サーバーのセキュリティ監査員は、2週間以内に次のことを要求しています。

• すべてのサーバー上のすべてのユーザーアカウントの現在のユーザー名とプレーンテキストパスワードのリスト
• 過去6か月間のすべてのパスワード変更のリスト、再びプレーンテキスト
• 過去6か月間に「リモートデバイスからサーバーに追加されたすべてのファイル」のリスト
• SSHキーの公開キーと秘密キー
• ユーザーがパスワードを変更するたびに彼に送信された、プレーンテキストのパスワードを含むメール

LDAP認証を使用してRed Hat Linux 5/6およびCentOS 5ボックスを実行しています。

私の知る限り、そのリストのすべては入手が不可能または非常に困難ですが、この情報を提供しないと、移行期間中に支払いプラットフォームへのアクセスが失われ、収入が失われます新しいサービス。この情報を解決または偽造する方法についての提案はありますか？

すべてのプレーンテキストパスワードを取得する唯一の方法は、全員にパスワードをリセットさせ、設定した内容をメモしてもらうことです。過去6か月間のパスワード変更の問題を解決することはできません。その種のものをさかのぼってログに記録することはできないためです。同じことがすべてのリモートファイルの記録にも当てはまります。

すべてのパブリックおよびプライベートSSHキーを取得することは可能ですが（面倒ですが）、ユーザーとコンピューターはわずかしかありません。これを行う簡単な方法を見逃していない限り？

彼が求めていることは不可能だと何度も説明してきました。私の懸念に応えて、彼は次のメールで返信しました。

私は10年以上のセキュリティ監査の経験とレッドハットのセキュリティ手法の完全な理解を持っているので、何が可能で何ができないかについてあなたの事実を確認することをお勧めします。この情報を入手できる企業はないということですが、私はこの情報がすぐに利用できる場所で何百もの監査を実施しました。[一般的なクレジットカード処理プロバイダー]クライアントはすべて、新しいセキュリティポリシーに準拠する必要があり、この監査は、これらのポリシーが正しく実装されていることを確認することを目的としています*。

*「新しいセキュリティポリシー」は監査の2週間前に導入されたもので、ポリシーが変更されるまで6か月間の履歴ログは必要ありませんでした。

要するに、私は必要です。

• 6か月分のパスワード変更を「偽造」し、有効に見えるようにする方法
• 6か月間のインバウンドファイル転送を「偽造」する方法
• 使用されているすべてのSSH公開鍵と秘密鍵を収集する簡単な方法

セキュリティ監査に失敗すると、カード処理プラットフォーム（システムの重要な部分）にアクセスできなくなり、別の場所に移動するのに2週間かかります。私はどのようにねじ込まれていますか？

アップデート1（23日土）

すべてのご回答に感謝します。これが標準的な慣行ではないことを知って非常に安心しています。

現在、状況を説明する彼へのメールの返信を計画しています。あなたの多くが指摘したように、私たちは、プレーンテキストのパスワードにアクセスする方法はないはずであると明示的に示しているPCIに準拠する必要があります。メールを書き終わったら投稿します。残念ながら、彼はただ私たちをテストしているとは思わない。これらは現在、会社の公式のセキュリティポリシーに含まれています。ただし、当分の間、車輪を動かしてPayPalに移動するように設定しました。

アップデート2（土23日）

これは私が作成したメールで、追加/削除/変更するものについての提案はありますか？

こんにちは[名前]、

残念ながら、主にプレーンテキストパスワード、パスワード履歴、SSHキー、リモートファイルログなど、要求された情報の一部を提供する方法はありません。これらの事柄が技術的に不可能であるだけでなく、この情報を提供できることは、PCI基準に違反することと、データ保護法の違反になることの両方になります。
PCI要件を引用するには、

8.4強力な暗号化を使用して、すべてのシステムコンポーネントでの送信および保存中にすべてのパスワードを読み取り不能にします。

私たちのシステムで使用されるユーザー名とハッシュ化されたパスワードのリスト、SSH公開キーと許可されたホストファイルのコピーを提供できます（これにより、サーバーに接続できる一意のユーザーの数、および暗号化使用される方法）、パスワードセキュリティ要件とLDAPサーバーに関する情報ですが、この情報はオフサイトに持ち込まれない場合があります。現在、PCIおよびデータ保護法に準拠したままこ​​の監査に合格する方法はないため、監査要件を確認することを強くお勧めします。

よろしく、
[私]

会社のCTOとアカウントマネージャーでCCを行います。CTOがこの情報が利用できないことを確認できることを望んでいます。また、PCI Security Standards Councilに連絡し、彼からの要望を説明します。

更新3（26日）

交換したメールは次のとおりです。

RE：最初のメール。

説明したように、この情報は、適切に管理されたシステムで有能な管理者が簡単に利用できる必要があります。この情報を提供できなかったため、システムのセキュリティ上の欠陥に気づいており、それらを明らかにする準備ができていないと思わせます。私たちの要求はPCIガイドラインに沿っており、両方を満たすことができます。強力な暗号化とは、ユーザーがパスワードを入力している間にパスワードを暗号化する必要があるだけで、後で使用できるように回復可能な形式に移動することを意味します。

これらのリクエストにはデータ保護の問題はありません。データ保護は企業ではなく消費者にのみ適用されるため、この情報に問題はないはずです。

ただ、何ができない、でも...

