우리의 보안 감사는 바보입니다. 원하는 정보를 어떻게 제공합니까?


2306

서버의 보안 감사관은 2 주 내에 다음을 요구했습니다.

  • 모든 서버의 모든 사용자 계정에 대한 현재 사용자 이름 및 일반 텍스트 비밀번호 목록
  • 지난 6 개월 동안의 모든 비밀번호 변경 사항 목록을 일반 텍스트로 다시 표시
  • 지난 6 개월 동안 "원격 장치에서 서버에 추가 된 모든 파일"목록
  • 모든 SSH 키의 공개 및 개인 키
  • 일반 텍스트 비밀번호를 포함하여 사용자가 비밀번호를 변경할 때마다 이메일이 발송됩니다.

LDAP 인증을 사용하여 Red Hat Linux 5/6 및 CentOS 5 박스를 실행하고 있습니다.

내가 아는 한, 그 목록에있는 모든 것을 얻는 것은 불가능하거나 믿을 수 없을 정도로 어렵지만,이 정보를 제공하지 않으면 우리는 결제 플랫폼에 대한 액세스 권한을 잃고 전환 기간 동안 수입으로 인해 새로운 서비스. 이 정보를 해결하거나 위조하는 방법에 대한 제안 사항이 있습니까?

일반 텍스트 비밀번호를 모두 얻을 수 있다고 생각하는 유일한 방법은 모든 사람이 비밀번호를 재설정하고 설정 한 내용을 기록하도록하는 것입니다. 지난 6 개월 동안의 비밀번호 변경 문제를 해결하지 못합니다. 이러한 종류의 데이터를 소급해서 기록 할 수 없기 때문에 모든 원격 파일을 기록 할 때도 마찬가지입니다.

몇 개의 사용자와 컴퓨터가 있기 때문에 모든 공개 및 개인 SSH 키를 얻는 것이 가능합니다. 이 작업을 수행하는 더 쉬운 방법을 놓치지 않았다면?

나는 그가 요구하는 것이 불가능하다는 것을 여러 번 설명했다. 저의 우려에 부응하여 다음 이메일로 답변했습니다.

보안 감사 분야에서 10 년이 넘는 경험과 Redhat 보안 방법에 대한 완벽한 이해를 가지고 있으므로 가능한지 여부에 대한 사실을 확인하는 것이 좋습니다. 당신은 아무 회사도이 정보를 가질 수 없다고 말하지만이 정보를 쉽게 이용할 수있는 곳에서 수백 건의 감사를 수행했습니다. 모든 [일반 신용 카드 처리 제공 업체] 고객은 새로운 보안 정책을 준수해야하며이 감사는 해당 정책이 올바르게 구현되었는지 확인하기위한 것입니다 *.

* "신규 보안 정책"은 감사 2 주 전에 소개되었으며 정책 변경 전에 6 개월 동안의 기록이 필요하지 않았습니다.

요컨대 나는 필요하다.

  • 6 개월 분량의 비밀번호 변경을 "가짜"만들어 유효하게 보이게하는 방법
  • 6 개월의 인바운드 파일 전송을 "가짜"만드는 방법
  • 사용중인 모든 SSH 공개 및 개인 키를 수집하는 쉬운 방법

보안 감사에 실패하면 카드 처리 플랫폼 (시스템의 중요한 부분)에 액세스 할 수 없으며 다른 곳으로 이동하는 데 2 ​​주가 소요됩니다. 내가 얼마나 망했어?

업데이트 1 (토 23 일)

귀하의 모든 답변에 감사드립니다. 이것이 표준 관행이 아님을 알게되어 큰 도움이됩니다.

현재 상황을 설명하는 이메일 답변을 계획 중입니다. 많은 사람들이 지적했듯이 일반 텍스트 암호에 액세스 할 수있는 방법이 없어야한다고 명시 적으로 언급 한 PCI를 준수해야합니다. 이메일 작성이 끝나면 이메일을 게시하겠습니다. 불행히도 그는 단지 우리를 테스트하고 있다고 생각하지 않습니다. 이러한 것들이 현재 회사의 공식 보안 정책에 있습니다. 그러나 휠을 움직이지 않고 당분간 PayPal로 이동하도록 설정했습니다.

업데이트 2 (토 23 일)

이것은 내가 작성한 이메일입니다. 추가 / 제거 / 변경할 제안이 있습니까?

안녕하세요, [이름] 님

불행히도 우리가 요청한 정보, 주로 일반 텍스트 암호, 암호 기록, SSH 키 및 원격 파일 로그를 제공 할 방법이 없습니다. 이러한 것들은 기술적으로 불가능할뿐만 아니라이 정보를 제공 할 수있는 것은 PCI 표준에 위배되며 데이터 보호법을 위반하는 것입니다.
PCI 요구 사항을 인용하려면

8.4 강력한 암호화를 사용하여 모든 시스템 구성 요소에서 전송 및 저장하는 동안 모든 암호를 읽을 수 없도록합니다.

시스템에서 사용되는 사용자 이름 및 해시 비밀번호 목록, SSH 공개 키 및 권한이 부여 된 호스트 파일 목록을 제공 할 수 있습니다 (이것은 서버에 연결할 수있는 고유 사용자 수 및 암호화를 결정하는 데 충분한 정보를 제공합니다) 사용 된 방법), 비밀번호 보안 요구 사항 및 LDAP 서버에 대한 정보이지만이 정보는 사이트 외부로 가져 오지 않을 수 있습니다. 현재 PCI 및 데이터 보호법을 준수하면서이 감사를 통과 할 수있는 방법이 없으므로 감사 요구 사항을 검토하는 것이 좋습니다.

감사합니다.
[me]

회사의 CTO와 계정 관리자에서 CC'ing을 할 예정이며 CTO가이 정보를 사용할 수 없음을 확인할 수 있기를 바랍니다. 또한 PCI 보안 표준위원회에 연락하여 그가 우리에게 무엇을 요구하는지 설명 할 것입니다.

업데이트 3 (26 일)

교환 한 이메일은 다음과 같습니다.

RE : 첫 번째 이메일;

설명 된대로이 정보는 잘 관리 된 시스템에서 유능한 관리자가 쉽게 사용할 수 있어야합니다. 이 정보를 제공하지 못하면 시스템의 보안 결함을 인식하고 공개 할 준비가되지 않았다고 생각합니다. 우리의 요청은 PCI 지침과 일치하며 둘 다 충족 될 수 있습니다. 강력한 암호화는 사용자가 암호를 입력하는 동안 암호를 암호화해야하지만 나중에 사용할 수 있도록 복구 가능한 형식으로 이동해야 함을 의미합니다.

이러한 요청에 대해서는 데이터 보호 문제가 없으며 데이터 보호는 비즈니스가 아닌 소비자에게만 적용되므로이 정보에 문제가 없어야합니다.

그냥, 난, 심지어 ...

"강력한 암호화는 사용자가 암호를 입력하는 동안 암호를 암호화해야하지만 나중에 사용할 수 있도록 복구 가능한 형식으로 이동해야 함을 의미합니다."

나는 그것을 틀에 담아 내 벽에 놓을 것입니다.

나는 외교적 상태에 빠졌고 그에게 내가받은 반응을 보여주기 위해이 실로 지시했다.

이 정보를 제공하는 것은 PCI 지침의 몇 가지 요구 사항과 모순됩니다. 내가 인용 한 섹션은 심지어 storage (디스크에서 데이터를 저장하는 위치를 보여줍니다). 대규모 응답을 생성 한 ServerFault.com (시스템 관리자 전문가를위한 온라인 커뮤니티)에 대한 토론을 시작했습니다.이 정보를 모두 제공 할 수는 없습니다. 자신을 통해 자유롭게 읽으십시오

https://serverfault.com/questions/293217/

시스템을 새 플랫폼으로 이전했으며 다음 날 이내에 귀하와 함께 계정을 해지 할 것입니다. 그러나 귀하는 이러한 요청이 얼마나 우스꽝스럽고 PCI 지침을 제대로 이행하지 않는 회사인지, 또는 이 정보를 제공 할 수 있어야합니다. 고객 중 누구도이를 준수 할 수 없으므로 보안 요구 사항을 다시 생각하는 것이 좋습니다.

(나는 실제로 그를 제목에서 바보라고 불렀지 만 언급 한 바와 같이 우리는 이미 플랫폼에서 멀어 졌으므로 실제 손실은 없습니다.)

