Un auditor de seguridad para nuestros servidores ha exigido lo siguiente en dos semanas:

• Una lista de nombres de usuario actuales y contraseñas de texto sin formato para todas las cuentas de usuario en todos los servidores
• Una lista de todos los cambios de contraseña de los últimos seis meses, nuevamente en texto sin formato
• Una lista de "cada archivo agregado al servidor desde dispositivos remotos" en los últimos seis meses
• Las claves públicas y privadas de cualquier clave SSH
• Un correo electrónico enviado cada vez que un usuario cambia su contraseña, que contiene la contraseña de texto sin formato

Estamos ejecutando cajas Red Hat Linux 5/6 y CentOS 5 con autenticación LDAP.

Hasta donde sé, todo lo que está en esa lista es imposible o increíblemente difícil de obtener, pero si no proporciono esta información, enfrentaremos la pérdida de acceso a nuestra plataforma de pagos y la pérdida de ingresos durante un período de transición a medida que avanzamos a un nuevo servicio ¿Alguna sugerencia sobre cómo puedo resolver o falsificar esta información?

La única forma en que puedo pensar en obtener todas las contraseñas de texto sin formato es hacer que todos restablezcan su contraseña y tomen nota de lo que han configurado. Eso no resuelve el problema de los últimos seis meses de cambios de contraseña, porque no puedo registrar retroactivamente ese tipo de cosas, lo mismo ocurre con el registro de todos los archivos remotos.

Es posible obtener todas las claves SSH públicas y privadas (aunque molestas), ya que solo tenemos unos pocos usuarios y computadoras. ¿A menos que haya perdido una forma más fácil de hacer esto?

Le he explicado muchas veces que las cosas que pide son imposibles. En respuesta a mis inquietudes, respondió con el siguiente correo electrónico:

Tengo más de 10 años de experiencia en auditoría de seguridad y una comprensión total de los métodos de seguridad de redhat, por lo que le sugiero que verifique sus hechos sobre lo que es y lo que no es posible. Usted dice que ninguna compañía podría tener esta información, pero he realizado cientos de auditorías donde esta información ha estado disponible. Todos los clientes [proveedores de procesamiento de tarjetas de crédito genéricas] deben cumplir con nuestras nuevas políticas de seguridad y esta auditoría tiene como objetivo garantizar que esas políticas se hayan implementado * correctamente.

* Las "nuevas políticas de seguridad" se introdujeron dos semanas antes de nuestra auditoría, y los seis meses de registro histórico no fueron necesarios antes de que la política cambie.

En resumen, lo necesito;

• Una forma de "falsificar" seis meses de cambios de contraseña y hacer que parezca válido
• Una forma de "falsificar" seis meses de transferencias de archivos entrantes
• Una manera fácil de recopilar todas las claves públicas y privadas de SSH que se utilizan

Si fallamos en la auditoría de seguridad, perdemos el acceso a nuestra plataforma de procesamiento de tarjetas (una parte crítica de nuestro sistema) y nos llevaría unas buenas dos semanas trasladarnos a otro lugar. ¿Qué tan jodido estoy?

Actualización 1 (sábado 23)

Gracias por todas sus respuestas. Me da un gran alivio saber que esta no es una práctica estándar.

Actualmente estoy planeando mi respuesta por correo electrónico para explicarle la situación. Como muchos de ustedes señalaron, tenemos que cumplir con PCI, que establece explícitamente que no deberíamos tener ninguna forma de acceder a las contraseñas de texto sin formato. Publicaré el correo electrónico cuando termine de escribirlo. Desafortunadamente no creo que solo nos esté probando; Estas cosas están en la política de seguridad oficial de la compañía ahora. Sin embargo, por el momento he puesto las ruedas en movimiento para alejarme de ellas y entrar en PayPal.

Actualización 2 (sábado 23)

Este es el correo electrónico que he redactado, ¿alguna sugerencia de cosas para agregar / eliminar / cambiar?

Nombre Hola],

Desafortunadamente, no hay forma de que podamos proporcionarle parte de la información solicitada, principalmente contraseñas de texto sin formato, historial de contraseñas, claves SSH y registros de archivos remotos. Estas cosas no solo son técnicamente imposibles, sino que también ser capaz de proporcionar esta información sería una violación de los estándares PCI y una violación de la ley de protección de datos.
Para citar los requisitos de PCI,

8.4 Haga que todas las contraseñas sean ilegibles durante la transmisión y el almacenamiento en todos los componentes del sistema utilizando una criptografía sólida.

Puedo proporcionarle una lista de nombres de usuario y contraseñas hash utilizadas en nuestro sistema, copias de las claves públicas SSH y el archivo de hosts autorizados (Esto le dará suficiente información para determinar la cantidad de usuarios únicos que pueden conectarse a nuestros servidores y el cifrado métodos utilizados), información sobre nuestros requisitos de seguridad de contraseña y nuestro servidor LDAP, pero esta información no se puede sacar del sitio. Le sugiero encarecidamente que revise sus requisitos de auditoría, ya que actualmente no hay forma de que pasemos esta auditoría mientras cumplimos con PCI y la Ley de Protección de Datos.