「強力な暗号化とは、ユーザーがパスワードを入力している間だけパスワードを暗号化する必要があることを意味しますが、後で使用できるように回復可能な形式に移動する必要があります。」

私はそれを額に入れて壁に置きます。

私は外交にうんざりし、このスレッドに彼を向けて、私が得た反応を見せました。

この情報を提供することは、PCIガイドラインのいくつかの要件と直接矛盾します。私が引用したセクションにはstorage 、「ディスク上のデータを保存する場所への実装」とさえ書かれています。ServerFault.com（sys-adminの専門家向けのオンラインコミュニティ）でディスカッションを開始しましたが、大きな反響があり、この情報はすべて提供できないことを示唆しています。自由に読んでください

https://serverfault.com/questions/293217/

システムの新しいプラットフォームへの移行が完了し、翌日かそこらでアカウントをキャンセルしますが、これらのリクエストがどれほどばかげているか、PCIガイドラインを正しく実装している企業はないか、またはそうすべきではないことを認識してくださいこの情報を提供できます。顧客は誰もこれに準拠できないため、セキュリティ要件を再考することを強くお勧めします。

（実際には、彼をタイトルでバカと呼んだことを忘れていましたが、前述のように、私たちはすでに彼らのプラットフォームから離れていたので、本当の損失はありませんでした。）

そして彼の応答で、彼はあなたが話していることを誰も知らないようだと彼は述べています：

これらの回答と元の投稿を詳細に読んで、回答者全員が事実を正しく理解する必要があります。私はこのサイトで誰よりも長くこの業界にいましたが、ユーザーアカウントのパスワードのリストを取得することは非常に基本的であり、システムを保護する方法を学習するときに最初に行うべきことの1つであり、サーバ。この単純なことを行うスキルが本当に不足している場合、この情報を回復できることがソフトウェアの基本要件であるため、サーバーにPCIがインストールされていないと仮定します。セキュリティなどの何かを扱うとき、その仕組みについて基本的な知識がない場合は、公開フォーラムでこれらの質問をするべきではありません。

また、私を明らかにしようとする試み、または[会社名]は名誉considered損とみなされ、適切な法的措置が取られることを提案したいと思います。

あなたがそれらを見逃した場合の重要なばかげたポイント：

• 彼はここの他の誰よりも長い間セキュリティ監査員でした（彼はあなたを推測するか、あなたをストーカーしています）
• UNIXシステムでパスワードのリストを取得できることは「基本」です
• PCIは現在ソフトウェアです
• セキュリティに自信がない場合、人々はフォーラムを使用すべきではありません
• 事実情報（私は電子メールの証拠を持っています）をオンラインでポーズすることは名誉is損です

優れた。

PCI SSCは応答し、彼と会社を調査しています。ソフトウェアがPayPalに移行したため、安全であることがわかりました。PCIが最初に戻ってくるのを待つつもりですが、彼らがこれらのセキュリティプラクティスを内部で使用しているのではないかと少し心配しています。もしそうなら、私たちのすべてのカード処理がそれらを通過したため、私たちにとって大きな懸念だと思います。彼らが社内でこれを行っていた場合、私がすべき唯一の責任は、顧客に知らせることだと思います。

PCIが会社とシステム全体を調査するのがいかに悪いかを理解したいと思っていますが、確信はありません。

だから今、私たちは彼らのプラットフォームから離れており、PCIが私に戻ってくるまで少なくとも数日かかると仮定して、彼を少し荒らす方法についての独創的な提案はありますか？=）

法律家から許可を得たら（これは実際には名誉is損ではないかと疑いますが、再確認したいと思います）、会社名、彼の名前とメールを公開します。すべてのLDAPユーザーパスワードのリストを取得する方法など、Linuxセキュリティの基本を理解していない理由。

