2498 votes

Notre auditeur de sécurité est un idiot. Comment lui donner les informations qu'il veut ?

Un auditeur de sécurité pour nos serveurs a exigé ce qui suit dans les deux semaines :

  • Une liste des noms d'utilisateur et des mots de passe en clair actuels pour tous les comptes d'utilisateur sur tous les serveurs.
  • Une liste de tous les changements de mot de passe au cours des six derniers mois, toujours en clair.
  • Une liste de "tous les fichiers ajoutés au serveur à partir de périphériques distants" au cours des six derniers mois.
  • Les clés publiques et privées de toute clé SSH
  • Un courriel envoyé à chaque fois qu'un utilisateur change son mot de passe, contenant le mot de passe en texte clair.

Nous utilisons des boîtes Red Hat Linux 5/6 et CentOS 5 avec une authentification LDAP.

Pour autant que je sache, tout ce qui figure sur cette liste est soit impossible, soit incroyablement difficile à obtenir, mais si je ne fournis pas ces informations, nous risquons de perdre l'accès à notre plateforme de paiement et de perdre des revenus pendant une période de transition vers un nouveau service. Avez-vous des suggestions sur la façon dont je peux résoudre ou falsifier ces informations ?

Le seul moyen auquel je pense pour obtenir tous les mots de passe en texte clair est de demander à chacun de réinitialiser son mot de passe et de noter la valeur qu'il a choisie. Cela ne résout pas le problème des changements de mot de passe au cours des six derniers mois, car je ne peux pas enregistrer rétroactivement ce genre de choses, et il en va de même pour l'enregistrement de tous les fichiers distants.

Obtenir toutes les clés SSH publiques et privées est possible (bien qu'ennuyeux), puisque nous n'avons que quelques utilisateurs et ordinateurs. A moins que je n'aie oublié un moyen plus simple de le faire ?

Je lui ai expliqué à plusieurs reprises que les choses qu'il demande sont impossibles. En réponse à mes préoccupations, il m'a envoyé le courriel suivant :

J'ai plus de 10 ans d'expérience en matière d'audit de sécurité et une compréhension des méthodes de sécurité de redhat, donc je vous suggère de vérifier vos faits sur ce qui est et n'est pas possible. Vous dites qu'aucune entreprise ne pourrait possible d'avoir ces informations, mais j'ai effectué des centaines d'audits. où cette information était facilement disponible. Tous les [génériques de traitement des cartes de crédit] doivent se conformer à nos nouvelles politiques de politiques de sécurité et cet audit est destiné à assurer que ces politiques ont été correctement mises en œuvre*.

*Les "nouvelles politiques de sécurité" ont été introduites deux semaines avant notre audit, et les six mois de journalisation historique n'étaient pas requis avant les changements de politique.

En bref, j'ai besoin ;

  • Un moyen de "simuler" six mois de changements de mots de passe et de les faire paraître valides.
  • Un moyen de "simuler" six mois de transferts de fichiers entrants.
  • Un moyen facile de collecter toutes les clés publiques et privées SSH utilisées.

Si nous échouons à l'audit de sécurité, nous perdons l'accès à notre plateforme de traitement des cartes (une partie essentielle de notre système) et il nous faudrait deux bonnes semaines pour aller ailleurs. A quel point suis-je dans la merde ?

Mise à jour 1 (samedi 23)

Merci pour toutes vos réponses, cela me soulage beaucoup de savoir que ce n'est pas une pratique courante.

Je suis en train de préparer ma réponse par courriel pour lui expliquer la situation. Comme beaucoup d'entre vous l'ont souligné, nous devons nous conformer à la norme PCI, qui stipule explicitement que nous ne devons avoir aucun moyen d'accéder aux mots de passe en texte clair. Je posterai l'e-mail dès que j'aurai fini de le rédiger. Malheureusement, je ne pense pas qu'il se contente de nous tester ; ces éléments figurent désormais dans la politique de sécurité officielle de l'entreprise. J'ai cependant mis en route les démarches pour les abandonner et passer à PayPal pour l'instant.

Mise à jour 2 (samedi 23)

Voici l'e-mail que j'ai rédigé. Des suggestions sur les éléments à ajouter/supprimer/modifier ?