Saludos,
[yo]

Estaré contactando al CTO de la compañía y a nuestro gerente de cuentas, y espero que el CTO pueda confirmar que esta información no está disponible. También me pondré en contacto con el Consejo de Normas de Seguridad de PCI para explicar lo que nos exige.

Actualización 3 (26)

Aquí hay algunos correos electrónicos que intercambiamos;

RE: mi primer correo electrónico;

Como se explicó, esta información debería estar fácilmente disponible en cualquier sistema bien mantenido para cualquier administrador competente. El hecho de que no pueda proporcionar esta información me lleva a creer que conoce las fallas de seguridad en su sistema y no está preparado para revelarlas. Nuestras solicitudes se alinean con las pautas de PCI y ambas se pueden cumplir. La criptografía sólida solo significa que las contraseñas deben estar encriptadas mientras el usuario las ingresa, pero luego deben moverse a un formato recuperable para su uso posterior.

No veo problemas de protección de datos para estas solicitudes, la protección de datos solo se aplica a los consumidores, no a las empresas, por lo que no debería haber problemas con esta información.

Simplemente, qué, no puedo, incluso ...

"Una criptografía sólida solo significa que las contraseñas deben estar encriptadas mientras el usuario las ingresa, pero luego deben moverse a un formato recuperable para su uso posterior".

Voy a enmarcar eso y ponerlo en mi pared.

Me harté de ser diplomático y lo dirigí a este hilo para mostrarle la respuesta que obtuve:

Proporcionar esta información DIRECTAMENTE contradice varios requisitos de las pautas de PCI. La sección que cité incluso dice storage (lo que implica dónde almacenamos los datos en el disco). Comencé una discusión en ServerFault.com (una comunidad en línea para profesionales de administración de sistemas) que ha creado una gran respuesta, todo lo cual sugiere que no se puede proporcionar esta información. Siéntete libre de leer a través de ti mismo

https://serverfault.com/questions/293217/

Hemos terminado de trasladar nuestro sistema a una nueva plataforma y cancelaremos nuestra cuenta con usted dentro del día siguiente más o menos, pero quiero que se dé cuenta de lo ridículas que son estas solicitudes, y ninguna compañía que implemente correctamente las pautas de PCI lo hará o debería, poder proporcionar esta información. Le sugiero que reconsidere sus requisitos de seguridad, ya que ninguno de sus clientes debería ser capaz de cumplir con esto.

(De hecho, había olvidado que lo había llamado idiota en el título, pero como mencioné, ya nos habíamos alejado de su plataforma, así que no había pérdida real).

Y en su respuesta, afirma que aparentemente ninguno de ustedes sabe de lo que están hablando:

Leí en detalle a través de esas respuestas y su publicación original, todos los que responden deben tener sus datos correctos. He estado en esta industria más tiempo que nadie en ese sitio, obtener una lista de contraseñas de cuentas de usuario es increíblemente básico, debería ser una de las primeras cosas que hace al aprender cómo proteger su sistema y es esencial para el funcionamiento de cualquier seguridad servidor. Si realmente carece de las habilidades para hacer algo así de simple, asumiré que no tiene PCI instalado en sus servidores, ya que poder recuperar esta información es un requisito básico del software. Cuando se trata de algo como la seguridad, no debe hacer estas preguntas en un foro público si no tiene un conocimiento básico de cómo funciona.

También me gustaría sugerir que cualquier intento de revelarme, o [nombre de la compañía] se considerará difamación y se tomarán las acciones legales apropiadas

Puntos idiotas clave si te los perdiste:

• Ha sido auditor de seguridad más tiempo que cualquier otra persona aquí (lo está adivinando o acechando)
• Poder obtener una lista de contraseñas en un sistema UNIX es 'básico'
• PCI ahora es software
• Las personas no deberían usar foros cuando no están seguros de la seguridad
• Publicar información objetiva (de la que tengo prueba de correo electrónico) en línea es difamación

Excelente.

PCI SSC ha respondido y lo está investigando a él y a la compañía. Nuestro software ahora se ha movido a PayPal, por lo que sabemos que es seguro. Voy a esperar a que PCI me responda primero, pero me preocupa un poco que puedan haber estado utilizando estas prácticas de seguridad internamente. Si es así, creo que es una gran preocupación para nosotros, ya que todo el procesamiento de nuestra tarjeta pasó por ellos. Si lo hicieran internamente, creo que lo único responsable sería informar a nuestros clientes.

Espero que cuando PCI se dé cuenta de lo malo que es, investigarán a toda la empresa y el sistema, pero no estoy seguro.

Así que ahora nos hemos alejado de su plataforma, y ​​suponiendo que pasen al menos unos días antes de que PCI me responda, ¿alguna sugerencia ingeniosa sobre cómo molestarlo un poco? =)

Una vez que haya obtenido la autorización de mi persona jurídica (dudo mucho de que esto sea realmente difamación, pero quería comprobarlo dos veces), publicaré el nombre de la empresa, su nombre y correo electrónico, y si lo desea, puede contactarlo y explicarle por qué no comprende los conceptos básicos de la seguridad de Linux, como cómo obtener una lista de todas las contraseñas de los usuarios de LDAP.

