सवाल हमारा सुरक्षा लेखा परीक्षक बेवकूफ़ है। मैं उसे वह जानकारी कैसे दे सकता हूं जो वह चाहता है?


हमारे सर्वर के लिए एक सुरक्षा लेखा परीक्षक ने निम्नलिखित दो हफ्तों के भीतर मांग की है:

  • सभी सर्वरों पर सभी उपयोगकर्ता खातों के लिए वर्तमान उपयोगकर्ता नाम और सादे-पाठ पासवर्ड की एक सूची
  • पिछले छह महीनों के लिए सभी पासवर्ड परिवर्तनों की एक सूची, फिर सादा पाठ में
  • पिछले छह महीनों में "दूरस्थ डिवाइस से सर्वर में जोड़े गए प्रत्येक फ़ाइल" की एक सूची
  • किसी भी एसएसएच कुंजी की सार्वजनिक और निजी कुंजी
  • हर बार जब कोई उपयोगकर्ता अपना पासवर्ड बदलता है, जिसमें सादे पाठ पासवर्ड होता है तो उसे एक ईमेल भेजा जाता है

हम एलडीएपी प्रमाणीकरण के साथ Red Hat Linux 5/6 और CentOS 5 बक्से चला रहे हैं।

जहां तक ​​मुझे पता है, उस सूची में सब कुछ असंभव या अविश्वसनीय रूप से मुश्किल है, लेकिन अगर मैं यह जानकारी प्रदान नहीं करता हूं तो हम अपने भुगतान प्लेटफॉर्म तक पहुंच खोने का सामना करते हैं और एक संक्रमण अवधि के दौरान आय खोने का सामना करते हैं क्योंकि हम जाते हैं नई सेवा इस जानकारी को हल या नकली कैसे कर सकते हैं इसके लिए कोई सुझाव?

सभी सादा पाठ पासवर्ड प्राप्त करने का एकमात्र तरीका यह है कि, हर किसी को अपना पासवर्ड रीसेट करने और इसे सेट करने के बारे में ध्यान दें। यह पिछले छह महीनों में पासवर्ड परिवर्तन की समस्या का समाधान नहीं करता है, क्योंकि मैं उस तरह की चीजों को पुन: सक्रिय रूप से लॉग नहीं कर सकता, वही सभी दूरस्थ फ़ाइलों को लॉगिंग के लिए जाता है।

सभी सार्वजनिक और निजी एसएसएच कुंजी प्राप्त करना संभव है (हालांकि परेशान), क्योंकि हमारे पास केवल कुछ उपयोगकर्ता और कंप्यूटर हैं। जब तक मुझे ऐसा करने का कोई आसान तरीका नहीं मिला है?

मैंने उसे कई बार समझाया है कि वह जो चीजें मांग रही है वह असंभव है। मेरी चिंताओं के जवाब में, उन्होंने निम्नलिखित ईमेल का जवाब दिया:

मेरे पास सुरक्षा लेखा परीक्षा और पूर्ण में 10 से अधिक वर्षों का अनुभव है   रेडहाट सुरक्षा विधियों की समझ, इसलिए मेरा सुझाव है कि आप जांचें   क्या है और क्या संभव नहीं है इसके बारे में आपके तथ्य। आप कहते हैं कि कोई कंपनी नहीं कर सकती थी   संभवतः यह जानकारी है लेकिन मैंने सैकड़ों ऑडिट किए हैं   जहां यह जानकारी आसानी से उपलब्ध है। सभी [जेनेरिक क्रेडिट   कार्ड प्रोसेसिंग प्रदाता] ग्राहकों को हमारे नए अनुरूप होना आवश्यक है   सुरक्षा नीतियां और यह लेखापरीक्षा उन नीतियों को सुनिश्चित करने के लिए है   सही ढंग से लागू किया गया है।

* "नई सुरक्षा नीतियों" को हमारे लेखापरीक्षा से दो सप्ताह पहले पेश किया गया था, और पॉलिसी में बदलाव से पहले छह महीने के ऐतिहासिक लॉगिंग की आवश्यकता नहीं थी।

संक्षेप में, मुझे चाहिए;

