প্রশ্ন আমাদের নিরাপত্তা অডিটর একটি গাধা। আমি তাকে কীভাবে তথ্য দিতে পারি?


আমাদের সার্ভারের জন্য একটি নিরাপত্তা অডিটর নিম্নলিখিত দুই সপ্তাহের মধ্যে নিম্নলিখিত দাবি করেছে:

  • সমস্ত সার্ভারে সমস্ত ব্যবহারকারী অ্যাকাউন্টের জন্য বর্তমান ব্যবহারকারীর নাম এবং প্লেইন-পাঠ্য পাসওয়ার্ডগুলির একটি তালিকা
  • গত ছয় মাসে সমস্ত পাসওয়ার্ড পরিবর্তনগুলির একটি তালিকা আবার প্লেইন-টেক্সট
  • গত ছয় মাসে "রিমোট ডিভাইস থেকে সার্ভারে যোগ করা প্রতিটি ফাইল" এর একটি তালিকা
  • কোন এসএসএইচ কী পাবলিক এবং ব্যক্তিগত কী
  • প্রতিটি সময় ব্যবহারকারী যখন তাদের পাসওয়ার্ড পরিবর্তন করে তখনই একটি ইমেল পাঠানো হয়, যার মধ্যে প্লেইন পাঠ্য পাসওয়ার্ড থাকে

আমরা Red Hat Linux 5/6 এবং LDAP প্রমাণীকরণের সাথে CentOS 5 বক্সগুলি চালাচ্ছি।

যতদূর আমি সচেতন, সেই তালিকায় থাকা সবকিছুই অসম্ভব বা অবিশ্বাস্যভাবে কঠিন, তবে যদি আমি এই তথ্য প্রদান করি না তবে আমরা আমাদের অর্থ প্রদান প্ল্যাটফর্মের অ্যাক্সেস হারাতে এবং রূপান্তর সময়ের সময় আয় হারাতে পারি যখন আমরা নতুন সেবা। আমি কিভাবে এই তথ্য সমাধান বা জাল করতে পারেন জন্য কোন পরামর্শ?

সব প্লেইন টেক্সট পাসওয়ার্ডগুলি পেতে আমি ভাবতে পারব একমাত্র উপায় হল, সবাই তাদের পাসওয়ার্ডটি পুনরায় সেট করতে এবং তারা যা সেট করেছেন তার একটি নোট তৈরি করতে। এটি পাসওয়ার্ড পরিবর্তনের গত ছয় মাসের সমস্যাটির সমাধান করে না, কারণ আমি যে ধরণের স্ট্রাইক পুনঃক্রিয়াশীলভাবে লগ ইন করতে পারছি না, একই রিমোট ফাইলগুলি লগিং করার জন্যও একই রকম হয়।

সর্বজনীন এবং ব্যক্তিগত SSH কীগুলি পাওয়ার সম্ভব (যদিও বিরক্তিকর), যেহেতু আমাদের কয়েকজন ব্যবহারকারী এবং কম্পিউটার আছে। আমি এটা করার জন্য একটি সহজ উপায় মিস করেছি না?

আমি তাকে অনেকবার ব্যাখ্যা করে দিয়েছি যে সে যা চায় তা অসম্ভব। আমার উদ্বেগের প্রতিক্রিয়ায়, তিনি নিম্নলিখিত ইমেলের সাথে প্রতিক্রিয়া জানান:

আমি নিরাপত্তা অডিটিং এবং একটি পূর্ণ 10 বছরের অভিজ্ঞতা আছে   redhat নিরাপত্তা পদ্ধতি বুঝতে, তাই আমি আপনাকে চেক করার পরামর্শ   কি এবং সম্ভব নয় সম্পর্কে আপনার তথ্য। আপনি কোন কোম্পানী বলতে পারে   সম্ভবত এই তথ্য আছে কিন্তু আমি অডিট শত শত সঞ্চালিত হয়েছে   যেখানে এই তথ্য সহজেই পাওয়া যায়। সব [জেনেরিক ক্রেডিট   কার্ড প্রক্রিয়াকরণ প্রদানকারী] ক্লায়েন্ট আমাদের নতুন সঙ্গে মেনে চলতে প্রয়োজন হয়   নিরাপত্তা নীতিগুলি এবং এই অডিটটি সেই নীতিগুলি নিশ্চিত করার উদ্দেশ্যে তৈরি করা হয়েছে   * সঠিকভাবে প্রয়োগ করা হয়েছে।

* "নতুন সুরক্ষা নীতিগুলি" আমাদের নিরীক্ষা করার দুই সপ্তাহ আগে চালু করা হয়েছিল, এবং ছয় মাসের ঐতিহাসিক লগিং নীতি পরিবর্তন করার আগে প্রয়োজন ছিল না।

সংক্ষেপে, আমি প্রয়োজন;

  • "জাল" ছয় মাসে মূল্যের পাসওয়ার্ড পরিবর্তন করার একটি উপায় এবং এটি বৈধ বলে মনে করা
  • ছয় মাস অন্তর্বর্তী ফাইল স্থানান্তর "জাল" করার একটি উপায়
  • ব্যবহার করা হচ্ছে সব এসএসএইচ পাবলিক এবং প্রাইভেট কী সংগ্রহ করার একটি সহজ উপায়

আমরা যদি নিরাপত্তা নিরীক্ষা ব্যর্থ করি তবে আমরা আমাদের কার্ড প্রক্রিয়াকরণ প্ল্যাটফর্মের অ্যাক্সেস হারাতে পারি (আমাদের সিস্টেমের একটি গুরুত্বপূর্ণ অংশ) এবং অন্য কোথাও যাওয়ার জন্য এটি দুই সপ্তাহের মধ্যে ভাল হবে। আমি কেমন আছি?

আপডেট 1 (Sat 23rd)

আপনার সব প্রতিক্রিয়া জন্য ধন্যবাদ, এটা মান অনুশীলন না এটা সম্পর্কে মহান ত্রাণ দেয়।

আমি বর্তমানে পরিস্থিতি ব্যাখ্যা করে তার ইমেইল প্রতিক্রিয়া পরিকল্পনা করছি। আপনি অনেকেই লক্ষ্য করেছেন, আমাদের অবশ্যই পিসিআই মেনে চলতে হবে যা স্পষ্টভাবে বলে যে আমাদের কাছে প্লেইন-পাঠ্য পাসওয়ার্ড অ্যাক্সেস করার কোনো উপায় নেই। আমি এটা লেখা শেষ হলে আমি ইমেইল পোস্ট করব। দুর্ভাগ্যক্রমে আমি মনে করি না সে আমাদের পরীক্ষা করছে; এই জিনিস এখন কোম্পানির সরকারী নিরাপত্তা নীতি আছে। তবে, আমি তাদের কাছ থেকে দূরে যেতে এবং পেপ্যালের দিকে যাওয়ার জন্য চাকাগুলি গতিতে রেখেছি।

আপডেট 2 (Sat 23rd)

এই ইমেলটি আমি খসড়া করেছি, স্টাফ যুক্ত / অপসারণ / পরিবর্তন করার জন্য কোন পরামর্শ?

