Comments 156
«Маленькими их надо убивать» ©
Чем высокопоставленнее идиот, тем больше с ним проблем.
Остается уповать на более высокопоставленных людей, сохранивших здравый смысл. Иного способа борьбы, боюсь, нет. Так что ждем продолжения истории.
Чем высокопоставленнее идиот, тем больше с ним проблем.
Остается уповать на более высокопоставленных людей, сохранивших здравый смысл. Иного способа борьбы, боюсь, нет. Так что ждем продолжения истории.
«Невозможно решить проблему на том уровне, на котором она возникла; для решения проблемы надо подняться на уровень выше.» © Неизвестный А.Эйнштейн
И снова и снова одна и та же цитата лезет в голову.
-А у системы вашей есть ли защита от дурака?
-Да. Но только не от руководящего.
-А у системы вашей есть ли защита от дурака?
-Да. Но только не от руководящего.
Не, тут скорее синдром вахтера в чистом виде.
- Cфальсифицировать историю изменений паролей за последние 6 месяцев — две тыщи баксов или неделя работы
- Сфальсифицировать историю загрузок файлов — три с половиной тычячи евро или две недели работы
- Сбор SSH-ключей с большого количества компьютеров — три бессонных ночи
- Послать нахуй такого аудитора и жить спокойно в мире и гармонии — бесценно
Вообще, попахивает самопиаром. Ну не верю я, что может существовать такой аудитор.
попахивает, тем, что чувак хочет залезать в чужие акаунты.
Простота хуже воровста.
Простота хуже воровста.
Возможно, конечно. НО.
Я сам сталкивался на практике с требованиями:
— предоставить пароли всех юзеров (в домене кстати была сделана настройка смены пароля пользователя раз в месяц).
— мониторить все что происходит у каждого из пользователей (открытие документов, запуск программ и т.д.)
— полный мониторинг эл.почты — ну это даже стандартное пожелание.
— мониторинг всех распечатываемых документов в организации (а печатали пользователи просто ящиками всякие документы и фактуры).
Про «кто куда лазит в интернете» я даже вспоминать не буду — это просто классика.
На мой вопрос — а кто будет хранить все эти данные (даже если их удастся собрать) и как их обрабатывать был дан ответ в стиле «не твое дело».
И ладно бы я работал в какой-то суперсекретной конторе. Нет, обычное производство стратегической колбасы индивидуального и массового употребления. :-)
Я сам сталкивался на практике с требованиями:
— предоставить пароли всех юзеров (в домене кстати была сделана настройка смены пароля пользователя раз в месяц).
— мониторить все что происходит у каждого из пользователей (открытие документов, запуск программ и т.д.)
— полный мониторинг эл.почты — ну это даже стандартное пожелание.
— мониторинг всех распечатываемых документов в организации (а печатали пользователи просто ящиками всякие документы и фактуры).
Про «кто куда лазит в интернете» я даже вспоминать не буду — это просто классика.
На мой вопрос — а кто будет хранить все эти данные (даже если их удастся собрать) и как их обрабатывать был дан ответ в стиле «не твое дело».
И ладно бы я работал в какой-то суперсекретной конторе. Нет, обычное производство стратегической колбасы индивидуального и массового употребления. :-)
>> настройка смены пароля пользователя раз в месяц
Садисты
Садисты
Сбор паролей — ненужное требование, раз сброс паролей происходит раз в месяц.
Полный мониторинг эл.почты называется перлюстрация и осуществляется силами сторонних программ, мониторинг действий пользователя производится силами клавиатурных шпионов. «Кто куда лазит в интернете» — настройки логирования на прокси.
Данная информация должна храниться в отделе инф. безопасности, обработка так же лежит на плечах специалистов этого отдела.
Другое дело, что производство стратегической колбасы может и не требовать таких мер.
Полный мониторинг эл.почты называется перлюстрация и осуществляется силами сторонних программ, мониторинг действий пользователя производится силами клавиатурных шпионов. «Кто куда лазит в интернете» — настройки логирования на прокси.
Данная информация должна храниться в отделе инф. безопасности, обработка так же лежит на плечах специалистов этого отдела.
Другое дело, что производство стратегической колбасы может и не требовать таких мер.
Я это все прекрасно знаю и понимаю. Просто мои вопросы на эту тему рубились «Ннада!» и все. Мы пробовали писать действия пользователей — обалденный объем неанализируемой информации (особенно действия клиент-менеджеров: «открыли документ/закрыли документ» — фантастическое кол-во записей). «Сохранять все что идет на печать» — аналогично, документы печатались круглые сутки. Почта тоже давала дурные объемы, особенно когда народ стал гонять письма с веселыми картинками. Лог прокси по сравнению со всем этим бедламом был просто крошечным, хотя какая разница кто куда лазит в инете, ну как можно контролировать >200 юзеров? Только посмотреть общий объем и все (всякие развлекательные и порно-ресурсы, разумеется, блокировались).