그리고 그의 답변에서, 그는 당신 중 누구도 당신이 무슨 말을하고 있는지 전혀 모른다고 말합니다.

나는 그 답변과 원래 게시물을 통해 자세히 읽었으며, 응답자는 모두 사실을 올바르게 알아야합니다. 나는이 업계에서 그 사이트에있는 어느 누구보다 오랜 시간을 보냈으며, 사용자 계정 암호 목록을 얻는 것은 매우 기본적입니다. 시스템을 보호하는 방법을 배울 때 가장 먼저해야 할 일 중 하나 여야하며, 보안 운영에 필수적입니다 섬기는 사람. 이 간단한 작업을 수행 할 수있는 기술이 부족한 경우이 정보를 복구 할 수있는 것이 소프트웨어의 기본 요구 사항이므로 서버에 PCI가 설치되어 있지 않다고 가정합니다. 보안과 같은 것을 다룰 때 어떻게 작동하는지에 대한 기본 지식이 없다면 공개 포럼에서 이러한 질문을해서는 안됩니다.

또한 본인 또는 [회사 명]을 밝히려는 시도가 성추행으로 간주되고 적절한 법적 조치가 취해질 것을 제안하고 싶습니다.

당신이 그들을 놓친 경우 주요 바보 포인트 :

  • 그는 여기에 다른 사람보다 더 오래 보안 감사를 받았습니다 (그는 추측하거나 스토킹 중입니다)
  • UNIX 시스템에서 비밀번호 목록을 얻을 수있는 것은 '기본'입니다
  • PCI는 이제 소프트웨어입니다
  • 보안이 확실하지 않은 경우 포럼을 사용해서는 안됩니다.
  • 온라인상에서 사실적인 정보 (이메일 증거가있는)를 제시하는 것은 libel입니다

우수한.

PCI SSC는 그와 회사에 응답하고 조사하고 있습니다. 우리의 소프트웨어는 이제 PayPal로 옮겨져 안전하다는 것을 알게되었습니다. PCI가 나에게 다시 돌아 오기를 기다릴 것입니다. 그러나 내부적으로 이러한 보안 관행을 사용하고 있을지 걱정됩니다. 그렇다면 모든 카드 처리 과정에서 문제가 해결 될 것으로 생각됩니다. 내부적으로이 작업을 수행하는 경우 고객에게 알리는 것이 유일한 책임이라고 생각합니다.

PCI가 회사와 시스템 전체를 조사하는 것이 얼마나 나쁜지를 깨닫고 싶지만 확실하지 않습니다.

이제 우리는 그들의 플랫폼에서 멀어졌으며 PCI가 내게 돌아 오기까지 며칠이 걸릴 것이라고 가정하면, 그를 약간 트롤하는 방법에 대한 독창적 인 제안이 있습니까? =)

법정 담당자로부터 허가를 받으면 (이 중 실제로는 명예 훼손이지만 의심되는 부분은 두 번 확인하고 싶습니다) 회사 이름, 그의 이름 및 이메일을 게시하고 원하는 경우 연락하여 설명 할 수 있습니다. 모든 LDAP 사용자 비밀번호 목록을 얻는 방법과 같은 Linux 보안의 기본 사항을 이해하지 못하는 이유.

작은 업데이트 :

저의 "법률 담당자"는 회사가 필요 이상으로 더 많은 문제를 야기 할 것이라고 밝혔습니다. 나는 이것이 주요 공급자가 아니며이 서비스를 사용하는 클라이언트가 100 명 미만이라고 말할 수 있습니다. 우리는 원래 사이트가 작고 약간의 VPS에서 실행될 때 사용하기 시작했으며 PCI를 얻는 데 모든 노력을 기울이고 싶지 않았습니다 (PayPal Standard와 같은 프런트 엔드로 리디렉션하는 데 사용). 그러나 PCI 처리 및 상식을 포함하여 직접 처리 카드로 옮길 때 개발자는 동일한 회사를 다른 API로 계속 사용하기로 결정했습니다. 이 회사는 영국 버밍엄 지역을 기반으로하므로 여기에있는 사람이 영향을 받을지 의심됩니다.


459
그에게 정보를 전달하는 데 2 ​​주가 소요되며 신용 카드를 처리 할 수있는 다른 곳으로 이동하는 데 2 ​​주가 걸립니다. 귀찮게하지 마십시오. 지금 이사하기로 결정하고 감사를 포기하십시오.
Scrivener

159
이 문제에 대해 업데이트하십시오. 감사관이 스팽킹되는 방법을 보는 것이 좋았습니다. =) 내가 당신을 알고 있다면, 내 프로필의 주소로 저에게 이메일을 보내십시오.
웨슬리

143
그는 당신이 정말 바보인지 확인하기 위해 당신을 테스트해야합니다. 권리? 나는 그렇게 희망한다.
Joe Phillips

187
감사를받은 다른 회사에 대한 참고 자료를 알고 싶습니다. 피해야 할 사람을 아는 것 외에 다른 이유가 없다면 . 평문 암호 ... 정말? 이 사람이 실제로 검은 모자가 아니며 사회 공학 바보 같은 회사가 몇 달 동안 사용자 암호를 넘겨 줄 것이라고 확신합니까? 그와 함께 이것을하는 회사가 있다면 이것은 단지 열쇠를 넘겨주는 훌륭한 방법입니다…
Bart Silverstrim

286
충분히 발전된 무능력은 악의와 구별 할 수 없다
Jeremy French

답변:


1207

첫째, 항복하지 마십시오. 그는 바보 일뿐만 아니라 위험합니다. 실제로,이 정보를 공개 하면 PCI 표준 (결제 프로세서이기 때문에 감사라고 가정하는 것)과 다른 모든 표준 및 일반적인 상식을 위반 하게됩니다. 또한 회사를 모든 종류의 부채에 노출시킬 수 있습니다.

다음으로해야 할 일은 상사에게이 조치를 진행하여 회사가 직면 할 법적 노출을 결정하기 위해 회사 변호사를 참여시켜야한다는 이메일을 보내는 것입니다.

이 마지막 비트는 당신에게 달려 있지만, 나는 이 정보를 VISA에 연락하여 PCI 감사 자 상태를 가져올 것입니다.


289
당신은 나를 이길! 이것은 불법 요청입니다. PCI QSA를 확보하여 프로세서 요청을 감사하십시오. 전화 좀 줘 마차에 동그라미를 치십시오. "총을 청구하십시오!"
웨슬리

91
"그의 PCI 감사 자 지위를 잡아라"나는 그 의미가 무엇인지 모르겠다. 그러나이 광대가 가지고있는 모든 권한 (감사 인)은 분명히 습식 크래커 잭 박스에서 왔으며 철회해야한다. +1
WernerCD

135
이것은 모두이 동료가 실제로 합법적 인 감사인이라고 가정하고 있습니다.
Reid

31
동의합니다- suspicious auditor또는 귀하가 이러한 일을 수행 할만큼 멍청한 지보고있는 합법적 인 감사인입니다. 왜이 정보가 필요한지 물어보십시오. 비밀번호는 평문이 아니어야하지만 단방향 암호화 (해시) 뒤에 있어야합니다. 어쩌면 그는 합법적 인 이유가 있지만 모든 "경험"을 가지고 필요한 정보를 얻는 데 도움을 줄 수있을 것입니다.
vol7ron

25
왜 위험한가요? 모든 일반 텍스트 비밀번호 목록-비밀번호가 없어야합니다. 목록이 비어 있지 않으면 유효한 포인트가 있습니다. msot도 마찬가지입니다. 그들이 없기 때문에 당신이 그들을 가지고 있지 않다면 말하십시오. 추가 된 원격 파일-감사의 일부입니다. 모름-알고있는 시스템을 시작하십시오.
TomTom

836

분류 된 정부 계약에 대해 Price Waterhouse Coopers 와의 감사 절차를 겪은 사람 으로서 저는 이것이 완전히 의문의 여지가 없으며이 사람은 미쳤다고 확신 할 수 있습니다.

PwC는 비밀번호 강도를 확인하려고했을 때

  • 비밀번호 안전성 알고리즘 확인 요청
  • 우리의 알고리즘에 대해 테스트 장치를 실행하여 잘못된 암호를 거부하는지 확인하십시오.
  • 시스템의 모든 측면에 대한 전체 액세스 권한이있는 사람이라도 암호화 알고리즘을 되돌 리거나 암호화 할 수 없도록하기 위해 암호화 알고리즘을 요청했습니다.
  • 이전 비밀번호를 다시 사용할 수 없도록 캐시했는지 확인했습니다.
  • 비 사회적 엔지니어링 기술 (xss 및 0 일이 아닌 악용 등)을 사용하여 네트워크 및 관련 시스템에 침입 할 수있는 권한 (권한 부여)을 요청했습니다.