হাই [নাম],

দুর্ভাগ্যবশত আমাদের কিছু আপনাকে প্রদান করার জন্য কোন উপায় নেই   তথ্য অনুরোধ, প্রধানত প্লেইন টেক্সট পাসওয়ার্ড, পাসওয়ার্ড   ইতিহাস, এসএসএইচ কী এবং রিমোট ফাইল লগ। শুধু এই জিনিস নয়   টেকনিক্যালি অসম্ভব, কিন্তু এই প্রদান করতে সক্ষম হচ্ছে   তথ্য উভয় PCI স্ট্যান্ডার্ড বিরুদ্ধে, এবং একটি লঙ্ঘন হবে   তথ্য সুরক্ষা আইন।
  পিসিআই প্রয়োজনীয়তা উদ্ধৃত করতে,

8.4 ট্রান্সমিশন এবং স্টোরেজ চলাকালীন সমস্ত পাসওয়ার্ড পাঠ্যহীন পাঠান   শক্তিশালী ক্রিপ্টোগ্রাফি ব্যবহার করে সব সিস্টেম উপাদান।

আমি আপনাকে প্রদান করতে পারেন   ব্যবহারকারীর নামগুলির একটি তালিকা এবং আমাদের সিস্টেমে ব্যবহৃত পাসওয়ার্ডগুলি দিয়ে,   এসএসএইচ পাবলিক কী এবং অনুমোদিত হোস্ট ফাইলের কপি (এটি হবে   অনন্য ব্যবহারকারীদের সংখ্যা নির্ধারণ করতে আপনার যথেষ্ট তথ্য দিন   আমাদের সার্ভার, এবং এনক্রিপশন পদ্ধতি ব্যবহার করতে পারেন),   আমাদের পাসওয়ার্ড নিরাপত্তা প্রয়োজনীয়তা এবং আমাদের LDAP সম্পর্কে তথ্য   সার্ভার কিন্তু এই তথ্য সাইট বন্ধ করা হতে পারে না। আমি দৃঢ়ভাবে   বর্তমানে কোন উপায় নেই হিসাবে আপনি আপনার অডিট প্রয়োজনীয়তা পর্যালোচনা সুপারিশ   পিসিআই এবং এর মেনে চলার সময় আমাদের এই অডিট পাস করতে হবে   তথ্য সুরক্ষা আইন।

শুভেচ্ছা সহ,
  [আমাকে]

আমি সিটিওর সিটিও এবং আমাদের অ্যাকাউন্ট ম্যানেজারে CC'ing হব এবং আমি আশা করি সিটিও এই তথ্যটি নিশ্চিত করতে পারবে তা নিশ্চিত নয়। তিনি আমাদের কাছ থেকে কী প্রয়োজন তা ব্যাখ্যা করতে পিসিআই সিকিউরিটি স্ট্যান্ডার্ড কাউন্সিলের সাথে যোগাযোগ করবেন।

আপডেট 3 (26 তম)

এখানে কিছু ইমেল আমরা বিনিময় করা হয়;

RE: আমার প্রথম ইমেইল;

ব্যাখ্যা হিসাবে, এই তথ্য কোন ভাল উপর সহজে পাওয়া উচিত   কোনো উপযুক্ত প্রশাসক রক্ষণাবেক্ষণ সিস্টেম। আপনার ব্যর্থতা হতে   এই তথ্য প্রদান করতে সক্ষম আপনি আমাকে সচেতন বিশ্বাস করে   আপনার সিস্টেমের নিরাপত্তা ত্রুটি এবং তাদের প্রকাশ করতে প্রস্তুত হয় না। আমাদের   PCI নির্দেশিকা সঙ্গে লাইন আপ অনুরোধ এবং উভয় পূরণ করা যেতে পারে। শক্তিশালী   ক্রিপ্টোগ্রাফি শুধুমাত্র ব্যবহারকারীর সময় পাসওয়ার্ড এনক্রিপ্ট করা আবশ্যক   তাদের ইনপুট করা হয় কিন্তু তারপর তারা একটি পুনরুদ্ধারযোগ্য বিন্যাসে সরানো উচিত   পরে ব্যবহারের জন্য।

আমি এই অনুরোধের জন্য কোন তথ্য সুরক্ষা সমস্যা দেখতে, কেবলমাত্র ডেটা সুরক্ষা   গ্রাহকদের জন্য প্রযোজ্য নয় ব্যবসা তাই এই সঙ্গে কোন সমস্যা থাকা উচিত   তথ্য।

শুধু, কি, আমি, পারি না, এমনকি ...

"শক্তিশালী ক্রিপ্টোগ্রাফি কেবলমাত্র পাসওয়ার্ডগুলি এনক্রিপ্ট হওয়া আবশ্যক   ব্যবহারকারী তাদের ইনপুট করা হয় কিন্তু তারপর তারা একটি সরানো উচিত   পরে ব্যবহারের জন্য পুনরুদ্ধারযোগ্য বিন্যাস। "

আমি যে ফ্রেম যাচ্ছে এবং আমার প্রাচীর এটা করা যাচ্ছে না।

আমি কূটনৈতিক হতে বিরক্ত হয়ে ওঠা তাকে এই প্রতিক্রিয়াটি দেখানোর জন্য তাকে নির্দেশ দিয়েছিলাম:

এই তথ্য প্রদান সরাসরি বিভিন্ন প্রয়োজনীয়তা contradicts   পিসিআই নির্দেশিকা। আমি উদ্ধৃত অধ্যায় এমনকি বলে storage   (যেখানে আমরা ডিস্কের তথ্য সংরক্ষণ করবো)। আমি একটি শুরু   সার্ভারফল্ট ডটকম (সিএসএস-অ্যাডমিনের জন্য অন-লাইন কমিউনিটি   পেশাদার) একটি বিশাল প্রতিক্রিয়া তৈরি করেছে, সব এই সুপারিশ   তথ্য প্রদান করা যাবে না। নিজেকে মাধ্যমে পড়া বিনা দ্বিধায়

HTTPS & কোলন // serverfault.com / প্রশ্ন / 293217 /

আমরা একটি নতুন প্ল্যাটফর্ম আমাদের সিস্টেম উপর চলন্ত শেষ হয়েছে এবং হতে হবে   পরের দিন বা তার মধ্যে আমাদের সাথে আপনার অ্যাকাউন্ট বাতিল কিন্তু আমি চাই   আপনি এই অনুরোধ কিভাবে হাস্যকর বুঝতে, এবং কোন সংস্থা   সঠিকভাবে পিসিআই নির্দেশিকা বাস্তবায়ন করতে হবে, বা করা উচিত   এই তথ্য প্রদান। আমি দৃঢ়ভাবে আপনি আপনার পুনরায় চিন্তা সুপারিশ   আপনার গ্রাহকদের কেউ হিসাবে সক্ষম হওয়া উচিত নিরাপত্তা প্রয়োজনীয়তা   এই অনুযায়ী।

(আমি আসলে ভুলে গিয়েছিলাম যে আমি শিরোনামে তাকে একজন বোকা বলব, কিন্তু যেমন উল্লেখ করা হয়েছে আমরা ইতিমধ্যেই তাদের প্ল্যাটফর্ম থেকে দূরে সরে যাচ্ছি, তাই প্রকৃত ক্ষতি নেই।)

এবং তার প্রতিক্রিয়াতে, তিনি বলেছেন যে আপনারা কেউ জানেন না যে আপনি কী বিষয়ে কথা বলছেন:

আমি যারা প্রতিক্রিয়া এবং আপনার মূল পোস্ট, বিস্তারিত মাধ্যমে পড়া   প্রতিক্রিয়া সব তাদের তথ্য অধিকার পেতে হবে। আমি এই হয়েছে   সেই সাইটের যেকোনো ব্যক্তির চেয়ে শিল্প দীর্ঘ, ব্যবহারকারীর একটি তালিকা পেয়ে   অ্যাকাউন্ট পাসওয়ার্ড অবিশ্বাস্যভাবে মৌলিক, এটি প্রথম এক হতে হবে   আপনার সিস্টেমকে কীভাবে সুরক্ষিত করতে হবে তা শিখতে এবং প্রয়োজনীয়   কোন নিরাপদ সার্ভার অপারেশন। আপনি যদি সত্যি সত্যি অভাব বোধ করেন   দক্ষতা এই সহজ কিছু করতে আমি আপনি অনুমান করা যাচ্ছে না   পিসিআই আপনার পুনরুদ্ধার করতে সক্ষম হিসাবে আপনার সার্ভারে ইনস্টল   তথ্য সফ্টওয়্যার একটি মৌলিক প্রয়োজন। সঙ্গে ডিল করার সময়   নিরাপত্তা যেমন কিছু আপনি এই প্রশ্ন জিজ্ঞাসা করা উচিত নয়   একটি পাবলিক ফোরাম যদি এটি কিভাবে কাজ করে তার কোন মৌলিক জ্ঞান নেই।