  • छः महीनों के पासवर्ड में बदलाव के "नकली" का एक तरीका बदलता है और इसे वैध दिखता है
  • छह महीने के इनबाउंड फ़ाइल स्थानान्तरण के "नकली" का एक तरीका
  • इस्तेमाल होने वाले सभी एसएसएच सार्वजनिक और निजी कुंजी एकत्र करने का एक आसान तरीका

अगर हम सुरक्षा लेखा परीक्षा में असफल होते हैं तो हम अपने कार्ड प्रसंस्करण प्लेटफॉर्म (हमारे सिस्टम का एक महत्वपूर्ण हिस्सा) तक पहुंच खो देते हैं और कहीं और स्थानांतरित करने में अच्छा दो सप्ताह लगेंगे। मैं कितना खराब हूँ?

अपडेट 1 (शनि 23 वां)

आपके सभी प्रतिक्रियाओं के लिए धन्यवाद, यह मुझे यह जानकर बहुत राहत देता है कि यह मानक अभ्यास नहीं है।

मैं वर्तमान में स्थिति की व्याख्या करने के लिए अपनी ईमेल प्रतिक्रिया की योजना बना रहा हूं। जैसा कि आप में से कई ने बताया, हमें पीसीआई का पालन करना है जो स्पष्ट रूप से कहता है कि हमारे पास सादे-पाठ पासवर्ड तक पहुंचने का कोई तरीका नहीं होना चाहिए। जब मैं इसे लिखना समाप्त कर दूंगा तो मैं ईमेल पोस्ट करूंगा। दुर्भाग्य से मुझे नहीं लगता कि वह सिर्फ हमें परीक्षण कर रहा है; ये चीजें अब कंपनी की आधिकारिक सुरक्षा नीति में हैं। हालांकि, मैंने उनसे दूर और पेपैल पर जाने के लिए पहियों को गति में स्थापित किया है।

अपडेट 2 (शनि 23 वां)

यह वह ईमेल है जिसे मैंने तैयार किया है, सामान जोड़ने / निकालने / बदलने के लिए कोई सुझाव?

हाय [नाम]

दुर्भाग्यवश हमें कुछ प्रदान करने का कोई तरीका नहीं है   अनुरोध की गई जानकारी का, मुख्य रूप से सादे-पाठ पासवर्ड, पासवर्ड   इतिहास, एसएसएच कुंजी और दूरस्थ फ़ाइल लॉग। न केवल इन चीजें हैं   तकनीकी रूप से असंभव है, लेकिन यह भी प्रदान करने में सक्षम है   जानकारी पीसीआई मानकों के खिलाफ और दोनों का उल्लंघन होगा   सूचना सुरक्षा अधिनियम।
  पीसीआई आवश्यकताओं को उद्धृत करने के लिए,

8.4 ट्रांसमिशन और स्टोरेज के दौरान सभी पासवर्ड अपठनीय प्रस्तुत करें   मजबूत क्रिप्टोग्राफी का उपयोग कर सभी सिस्टम घटक।

मैं आपको प्रदान कर सकता हूँ   हमारे सिस्टम पर उपयोग किए गए उपयोगकर्ता नामों और शेड पासवर्ड की एक सूची के साथ,   एसएसएच सार्वजनिक कुंजी और अधिकृत मेजबान फ़ाइल की प्रतियां (यह होगा   अद्वितीय उपयोगकर्ताओं की संख्या निर्धारित करने के लिए आपको पर्याप्त जानकारी दें   हमारे सर्वर से कनेक्ट कर सकते हैं, और एन्क्रिप्शन विधियों का इस्तेमाल किया जा सकता है)   हमारी पासवर्ड सुरक्षा आवश्यकताओं और हमारे एलडीएपी के बारे में जानकारी   सर्वर लेकिन यह जानकारी साइट से नहीं ली जा सकती है। मैं दृढ़ता से   सुझाव है कि आप अपनी लेखापरीक्षा आवश्यकताओं की समीक्षा करें क्योंकि वर्तमान में कोई रास्ता नहीं है   पीसीआई के अनुपालन में शेष रहते हुए हमारे लिए इस लेखापरीक्षा को पास करने के लिए   सूचना सुरक्षा अधिनियम।

सादर,
  [मुझे]