Pequeña actualización:

Mi "persona jurídica" ha sugerido que revelar que la compañía probablemente causaría más problemas de los necesarios. Sin embargo, puedo decir que este no es un proveedor importante, tienen menos de 100 clientes que utilizan este servicio. Originalmente comenzamos a usarlos cuando el sitio era pequeño y funcionaba con un pequeño VPS, y no queríamos hacer todo el esfuerzo de obtener PCI (solíamos redirigir a su interfaz, como PayPal Standard). Pero cuando pasamos a procesar tarjetas directamente (incluida la obtención de PCI y el sentido común), los desarrolladores decidieron seguir usando la misma compañía con una API diferente. La compañía tiene su sede en el área de Birmingham, Reino Unido, por lo que dudo mucho que alguien aquí se vea afectado.

Primero, NO capitules. No solo es un idiota, sino PELIGROSAMENTE equivocado. De hecho, divulgar esta información violaría el estándar PCI (que es para lo que supongo que es la auditoría, ya que es un procesador de pagos) junto con todos los demás estándares existentes y simplemente sentido común. También expondría a su empresa a todo tipo de responsabilidades.

Lo siguiente que haría es enviarle un correo electrónico a su jefe para decirle que necesita involucrar a un asesor corporativo para determinar la exposición legal que enfrentaría la empresa al proceder con esta acción.

Esto último depende de usted, pero me pondría en contacto con VISA con esta información y obtendría el estado de su auditor PCI.

Como alguien que ha pasado por el procedimiento de auditoría con Price Waterhouse Coopers por un contrato gubernamental clasificado, puedo asegurarle que esto está totalmente fuera de discusión y este tipo está loco.

Cuando PwC quería verificar la seguridad de nuestra contraseña, ellos:

• Pidió ver nuestros algoritmos de seguridad de contraseña
• Corrimos unidades de prueba contra nuestros algoritmos para verificar que negarían contraseñas deficientes
• Se le pidió ver nuestros algoritmos de cifrado para garantizar que no pudieran ser revertidos o no cifrados (incluso en las tablas de arco iris), incluso por alguien que tuviera acceso completo a todos los aspectos del sistema.
• Se verificó que las contraseñas anteriores se almacenaron en caché para garantizar que no se pudieran reutilizar
• Nos pidieron permiso (que les otorgamos) para que intentaran ingresar a la red y los sistemas relacionados utilizando técnicas de ingeniería no social (cosas como xss y exploits de día no 0)

Si incluso hubiera insinuado que podría mostrarles cuáles eran las contraseñas de los usuarios en los últimos 6 meses, nos habrían excluido del contrato de inmediato.

Si fuera posible proporcionar estos requisitos, fallaría instantáneamente en cada auditoría que valga la pena tener.

Actualización: su correo electrónico de respuesta se ve bien. Mucho más profesional que cualquier cosa que hubiera escrito.

Honestamente, parece que este tipo (el auditor) te está tendiendo una trampa. Si le das la información que está pidiendo, acabas de demostrarle que puedes ser diseñado socialmente para entregar información interna crítica. Fallar.

Acabo de ver que estás en el Reino Unido, lo que significa que lo que te está pidiendo que hagas es violar la ley (la Ley de Protección de Datos, de hecho). También estoy en el Reino Unido, trabajo para una gran empresa fuertemente auditada y conozco la ley y las prácticas comunes en esta área. También soy un trabajo muy desagradable que felizmente pondrá un sello a este tipo para ti si te gusta solo por diversión, avísame si quieres ayuda.

Estás siendo diseñado socialmente. Ya sea para 'probarlo' o es un hacker haciéndose pasar por un auditor para obtener algunos datos muy útiles.

Estoy seriamente preocupado por la falta de OP de las habilidades éticas de resolución de problemas y la comunidad de fallas del servidor que ignora esta violación flagrante de conducta ética.

En resumen, lo necesito;

• Una forma de "falsificar" seis meses de cambios de contraseña y hacer que parezca válido
• Una forma de 'falsificar' seis meses de transferencias de archivos entrantes

Déjame ser claro en dos puntos:

1. Nunca es apropiado falsificar datos durante el curso de un negocio normal.
2. Nunca debe divulgar este tipo de información a nadie. Siempre.

No es su trabajo falsificar registros. Es su trabajo asegurarse de que todos los registros necesarios estén disponibles, sean precisos y seguros.

La comunidad aquí en Server Fault debe tratar este tipo de preguntas como el sitio stackoverflow trata las preguntas de "tarea". No puede abordar estos problemas solo con una respuesta técnica o ignorar la violación de la responsabilidad ética.

Ver tantos usuarios de alta reputación responde aquí en este hilo y no mencionar las implicaciones éticas de la pregunta me entristece.

Animo a todos a leer el Código de Ética de los Administradores del Sistema SAGE .

Por cierto, su auditor de seguridad es un idiota, pero eso no significa que necesite sentir presión para no ser ético en su trabajo.