少し更新：

私の「法律家」は、会社がおそらく必要以上の問題を引き起こすことを明らかにすることを提案しました。ただし、これは主要なプロバイダーではなく、このサービスを使用するクライアントは100未満です。私たちはもともと、サイトが小さくて小さなVPSで実行されていたときにそれらを使用し始めました。PCIを取得するすべての努力をしたくありませんでした（以前はPayPal Standardなどのフロントエンドにリダイレクトしていました）。しかし、カードの直接処理（PCIの取得や常識を含む）に移行したとき、開発者は同じAPIを別のAPIで使用し続けることに決めました。同社は英国のバーミンガムに拠点を置いているため、ここの誰もが影響を受けるのではないかと疑っています。

まず、降伏しないでください。彼は馬鹿であるだけでなく、恐ろしく間違っています。実際、この情報を公開することは、PCI規格（支払いプロセッサであるため監査が想定されていることです）に違反するだけでなく、他のすべての規格および単なる常識に違反します。また、会社をあらゆる種類の負債にさらすことになります。

次に私がやるのは、上司にこのアクションを進めることで会社が直面する法的露出を決定するために企業の弁護士を雇う必要があるというメールを送ることです。

この最後のビットは、あなた次第ですが、私はこの情報をVISAに連絡し、彼のPCI監査人の状況が引かなるだろう。

プライスウォーターハウスクーパースの機密政府契約について監査手続きを行った人として、これは完全に論外であり、この男は非常識です。

PwCがパスワードの強度を確認したいとき、彼らは：

• パスワード強度アルゴリズムの確認を求められました
• アルゴリズムに対してテストユニットを実行して、貧弱なパスワードを拒否することを確認します。
• 暗号化アルゴリズムを確認して、システムのあらゆる側面に完全にアクセスできる人であっても、（レインボーテーブルによっても）リバースまたは暗号化解除できないことを確認するように求められました
• 以前のパスワードがキャッシュされていることを確認して、再使用できないようにしました
• 非ソーシャルエンジニアリングテクニック（xssや0日以外のエクスプロイトなど）を使用してネットワークおよび関連システムに侵入しようとする許可（許可）を求めた

過去6か月間でユーザーのパスワードがどのようなものであったかを示すことができるとほのめかしさえすれば、すぐに契約から締め出されてしまうでしょう。

それは場合に可能であったこれらの要件を提供するために、あなたは考え瞬時に失敗持つ価値がひとつひとつの監査を。

更新：返信メールは良さそうです。私が書いたものよりもはるかにプロフェッショナル。

正直なところ、この男（監査役）があなたを設定しているようです。彼が求めている情報を彼に提供すれば、重要な内部情報を放棄するようにソーシャルエンジニアリングできることを彼に証明したことになります。不合格。

私はあなたが英国にいることを発見しました。つまり、彼があなたに求めているのは、法律（実際にはデータ保護法）を破ることです。私も英国に住んでいて、重度の監査を受けた大企業で働いており、この分野の法律と慣行を知っています。私は非常に厄介な作品でもあり、楽しみのためだけにこの男を喜んで押し付けてくれるので、助けてくれないか教えてください。

あなたは社会的に設計されています。「テスト」するか、非常に有用なデータを取得するために監査人を装ったハッカーのどちらかです。

私は、倫理的な問題解決スキルのないOP と、この露骨な倫理的行為の違反を無視するサーバー障害コミュニティについて真剣に心配しています。

要するに、私は必要です。

• 6か月分のパスワード変更を「偽造」し、有効に見えるようにする方法
• 6か月間のインバウンドファイル転送を「偽造」する方法

2つの点について明確にしましょう。

1. 通常のビジネスの過程でデータを改ざんすることは決して適切ではありません。
2. この種の情報を誰にも漏らさないでください。今まで。

記録を改ざんするのはあなたの仕事ではありません。必要な記録が利用可能で、正確で、安全であることを確認するのはあなたの仕事です。

ここServer Faultのコミュニティは、stackoverflowサイトが「宿題」の質問を扱うので、これらの種類の質問を扱わなければなりません。技術的な対応だけでこれらの問題に対処したり、倫理的責任の違反を無視したりすることはできません。

このスレッドで非常に多くの高回答ユーザーがここで返信しているのを見て、この質問の倫理的意味についての言及はありません。

SAGEシステム管理者の倫理綱領を読むことをお勧めします。

ところで、セキュリティ監査人はバカですが、だからと言って仕事で倫理に反するプレッシャーを感じる必要があるわけではありません。

編集：あなたの更新は貴重です。頭を下げ、パウダーを乾かし、木製のニッケルを服用しないでください。

あなたは彼にあなたが望むものを与えることができず、それを「偽造」しようとすると、お尻にあなたを噛むために戻ってくる可能性があります（おそらく法的方法で）。指揮系統に上訴する必要があります（セキュリティ監査はばかげているとはいえ、この監査人は不正になっている可能性があります-SMBを介してAS / 400にアクセスできるようにしたい監査人について質問してください）、またはこれらの厄介な要件の下から。