मैं कंपनी के सीटीओ और हमारे खाता प्रबंधक में सीसीइंग करूँगा, और मुझे उम्मीद है कि सीटीओ यह पुष्टि कर सकता है कि यह जानकारी उपलब्ध नहीं है। मैं पीसीआई सिक्योरिटी स्टैंडर्ड काउंसिल से भी यह बताने के लिए संपर्क करूँगा कि उसे हमसे क्या चाहिए।

अद्यतन 3 (26 वां)

यहां कुछ ईमेल दिए गए हैं जिनका हमने आदान-प्रदान किया था;

आरई: मेरा पहला ईमेल;

जैसा कि समझाया गया है, यह जानकारी किसी भी कुएं पर आसानी से उपलब्ध होनी चाहिए   किसी भी सक्षम प्रशासक को बनाए रखा सिस्टम। आपकी विफलता होनी चाहिए   इस जानकारी को प्रदान करने में सक्षम मुझे विश्वास दिलाता है कि आप जानते हैं   आपके सिस्टम में सुरक्षा त्रुटियां और उन्हें प्रकट करने के लिए तैयार नहीं हैं। हमारी   पीसीआई दिशानिर्देशों के साथ लाइन अनुरोध करता है और दोनों को पूरा किया जा सकता है। बलवान   क्रिप्टोग्राफी का मतलब केवल उपयोगकर्ता को पासवर्ड के दौरान एन्क्रिप्ट किया जाना चाहिए   उन्हें इनपुट कर रहा है लेकिन फिर उन्हें पुनर्प्राप्त करने योग्य प्रारूप में ले जाना चाहिए   बाद में उपयोग के लिए।

मुझे इन अनुरोधों के लिए केवल डेटा संरक्षण समस्याएं नहीं दिखाई देती हैं, केवल डेटा सुरक्षा   उपभोक्ताओं को व्यवसायों पर लागू नहीं होता है, इसलिए इसमें कोई समस्या नहीं होनी चाहिए   जानकारी।

बस, क्या, मैं नहीं कर सकता, यहां तक ​​कि ...

"मजबूत क्रिप्टोग्राफी का मतलब है कि पासवर्ड को एन्क्रिप्ट किया जाना चाहिए   उपयोगकर्ता उन्हें इनपुट कर रहा है लेकिन फिर उन्हें एक स्थानांतरित किया जाना चाहिए   बाद के उपयोग के लिए वसूली योग्य प्रारूप। "

मैं इसे फ्रेम करने जा रहा हूं और इसे अपनी दीवार पर रखूंगा।

मैं राजनयिक होने से तंग आ गया और उसे इस धागे को निर्देशित किया कि उसे वह प्रतिक्रिया दिखाएं जो मुझे मिली:

इस जानकारी को प्रदान करना प्रत्यक्ष रूप से कई आवश्यकताओं का विरोध करता है   पीसीआई दिशानिर्देशों का। मैंने जो खंड उद्धृत किया है वह भी कहता है storage   (जहां हम डिस्क पर डेटा स्टोर करते हैं)। मैंने एक शुरू किया   ServerFault.com पर चर्चा (sys-admin के लिए एक ऑनलाइन समुदाय   पेशेवर) जिसने एक बड़ी प्रतिक्रिया बनाई है, सभी इसका सुझाव देते हैं   जानकारी प्रदान नहीं की जा सकती है। अपने आप को पढ़ने के लिए स्वतंत्र महसूस करें

https और पेट // serverfault.com / प्रश्न / 293,217 /

हमने अपने सिस्टम को एक नए मंच पर ले जाना समाप्त कर दिया है और होगा   अगले दिन या तो मैं आपके साथ अपने खाते को रद्द कर रहा हूं लेकिन मैं चाहता हूं   आप यह समझने के लिए कि ये अनुरोध कितने हास्यास्पद हैं, और कोई कंपनी नहीं है   पीसीआई दिशानिर्देशों को सही ढंग से कार्यान्वित करने में सक्षम होना चाहिए या करना चाहिए   यह जानकारी प्रदान करें। मैं दृढ़ता से सुझाव देता हूं कि आप फिर से सोचें   सुरक्षा आवश्यकताओं क्योंकि आपके ग्राहकों में से कोई भी सक्षम नहीं होना चाहिए   इसके अनुरूप है।

