Un auditeur de sécurité pour nos serveurs a demandé ce qui suit dans les deux semaines:
- Une liste des noms d'utilisateur actuels et des mots de passe en texte brut pour tous les comptes d'utilisateurs sur tous les serveurs
- Une liste de tous les changements de mot de passe des six derniers mois, toujours en texte clair
- Une liste de "tous les fichiers ajoutés au serveur à partir d'appareils distants" au cours des six derniers mois
- Les clés publiques et privées de toutes les clés SSH
- Un email lui est envoyé chaque fois qu'un utilisateur change son mot de passe, contenant le mot de passe en texte brut
Nous utilisons les boîtes Red Hat Linux 5/6 et CentOS 5 avec authentification LDAP.
Autant que je sache, tout ce qui est sur cette liste est soit impossible, soit incroyablement difficile à obtenir, mais si je ne fournis pas ces informations, nous risquons de perdre l'accès à notre plateforme de paiement et de perdre des revenus au cours d'une période de transition. nouveau service. Des suggestions sur la façon dont je peux résoudre ou simuler cette information?
La seule façon pour moi d’obtenir tous les mots de passe en texte brut est d’amener tout le monde à réinitialiser son mot de passe et à noter sa configuration. Cela ne résout pas le problème des six derniers mois de changement de mot de passe, car je ne peux pas enregistrer ce type de données de manière rétroactive, il en va de même pour la journalisation de tous les fichiers distants.
Obtenir toutes les clés SSH publiques et privées est possible (bien que gênant), car nous ne disposons que de quelques utilisateurs et ordinateurs. À moins que j'ai raté un moyen plus facile de faire cela?
Je lui ai expliqué à maintes reprises que les choses qu'il demande sont impossibles. En réponse à mes préoccupations, il a répondu avec le courrier électronique suivant:
J'ai plus de 10 ans d'expérience dans l'audit de sécurité et une parfaite compréhension des méthodes de sécurité redhat. Je vous suggère donc de vérifier vos informations sur ce qui est ou non possible. Vous dites qu'aucune entreprise ne pourrait avoir cette information, mais j'ai effectué des centaines d'audits lorsque cette information était facilement disponible. Tous les clients [fournisseurs génériques de traitement de cartes de crédit] sont tenus de se conformer à nos nouvelles politiques de sécurité et cet audit a pour but de s’assurer que ces politiques ont été mises en œuvre * correctement.
* Les "nouvelles stratégies de sécurité" ont été introduites deux semaines avant notre audit et l'enregistrement historique de six mois n'était pas nécessaire avant les modifications de stratégie.
En bref, j'ai besoin de;
- Un moyen de "simuler" six mois de modification du mot de passe et de lui donner un aspect valide
- Une façon de "simuler" six mois de transferts de fichiers entrants
- Un moyen facile de collecter toutes les clés publiques et privées SSH utilisées
Si nous échouons à l'audit de sécurité, nous perdons l'accès à notre plate-forme de traitement de cartes (une partie essentielle de notre système) et il nous faudrait deux bonnes semaines pour nous déplacer ailleurs. Comment je suis foutu?
Mise à jour 1 (samedi 23)
Merci pour toutes vos réponses. Cela me soulage de savoir que ce n’est pas une pratique courante.
Je suis en train de préparer ma réponse par courrier électronique à lui expliquer la situation. Comme beaucoup d'entre vous l'ont souligné, nous devons nous conformer à la norme PCI qui stipule explicitement que nous ne devrions avoir aucun moyen d'accéder aux mots de passe en texte brut. Je posterai l'email quand j'aurai fini de l'écrire. Malheureusement, je ne pense pas qu'il nous teste seulement; ces choses sont dans la politique de sécurité officielle de l'entreprise. Cependant, j'ai mis les roues en mouvement pour m'éloigner d'eux et rejoindre PayPal pour le moment.