それらはセキュリティが優れていません-すべてのプレーンテキストのパスワードのリストは、それらを保護するために使用される方法に関係なく、これまでに作成する信じられないほど危険なものであり、私はこの中傷がプレーンテキストで電子メールで送信されることを望むでしょう。（あなたはこれを既に知っていると確信している、私は少し通気しなければならない）。

たわごとや笑いについては、要件をどのように実行するかを直接彼に尋ねてください。あなたが外に出て行ってしまうと、彼の「セキュリティ監査の経験が10年以上あります」に対する応答は「いいえ、5分間の経験が何百回も繰り返されます」になります。

あなたが今修正した歴史的な問題を見つけた場合、監査人はあなたを失敗させてはいけません。実際、それは良い振る舞いの証拠です。それを念頭に置いて、私は2つのことを提案します：

a）嘘をつかないでください。b）ポリシーを読みます。

私にとって重要な声明は次のとおりです。

[一般的なクレジットカード処理プロバイダー]クライアントはすべて、新しいセキュリティポリシーに準拠する必要があります。

これらのポリシーには、パスワードを書き留めることはできず、ユーザー以外に渡すことはできないという声明があるに違いありません。ある場合は、それらのポリシーを彼の要求に適用します。次のように処理することをお勧めします。

• すべてのサーバー上のすべてのユーザーアカウントの現在のユーザー名とプレーンテキストパスワードのリスト

彼にユーザー名のリストを表示しますが、それらが奪われることを許可しません。プレーンテキストのパスワードを与えることは、a）一方向であるため不可能であり、b）彼があなたを監査しているポリシーに反するため、従わないことを説明します。

• 過去6か月間のすべてのパスワード変更のリスト、再びプレーンテキスト

これは歴史的に利用可能ではなかったことを説明します。これが現在行われていることを示すために、彼に最近のパスワード変更時間のリストを提供します。上記のように、パスワードは提供されないことを説明します。

• 過去6か月間に「リモートデバイスからサーバーに追加されたすべてのファイル」のリスト

ログに記録されるものとされないものを説明します。できることを提供します。機密情報を提供せず、ポリシーで理由を説明してください。ロギングを改善する必要があるかどうかを尋ねます。

• SSHキーの公開キーと秘密キー

キー管理ポリシーを見てください。コンテナからのプライベートキーは許可されておらず、アクセスの条件が厳しいことを明記する必要があります。そのポリシーを適用し、アクセスを許可しません。公開鍵は喜んで公開されており、共有できます。

• ユーザーがパスワードを変更するたびに彼に送信された、プレーンテキストのパスワードを含むメール

断ってよ。ローカルの安全なログサーバーを使用している場合は、これがその場で記録されていることを彼に確認させます。

基本的に、これを言ってすみませんが、この男と一緒にハードボールをしなければなりません。ポリシーに正確に従ってください。逸脱しないでください。嘘をつかない。そして、彼があなたが政策にない何かのためにあなたに失敗したならば、彼を送った会社で彼の先輩に不平を言ってください。あなたが合理的であることを証明するために、これらすべての紙の証跡を集めてください。あなたがあなたの方針を破るなら、あなたは彼の慈悲にかかっています。あなたが彼らに手紙に従えば、彼は略奪されることになります。

はい、監査人はバカです。ただし、ご存じのとおり、ばかは権力の座に置かれることがあります。これはそのようなケースの1つです。

彼は要求された情報を持っているゼロシステムの現在のセキュリティ上のベアリングを。認証にLDAPを使用していること、およびパスワードが一方向ハッシュを使用して保存されていることを監査人に説明します。パスワードハッシュに対してブルートフォーススクリプトを実行しないと（数週間（または数年）かかります）、パスワードを提供することはできません。

同様に、リモートファイル-サーバー上で直接作成されたファイルとサーバーにSCPされるファイルを区別できるようにすべきだと彼が考える方法について、聞きたいです。

@wombleが言ったように、偽物を作らないでください。それは役に立たないでしょう。この監査を捨てて別のブローカーに罰金を科すか、彼のチーズがクラッカーから滑り落ちたことをこの「専門家」に納得させる方法を見つけてください。

「セキュリティ監査人」に、これらのドキュメントの要件を満たしているテキストを指し示し、言い訳をするのに苦労し、最終的には二度と連絡をとらないように言い訳をします。

WTF！申し訳ありませんが、これが私の唯一の反応です。私が聞いた中で、平文のパスワードが必要な監査要件はありません。また、パスワードが変更されたときにそれらを供給することは言うまでもありません。

最初に、あなたがそれを提供するという要件を示すように彼に頼みます。

2番目に、これがPCIの場合（支払いシステムの質問であるため、私たち全員が想定しています）ここにアクセスしてください：https : //www.pcisecuritystandards.org/approved_companies_providers/qsa_companies.phpと新しい監査人を取得します。

