Domanda:
Il datore di lavoro mi fa utilizzare quello che ritengo essere un sito Web non sicuro per le funzioni delle risorse umane. Cosa fare?
A. Nony-Mous
2018-11-15 16:50:57 UTC
view on stackexchange narkive permalink

Al lavoro, per poter visualizzare su di me i miei stipendi, le ore di ferie e i dati delle risorse umane, devo accedere a un sito Web di terze parti.

Non sono affatto un esperto o esperto di sicurezza programmatore ma potevo dire (semplicemente provando) che potevo continuare a provare password errate senza essere bloccato. (forza bruta: fattibile)

Dopo il login sono stato costretto a selezionare 3 domande di sicurezza predeterminate in caso di reimpostazione della password (su un totale di 8!) come la targa della mia prima macchina (non ho mai avuto un'auto 3/7), il 2 ° nome del mio coniuge (non ho un coniuge 3/6), 2 ° nome del mio primo figlio (non ho figli 3/5), data di nascita, nome del mio liceo, animale domestico preferito, film preferito o brano musicale preferito.

La maggior parte di queste cose puoi semplicemente ottenere dal mio Facebook, (che, dovrei notare, non è stato aggiornato da anni!) ancora una volta mostra una netta mancanza di comprensione delle pratiche di sicurezza di base.

Ho anche la sensazione che, guardando il sito attraverso gli strumenti per sviluppatori, usano software incredibilmente obsoleto 

  Un'implementazione JavaScript dei dati RSA Security, Inc. MD5 Message * Digest Algorithm, as defined in RFC 1321. * Version 2.1 Copyright (C) Paul Johnston 1999-2002.

Ho segnalato questo tramite la mia azienda ma i miei superiori don sembra tutto ciò che è interessante sted.

Come farei:

A. Stai scoprendo se questo sito è davvero così insicuro come penso?

B. se vero: comunicarlo in modo appropriato all'azienda stessa (preferibilmente in modo anonimo)

Una mitigazione per le domande di sicurezza è avere password generate casualmente da un gestore di password come "risposte" di sicurezza.In questo modo, un avversario non ha modo di usare OSINT contro di te. Il resto della domanda dovrebbe essere spostato su https://workplace.stackexchange.com/ TBH
La tua analisi potrebbe non essere corretta.Non ti infastidisce dopo alcuni tentativi sbagliati non implica che sia vulnerabile alla forza bruta, abbiamo altri modi migliori e più intuitivi.Captcha, limitazione della velocità, ecc.
MD5 è piuttosto semplice, quindi non sorprende che il codice creato per generare un hash MD5 non sia cambiato molto da quando è stato scritto (ed è stato rilasciato nel 1992).* L'utilizzo di * MD5 è potenzialmente problematico, ma è possibile utilizzarlo in modi sicuri e innocui.Si spera che il sito non esegua l'hashing delle password lato client, ad esempio.
Questo è il mio script MD5 che stanno usando!
Il fatto che tu possa continuare a inserire le password non significa che non ci sia protezione dalla forza bruta.È possibile (e in realtà molto sensato!) Incorrere in un ritardo sempre maggiore con ogni tentativo errato.Ciò rende impossibile una vera forza bruta senza bloccare qualcuno che semplicemente continua a digitare erroneamente la propria password.
@leftaroundabout O un blocco silenzioso come rifiutarsi di rivelare il caso in cui un nome utente valido è stato associato a una password non valida.
@Criggie Si dovrebbe anche notare che risposte oneste a domande come "film preferito" potrebbero cambiare tra la risposta iniziale e quel caso di recupero di emergenza in cinque anni
Il contesto è tutto.L'utilizzo di MD5 per rilevare il danneggiamento accidentale dei dati durante un trasferimento di file è sicuro quanto l'utilizzo di SHA1 o di qualsiasi funzione hash più moderna, più potente e "più sicura".L'uso di una funzione hash più forte e più lenta, se il valore hash può essere intercettato e manipolato, dà solo un'illusione di sicurezza.
@SeeYouInDisneyland ma che protegge solo una singola persona.Il fatto che la piattaforma sia vulnerabile a OSINT (almeno) rimane e chiunque * altro * potrebbe subire il dirottamento del proprio account.Diciamo, * manager * - le stesse persone che non hanno mostrato interesse per la sicurezza e che probabilmente sono comunque obiettivi migliori.
Cosa succede effettivamente quando fornisci la risposta alla domanda di sicurezza?Queste domande spesso funzionano inviandoti un token di reimpostazione della password tramite e-mail, il che rende essenzialmente l'autenticazione a due fattori, perché non devi solo conoscere la risposta, devi anche avere accesso alle e-mail.--- Inoltre, come è possibile accedere al sito Web?È possibile accedervi anche dall'esterno della rete aziendale?In caso contrario, la sicurezza diventa una preoccupazione minore, perché i dipendenti dell'azienda sono generalmente (per lo più) fidati e diventa un problema di protezione della rete aziendale.
Forse mantenere segreti gli stipendi non è un grosso problema?
Il sito utilizza HTTPS?
> Do ogni tipo di attenzione alla sicurezza> tutti i miei dati sono su Facebook
La mia comprensione è che non sei obbligato a fornire risposte vere, solo risposte memorabili.Detto questo, ero veramente affezionato al mio primo animale domestico, @ki55 %% h! NrfZZ
Sei risposte:
schroeder
2018-11-15 17:00:19 UTC
view on stackexchange narkive permalink