(मैं वास्तव में भूल गया था कि मैं उसे शीर्षक में बेवकूफ कहूंगा, लेकिन जैसा कि बताया गया है कि हम पहले से ही अपने मंच से दूर चले गए हैं, इसलिए कोई वास्तविक नुकसान नहीं है।)

और उनकी प्रतिक्रिया में, उन्होंने कहा कि स्पष्ट रूप से आप में से कोई भी नहीं जानता कि आप किस बारे में बात कर रहे हैं:

मैंने उन प्रतिक्रियाओं और आपकी मूल पोस्ट के माध्यम से विस्तार से पढ़ा है   उत्तरदाताओं को सभी को अपने तथ्यों को सही करने की आवश्यकता है। मैं इसमें रहा हूँ   उस साइट पर किसी से भी अधिक उद्योग, उपयोगकर्ता की एक सूची प्राप्त करना   खाता पासवर्ड अविश्वसनीय रूप से बुनियादी है, यह पहले में से एक होना चाहिए   आपके सिस्टम को सुरक्षित करने के तरीके सीखने के दौरान आप जो चीजें करते हैं और आवश्यक है   किसी भी सुरक्षित सर्वर के संचालन के लिए। यदि आप वास्तव में कमी करते हैं   कुछ आसान करने के लिए कौशल मैं यह मानने जा रहा हूं कि आपके पास नहीं है   पीसीआई आपके सर्वर पर इसे पुनर्प्राप्त करने में सक्षम होने के रूप में स्थापित है   जानकारी सॉफ्टवेयर की एक बुनियादी आवश्यकता है। जब से निपटने के लिए   सुरक्षा जैसे कुछ आपको इन प्रश्नों पर नहीं पूछना चाहिए   एक सार्वजनिक मंच यदि आपके पास कोई बुनियादी ज्ञान नहीं है कि यह कैसे काम करता है।

मैं यह भी सुझाव देना चाहूंगा कि मुझे प्रकट करने का कोई प्रयास, या   [कंपनी का नाम] अपमानजनक और उचित कानूनी कार्रवाई माना जाएगा   रख लिया जायेगा

यदि आप उन्हें याद करते हैं तो मुख्य बेवकूफ अंक:

  • वह यहां किसी और की तुलना में एक सुरक्षा लेखा परीक्षक रहा है (वह या तो अनुमान लगा रहा है, या आपको पीछा कर रहा है)
  • यूनिक्स सिस्टम पर पासवर्ड की सूची प्राप्त करने में सक्षम होने के नाते 'मूल' है
  • पीसीआई अब सॉफ्टवेयर है
  • लोगों को सुरक्षा का यकीन नहीं होने पर मंचों का उपयोग नहीं करना चाहिए
  • तथ्यात्मक जानकारी (जिसमें मेरे पास ईमेल प्रमाण है) ऑनलाइन प्रस्तुत करना अपमानजनक है

अति उत्कृष्ट।

पीसीआई एसएससी ने जवाब दिया है और उसे और कंपनी की जांच कर रहे हैं। हमारा सॉफ्टवेयर अब पेपैल पर चले गए हैं, इसलिए हम जानते हैं कि यह सुरक्षित है। मैं पीसीआई के लिए पहले वापस आने के लिए इंतजार कर रहा हूं लेकिन मुझे थोड़ा चिंता हो रही है कि वे आंतरिक रूप से इन सुरक्षा प्रथाओं का उपयोग कर रहे हैं। यदि ऐसा है, तो मुझे लगता है कि यह हमारे लिए एक बड़ी चिंता है क्योंकि हमारे सभी कार्ड प्रसंस्करण उनके माध्यम से चलते हैं। अगर वे आंतरिक रूप से ऐसा कर रहे थे तो मुझे लगता है कि करने के लिए केवल एक ही जिम्मेदार चीज हमारे ग्राहकों को सूचित करना होगा।

मुझे आशा है कि पीसीआई को एहसास होगा कि यह कितना बुरा है कि वे पूरी कंपनी और सिस्टम की जांच करेंगे लेकिन मुझे यकीन नहीं है।

तो अब हम अपने मंच से दूर चले गए हैं, और यह मानते हुए कि पीसीआई मुझे वापस आने से कम से कम कुछ दिन पहले, उसे थोड़ा सा ट्रॉल करने के लिए कोई आविष्कारशील सुझाव होगा? =)