Bonjour [nom],

Malheureusement, il n'y a pas de moyen pour nous de vous fournir un certain nombre d'informations. informations demandées, principalement les mots de passe en clair, l'historique des l'historique des mots de passe, les clés SSH et les journaux des fichiers distants. Non seulement ces choses sont techniquement impossible, mais aussi être capable de fournir ces ces informations serait à la fois une violation des normes PCI et une violation de la loi sur la protection des données.
Pour citer les exigences du PCI,

8.4 Rendre tous les mots de passe illisibles pendant la transmission et le stockage sur tous les composants du système en utilisant une cryptographie forte.

Je peux vous fournir une liste des noms d'utilisateurs et des mots de passe hachés utilisés sur notre système, des copies des clés publiques SSH et du fichier d'hôtes autorisés. Cela vous donnera assez d'informations pour déterminer le nombre d'utilisateurs uniques peuvent se connecter à nos serveurs, et les méthodes de cryptage utilisées), des informations sur nos exigences en matière de sécurité des mots de passe et sur notre serveur LDAP. mais ces informations ne doivent pas être emportées hors du site. Je vous Je vous suggère fortement de revoir vos exigences d'audit car il n'y a actuellement aucun moyen pour nous de passer cet audit tout en restant sur le marché. de passer cet audit tout en restant en conformité avec PCI et la loi sur la protection des données. loi sur la protection des données.

Regards,
[moi]

Je vais demander au directeur technique de l'entreprise et à notre gestionnaire de compte de m'envoyer une copie des documents. J'espère que le directeur technique pourra confirmer que ces informations ne sont pas disponibles. Je vais également contacter le Conseil des normes de sécurité PCI pour expliquer ce qu'il exige de nous.

Mise à jour 3 (26ème)

Voici quelques courriels que nous avons échangés ;

RE : mon premier courriel ;

Comme expliqué, cette information devrait être facilement disponible sur tout puits. système bien entretenu, par tout administrateur compétent. Votre incapacité à pas été en mesure de fournir cette information me pousse à croire que vous êtes conscient des des failles de sécurité dans votre système et que vous n'êtes pas prêt à les révéler. Nos demandes à demandes s'alignent sur les directives PCI et les deux peuvent être satisfaites. Une forte cryptographie forte signifie seulement que les mots de passe doivent être cryptés pendant que l'utilisateur les saisit, mais ensuite ils doivent être déplacés vers un format récupérable pour une utilisation ultérieure.

Je ne vois pas de problème de protection des données pour ces demandes, la protection des données uniquement. s'applique uniquement aux consommateurs et non aux entreprises, donc il ne devrait y avoir aucun problème avec cette informations.

Juste, quoi, je, ne peux pas, même...

"La cryptographie forte signifie seulement que les mots de passe doivent être cryptés pendant que l'utilisateur les saisit, mais ensuite ils doivent être déplacés vers un format récupérable pour une utilisation ultérieure."

Je vais l'encadrer et le mettre sur mon mur.

J'en ai eu assez d'être diplomate et je l'ai dirigé vers ce fil pour lui montrer la réponse que j'ai obtenue :

Fournir cette information contredit DIRECTEMENT plusieurs exigences des directives PCI. La section que j'ai citée dit même storage (Ce qui implique l'endroit où nous stockons les données sur le disque). J'ai lancé une discussion sur ServerFault.com (communauté en ligne pour les professionnels de l'administration professionnels de l'administration système) qui a suscité une réponse énorme, tous suggérant que cette informations ne peuvent pas être fournies. N'hésitez pas à lire vous-même

https://serverfault.com/questions/293217/

Nous avons terminé la migration de notre système vers une nouvelle plateforme et nous allons être annuler notre compte avec vous d'ici un jour ou deux mais je veux que que vous réalisiez à quel point ces demandes sont ridicules, et qu'aucune société n'applique correctement les directives PCI ne sera, ou ne devrait, être en mesure de fournir ces informations. Je vous suggère fortement de repenser vos exigences de sécurité car aucun de vos clients ne devrait être en mesure de se se conformer à cela.

(J'avais en fait oublié que je l'avais traité d'idiot dans le titre, mais comme mentionné, nous nous étions déjà éloignés de leur plateforme, donc pas de réelle perte).

