Пользователь
76,7
рейтинг
1 августа 2011 в 11:21

Разработка → Наш аудитор безопасности — идиот перевод

Прим. переводчика: это статья (а вернее — вопрос на serverfault.com) системного администратора одной электронной торговой площадки, проходившей аудит безопасности на право пользоваться некой системой процессинга банковских карт.



Аудитор безопасности наших серверов потребовал в течение двух недель следующие вещи:
  • Список всех пользователей с их паролями в открытом виде
  • Историю изменения паролей всех пользователей за последние 6 месяцев (опять-таки, в открытом виде)
  • Список всех файлов на наших серверах, которые были загружены на них извне за последние 6 месяцев
  • Публичную и приватную части всех SSH-ключей
  • Механизм, отсылающий ему электронное письмо каждый раз, когда любой пользователь меняет свой пароль (в письме открытым текстом должен быть написан новый пароль)
Наши сервера крутятся под Red Hat Linux 5/6 и CentOS 5 с LDAP-аутентификацией. Насколько я знаю, всё вышеперечисленное либо вообще невозможно, либо очень трудно получить на этой платформе. Но если я не предоставлю информацию в срок — мы потеряем доступ к платежной платформе и всю потенциальную прибыль за время миграции на другую. Есть какие-то мысли, как выкрутится?

Единственный путь получить все пароли в открытом виде — сбросить их и установить в какие-то определенные. Но это не решает проблему информации о паролях и файлах за последние 6 месяцев.

Получение пар SSH-ключей возможно, но процедура длительная и нудная — много пользователей, много компьютеров. Разве что можно как-то это автоматизировать?

Я много раз объяснял аудитору невозможность выполнения его просьб. Он ответил вот таким письмом:
Я более 10 лет работаю в сфере аудита компьютерной безопасности и имею полное представление о системе безопасности ОС RedHat, так что советую Вам обновить свои знания о том, что возможно, а что нет в этой системе. Вы говорите, что Ваша компания не в состоянии предоставить требуемую информацию. Но я провел уже сотни подобных аудитов и в каждом из них такая информация предоставлялась. Все клиенты нашей процессинговой компании должны соответствовать нашим новым политикам безопасности и этот аудит предназначен для проверки этого соответствия.

Эти самые «новые политики безопасности» были введены 2 недели назад, а информацию по паролям и загруженным файлам требуют за последние 6 месяцев — круто, правда?

Если коротко, мне необходимо:
  • Способ сфальсифицировать историю изменений паролей за последние 6 месяцев, так чтобы выглядело правдоподобно
  • Способ сфальсифицировать историю загрузок файлов
  • Простой способ сбора SSH-ключей с большого количества компьютеров
Если мы завалим этот аудит — потеряем процессинговую платформу и займет добрых две недели, чтобы переехать куда-то еще. Что делать?

Обновление 1


Спасибо всем за ответы, я вернул себе веру в то, что не являюсь полным идиотом и требуемая информация не является стандартом в подобных аудитах.

Я планирую написать аудитору еще одно письмо с объяснением ситуации: многие из вас указали, что согласно правилам PCI (прим.переводчика: комитет по безопасности платежных карт, куда входят Виза, Мастеркард и прочие) пароли ни коем случае не должны храниться или передаваться в открытом виде. Не особо, однако, надеясь на здравый смысл, мы начинаем вострить лыжи для перехода на PayPal.

Обновление 2


Черновик письма:
Hi, [name],
К сожалению, нет никакого способа предоставить вам некоторую запрошенную информацию. Речь идет о паролях в открытом виде, истории изменения паролей, SSH-ключах и логах загрузки файлов. Это не только невозможно технически, но и противоречит стандартам PCI, явно запрещающим хранение и передачу таких данных в открытом виде (раздел 8.4 — «Все пароли должны передаваться и сохраняться только в зашифрованном виде с использованием сильной криптографии»).

Я могу предоставить Вам список логинов и хешированых паролей наших пользователей, публичные SSH-ключи и список авторизованных хостов. (Это даст Вам информацию о количестве уникальных пользователей и используемых алгоритмах шифрования), информацию по нашим требованиям к безопасности паролей и конфиги LDAP-сервера. Я настоятельно советую Вам пересмотреть свою политику безопасности, поскольку нет никакой возможности пройти аудит безопасности, соблюдая и её и законодательные акты о защите персональных данных вместе с требованиями PCI.

С уважением,
Я.

Я постараюсь достучаться не только до аудитора, но и до его руководства, равно как поставить в известность о сложившийся ситуации ответственных за безопасность сотрудников PCI.

Обновление 3


Вот его ответ на мое письмо:
Как я уже писал, требуемая информация должна быть легко доступна на любой нормально настроенной системе любому компетентному администратору. Ваше признание в невозможности получения такой информации заставляет меня думать о пренебрежении стандартами безопасности на Ваших серверах и неготовности к реальным угрозам. Наши требования находятся в полном соответствии со стандартами PCI и их вполне можно выполнить вместе. «Сильная криптография» означает только то, что пароль должен шифроваться по мере его ввода пользователем, но потом его нужно перенести и сохранить в открытом формате, так как он может понадобиться в дальнейшем.
Я не вижу никаких угроз безопасности в требуемом поведении — защита паролей криптографией относиться только к пользователям системы, не администрации, а значит вполне возможным должно быть и предоставление этой информации для аудита.


Я даже еще раз повторю:
«Сильная криптография» означает только то, что пароль должен шифроваться по мере его ввода пользователем, но потом его нужно перенести и сохранить в открытом формате, так как он может понадобиться в дальнейшем.