3番目に、彼らが上記に述べたことに従い、あなたの経営陣に連絡し、彼らが彼が働いているQSA会社に連絡してもらう。その後、すぐに別の監査人を取得します。

監査人は、システムの状態、標準、プロセスなどを監査します。システムへのアクセスを提供する情報は必要ありません。

推薦された審査員または審査員と緊密に連携する代替コロのご希望がありましたら、ご連絡ください。参考資料を提供させていただきます。

幸運を！何かが間違っていると思われる場合は、おそらくあなたの腸を信頼してください。

彼がパスワードを知り、秘密鍵にアクセスする正当な理由はありません。彼が要求したものは、いつでもあなたのクライアントのいずれかになりすまし、可能な限り詐欺的な取引としてそれを検出する方法なしに、彼が望むだけのお金を吸い上げる能力を彼に与えます。それはまさに、彼があなたを監査することになっているタイプのセキュリティ上の脅威です。

監査人がセキュリティポリシーの侵害を要求したこと、およびその要求が違法であることを経営陣に通知します。現在の監査会社を捨てて、合法的な監査会社を見つけることをお勧めします。警察に電話し、違法な情報を要求するために監査人を提出します（英国）。次に、PCIを呼び出して、監査人の要求を提出します。

リクエストは、誰かをランダムに殺害し、身体を引き渡すように頼むことに似ています。あなたはそれをしますか？それとも、警官に電話して、彼らを回しますか？

訴訟に応じる。監査人がプレーンテキストのパスワードを要求している場合（今度は、弱いパスワードハッシュをブルートフォースしたりクラックしたりするのはそれほど難しくありません）、おそらく彼らは資格情報についてあなたに嘘をつきました。

回答の書き方に関するヒント：

残念ながら、主にプレーンテキストパスワード、パスワード履歴、SSHキー、リモートファイルログなど、要求された情報の一部を提供する方法はありません。これらのことは技術的に不可能なだけではありません ...

技術的な実現可能性について議論することを避けるために、これを言い換えます。監査人によって送信されたひどい最初の電子メールを読むと、これは主な問題に関係のない詳細を選ぶことができる人のように見え、パスワードを保存したり、ログインを記録したりできると主張するかもしれません。 ：

...厳格なセキュリティポリシーのため、パスワードをプレーンテキストで記録したことはありません。したがって、このデータを提供することは技術的に不可能です。

または

...お客様のリクエストに応じることにより、社内のセキュリティレベルを大幅に下げるだけでなく...

幸運を祈ります。これがどのように終わるかを投稿してください。

この質問に飛び込む高回答ユーザーのラッシュを続けるリスクがあるので、ここに私の考えがあります。

なぜ彼がプレーンテキストのパスワードを望んでいるのか、漠然とわかります。それは、使用中のパスワードの品質を判断するためです。私が知っているほとんどの監査人は、暗号化されたハッシュを受け入れ、クラッカーを実行して、どんな種類の垂れ下がった果物を引き出すことができるかを確認します。すべてのユーザーはパスワードの複雑さのポリシーを検討し、それを実施するためにどのような保護策が講じられているかを確認します。

ただし、いくつかのパスワードを提供する必要があります。プレーンテキストのパスワード配信の目的は何かを彼に尋ねることをお勧めします（あなたはすでにこれを行っていると思いますが）。彼はあなたのコンプライアンス対セキュリティポリシーを検証することだと言ったので、彼にあなたにそのポリシーを提供してもらう。パスワードの複雑さの体制が、ユーザーがパスワードを設定するのを防ぐのに十分なほど堅牢P@55w0rdであり、問​​題の6か月間適切に設定されていることを受け入れるかどうか彼に尋ねます。

彼がそれをプッシュする場合、プレーンテキストのパスワードを記録するように設定されていないため（それが重大なセキュリティ障害であるため）、プレーンテキストのパスワードを配信できないことを認めなければならないかもしれませんが、パスワードポリシーが機能していることを直接確認します。そして、彼がそれを証明したいなら、あなたは喜んで彼のために暗号化されたパスワードデータベースを提供します（またはあなた！喜んで見せてください！それは役立ちます！）クラックパスを実行します。

「リモートファイル」は、SFTPセッションのSSHログから取り出される可能性があります。6か月分のsyslogがなければ、これを作成するのは難しいでしょう。SSH経由でログインしているときに、wgetを使用してリモートサーバーからファイルをプルすると、「リモートファイル転送」と見なされますか？HTTP PUTはありますか？リモートユーザーのターミナルウィンドウのクリップボードテキストから作成されたファイル？どちらかと言えば、この分野で彼の懸念をよりよく感じさせるために、これらのエッジケースで彼を悩ませることができます。次に、バックアップのログおよびアーカイブログからできることを抽出します。