আমি যে কোন প্রয়াস আমাকে প্রকাশ, বা   [কোম্পানির নাম] libel এবং উপযুক্ত আইনি কর্ম বিবেচনা করা হবে   নেওয়া হবে

যদি আপনি তাদের মিস করেন তাহলে মূল নির্বোধ পয়েন্ট:

  • তিনি এখানে অন্য কারো তুলনায় আর একটি নিরাপত্তা অডিটর হয়েছে (তিনি আপনাকে অনুমান করছেন, অথবা আপনি হাঁটছেন)
  • ইউনিক্স সিস্টেমে পাসওয়ার্ডগুলির তালিকা পেতে সক্ষম হ'ল 'মৌলিক'
  • পিসিআই এখন সফ্টওয়্যার
  • নিরাপত্তা নিশ্চিত না হলে জনগণের ফোরাম ব্যবহার করা উচিত নয়
  • অনলাইনে তথ্য (যা আমার কাছে ইমেল প্রমাণ আছে) উপস্থাপন করা নিষিদ্ধ

চমৎকার।

পিসিআই এসএসসি সাড়া দিয়েছে এবং তাকে এবং কোম্পানির তদন্ত করছে। আমাদের সফ্টওয়্যার এখন PayPal সম্মুখের সরানো হয়েছে যাতে আমরা এটি নিরাপদ জানি। আমি প্রথমে আমার কাছে ফিরে আসার জন্য পিসির জন্য অপেক্ষা করতে যাচ্ছি কিন্তু আমি একটু চিন্তিত হচ্ছি যে তারা অভ্যন্তরীণভাবে এই সুরক্ষা অনুশীলন ব্যবহার করে থাকতে পারে। যদি তাই হয়, আমি মনে করি এটি আমাদের জন্য একটি বড় উদ্বেগ কারণ আমাদের সমস্ত কার্ড প্রক্রিয়া তাদের মাধ্যমে দৌড়েছে। যদি তারা অভ্যন্তরীণভাবে এটি করতো তবে আমার মনে হয় আমাদের গ্রাহকদের জানাতে হবে শুধুমাত্র দায়ী।

আমি আশা করি যখন পিসিআই বুঝতে পারবে যে এটি কতটা খারাপ যে তারা পুরো কোম্পানী এবং সিস্টেমের তদন্ত করবে কিন্তু আমি নিশ্চিত নই।

তাই এখন আমরা তাদের প্ল্যাটফর্ম থেকে দূরে সরে গিয়েছি এবং অনুমান করছি যে পিসিআই আমার কাছে ফিরে আসার অন্তত কয়েকদিন আগে, কিছুটা বিচলিত করার জন্য কোন উদ্ভাবনী প্রস্তাবনা দেবে? =)

একবার আমার আইনী লোকের কাছ থেকে ক্লিয়ারেন্স পেয়ে গেলে (আমি আসলেই সন্দেহ করি যে এটির মধ্যে কোনটি আসলে আপত্তিজনক নয় তবে আমি চেকটি দ্বিগুণ করতে চাই) আমি কোম্পানির নাম, তার নাম এবং ইমেল প্রকাশ করব এবং যদি আপনি চান যে আপনি তার সাথে যোগাযোগ করতে পারেন এবং ব্যাখ্যা করতে পারেন কেন আপনি সমস্ত এলডিএপি ব্যবহারকারীর পাসওয়ার্ডগুলি কীভাবে লিস্ট করবেন সেই বিষয়ে লিনাক্স সুরক্ষাগুলির মৌলিকত্বগুলি বুঝতে পারছেন না।

সামান্য আপডেট:

আমার "আইনি লোক" কোম্পানী সম্ভবত প্রয়োজন তুলনায় আরো সমস্যা হতে পারে প্রকাশ করা হয়েছে। যদিও আমি বলতে পারি, এটি একটি প্রধান প্রদানকারী নয়, এই পরিষেবাটি ব্যবহার করে তাদের কম 100 টি ক্লায়েন্ট রয়েছে। আমরা সাইটটি ছোট এবং ভিপিএসের দিকে চলার সময় মূলত তাদের ব্যবহার শুরু করেছিলাম, এবং আমরা পিসিআই পাওয়ার সমস্ত প্রচেষ্টার মধ্য দিয়ে যেতে চাইনি (আমরা পেপ্যাল ​​স্ট্যান্ডার্ড মত তাদের ফ্রন্টেন্ডে পুনঃনির্দেশিত করতে ব্যবহার করতাম)। কিন্তু যখন আমরা সরাসরি প্রসেসিং কার্ডগুলি (পিসিআই এবং সাধারণ জ্ঞান সহ) সরানো হয়েছিল, তখন দেবগণ একই সংস্থাটি ব্যবহার করে শুধুমাত্র একটি পৃথক API টি ব্যবহার করার সিদ্ধান্ত নেয়। সংস্থাটি যুক্তরাজ্যের বার্মিংহামে অবস্থিত, তাই আমি এখানে যে কেউ প্রভাবিত হবে সন্দেহ করবে।


2255
2017-07-22 22:44


উত্স


আপনার কাছে তথ্য সরবরাহের জন্য আপনার কাছে দুই সপ্তাহ রয়েছে এবং ক্রেডিট কার্ডগুলির প্রক্রিয়া করতে পারে এমন অন্য কোথাও যাওয়ার জন্য দুই সপ্তাহ সময় লেগেছে। বিরক্ত করবেন না - এখন সরানোর সিদ্ধান্ত গ্রহণ করুন এবং অডিটটি পরিত্যাগ করুন। - Scrivener
এই সঙ্গে কি ঘটবে আমাদের আপডেট করুন। আমি কিভাবে এটা audckitor spanked পায় দেখতে পছন্দ করেছে। =) আমি যদি আপনাকে চিনি, আমার প্রোফাইলে ঠিকানা এ আমাকে ইমেল করুন। - Wesley
তিনি সত্যিই আপনি যে মূঢ় কিনা দেখতে আপনি পরীক্ষা করা আবশ্যক। রাইট? আমিও তাই আশা করি... - Joe Phillips
আমি অডিট করা অন্যান্য কোম্পানীর জন্য কিছু রেফারেন্স জানতে চাই। যদি অন্য কোন কারণের চেয়ে কে জানে এড়ানোর। Plaintext পাসওয়ার্ড ... সত্যিই? আপনি কি নিশ্চিত যে এই লোকটি আসলে কালো টুপি এবং সামাজিক প্রকৌশল বোকা কোম্পানি নয় মাস ধরে তাদের ব্যবহারকারীর পাসওয়ার্ড হস্তান্তর করতে? কারন কোম্পানিগুলি যদি তার সাথে এই কাজ করে থাকে তবে এটি কেবল কীগুলি হাতে রাখার পক্ষে দুর্দান্ত উপায় ... - Bart Silverstrim
কোন পর্যাপ্ত উন্নত অক্ষমতা অক্ষমতা থেকে malistinguishable হয় - Jeremy French


উত্তর:


প্রথম, অনুধাবন করবেন না। তিনি শুধুমাত্র একটি বোকা কিন্তু বিপজ্জনক ভুল নয়। আসলে, এই তথ্য মুক্তি হবে লঙ্ঘন করা পিসিআই মানক (যা আমি অডিট অনুভব করছি তা হল এটি একটি পেমেন্ট প্রসেসর যা এটির বাইরে রয়েছে) পাশাপাশি অন্য সকল মানদণ্ডের পাশাপাশি সাধারণ সাধারণ অর্থে। এটি দায়বদ্ধতার সমস্ত প্রকারের জন্য আপনার সংস্থাকে প্রকাশ করবে।

পরবর্তী জিনিসটি আমি আপনার বসকে একটি ইমেল পাঠাতে বলছি যে এই পদক্ষেপের সাথে এগিয়ে যাওয়ার সাথে সাথে কোম্পানির মুখোমুখি হওয়া আইনি এক্সপোজারটি নির্ধারণ করতে কর্পোরেট পরামর্শটি পেতে হবে।

এই শেষ বিট আপনি আপ, কিন্তু আমি এই তথ্য দিয়ে ভিএসএএর সাথে যোগাযোগ করুন এবং তার পিসিআই অডিটর অবস্থা টানা।


1172
2017-07-22 23:27



তুমি আমাকে এটা দ্বারা মেরেছ! এটি একটি অবৈধ অনুরোধ। প্রসেসরের অনুরোধটি নিরীক্ষণের জন্য একটি পিসিআই QSA পান। তাকে ফোন কল করুন। Wagons বৃত্ত। "বন্দুক জন্য চার্জ!" - Wesley
"তার পিসিআই অডিটর স্ট্যাটাস টেনে আনুন" আমি কি বুঝি তা জানি না ... কিন্তু এই জামাটির কোন কর্তৃত্ব আছে (অডিটর) সম্ভবত একটি ভিজা ক্র্যাকার জ্যাক বক্স থেকে এসেছে এবং প্রত্যাহার করা দরকার। +1 টি - WernerCD
এই সবাই মনে করে যে এই সহকর্মী আসলে একটি বৈধ অডিটর ... তিনি আমার জন্য ভয়ঙ্কর সন্দেহজনক শব্দ। - Reid
আমি রাজী -- suspicious auditor, অথবা যদি আপনি এই জিনিস কোন কাজ করতে মূঢ় যথেষ্ট যদি তিনি একটি বৈধ অডিটর হয়। জিজ্ঞাসা করুন কেন তিনি এই তথ্য প্রয়োজন। শুধু পাসওয়ার্ডটি বিবেচনা করুন, যা কখনই প্লেইন পাঠ্য না হওয়া উচিত, তবে একরকম এনক্রিপশন (হ্যাশ) এর পিছনে থাকা উচিত। হয়তো তার কিছু বৈধ কারণ আছে, তবে তার সমস্ত "অভিজ্ঞতার" সাথে তিনি প্রয়োজনীয় তথ্য পেতে আপনাকে সহায়তা করতে পারেন। - vol7ron
কেন এই বিপজ্জনক? সব প্লেইন টেক্সট পাসওয়ার্ড একটি তালিকা - কেউ হতে হবে। তালিকা খালি না হলে, তার একটি বৈধ বিন্দু আছে। একই জিনিস msot জিনিস জন্য যায়। যদি আপনি তাদের না থাকে কারণ তারা সেখানে নেই। দূরবর্তী ফাইল যোগ করা - যে auditiing অংশ। জানি না - জানেন যে একটি সিস্টেম নির্বাণ শুরু। - TomTom


যার সাথে অডিট পদ্ধতির মাধ্যমে হয়েছে মূল্য ওয়াটারহাউস Coopers একটি শ্রেণীবদ্ধ সরকারি চুক্তি, আমি আপনাকে আশ্বস্ত করতে পারি, এটি সম্পূর্ণরূপে প্রশ্নটির বাইরে এবং এই লোকটি উন্মাদ।

যখন পিডিসি আমাদের পাসওয়ার্ড শক্তি পরীক্ষা করতে চেয়েছিল:

  • আমাদের পাসওয়ার্ড শক্তি আলগোরিদিম দেখতে চাওয়া
  • আমাদের অ্যালগরিদমের বিরুদ্ধে রান পরীক্ষা ইউনিটগুলি পরীক্ষা করে দেখুন যে তারা দরিদ্র পাসওয়ার্ডগুলি অস্বীকার করবে
  • আমাদের এনক্রিপশন অ্যালগরিদমগুলি দেখার জন্য জিজ্ঞাসা করা হয়েছে যাতে তারা উল্টানো বা অ-এনক্রিপ্ট করা যায় (এমনকি স্নোবোর্ড সারণিতেও), এমনকি এমন ব্যক্তির দ্বারাও যাকে সিস্টেমের প্রতিটি দৃষ্টিভঙ্গিতে পূর্ণ অ্যাক্সেস ছিল
  • আগের পাসওয়ার্ডগুলিকে ক্যাশে করা হয়েছে তা নিশ্চিত করার জন্য চেক করা হয়েছে যে এটি পুনরায় ব্যবহার করা যাবে না
  • অ-সামাজিক প্রকৌশল কৌশলগুলি (xss এবং non-0 দিন শোষণের মতো জিনিসগুলি) ব্যবহার করে নেটওয়ার্ক এবং সম্পর্কিত সিস্টেমগুলিতে বিরতি দেওয়ার প্রচেষ্টা করার জন্য আমাদের অনুমতি (যা আমরা প্রদান করেছিলাম) জিজ্ঞাসা করেছিলাম।

যদি আমি এমনকি ইঙ্গিতও দিয়েছিলাম যে গত 6 মাসে ব্যবহারকারীর পাসওয়ার্ডগুলি কী ছিল তা আমি তাদের দেখিয়ে দিতে পারতাম, তাহলে তারা আমাদের চুক্তিটি বন্ধ করে দেয়।

যদি এটা সম্ভব ছিল এই প্রয়োজনীয়তা প্রদান, আপনি করতে হবে অবিলম্বে ব্যর্থ মূল্য প্রতি প্রতি একক অডিট।