एक बार मुझे अपने कानूनी व्यक्ति से मंजूरी मिल गई (मुझे संदेह है कि इनमें से कोई भी वास्तव में अपमानजनक है लेकिन मैं दोबारा जांच करना चाहता था) मैं कंपनी का नाम, उसका नाम और ईमेल प्रकाशित करूंगा, और यदि आप चाहें तो आप उससे संपर्क कर सकते हैं और समझा सकते हैं आप लिनक्स सुरक्षा की मूल बातें क्यों समझते हैं जैसे सभी एलडीएपी उपयोगकर्ताओं के पासवर्ड की सूची कैसे प्राप्त करें।

थोड़ा अपडेट:

मेरा "कानूनी लड़का" ने खुलासा किया है कि कंपनी को आवश्यकतानुसार अधिक समस्याएं पैदा होंगी। हालांकि मैं कह सकता हूं, यह एक प्रमुख प्रदाता नहीं है, उनके पास इस सेवा का उपयोग कर कम 100 ग्राहक हैं। जब मूल साइट छोटी थी और थोड़ी वीपीएस पर चल रही थी तो हमने मूल रूप से उनका उपयोग करना शुरू कर दिया था, और हम पीसीआई प्राप्त करने के सभी प्रयासों से गुजरना नहीं चाहते थे (हम पेपैल मानक की तरह उनके अग्रभाग पर रीडायरेक्ट करते थे)। लेकिन जब हम सीधे प्रसंस्करण कार्ड (पीसीआई और सामान्य ज्ञान सहित) में स्थानांतरित हो गए, तो देवों ने एक ही कंपनी का उपयोग एक अलग एपीआई का उपयोग करने का फैसला किया। कंपनी बर्मिंघम, यूके क्षेत्र में स्थित है, इसलिए मुझे संदेह होगा कि यहां कोई भी प्रभावित होगा।


2253
2017-07-22 22:44


मूल


उसे जानकारी देने के लिए आपके पास दो सप्ताह हैं, और क्रेडिट कार्ड को संसाधित करने वाले कहीं और स्थानांतरित होने में दो सप्ताह लगते हैं। परेशान न करें - अब आगे बढ़ने का निर्णय लें और ऑडिट छोड़ दें। - Scrivener
कृपया, इस पर क्या होता है इस पर अपडेट करें। मुझे यह देखने के लिए अनुकूल लगा है कि ऑडिटर कैसे स्पैंक हो जाता है। =) यदि मैं आपको जानता हूं, तो मुझे अपनी प्रोफ़ाइल में पते पर ईमेल करें। - Wesley
यह देखने के लिए कि आप वास्तव में बेवकूफ हैं या नहीं, उसे परीक्षण करना चाहिए। सही? मुझे आशा है... - Joe Phillips
मैं उन अन्य कंपनियों के लिए कुछ संदर्भ जानना चाहता हूं जिनके बारे में उन्होंने ऑडिट किया है। अगर यह जानने के लिए कोई अन्य कारण नहीं है कि कौन है से बचने। Plaintext पासवर्ड ... वास्तव में? क्या आप वाकई इस आदमी के पास ब्लैक टोपी और सोशल इंजीनियरिंग बेवकूफ कंपनियां महीनों तक अपने उपयोगकर्ता पासवर्ड को सौंपने में सक्षम नहीं हैं? क्योंकि अगर कंपनियां उसके साथ ऐसा कर रही हैं तो यह सिर्फ चाबियाँ सौंपने का एक शानदार तरीका है ... - Bart Silverstrim
किसी भी पर्याप्त उन्नत अक्षमता दुर्भाग्य से अलग नहीं है - Jeremy French


जवाब:


सबसे पहले, नकल मत करो। वह न केवल मूर्ख है बल्कि खतरनाक है। वास्तव में, इस जानकारी को जारी करना होगा का उल्लंघन पीसीआई मानक (जो मैं ऑडिट कर रहा हूं वह है क्योंकि यह एक भुगतान प्रोसेसर है) साथ ही हर दूसरे मानक के साथ और केवल सामान्य सामान्य ज्ञान है। यह आपकी कंपनी को सभी प्रकार की देनदारियों के सामने भी उजागर करेगा।