지난 6 개월 동안 사용자 암호가 무엇인지 보여줄 수 있다고 암시했다면 그들은 즉시 계약을 종료했을 것입니다.

이러한 요구 사항을 제공 할 수 있다면 모든 단일 감사 가치를 즉시 실패하게 됩니다.


업데이트 : 응답 이메일이 좋아 보입니다. 내가 쓴 것보다 훨씬 전문적입니다.


109
+1. 대답해서는 안되는 합리적인 질문처럼 보입니다. 당신이 그들에 대답 할 수 있다면 당신은 어리석은 보안 문제가 있습니다.
TomTom

9
even by rainbow tablesNTLM을 배제하지 않습니까? AFAICR MIT Kerberos가 활성 암호를 암호화하거나 해시하지 않았으며 현재 상태를 알 수 없음
Hubert Kario

6
@Hubert-통과 인증 방법이 금지되고 서비스가 Active Directory와 통합되지 않았기 때문에 NTLM 또는 Kerberos를 사용하지 않았습니다. 그렇지 않으면 우리는 또한 알고리즘을 보여줄 수 없었습니다 (OS에 내장되어 있음). 언급 했어야했는데 이것은 OS 수준 감사가 아니라 응용 프로그램 수준 보안입니다.
Mark Henderson

4
@tandu-분류 수준에 대한 사양이 명시되어 있습니다. 또한 사람들이 마지막 n 개의 비밀번호 를 다시 사용하지 못하게하는 것이 일반적입니다. 사람들이 자주 사용하는 2 ~ 3 개의 비밀번호를 순환 하는 것을 막기 때문에 동일한 공통 비밀번호를 사용하는 것만 큼 안전하지 않습니다.
Mark Henderson

10
@Slartibartfast : 암호의 일반 텍스트를 알 수있는 수단이 있다는 것은 공격자가 데이터베이스를 침입하여 모든 것을 평범하게 검색 할 수 있음을 의미합니다. 사용자가 비밀번호를 변경하려고 할 때 유사한 비밀번호 사용에 대한 보호는 클라이언트 측의 자바 스크립트에서 수행 할 수 있습니다. 새 비밀번호를 서버에 게시하기 전에 이전 비밀번호를 요청하고 이전 비밀번호와 유사성을 비교하십시오. 물론, 마지막 비밀번호 1 개만 재사용 할 수는 없지만 IMO는 비밀번호를 일반 텍스트로 저장할 위험이 훨씬 더 큽니다.
Lie Ryan

456

솔직히 말해서,이 사람 (감사 인)이 당신을 설정하는 것처럼 들립니다. 그가 요청한 정보를 제공하면 중요한 내부 정보를 포기하도록 사회 공학을 할 수 있다는 것이 입증되었습니다. 불합격.


10
또한 authorize.net과 같은 타사 결제 프로세서를 고려하셨습니까? 내가 일하는 회사는이를 통해 매우 많은 양의 신용 카드 거래를합니다. 우리는 고객 지불 정보를 저장할 필요가 없습니다-authorize.net은 그것을 관리합니다-따라서 시스템을 복잡하게 감사 할 필요가 없습니다.
anastrophe

172
이것이 바로 내가 생각한 것입니다. 사회 공학은 아마도이 정보를 얻는 가장 쉬운 방법이며 아마도 그 허점을 테스트하고 있다고 생각합니다. 이 사람은 매우 똑똑하거나 바보입니다
Joe Phillips

4
이 입장은 적어도 가장 합리적인 첫 단계입니다. 법을 어기면 법이나 규칙을 어길 것이라고 말하지만 그의 간계에 감사해야한다.
마이클

41
멍청한 질문 :이 상황에서 "설정"이 허용됩니까? 일반적인 논리는 감사 프로세스를 "트릭"으로 만들어서는 안된다는 것을 알려줍니다.
Agos

13
@Agos : 몇 년 전에 기관을 고용하여 감사를 수행 한 곳에서 근무했습니다. 감사의 일환으로 "<CIO>는 회사에서 임의의 사람들에게 전화를 걸어"<일을 할 수 있도록 "귀하에게 전화를 걸어 로그인 자격 증명을 요청했습니다." 실제로 자격 증명을 포기하지 않았는지 확인했을뿐 아니라 전화를 끊으면 즉시 <CIO> 또는 <Security Admin>에 전화하여 교환을보고해야했습니다.
Toby

345

방금 당신이 영국에 있다는 것을 발견했습니다. 즉, 그가 당신에게 요구하는 것은 법을 위반하는 것입니다 (실제로 데이터 보호법). 저도 영국에 있습니다. 많은 감사를받은 회사에서 일하며이 지역의 법률과 관행을 알고 있습니다. 나는 또한 당신이 단지 그것의 재미를 위해 좋아한다면, 당신을 위해이 사람을 행복하게 억제 할 수있는 매우 불쾌한 일입니다.


28
해당 서버에 개인 정보가 있다고 가정하면,이 수준의 입증 된 무능함을 가진 사람에게 일반 텍스트로 액세스하기 위해 자격 증명을 / all /로 넘겨주는 것이 원칙 7의 명백한 위반 일 것입니다 ... ( "적절한 기술적 및 조직적 조치 개인 정보의 무단 또는 불법 처리 및 개인 정보의 우발적 손실, 파기 또는 손상에 대비해야합니다. ")
Stephen Veiss

4
지불 정보를 저장하는 경우 사용자의 연락처 정보도 저장하는 것이 올바른 가정이라고 생각합니다. 내가 OP의 입장에 있었다면, "PCI를 준수하기위한 정책과 계약상의 의무를 위반할뿐 아니라 불법이기도하다"는 정책과 PCI를 언급하는 것보다 더 강력한 논증으로 .
Stephen Veiss

4
@Jimmy 암호가 개인 데이터가 아닌 이유는 무엇입니까?
robertc

10
@Richard, 당신은 그것이 은유 권이라는 것을 알고 있습니까?
Chopper3

9
@ Chopper3 예, 여전히 부적절하다고 생각합니다. 또한, 나는 AviD를 반대하고 있습니다.
Richard Gadsden

285

당신은 사회 공학되고 있습니다. 매우 유용한 데이터를 얻기 위해 감사 자로 포즈를 취하는 해커 또는 해커를 '테스트'해야합니다.


8
이것이 왜 정답이 아닌가? 커뮤니티, 사회 공학의 용이성에 대해 말하고 있습니까, 아니면 근본적인 것을 놓치고 있습니까?
Paul

166
무지에 기인 할 수있는 것을 악의에 귀속시키지 마십시오
aldrinleal

13
그러나 감사인이 전문가라고 주장 할 때 이러한 모든 요청을 무지하게 만드는 것은 상상력을 조금 확장시킵니다.
Thomas K

12
이 이론의 문제점은 그가 "그것을 위해 떨어졌다"또는 그는 "테스트 실패"경우에도 있다는 것입니다 수없는 것이 있기 때문에 그에게 정보를 제공 불가능 .....
EDS

4
저의 가장 좋은 추측은 '심각한 사회 공학'입니다 (새로운 Kevin Mitnick 책이 곧 출시 될 것입니까?). 그러면 지불 회사가 놀라게 될 것입니다. . 다른 옵션은 허풍을 시도한 리눅스 지식이없는 매우 신인 감사 자이며 이제는 자신을 더 깊고 더 깊이 파고 들고 있습니다.
쿠스 반 덴 호우 트

278

나는 윤리적 인 문제 해결 능력의 OPS 부족에 대해 심각하게 걱정 하고 윤리적 인 행동이 노골적으로 위반을 무시하고 서버 고장 커뮤니티.

요컨대 나는 필요하다.

  • 6 개월 분량의 비밀번호 변경을 '가짜'만들어 유효한 것으로 만드는 방법
  • 6 개월의 인바운드 파일 전송을 '가짜'만드는 방법

두 가지 요점을 명확히하겠습니다.

  1. 정상적인 비즈니스 과정에서 데이터를 위조하는 것은 결코 적절하지 않습니다.
  2. 이런 종류의 정보를 다른 사람에게 공개해서는 안됩니다. 이제까지.