Я планирую это выражение распечатать и повесить в рамочке на стену.

Я решил не утруждать себя более излишней дипломатичностью и дал ему ссылку на этот топик:
Предоставление требуемой Вами информации ПРЯМО ПРОТИВОРЕЧИТ законам и требованиям PCI — я процитировал раздел правил. Кроме того, я начал дискуссию на ServerFault.com (онлайн-сообщество профессиональных системных администраторов), которая получила огромный отклик, в целом сводящийся, опять таки, к тому, что данная информация не может быть предоставлена. Можете как-нибудь почитать на досуге:

Наш аудитор безопасности идиот, как мне предоставить ему требуемую информацию?

Мы закончили переход нашей биллинговой системы на новую платформу и разрываем контракт с Вашей фирмой с завтрашнего дня. Но просто ради торжества здравого смысла я хотел бы дать Вам понять, как смешны и нелепы Ваши требования. Ни одна компания не сможет предоставить Вам эту информацию, не нарушив требований PCI. Я очень советую Вам продумать Вашу политику безопасности еще разок, так как с текущей Вы просто растеряете всех клиентов.

(Честно говоря, я как-то упустил тот факт, что назвал его идиотом в заголовке статьи, но было уже глубоко побоку — мы уже съехали)

А он все-таки мне ответил. Я думаю, читателям будет интересно узнать, что они балбесы, не понимающие о чем говорят:
Я прочитал Ваш пост и ответы на него. Что ж — все ответившие ошибаются. Я работаю в этой индустрии дольше любого на этом сайте — получение списка пользователей и их паролей это базовый навык, это одно из первых, чему должен научиться системный администратор и неотъемлемая часть безопасности любого надежного сервера. Если уж у Вас ума не хватает на такую элементарщину, я думаю у Вас нет установленного PCI на Вашей системе, так как подобная возможность является необходимым требованием этого ПО). И вообще говоря, при работе с такими вещами как безопасность серверов Вы не должны задавать вопросы на публичных форумах без понимания базовых принципов её функционирования.

Так же хотел бы сообщить, что любая попытка раскрыть мое реальное имя или название компании повлечет за собой принятие всех необходимых юридических мер против Вас.

Я подчеркну ключевые идиотизмы, если Вы их пропустили:
  • Он работает аудитором дольше всех здесь (Он то ли мысли читает, то ли шпионит за всеми тут)
  • Получение списка паролей в открытом виде в UNIX — «базовая возможность»
  • PCI — это теперь ПО
  • Люди не должны задавать на форуме вопросы, если они не знают чего-то о том, что спрашивают
  • Постинг фактов, подтвержденных письмами — это клевета
Великолепно.

Организация PCI отреагировала адекватно и сейчас плотно исследует этого аудитора, его компанию и их правила. Наша система успешно переехала на PayPal. Я буду ждать информации от PCI о результатах аудита этого аудитора — но вот что меня беспокоит. Если та компания имела такие внешние требования — значит и внутренние у них были в том же духе. А значит все платежи всех наших клиентов вполне себе могут храниться где-то в открытом виде без всякого шифрования и защиты. Я надеюсь, расследование PCI расставит точки над i и соответствующие меры будут приняты.

Я уточню у нашего адвоката возможность публикации имени аудитора и названия компании и все вы сможете пообщаться с ними лично и объяснить почему вы не понимаете таких базовых возможностей Linux, как получение списка паролей в открытом виде.

Маленький апдейт


Наш адвокат посоветовал не нарываться. Ну что же, не называя конкретных имен, я скажу лишь что это не крупный процессинговый центр, у него около 100 клиентов и находится он в Бирмингеме, UK.
Перевод: Sam Rudge
Владимир @tangro
карма
713,7
рейтинг 76,7
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (156)

  • +78
    «Маленькими их надо убивать» ©
    Чем высокопоставленнее идиот, тем больше с ним проблем.
    Остается уповать на более высокопоставленных людей, сохранивших здравый смысл. Иного способа борьбы, боюсь, нет. Так что ждем продолжения истории.
    • +11
      «Невозможно решить проблему на том уровне, на котором она возникла; для решения проблемы надо подняться на уровень выше.» © Неизвестный А.Эйнштейн
    • +35
      И снова и снова одна и та же цитата лезет в голову.

      -А у системы вашей есть ли защита от дурака?
      -Да. Но только не от руководящего.
    • +4
      Не, тут скорее синдром вахтера в чистом виде.
    • +86
      • Cфальсифицировать историю изменений паролей за последние 6 месяцев — две тыщи баксов или неделя работы
      • Сфальсифицировать историю загрузок файлов — три с половиной тычячи евро или две недели работы
      • Сбор SSH-ключей с большого количества компьютеров — три бессонных ночи
      • Послать нахуй такого аудитора и жить спокойно в мире и гармонии — бесценно
    • –1
      Вообще, попахивает самопиаром. Ну не верю я, что может существовать такой аудитор.
      • +6
        попахивает, тем, что чувак хочет залезать в чужие акаунты.
        Простота хуже воровста.
      • +7
        Возможно, конечно. НО.
        Я сам сталкивался на практике с требованиями:
        — предоставить пароли всех юзеров (в домене кстати была сделана настройка смены пароля пользователя раз в месяц).
        — мониторить все что происходит у каждого из пользователей (открытие документов, запуск программ и т.д.)
        — полный мониторинг эл.почты — ну это даже стандартное пожелание.
        — мониторинг всех распечатываемых документов в организации (а печатали пользователи просто ящиками всякие документы и фактуры).
        Про «кто куда лазит в интернете» я даже вспоминать не буду — это просто классика.