Editar: sus actualizaciones no tienen precio. Mantén la cabeza baja, el polvo seco y no tomes (ni des) niqueles de madera.

No puedes darle lo que quieres, y es probable que los intentos de "falsificarlo" vuelvan a morderte el culo (posiblemente de manera legal). Debe apelar la cadena de mando (es posible que este auditor se haya vuelto pícaro, aunque las auditorías de seguridad son notoriamente idiotas; pregúnteme sobre el auditor que quería poder acceder a un AS / 400 a través de SMB), o aléjese. fuera de debajo de estos onorosos requisitos.

Ni siquiera son una buena seguridad: una lista de todas las contraseñas de texto sin formato es algo increíblemente peligroso que se produzca, independientemente de los métodos utilizados para salvaguardarlas, y apuesto a que este tipo querrá que se envíen por correo electrónico en texto sin formato . (Estoy seguro de que ya lo sabes, solo tengo que darme un respiro).

Para mierdas y risas, pregúntele directamente cómo ejecutar sus requisitos: admita que no sabe cómo y le gustaría aprovechar su experiencia. Una vez que haya salido y se haya ido, una respuesta a su "Tengo más de 10 años de experiencia en auditoría de seguridad" sería "no, tiene 5 minutos de experiencia repetidos cientos de veces".

Ningún auditor debe fallarle si encuentra un problema histórico que ya ha solucionado. De hecho, eso es evidencia de buen comportamiento. Con eso en mente, sugiero dos cosas:

a) No mientas ni inventes cosas. b) Lea sus políticas.

La declaración clave para mí es esta:

Todos los clientes de [proveedor de procesamiento de tarjetas de crédito genérico] deben cumplir con nuestras nuevas políticas de seguridad

Apuesto a que hay una declaración en esas políticas que dice que las contraseñas no pueden escribirse ni transmitirse a nadie más que al usuario. Si es así, aplique esas políticas a sus solicitudes. Sugiero manejarlo así:

• Una lista de nombres de usuario actuales y contraseñas de texto sin formato para todas las cuentas de usuario en todos los servidores

Muéstrele una lista de nombres de usuario, pero no permita que se los quiten. Explique que dar contraseñas de texto sin formato es a) imposible ya que es unidireccional, yb) en contra de la política, contra la cual lo está auditando, por lo que no obedecerá.

• Una lista de todos los cambios de contraseña de los últimos seis meses, nuevamente en texto sin formato

Explique que esto no estuvo históricamente disponible. Dele una lista de los últimos tiempos de cambio de contraseña para mostrar que esto se está haciendo ahora. Explique, como se indicó anteriormente, que no se proporcionarán contraseñas.

• Una lista de "cada archivo agregado al servidor desde dispositivos remotos" en los últimos seis meses

Explique qué se registra y qué no. Proporcione lo que pueda. No proporcione nada confidencial y explique por política por qué no. Pregunte si necesita mejorar su registro.

• Las claves públicas y privadas de cualquier clave SSH

Mire su política de gestión de claves. Debe indicar que las claves privadas no están permitidas fuera de su contenedor y tienen condiciones estrictas de acceso. Aplique esa política y no permita el acceso. Las claves públicas son felizmente públicas y se pueden compartir.

• Un correo electrónico enviado cada vez que un usuario cambia su contraseña, que contiene la contraseña de texto sin formato

Solo di no. Si tiene un servidor de registro seguro local, permítale ver que esto se está registrando in situ.

Básicamente, y lamento decir esto, pero tienes que jugar duro con este chico. Siga su política exactamente, no se desvíe. No mientas. Y si le falla por algo que no está en la política, quejarse con sus superiores en la empresa que lo envió. Reúna un rastro en papel de todo esto para demostrar que ha sido razonable. Si rompes tu política, estás a su merced. Si los sigues al pie de la letra, terminará siendo despedido.

Sí, el auditor es un idiota. Sin embargo, como saben, a veces los idiotas se colocan en posiciones de poder. Este es uno de esos casos.

La información que solicita tiene cero que ver con la actual de la seguridad del sistema. Explique al auditor que está utilizando LDAP para la autenticación y que las contraseñas se almacenan utilizando un hash unidireccional. A menos que haga una secuencia de comandos de fuerza bruta contra los valores hash de contraseña (que podría llevar semanas (o años), no podrá proporcionar las contraseñas).

Del mismo modo, los archivos remotos: me gustaría escuchar, tal vez, cómo cree que debería poder diferenciar entre los archivos creados directamente en el servidor y un archivo que se SCP al servidor.

Como dijo @womble, no finjas nada. Eso no servirá de nada. O abandone esta auditoría y multa a otro corredor, o encuentre una manera de convencer a este "profesional" de que su queso se ha desprendido de su galleta.

Pídale a su "auditor de seguridad" que señale cualquier texto de cualquiera de estos documentos que tenga sus requisitos y mire mientras lucha por encontrar una excusa y, finalmente, se excusa para no volver a recibir noticias suyas.

WTF! Lo siento, pero esa es mi única reacción a esto. No he oído hablar de requisitos de auditoría que requieran una contraseña de texto sin formato, y mucho menos proporcionarles las contraseñas a medida que cambian.