기록을 위조하는 것은 당신의 일이 아닙니다. 필요한 모든 기록이 사용 가능하고 정확하며 안전하도록하는 것이 귀하의 임무입니다.

서버 결함의 커뮤니티 는 stackoverflow 사이트가 "숙제"질문을 처리 할 때 이러한 종류의 질문을 처리 해야합니다 . 기술적 대응만으로는 이러한 문제를 해결하거나 윤리적 책임 위반을 무시할 수 없습니다.

이 스레드에서 많은 응답이 많은 사용자가 여기에 답하는 것을보고 질문의 윤리적 영향에 대한 언급은 나를 슬프게합니다.

모든 사람이 SAGE 시스템 관리자 윤리 강령 을 읽도록 권장합니다 .

BTW, 보안 감사원은 바보이지만, 업무에 비 윤리적이라는 압력을 느끼지 않아도되는 것은 아닙니다.

편집 : 업데이트 비용이 없습니다. 머리를 아래로 향하게하고 가루를 말리고 나무로 된 니켈을 섭취하지 마십시오.


44
동의하지 않습니다. "감사관"은 조직의 전체 IT 보안을 훼손 할 정보를 공개하도록 OP를 괴롭 혔습니다. 어떠한 상황에서도 OP는 해당 레코드를 생성하여 다른 사람에게 제공해서는 안됩니다. OP는 레코드를 위조해서는 안됩니다. 그들은 쉽게 가짜로 보일 수 있습니다. OP는 보안 감사관의 요구가 악의적 인 의도 나 완전한 무능력 (일반 텍스트로 된 전자 메일 암호)을 통해 위협이되는 이유를 상급자들에게 설명해야합니다. OP는 보안 감사를 즉시 종료하고 이전 감사의 다른 활동에 대한 전체 조사를 권장합니다.
jimbob 박사

18
짐 보브 박사, 당신은 요점을 놓치고 있다고 생각합니다. "OP는 가짜 기록이 아니어야합니다. 데이터를 실제 데이터와 구별 할 수 없을 때만 위조해야한다고 제안하는 것처럼 여전히 비 윤리적 인 입장입니다. 잘못된 데이터를 보내는 것은 비 윤리적입니다. 사용자의 비밀번호를 제 3 자에게 보내는 것은 소홀합니다. 따라서 우리는이 상황에 대해 무언가를해야한다는 데 동의합니다. 이 문제를 해결하는 데있어 비판적인 윤리적 사고가 부족하다고 언급하고 있습니다.
Joseph Kern

13
"이러한 기록을 사용 가능하고 정확하며 안전하게 보관하는 것이 귀하의 책임입니다."에 동의하지 않았습니다. 시스템을 안전하게 유지해야 할 의무가 있습니다. 일반 텍스트 비밀번호 저장 및 공유와 같은 비합리적인 요청은 시스템을 손상시키는 경우 수행되지 않아야합니다. 일반 텍스트 암호를 저장, 기록 및 공유하는 것은 사용자와의 신뢰를 크게 상실합니다. 큰 적기 보안 위협입니다. 보안 감사는 일반 텍스트 암호 / ssh 개인 키를 노출하지 않고 수행 할 수 있으며 수행해야합니다. 그리고 당신은 상류층에게 문제를 알리고 해결해야합니다.
jimbob 박사

11
짐밥 박사님, 우리는 밤에 두 척의 배가 지나가는 것 같습니다. 나는 당신이 말하는 모든 것에 동의합니다. 나는이 점들을 충분히 명확하게 표현해서는 안된다. 위의 초기 답변을 수정하겠습니다. 스레드의 컨텍스트에 너무 의존했습니다.
Joseph Kern

4
@Joseph Kern, 나는 당신과 같은 방식으로 OP를 읽지 않았습니다. 우리가 결코 보관하지 않은 6 개월 분량의 데이터를 어떻게 생성 할 수 있는지에 대해 더 많이 읽었습니다. 확실히, 나는이 요구 사항을 충족시키기위한 대부분의 방법이 사기라고 생각합니다. 그러나 지난 6 개월 동안 암호 데이터베이스를 가져와 타임 스탬프를 추출해야 변경 내용이 여전히 보존 된 기록을 만들 수있었습니다. 일부 데이터가 손실되어 '가짜'데이터가 있다고 생각합니다.
user179700

242

당신이 원하는 것을 그에게 줄 수 없으며, "가짜"를 시도하면 엉덩이로 당신을 물게 될 것입니다 (아마도 법적인 방법으로). 사령부 체인에 이의를 제기해야합니다 (보안 감사는 악명 높지만 악명 높은이 감사관은 가능할 수 있습니다. SMB를 통해 AS / 400에 액세스하려는 감사 자에 대해 문의하십시오). 이 거대한 요구 사항 아래에서.

모든 일반 텍스트 암호의 목록이 있습니다 - 그들은 심지어 좋은 보안 아니에요 믿을 수있는 위험한 일 지금까지 그들을 보호하기 위해 사용되는 방법에 관계없이, 생산, 나는이 녀석들이 일반 텍스트로 이메일을 보냈 원할 것입니다 내기 할 것이다 . (나는 당신이 이것을 이미 알고 있다고 확신한다. 나는 단지 약간의 환기가 필요하다).

똥과 낄낄 거림에 대해서는 요구 사항을 수행하는 방법을 직접 물어보십시오. 방법을 모르고 자신의 경험을 활용하고 싶습니다. 나가고 나면 "보안 감사에 10 년이 넘는 경험이 있습니다"라는 대답은 "아니오, 수백 번 반복 한 5 분의 경험이 있습니다"입니다.


8
... SMB를 통해 AS / 400에 액세스하려는 감사 자? ... 왜?
Bart Silverstrim

11
PCI 컴플라이언스 회사와 관련하여 반복적으로 번거로운 번거 로움은 ICMP 필터링에 대해 논쟁하고 에코 만 차단하는 것입니다. ICMP는 그럴만한 이유가 있지만, 수많은 '스크립트 작업'감사 자들에게이를 설명하는 것은 불가능합니다.
Twirrim

48
@BartSilverstrim 검사 목록 감사의 경우 일 것입니다. 감사원이 한 번 말했듯이-감사원은 왜 길을 건너나요? 작년에 그렇게했기 때문입니다.
Scott Pack

10
진짜 "WTF?" 감사관이 SMB를 통해 연결할 수있을 때까지 SMB를 통한 공격에 취약한 것으로 간주했다는 사실이있었습니다.
womble

14
"당신은 5 분 동안 수백 번의 경험을 반복했습니다"--- ooooh, 그것은 나의 견적 수집으로 바로 가고 있습니다! : D
Tasos Papastylianou

183

현재 해결 된 역사적 문제가 발견되면 감사원이 실패하지 않아야합니다. 사실, 그것은 좋은 행동의 증거입니다. 이를 염두에두고 두 가지를 제안합니다.

a) 거짓말을하거나 물건을 만들지 마십시오. b) 정책을 읽으십시오.

나를위한 주요 진술은 다음과 같습니다.

모든 [일반 신용 카드 처리 제공 업체] 고객은 새로운 보안 정책을 준수해야합니다.

이 정책에는 암호를 적을 수 없으며 사용자 이외의 다른 사람에게 전달할 수 없다는 내용의 진술이 있습니다. 있는 경우 해당 정책을 그의 요청에 적용하십시오. 다음과 같이 처리하는 것이 좋습니다.

  • 모든 서버의 모든 사용자 계정에 대한 현재 사용자 이름 및 일반 텍스트 비밀번호 목록

그에게 사용자 이름 목록을 보여주십시오. 일반 텍스트 암호를 제공하는 것은 a) 단방향이므로 불가능하며 b) 그가 당신을 감사하는 정책에 위배되므로 귀하는 복종하지 않을 것이라고 설명하십시오.

  • 지난 6 개월 동안의 모든 비밀번호 변경 사항 목록을 일반 텍스트로 다시 표시

이것이 역사적으로 가능하지 않았다고 설명한다. 최근 암호 변경 시간 목록을 제공하여 현재 수행 중임을 보여줍니다. 위와 같이 암호는 제공되지 않습니다.

  • 지난 6 개월 동안 "원격 장치에서 서버에 추가 된 모든 파일"목록

무엇이 기록되고 있지 않은지 설명하십시오. 할 수있는 것을 제공하십시오. 기밀 정보를 제공하지 말고 정책에 따라 이유를 설명하십시오. 로깅을 개선해야하는지 물어보십시오.