Per iniziare con la parte facile: non è necessario inserire informazioni reali come risposte alle domande. Le stringhe casuali funzionano meglio se sei veramente paranoico e le memorizzi in un gestore di password proprio come una password.

Il resto (nessuna protezione dalla forza bruta, software potenzialmente obsoleto) è un peccato, ma non c'è niente che tu può fare, dal punto di vista della sicurezza. Vorrei sollevare il problema con HR / Payroll e chiedere loro di indagare. Se ti trovi in ​​Europa, puoi anche parlare con il tuo DPO per suggerire che il suo "Responsabile del trattamento dei dati" ha pratiche di sicurezza dell'account problematiche che devono essere indagate.

Altrimenti, questa è più una questione politica interna all'ufficio.

C'è una cosa che puoi fare sulla mancanza di protezione contro la forzatura bruta delle password: puoi usare una password complessa.
"non devi inserire informazioni reali" Stai cercando di dirmi che il mio nome di First Pets non è LRnq98FHk63FbrdYbJHvMRRe?Mi manca LRnq ...
@WernerCD ora mi stai ricordando quanto piccolo LRnq98FHk63FbrdYbJHvMRRe doveva essere mandato via perché semplicemente non si sarebbe comportato con calma con le persone, e sono triste :(
Oppure potresti effettivamente nominare i tuoi animali domestici e bambini con un gestore di password.
@Rad80 ma poi le persone saprebbero la risposta alle tue domande di sicurezza.Dovresti davvero nominare i tuoi animali domestici e bambini con un gestore di password, ma inserire nomi reali / normali nelle domande di sicurezza.
Il problema con questo approccio è ovviamente: dovrai fornire le risposte di sicurezza solo in situazioni in cui hai perso la password stessa.L'unico modo in cui posso immaginare come l'hai perso è corrompendo il tuo gestore di password (o non abituandoti ad accedervi da lontano) - nel qual caso non avrai accesso ai tuoi nomi di animali casuali memorizzati nello stesso gestore di password,o.
@HagenvonEitzen, nel qual caso chiami il loro supporto e chiedi loro di risolverlo, la società è un cliente pagante e non avrei alcun litigio per perdere tempo se le loro pratiche non sicure sono la ragione.
@HagenvonEitzen hai perso un punto chiave e la tua supposizione non è corretta: A) nella situazione, l'utente è costretto a inserire qualcosa e B) le domande segrete possono essere utilizzate per i processi di verifica oltre al semplice ripristino della password come ottenere aiuto per telefono.
Ho specificato il nome del mio primo animale domestico come "DvYdOAsEf4D5xFG6nyN3j" (e risposte simili ad altre domande) nella domanda di sicurezza di un account aziendale.È stato molto divertente quando hanno chiamato il mio manager per la verifica e ha dovuto rispondere al telefono alle 3 domande di sicurezza :-D
@HagenvonEitzen Forse hai abbastanza backup dei dati del tuo gestore di password da non perderli.E la tua unica preoccupazione per le domande di sicurezza è che qualcun altro possa abusarne.Oppure il sito decide che non si fideranno che sei la persona giusta anche se hai inserito la password corretta e ti chiedono anche una domanda di sicurezza, solo per sicurezza.
@IronCraftMan non condividi mai i veri nomi in quanto ciò consente l'uso della magia direttamente sull'oggetto nominato.Tutti i draghi, i demoni e così via praticano già questa misura di sicurezza.
@HagenvonEitzen Questo è vero, ma "neutralizzare" le normali "domande di sicurezza" è un risultato positivo dal punto di vista della sicurezza.Stai effettivamente scambiando la comodità di un facile ripristino della password per una maggiore sicurezza.Potresti anche dimenticare le stringhe casuali e concentrarti su una buona strategia di backup per le tue password.
@kasperd Avevo una certa banca (un'importante banca canadese che può o meno avere sede a Montreal) che mi obbliga a utilizzare una password di 6 caratteri per il mio banking online.Ho riso forte quando la signora al telefono me l'ha detto.Pensavo fosse uno scherzo.Inoltre non capiva perché era brutto, apparentemente, è conveniente per le persone farlo così breve.A quanto pare stanno "aggiornando presto" qualunque cosa significhi.
@Rad80 Little Bobby Tables, lo chiamiamo.
@HagenvonEitzen In questo caso, prenderei in considerazione di non salvare le risposte di ripristino e utilizzare il team delle risorse umane per ripristinarle per te;cosa che sicuramente potranno fare.Questo potrebbe essere meno conveniente per il team delle risorse umane, ma allora?
Mi assicuro di utilizzare parole generate casualmente (da 1Password, come riferimento), in modo che se sono al telefono con qualcuno, sarò in grado di pronunciarlo.
Jarrod Christman
2018-11-15 21:10:28 UTC
view on stackexchange narkive permalink

