족시키지 못하거나 기밀 정보를 공개하지 않았거나 심하게 무능한 사람으로 추락 한 사람으로 만들려고합니다. 잘하면 CTO/관리자 가이 녀석 요청에 대해 이중 조치를 취하고 긍정적 인 조치가 취해질 것입니다. ti는 그것이 일어날 경우 어떤 곳을 찾기 시작할 때인 것 같습니다.

12
canadiancreed

허니팟 계정의 사용자 이름/암호/개인 키 목록을 제공하고 싶은 경우가 있습니다. 그런 다음이 계정에 대한 로그인을 테스트 한 경우 컴퓨터 시스템에 대한 무단 액세스를 허용합니다. 불행히도 이것은 아마도 사기성 표현을 위해 최소한 일종의 민사 불법 행위에 노출 될 수 있습니다.

11
benmmurphy

비밀번호에 액세스 할 수 없으므로 비밀번호를 전달할 수 없다는 내용의 정보 공개를 거부하십시오. 감사인으로서 그는 일부 기관을 대표해야합니다. 이러한 기관은 일반적으로 그러한 감사에 대한 지침을 게시합니다. 그러한 요청이 해당 지침을 따르는 지 확인하십시오. 그러한 협회에 불만을 제기 할 수도 있습니다. 또한 모든 잘못을 범했을 때 그 책임이 그에게 돌아갈 수 있음을 감사인에게 분명히하십시오.

10
Natwar

요청한 정보를 제공 할 수있는 방법이 없습니다.

  • 사용자 이름은 시스템에 액세스 할 수있는 계정에 대한 통찰력을 제공합니다. 보안 위험
  • 암호 기록은 체인의 다음 암호를 추측하여 공격 가능성을 제공하는 데 사용되는 암호 패턴에 대한 통찰력을 제공합니다.
  • 시스템으로 전송 된 파일에는 시스템 공격에 사용될 수있는 기밀 정보가 포함되어있을뿐만 아니라 파일 시스템 구조에 대한 통찰력이 제공 될 수 있습니다
  • 공개 키와 개인 키, 의도 한 사용자가 아닌 다른 사람에게 키를 제공 할 경우 그 키를 어떻게 생각할 수 있습니까?
  • 사용자가 비밀번호를 변경할 때마다 전송되는 이메일은 모든 사용자 계정에 대한 최신 비밀번호를 제공합니다.

이 남자가 당신의 친구를 잡아 당기고 있습니다! 그의 까다로운 요구를 확인하려면 관리자 또는 회사의 다른 감사인과 연락해야합니다. 최대한 빨리 이동하십시오.

9
93196.93

지금까지 문제가 해결되었지만 미래 독자의 이익을 위해 ...

고려해 보면:

  • 이것에 1 시간 이상을 보낸 것 같습니다.

  • 회사의 법률 고문과 상담해야합니다.

  • 계약을 변경 한 후 많은 작업을 요구하고 있습니다.

  • 당신은 돈과 시간이 더 이상 전환됩니다.

미리 많은 돈이 필요하고 최소 4 시간이 필요하다는 것을 설명해야합니다.

지난 몇 번, 나는 누군가에게 갑자기 그렇게별로 필요하지 않다고 말했습니다.

계약 변경으로 인해 전환 및 발생한 시간 동안 발생한 손실에 대해 청구 할 수 있습니다. 나는 그들이 당신이 그 시간 안에 준수 할 것이라고 생각했던 것처럼 2 주 안에 돈을 지불 할 것이라고 말하지 않습니다. 그들은 일방적 일 것입니다.

변호사 사무실에서 수금 통지를 보내면 딸랑이 소리가납니다. 감사 회사의 소유자의 관심을 끌 것입니다.

나는 그 문제에 대해 더 논의하기 위해 필요한 일에 대한 예치금을 수반 할 것입니다. 그럼 당신은 그들에게 알리는 대가를 지불받을 수 있습니다.

계약이 유효하고 다른 쪽 사람이 Rails)을 벗어나는 것이 이상합니다. 보안이나 지능 테스트가 아니라면 인내심을 테스트하는 것입니다.

1
Rob