        На мой вопрос — а кто будет хранить все эти данные (даже если их удастся собрать) и как их обрабатывать был дан ответ в стиле «не твое дело».

        И ладно бы я работал в какой-то суперсекретной конторе. Нет, обычное производство стратегической колбасы индивидуального и массового употребления. :-)
        • +6
          >> настройка смены пароля пользователя раз в месяц
          Садисты
        • 0
          Сбор паролей — ненужное требование, раз сброс паролей происходит раз в месяц.
          Полный мониторинг эл.почты называется перлюстрация и осуществляется силами сторонних программ, мониторинг действий пользователя производится силами клавиатурных шпионов. «Кто куда лазит в интернете» — настройки логирования на прокси.
          Данная информация должна храниться в отделе инф. безопасности, обработка так же лежит на плечах специалистов этого отдела.
          Другое дело, что производство стратегической колбасы может и не требовать таких мер.
          • +2
            Я это все прекрасно знаю и понимаю. Просто мои вопросы на эту тему рубились «Ннада!» и все. Мы пробовали писать действия пользователей — обалденный объем неанализируемой информации (особенно действия клиент-менеджеров: «открыли документ/закрыли документ» — фантастическое кол-во записей). «Сохранять все что идет на печать» — аналогично, документы печатались круглые сутки. Почта тоже давала дурные объемы, особенно когда народ стал гонять письма с веселыми картинками. Лог прокси по сравнению со всем этим бедламом был просто крошечным, хотя какая разница кто куда лазит в инете, ну как можно контролировать >200 юзеров? Только посмотреть общий объем и все (всякие развлекательные и порно-ресурсы, разумеется, блокировались).

            Иметь информацию мало — надо же ее как-то обрабатывать и хранить. Иначе получается огромная куча бесполезного хлама.
            • 0
              То, что «Ннада!» — это и так понятно. Для облегчения работы отдела ИБ существуют автоматизированные системы, например, «Гарда» (http://www.mfisoft.ru/products/security/garda). Они, как раз, и помогают избавиться от хлама в логах. Но, повторюсь, адекватность контрмер вызывает сомнение.
      • 0
        Работая с другой стороны барикад (аудитором) неоднократно сталкивался с возросшим числом доморощенных аудиторов и не менее/более адекватных системных администраторов с «их требованиями» безопасности
  • +137
    Видимо, этот аудитор ранее успешно проверил сервисы Sony и оказалось, что они удовлетворяют всем требованиям по безопасности.
    • +18
      Причем не только проверил, но и внес множественные свои коррективы!
      • +2
        хм, тогда, возможно этот аудитор — переодетый Anonymous, тонкий тролль и завсегдатай имиджборд
    • +2
      Имя сестра, имя!!! Страна должна знать своих героев!!!
      Есть ли в оригинальной статье название компании, где работает такой аудитор?
      • 0
        Нету. Может быть есть в комментариях, но я их полностью не осилил.
      • +1
        Там же вроде написано, что имя и компанию запретили озвучивать, грозя судебным иском…
        • +3
          Можно выкрутиться, при желании, опубликовав комментарий от третьего лица в духе, «я узнаю требования, это N».
          • НЛО прилетело и опубликовало эту надпись здесь
            • +5
              *тоже вспомнилось*

              Из диалога с ГАИ-шником:
              — А что будет если я назову вас идиотом?
              — Это будет оскорбление при исполнении, штраф как минимум.
              — А если только подумаю, но не скажу?
              — Ну, за мысли конечно никто штрафовать не будет.
              — Ок, я думаю что вы идиот.
        • 0
          www.yell.com/s/auditors-birmingham.html
          Думаю тут можно попробовать поискать:)
          • 0
            Надо искать не аудиторов, а процессинги…
  • –52
    Хорошая статья.
    Ждём ещё «Мой руководитель — идиот», «Мой бухгалтер — идиот», «Я — идиот», etc.
    • 0
      Почему нет? Вы имели ввиду сарказм?
      • –8
        Не важно, что я имел в виду, хомячки всё равно поняли это по-своему.
        А статьи я бы почитал, правда.
        • 0
          Я бы тоже посмотрел на опыт других людей.

          Освндомлён — значит вооружён.
    • +2
      ITHappens.Ru состоит из таких статей чуть менее, чем полностью.
    • 0
      написал тот самый аудитор-идиот?
  • +107
    Возможно, что на самом деле человек не работает 10 лет в этой сфере, а его совсем недавно взяли со школы по блату (:
    Вспомнился анекдот:
    Звонит стартапщик специалисту по сошиал медиа маркетингу и говорит: «Слушай, ты уже сделал домашку по алгебре?»
  • +8
    Редкостный муфлон с синдромом вахтёра. Полностью согласен с KotBehemoth, таких надо маленькими давить, пока он не получил повышение и не вырастил под собой ещё поколение таких же.
  • +53
    Конечно, это встроенная функция в любой ОС, набрав getpwdfromhash получаем список всех паролей в открытом виде, а набрав sendtoidiot отправляем их аудитору.
  • +21
    Я думал PayPal это самое большое зло с точки зрения принятия платежей. Оказывается нет, есть места откуда переезжают на PayPal и радуются этому. Офигеть, просто офигеть!
    • 0
      Чем вам не нравится PayPal с точки зрения приема платежей?

      Уже традиционно когда на хабре ругают PyPal пишут что то типа «Я не мог принимать платежи под именем Жени из Житомира и тогда я назвался Джоном из Бирмингема. Все было хорошо но однажды меня забанили. Ата-та мерзкий PayPal!!!»