Per me questo significa che non hai indagato abbastanza per dire con sicurezza che non è sicuro. Non hai mostrato alcun particolare exploit diretto né hai davvero scavato nel loro sistema (in un modo non hacking, frugando in giro). I tuoi superiori potrebbero non essere interessati a causa della mancanza di prove dirette di ciò.

Ad esempio, il mio lavoro utilizza un sito di terze parti per la pianificazione delle vacanze, ho scoperto che mi consente di "recuperare" la mia password inviando la mia password esatta in testo normale tramite e-mail, che è un prova di un problema che posso segnalare. Allo stesso modo, un sito utilizzato per alcuni servizi IT (SIP Trunk) ha avuto un problema in cui potevo cambiare gli ID nell'URL e (con mia sorpresa) visualizzare le informazioni sull'account di altre persone, ancora una volta, un'altra linea diretta di prove. In questo momento, hai solo dei sospetti, e non quelli ovvi.

Per inciso, tutte le domande di sicurezza per reimpostare le password sono insicure, poiché si basano su informazioni comuni. Come altri hanno suggerito, puoi inserire risposte false qui (che puoi ancora ricordare) o stringhe generate interamente in modo casuale. Puoi pensare alle domande di sicurezza come una sfida alla sicurezza da "String" a "String" nel senso più generico.