আপডেট: আপনার প্রতিক্রিয়া ইমেল ভাল দেখায়। আমি লিখিত কিছু চেয়ে অনেক পেশাদার।


814
2017-07-23 02:34



+1 টি। বুদ্ধিমান quesstions যে প্রতিক্রিয়া করা উচিত মত মনে হচ্ছে। আপনি যদি তাদের উত্তর দিতে পারেন তবে আপনার হাতে একটি মূঢ় নিরাপত্তা সমস্যা রয়েছে। - TomTom
even by rainbow tables এনটিএলএম যে নিয়ম না? আমি বলতে চাচ্ছি, এটি নষ্ট হয়ে গেছে না ... AFAICR MIT Kerberos সক্রিয় পাসওয়ার্ডগুলি এনক্রিপ্ট বা হ্যাশ করেনি, বর্তমান অবস্থাটি কী জানেন - Hubert Kario
@ হবার্ট - আমরা এনটিএলএম বা কারবেরোস ব্যবহার করিনি কারণ পাস-পাস প্রমাণীকরণ পদ্ধতি নিষিদ্ধ ছিল এবং পরিষেবাগুলি যে কোনওভাবে সক্রিয় ডিরেক্টরি দিয়ে সংহত করা হয়নি। অন্যথা আমরা তাদের আমাদের অ্যালগরিদমগুলিও প্রদর্শন করতে পারিনি (তারা ওএস তে তৈরি হয়ে গেছে)। উল্লেখ করা উচিত - এই অ্যাপ্লিকেশন-স্তরের নিরাপত্তা ছিল, একটি ওএস স্তরের অডিট নয়। - Mark Henderson♦
@ তান্ডু - শ্রেণির শ্রেণীবিভাগের জন্য নির্দিষ্টকরণের কথা উল্লেখ করা হয়েছে। লোকেরা তাদের শেষ ব্যবহার করে পুনরায় থামাতেও মোটামুটি সাধারণ এন পাসওয়ার্ড, কারণ এটি কেবল দুই বা তিনটি সাধারণভাবে ব্যবহৃত পাসওয়ার্ডের মাধ্যমে সাইক্লিংয়ের মাধ্যমে মানুষকে থামায়, যা একই সাধারণ পাসওয়ার্ড ব্যবহার করার মতোই অনিরাপদ। - Mark Henderson♦
@ স্লার্টিবার্টফফ্ট: তবে পাসওয়ার্ডটির সাধারণ পাঠ্য জানতে মানে হ'ল আক্রমণকারীটি আপনার ডেটাবেসেও ভেঙ্গে পড়তে পারে এবং সরল দর্শনে সবকিছু পুনরুদ্ধার করতে পারে। একই পাসওয়ার্ড ব্যবহার করার জন্য সুরক্ষা হিসাবে, ক্লায়েন্ট পার্শ্বে জাভাস্ক্রিপ্টে এটি ব্যবহার করা যেতে পারে, যখন ব্যবহারকারী পাসওয়ার্ড পরিবর্তন করার চেষ্টা করছেন, পুরানো পাসওয়ার্ডটি জিজ্ঞাসা করুন এবং সার্ভারে নতুন পাসওয়ার্ড পোস্ট করার আগে পুরানো পাসওয়ার্ডটি সাথে সাদৃশ্য তুলনা করুন। অনুমোদিত, এটি কেবলমাত্র 1 টি শেষ পাসওয়ার্ড থেকে পুনঃব্যবহার করতে বাধা দিতে পারে, কিন্তু আইএমও প্লেইনটেক্সটে পাসওয়ার্ড সংরক্ষণের ঝুঁকি অনেক বেশি। - Lie Ryan


সত্যই, এটা এই লোক (অডিটর) মত আপনি শোনাচ্ছে। যদি আপনি তাকে যে তথ্যটি জিজ্ঞাসা করেন তার আপনি যদি তাকে জানান তবে আপনি কেবল তাকে প্রমাণ করেছেন যে আপনি সমালোচনামূলক অভ্যন্তরীণ তথ্য দেওয়ার জন্য সামাজিকভাবে প্রকৌশলী হতে পারেন। ব্যর্থ হয়েছে।


440
2017-07-22 23:40



এছাড়াও, আপনি authorize.net মত একটি তৃতীয় পক্ষের পেমেন্ট প্রসেসর বিবেচনা করেছেন? আমি যে কোম্পানির জন্য কাজ করি তাদের মাধ্যমে ক্রেডিট কার্ড লেনদেনের প্রচুর পরিমাণে কাজ করে। আমাদের কোন গ্রাহক পেমেন্ট তথ্য সংরক্ষণ করতে হবে না - authorize.net এটি পরিচালনা করে - তাই আমাদের জটিলতার জন্য আমাদের সিস্টেমগুলির কোনও অডিট নেই। - anastrophe
এই ঠিক কি ঘটছে মনে হয়। সোশ্যাল ইঞ্জিনিয়ারিং সম্ভবত এই তথ্য পেতে সবচেয়ে সহজ উপায় এবং আমি মনে করি যে তিনি নিরীহ পরীক্ষা করা হয়। এই লোক হয় খুব বুদ্ধিমান বা খুব বোকা - Joe Phillips
এই অবস্থান অন্তত সবচেয়ে যুক্তিসঙ্গত প্রথম পদক্ষেপ। তাকে বলুন যে আপনি আইন ভাঙ্গবেন / নিয়ম / যা কিছু করছেন তা ভাঙ্গবেন, কিন্তু আপনি তার গুনাহের প্রশংসা করেন। - michael
বোকা প্রশ্ন: এই পরিস্থিতিতে গ্রহণযোগ্য "সেট আপ" হয়? সাধারণ যুক্তি আমাকে একটি অডিট প্রক্রিয়া "ঠাট" তৈরি করা উচিত না বলে। - Agos
@ অ্যাগোস: আমি কয়েক বছর আগে এমন একটি জায়গায় কাজ করেছি যে কোনও সংস্থাকে নিরীক্ষা করতে ভাড়া দিয়েছে। নিরীক্ষা অংশটি কোম্পানির মধ্যে র্যান্ডম লোকেদের কল করে "<CIO> আমাকে আপনাকে কল করতে এবং আপনার লগইন শংসাপত্রগুলি পেতে বলেছে যাতে আমি কিছু করতে পারি।" তারা কেবলমাত্র যাচাই করতে পারেনি যে আপনি প্রকৃতপক্ষে শংসাপত্রগুলি ছেড়ে দেবেন না, কিন্তু একবার আপনি তাদের উপর ঝুলন্ত একবার আপনাকে অবিলম্বে <CIO> বা <সুরক্ষা প্রশাসক> কে কল করতে এবং ইন্টারচেঞ্জের প্রতিবেদন করতে বলে। - Toby


আমি দেখেছি আপনি ইউকেতে আছেন, যার অর্থ তিনি আপনাকে যা করতে বলছেন তা হল আইন ভাঙ্গা (আসলে তথ্য সুরক্ষা আইন)। আমিও যুক্তরাজ্যে আছি, একটি বিশাল ভারী-নিরীক্ষিত কোম্পানির জন্য কাজ করি এবং এই এলাকার প্রায় আইন ও প্রচলিত অনুশীলনগুলি জানি। আমিও খুব একটা বেদনাদায়ক কাজ করছি, যিনি এই লোকটির জন্য আনন্দের সাথে এই লোকটিকে আপনার জন্য সাঁতার কাটাবেন, যদি আপনি এটির মজার জন্য পছন্দ করেন তবে আমাকে ঠিক করতে সাহায্য করুন।


335
2017-07-23 07:01



এইসব সার্ভারগুলিতে ব্যক্তিগত তথ্য আছে বলে মনে হচ্ছে, আমার মনে হয় যে এই স্তরের অযোগ্যতা সহ কোনও ব্যক্তির কাছে প্লেইনশিপগুলিতে অ্যাক্সেসের জন্য / সমস্ত / প্রমাণপত্রাদি হস্তান্তর নীতি 7 এর একটি পরিষ্কার লঙ্ঘন হবে ... ("যথাযথ প্রযুক্তিগত ও সাংগঠনিক ব্যবস্থা ব্যক্তিগত তথ্য অননুমোদিত বা বেআইনী প্রক্রিয়াকরণের বিরুদ্ধে এবং ব্যক্তিগত তথ্য ক্ষতিকর ক্ষতি বা ধ্বংস বা ক্ষতির বিরুদ্ধে নেওয়া হবে। ") - Stephen Veiss
আমি মনে করি এটি একটি ন্যায্য অনুমান - যদি আপনি অর্থ প্রদানের তথ্য সংরক্ষণ করছেন তবে আপনি সম্ভবত আপনার ব্যবহারকারীদের জন্য যোগাযোগের তথ্য সংরক্ষণ করছেন। আমি যদি ওপের পদে থাকি, তবে "আমি যা বলছি তা কেবল নীতি এবং পিসিআইয়ের চেয়ে দৃঢ় যুক্তি হিসাবে পলিসি এবং চুক্তিমূলক বাধ্যবাধকতাগুলি [পিসিআই মেনে চলতে না শুধুমাত্র] ভাঙ্গতে না চাইলে" । - Stephen Veiss
@ জিমি কেন একটি পাসওয়ার্ড ব্যক্তিগত তথ্য হবে না? - robertc
@ রিচার্ড, তুমি কি জানো এটা রূপক ছিল? - Chopper3
@ চোপপার 3 হ্যাঁ, আমি এখনও অনুপযুক্ত মনে করি। প্লাস, আমি AviD countering করছি। - Richard Gadsden