      Ваша история отличается от шаблонной?
      • +2
        Сначала нам не дали PayPal Website Payments Pro — не потому что мы нехорошие редиски (или Женя из Житомира, нет, мы как раз US registered company) а просто потому что мы им не интересны — не дадим и все. Потом попробуйте со всем этим (Website Payments Standard) взлететь: тестовый аккаунт (sandbox) реализован ну просто очень неудобно (тройная авторизация и при этом очень короткие таймауты на сессию) и глючит (например генерирует номера карт которыми нельзя платить и т.п.) — поэтому на тестирование тратится очень много времени, документация размазана по трем разным сайтам и порой не дружит сама с собой, заявленная функциональность может быть очень скрыта или совсем выключена для некоторых видов платежей и стран — и т.п. В общем, если на сайте должно быть десять постоянных кнопок BuyNow и при этом вам не обязательно принимать оплату и картами — то тогда все просто, иначе это ночной кошмар для разработчика.
        • 0
          Спасибо за информацию. Я собираюсь написать про подключение к системе Moneybookers и, возможно Qiwi. Будет интересно сравнить PayPal.
  • +31
    «пароль должен шифроваться по мере его ввода пользователем, но потом его нужно перенести и сохранить в открытом формате, так как он может понадобиться в дальнейшем.» Это убило конечно. Может в аудиторы податься? А что, при почти полном незнании предметной области, я еще и не самым плохим буду, лол.
    • +4
      Только надо еще поисковиком лучше аудиторов пользоваться, чел видимо вбил в яндексе «PCI», попытался быстро въехать в суть, подумал что это драйвера или ПО (возможно на железку «сильной криптографии»), и ответил так. :)
      • +12
        PCI это разъем же, а PCI-E еще сильнее шифрует!!!11
        • +4
          быстрее — express же (:
          • +3
            Не, Express — это бесплатная упрощённая редакция.
      • +1
        Скажем так: PCI DSS действительно запрещает передачу PIN-а в открытом виде вообще всегда. Поэтому, к примеру, канал связи между PINpad-ом и POS-терминалом (в случае выносного PINpad-а) действительно шифруется. Также шифруется канал между банкоматом и клавиатурой банкомата. Делается это для предотвращения перехвата PIN-а «по пути». Кстати, в правильных «гражданских» беспроводных клавиатурах также бывают подобные механизмы защиты от перехвата. И да — там действительно используется стойкое шифрование, но формулировка «аудитора» про «сильную криптографию» всё-равно звучит абсолютно по-идиотски.
        • 0
          >Также шифруется канал между банкоматом и клавиатурой банкомата.
          Это при том, что для того, чтобы подключиться между банкоматом и его клавиатурой — нужно его разобрать, а от накладной клавиатуры или камеры над банкоматом это нифига не спасает.
          • +1
            От всевозможных «накладок» АКА скиммеров спасает, как ни парадоксально, в первую очередь бдительность клиентов и инкассаторов/инженеров по обслуживанию, а во вторых — всякие хитрые приспособы начиная от конструкций, загораживающих PIN-pad со всех ракурсов, и заканчивая активными и пассивными антискиммерами на картоприемнике. Ну и плюс становится всё больше EMV-only карточек, которые невозможно «соскиммить». А шифрование обмена между компонентами банкомата защищает от возможной установки «закладок» внутрь банкомата (куда клиент заглянуть не может) авторизованным обслуживающим персоналом.
        • 0
          Помимо DSS у них есть еще стандарты безопасности при разработке ПО например. Плюс DSS может давать печальные последствия если неправильно организована сеть(или неправильно трактована аудитором) и серваки работающие с картами попадают в одну сеть с обычными офисными машинами. Тогда там начинаются ахтунги вроде необходимости жестко мониторить действия пользователей и прочего.
    • +38
      Так оно и есть, при вводе пароля он отлично шифруется звездочками. :)
      • +11
        да, а в поле
        подтверждение пароля [ __________ ]

        надо ввести «подтверждаю»
        • +2
          Или поставить печать «Копия верна» и подпись.
      • +2
        Вспомнилась «шутка» из начала 2000-ых.

        Шлешь другу текст типа
        «Вау, прикольная новая фишка безопасности, если в сообщении пишешь свой пароль — он скрывается звёздочками, смотри: *********».
        А когда он шлёт тебе свой пароль, а потом спрашивает, почему тот не скрыт, ты говоришь ему, что он виден только автору, а у тебя в пришел виде звездочек.
  • +14
    Просто ппц. И как такие люди еще работают в сфере связанной с ИТ безопасностью, это же действительно идиотизм.
    • +5
      Такие люди «работают» везде. Кем придется и как получится.
  • +65
    Не готов ручаться конкретно за этого аудитора, но я бы аплодировал ему стоя, если правильным ответом на все его запросы было: «у нас в системе невозможно получить эту информацию. Хотите режьте, хотите увольняйте, но я не смогу вам достать пароли юзеров и их приватные ключи». В условиях жёсткого психологического прессинга администратор будет из кожи вон лезть, чтобы предоставить запрошенные данные. И если он не сможет этого сделать даже под угрозой анальной расправы, значит можно быть уверенным, что система в безопасности.
    • +9
      Там в ответах рассматривался вариант того, что это аудит на социальную инженерию — мол, сдастся админ, поставит всем пароли известные или доставит какую-то лабуду в операционку, логирующую пароли в открытом виде — тут то аудит и провален. Но админ клятвенно уверял, что это не так, поскольку этот идиотизм подтверждался не менее идиотскими официальными бумагами с печатями, письмами в PCI и т.д.
      • 0
        А откуда админ достоверно знает? Аудиторская контора предварительно составляет план и регламент проведения аудита, согласует их с руководством компании, с PCI, подписывает NDA на случай, если, не дай бог, что-то узнает, и с богом.
        • +20
          Ну тогда он должен был закончиться в момент, когда контора сказала — «Валите лесом, мы сваливаем на PayPal». Этого не было.
          • 0
            А может это PayPal прислал такого аудитоора? ;)
    • +16
      Кстати, да. Один знакомый аудитор обожает просить «пример пароля для оценки криптостойкости». Пароль позволяет войти в систему? Аудит провален.