A proposito, qualsiasi voto negativo è il benvenuto, purché venga fornita una spiegazione.Stiamo solo postando qui solo per aiutare, quindi aiutare l'aiuto a migliorare nell'aiutare è utile ;-)
Stai confondendo i pericoli con gli exploit.I pericoli sono chiari e comprensibili.Inoltre, non hai risposto alla domanda (hai ribadito la domanda)."Come farei a: A. Scoprire se questo sito è davvero così insicuro come penso?"La tua risposta dice: "devi scoprire se il sito non è sicuro"
Non ho downvote, ma `il sistema di login non è protetto contro attacchi bruteforce / dizionario` è un problema diretto molto reale.Vorrei anche verificare se il sistema è vulnerabile agli attacchi temporali (che possono accelerare enormemente un attacco di forza bruta), ma sono solo io.
È difficile decidere quale sia peggio: usano MD5, eseguono la propria implementazione dell'algoritmo MD5 o utilizzano MD5 lato client.Ognuno di questi è un segno sicuro di cattive pratiche di sicurezza.
Molti datori di lavoro saranno molto infastiditi se scoprono che stai testando i loro sistemi senza previa conoscenza e autorizzazione, e alcuni potrebbero persino tentare di arrestarti per aver violato le leggi sull'hacking.Naturalmente, se chiedi "Posso dedicare le mie ore di lavoro a testare con la penna questo sistema di cui non sono responsabile?"la risposta potrebbe essere no.
Utente1067003, sarei d'accordo, se fosse noto con certezza.Quando volevo dire non è un test di penna del loro sistema, ma un po 'più stimolante.Sta supponendo che non protegga dalla forza bruta, ma potrebbe, solo attraverso metodi diversi che non sono così visibili o la soglia è troppo alta per lui da capire dalla sua rapida occhiata.La maggior parte delle sue preoccupazioni, per me, sono sospetti senza informazioni sufficienti per dire con sicurezza al suo capo che la piattaforma è insicura.
Tuttavia, sarei d'accordo, la linea di frugare in giro contro il test della penna è molto sottile e sottile.Relegherei il mio curiosare al normale comportamento dell'utente e dedurrei ciò che potrei, qualsiasi cosa al di fuori del normale comportamento dell'utente inizi a diventare discutibile.Tuttavia, questa è altamente una questione di opinione, quindi probabilmente non dovrei raccomandarlo.
Schroeder, abbastanza giusto riguardo alla fusione di pericoli ed exploit.Tuttavia, per me un pericolo non è un pericolo finché non so e capisco come viene utilizzato.Ad esempio, MD5 è ancora utile (e veloce) per determinati usi, il suo utilizzo non è intrinsecamente pericoloso.Suppongo che la mia risposta alla sua risposta sia di essere più cauto su tali ipotesi.
AnoE
2018-11-16 05:24:03 UTC
view on stackexchange narkive permalink

Come farei:

A. Scopri se questo sito è davvero così insicuro come penso?

Non puoi davvero, a meno che tu non sia testimone di un problema concreto e sfruttabile. È quello che fanno le aziende di infosec, cercano di rompere attivamente i sistemi (con il consenso dei proprietari). Conoscono molte procedure e tecniche per separare sistematicamente un'applicazione di questo tipo, da cose semplici come usare HTTP invece di HTTPS, uso non sicuro dei cookie, XSS, SQL injection, ma anche altre cose come gli ID che vengono ovviamente semplicemente contati (il che significa che puoi provali in sequenza), le cose vengono controllate solo sul browser (facilmente contraffatte), e così via e così via.

Possono anche combinare approcci blackbox con whitebox (cioè, semplicemente guardando dal all'esterno, come farebbe qualsiasi hacker / cracker, o studiando effettivamente il codice sorgente, entrando nei server con gli account forniti e così via).

Potresti fare tutto da solo, ma come stai chiedendo, tu ovviamente non so davvero come. Ma il problema principale è che se lo facessi, senza prima ottenere il consenso, saresti almeno in territorio grigio, se non addirittura infrangere la legge.

B. se vero: comunicarlo in modo appropriato all'azienda stessa (preferibilmente in modo anonimo)

Non puoi (anonimo, almeno). Se c'è un CISO dedicato, sarebbe la tua prima linea di attacco; ma a parte questo, specialmente nelle aziende più piccole, c'è poco che puoi fare se la tua direzione si limita a scrollare le spalle.

Immagino che ci possano essere circostanze specifiche in cui alcune agenzie governative potrebbero essere interessate, ad esempio se la tua azienda lavora per il governo in un'area che ha requisiti di sicurezza rigorosi; allora ovviamente potresti provare a inviare un messaggio anonimo da qualche parte, ma perché dovrebbero preoccuparsi delle tue informazioni sulle risorse umane ...

Ma in generale, per le aziende arbitrarie, si applica il detto "Non c'è destino se non quello che facciamo per noi stessi".

Joel Coehoorn
2018-11-17 02:19:15 UTC
view on stackexchange narkive permalink

Se dovessi indovinare, scommetterei che il servizio è resiliente anche agli attacchi di forza bruta, per la semplice virtù di essere sotto-fornito per gestire il carico coinvolto. Se vai troppo veloce con le ipotesi, il server cadrà, avvisando gli amministratori di quello che sta succedendo. Procedi troppo lentamente e non indovini abbastanza velocemente da aspettarti il ​​successo in un periodo di tempo ragionevole.