अगली बात जो मैं करूँगा वह आपके मालिक को एक ईमेल भेजती है कि उसे इस कार्रवाई के साथ आगे बढ़कर कंपनी के कानूनी जोखिम को निर्धारित करने के लिए शामिल कॉर्पोरेट वकील को शामिल करने की आवश्यकता है।

यह आखिरी बिट आप पर निर्भर है, लेकिन मैं इस जानकारी के साथ वीज़ा से संपर्क करेंगे और पीसीआई ऑडिटर की स्थिति खींच लेंगे।


1171
2017-07-22 23:27



आपने मुझे इसमें हरा दिया! यह एक अवैध अनुरोध है। प्रोसेसर के अनुरोध की ऑडिट करने के लिए पीसीआई क्यूएसए प्राप्त करें। उसे फोन कॉल पर ले जाएं। वैगन सर्कल। "बंदूकों के लिए चार्ज!" - Wesley
"अपने पीसीआई ऑडिटर की स्थिति को खींच लिया" मुझे नहीं पता कि इसका क्या मतलब है ... लेकिन जो भी अधिकार इस जोकर है (ऑडिटर) स्पष्ट रूप से गीले क्रैकर जैक बॉक्स से आया है और इसे रद्द करने की जरूरत है। +1 - WernerCD
यह सब मानते हैं कि यह साथी वास्तव में एक वैध लेखा परीक्षक है ... वह मुझे बहुत संदिग्ध लगता है। - Reid
मैं सहमत हूँ -- suspicious auditor, या वह एक वैध लेखा परीक्षक है जो देख रहा है कि क्या आप इनमें से किसी भी चीज को करने के लिए पर्याप्त मूर्ख हैं। पूछें कि उसे इस जानकारी की आवश्यकता क्यों है। बस पासवर्ड पर विचार करें, जो कभी सादा पाठ नहीं होना चाहिए, लेकिन किसी एक तरह से एन्क्रिप्शन (हैश) के पीछे होना चाहिए। हो सकता है कि उसके पास कुछ वैध कारण हो, लेकिन उसके सभी "अनुभव" के साथ वह आवश्यक जानकारी प्राप्त करने में आपकी सहायता कर सके। - vol7ron
यह खतरनाक क्यों है? सभी सादे पाठ पासवर्ड की एक सूची - कोई भी नहीं होना चाहिए। यदि सूची खाली नहीं है, तो उसके पास एक वैध बिंदु है। एमएसओटी चीजों के लिए भी चला जाता है। यदि आपके पास नहीं है क्योंकि वे वहां नहीं हैं। रिमोट फाइलें जोड़ी गई - वह ऑडिटींग का हिस्सा है। पता नहीं - एक प्रणाली में डालना शुरू करें जो जानता है। - TomTom


किसी ऐसे व्यक्ति के रूप में जो लेखा परीक्षा प्रक्रिया के माध्यम से किया गया है मूल्य वाटरहाउस कूपर्स एक वर्गीकृत सरकारी अनुबंध के लिए, मैं आपको आश्वस्त कर सकता हूं, यह पूरी तरह से सवाल से बाहर है और यह आदमी पागल है।

जब पीडब्ल्यूसी हमारी पासवर्ड ताकत की जांच करना चाहता था तो वे:

  • हमारे पासवर्ड ताकत एल्गोरिदम देखने के लिए कहा
  • हमारे एल्गोरिदम के खिलाफ रैन टेस्ट इकाइयों को यह जांचने के लिए कि वे खराब पासवर्ड अस्वीकार करेंगे
  • यह सुनिश्चित करने के लिए हमारे एन्क्रिप्शन एल्गोरिदम को देखने के लिए कहा गया कि उन्हें किसी भी व्यक्ति द्वारा रिवर्स या अन-एन्क्रिप्टेड (इंद्रधनुष तालिकाओं द्वारा भी) नहीं किया जा सकता था, जिसने सिस्टम के हर पहलू तक पूर्ण पहुंच प्राप्त की थी
  • यह देखने के लिए जांच की गई कि पिछले पासवर्ड को कैश किया गया था ताकि यह सुनिश्चित किया जा सके कि उनका पुन: उपयोग नहीं किया जा सके
  • गैर-सोशल इंजीनियरिंग तकनीकों (एक्सएसएस और गैर-दिन के शोषण जैसी चीजों) का उपयोग करके नेटवर्क और संबंधित सिस्टम में तोड़ने का प्रयास करने के लिए हमें अनुमति (जिसे हमने दिया) के लिए हमें पूछे जाने के लिए कहा