      Или ещё шутка от него же — просьба залогинится в систему с его ноутбука. На котором кейлоггер крутится.
  • +7
    По-моему это был троллинг)

    Напишите в начале статьи Имя и Фамилию этого человека и название компании, нам всем будет что сказать этому, при случайной встрече. Мир тесен, особенно в IT
    • 0
      Я уточню у нашего адвоката возможность публикации имени аудитора и названия компании и все вы сможете пообщаться с ними лично и объяснить почему вы не понимаете таких базовых возможностей Linux, как получение списка паролей в открытом виде.

      Маленький апдейт

      Наш адвокат посоветовал не нарываться. Ну что же, не называя конкретных имен, я скажу лишь что это не крупный процессинговый центр, у него около 100 клиентов и находится он в Бирмингеме, UK.

      К тому же это перевод.image
      • +1
        Там в комментариях, кстати, никто компанию-то в итоге не назвал?
    • 0
      Простите не дочитал сразу до Ваших слов об адвокате,
      а что касается Бермингема, то там регистрируют каждого, у кого есть в кармане 50 фунтов (+35 для получения фирмы в тот же день), ну или 1000 долларов, и копий паспорта, тогда можно даже из России не выезжать :)
    • +1
      Обязательно встретите когда у Вас будет подобная ситуация с аналогичными требованиями ;-)
  • +1
    Отличная статья описывающая некомпетентность сотрудника аудиторской фирмы, хотя возможно и всего состава фирмы, раз они приняли такую политику безопасности! Возможно они думают о какой-то своей безопасности нежели о безопасности Ваших клиентов!
  • –4
    Офигенно! А вы не хотите вместе со своими юристами подать на эту компанию в суд и потребовать с них возмещение нанесенного ущерба? Факт переписки имеет место быть, договор был, время переезда на PayPal определенное есть.
  • +7
    Прям мой старый сраный препод Корпачёв.
    • +16
      Думаю, у каждого в той или иной степени появится ассоциация со своим «Корпачевым».

      Помню, лет 10 назад рассказывали историю, как на каких-то IT-курсах препод-женщина утверждала, что uk-домен — это Украина, а на все возражения отвечала: «Я сертифицированный специалист, а вы кто такие»? :)
      • +11
        Ну да, а если показать ей сайт регистратора .ua, то она скажет, что у них ошибка.
      • +1
        В одной жалобе провайдеру интернета я указывал на ошибку расчета (льготный ресурс посчитали обычным). В ответ на жалобу мне написали, что у них сертифицированный биллинг софт, а значит я неправ :\
        • 0
          Это закон о связи называется, т.е. Юридически они абсолютно правы, так вот законы в РФ работают.
          А так, просто как всегда человеческий фактор, опущен, или как раз в действие (не охота разбираться с вашей претензией).
          • +5
            Мне однажды такой «сертифицированный» биллинг софт насчитал, что я в декабре я провел в интернете чуть больше 900 часов.
            Несложная математика говорит, что в декабре всего 744 часа. В офисе провайдера никто так и не смог объяснить мне, несертифицированному пользователю, этот временной коллпас…
  • +10
    Он не идиот, он просто Божья роса для вас — считайте что он спас вас от эпик фейла и потери кучи бабок с этим процессинговым центром.
    • –5
      Кого «вас»? Повествование ведь идёт от имени этого процессингового центра.
      • +6
        Перечитайте первый абзац. Лучше раз 20. Пока не дойдет.
        • НЛО прилетело и опубликовало эту надпись здесь
  • +5
    Настолько нелепо, что похоже на фейк ради пиара. Хотя жизнь и не такие «сюрпризы» преподносит…
    • +3
      Странный пиар — ни имен, ни названий фирм.
      • +1
        Имя админа на форуме известно ведь.
      • 0
        Ну почему же? Ненавязчиво так про PayPal — они здесь вроде бы и не пиарятся напрямую, но всё равно являются светлым пятном в истории. Эдакая атака на подсознание.:)
  • +3
    Напоминает диалоги происходящие в моей конторе. Уныло.
  • +4
    Надеюсь, вы напишите и о результатах аудита «аудитора».
  • +1
    он так может на жизнь зарабатывает?
  • +1
    правильное решение съехать от этих кретинов. пожалуй, продублирую этот комментарий на английском, чтобы им было легче прочесть.

    варианты действий, если у вас нет возможности съехать на PayPal или на любой подобный процессинг могут быть таковыми:

    1. хочет пароли в открытом виде? дайте ему часть /etc/shadow с хэшами и ссылку на:
    md5crack.com/
    md5hack.com/
    www.md5decrypter.co.uk/ — кстати, в англии как раз, British Telecommunications plc (:
    пусть развлекается.

    2. если через пару месяцев подобных развлечений он всё-таки не смог найти коллизии в хэшах, дайте ему платные ресурсы: cmd5.ru/, c0llision.net/, hashcracking.ru.

    3. если и это не помогло, попросите юзеров отправить аудитору свои пароли. (-%

    4. список файлов получается путем поиска просто ВСЕХ файлов, дата которых около шести месяцев, запакуйте это в большой tar и предоставьте. пусть разбирается.