Mise à jour 2 (samedi 23)
Ceci est le courriel que j'ai rédigé, des suggestions pour des choses à ajouter / supprimer / changer?
Bonjour [nom],
Malheureusement, il n’ya aucun moyen pour nous de vous fournir certaines des informations demandées, principalement des mots de passe en texte brut, l’historique des mots de passe, les clés SSH et les journaux de fichiers distants. Non seulement ces choses sont techniquement impossibles, mais le fait de pouvoir fournir ces informations irait à la fois contre les normes PCI et contre la loi sur la protection des données.
Pour citer les exigences PCI,8.4 Rend tous les mots de passe illisibles pendant la transmission et le stockage sur tous les composants du système en utilisant une cryptographie puissante.
Je peux vous fournir une liste des noms d'utilisateur et des mots de passe hachés utilisés sur notre système, des copies des clés publiques SSH et du fichier d'hôtes autorisés (ceci vous donnera suffisamment d'informations pour déterminer le nombre d'utilisateurs uniques pouvant se connecter à nos serveurs, ainsi que le chiffrement. méthodes utilisées), des informations sur nos exigences en matière de sécurité des mots de passe et notre serveur LDAP, mais ces informations ne peuvent pas être extraites du site. Je vous suggère fortement de revoir vos exigences en matière d’audit car il n’existe actuellement aucun moyen de réussir cet audit tout en respectant les normes PCI et la loi sur la protection des données.
Cordialement,
[moi]
Je ferai du CC dans la CTO de la société et notre responsable des comptes, et j'espère que le CTO pourra confirmer que ces informations ne sont pas disponibles. Je contacterai également le Conseil des normes de sécurité PCI pour expliquer ce qu'il nous demande.
Mise à jour 3 (26ème)
Voici quelques courriels que nous avons échangés.
RE: mon premier email;
Comme expliqué, ces informations doivent être facilement disponibles sur tout système bien entretenu pour tout administrateur compétent. Votre incapacité à fournir ces informations me porte à croire que vous êtes conscient des failles de sécurité de votre système et que vous n'êtes pas prêt à les révéler. Nos demandes sont conformes aux directives PCI et les deux peuvent être satisfaites. La cryptographie renforcée signifie uniquement que les mots de passe doivent être cryptés pendant la saisie par l'utilisateur, mais ils doivent ensuite être déplacés vers un format récupérable pour une utilisation ultérieure.
Je ne vois pas de problèmes de protection des données pour ces demandes, la protection des données ne concerne que les consommateurs et non les entreprises, il ne devrait donc y avoir aucun problème avec ces informations.
Juste, quoi, je ne peux même pas ...
"Une cryptographie renforcée signifie uniquement que les mots de passe doivent être cryptés pendant la saisie par l'utilisateur, mais qu'ils doivent ensuite être déplacés vers un format récupérable pour une utilisation ultérieure."
Je vais l'encadrer et le mettre sur mon mur.
J'en avais marre d'être diplomate et l'ai dirigé vers ce fil pour lui montrer la réponse que j'ai obtenue:
Fournir ces informations contredit directement plusieurs exigences des directives PCI. La section que j'ai citée dit même
storage
(impliquant de stocker les données sur le disque). J'ai lancé une discussion sur ServerFault.com (une communauté en ligne pour les professionnels de sys-admin) qui a suscité une énorme réaction, suggérant que ces informations ne pouvaient pas être fournies. N'hésitez pas à lire par vous-mêmehttps://serverfault.com/questions/293217/
Nous avons fini de passer de notre système à une nouvelle plate-forme et nous allons annuler notre compte avec vous dans un jour ou deux, mais je veux que vous réalisiez à quel point ces demandes sont ridicules et aucune entreprise mettant correctement en œuvre les directives PCI ne pourra ou ne devrait, être en mesure de fournir cette information. Je vous suggère fortement de repenser vos exigences en matière de sécurité, car aucun de vos clients ne devrait être en mesure de s'y conformer.