Et dans sa réponse, il déclare qu'apparemment aucun d'entre vous ne sait de quoi il parle :

J'ai lu en détail ces réponses et votre message original, le Les personnes qui ont répondu ont besoin de connaître les faits. Je suis dans cette industrie depuis plus longtemps que quiconque sur ce site, obtenir une liste de mots de passe mots de passe des comptes utilisateurs est incroyablement basique, ça devrait être une des premières premières choses que vous faites lorsque vous apprenez à sécuriser votre système et c'est essentiel. au fonctionnement de tout serveur sécurisé. Si vous n'avez vraiment pas les compétences pour faire quelque chose d'aussi simple, je vais supposer que vous n'avez pas installé PCI sur vos serveurs. PCI sur vos serveurs, car vous ne pouvez pas récupérer cette information. informations est une exigence de base du logiciel. Lorsque vous traitez avec quelque chose comme la sécurité, vous ne devriez pas poser ces questions sur un sur un forum public si vous n'avez aucune connaissance de base de son fonctionnement.

Je voudrais également suggérer que toute tentative de me révéler, ou [nom de la société] sera considérée comme de la diffamation et une action légale appropriée seront prises

Points clés idiots si vous les avez manqués :

  • Il est auditeur de sécurité depuis plus longtemps que n'importe qui d'autre ici. (Soit il devine, soit il vous traque).
  • Être capable d'obtenir une liste de mots de passe sur un système UNIX est "basique".
  • Le PCI est désormais un logiciel
  • Les gens ne devraient pas utiliser les forums lorsqu'ils ne sont pas sûrs de la sécurité.
  • Mettre en ligne des informations factuelles (dont j'ai la preuve par courriel) est de la diffamation.

Excellent.

Le PCI SSC a réagi et enquête sur lui et sur l'entreprise. Notre logiciel a maintenant été transféré sur PayPal, nous savons donc qu'il est en sécurité. Je vais d'abord attendre que PCI me réponde, mais je commence à m'inquiéter du fait qu'ils aient pu utiliser ces pratiques de sécurité en interne. Si c'est le cas, je pense que c'est une préoccupation majeure pour nous, car tout notre traitement des cartes passait par eux. S'ils utilisaient ces pratiques en interne, je pense que la seule chose responsable à faire serait d'informer nos clients.

J'espère que lorsque le PCI se rendra compte de la gravité de la situation, il enquêtera sur l'ensemble de la société et du système, mais je n'en suis pas sûr.

Maintenant que nous nous sommes éloignés de leur plateforme, et en supposant qu'il faudra au moins quelques jours avant que PCI ne revienne vers moi, avez-vous des suggestions inventives pour le troller un peu ? =)

Une fois que j'aurai obtenu l'autorisation de mon conseiller juridique (je doute fort qu'il s'agisse de diffamation, mais je voulais vérifier), je publierai le nom de la société, son nom et son adresse électronique, et si vous le souhaitez, vous pourrez le contacter et lui expliquer pourquoi vous ne comprenez pas les bases de la sécurité sous Linux, comme par exemple comment obtenir une liste de tous les mots de passe des utilisateurs LDAP.

Petite mise à jour :

Mon "juriste" a suggéré que révéler l'entreprise causerait probablement plus de problèmes que nécessaire. Je peux dire cependant qu'il ne s'agit pas d'un grand fournisseur, ils ont moins de 100 clients qui utilisent ce service. Nous avons commencé à les utiliser lorsque le site était minuscule et fonctionnait sur un petit VPS, et nous ne voulions pas passer par tous les efforts pour obtenir la norme PCI (nous avions l'habitude de rediriger vers leur front-end, comme PayPal Standard). Mais lorsque nous sommes passés au traitement direct des cartes (y compris l'obtention de la norme PCI et le bon sens), les développeurs ont décidé de continuer à utiliser la même société, mais avec une API différente. La société est basée dans la région de Birmingham, au Royaume-Uni, donc je doute fortement que quiconque ici soit affecté.

529 votes

Vous avez deux semaines pour lui fournir les informations, et il faut deux semaines pour passer à un autre endroit qui peut traiter les cartes de crédit. Ne vous donnez pas la peine - prenez la décision de déménager maintenant et abandonnez l'audit.