    5. в европе, равно как и в России / Украине действует закон о «Защите персональных данных», своими требованиями аудитор нарушает его, являясь оператором по определению закона.

    пока аудитор последовательно проходит пункты 1 — 4, вы спокойно передаете всю информацию о нарушении ПДн адвокату, тот заводит дело, вы пытаетесь решить вопрос в досудебном порядке… PROFIT! (:
    • +1
      Этот топик — перевод статьи зарубежного автора. Невнимательность в вопросах безопасности тоже тяжкий грех.
      • +8
        Комментатор же написал вначале:
        «пожалуй, продублирую этот комментарий на английском, чтобы им было легче прочесть.»
        Чей же грех — невнимательность?
  • +7
    Сказочный долбоёб ©
  • +53
    я в налоговой работал… не в бирменгеме а у нас. там примерно тоже самое было, даже интереснее.
    заставили сделать журнал паролей с фамилиями и паролями пользователей. и каждый пользователь напротив своего пароля должен был расписаться. чтобы не подглядывали пароли друг у друга в инструкции рассказали что нужно сделать лист бумаги с прорезями чтобы закрывать этим листом строчки журнала которые разглашать нельзя и при этом дать возможность расписаться напротив своего пароля.
    мы были в шоке, но распоряжением вышестоящего начальства было приказано удовлетворить все требования отдела безопасности.
    • +15
      Российская бюрократия. Бессмысленная и беспощадная.
    • +17
      А какая ответственность была установлена за ошибочный пароль?
      • 0
        Расстрел, вестимо :)
    • +2
      В универе аналогичная система была для доступа к личной самба-шаре.
      В качестве «защиты» была точка в качестве первого символа пароля, написанная в журнале, но плохо заметная на фоне самого пароля т.к. сам пароль был слабым (набор цифр).
      • +5
        Больший эффект, пробел в конце, или в начале пароля.
  • –5
    Дословный перевод от первого лица несколько сбивает с толку.
  • +5
    Я уж было подумал, что аудит проводили клоуны из dsec.ru.
    • +5
      А чем они знамениты?
  • 0
    Больше похоже на чей то розыгрыш или тонкий троллинг. Я про письма так называемого «аудитора безоапсности»
  • +1
    Читалось как детектив, чесслово. Благо, окончание позитивное — с чем вас и поздравляю!
  • +1
    Как-то неверится, что такие дураки бывают.
    А админ наредкость терпеливый.
  • +5
    Вы уверены, что это не мошенники?
    • +6
      У меня тот же вопрос возник. Уж больно похоже на какое-то разводилово.
      1. Получаем пароли юзеров/Заставляем выставить пароли юзеров
      2. ???
      3. PROFIT!
      • +2
        Да, очень уж похоже, ответы-то совсем неадекватные. Товарищ же тролит: уходит от темы, хамит, давит ничем не подтвержденным авторитетом.

        Было бы интересно посмотреть, как измениться тон ответов, если ему написать, что-нибудь вроде: «мы решили, что вы ведете себя очень подозрительно, поэтому был сделан запрос в контролирующие органы. Ждем ответа и т.д.»
        • 0
          Если фирма работала с этой компанией (и еще 100 таких же) и у человека действительно был сертификат аудитора, то вряд ли это был мошенник. Аудиторов периодически проверяют и прессуют как только можно, сам сертификат получить очень проблематично, а сесть за такие вот «профиты» проще некуда. Тем более это не СНГ, за бугром вообще строго. Так что это либо идиот… либо какой-нибудь «карьерный самоубийца». Ну или письма отправляло третье лицо от имени аудитора.
          • 0
            Но что ему технически мешает передать эту информацию 3м лицам? На чем его можно поймать?
            • 0
              На том, что он такую информацию запрашивает — уже можно.
        • 0
          «Организация PCI отреагировала адекватно и сейчас плотно исследует этого аудитора, его компанию и их правила. Наша система успешно переехала на PayPal. Я буду ждать информации от PCI о результатах аудита этого аудитора»
  • +2
    Пахнет совком, видимо человек старой закалки там сидит. Пароли распечатать и спрятать в сейф, никакой троян не залезет!
    • +1
      Осталось выяснить, откуда совок пробрался в Бирмингем, и почему у него всего 10 лет опыта
      • +1
        дык границы же открыли!
  • +5
    Пароли всех пользователей платежной системы…
    По-моему, он решил срубить бабла по-крупному :-)
  • 0
    Интересно… я бы вот не стал пароли пользователей отправлять никому. Вообще не ясно каким образом это поможет ему. Быть может весь смысл был в том чтобы устоять напору… и тогда тест пройден? :)
  • 0
    Это же песня просто какая-то!
    Служил некоторое время, занимался информационной безопасностью. У военных за такой «аудит» и статьи есть, можно сесть быстро и надолго.
  • +1
    Если бы я узнал, что какая-то компания хранит мой пароль в открытом виде, я бы как минимум перестал бы с ней сотрудничать, а как максимум, возможно есть вариант и наказать по закону.
  • +3
    Пфф… на ЖД на нашей на родной и не такое можно от центральной СБ получить.
  • +1
    Все же склоняюсь к мысли, что либо это социальный инжиниринг с целью получения базы пользователей и паролей (неизвестно какая фирма и 100 клиентов), либо продвинутый аудит с использованием методов этого самого инжиниринга.
    Первое намного более вероятно.
    Похоже на нигирийцев с просьбой отправить MacBook сыну в Зимбабве и предоставить квитанцию об отправке «платежной системе».
  • +6
    >> PCI — это теперь ПО