  • 모든 SSH 키의 공개 및 개인 키

주요 관리 정책을보십시오. 개인 키는 컨테이너에서 허용되지 않으며 엄격한 액세스 조건이 있어야합니다. 해당 정책을 적용하고 액세스를 허용하지 마십시오. 공개 키는 행복하게 공개되며 공유 할 수 있습니다.

  • 일반 텍스트 비밀번호를 포함하여 사용자가 비밀번호를 변경할 때마다 이메일이 발송됩니다.

그냥 아니라고 말해. 로컬 보안 로그 서버가있는 경우 해당 서버가 현장에서 로그되고 있는지 확인할 수 있습니다.

기본적으로, 나는 이것을 유감스럽게 생각하지만, 당신은이 남자와 하드볼을해야합니다. 당신의 정책을 정확하게 따르십시오. 거짓말을하지 않는다. 그리고 그가 정책에 맞지 않는 어떤 것에 대해 당신을 실패한다면, 그를 보낸 회사의 선배들에게 불평하십시오. 당신이 합리적 이었다는 것을 증명하기 위해이 모든 것의 종이 흔적을 모으십시오. 당신이 당신의 정책을 위반하면 그의 자비에 있습니다. 당신이 편지를 따라 가면, 그는 약탈 당하게됩니다.


28
동의합니다, 이것은 자동차 서비스 담당자가 절벽에서 자동차를 운전하거나 믿을 수없는 무언가를하는 미친 현실 쇼 중 하나와 같습니다. 위의 조치가 효과가 없다면 OP에 말하고 이력서를 준비하고 떠나십시오. 이것은 분명히 어리 석고 끔찍한 상황입니다.
Jonathan Watmough

5
+1,000,000을 투표 할 수 있기를 바랍니다. 여기에있는 대부분의 답변은 거의 같은 내용이지만, 이것은 훨씬 철저합니다. 잘 했어, @Jimmy!
Iszi

141

예, 감사인 바보입니다. 그러나 아시다시피 때때로 바보는 권력의 위치에 배치됩니다. 이것은 그러한 경우 중 하나입니다.

그가 요청한 정보 는 시스템의 현재 보안과 무관 합니다. 인증 자에게 LDAP를 사용하고 있으며 암호는 단방향 해시를 사용하여 저장되어 있다고 감사 자에게 설명하십시오. 암호 해시에 대해 무차별 대입 스크립트를 사용하지 않으면 (몇 주 또는 몇 년이 걸릴 수 있음) 암호를 제공 할 수 없습니다.

마찬가지로 원격 파일-서버에서 직접 만든 파일과 서버에 SCP로 저장된 파일을 구별 할 수 있어야한다고 생각합니다.

@womble이 말했듯이 아무것도 속이지 마십시오. 그것은 좋지 않습니다. 이 감사를 버리고 다른 중개인에게 벌금을 부과하거나,이 "전문가"에게 그의 치즈가 크래커에서 미끄러 져 나갔음을 확신시키는 방법을 찾으십시오.


61
"... 그의 치즈가 크래커에서 미끄러 져 나갔다"는 +1 그것은 나에게 새로운 것입니다!
Collin Allen

2
"그가 요청한 정보는 시스템의 현재 보안과 전혀 관련이 없습니다." <-나는 실제로 보안에 많은 관련이 있다고 말하고 싶습니다. : P
Ishpeck

2
(which could take weeks (or years)어디에 있는지 잊었지만 비밀번호를 무차별 강제 실행하는 데 걸리는 시간을 추정하는이 앱을 온라인에서 찾았습니다. 나는 그것이 무차별 대입 알고리즘이나 해싱 알고리즘이 무엇인지 알지 못했지만 대부분의 암호에 대해 17 조 년 정도를 추정했습니다 ... :)
Carson Myers

60
@Carson : 비밀번호 강도를 추정하기 위해 찾은 온라인 앱은 다른 (그리고 더 정확한) 접근 방식을 가졌습니다. 모든 비밀번호에 대해 "비밀번호가 안전하지 않습니다. 신뢰할 수없는 웹 페이지에 입력했습니다!"
Jason Owen

3
@ 제이슨 오 아니, 네 말이 맞아!
카슨 마이어스

90

귀하의 "보안 감사관" 에게 요구 사항이있는 이 문서 들 중 어떤 텍스트라도 가리 키도록 하여 변명을하기 위해 노력하고 결국에는 다시는들을 수없는 변명을합니다.


11
동의하다. 왜? 유효한 질문은 이런 상황입니다. 감사인은 요청에 대한 비즈니스 / 운영 사례에 대한 문서를 제공 할 수 있어야합니다. 당신은 그에게 "내 입장에 자신을 넣어. 이것은 누군가가 침입을 설정하려고하는 일종의 요청입니다."라고 말할 수 있습니다.
jl.

75

이런 씨발! 미안하지만 이것에 대한 나의 유일한 반응입니다. 필자가 들어 본 암호 요구 사항을 변경하지 않으면 서 일반 텍스트 암호를 요구하는 감사 요구 사항은 없습니다.

첫째, 당신이 그 요구 사항을 보여달라고 부탁하십시오.

둘째, PCI에 대한 것이라면 (결제 시스템 질문이므로 우리 모두가 가정합니다) https://www.pcisecuritystandards.org/approved_companies_providers/qsa_companies.php 를 방문하여 새로운 감사를 받으십시오.

셋째, 위에서 말한 내용을 따르고 경영진에게 연락하여 그가 작업중인 QSA 회사에 연락하도록하십시오. 그런 다음 즉시 다른 감사원을 확보하십시오.

감사자는 시스템 상태, 표준, 프로세스 등을 감사합니다. 시스템에 액세스 할 수있는 정보가 필요하지 않습니다.

감사원과 긴밀히 협력하는 추천 감사원이나 대체 콜로를 원할 경우 저에게 연락하시면 기꺼이 참조 해 드리겠습니다.

행운을 빕니다! 당신의 직감을 신뢰하십시오.


67

암호를 알고 개인 키에 액세스 할 수있는 정당한 이유는 없습니다. 그가 요청한 것은 고객을 언제라도 가장 할 수 있으며 사기성 거래로 감지 ​​할 수있는 방법없이 원하는만큼 많은 금액을 지불 할 수 있습니다. 그가 감사해야 할 보안 위협의 유형일 것입니다.


2
감사합니다. 사회 공학 감사의 핵심입니까 ??? 이것에 대한 21 개의 투표?!?
ozz

16
감사는 보안 절차에 대한 공식적인 검사와 확립 된 규칙을 따르는 지 여부로 구성됩니다. 소방관이 필요한 소화기를 모두 갖추고 있는지 확인하기 위해 오는 것처럼, 화재 코드에 따라 문과 창문 또는 식당을 열 수 있습니다. 소방관이 식당에 불을 피우려고하지 않을 것입니다.
Franci Penov

8
이것은 식당 주변에 소이 장치를 설치하고 감사 자에게 원격 트리거를 제공하고 최신 상태를 유지할 것을 약속하는 것처럼 들립니다.
XTL

62

감사가 보안 정책을 위반하고 요청이 불법임을 경영진에게 알립니다. 그들은 현재 감사 회사를 버리고 합법적 인 회사를 찾아 볼 것을 제안합니다. 영국에 불법 정보를 요청하기 위해 경찰에 전화하여 감사관을 제출하십시오. 그런 다음 PCI를 호출하고 요청을 위해 감사자를 켜십시오.

요청은 무작위로 누군가를 살해하고 몸을 넘겨달라고 요청하는 것과 유사합니다. 그렇게 하시겠습니까? 아니면 경찰에 전화해서 돌려 줄래?


8
보안 정책에 위배되므로 정보를 제공 할 수 없다고 말하는 것이 어떻습니까? 상자에 체크 표시를하고 감사를 통과 하시겠습니까?
user619714

8
살인 비유가 너무 멀더라도이 "감사관"이 법을 위반하고 있다는 사실은 정확하며, 상사, 경찰 및 PCI에보고해야합니다
Rory

60

소송에 대응하십시오 . 감사자가 일반 텍스트 비밀번호를 요청하는 경우 (지금 출시 될 경우 약한 비밀번호 해시를 무차별 처리하거나 크랙하기가 어렵지 않음) 자격 증명에 대해 사용자에게 거짓말했을 것입니다.