Иметь информацию мало — надо же ее как-то обрабатывать и хранить. Иначе получается огромная куча бесполезного хлама.
Иметь информацию мало — надо же ее как-то обрабатывать и хранить. Иначе получается огромная куча бесполезного хлама.
Работая с другой стороны барикад (аудитором) неоднократно сталкивался с возросшим числом доморощенных аудиторов и не менее/более адекватных системных администраторов с «их требованиями» безопасности
Видимо, этот аудитор ранее успешно проверил сервисы Sony и оказалось, что они удовлетворяют всем требованиям по безопасности.
Причем не только проверил, но и внес множественные свои коррективы!
Имя сестра, имя!!! Страна должна знать своих героев!!!
Есть ли в оригинальной статье название компании, где работает такой аудитор?
Есть ли в оригинальной статье название компании, где работает такой аудитор?
Нету. Может быть есть в комментариях, но я их полностью не осилил.
Там же вроде написано, что имя и компанию запретили озвучивать, грозя судебным иском…
Можно выкрутиться, при желании, опубликовав комментарий от третьего лица в духе, «я узнаю требования, это N».
www.yell.com/s/auditors-birmingham.html
Думаю тут можно попробовать поискать:)
Думаю тут можно попробовать поискать:)
Хорошая статья.
Ждём ещё «Мой руководитель — идиот», «Мой бухгалтер — идиот», «Я — идиот», etc.
Ждём ещё «Мой руководитель — идиот», «Мой бухгалтер — идиот», «Я — идиот», etc.
Возможно, что на самом деле человек не работает 10 лет в этой сфере, а его совсем недавно взяли со школы по блату (:
Вспомнился анекдот:
Звонит стартапщик специалисту по сошиал медиа маркетингу и говорит: «Слушай, ты уже сделал домашку по алгебре?»
Вспомнился анекдот:
Звонит стартапщик специалисту по сошиал медиа маркетингу и говорит: «Слушай, ты уже сделал домашку по алгебре?»
Редкостный муфлон с синдромом вахтёра. Полностью согласен с KotBehemoth, таких надо маленькими давить, пока он не получил повышение и не вырастил под собой ещё поколение таких же.
UFO just landed and posted this here
Я думал PayPal это самое большое зло с точки зрения принятия платежей. Оказывается нет, есть места откуда переезжают на PayPal и радуются этому. Офигеть, просто офигеть!
Чем вам не нравится PayPal с точки зрения приема платежей?
Уже традиционно когда на хабре ругают PyPal пишут что то типа «Я не мог принимать платежи под именем Жени из Житомира и тогда я назвался Джоном из Бирмингема. Все было хорошо но однажды меня забанили. Ата-та мерзкий PayPal!!!»
Ваша история отличается от шаблонной?
Уже традиционно когда на хабре ругают PyPal пишут что то типа «Я не мог принимать платежи под именем Жени из Житомира и тогда я назвался Джоном из Бирмингема. Все было хорошо но однажды меня забанили. Ата-та мерзкий PayPal!!!»
Ваша история отличается от шаблонной?
Сначала нам не дали PayPal Website Payments Pro — не потому что мы нехорошие редиски (или Женя из Житомира, нет, мы как раз US registered company) а просто потому что мы им не интересны — не дадим и все. Потом попробуйте со всем этим (Website Payments Standard) взлететь: тестовый аккаунт (sandbox) реализован ну просто очень неудобно (тройная авторизация и при этом очень короткие таймауты на сессию) и глючит (например генерирует номера карт которыми нельзя платить и т.п.) — поэтому на тестирование тратится очень много времени, документация размазана по трем разным сайтам и порой не дружит сама с собой, заявленная функциональность может быть очень скрыта или совсем выключена для некоторых видов платежей и стран — и т.п. В общем, если на сайте должно быть десять постоянных кнопок BuyNow и при этом вам не обязательно принимать оплату и картами — то тогда все просто, иначе это ночной кошмар для разработчика.
«пароль должен шифроваться по мере его ввода пользователем, но потом его нужно перенести и сохранить в открытом формате, так как он может понадобиться в дальнейшем.» Это убило конечно. Может в аудиторы податься? А что, при почти полном незнании предметной области, я еще и не самым плохим буду, лол.