    Давычо, это ж шина такая!
  • +1
    Самое обидное, что все это останется на уровне народных баек, а компания олигофренов так и продолжит свою деятельность. Тут больше вопрос к законодательству. За что засудить-то могут, если раскрыть имя? За клевету?
    • +4
      Ну, нифига. Админ обратился с жалобой в PCI — они начали расследования деятельности аудитора, поскольку эта деятельность — явная угроза капиталу входящих в PCI фирм. Вы спутали, во-первых, страну, а во-вторых частный бизнес и государство. На западе частная фирма (особенно уровня Visa и Mastercard) с этих дуралеев 3 шкуры сдерут.
  • +1
    Перенесите в DuraLex.
    • +1
      Этот блог автоматически про себя переводил как «презервативы», пока наконец не посмотрел в интернете истинное значение.
      Неслучайно видимо.
  • –1
    на месте автора — я бы рассмеялся боссу прямо в лицо и подал бы заявление на увольнение. босс бы сильно тогда призадумался. потому что если уж босс — идиот, то это стало бы спасением.
    • +5
      С чего бы вдруг так делать? Босс автора оказался адекватным человеком и санкционировал переход на другую платежную систему без всяких угроз саботажа.
      • –5
        давайте начнем с того, что босс, как главный источник директив, воспринял это всерьез и не воспротивился этому. вместо того, чтобы бить лысиной об паркет на интернет-форумах и ломать голову как бы пропатчить LDAP так, чтобы он отдавал plain-passwords в лог, достаточно было всем своим видом показать шефу — что аудитор идиот. вменяемый шеф должен был и без гласа интернет-сообщества прислушаться к своему айтишнику. впрочем, шеф и так норм оказался, видимо.
        • +20
          Вы как-то неверно представляете задачу руководства. Первое, что должен сделать начальник — делегировать задачу нужно подчиненному (что он и сделал). Первое, что должен сделать подчиненный — это попытаться её решить в рамках отведённого времени и бюджета. Если подчиненный при малейшей несправедливости будет бежать зарёванный к начальнику — нафиг он такой нужен? Админ тоже оказался адекватным — он попытался убедить аудитора, засомневался в своей компетенции и спросил совета у коллег. И только когда убедился что он прав, а аудитор — идиот, пошел к боссу. Босс опять таки принял верное решение по переезду на PayPal. Все в этой истории (кроме аудитора) вели себя так, как должны были.
  • +2
    По-моему требование этого «аудитора по безопасности» сильно противоречит вопросам безопасности…
    • +9
      кэп?
  • НЛО прилетело и опубликовало эту надпись здесь
    • –2
      А я бы на месте автора топика сообщил бы своему руководству на бредовость запросов текущего аудитора и порекомендовал бы своему руководству изучить парочку подобных аудитов у конкурентов. Заодно и поспрашивал бы у конкурентов о текущем аудиторе. Думаю полученная информация бы пролила бы свет на ситуацию! Обязательно в такой ситуации держать в полном курсе дел свое руководство, дабы потом не схлопотать самому по шапке. :(

      Удачной борьбы, tangro!
      • +3
        Автор топика совершенно зря не поставил первой же строчкой ссылку на на оригинальную тему на serverfault.com
        Автор комментария совершенно зря читает между строк и а) даёт совет по закончившейся уже happy end'ом истории б) даёт совет и пожелание удачной борьбы переводчику

        Давайте же будем внимательны и не допустим информационного шума :)
        • 0
          О! Да, спасибо, что поправили. + вам
        • 0
          В топике этих ссылок и так две — в поле оригинала и в тексте. Еще и третью надо было ?!
          • 0
            Не в ваш адрес упрёк, пожалуй, но на Хабре очень неприметно оформляется отличие топиков-переводов от обычных, без огромного линка красным текстом в заголовке легко можно ошибиться, что постоянно и делают :)
  • 0
    Я уж грешным делом подумал, что это российский админ бодается с аудиторами буржуинскими. Думаю, совсем нас за туземцев держат, что ли… Но тем не менее солидарен с автором оригинала — идиотам надо говорить, что они идиоты, иначе как они об этом узнают?
  • 0
    «Как я уже писал, требуемая информация должна быть легко доступна на любой нормально настроенной системе любому компетентному администратору» и «но потом его нужно перенести и сохранить в открытом формате»… ЭТО ЧЕРНУХА какая-то, видимо этот аудитор не только Sony проверял, но и всё остальное, что «положили в холодильник» анонимусы и lulzsec…

    Как написали выше, по-моему это так же жесткий развод на конфиденциальные данные, и больше ничего…
  • +12
    я скажу лишь что это не крупный процессинговый центр, у него около 100 клиентов

    Я хотел сказать около 99 клиентов.
    Ой нет, 96.
    Сейчас, секундочку, поступают все новые и новые данные. Кажется, сейчас около 87 клиентов.
  • –1
    Понимаю все возмущение автора, однако:
    — почему бы не спросить у аудитора как именно можно получить указанную им информацию, ибо он же профессионал, и так как вы сотрудничаете с данной платформой — значит приносите им доход, а значит можете расчитывать на грамотную техподдержку с их стороны
    — не ясен ещё один вопрос, если он отказывается отвечать, пробовали узнать какая именно сумма может развязать ему язык, судя по требованиям и по тому, что он боится раскрывать свои данные — явно что-то не так, ибо если требования адекватны — то огласки боятся глупо, наборот хорошая реклама грамотной аудиторской конторе не повредит
    — у нас тоже был опыт общения с неграмотными аудиторами, они говорили много нужных и полезных вещей, давали нам так сказать консультации, а в итоге мы из-за них чуть всю архитектуру не угробили, хорошо сами головой подумали и не стали делать то, что предлагали они
    — всем банкам с большой колокльни на PCI DSS, в штатах к примеру ISO стандарты банки проходят, так что вполне может оказаться, что от вас требовались данные по какому нибудь ISO 9001 или 27000, что-то типа того, а там такая мутя написана, которую трактовать можно как угодно, так что не все так просто, вы можете и ошибаться
  • 0
    Аудитор великолепен!