9
또한 로케일에 따라 법률에 관한 법률이있을 수도 있습니다.
AviD

54

당신이 당신의 응답을 어떻게 말하는지에 관한 팁 :

불행히도 우리가 요청한 정보, 주로 일반 텍스트 암호, 암호 기록, SSH 키 및 원격 파일 로그를 제공 할 방법이 없습니다. 이러한 것들은 기술적으로 불가능할뿐만 아니라 ...

기술적 타당성에 대한 논의를 피하기 위해 이것을 다시 말하고 싶습니다. 감사자가 보낸 끔찍한 초기 전자 메일을 읽으면 주요 문제와 관련이없는 세부 정보를 선택할 수있는 사람처럼 보이며 암호를 저장하고 로그인 을 할 있다고 주장 할 있습니다. :

... 엄격한 보안 정책으로 인해 비밀번호를 일반 텍스트로 기록한 적이 없습니다. 따라서이 데이터를 제공하는 것은 기술적으로 불가능합니다.

또는

... 귀하의 요청을 준수하여 내부 보안 수준을 크게 낮추고있을뿐만 아니라 ...

행운을 빈다.


37

이 질문에 대해 인기가 높은 사용자가 계속해서 돌진 할 위험이 있으므로 여기 내 생각이 있습니다.

왜 그가 일반 텍스트 암호를 원하는지 모호하게 알 수 있는데, 이것이 사용중인 암호의 품질을 판단하는 것입니다. 내가 아는 대부분의 감사인은 암호화 된 해시를 수락하고 크래커를 실행하여 어떤 종류의 저 과일을 뽑을 수 있는지 알 수 있습니다. 모든 직원은 암호 복잡성 정책을 검토하고이를 적용하기위한 보호 조치를 검토합니다.

그러나 일부 비밀번호를 제공해야합니다. 나는 당신이 평문 암호 전달의 목표가 무엇인지 묻는 것을 제안합니다 (당신이 이미 이것을했을 것이라고 생각합니다). 그는 규정 준수 대 보안 정책의 유효성을 검사하는 것이기 때문에 해당 정책을 제공 할 것이라고 말했습니다. 사용자에게 비밀번호 복잡성 체계가 사용자가 비밀번호를 설정하지 못하고 P@55w0rd문제가있는 6 개월 동안 제대로 설정되지 않았 음을 입증 할 수 있는지 물어보십시오 .

그가 암호를 입력하면 일반 텍스트 암호를 기록하도록 설정하지 않았기 때문에 (일반 보안이 실패한 경우) 일반 텍스트 암호를 전달할 수는 없지만 필요할 경우 나중에 시도 할 수 있음을 인정해야 할 수도 있습니다. 비밀번호 정책이 작동하는지 직접 확인 그리고 그가 그것을 증명하고 싶다면, 당신은 기꺼이 암호 해독 데이터베이스를 제공 할 것입니다.

SFTP 세션에 대한 SSH 로그에서 "원격 파일"을 뽑을 수 있습니다. 6 개월 분량의 syslogging이 없으면 생성하기가 어렵습니다. wget을 사용하여 SSH를 통해 로그인 한 상태에서 원격 서버에서 파일을 가져 오는 것이 '원격 파일 전송'으로 간주됩니까? HTTP PUT입니까? 원격 사용자의 터미널 창에 클립 보드 텍스트로 작성된 파일? 어쨌든이 분야에서 그의 관심사에 대해 더 나은 느낌을 얻기 위해이 엣지 케이스로 그를 괴롭힐 수 있으며 아마도 그가 생각하는 특정 기술뿐만 아니라 "당신보다 이것에 대해 더 많이 알고 있습니다"라는 느낌을 심어 줄 수 있습니다. 그런 다음 백업에서 로그 및 아카이브 된 로그에서 가능한 것을 추출하십시오.

SSH 키에는 아무것도 없습니다. 내가 생각할 수있는 유일한 방법은 그가 어떤 이유로 암호없이 키, 검사 점이다 어쩌면 암호화 강도. 그렇지 않으면 아무것도 없습니다.

그 열쇠를 얻는 것에 관해서는, 적어도 공개 열쇠를 수확하는 것은 충분히 쉽습니다. .ssh 폴더를 찾아서 찾으십시오. 개인 키를 얻으려면 BOFH 모자를 기증하고 사용자에게 "공개 및 개인 SSH 키 쌍을 보내십시오. 내가받지 못한 것은 13 일 후에 서버에서 제거됩니다." 누군가가 보안 감사에 스 쿼크하면 (나는) 것입니다. 스크립팅은 당신의 친구입니다. 최소한 암호가 필요없는 키 쌍이 암호를 얻습니다.

그가 여전히 "이메일의 일반 텍스트 비밀번호"를 고집한다면 적어도 그 이메일을 자신의 키로 GPG / PGP 암호화해야합니다. 그의 염가 가치가있는 보안 감사관은 그런 것을 처리 할 수 ​​있어야합니다. 그렇게하면 암호가 유출되면 그가 아닌 사람이 나왔기 때문입니다. 또 다른 리트머스 능력 테스트.


나는 이것에 대해 Zypher와 Womble에 동의해야합니다. 위험한 결과를 초래하는 위험한 바보.


1
바보의 증거가 없습니다. OP가 공식적 으로이 정보를 제공 할 수 없다고 말한 증거 는 없습니다. 이 정보를 제공 할 수 있다면 감사에 실패하게됩니다.
user619714

2
@Iain 그렇기 때문에 보안 감사가 사회적으로 공학적 지식을 습득하여 자신이 실제로 따르는 것을 추출하는 것이이 시점에서 매우 중요합니다.
sysadmin1138

9
나는이 불안전 한 개인에게 아무것도주지 않는 것에 동의하지 않습니다.
Kzqai

@Tchalvak : '안전하지 않은'또는 '바보'의 증거가 없습니다.
user619714

1
담당자가 아니라 답변에 대한 개인적인 느낌은 다음과 같습니다. 제 3 자에게 암호를 제공하면 고소 할 수 없는지 확인할 수 있습니다. IT 분야의 누군가로서, 나는 당신이 언급 한 높은 담당자에게 동의하고 암호를 저장해서는 안된다고 말합니다. 사용자가 시스템을 신뢰하고 있으며 암호를 제 3 자에게 제공하는 것은 모든 정보를 누군가에게 제공하는 것보다 그 신뢰를 위반하는 것입니다. 전문가로서 나는 결코 그렇게하지 않을 것입니다.
jmoreno

31

그는 아마 당신이 보안 위험인지 확인하기 위해 당신을 테스트하고 있습니다. 당신이 그에게 이러한 세부 사항을 제공하면 아마 즉시 해산됩니다. 이것을 직속 상사에게 가져 가서 벅을 전달하십시오. 이 엉덩이가 다시 가까운 곳에 있으면 관련 당국이 참여할 것임을 상사에게 알리십시오.

그것이 상사에게 지불되는 것입니다.

택시, 택시 뒤에는 암호, SSH 키 및 사용자 이름 목록이있는 종이가 있습니다. 흠! 지금 신문 헤드 라인을 볼 수 있습니다!

최신 정보

아래 두 의견에 대한 답변으로 두 가지 모두 좋은 지적이 있다고 생각합니다. 실제로 진실을 알아낼 방법이 없으며, 질문이 게시 된 사실은 포스터 부분에 약간의 순진함을 보여줄뿐만 아니라 다른 사람들이 자신의 머리를 찌르는 잠재적 인 경력 결과로 불리한 상황에 직면 할 용기를 보여줍니다. 모래와 도망.

가치있는 것에 대한 나의 결론은 이것이 대부분의 독자들에게 감사 자나 감사 자 정책이 유능한 지 여부에 관계없이이 상황에서 그들이 무엇을할지 궁금해하는 완전히 흥미로운 토론이라는 결론이다. 대부분의 사람들은 직장 생활에서 어떤 형태 나 형태로 이런 종류의 딜레마에 직면 할 것입니다. 이것은 실제로 한 사람의 어깨에 내려야 할 책임이 아닙니다. 이것을 다루는 방법에 대한 개인적인 결정보다는 비즈니스 결정입니다.