UFO just landed and posted this here
PCI это разъем же, а PCI-E еще сильнее шифрует!!!11
Скажем так: PCI DSS действительно запрещает передачу PIN-а в открытом виде вообще всегда. Поэтому, к примеру, канал связи между PINpad-ом и POS-терминалом (в случае выносного PINpad-а) действительно шифруется. Также шифруется канал между банкоматом и клавиатурой банкомата. Делается это для предотвращения перехвата PIN-а «по пути». Кстати, в правильных «гражданских» беспроводных клавиатурах также бывают подобные механизмы защиты от перехвата. И да — там действительно используется стойкое шифрование, но формулировка «аудитора» про «сильную криптографию» всё-равно звучит абсолютно по-идиотски.
>Также шифруется канал между банкоматом и клавиатурой банкомата.
Это при том, что для того, чтобы подключиться между банкоматом и его клавиатурой — нужно его разобрать, а от накладной клавиатуры или камеры над банкоматом это нифига не спасает.
Это при том, что для того, чтобы подключиться между банкоматом и его клавиатурой — нужно его разобрать, а от накладной клавиатуры или камеры над банкоматом это нифига не спасает.
От всевозможных «накладок» АКА скиммеров спасает, как ни парадоксально, в первую очередь бдительность клиентов и инкассаторов/инженеров по обслуживанию, а во вторых — всякие хитрые приспособы начиная от конструкций, загораживающих PIN-pad со всех ракурсов, и заканчивая активными и пассивными антискиммерами на картоприемнике. Ну и плюс становится всё больше EMV-only карточек, которые невозможно «соскиммить». А шифрование обмена между компонентами банкомата защищает от возможной установки «закладок» внутрь банкомата (куда клиент заглянуть не может) авторизованным обслуживающим персоналом.
Помимо DSS у них есть еще стандарты безопасности при разработке ПО например. Плюс DSS может давать печальные последствия если неправильно организована сеть(или неправильно трактована аудитором) и серваки работающие с картами попадают в одну сеть с обычными офисными машинами. Тогда там начинаются ахтунги вроде необходимости жестко мониторить действия пользователей и прочего.
Так оно и есть, при вводе пароля он отлично шифруется звездочками. :)
да, а в поле
подтверждение пароля [ __________ ]
надо ввести «подтверждаю»
подтверждение пароля [ __________ ]
надо ввести «подтверждаю»
Вспомнилась «шутка» из начала 2000-ых.
Шлешь другу текст типа
«Вау, прикольная новая фишка безопасности, если в сообщении пишешь свой пароль — он скрывается звёздочками, смотри: *********».
А когда он шлёт тебе свой пароль, а потом спрашивает, почему тот не скрыт, ты говоришь ему, что он виден только автору, а у тебя в пришел виде звездочек.
Шлешь другу текст типа
«Вау, прикольная новая фишка безопасности, если в сообщении пишешь свой пароль — он скрывается звёздочками, смотри: *********».
А когда он шлёт тебе свой пароль, а потом спрашивает, почему тот не скрыт, ты говоришь ему, что он виден только автору, а у тебя в пришел виде звездочек.
Просто ппц. И как такие люди еще работают в сфере связанной с ИТ безопасностью, это же действительно идиотизм.
Не готов ручаться конкретно за этого аудитора, но я бы аплодировал ему стоя, если правильным ответом на все его запросы было: «у нас в системе невозможно получить эту информацию. Хотите режьте, хотите увольняйте, но я не смогу вам достать пароли юзеров и их приватные ключи». В условиях жёсткого психологического прессинга администратор будет из кожи вон лезть, чтобы предоставить запрошенные данные. И если он не сможет этого сделать даже под угрозой анальной расправы, значит можно быть уверенным, что система в безопасности.
Там в ответах рассматривался вариант того, что это аудит на социальную инженерию — мол, сдастся админ, поставит всем пароли известные или доставит какую-то лабуду в операционку, логирующую пароли в открытом виде — тут то аудит и провален. Но админ клятвенно уверял, что это не так, поскольку этот идиотизм подтверждался не менее идиотскими официальными бумагами с печатями, письмами в PCI и т.д.
Кстати, да. Один знакомый аудитор обожает просить «пример пароля для оценки криптостойкости». Пароль позволяет войти в систему? Аудит провален.
Или ещё шутка от него же — просьба залогинится в систему с его ноутбука. На котором кейлоггер крутится.
Или ещё шутка от него же — просьба залогинится в систему с его ноутбука. На котором кейлоггер крутится.
По-моему это был троллинг)
Напишите в начале статьи Имя и Фамилию этого человека и название компании, нам всем будет что сказать этому, при случайной встрече. Мир тесен, особенно в IT
Напишите в начале статьи Имя и Фамилию этого человека и название компании, нам всем будет что сказать этому, при случайной встрече. Мир тесен, особенно в IT
Я уточню у нашего адвоката возможность публикации имени аудитора и названия компании и все вы сможете пообщаться с ними лично и объяснить почему вы не понимаете таких базовых возможностей Linux, как получение списка паролей в открытом виде.