    Накал идиотии выше всех похвал!
  • –2
    Аудитор же профессионал! Он тайный разработчик всея Linux, знает его от Arch до Xebian. Он сам встроил туда самый неимоверно быстрый алгоритм для «взлома» хэша. Зачем кластеры для перебора хэша, ставим Linux и пишем лишь одну команду.
  • –1
    Полнейший бред со стороны аудитора.
    Их задача тестировать систему на проникновение определенными средствами не зная при этом реальных паролей пользователей, но зная, к примеру, структуру сети (что бы применить атаки в нужных участках и проверить их защиту). Если же компания (аудитор) не умеет этого делать за недостатком знаний, — они требуют полных данных о сети и пользователях в ней, так как без этого они ничего не смогут сделать.
    PCI пройти сложно конечно, но требования там ставятся реальные и выполнимые. То что поставили здесь — противоречит правилам PCI DSS.
    Говорю это так как знаю что такое PCI DSS и людей которые его проводят ( опыт 10лет ;) )
    • 0
      это же не тест на проникновение, это аудит на право использования. совершенно разные вещи. пентест сложная и комплексная штука, включающая в себя несколько векторов атаки — такие как соц.инженерия, физическое проникновение, слежка, удаленные/сетевые атаки и все что только может придти пентестеру в голову.

      а аудит на право пользования сервисом — несколько другая история. требования к проверке может составить сама процессинговая компания. аудитор по ИБ требующий паролей в открытом виде имеет два возможных корня — либо идиот, как уже не единожды говорилось выше, либо соц-инженер, что тоже упоминалось.

      нерассмотренными остались вопросы:
      — есть-ли у аудитора право (сертификат) проводить АИБ по требованиям PCI DSS
      — почему проводя АИБ организации сюда приплетается PCI DSS, аудит может быть нацелен на проверку самой организации, а не способов хранения и защиты данных о платежных картах. в этом случае требования могут быть сильно расширены.
  • 0
    Он наверно еще в PCI, когда они ему скажут, что он не прав, напишет, что они ничего не понимают и вообще он дольше всех в этой области :)
  • +2
    Возможно, требования аудитора и противоречат PCI, но они точно не противоречат PCI-E :)
  • 0
    А где перевод комментариев?! :-) Там тоже сочные советы.
    • 0
      У Вас есть шанс написать рейтинговую статью.
  • –1
    А вдруг это и есть такой аудит — типа если предоставил пароли в открытом виде, то не безопастно, а коли предоставил — не безопастно.
    • 0
      Во-первых Ваша фраза с двумя одинаковыми оборотами сломала мой мозг, а во-вторых выше это уже обсуждалось.
  • 0
    Ладно хоть этот критин не хотел смотреть на всё что он запросил из выдачи поисковика! :D
  • +1
    Когда начальник — дибил, это очень плохо. Я приведу пример аналогичный. Стоит в городе Орёл завод сталепрокатный (сейчас он уже отжил свое), когда менялись директора, проводили новых начальников по цеху и рассказывают что где. Это печка — ванна с такой жидкостью — … ванна… — ванна… — печка. Зачем 2 печки, уберите одну. Начинают объяснять ему что вторую печку нельзя убрать — это технологический процесс, ее нельзя убрать. Нет уберите, зачем она энергию жрать будет. Вот и доказывай таким «идиотам» что-либо. Вообще надо их от должностей отстранять.
  • 0
    Во-первых вы недооцениваете маразм PCI DSS и все то чувство «false security», которое оно может вызвать. Сам фреймворк идиотский, чего уже говорить о людях. Хотя от дурака конечно что-то да защитит, но сам PCI был создан тупо для того, чтоб, в конечном итоге или случись что, перевалить вину на мерчанта.

    Что же касаемо самого аудита, то на профессиональном жаргоне всегда присутствует понятие как «compensating control», которое аудитор, даже при всем остуствии квалификации, должен был принять к сведению. Но а в принципе, автор текста зря панику поднял, потому что аудиторы — это не карательный орган, а их мнение как правило подтверждено исключениями и фактами. Если бы начальник этого аудитора пропустил это уже в сам непосредственно отчет, то его можно было бы с легкостью оспорить на уже более высоком менеджерском уровне.
  • +1
    Почему от писем аудитора веет Нигерией?
    • 0
      Я думаю, контроль над ящиком аудитора был захвачен взломщиком, а когда аудитор ушёл в отпуск, взломщик купил 6-pack пива и начал развлекаться :-)
  • 0
    Как меня блядь бесит любая комбинация некая сила благодаря положению + тупизма.
  • 0
    Ну как результаты?
  • 0
    Не знаю, говорили или нет в комментах, но по стилю письма аудитор выдает в себе шизоида.
    К нам подобный приходил на собеседование. На вопрос: «Расскажите, как вы проводили аудиты информационной безопасности на прошлых местах работы?», — ответил: «Я быстро на предыдущей работе раскрыл через видео камеру злодея, пытавшегося в три ночи не санкционировано войти в их Интернет-банк, используя чужой пароль, и то, что злодей сидел спиной не спасло его от наказания.»

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.