Aggiungi questo al suggerimento di altri di utilizzare informazioni false e il servizio non sarà affatto vulnerabile se stai attento ... almeno, non nei modi riportati finora. Nota che ho detto "Se". Sembra un design sfortunato che, come hai accennato, non crea fiducia in cos'altro potrebbe esserci dietro le quinte.

Non tenterei di testare ulteriormente me stesso, ma se questo è un prodotto utilizzato da molte altre aziende, potresti provare a mettere un bug nell'orecchio di un vero ricercatore di sicurezza, che saprà testarlo in modo etico ed essere più preparato ad affrontare qualsiasi ricaduta legale. Se sei l'unica persona con una mentalità tecnica nella tua zona al lavoro, potresti anche voler avvisare i colleghi di come utilizzare il servizio "in sicurezza".

securityOrange
2018-11-17 07:02:21 UTC
view on stackexchange narkive permalink

Penso che tu abbia ragione: probabilmente sembra che il sito sia potenzialmente piuttosto insicuro. Quelle sono alcune bandiere rosse e l'intera faccenda suona un po 'maleodorante. MD5 è ampiamente considerato crittograficamente insicuro.

Detto questo, la domanda "cosa devo fare?" è uno che affligge molti scenari relativi alla sicurezza. C'è un costo e un vantaggio per ogni azione che intraprendi, e la giusta scelta di azione dipende fortemente dal tuo ambiente e dalle sfumature del tuo scenario individuale. In che tipo di industria lavori? Quanto sono preziose le informazioni che stai memorizzando nel sistema? Forse la cosa più importante, quanto è ricettiva la tua azienda al cambiamento delle pratiche di sicurezza?

Queste sono tutte le domande pertinenti a cui rispondere e per le quali nessuno di noi qui su Internet ™ è in grado di aiutare. In ogni domanda su come gestire una situazione che coinvolge pratiche insicure, conoscere le sottigliezze di un ambiente aziendale - le storie lavorative degli individui, la natura delle loro connessioni aziendali, il livello di rischio di inasprire le relazioni - definisce cosa fare dopo.

Quello che sto cercando di ottenere è che mi sembra che nessuno di noi sia davvero qualificato per rispondere a questo per te. Esiste una serie infinita di potenziali opzioni e la migliore linea d'azione dipende davvero dalla tua situazione a un livello di dettaglio che non è realmente trasmettibile qui.

Buona fortuna!

papajony
2018-11-15 20:43:57 UTC
view on stackexchange narkive permalink

Se sei un professionista IT puoi leggere il Codice etico ACM, che è il codice etico più completo attualmente disponibile nell'IT.

La sezione 1.2 dice: "Un computer il professionista ha l'obbligo aggiuntivo di segnalare eventuali segni di rischi di sistema che potrebbero causare danni. Se i leader non agiscono per ridurre o mitigare tali rischi, potrebbe essere necessario "fischiare" per ridurre il danno potenziale. Tuttavia, capriccioso o fuorviante la segnalazione dei rischi può essere di per sé dannosa. Prima di segnalare i rischi, un professionista informatico dovrebbe valutare attentamente gli aspetti rilevanti della situazione. "

Fai molta attenzione a capire quali diritti ha un informatore nel tuo paese / stato prima di effettuare quella chiamata.Potresti percepire ciò che il tuo datore di lavoro sta facendo come immorale, ma la denuncia di irregolarità è spesso una violazione del contratto illegale a meno che tu non possa dimostrare che il tuo datore di lavoro sta facendo qualcosa di illegale.La sicurezza di merda non è illegale nella maggior parte dei casi, a meno che non si gestiscano dati protetti da HIPPA, PCI, GDPR o altre normative simili.I datori di lavoro in realtà hanno pochissimo controllo da parte del governo su come archiviano le informazioni sui dipendenti, almeno negli Stati Uniti.
Ebbene, ACM è la più grande organizzazione IT globale e questo Codice Etico è emerso dopo molte discussioni e obiezioni da parte dei membri di tutto il mondo.Se ti attieni al codice come professionista IT, è una linea guida etica.Quello che farai è ovviamente qualcosa di completamente personale.Sapere che qualcosa non va e non fare nulla è la radice del male nella nostra società.
Come risponde questo alle domande poste?


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...