SSHキーに何もありません。私が考えることができる唯一のことは、彼が何らかの理由でパスワードなしのキーをチェックしていること、そしておそらく暗号強度です。そうでなければ、何も得られませんでした。

これらのキーの取得に関しては、少なくとも公開キーの取得は簡単です。.sshフォルダーを探してそれらを探します。秘密鍵を取得するには、BOFH帽子をかぶって、「公開SSH鍵と秘密SSHのペアを送ってください。受け取っていないものは13日以内にサーバーから削除されます」誰かが（私が）しゃべるなら、セキュリティ監査を指摘します。スクリプティングはあなたの友達です。最低限、パスワードなしのキーペアの束がパスワードを取得します。

彼がまだ「電子メールの平文パスワード」を主張しているなら、少なくともそれらの電子メールを彼自身のキーでGPG / PGP暗号化にかけます。彼の塩に値するセキュリティ監査人は、そのような何かを処理できるはずです。そうすれば、パスワードが漏れた場合、それは彼があなたではなく、それらを手放したからだろう。コンピテンスのさらに別のリトマス試験。

これについては、ZypherとWombleの両方に同意する必要があります。危険な結果を伴う危険な馬鹿。

彼はおそらくあなたをテストして、あなたがセキュリティリスクにさらされているかどうかを確認しています。これらの詳細を彼に提供すると、おそらくすぐに解雇されます。これをあなたの上司に持って行き、金を渡してください。このロバが再びあなたの近くのどこかに来た場合、関係当局に関与することを上司に知らせてください。

それは上司に支払われるものです。

パスワード、SSHキー、ユーザー名のリストが載っているタクシーの後ろに紙が残っているというビジョンがあります！うん！今新聞の見出しを見ることができます！

更新

以下の2つのコメントに応えて、あなたには両方とも良い点があると思います。実際に真実を見つける方法はなく、質問が投稿されたという事実は、ポスターの一部に少し素朴であるだけでなく、他の人が頭を突き刺すような潜在的なキャリアの結果を伴う不利な状況に直面する勇気を示しています砂と逃げます。

それが価値があるという私の結論は、これは完全に興味深い議論であり、おそらくほとんどの読者が監査人または監査人のポリシーが有能であるかどうかにかかわらず、この状況で何をするのか疑問に思うでしょう。ほとんどの人は、この種のジレンマに何らかの形でかかわっていますが、これは実際に一人の肩に押し付けられるべき責任ではありません。これに対処する方法に関する個人の決定ではなく、ビジネス上の決定です。

明らかにここにはたくさんの良い情報がありますが、主にアカウント管理セキュリティポリシーの順守と監査の合格を支援するために、私の雇用主が世界中の大企業に販売するソフトウェアを書く人として、私の2cを追加できます。それが価値があるため。

最初に、これは非常に疑わしいと思われます。監査人は、理解していない手順をたどっているだけで（可能性あり）、ソーシャルエンジニアリングの脆弱性をテストしています（フォローアップ交換後とは考えられない）、詐欺のソーシャルエンジニアリング（可能性もあります）、または単なる一般的なバカ（おそらく）最も可能性が高い）。アドバイスに関しては、経営陣に相談するか、新しい監査会社を見つけるか、適切な監督機関に報告することを提案します。

メモについては、いくつかのことがあります。

• それは可能、あなたのシステムがそれを許可するように設定されている場合、彼は要求された情報を提供するために、（特定の条件の下で）。ただし、これはセキュリティの「ベストプラクティス」ではなく、一般的なものでもありません。
• 一般に、監査は実際の安全な情報を検査するのではなく、慣行の検証に関係します。私は、それらが「良い」ことと適切に保護されていることを保証するために使用される方法ではなく、実際のプレーンテキストのパスワードまたは証明書を求める人を非常に疑っています。

他の人がアドバイスしたことを繰り返し言っているとしても、それが役に立てば幸いです。あなたのように、私は私の会社に名前を付けるつもりはありません。私の場合、私は彼ら（個人アカウント/意見およびすべて）のために話していませんので。それが信頼性を損なう場合はおbutびしますが、そうでもありません。幸運を。

これは、IT Security-Stack Exchangeに投稿される可能性があります。

私はセキュリティ監査の専門家ではありませんが、セキュリティポリシーについて最初に学んだことは"NEVER GIVE PASSWORDS AWAY"です。この男はこのビジネスに10年間携わっているかもしれませんが、Wombleが言ったように"no, you have 5 minutes of experience repeated hundreds of times"