আপনি সামাজিকভাবে প্রকৌশলী হচ্ছে। তারপরে এটি 'আপনাকে পরীক্ষা করে' বা এটির একটি হ্যাকার যা কিছু খুব উপকারী তথ্য পেতে অডিটর হিসাবে অঙ্গীকারবদ্ধ।


271
2017-07-23 09:20



কেন এই শীর্ষ উত্তর না? এটা কি সম্প্রদায় সম্পর্কে কিছু বলছে, সামাজিক প্রকৌশল সহজে, নাকি আমি মৌলিক কিছু অনুভব করছি? - Paul
অজ্ঞতা চিহ্নিত করা যেতে পারে কি কুৎসিত বৈশিষ্ট্য - aldrinleal
যখন অডিটর একজন পেশাদার হতে দাবি করে তখন অজ্ঞতার সমস্ত অনুরোধকে দায়ী করে, যদিও, কল্পনাটি সামান্যই প্রসারিত করে। - Thomas K
এই তত্ত্বটি নিয়ে সমস্যাটি হল, এমনকি যদি তিনি "এটির জন্য পড়েছিলেন" বা "পরীক্ষায় ব্যর্থ হন," সেও না পারা তাকে তথ্য দাও কারণ এটি অসম্ভব..... - eds
আমার সবচেয়ে ভাল অনুমানটি হল 'গুরুতর সামাজিক প্রকৌশল' (এটি কি কোনও ঘটনা নয় যে কেভিন মিটনিক বই শীঘ্রই আসছে?), আপনার পয়সায় সংস্থাটি অবাক হবেন (আপনি কি এখনো এই 'অডিট' সম্পর্কে তাদের সাথে চেক করেছেন?) । অন্য বিকল্পটি হ'ল লিংক্স জ্ঞান সহকারে একটি অত্যন্ত রুকু অডিটর এবং যিনি গভীরভাবে গভীর, গভীর এবং গভীরভাবে নিজেকে খনন করছেন। - Koos van den Hout


আমি অনৈতিক সমস্যা সমাধান দক্ষতা অ OPs অভাব সম্পর্কে গভীরভাবে উদ্বিগ্ন এবং নৈতিক আচরণ এই blatant লঙ্ঘন উপেক্ষা সার্ভার ফল্ট সম্প্রদায়।

সংক্ষেপে, আমি প্রয়োজন;

  • 'জাল' ছয় মাসে মূল্যের পাসওয়ার্ড পরিবর্তনের একটি উপায় এবং এটি বৈধ বলে মনে করা
  • ছয় মাস অন্তর্বর্তী ফাইল স্থানান্তর 'জাল' করার একটি উপায়

আমাকে দুটি পয়েন্ট পরিষ্কার করা যাক:

  1. স্বাভাবিক ব্যবসায়ের সময় তথ্য মিথ্যা প্রমাণিত করা কখনই উপযুক্ত নয়।
  2. আপনি এই ধরনের তথ্য কাউকে প্রকাশ করা উচিত নয়। কখনো।

এটা রেকর্ড falsify আপনার কাজ নয়। কোনও প্রয়োজনীয় রেকর্ডগুলি পাওয়া, সঠিক, এবং সুরক্ষিত নিশ্চিত হওয়া আপনার কাজ।

সার্ভার ফল্ট এ সম্প্রদায় এখানে অবশ্যই স্ট্যাকওভারফ্লো সাইটটি "হোমওয়ার্ক" প্রশ্নগুলির সাথে সম্পর্কিত এই ধরণের প্রশ্নগুলির সাথে আচরণ করুন। আপনি কেবলমাত্র একটি প্রযুক্তিগত প্রতিক্রিয়া বা নৈতিক দায়িত্ব লঙ্ঘন উপেক্ষা করে এই সমস্যাগুলি সমাধান করতে পারবেন না।

এই থ্রেডে এখানে অনেক হাই-রেপ ব্যবহারকারীর প্রতিক্রিয়া দেখছে এবং প্রশ্নটির নৈতিক প্রভাব সম্পর্কে কোনও উল্লেখ নেই।

আমি সবাই পড়তে উত্সাহিত হবে SAGE সিস্টেম অ্যাডমিনিস্ট্রেটররা নীতিশাস্ত্র কোড 

বিটিডব্লিউ, আপনার নিরাপত্তা অডিটর একটি নির্বোধ, কিন্তু এর অর্থ এই নয় যে আপনার কাজের মধ্যে আপনার অনৈতিক হতে চাপ অনুভব করতে হবে।

সম্পাদনা: আপনার আপডেট অমূল্য। আপনার মাথার নিচে রাখুন, আপনার গুঁড়া শুকিয়ে নিন, এবং কোন কাঠের নিকেল গ্রহণ করবেন না।


266
2017-07-24 20:05



আমি অসম্মতি। "অডিটর" তথ্য প্রকাশের জন্য অপারেটিং সিস্টেমকে দোষারোপ করেছিল যা সংগঠনের সমগ্র আইটি নিরাপত্তাকে ক্ষতিগ্রস্ত করবে। কোন পরিস্থিতিতেই ওপিকে সেই রেকর্ডগুলি তৈরি করা উচিত এবং কাউকে তাদের প্রদান করা উচিত। ওপি নকল রেকর্ড করা উচিত নয়; তারা সহজেই জাল হতে দেখা যায়। ওপিকে হাই-আপগুলিতে ব্যাখ্যা করা উচিত কেন নিরাপত্তা অডিটরদের দাবিগুলি হুমকিপূর্ণ উদ্দেশ্য বা সম্পূর্ণ অসম্পূর্ণতা (সাধারণ পাঠ্যের মধ্যে ইমেল পাসওয়ার্ড) দ্বারা হুমকি। ওপিকে নিরাপত্তা অডিটর অবিলম্বে বন্ধ করার সুপারিশ করা উচিত এবং প্রাক্তন নিরীক্ষক অন্যান্য ক্রিয়াকলাপের সম্পূর্ণ তদন্তের সুপারিশ করা উচিত। - dr jimbob
ডাঃ জিম্বাব, আমার মনে হয় আপনি এই পয়েন্টটি অনুপস্থিত আছেন: "ওপি নকল রেকর্ড না করা উচিত, তারা সহজেই জাল হতে পারে।" আপনি এখনও সত্য তথ্য থেকে পৃথক করা যাবে না যখন তিনি তথ্য মিথ্যা falsify উচিত যে প্রস্তাব করা হয় হিসাবে একটি অনৈতিক অবস্থান এখনও। মিথ্যা তথ্য পাঠানো unethical হয়। আপনার ব্যবহারকারীদের একটি তৃতীয় পক্ষের পাসওয়ার্ড পাঠানো অবহেলা। তাই আমরা একমত যে এই পরিস্থিতি সম্পর্কে কিছু করা প্রয়োজন। আমি এই সমস্যা সমাধানের মধ্যে সমালোচনামূলক নৈতিক চিন্তা অভাব মন্তব্য করছি। - Joseph Kern
আমি "এই রেকর্ডগুলি উপলব্ধ, নির্ভুল এবং সুরক্ষিত তা নিশ্চিত করার জন্য আপনার কাজটি" এর সাথে একমত। আপনার সিস্টেমকে সুরক্ষিত রাখতে আপনার একটি বাধ্যবাধকতা রয়েছে; অযৌক্তিক অনুরোধগুলি (স্টোর এবং প্লেইনটেক্স পাসওয়ার্ড ভাগ করে নেওয়ার মতো) যদি তারা সিস্টেমটির সাথে আপোস করে তবে তা করা উচিত নয়। সংরক্ষণ, রেকর্ডিং এবং প্লেইনটেক্সট পাসওয়ার্ড ভাগ করা আপনার ব্যবহারকারীদের সাথে বিশ্বাসের একটি বড় লঙ্ঘন। এটি একটি বড় লাল পতাকা নিরাপত্তা হুমকি। সরকারী অডিট প্লেইন / ssh প্রাইভেট কী প্রকাশ না করেই করা উচিত এবং করা উচিত; এবং আপনি উচ্চ আপগুলি জানতে এবং সমস্যা সমাধান করা উচিত। - dr jimbob
ডাঃ জিম্বাব, আমি মনে করি আমরা দুজন জাহাজ রাতে পার করছি। আপনি যা বলছেন তার সাথে আমি একমত; আমি পরিষ্কারভাবে যথেষ্ট এই পয়েন্ট প্রকাশ করা উচিত নয়। আমি উপরে আমার প্রাথমিক প্রতিক্রিয়া সংশোধন করা হবে। আমি থ্রেড প্রেক্ষাপটে খুব ভারী নির্ভর। - Joseph Kern
@ জোসেফ কার্ন, আমি নিজের মতোই ওপিকে পড়িনি। আমি আরও ছয় মাস ধরে ডেটা তৈরি করবো যা আমরা কখনও রাখিনি। অবশ্যই, আমি সম্মত, এই প্রয়োজনীয়তা পূরণ করার চেষ্টা করার সবচেয়ে উপায় প্রতারণামূলক হবে। যাইহোক, আমি আমার পাসওয়ার্ড ডেটাবেসটি গ্রহণ করতে এবং গত 6 মাসে টাইমস্ট্যাম্পগুলি বের করতে আমি কোনও পরিবর্তনগুলি সংরক্ষিত ছিল তা রেকর্ড করতে পারি। আমি কিছু তথ্য হারিয়ে গেছে হিসাবে তথ্য 'faking' বিবেচনা। - user179700