2 votes

@Scrivener Pas si simple, le propriétaire de la société pour laquelle je travaille veut que nous restions avec ce fournisseur parce qu'il est bon marché. Je lui ai déjà parlé de déménager, même dans un endroit comme PayPal qui ferait l'affaire en attendant de trouver une meilleure solution, mais il dit qu'il ne veut l'utiliser qu'en dernier recours. Je n'aurais jamais choisi personnellement ce fournisseur, mais la décision a été prise avant mon arrivée :( De plus, notre programmeur n'est pas disponible et nous devons donc faire appel à quelqu'un d'autre.

182 votes

S'il vous plaît, tenez-nous au courant de ce qui se passe avec ça. Je l'ai mis en favori pour voir comment l'auditeur se fait fesser. =) Si je vous connais, envoyez-moi un courriel à l'adresse indiquée dans mon profil.

1347voto

Zypher Points 36865

D'abord, ne capitulez pas. Il n'est pas seulement un idiot mais il a dangereusement tort. En fait, divulguer cette information reviendrait à violer la norme PCI (ce que je suppose être le but de l'audit puisqu'il s'agit d'un processeur de paiement) ainsi que toutes les autres normes existantes et le simple bon sens. Cela exposerait également votre entreprise à toutes sortes de responsabilités.

La prochaine chose que je ferais, c'est d'envoyer un courriel à votre patron pour lui dire qu'il doit faire appel à un conseiller juridique d'entreprise pour déterminer les risques juridiques auxquels l'entreprise s'expose en poursuivant cette action.

Cette dernière partie dépend de vous, mais I contacterait VISA avec cette information et ferait retirer son statut d'auditeur PCI.

931voto

Shlomi Fish Points 1951

En tant que personne ayant participé à la procédure d'audit avec Price Waterhouse Coopers pour un contrat gouvernemental secret, je peux vous assurer que c'est totalement hors de question et que ce type est fou.

Quand PwC a voulu vérifier la force de nos mots de passe, ils.. :

  • Vous avez demandé à voir nos algorithmes de résistance des mots de passe
  • Exécuter des unités de test avec nos algorithmes pour vérifier qu'ils refusent les mauvais mots de passe.
  • Nous avons demandé à voir nos algorithmes de cryptage pour nous assurer qu'ils ne pouvaient pas être inversés ou décryptés (même par des tables arc-en-ciel), même par une personne ayant un accès complet à tous les aspects du système.
  • Vérification de la mise en cache des mots de passe précédents afin de s'assurer qu'ils ne peuvent pas être réutilisés.
  • nous ont demandé la permission (que nous leur avons accordée) de tenter de s'introduire dans le réseau et les systèmes connexes en utilisant des techniques d'ingénierie non sociales (comme le xss et les exploits qui ne datent pas du jour 0).

Si j'avais seulement laissé entendre que je pouvais leur montrer les mots de passe des utilisateurs au cours des six derniers mois, ils nous auraient immédiatement exclus du contrat.

Si elle étaient possibles pour répondre à ces exigences, vous échouent instantanément chaque audit qui en vaut la peine.


Mise à jour : Votre courriel de réponse semble bon. Bien plus professionnel que ce que j'aurais pu écrire.

507voto

CyberSkull Points 1445

Honnêtement, on dirait que ce type (l'auditeur) est en train de vous piéger. Si vous lui donnez les informations qu'il demande, vous venez de lui prouver que vous pouvez être socialement manipulé pour donner des informations internes critiques. Échec.

381voto

Chopper3 Points 99341

Je viens de remarquer que vous êtes au Royaume-Uni, ce qui signifie que ce qu'il vous demande de faire est d'enfreindre la loi (la loi sur la protection des données en fait). Je suis également au Royaume-Uni, je travaille pour une grande entreprise soumise à de lourds audits et je connais la loi et les pratiques courantes dans ce domaine. Je suis également une personne très méchante qui se fera un plaisir de mettre des bâtons dans les roues de ce type si vous le souhaitez, juste pour le plaisir, faites-moi signe si vous voulez de l'aide.

331voto

abbgrade Points 193

Vous êtes en train de vous faire manipuler socialement. Soit c'est pour vous "tester", soit c'est un hacker qui se fait passer pour un auditeur pour obtenir des données très utiles.

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X