Маленький апдейт
Наш адвокат посоветовал не нарываться. Ну что же, не называя конкретных имен, я скажу лишь что это не крупный процессинговый центр, у него около 100 клиентов и находится он в Бирмингеме, UK.
К тому же это перевод.
Простите не дочитал сразу до Ваших слов об адвокате,
а что касается Бермингема, то там регистрируют каждого, у кого есть в кармане 50 фунтов (+35 для получения фирмы в тот же день), ну или 1000 долларов, и копий паспорта, тогда можно даже из России не выезжать :)
а что касается Бермингема, то там регистрируют каждого, у кого есть в кармане 50 фунтов (+35 для получения фирмы в тот же день), ну или 1000 долларов, и копий паспорта, тогда можно даже из России не выезжать :)
Обязательно встретите когда у Вас будет подобная ситуация с аналогичными требованиями ;-)
Отличная статья описывающая некомпетентность сотрудника аудиторской фирмы, хотя возможно и всего состава фирмы, раз они приняли такую политику безопасности! Возможно они думают о какой-то своей безопасности нежели о безопасности Ваших клиентов!
Офигенно! А вы не хотите вместе со своими юристами подать на эту компанию в суд и потребовать с них возмещение нанесенного ущерба? Факт переписки имеет место быть, договор был, время переезда на PayPal определенное есть.
Прям мой старый сраный препод Корпачёв.
Думаю, у каждого в той или иной степени появится ассоциация со своим «Корпачевым».
Помню, лет 10 назад рассказывали историю, как на каких-то IT-курсах препод-женщина утверждала, что uk-домен — это Украина, а на все возражения отвечала: «Я сертифицированный специалист, а вы кто такие»? :)
Помню, лет 10 назад рассказывали историю, как на каких-то IT-курсах препод-женщина утверждала, что uk-домен — это Украина, а на все возражения отвечала: «Я сертифицированный специалист, а вы кто такие»? :)
UFO just landed and posted this here
В одной жалобе провайдеру интернета я указывал на ошибку расчета (льготный ресурс посчитали обычным). В ответ на жалобу мне написали, что у них сертифицированный биллинг софт, а значит я неправ :\
Он не идиот, он просто Божья роса для вас — считайте что он спас вас от эпик фейла и потери кучи бабок с этим процессинговым центром.
Настолько нелепо, что похоже на фейк ради пиара. Хотя жизнь и не такие «сюрпризы» преподносит…
Напоминает диалоги происходящие в моей конторе. Уныло.
UFO just landed and posted this here
он так может на жизнь зарабатывает?
правильное решение съехать от этих кретинов. пожалуй, продублирую этот комментарий на английском, чтобы им было легче прочесть.
варианты действий, если у вас нет возможности съехать на PayPal или на любой подобный процессинг могут быть таковыми:
1. хочет пароли в открытом виде? дайте ему часть /etc/shadow с хэшами и ссылку на:
md5crack.com/
md5hack.com/
www.md5decrypter.co.uk/ — кстати, в англии как раз, British Telecommunications plc (:
пусть развлекается.
2. если через пару месяцев подобных развлечений он всё-таки не смог найти коллизии в хэшах, дайте ему платные ресурсы: cmd5.ru/, c0llision.net/, hashcracking.ru.
3. если и это не помогло, попросите юзеров отправить аудитору свои пароли. (-%
4. список файлов получается путем поиска просто ВСЕХ файлов, дата которых около шести месяцев, запакуйте это в большой tar и предоставьте. пусть разбирается.
5. в европе, равно как и в России / Украине действует закон о «Защите персональных данных», своими требованиями аудитор нарушает его, являясь оператором по определению закона.
пока аудитор последовательно проходит пункты 1 — 4, вы спокойно передаете всю информацию о нарушении ПДн адвокату, тот заводит дело, вы пытаетесь решить вопрос в досудебном порядке… PROFIT! (:
варианты действий, если у вас нет возможности съехать на PayPal или на любой подобный процессинг могут быть таковыми:
1. хочет пароли в открытом виде? дайте ему часть /etc/shadow с хэшами и ссылку на:
md5crack.com/
md5hack.com/
www.md5decrypter.co.uk/ — кстати, в англии как раз, British Telecommunications plc (:
пусть развлекается.
2. если через пару месяцев подобных развлечений он всё-таки не смог найти коллизии в хэшах, дайте ему платные ресурсы: cmd5.ru/, c0llision.net/, hashcracking.ru.
3. если и это не помогло, попросите юзеров отправить аудитору свои пароли. (-%
4. список файлов получается путем поиска просто ВСЕХ файлов, дата которых около шести месяцев, запакуйте это в большой tar и предоставьте. пусть разбирается.