আপনি যা চান তা তাকে দিতে পারবেন না এবং "জাল" করার চেষ্টা করলে এটি গাধা (সম্ভবত আইনী উপায়ে) আপনাকে পেছনে ফেলে আসতে পারে। আপনি কেবল কমান্ডের চেইনের আপিল আপ করতে হবে (এটি সম্ভব যে এই অডিটরটি অশুভ হয়ে গেছে, যদিও নিরাপত্তা অডিটগুলি কুখ্যাতভাবে নির্বোধ - তবে আমাকে এমন অডিটর সম্পর্কে জিজ্ঞাসা করুন যা এসএমএসের মাধ্যমে একটি এসএস / 400 অ্যাক্সেস করতে সক্ষম হতে পারে), অথবা জাহান্নাম পেতে এই অনাক্রম্য প্রয়োজনীয়তা নীচে থেকে আউট।

তারা এমনকি ভাল সুরক্ষাও নয় - সমস্ত সাধারণ পাঠ্যক্রমের একটি তালিকা একটি অবিশ্বাস্যভাবে বিপজ্জনক জিনিস চিরকাল উত্পাদন, তাদের সুরক্ষার জন্য ব্যবহৃত পদ্ধতি নির্বিশেষে, এবং আমি এই ব্লক তাদের প্লেইন টেক্সট ই-মেইল করতে চান বীট করব। (আমি নিশ্চিত যে আপনি ইতিমধ্যে এই জানি, আমি শুধু একটু উঁচুতে আছে)।

বিন্দু এবং গিলগ্লাসের জন্য, তাকে সরাসরি তার প্রয়োজনীয়তাগুলি কিভাবে চালাতে হবে তা জিজ্ঞাসা করুন - স্বীকার করবেন না কিভাবে আপনি জানেন, এবং তার অভিজ্ঞতাটি উপভোগ করতে চান। একবার আপনি বেরিয়ে যান এবং চলে যান, "আমার কাছে নিরাপত্তা অডিটিংয়ে 10 বছরের বেশি অভিজ্ঞতা আছে" এর প্রতিক্রিয়া "না, আপনার 5 মিনিটের অভিজ্ঞতা শত শত বার পুনরাবৃত্তি হয়"।


232
2017-07-22 23:00



... একটি অডিটর যে এসএমএস মাধ্যমে একটি এসএস / 400 অ্যাক্সেস চেয়েছিলেন? ... কেন? - Bart Silverstrim
পিসিআই সম্মতি সংস্থার সাথে আমার অনেক বারবার ঝামেলা হচ্ছে কম্বল আইসিএমপি ফিল্টারিংয়ের বিরুদ্ধে তর্ক করছে এবং শুধুমাত্র ইকো অবরোধ করছে। আইসিএমপি একটি খুব ভাল কারণের জন্য আছে, কিন্তু এটি অস্পষ্টের পাশাপাশি অনেকে 'স্ক্রিপ্ট থেকে কাজ করে' অডিটরগুলিকে ব্যাখ্যা করে। - Twirrim
@ BartSilverstrim সম্ভবত চেক-তালিকা অডিটিংয়ের একটি কেস। একবার একজন অডিটর আমাকে বলেছিলেন - কেন অডিটর রাস্তা পার হয়ে গেল? যে কারণ তারা গত বছর কি। - Scott Pack
আমি জানি এটা করা সম্ভব, বাস্তব "WTF?" অডিটর মনে করে যে মেশিন SMB এর মাধ্যমে আক্রমণের পক্ষে ঝুঁকিপূর্ণ ছিল যতক্ষণ না সে SMB এর মাধ্যমে সংযোগ করতে পারে ... - womble♦
"আপনার 5 মিনিটের অভিজ্ঞতা বারবার বারবার পুনরাবৃত্তি হয়েছে" --- ওহো, এটা আমার উদ্ধৃতি সংগ্রহে সরাসরি যাচ্ছে! : ডি - Tasos Papastylianou


কোনও অডিটর যদি আপনার কোন ঐতিহাসিক সমস্যা খুঁজে পায় যা আপনি এখন স্থির করেছেন তা ব্যর্থ হয়। আসলে, যে ভাল আচরণ প্রমাণ। যে মনে সঙ্গে, আমি দুটি জিনিস সুপারিশ:

একটি) মিথ্যা না বা স্টাফ আপ না। খ) আপনার নীতি পড়ুন।

আমার জন্য মূল বিবৃতি এই এক:

সমস্ত [জেনেরিক ক্রেডিট কার্ড প্রক্রিয়াকরণ প্রদানকারী] ক্লায়েন্টদের আমাদের নতুন সুরক্ষা নীতিগুলি মেনে চলতে হবে

আমি বলি যে এই নীতিগুলিতে একটি বিবৃতি রয়েছে যা বলে যে পাসওয়ার্ডগুলি লিখিত হতে পারে না এবং ব্যবহারকারী ব্যতীত অন্য কারো কাছে প্রেরণ করা যাবে না। যদি থাকে, তাহলে তার অনুরোধে সেই নীতিগুলি প্রয়োগ করুন। আমি এটি ভালো পরিচালনা পরামর্শ:

  • সমস্ত সার্ভারে সমস্ত ব্যবহারকারী অ্যাকাউন্টের জন্য বর্তমান ব্যবহারকারীর নাম এবং প্লেইন-পাঠ্য পাসওয়ার্ডগুলির একটি তালিকা

তাকে ব্যবহারকারীর নামগুলির একটি তালিকা দেখান, কিন্তু তাদের দূরে নিয়ে যাওয়ার অনুমতি দেবেন না। ব্যাখ্যা করুন যে প্লেইন পাঠ্য পাসওয়ার্ডগুলি একটি) এটি একরকম অসম্ভব, এবং খ) নীতির বিরুদ্ধে, যা তিনি আপনাকে অডিট করছেন, তাই আপনি তা মানবেন না।