1
이것이 더 높은 표를 얻지 못한 것에 놀랐습니다. 나는 단지 감사인이 "멍청하다"고 믿지 않습니다. 다른 사람들이 논평에서 말했지만 답변으로는 많지 않지만, 이것은 사회 공학의 악취입니다. 그리고 OP 가하는 첫 번째 일은 여기에 게시되어 데이터를 위조 한 다음 감사 자에게 링크를 보낼 수 있다고 제안하면 남자는 엉덩이를 비웃고 이것을 기반으로 계속 요청해야합니다. 확실히?!?!
ozz

3
결과적으로 회사에서 OPs 비즈니스를 잃어 버렸다는 점을 감안할 때, 이것이 좋은 감사 기술처럼 보이지는 않습니다. 적어도 나는 그가 사업을 잃고 있다는 것이 명백해 졌을 때 그를 '깨끗하게'기대했고, 그것이 계속 주장하기보다는 사용중인 감사 접근법의 일부라고 설명했다. '윤리적 해커'를 도입하면 이와 같은 '사회 공학적'접근 방식이 필요할 것으로 예상 할 수 있지만 감사에는 적합하지 않습니다 (모든 적절한 점검 및 절차가 있는지 확인하는 것을 목표로 함)
Kris C

1
감사원의 추가 이메일을 고려할 때 더 이상 이것이 사실이라고 생각하지 않습니다. the responders all need to get their facts right. I have been in this industry longer than anyone on that site– 귀중한
SLaks

29

여기에 좋은 정보가 많이 있지만 분명히 내 고용주가 대기업에 판매하는 소프트웨어를 주로 대기업에 판매하는 사람들이 계정 관리 보안 정책을 준수하고 감사를 통과하도록 도와주는 2c를 추가 할 수 있습니다. 그만한 가치가 있습니다.

첫째, 당신 (및 다른 사람들)이 지적했듯이 이것은 매우 의심스럽게 들립니다. 감사인이 이해하지 못하거나 (가능할 수있는) 절차를 따르거나 사회 공학 (추적 교환 후 가능성이 거의 없음) 또는 사기 사회 공학 (가능한 경우) 또는 일반 바보 (아마도) 가장 가능성이 높습니다). 조언이있는 한, 경영진과 대화하고 /하거나 새로운 감사 회사를 찾거나 적절한 감독 기관에보고해야합니다.

메모와 관련하여 몇 가지 사항 :

  • 그것은이다 가능한 시스템이 그것을 허용하도록 설정되어있는 경우 그는, 요청 된 정보를 제공하기 위해 (특정 조건에서). 그러나 어떤 식 으로든 보안을위한 "모범 사례"는 아니며 전혀 일반적인 것이 아닙니다.
  • 일반적으로 감사는 실제 보안 정보를 조사하지 않고 검증 관행과 관련이 있습니다. 나는 "양호한"보안을 유지하기 위해 사용 된 방법보다는 실제 일반 텍스트 암호 나 인증서를 요구하는 사람이 매우 의심 스럽다.

다른 사람들이 조언 한 내용을 되풀이하는 경우에도 도움이되기를 바랍니다. 당신처럼, 나는 내 회사 이름을 밝히지 않을 것입니다. 나는 그들을 위해 말하지 않기 때문에 (개인 계정 / 의견 및 기타); 그것이 신뢰성을 떨어 뜨리면 사과하지만 사과하십시오. 행운을 빕니다.


24

이것은 IT 보안 스택 교환에 게시 될 수 있으며 게시되어야합니다 .

보안 감사 전문가는 아니지만 보안 정책에 대해 처음 알게 된 것은입니다 "NEVER GIVE PASSWORDS AWAY". 이 사람은 10 년 동안이 사업에 종사해 왔지만 Womble과 같이"no, you have 5 minutes of experience repeated hundreds of times"

나는 한동안 은행 IT 직원들과 일해 왔는데, 당신이 게시 한 것을 보았을 때 나는 그것을 보여주었습니다 ... 그들은 너무 웃고있었습니다. 그들은 그 사람이 사기처럼 보인다고 말했습니다. 그들은 은행 고객의 보안을 위해 이런 종류의 일을 처리했습니다.

명확한 비밀번호, SSH 키, 비밀번호 로그를 요구하는 것은 분명히 심각한 전문 위법 행위입니다. 이 사람은 위험 해

지금은 모든 것이 잘 되었기를 바랍니다. 이전 거래 내역을 기록 할 수 있다는 사실에 아무런 문제가 없기를 바랍니다.


19

1, 2, 4 및 5 지점에서 요청한 정보 (공개 키 제외)를 제공 할 수 있으면 감사에 실패해야합니다.

보안 정책에 따라 일반 텍스트 비밀번호를 유지하지 않아야하고 비가역 알고리즘을 사용하여 비밀번호를 암호화해야하므로 1, 2 및 5 지점에 공식적으로 응답합니다. 다시 한 번, 개인 키는 보안 정책을 위반하므로 개인 키를 제공 할 수 없습니다.

포인트 3. 데이터가 있다면 제공하십시오. 당신이 그것을 모을 필요가 없었기 때문에 그렇지 않다면 그렇게 말하고 새로운 요구 사항을 충족시키는 방법을 보여주십시오.


18

서버의 보안 감사관은 2 주 내에 다음을 요구했습니다 .

...

보안 감사에 실패하면 카드 처리 플랫폼 (시스템의 중요한 부분)에 대한 액세스가 느슨해지며 다른 곳으로 이동하는 데 2 ​​주가 소요됩니다 . 내가 얼마나 망했어?

자신의 질문에 답한 것처럼 보입니다. 힌트를 보려면 굵게 표시된 텍스트를 참조하십시오.

단 하나의 해결책 만 생각하면됩니다. 모든 사람이 마지막 암호와 현재 암호를 기록한 다음 즉시 새 암호로 변경하도록하십시오. 암호 품질 (및 암호에서 암호로의 전환 품질, 예를 들어 아무도 rfvujn125사용한 다음 rfvujn126 을 다음 암호로 사용하지 않도록하기 위해)을 테스트하려는 경우 이전 암호 목록이 충분해야합니다.

만약 그것이 받아 들여지지 않는다면, 그 남자가 Anonymous / LulzSec의 멤버라고 생각합니다. 그 시점에서 당신은 그의 핸들이 무엇인지 물어보고 그런 스크럽이 그만두라고 말해줘야합니다!


21
사람들에게 다른 사람에게 자신의 암호를 제공하도록 요구해서는 안됩니다.
크리스 파머

사용자에게 현재 비밀번호를 기록하고 강제로 변경하는 대신 우수한 비밀번호 변경 기능을 개발하십시오. 예를 들어, 비밀번호 변경 화면에서 사용자는 old_pass 및 new_pass를 모두 입력합니다. 일련의 자동 검사를 개발하십시오. 예를 들어, old_pass에서 두 개 이상의 문자가 같은 위치에있는 new_pass에 있어야합니다. 또는 순서에 상관없이 어느 위치에서나 4 자 이하로 재사용 할 수 있습니다. 또한 new_pass가 이전 비밀번호로 작동하지 않는지 확인하십시오. 예, rfvujn125 / jgwoei125 / rfvujn126과 같은 일련의 보안되지 않은 암호를 얻을 수는 있지만 허용됩니다.
jimbob 박사

17

oli가 말했듯이 : 문제의 사람이 법률 (데이터 보호 / EU 기밀성 지침) / 내부 규정 / PCI 표준을 위반하도록 노력하고 있습니다. 이미 생각한대로 경영진에게 통보해야 할뿐만 아니라 제안 된대로 경찰에 신고 할 수도 있습니다.

문제의 사람이 CISA (Certified Information Systems Auditor) 또는 미국 CPA (공공 회계사 지정)와 같은 일종의 인증 / 인증을 보유한 경우 인증 기관에이를 조사하도록 알릴 수도 있습니다. 그 사람이 당신이 법을 어기도록 노력할뿐만 아니라 극도로 무능한 "감사"일뿐 아니라 인증 된 감사관이 인증 상실의 고통을 감수해야하는 모든 윤리 감사 기준에 위배 될 수 있습니다.

또한 문제의 사람이 더 큰 회사의 구성원 인 경우, 앞서 언급 한 감사 조직은 종종 감사 및 감사 제출을 감독하고 불만을 조사하는 일종의 QA 부서를 요구합니다. 따라서 해당 감사 회사에 불만을 제기 할 수도 있습니다.


16

나는 아직도 공부하고 있으며 서버를 설정할 때 가장 먼저 배운 것은 평문 암호를 기록 할 수있게되면 이미 큰 위반에 대해 위험에 처한다는 것입니다. 암호를 사용하는 사용자 외에는 암호를 알 수 없습니다.