Primero, pídale que le muestre el requisito de que se lo proporcione.

En segundo lugar, si esto es para PCI (que todos suponemos ya que es una pregunta sobre el sistema de pago), vaya aquí: https://www.pcisecuritystandards.org/approved_companies_providers/qsa_companies.php y obtenga un nuevo auditor.

Tercero, siga lo que dijeron anteriormente, comuníquese con su gerencia y pídales que se comuniquen con la compañía QSA con la que está trabajando. Luego, inmediatamente obtenga otro auditor.

Los auditores auditan estados, estándares, procesos, etc. del sistema. No necesitan tener ninguna información que les proporcione acceso a los sistemas.

Si desea auditores recomendados o colores alternativos que trabajen estrechamente con los auditores, comuníquese conmigo y con gusto le proporcionaré referencias.

¡Buena suerte! Confíe en su instinto, si algo parece estar mal, probablemente lo esté.

No hay una razón legítima para que él sepa la contraseña y tenga acceso a las claves privadas. Lo que solicitó le daría la capacidad de hacerse pasar por cualquiera de sus clientes en cualquier momento y extraer todo el dinero que quiera, sin ninguna forma de detectarlo como una posible transacción fraudulenta. Será exactamente el tipo de amenazas de seguridad por las que se supone que debe auditarte.

Notifique a la gerencia que el Auditor le ha solicitado que viole sus políticas de seguridad y que la solicitud es ilegal. Sugiérales que quieran deshacerse de la firma de auditoría actual y encontrar una legítima. Llame a la policía y entregue al auditor para solicitar información ilegal (en el Reino Unido). Luego llame al PCI y entregue al Auditor su solicitud.

La solicitud es similar a pedirte que asesines a alguien al azar y le entregues el cuerpo. ¿Podrías hacer eso? o llamarías a la policía y los entregarías?

Responda con una demanda . Si un auditor solicita contraseñas de texto sin formato (vamos, no es tan difícil forzar o descifrar hashes de contraseñas débiles), probablemente le mintieron acerca de sus credenciales.

Solo un consejo con respecto a cómo redacta su respuesta:

Desafortunadamente, no hay forma de que podamos proporcionarle parte de la información solicitada, principalmente contraseñas de texto sin formato, historial de contraseñas, claves SSH y registros de archivos remotos. Estas cosas no solo son técnicamente imposibles ...

Reformularía esto para evitar entrar en una discusión sobre la viabilidad técnica. Al leer el horrible correo electrónico inicial enviado por el auditor, parece que es alguien que puede elegir los detalles que no están relacionados con el problema principal, y podría argumentar que podría guardar contraseñas, iniciar sesión, etc. :

... Debido a nuestras estrictas políticas de seguridad, nunca hemos registrado contraseñas en texto plano. Por lo tanto, será técnicamente imposible proporcionar estos datos.

O

... No solo estaríamos reduciendo significativamente nuestro nivel de seguridad interna al cumplir con su solicitud, ...

¡Buena suerte y manténganos informados sobre cómo termina esto!

A riesgo de continuar con la avalancha de usuarios de alta reputación que intervienen en esta pregunta, aquí están mis pensamientos.

Puedo ver vagamente por qué quiere las contraseñas de texto sin formato, y eso es para juzgar la calidad de las contraseñas en uso. Es una manera horrible de hacerlo, la mayoría de los auditores que conozco aceptarán los hash encriptados y ejecutarán una galleta para ver qué tipo de fruta baja pueden sacar. Todos ellos repasarán la política de complejidad de contraseña y revisarán qué medidas de seguridad existen para hacer cumplir eso.

Pero tienes que entregar algunas contraseñas. Sugiero (aunque creo que ya lo ha hecho) preguntarle cuál es el objetivo de la entrega de la contraseña de texto sin formato. Dijo que es para validar su cumplimiento frente a la política de seguridad, así que haga que le dé esa política. Pregúntele si aceptará que su régimen de complejidad de contraseña es lo suficientemente robusto como para evitar que los usuarios establezcan su contraseña P@55w0rdy que hayan estado vigentes durante los 6 meses en cuestión.

Si lo empuja, es posible que tenga que admitir que no puede entregar contraseñas de texto sin formato, ya que no está configurado para grabarlas (lo que es una falla de seguridad importante), pero puede tratar de hacerlo en el futuro si lo requiere verificación directa de que sus políticas de contraseña están funcionando. Y si él quiere demostrarlo, con gusto le proporcionará la base de datos de contraseñas encriptadas para él (¡o para usted!

Es probable que los "archivos remotos" puedan extraerse de los registros SSH para las sesiones SFTP, de lo que sospecho que está hablando. Si no tiene 6 meses de syslogging, será difícil de producir. ¿Usar wget para extraer un archivo de un servidor remoto mientras está conectado a través de SSH se considera una 'transferencia de archivos remota'? ¿Son HTTP PUT? ¿Archivos creados a partir del texto del portapapeles en la ventana de terminal del usuario remoto? En todo caso, puede molestarlo con estos casos extremos para tener una mejor idea de sus preocupaciones en esta área y tal vez inculcar el sentimiento "Sé más sobre esto que tú", así como las tecnologías específicas en las que está pensando. Luego extraiga lo que pueda de los registros y registros archivados en las copias de seguridad.