  • গত ছয় মাসে সমস্ত পাসওয়ার্ড পরিবর্তনগুলির একটি তালিকা আবার প্লেইন-টেক্সট

ব্যাখ্যা করুন যে এই ঐতিহাসিকভাবে উপলব্ধ ছিল না। এটি এখন সম্পন্ন হচ্ছে তা দেখানোর জন্য সাম্প্রতিক পাসওয়ার্ড পরিবর্তন বারগুলির একটি তালিকা দিন। উপরে বর্ণিত, যে পাসওয়ার্ড প্রদান করা হবে না।

  • গত ছয় মাসে "রিমোট ডিভাইস থেকে সার্ভারে যোগ করা প্রতিটি ফাইল" এর একটি তালিকা

কি এবং ব্যাখ্যা করা হচ্ছে না ব্যাখ্যা করুন। আপনি কি করতে পারেন। গোপনীয় কিছু প্রদান করবেন না, এবং কেন নীতি দ্বারা ব্যাখ্যা করবেন না। আপনার লগিং উন্নত করা প্রয়োজন কিনা জিজ্ঞাসা করুন।

  • কোন এসএসএইচ কী পাবলিক এবং ব্যক্তিগত কী

আপনার কী ব্যবস্থাপনা নীতি তাকান। এটি অবশ্যই বলা উচিত যে ব্যক্তিগত কীগুলি তাদের ধারক থেকে অনুমোদিত নয় এবং অ্যাক্সেসের কঠোর শর্ত রয়েছে। সেই নীতিটি প্রয়োগ করুন এবং অ্যাক্সেসের অনুমতি দেবেন না। পাবলিক কী সুখী জনসাধারণ এবং ভাগ করা যাবে।

  • প্রতিটি সময় ব্যবহারকারী যখন তাদের পাসওয়ার্ড পরিবর্তন করে তখনই একটি ইমেল পাঠানো হয়, যার মধ্যে প্লেইন পাঠ্য পাসওয়ার্ড থাকে

শুধু না বল. আপনার যদি একটি স্থানীয় সুরক্ষিত লগ সার্ভার থাকে, তবে এটি দেখতে দিন যে এটিটি সিটেই লগ ইন করা হচ্ছে।

মূলত, এবং আমি এই বলতে দুঃখিত, কিন্তু আপনি এই লোক সঙ্গে হার্ডবল খেলা আছে। ঠিক আপনার নীতি অনুসরণ করুন, বিচ্যুতি না। মিথ্যা বল না. এবং যদি তিনি নীতিতে না থাকা কোনও কারণে ব্যর্থ হন তবে তাকে পাঠানো কোম্পানির কাছে তার সিনিয়রদের কাছে অভিযোগ করুন। আপনি যুক্তিসঙ্গত হয়েছে তা প্রমাণ করার জন্য এই সব একটি কাগজ ট্রেইল সংগ্রহ করুন। আপনি যদি আপনার নীতি বিরতি আপনি তার রহমত হয়। যদি আপনি চিঠিতে তাদের অনুসরণ করেন, তিনি বরখাস্ত করা শেষ হবে।


177
2017-07-23 10:15



সম্মত, এটি সেই উন্মত্ত বাস্তবতা শোগুলির মধ্যে একটি, যেখানে একটি গাড়ী পরিষেবা ব্যক্তি আপনার গাড়ীটিকে খাড়া বা কিছুটা অবিশ্বাস্যভাবে বন্ধ করে দেয়। আমি ওপিকে বলব, আপনার সারসংকলনটি প্রস্তুত করুন এবং ছেড়ে দিন, যদি উপরের ক্রিয়াগুলি আপনার জন্য কাজ না করে। এটি পরিষ্কারভাবে একটি হাস্যকর এবং ভয়ানক পরিস্থিতি। - Jonathan Watmough
আমি এই +1,000,000 আপ ভোট দিতে পারে। বেশিরভাগ উত্তর এখানে বেশিরভাগই একই জিনিস বলে তবে এইটি আরও বেশি পুঙ্খানুপুঙ্খ। গ্রেট কাজ, @ জিম্মি! - Iszi


হ্যাঁ, অডিটর হয় একটা অপদার্থ. যাইহোক, আপনি জানেন, কখনও কখনও নির্বোধ ক্ষমতা অবস্থানের মধ্যে স্থাপন করা হয়। এই সেই ক্ষেত্রে এক।

তিনি অনুরোধ তথ্য আছে শূন্য সিস্টেমের বর্তমান নিরাপত্তা উপর জন্মদান। নিরীক্ষককে ব্যাখ্যা করুন যে আপনি প্রমাণীকরণের জন্য LDAP ব্যবহার করছেন এবং পাসওয়ার্ড এক-উপায় হ্যাশ ব্যবহার করে সংরক্ষণ করা হয়। পাসওয়ার্ড হ্যাশের বিরুদ্ধে একটি বর্বর-বল স্ক্রিপ্ট করার সংক্ষিপ্ত (যা কয়েক সপ্তাহ (বা বছর) নিতে পারে, আপনি পাসওয়ার্ড সরবরাহ করতে পারবেন না।

একইভাবে রিমোট ফাইলগুলি - আমি শুনতে চাই, পারচ্যান্স, সে কীভাবে মনে করে যে সার্ভারে সরাসরি তৈরি ফাইলগুলির মধ্যে পার্থক্য এবং সার্ভারে SCPed ফাইলের মধ্যে পার্থক্য করা উচিত।

@ ওম্বল বলেছেন, কিছু জাল করবেন না। যে কোন ভাল হবে না। হয় এই অডিট এবং অন্য দালাল জরিমানা খনন, অথবা তার পনির তার ক্র্যাকার বন্ধ slid হয়েছে যে এই "পেশাদারী" সন্তুষ্ট করার একটি উপায় খুঁজে বের করুন।


134
2017-07-22 23:05



+1 এর জন্য "... যে তার পনির তার ক্র্যাকার থেকে slid বন্ধ হয়েছে।" এটা আমার কাছে নতুন একটা! - Collin Allen
"অনুরোধ করা তথ্যটি সিস্টেমের বর্তমান সুরক্ষার উপর শূন্যতার জন্ম দেয়।" <- আমি আসলেই বলব এটি নিরাপত্তা নিয়ে অনেকগুলি বহন করে। : P: P - Ishpeck
(which could take weeks (or years) আমি কোথায় ভুলে গেছি, কিন্তু আমি এই অ্যাপ্লিকেশনটি অনলাইনে পেয়েছি যা আপনার পাসওয়ার্ডকে বর্বরোচিত করতে কতক্ষণ লাগবে তা অনুমান করবে। আমি জানি না ব্রুট-ফোর্স বা হ্যাশিং অ্যালগরিদমগুলি কী ছিল, তবে আমার বেশিরভাগ পাসওয়ার্ডের জন্য এটি 17 ট্রিলিয়ান বছরের মত কিছু অনুমান করেছে ... :) - Carson Myers
@ কারসন: পাসওয়ার্ডটি অনুমান করতে অনলাইন অ্যাপ্লিকেশনটি একটি ভিন্ন (এবং সম্ভবত আরো সঠিক) পদ্ধতির কাছে ছিল: প্রতিটি পাসওয়ার্ডের জন্য, এটি "আপনার পাসওয়ার্ড অনিরাপদ - আপনি এটি অবিশ্বাস্য ওয়েব পৃষ্ঠাতে টাইপ করেছেন!" - Jason Owen
@ জেসন ওহ না, তুমি ঠিক আছো! - Carson Myers