5. в европе, равно как и в России / Украине действует закон о «Защите персональных данных», своими требованиями аудитор нарушает его, являясь оператором по определению закона.
пока аудитор последовательно проходит пункты 1 — 4, вы спокойно передаете всю информацию о нарушении ПДн адвокату, тот заводит дело, вы пытаетесь решить вопрос в досудебном порядке… PROFIT! (:
Сказочный долбоёб ©
я в налоговой работал… не в бирменгеме а у нас. там примерно тоже самое было, даже интереснее.
заставили сделать журнал паролей с фамилиями и паролями пользователей. и каждый пользователь напротив своего пароля должен был расписаться. чтобы не подглядывали пароли друг у друга в инструкции рассказали что нужно сделать лист бумаги с прорезями чтобы закрывать этим листом строчки журнала которые разглашать нельзя и при этом дать возможность расписаться напротив своего пароля.
мы были в шоке, но распоряжением вышестоящего начальства было приказано удовлетворить все требования отдела безопасности.
заставили сделать журнал паролей с фамилиями и паролями пользователей. и каждый пользователь напротив своего пароля должен был расписаться. чтобы не подглядывали пароли друг у друга в инструкции рассказали что нужно сделать лист бумаги с прорезями чтобы закрывать этим листом строчки журнала которые разглашать нельзя и при этом дать возможность расписаться напротив своего пароля.
мы были в шоке, но распоряжением вышестоящего начальства было приказано удовлетворить все требования отдела безопасности.
Дословный перевод от первого лица несколько сбивает с толку.
Я уж было подумал, что аудит проводили клоуны из dsec.ru.
Больше похоже на чей то розыгрыш или тонкий троллинг. Я про письма так называемого «аудитора безоапсности»
Читалось как детектив, чесслово. Благо, окончание позитивное — с чем вас и поздравляю!
Как-то неверится, что такие дураки бывают.
А админ наредкость терпеливый.
А админ наредкость терпеливый.
Вы уверены, что это не мошенники?
У меня тот же вопрос возник. Уж больно похоже на какое-то разводилово.
1. Получаем пароли юзеров/Заставляем выставить пароли юзеров
2. ???
3. PROFIT!
1. Получаем пароли юзеров/Заставляем выставить пароли юзеров
2. ???
3. PROFIT!
Да, очень уж похоже, ответы-то совсем неадекватные. Товарищ же тролит: уходит от темы, хамит, давит ничем не подтвержденным авторитетом.
Было бы интересно посмотреть, как измениться тон ответов, если ему написать, что-нибудь вроде: «мы решили, что вы ведете себя очень подозрительно, поэтому был сделан запрос в контролирующие органы. Ждем ответа и т.д.»
Было бы интересно посмотреть, как измениться тон ответов, если ему написать, что-нибудь вроде: «мы решили, что вы ведете себя очень подозрительно, поэтому был сделан запрос в контролирующие органы. Ждем ответа и т.д.»
Если фирма работала с этой компанией (и еще 100 таких же) и у человека действительно был сертификат аудитора, то вряд ли это был мошенник. Аудиторов периодически проверяют и прессуют как только можно, сам сертификат получить очень проблематично, а сесть за такие вот «профиты» проще некуда. Тем более это не СНГ, за бугром вообще строго. Так что это либо идиот… либо какой-нибудь «карьерный самоубийца». Ну или письма отправляло третье лицо от имени аудитора.
«Организация PCI отреагировала адекватно и сейчас плотно исследует этого аудитора, его компанию и их правила. Наша система успешно переехала на PayPal. Я буду ждать информации от PCI о результатах аудита этого аудитора»
Пахнет совком, видимо человек старой закалки там сидит. Пароли распечатать и спрятать в сейф, никакой троян не залезет!
Пароли всех пользователей платежной системы…
По-моему, он решил срубить бабла по-крупному :-)
По-моему, он решил срубить бабла по-крупному :-)
Интересно… я бы вот не стал пароли пользователей отправлять никому. Вообще не ясно каким образом это поможет ему. Быть может весь смысл был в том чтобы устоять напору… и тогда тест пройден? :)
Я тоже хотел бы верить в эту версию, но она разваливается вот здесь: habrahabr.ru/blogs/infosecurity/125258/#comment_4125461
Это же песня просто какая-то!
Служил некоторое время, занимался информационной безопасностью. У военных за такой «аудит» и статьи есть, можно сесть быстро и надолго.
Служил некоторое время, занимался информационной безопасностью. У военных за такой «аудит» и статьи есть, можно сесть быстро и надолго.
Если бы я узнал, что какая-то компания хранит мой пароль в открытом виде, я бы как минимум перестал бы с ней сотрудничать, а как максимум, возможно есть вариант и наказать по закону.