이 사람이 심각한 감사인이라면 이런 것들을 묻지 말아야합니다. 나에게 그는 그릇된 소리처럼 들린다 . 이 녀석은 완전한 바보처럼 들리기 때문에 조절 기관에 문의하십시오.

최신 정보

잠깐 그는 암호를 전송하기 위해 대칭 암호화를 사용해야하지만 데이터베이스에 일반 텍스트를 저장하거나 암호를 해독 할 수있는 방법을 제공해야한다고 생각합니다. 따라서 기본적으로 데이터베이스에 대한 모든 익명 공격이 일반 텍스트 사용자 암호를 표시 한 후에도 이것이 환경을 "보안"하는 좋은 방법이라고 생각합니다.

그는 1960 년대에 갇힌 공룡입니다.


10
"그는 90 년대에 갇힌 공룡입니다"-실제로 70 년대에 추측 할 것입니다. 1870 년은 정확해야합니다. 오거스트 커크 호프스 :)
Martin Sojka

5
90 년대? 나는 유닉스가 1970 년대에 해시 및 솔트 된 패스워드를 사용했다고 믿는다.
Rory

7
나는 Lucas가 그것을 1960 년대로 바꾸 었다는 사실을 좋아한다 :)
rickyduck

1
가정용 마이크로 시스템을 제외한 모든 컴퓨터에 심각한 암호가있어 일반 텍스트로 저장 한 적이 있습니까?
XTL

아마 아주 오래 전에 ... 어떤 자습서도 가리킬 수 없습니다. 그러나이 사이트는 홈 시스템에 적합하지 않습니다. superuser.com을 참조하십시오. 어쨌든 신용 카드 정보 / 암호를 일반 텍스트로 저장해야하는 이유는 무엇입니까? 제대로 설계되지 않은 시스템 만 수행합니다.
Lucas Kauffman

13
  • 모든 서버의 모든 사용자 계정에 대한 현재 사용자 이름 및 일반 텍스트 비밀번호 목록
    • 현재 사용자 이름은 "우리는 이것을 릴리스 할 수 있습니다"의 범위 내에있을 수 있으며 "우리는 이것을 보여줄 수 있지만 오프 사이트로 가져갈 수는 없습니다"범위 내에 있어야합니다.
    • 일반 텍스트 암호는 단방향 해시보다 오래 지속되어서는 안되며 절대로 메모리를 떠나지 않아야합니다 (전선을 가로 지르지 않아야 함). 영구 저장소에 존재하는 것은 결코 아닙니다.
  • 지난 6 개월 동안의 모든 비밀번호 변경 사항 목록을 일반 텍스트로 다시 표시
    • "영구 저장 공간은 없습니다"를 참조하십시오.
  • 지난 6 개월 동안 "원격 장치에서 서버에 추가 된 모든 파일"목록
    • 이는 지불 처리 서버와의 파일 전송을 기록하기 위해 필요할 수 있습니다. 로그가 있으면 전달해도됩니다. 로그가없는 경우 해당 정보 로깅에 대한 관련 보안 정책의 내용을 확인하십시오.
  • 모든 SSH 키의 공개 및 개인 키
    • 정책에 'SSH 키에 암호가 있어야합니다'를 확인하려는 시도가있을 수 있습니다. 모든 개인 키에 암호 문구를 원합니다.
  • 일반 텍스트 비밀번호를 포함하여 사용자가 비밀번호를 변경할 때마다 이메일이 발송됩니다.
    • 이것은 가장 확실한 것입니다.

필요에 따라 PCI 준수, SOX_compliance 및 내부 보안 정책 문서가 뒷받침하는 답변에 따라 답변을 드리겠습니다.


11

이 사람들은 높은 하늘에 악취를 요청하고 여기에서 나오는 모든 통신문이 CTO를 통과해야한다는 데 동의합니다. 그는 해당 요청을 충족시키지 못하거나 기밀 정보를 공개하지 못했거나 심하게 무능한 사람으로 추락 한 사람으로 만들려고합니다. 잘하면 CTO / 관리자 가이 녀석 요청에 대해 이중 조치를 취하고 긍정적 인 조치가 취해질 것입니다. ti는 그것이 일어날 경우 어떤 곳을 찾기 시작할 때인 것 같습니다.


11

암호에 대한 크래킹 인프라를 구축하는 데 시간과 노력이 필요하지만 SHA256과 같은 강력한 해싱을 사용하기 때문에 2 주 내에 암호를 제공하지 못할 수도 있습니다. 또한 본인은 법무 부서에 연락하여이 데이터를 다른 사람과 공유하는 것이 합법적인지 확인했습니다. PCI DSS는 또한 당신이 언급 한대로 좋은 아이디어입니다. :)

이 게시물을 읽으면 동료들이 충격을받습니다.


10

허니팟 계정의 사용자 이름 / 암호 / 개인 키 목록을 제공하고 싶은 경우가 있습니다.이 계정에 대한 로그인을 테스트 한 경우 컴퓨터 시스템에 대한 무단 액세스를 허용합니다. 불행히도 이것은 아마도 사기성 표현을 위해 최소한 일종의 민사 불법 행위에 노출 될 수 있습니다.


9

비밀번호에 액세스 할 수 없으므로 비밀번호를 전달할 수 없다는 내용의 정보 공개를 거부하십시오. 감사인으로서 그는 일부 기관을 대표해야합니다. 이러한 기관은 일반적으로 그러한 감사에 대한 지침을 게시합니다. 그러한 요청이 해당 지침을 준수하는지 확인하십시오. 그러한 협회에 불만을 제기 할 수도 있습니다. 또한 모든 잘못을 범했을 때 그 책임이 그에게 돌아갈 수 있다는 것을 감사인에게 분명히하십시오.


8

요청한 정보를 제공 할 수있는 방법이 없습니다.

  • 사용자 이름은 시스템에 액세스 할 수있는 계정에 대한 통찰력을 제공합니다. 보안 위험
  • 암호 기록은 체인의 다음 암호를 추측하여 공격 가능성을 제공하는 데 사용되는 암호 패턴에 대한 통찰력을 제공합니다.
  • 시스템으로 전송 된 파일에는 시스템 공격에 사용될 수있는 기밀 정보가 포함되어있을뿐만 아니라 파일 시스템 구조에 대한 통찰력이 제공 될 수 있습니다
  • 공개 키와 개인 키, 의도 한 사용자가 아닌 다른 사람에게 키를 제공 할 경우 그 키를 어떻게 생각할 수 있습니까?
  • 사용자가 비밀번호를 변경할 때마다 전송되는 이메일은 모든 사용자 계정에 대한 최신 비밀번호를 제공합니다.

이 남자가 당신의 친구를 잡아 당기고 있습니다! 그의 까다로운 요구를 확인하려면 관리자 또는 회사의 다른 감사인과 연락해야합니다. 최대한 빨리 이동하십시오.


0

지금까지 문제가 해결되었지만 미래 독자의 이익을 위해 ...

그걸 고려해서:

  • 이것에 1 시간 이상을 보낸 것 같습니다.

  • 회사의 법률 고문과 상담해야합니다.

  • 계약을 변경 한 후 많은 작업을 요구하고 있습니다.

  • 당신은 돈과 시간이 더 이상 전환됩니다.

미리 많은 돈이 필요하고 최소 4 시간이 필요하다는 것을 설명해야합니다.

지난 몇 번, 나는 누군가에게 갑자기 그렇게별로 필요하지 않다고 말했습니다.

전환 중에 발생하는 모든 손실과 계약이 변경되었으므로 소요 된 시간에 대해 청구 할 수 있습니다. 나는 그들이 당신이 그 시간 안에 준수 할 것이라고 생각했던 것처럼 2 주 안에 돈을 지불 할 것이라고 말하지 않습니다. 그들은 일방적 일 것입니다.

변호사 사무실에서 수금 통지를 보내면 딸랑이 소리가납니다. 감사 회사의 소유자의 관심을 끌 것입니다.

나는 그 문제를 더 논의하기 위해 필요한 일에 대한 예치금을 수반 할 것입니다. 그럼 당신은 그들에게 알리는 대가를 지불받을 수 있습니다.

계약이 효력을 발휘하고 다른 쪽 사람이 난관을 타는 것은 이상합니다. 보안이나 지능 테스트가 아니라면 인내심을 테스트하는 것입니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.