(J'avais en fait oublié que je l'avais traité d'idiot dans le titre, mais comme nous l'avions mentionné, nous nous étions déjà éloignés de leur plateforme, donc aucune perte réelle.)
Et dans sa réponse, il déclare qu’apparemment, aucun d’entre vous ne sait de quoi vous parlez:
J'ai lu en détail dans ces réponses et dans votre message original, les répondants doivent tous bien comprendre les faits. Je connais ce secteur depuis plus longtemps que quiconque sur ce site. Obtenir une liste des mots de passe des comptes d'utilisateurs est extrêmement élémentaire. Ce doit être l'une des premières choses que vous devez faire pour apprendre à sécuriser votre système. Il est essentiel au fonctionnement de tout système sécurisé serveur. Si vous manquez réellement des compétences pour effectuer une tâche aussi simple, je suppose que le PCI n’est pas installé sur vos serveurs, car la récupération de ces informations est une exigence de base du logiciel. Lorsque vous traitez avec quelque chose comme la sécurité, vous ne devriez pas poser ces questions sur un forum public si vous n'avez aucune connaissance de base de la façon dont cela fonctionne.
Je voudrais également suggérer que toute tentative de me révéler, ou [nom de la société] sera considéré comme une diffamation et une action judiciaire appropriée sera prise
Points clés idiots si vous les avez manqués:
- Il est auditeur de sécurité depuis plus longtemps que tout le monde ici (il devine ou vous traque)
- Pouvoir obtenir une liste de mots de passe sur un système UNIX est «basique»
- PCI est maintenant un logiciel
- Les gens ne devraient pas utiliser les forums quand ils ne sont pas sûrs de la sécurité
- Poser des informations factuelles (pour lesquelles j'ai une preuve électronique) en ligne est une diffamation
Excellent.
PCI SSC a répondu et enquête sur lui et sur la société. Notre logiciel a maintenant été transféré sur PayPal, nous savons donc qu'il est sécurisé. J'attendrai que PCI me contacte d'abord, mais je crains un peu qu'ils utilisent peut-être ces pratiques de sécurité en interne. Si c'est le cas, je pense que c'est une préoccupation majeure pour nous, car tous les processus de traitement de nos cartes les ont traités. S'ils le faisaient en interne, je pense que la seule chose responsable à faire serait d'informer nos clients.
J'espère que lorsque PCI réalisera à quel point il est difficile d'enquêter sur l'ensemble de l'entreprise et du système, je ne suis pas sûr.
Alors maintenant, nous nous sommes éloignés de leur plate-forme, et en supposant que ce soit au moins quelques jours avant que PCI ne me revienne, des suggestions inventives sur la façon de le suivre un peu? =)
Une fois que mon avocat aura obtenu l'autorisation (je doute fort que tout ceci soit réellement de la diffamation mais je voulais vérifier) je publie le nom de la société, son nom et son adresse email, et si vous le souhaitez, vous pouvez le contacter pour lui expliquer pourquoi vous ne comprenez pas les bases de la sécurité Linux, comme obtenir une liste de tous les mots de passe des utilisateurs LDAP.
Petite mise à jour:
Mon "type juridique" a suggéré de révéler que la société causerait probablement plus de problèmes que nécessaire. Je peux cependant dire que ce n’est pas un fournisseur majeur, ils ont moins de 100 clients utilisant ce service. Nous avons commencé à les utiliser lorsque le site était très petit et fonctionnait sous un petit VPS, et nous ne voulions pas passer par tous les efforts nécessaires pour obtenir le PCI (nous avions l'habitude de rediriger vers leur interface, comme PayPal Standard). Mais lorsque nous sommes passés aux cartes de traitement direct (y compris le PCI et le bon sens), les développeurs ont décidé de continuer à utiliser la même société, juste une API différente. La société est basée à Birmingham, au Royaume-Uni, alors je doute fort que quiconque ici sera touché.