Пфф… на ЖД на нашей на родной и не такое можно от центральной СБ получить.
Все же склоняюсь к мысли, что либо это социальный инжиниринг с целью получения базы пользователей и паролей (неизвестно какая фирма и 100 клиентов), либо продвинутый аудит с использованием методов этого самого инжиниринга.
Первое намного более вероятно.
Похоже на нигирийцев с просьбой отправить MacBook сыну в Зимбабве и предоставить квитанцию об отправке «платежной системе».
Первое намного более вероятно.
Похоже на нигирийцев с просьбой отправить MacBook сыну в Зимбабве и предоставить квитанцию об отправке «платежной системе».
>> PCI — это теперь ПО
Давычо, это ж шина такая!
Давычо, это ж шина такая!
Самое обидное, что все это останется на уровне народных баек, а компания олигофренов так и продолжит свою деятельность. Тут больше вопрос к законодательству. За что засудить-то могут, если раскрыть имя? За клевету?
Ну, нифига. Админ обратился с жалобой в PCI — они начали расследования деятельности аудитора, поскольку эта деятельность — явная угроза капиталу входящих в PCI фирм. Вы спутали, во-первых, страну, а во-вторых частный бизнес и государство. На западе частная фирма (особенно уровня Visa и Mastercard) с этих дуралеев 3 шкуры сдерут.
Перенесите в DuraLex.
на месте автора — я бы рассмеялся боссу прямо в лицо и подал бы заявление на увольнение. босс бы сильно тогда призадумался. потому что если уж босс — идиот, то это стало бы спасением.
С чего бы вдруг так делать? Босс автора оказался адекватным человеком и санкционировал переход на другую платежную систему без всяких угроз саботажа.
давайте начнем с того, что босс, как главный источник директив, воспринял это всерьез и не воспротивился этому. вместо того, чтобы бить лысиной об паркет на интернет-форумах и ломать голову как бы пропатчить LDAP так, чтобы он отдавал plain-passwords в лог, достаточно было всем своим видом показать шефу — что аудитор идиот. вменяемый шеф должен был и без гласа интернет-сообщества прислушаться к своему айтишнику. впрочем, шеф и так норм оказался, видимо.
Вы как-то неверно представляете задачу руководства. Первое, что должен сделать начальник — делегировать задачу нужно подчиненному (что он и сделал). Первое, что должен сделать подчиненный — это попытаться её решить в рамках отведённого времени и бюджета. Если подчиненный при малейшей несправедливости будет бежать зарёванный к начальнику — нафиг он такой нужен? Админ тоже оказался адекватным — он попытался убедить аудитора, засомневался в своей компетенции и спросил совета у коллег. И только когда убедился что он прав, а аудитор — идиот, пошел к боссу. Босс опять таки принял верное решение по переезду на PayPal. Все в этой истории (кроме аудитора) вели себя так, как должны были.
По-моему требование этого «аудитора по безопасности» сильно противоречит вопросам безопасности…
UFO just landed and posted this here
А я бы на месте автора топика сообщил бы своему руководству на бредовость запросов текущего аудитора и порекомендовал бы своему руководству изучить парочку подобных аудитов у конкурентов. Заодно и поспрашивал бы у конкурентов о текущем аудиторе. Думаю полученная информация бы пролила бы свет на ситуацию! Обязательно в такой ситуации держать в полном курсе дел свое руководство, дабы потом не схлопотать самому по шапке. :(
Удачной борьбы, tangro!
Удачной борьбы, tangro!
Автор топика совершенно зря не поставил первой же строчкой ссылку на на оригинальную тему на serverfault.com
Автор комментария совершенно зря читает между строк и а) даёт совет по закончившейся уже happy end'ом истории б) даёт совет и пожелание удачной борьбы переводчику
Давайте же будем внимательны и не допустим информационного шума :)
Автор комментария совершенно зря читает между строк и а) даёт совет по закончившейся уже happy end'ом истории б) даёт совет и пожелание удачной борьбы переводчику
Давайте же будем внимательны и не допустим информационного шума :)
Я уж грешным делом подумал, что это российский админ бодается с аудиторами буржуинскими. Думаю, совсем нас за туземцев держат, что ли… Но тем не менее солидарен с автором оригинала — идиотам надо говорить, что они идиоты, иначе как они об этом узнают?
«Как я уже писал, требуемая информация должна быть легко доступна на любой нормально настроенной системе любому компетентному администратору» и «но потом его нужно перенести и сохранить в открытом формате»… ЭТО ЧЕРНУХА какая-то, видимо этот аудитор не только Sony проверял, но и всё остальное, что «положили в холодильник» анонимусы и lulzsec…
Как написали выше, по-моему это так же жесткий развод на конфиденциальные данные, и больше ничего…
Как написали выше, по-моему это так же жесткий развод на конфиденциальные данные, и больше ничего…
я скажу лишь что это не крупный процессинговый центр, у него около 100 клиентов
Я хотел сказать около 99 клиентов.
