Kvíz:Náš bezpečnostní auditor je idiot

Kvíz:Náš bezpečnostní auditor je idiot
« kdy: 22. 07. 2020, 12:44:12 »
Našel jsem následující příspěvek , kostrbatě přeložený, kde ajtik firmy s platební bránou údajně byl dost nevybíravě nucen externím auditorem k předání následujícího.
Já vím, že víte co je na tom špatně ale zajímalo by mne, co si o tom myslíte:

a) je to hoax
b) je to falešný auditor - hacker
c) auditor je opravdu  idiot
d) sociální inženyr zkouší ajtika, jestli je spolehlivý

P.S. link záměrně zatím neudávám, až jako bonus

Bezpečnostní auditor našich serverů do dvou týdnů požadoval následující:
- Seznam aktuálních uživatelských jmen a hesel prostého textu pro všechny uživatelské účty na všech serverech
- Seznam všech změn hesla za posledních šest měsíců, opět ve formě prostého textu
- Seznam „všech souborů přidaných na server ze vzdálených zařízení“ za posledních šest měsíců
- Veřejné a soukromé klíče všech klíčů SSH
- E-mail, který mu byl zaslán pokaždé, když uživatel změní své heslo, obsahuje heslo prostého textu
Používáme krabice Red Hat Linux 5/6 a CentOS 5 s ověřením LDAP.





« Poslední změna: 22. 07. 2020, 12:47:55 od FKoudelka »


Re:Kvíz:Náš bezpečnostní auditor je idiot
« Odpověď #1 kdy: 22. 07. 2020, 13:31:23 »
Možno to je jeho spôsob, ako zistiť, či sa veci robia správne. Ak by dostal plaintext heslá, hneď by vedel, že je niečo zle. Potom to ešte zostáva tá druhá možnosť...

Re:Kvíz:Náš bezpečnostní auditor je idiot
« Odpověď #2 kdy: 22. 07. 2020, 13:48:48 »
Tohle mi zní jako ten nejhrubší a nejjednodušší pokus o phishing. Od auditora by to bylo tak na hranici urážky.

Skier

Re:Kvíz:Náš bezpečnostní auditor je idiot
« Odpověď #3 kdy: 22. 07. 2020, 13:56:56 »
Já vím, že víte co je na tom špatně ale zajímalo by mne, co si o tom myslíte:

Auditor není idiot, ale zkouší i kompetence ajťáka. A to hned na několika úrovních. Za mne dobrý přístup, akorát by nemusel tolik tlačit na pilu, takhle je až moc zjevné že je to špatně. Každému se prostě musí rozsvítit hned několik červených světel.

Re:Kvíz:Náš bezpečnostní auditor je idiot
« Odpověď #4 kdy: 22. 07. 2020, 13:57:24 »
To je postup jak se dostali do twitteru?


Re:Kvíz:Náš bezpečnostní auditor je idiot
« Odpověď #5 kdy: 22. 07. 2020, 14:05:41 »
To je postup jak se dostali do twitteru?
Jestli jo, tak potěš koště.

Posouzení bezpečnost linuxu
« Odpověď #6 kdy: 22. 07. 2020, 20:37:22 »
Tak jestli je pro cenzora příspěvek o bezpečnosti linuxu z pohledu sociálního inženýrství “o ničem” a hoden zařazení do /dev/ null a nepochopil jeho zábavnou formu, přikládám originální odkaz už nyní, posuďte sami
https://www.it-swarm.dev/cs/security/nas-bezpecnostni-auditor-je-idiot.-jak-mu-mohu-poskytnout-informace-ktere-chce/960570189/

Ukázka odpovědi auditora:

Mám více než 10 let zkušeností s bezpečnostním auditem a úplné porozumění metodám redhat zabezpečení, takže vám doporučuji zkontrolovat svá fakta o tom, co je a co není možné. Říkáte, že žádná společnost by nemohla mít tyto informace, ale já jsem provedl stovky auditů, kde byly tyto informace snadno dostupné. Všichni klienti [generického poskytovatele zpracování kreditních karet] jsou povinni dodržovat naše nové zásady zabezpečení a cílem tohoto auditu je zajistit, aby tyto zásady byly správně implementovány.
« Poslední změna: 22. 07. 2020, 20:42:55 od FKoudelka »

Re:Posouzení bezpečnost linuxu
« Odpověď #7 kdy: 22. 07. 2020, 20:44:34 »
« Poslední změna: 22. 07. 2020, 20:48:02 od FKoudelka »

« Poslední změna: 22. 07. 2020, 20:56:57 od FKoudelka »