No tengo nada en las claves SSH. Lo único en lo que puedo pensar es que está buscando claves sin contraseña por alguna razón, y tal vez la fuerza de cifrado. De lo contrario, no tengo nada.

En cuanto a obtener esas claves, cosechar al menos las claves públicas es bastante fácil; simplemente troll las carpetas .ssh buscándolas. Obtener las claves privadas implicará ponerse su sombrero BOFH y hostigar a sus usuarios con la melodía de "Enviarme sus pares de claves SSH públicas y privadas. Cualquier cosa que no obtenga será purgada de los servidores en 13 días", y si alguien grazna (quisiera) señalarlos en la auditoría de seguridad. El scripting es tu amigo aquí. Como mínimo, hará que un montón de pares de claves sin contraseña obtengan contraseñas.

Si todavía insiste en "contraseñas de texto sin formato en el correo electrónico", al menos someta esos correos electrónicos a cifrado GPG / PGP con su propia clave. Cualquier auditor de seguridad que valga la pena debería ser capaz de manejar algo así. De esa manera, si las contraseñas se filtran, será porque él las dejó salir, no tú. Sin embargo, otra prueba de fuego para la competencia.

Tengo que estar de acuerdo con Zypher y Womble en este caso. Peligroso idiota con consecuencias peligrosas.

Probablemente te esté probando para ver si eres un riesgo de seguridad. Si le proporciona estos detalles, probablemente será despedido de inmediato. Lleva esto a tu jefe inmediato y pasa el dinero. Hazle saber a tu jefe que involucrarás a las autoridades relevantes si este trasero se acerca a ti nuevamente.

Por eso se paga a los jefes.

¡Tengo una visión de un trozo de papel que quedó en la parte trasera de un taxi que tiene una lista de contraseñas, claves SSH y nombres de usuario! Hhhmmm! ¡Puedo ver los titulares de los periódicos ahora mismo!

Actualizar

En respuesta a los 2 comentarios a continuación, supongo que ambos tienen buenos puntos para hacer. No hay forma de descubrir realmente la verdad y el hecho de que la pregunta se haya publicado muestra un poco de ingenuidad por parte del póster, así como el coraje para enfrentar una situación adversa con posibles consecuencias profesionales en las que otros podrían meter la cabeza en el arena y salir corriendo.

Mi conclusión sobre lo que vale la pena es que este es un debate completamente interesante que probablemente ha hecho que la mayoría de los lectores se pregunten qué harían en esta situación, independientemente de si el auditor o las políticas de los auditores son competentes o no. La mayoría de las personas se enfrentarán a este tipo de dilema de alguna forma en su vida laboral y esto realmente no es el tipo de responsabilidad que debe llevarse a los hombros de una sola persona. Es una decisión comercial en lugar de una decisión individual sobre cómo lidiar con esto.

Claramente, hay mucha buena información aquí, pero permítanme agregar mi 2c, como alguien que escribe software que mi empleador vende en todo el mundo a grandes empresas principalmente para ayudar a las personas a cumplir con las políticas de seguridad de administración de cuentas y aprobar auditorías; por lo que vale.

Primero, esto suena muy sospechoso, como usted (y otros) han notado. O bien el auditor solo está siguiendo un procedimiento que no comprende (posible), o lo está probando para detectar vulnerabilidades, por lo que la ingeniería social (poco probable después de los intercambios de seguimiento), o una ingeniería social fraudulenta (también posible), o simplemente un idiota genérico (probablemente más probable). En cuanto al consejo, le ofrecería que hable con su gerencia y / o encuentre una nueva compañía de auditoría, y / o informe esta a la agencia de supervisión correspondiente.

En cuanto a las notas, un par de cosas:

• Es posible (bajo condiciones específicas) proporcionar la información que solicitó, si su sistema está configurado para permitirlo. Sin embargo, no es en ningún sentido una "mejor práctica" para la seguridad, ni sería en absoluto común.
• En general, las auditorías están relacionadas con la validación de prácticas, no con el examen de información segura real. Sospecharía mucho de cualquiera que solicite contraseñas o certificados de texto sin formato, en lugar de los métodos utilizados para garantizar que sean "buenos" y estén protegidos correctamente.

Espero que ayude, incluso si reitera principalmente lo que otras personas han aconsejado. Al igual que usted, no voy a nombrar a mi empresa, en mi caso porque no estoy hablando por ellos (cuenta personal / opiniones y todo); disculpas si eso le resta credibilidad, pero que así sea. Buena suerte.

Esto podría y debería publicarse en la Seguridad de TI - Intercambio de pila .

No soy un experto en auditoría de seguridad, pero lo primero que aprendí sobre la política de seguridad es "NEVER GIVE PASSWORDS AWAY". Este tipo tal vez ha estado en este negocio durante 10 años, pero como dijo Womble"no, you have 5 minutes of experience repeated hundreds of times"

He estado trabajando con personas de TI bancarias durante algún tiempo, y cuando te vi publicar, se lo mostré ... Se reían tanto. Me dijeron que ese tipo parece una estafa. Solían lidiar con este tipo de cosas para la seguridad del cliente del banco.