Ой нет, 96.
Сейчас, секундочку, поступают все новые и новые данные. Кажется, сейчас около 87 клиентов.
Понимаю все возмущение автора, однако:
— почему бы не спросить у аудитора как именно можно получить указанную им информацию, ибо он же профессионал, и так как вы сотрудничаете с данной платформой — значит приносите им доход, а значит можете расчитывать на грамотную техподдержку с их стороны
— не ясен ещё один вопрос, если он отказывается отвечать, пробовали узнать какая именно сумма может развязать ему язык, судя по требованиям и по тому, что он боится раскрывать свои данные — явно что-то не так, ибо если требования адекватны — то огласки боятся глупо, наборот хорошая реклама грамотной аудиторской конторе не повредит
— у нас тоже был опыт общения с неграмотными аудиторами, они говорили много нужных и полезных вещей, давали нам так сказать консультации, а в итоге мы из-за них чуть всю архитектуру не угробили, хорошо сами головой подумали и не стали делать то, что предлагали они
— всем банкам с большой колокльни на PCI DSS, в штатах к примеру ISO стандарты банки проходят, так что вполне может оказаться, что от вас требовались данные по какому нибудь ISO 9001 или 27000, что-то типа того, а там такая мутя написана, которую трактовать можно как угодно, так что не все так просто, вы можете и ошибаться
— почему бы не спросить у аудитора как именно можно получить указанную им информацию, ибо он же профессионал, и так как вы сотрудничаете с данной платформой — значит приносите им доход, а значит можете расчитывать на грамотную техподдержку с их стороны
— не ясен ещё один вопрос, если он отказывается отвечать, пробовали узнать какая именно сумма может развязать ему язык, судя по требованиям и по тому, что он боится раскрывать свои данные — явно что-то не так, ибо если требования адекватны — то огласки боятся глупо, наборот хорошая реклама грамотной аудиторской конторе не повредит
— у нас тоже был опыт общения с неграмотными аудиторами, они говорили много нужных и полезных вещей, давали нам так сказать консультации, а в итоге мы из-за них чуть всю архитектуру не угробили, хорошо сами головой подумали и не стали делать то, что предлагали они
— всем банкам с большой колокльни на PCI DSS, в штатах к примеру ISO стандарты банки проходят, так что вполне может оказаться, что от вас требовались данные по какому нибудь ISO 9001 или 27000, что-то типа того, а там такая мутя написана, которую трактовать можно как угодно, так что не все так просто, вы можете и ошибаться
Аудитор великолепен!
Накал идиотии выше всех похвал!
Накал идиотии выше всех похвал!
Аудитор же профессионал! Он тайный разработчик всея Linux, знает его от Arch до Xebian. Он сам встроил туда самый неимоверно быстрый алгоритм для «взлома» хэша. Зачем кластеры для перебора хэша, ставим Linux и пишем лишь одну команду.
Полнейший бред со стороны аудитора.
Их задача тестировать систему на проникновение определенными средствами не зная при этом реальных паролей пользователей, но зная, к примеру, структуру сети (что бы применить атаки в нужных участках и проверить их защиту). Если же компания (аудитор) не умеет этого делать за недостатком знаний, — они требуют полных данных о сети и пользователях в ней, так как без этого они ничего не смогут сделать.
PCI пройти сложно конечно, но требования там ставятся реальные и выполнимые. То что поставили здесь — противоречит правилам PCI DSS.
Говорю это так как знаю что такое PCI DSS и людей которые его проводят ( опыт 10лет ;) )
Их задача тестировать систему на проникновение определенными средствами не зная при этом реальных паролей пользователей, но зная, к примеру, структуру сети (что бы применить атаки в нужных участках и проверить их защиту). Если же компания (аудитор) не умеет этого делать за недостатком знаний, — они требуют полных данных о сети и пользователях в ней, так как без этого они ничего не смогут сделать.
PCI пройти сложно конечно, но требования там ставятся реальные и выполнимые. То что поставили здесь — противоречит правилам PCI DSS.
Говорю это так как знаю что такое PCI DSS и людей которые его проводят ( опыт 10лет ;) )
это же не тест на проникновение, это аудит на право использования. совершенно разные вещи. пентест сложная и комплексная штука, включающая в себя несколько векторов атаки — такие как соц.инженерия, физическое проникновение, слежка, удаленные/сетевые атаки и все что только может придти пентестеру в голову.