私は銀行のIT担当者としばらくの間仕事をしてきましたが、あなたの投稿を見たとき、彼らにそれを見せました...彼らはとても笑っていました。彼らは男が詐欺のように見えると私に言った。彼らは銀行の顧客の安全のためにこの種のことを扱っていました。

明確なパスワード、SSHキー、パスワードログを要求することは、明らかに深刻な職業上の不正行為です。この男は危険です。

私はすべてが今うまくいくことを望みます、そして、あなたが彼らがあなたとのあなたの前のトランザクションのログを保持することができたという事実に問題がないことを望みます。

ポイント1、2、4、および5で要求された情報（公開キーを除く）のいずれかを提供できる場合、監査に失敗することが予想されます。

セキュリティポリシーではプレーンテキストパスワードを保持しないこと、およびパスワードは非可逆アルゴリズムを使用して暗号化される必要があるため、遵守できないという点1、2、および5に正式に対応します。ポイント4では、セキュリティポリシーに違反するため、秘密キーを指定できません。

ポイント3に関して。データが提供されている場合。収集する必要がなかったからといってそうでなければ、そのように言って、新しい要件をどのように満たしているか（に向かっているか）を示します。

サーバーのセキュリティ監査員は、2週間以内に次のことを要求しています。

...

セキュリティ監査に失敗すると、カード処理プラットフォーム（システムの重要な部分）へのアクセスが失われ、別の場所に移動するには2週間かかります。私はどのようにねじ込まれていますか？

自分の質問に答えたように見えます。（ヒントについては太字のテキストを参照してください。）

唯一の解決策が思い浮かびます。最後の現在のパスワードをすべての人に書き留めて、すぐに新しいパスワードに変更してもらいます。パスワードの品質（およびパスワードからパスワードへの移行の品質、たとえば、誰もrfvujn125を使用せずにrfvujn126を次のパスワードとして使用することを確認する）をテストする場合、古いパスワードのリストで十分です。

それが容認できないと思われる場合、その男はAnonymous / LulzSecのメンバーであると思われます...その時点で、彼のハンドルが何であるかを彼に尋ね、そのようなスクラブをやめるように彼に告げるべきです！

オリが言ったように：問題の人はあなたに法律（データ保護/ EU機密性指令）/内部規制/ PCI標準を破らせようとしている。経営陣に通知する必要があるだけでなく（すでに考えたとおり）、提案されたとおりに警察に電話することもできます。

問題の人物が何らかの認定/認定を取得している場合、たとえばCISA（Certified Information Systems Auditor）、または米国のCPA（公認会計士の指定）に相当する英国の場合、認定機関にこの件を調査するよう通知することもできます。その人はあなたに法律を破らせようとしているだけでなく、非常に無能な「監査」であり、おそらく認定監査人が認定の喪失の痛みに耐えなければならないすべての倫理監査基準に違反しています。

さらに、問題の人物が大企業のメンバーである場合、前述の監査組織は、監査の品質と監査ファイリングを監視し、苦情を調査する何らかのQA部門を必要とすることがよくあります。そのため、問題の監査会社に苦情を申し立てることもできます。

私はまだ勉強中です。サーバーをセットアップするときに最初に学んだことは、プレーンテキストのパスワードを記録できるようにすれば、すでに大きな侵害の危険にさらされているということです。パスワードは、それを使用するユーザー以外には知られてはなりません。

この男が真剣な審査員であれば、彼はあなたにこれらのことを尋ねるべきではありません。私には彼は一種の不正行為者のように聞こえます。この男は完全な馬鹿のように聞こえるので、規制機関に確認します。

更新

ちょっと待ってください。パスワードを送信するためだけに対称暗号化を使用する必要があると彼は信じていますが、データベースにプレーンテキストを保存するか、復号化する方法を提供します。したがって、基本的には、プレーンテキストのユーザーパスワードを示したデータベースに対するすべての匿名攻撃の後、彼はこれが環境を「確保する」良い方法であると信じています。

彼は1960年代に立ち往生している恐竜です...

• すべてのサーバー上のすべてのユーザーアカウントの現在のユーザー名とプレーンテキストパスワードのリスト
  • 現在のユーザー名は「これをリリースできます」の範囲内にある場合があり、「これを見せることはできますが、オフサイトにすることはできません」の範囲内にある必要があります。
  • プレーンテキストのパスワードは、一方向ハッシュに要するよりも長く存在してはならず、メモリを離れることは絶対にありません（ワイヤを経由することさえありません）。
• 過去6か月間のすべてのパスワード変更のリスト、再びプレーンテキスト
  • 「永続ストレージは不可」を参照してください。
• 過去6か月間に「リモートデバイスからサーバーに追加されたすべてのファイル」のリスト
  • これは、支払い処理サーバーとの間のファイル転送をログに記録するためです。ログがある場合は、それを渡してもかまいません。ログがない場合は、その情報のログに関する関連するセキュリティポリシーの内容を確認してください。
• SSHキーの公開キーと秘密キー
  • 「SSHキーにはパスフレーズが必要」を確認する試みがポリシーに含まれている可能性があります。すべての秘密鍵にパスフレーズが必要です。
• ユーザーがパスワードを変更するたびに彼に送信された、プレーンテキストのパスワードを含むメール
  • これは間違いなくノーです。