Pedir una contraseña clara, claves SSH, registros de contraseña, es claramente una mala conducta profesional grave. Este chico es peligroso.

Espero que todo esté bien ahora, y que no tenga ningún problema con el hecho de que pueden haber mantenido un registro de su transacción anterior con ellos.

Si puede proporcionar alguna de la información (con la posible excepción de las claves públicas) solicitada en los puntos 1, 2, 4 y 5, debe esperar que falle la auditoría.

Responda formalmente a los puntos 1, 2 y 5 diciendo que no puede cumplir, ya que su política de seguridad requiere que no guarde las contraseñas de texto sin formato y que las contraseñas se cifren con un algoritmo no reversible. Al punto 4, nuevamente, no puede proporcionar las claves privadas ya que violaría su política de seguridad.

En cuanto al punto 3. Si tiene los datos, proporciónelos. Si no lo hace porque no tuvo que recolectarlo, dígalo y demuestre cómo está (trabajando para) cumplir con el nuevo requisito.

Un auditor de seguridad para nuestros servidores ha exigido lo siguiente en dos semanas :

...

Si fallamos en la auditoría de seguridad, perdemos el acceso a nuestra plataforma de procesamiento de tarjetas (una parte crítica de nuestro sistema) y nos llevaría unas buenas dos semanas trasladarnos a otro lugar . ¿Qué tan jodido estoy?

Parece que has respondido tu propia pregunta. (Consulte el texto en negrita para obtener sugerencias).

Solo se me ocurre una solución: hacer que todos escriban su contraseña actual y última y luego cambiarla de inmediato por una nueva. Si quiere probar la calidad de la contraseña (y la calidad de las transiciones de contraseña a contraseña, por ejemplo, para asegurarse de que nadie use rfvujn125 y luego rfvujn126 como su próxima contraseña), esa lista de contraseñas antiguas debería ser suficiente.

Si eso no se considera aceptable, entonces sospecharía que el tipo es miembro de Anonymous / LulzSec ... ¡en ese momento debes preguntarle cuál es su nombre y decirle que deje de ser un matorral!

Como dijo oli: la persona en cuestión está tratando de hacer que infrinja la ley (Protección de datos / directivas de confidencialidad de la UE) / regulaciones internas / estándares PCI. No solo debe notificar a la administración (como ya lo hizo, creo), sino que puede llamar a la policía como se sugiere.

Si la persona en cuestión posee algún tipo de acreditación / certificación, por ejemplo, CISA (Certified Information Systems Auditor), o el equivalente en el Reino Unido de US CPA (una designación de contador público), también puede informar a las organizaciones de acreditación para que lo investiguen. Esa persona no solo está tratando de hacer que infrinja la ley, sino que también es una "auditoría" extremadamente incompetente y probablemente en contravención de cada estándar de auditoría ética por el cual los auditores acreditados deben cumplir bajo pena de pérdida de acreditación.

Además, si la persona en cuestión es miembro de una empresa más grande, las organizaciones de auditoría mencionadas a menudo requieren algún tipo de departamento de control de calidad que supervisa la calidad de las auditorías y la presentación de auditorías e investiga las quejas. Por lo tanto, también puede intentar quejarse con la compañía de auditoría en cuestión.

Todavía estoy estudiando y lo primero que aprendí al configurar servidores es que si haces posible registrar contraseñas de texto sin formato, ya te estás poniendo en peligro por una violación gigante. No se debe conocer ninguna contraseña, excepto para el usuario que la emplea.

Si este tipo es un auditor serio, no debería preguntarte estas cosas. Para mí, suena como un malvado . Verificaría con el órgano regulador porque este tipo suena como un completo idiota.

Actualizar

Espere, él cree que debe usar un cifrado simétrico solo para transmitir la contraseña, pero luego almacenarlos en texto plano en su base de datos, o proporcionar una forma de descifrarlos. Básicamente, después de todos los ataques anónimos en las bases de datos, donde mostraban contraseñas de usuario de texto sin formato, TODAVÍA cree que esta es una buena manera de "asegurar" un entorno.

Es un dinosaurio atrapado en la década de 1960 ...

• Una lista de nombres de usuario actuales y contraseñas de texto sin formato para todas las cuentas de usuario en todos los servidores
  • Los nombres de usuario actuales PUEDEN estar dentro del alcance de "podemos liberar esto" y deben estar dentro del alcance de "podemos mostrarle esto, pero no puede sacarlo del sitio".
  • Las contraseñas de texto sin formato no deberían existir por más tiempo de lo que se necesita para un hash unidireccional y ciertamente nunca deberían dejar memoria (ni siquiera para cruzar los cables), por lo que su existencia en almacenamiento permanente es un no-no.
• Una lista de todos los cambios de contraseña de los últimos seis meses, nuevamente en texto sin formato
  • Consulte "el almacenamiento permanente es un no-no".
• Una lista de "cada archivo agregado al servidor desde dispositivos remotos" en los últimos seis meses
  • Esto puede ser para garantizar que registre las transferencias de archivos a / desde los servidores de procesamiento de pagos, si tiene los registros, debería estar bien pasarlos. Si no tiene los registros, verifique lo que dicen las políticas de seguridad relevantes sobre el registro de esa información.
• Las claves públicas y privadas de cualquier clave SSH
  • Tal vez un intento de verificar que 'las claves SSH deben tener una frase de contraseña' está en la política y se sigue. Desea frases de contraseña en todas las claves privadas.
• Un correo electrónico enviado cada vez que un usuario cambia su contraseña, que contiene la contraseña de texto sin formato
  • Esto definitivamente es un no-no.