а аудит на право пользования сервисом — несколько другая история. требования к проверке может составить сама процессинговая компания. аудитор по ИБ требующий паролей в открытом виде имеет два возможных корня — либо идиот, как уже не единожды говорилось выше, либо соц-инженер, что тоже упоминалось.
нерассмотренными остались вопросы:
— есть-ли у аудитора право (сертификат) проводить АИБ по требованиям PCI DSS
— почему проводя АИБ организации сюда приплетается PCI DSS, аудит может быть нацелен на проверку самой организации, а не способов хранения и защиты данных о платежных картах. в этом случае требования могут быть сильно расширены.
а аудит на право пользования сервисом — несколько другая история. требования к проверке может составить сама процессинговая компания. аудитор по ИБ требующий паролей в открытом виде имеет два возможных корня — либо идиот, как уже не единожды говорилось выше, либо соц-инженер, что тоже упоминалось.
нерассмотренными остались вопросы:
— есть-ли у аудитора право (сертификат) проводить АИБ по требованиям PCI DSS
— почему проводя АИБ организации сюда приплетается PCI DSS, аудит может быть нацелен на проверку самой организации, а не способов хранения и защиты данных о платежных картах. в этом случае требования могут быть сильно расширены.
Он наверно еще в PCI, когда они ему скажут, что он не прав, напишет, что они ничего не понимают и вообще он дольше всех в этой области :)
Возможно, требования аудитора и противоречат PCI, но они точно не противоречат PCI-E :)
А где перевод комментариев?! :-) Там тоже сочные советы.
А вдруг это и есть такой аудит — типа если предоставил пароли в открытом виде, то не безопастно, а коли предоставил — не безопастно.
Ладно хоть этот критин не хотел смотреть на всё что он запросил из выдачи поисковика! :D
Когда начальник — дибил, это очень плохо. Я приведу пример аналогичный. Стоит в городе Орёл завод сталепрокатный (сейчас он уже отжил свое), когда менялись директора, проводили новых начальников по цеху и рассказывают что где. Это печка — ванна с такой жидкостью — … ванна… — ванна… — печка. Зачем 2 печки, уберите одну. Начинают объяснять ему что вторую печку нельзя убрать — это технологический процесс, ее нельзя убрать. Нет уберите, зачем она энергию жрать будет. Вот и доказывай таким «идиотам» что-либо. Вообще надо их от должностей отстранять.
Во-первых вы недооцениваете маразм PCI DSS и все то чувство «false security», которое оно может вызвать. Сам фреймворк идиотский, чего уже говорить о людях. Хотя от дурака конечно что-то да защитит, но сам PCI был создан тупо для того, чтоб, в конечном итоге или случись что, перевалить вину на мерчанта.
Что же касаемо самого аудита, то на профессиональном жаргоне всегда присутствует понятие как «compensating control», которое аудитор, даже при всем остуствии квалификации, должен был принять к сведению. Но а в принципе, автор текста зря панику поднял, потому что аудиторы — это не карательный орган, а их мнение как правило подтверждено исключениями и фактами. Если бы начальник этого аудитора пропустил это уже в сам непосредственно отчет, то его можно было бы с легкостью оспорить на уже более высоком менеджерском уровне.
Что же касаемо самого аудита, то на профессиональном жаргоне всегда присутствует понятие как «compensating control», которое аудитор, даже при всем остуствии квалификации, должен был принять к сведению. Но а в принципе, автор текста зря панику поднял, потому что аудиторы — это не карательный орган, а их мнение как правило подтверждено исключениями и фактами. Если бы начальник этого аудитора пропустил это уже в сам непосредственно отчет, то его можно было бы с легкостью оспорить на уже более высоком менеджерском уровне.
Почему от писем аудитора веет Нигерией?
Как меня блядь бесит любая комбинация некая сила благодаря положению + тупизма.
Ну как результаты?
Не знаю, говорили или нет в комментах, но по стилю письма аудитор выдает в себе шизоида.
К нам подобный приходил на собеседование. На вопрос: «Расскажите, как вы проводили аудиты информационной безопасности на прошлых местах работы?», — ответил: «Я быстро на предыдущей работе раскрыл через видео камеру злодея, пытавшегося в три ночи не санкционировано войти в их Интернет-банк, используя чужой пароль, и то, что злодей сидел спиной не спасло его от наказания.»
К нам подобный приходил на собеседование. На вопрос: «Расскажите, как вы проводили аудиты информационной безопасности на прошлых местах работы?», — ответил: «Я быстро на предыдущей работе раскрыл через видео камеру злодея, пытавшегося в три ночи не санкционировано войти в их Интернет-банк, используя чужой пароль, и то, что злодей сидел спиной не спасло его от наказания.»
Sign up to leave a comment.
Наш аудитор безопасности — идиот