PCIコンプライアンス、SOX_compliance、および必要に応じて内部セキュリティポリシードキュメントによってバックアップされた、回答のラインに沿って何かで応答します。

この人たちは、高い天国への突進を要求します、そして、私はこれからの通信がCTOを通過することに同意するでしょう。彼はあなたに、上記の要求に応えられないこと、機密情報を公開すること、またはひどく無能であることをfall者にしようとしています。うまくいけば、あなたのCTO /マネージャーがこの男の要求を二重に受け止め、積極的な行動が行われ、彼らがこの男の行動の背後にいるなら、良いシステム管理者が常にクラシファイドに需要がありますtiは、それが発生した場合に、いくつかの場所を探し始める時期だと思われます。

パスワードのクラッキングインフラストラクチャを構築するには時間がかかり、労力とお金がかかると言いますが、SHA256などの強力なハッシュを使用するため、2週間以内にパスワードを提供できない可能性があります。その上で、私は法務部に連絡して、このデータを誰かと共有することが合法かどうかを確認したことを伝えます。PCI DSSについても、おっしゃるように言及することをお勧めします。:)

私の同僚はこの投稿を読んでショックを受けています。

ハニーポットアカウントのユーザー名/パスワード/秘密キーのリストを彼に提供したいのですが、これらのアカウントのログインをテストした場合、コンピューターシステムへの不正アクセスを行うことになります。しかし、残念なことに、これはおそらく、詐欺的な表現をするために、少なくともある種の市民の不法行為にさらされるでしょう。

パスワードにアクセスできないため、パスワードを渡すことはできないと述べて、情報の公開を単に拒否します。監査人である彼は、何らかの機関を代表しているに違いありません。そのような機関は通常、そのような監査のガイドラインを公開しています。そのような要求がこれらのガイドラインに準拠しているかどうかを確認してください。あなたもそのような団体に不平を言うことができます。また、監査人には、不正行為が発生した場合、すべてのパスワードを持っているため、責任が監査人に返ってくる可能性があることを明確にしてください。

要求された情報を彼に提供する方法はないと言います。

• ユーザー名は、システムにアクセスできるアカウントの洞察を彼に提供します。セキュリティリスク
• パスワード履歴は、使用されているパスワードパターンに関する洞察を提供し、チェーン内の次のパスワードを推測することにより、攻撃の可能性を与えます。
• システムに転送されたファイルには、システムに対する攻撃に使用される可能性のある機密情報が含まれている可能性があり、ファイルシステム構造に関する洞察を提供します
• 公開鍵と秘密鍵、意図したユーザー以外の誰かに公開する場合、それらを持っていることの意味は何でしょうか？
• ユーザーがパスワードを変更するたびに送信される電子メールは、すべてのユーザーアカウントの最新のパスワードをユーザーに提供します。

この男は君の仲間を引っ張っている！彼の法外な要求を確認するには、彼のマネージャーまたは会社の他の監査人と連絡を取る必要があります。そしてできるだけ早く離れてください。

問題は今までに解決しましたが、将来の読者のために...

それを考慮して：

• これに1時間以上かかったようです。

• 会社の弁護士に相談する必要がありました。

• 彼らはあなたの契約を変更した後、多くの仕事を求めています。

• あなたはお金を出して、より多くの時間を切り替えます。

前もって多くのお金が必要で、最低4時間は必要だと説明する必要があります。

最後の数回、私は誰かに突然彼らはそれほど困tしていないと言った。

契約の変更後、スイッチオーバー中に発生した損失と所要時間については引き続き請求できます。私は彼らがあなたがその時間内に応じると思ったのと同じくらい、彼らが2週間以内に支払うと言っているわけではありません-彼らは一方的であるでしょう、私は疑いの余地がありません。

あなたの弁護士事務所が回収通知を送ると、彼らはガタガタ鳴ります。これは、監査会社の所有者の注意を引く必要があります。

問題についてさらに議論するために、必要な作業のデポジットを必要とするだけで、彼らとのさらなる取引に反対することをお勧めします。その後、それらを伝えるために支払われることができます。

有効な契約を結んでいて、相手の誰かが軌道に乗るのは奇妙なことです。セキュリティやインテリジェンスのテストでなければ、間違いなく忍耐力のテストになります。