Respondería con algo similar a mis respuestas, respaldado por el cumplimiento de PCI, cumplimiento de SOX y documentos de política de seguridad interna según sea necesario.

Estos muchachos piden malos olores, y estoy de acuerdo en que cualquier correspondencia de aquí en adelante debe pasar por el CTO. O está tratando de hacerte el chico de la caída por no poder cumplir con dicha solicitud, por divulgar información confidencial, o es muy incompetente. Con suerte, su CTO / gerente hará una doble toma de esta solicitud de los chicos y se tomarán medidas positivas, y si están detrás de las acciones de este tipo ... bueno, los buenos administradores del sistema siempre están en demanda en los clasificados, como Parece que es hora de comenzar a buscar un lugar si eso sucede.

Le diría que se necesita tiempo, esfuerzo y dinero para construir la infraestructura de descifrado de las contraseñas, pero debido a que utiliza un hashing fuerte como SHA256 o lo que sea, es posible que no sea posible proporcionar las contraseñas en 2 semanas. Además de eso, diría que contacté al departamento legal para confirmar si es legal compartir estos datos con alguien. PCI DSS también es una buena idea para mencionar como lo hizo. :)

Mis colegas se sorprenden al leer esta publicación.

Me sentiría fuertemente tentado a darle una lista de nombre de usuario / contraseñas / claves privadas para las cuentas de honeypot, y si alguna vez prueba los inicios de sesión para estas cuentas, haga que tenga acceso no autorizado a un sistema informático. Sin embargo, desafortunadamente esto probablemente lo expone a un mínimo de algún tipo de agravio civil por hacer una representación fraudulenta.

Simplemente rechace revelar la información, indicando que no puede pasar las contraseñas ya que no tiene acceso a ellas. Siendo auditor yo mismo, debe estar representando a alguna institución. Dichas instituciones generalmente publican pautas para dicha auditoría. Vea si tal solicitud se ajusta a esas pautas. Incluso puedes quejarte ante tales asociaciones. También aclare al auditor que, en caso de irregularidades, la culpa puede recaer sobre él (el auditor), ya que tiene todas las contraseñas.

Yo diría que no hay forma de que usted le brinde CUALQUIERA de la información solicitada.

• Los nombres de usuario le brindan una idea de las cuentas que tienen acceso a sus sistemas, un riesgo de seguridad
• El historial de contraseñas proporcionaría una idea de los patrones de contraseña utilizados, dándole una posible vía de ataque al adivinar la próxima contraseña en la cadena
• Los archivos transferidos al sistema pueden contener información confidencial que podría usarse en un ataque contra sus sistemas, así como darles una idea de la estructura de su sistema de archivos
• Claves públicas y privadas, ¿cuál sería el punto de tenerlas si se las entregara a alguien que no sea el usuario previsto?
• Un correo electrónico enviado cada vez que un usuario cambia una contraseña le daría contraseñas actualizadas para cada cuenta de usuario.

¡Este tipo está tirando de tu compañero plonker! Debe ponerse en contacto con su gerente o con algún otro auditor de la compañía para confirmar sus escandalosas demandas. Y aléjate lo antes posible.

Problema resuelto por ahora, pero para el beneficio de futuros lectores ...

Teniendo en cuenta que:

• Parece que has pasado más de una hora en esto.

• Debes consultar al asesor legal de la empresa.

• Piden mucho trabajo después de alterar su acuerdo.

• Se quedará sin dinero y más tiempo cambiando.

Debe explicar que necesitará mucho dinero por adelantado y que hay un mínimo de cuatro horas.

Las últimas veces le dije a alguien que de repente no estaba tan necesitado.

Todavía puede facturarles por cualquier pérdida incurrida durante el cambio y por el tiempo necesario, ya que cambiaron su acuerdo. No estoy diciendo que pagarán dentro de dos semanas, por mucho que pensaron que cumplirías dentro de ese tiempo; serán unilaterales, no tengo dudas.

Los hará sonar si la oficina de su abogado envía el aviso de cobro. Debe atraer la atención del propietario de la empresa del auditor.

Aconsejaría contra cualquier otro trato con ellos, solo para discutir más el asunto implicará un depósito por el trabajo requerido. Entonces se le puede pagar por despedirlos.

Es extraño que tenga un acuerdo vigente y luego alguien en el otro extremo se salga del camino; si no es una prueba de seguridad o inteligencia, ciertamente es una prueba de su paciencia.