अगर मैंने यह भी संकेत दिया था कि मैं उन्हें दिखा सकता हूं कि पिछले 6 महीनों में उपयोगकर्ता के पासवर्ड क्या थे, तो वे हमें तुरंत अनुबंध से बाहर कर देते थे।

अगर यह संभव थे इन आवश्यकताओं को प्रदान करने के लिए, आप करेंगे तुरंत असफल होने वाले प्रत्येक लेखापरीक्षा।


अपडेट करें: आपका प्रतिक्रिया ईमेल अच्छा दिखता है। मैंने जो भी लिखा होगा उससे कहीं अधिक पेशेवर।


813
2017-07-23 02:34



+1। समझदार quesstions की तरह लग रहा है कि उत्तरदायी नहीं होना चाहिए। यदि आप उनका उत्तर दे सकते हैं तो आपके पास एक बेवकूफ सुरक्षा समस्या है। - TomTom
even by rainbow tables क्या वह एनटीएलएम से बाहर नहीं निकलता है? मेरा मतलब है, यह नमकीन नहीं है ... AFAICR एमआईटी केर्बेरोज ने सक्रिय पासवर्ड एन्क्रिप्ट नहीं किया है या नहीं है, यह नहीं पता कि वर्तमान स्थिति क्या है - Hubert Kario
@ हबर्ट - हम एनटीएलएम या केर्बेरो का उपयोग नहीं कर रहे थे क्योंकि पास-थ्रू प्रमाणीकरण विधियों पर प्रतिबंध लगा दिया गया था और सेवा को सक्रिय निर्देशिका के साथ एकीकृत नहीं किया गया था। अन्यथा हम उन्हें हमारे एल्गोरिदम भी नहीं दिखा सकते थे (वे ओएस में बनाए गए हैं)। उल्लेख किया जाना चाहिए - यह आवेदन-स्तर की सुरक्षा थी, न कि ओएस स्तर की लेखा परीक्षा। - Mark Henderson♦
@tandu - वर्गीकरण के स्तर के लिए विनिर्देशों के अनुसार यही कहा गया है। लोगों को अपने आखिरी बार फिर से उपयोग करने से रोकने के लिए भी काफी आम है n पासवर्ड, क्योंकि यह लोगों को केवल दो या तीन सामान्य रूप से उपयोग किए जाने वाले पासवर्ड के माध्यम से साइकिल चलाने से रोकता है, जो समान सामान्य पासवर्ड का उपयोग करने के समान ही असुरक्षित है। - Mark Henderson♦
@ स्लार्टिबार्टफास्ट: लेकिन पासवर्ड के सादा पाठ को जानने का मतलब है कि हमलावर आपके डेटाबेस में भी टूट सकता है और सादे दृष्टि में सबकुछ वापस ले सकता है। समान पासवर्ड का उपयोग करने के खिलाफ सुरक्षा के लिए, क्लाइंट पक्ष में जावास्क्रिप्ट में किया जा सकता है, जब उपयोगकर्ता पासवर्ड बदलने का प्रयास कर रहा है, तो पुराने पासवर्ड से पूछें और सर्वर पर नया पासवर्ड पोस्ट करने से पहले पुराने पासवर्ड के साथ समानता तुलना करें। अनुमोदित, यह केवल 1 अंतिम पासवर्ड से पुन: उपयोग को रोक सकता है, लेकिन आईएमओ सादा पाठ में पासवर्ड संग्रहीत करने का जोखिम बहुत अधिक है। - Lie Ryan


ईमानदारी से, ऐसा लगता है कि इस आदमी (लेखा परीक्षक) आपको स्थापित कर रहा है। यदि आप उसे वह जानकारी देते हैं जो वह पूछ रहा है, तो आपने उसे साबित कर दिया है कि महत्वपूर्ण आंतरिक जानकारी देने के लिए आपको सामाजिक रूप से इंजीनियर किया जा सकता है। असमर्थ रहे हैं।


440
2017-07-22 23:40



क्या, क्या आपने googleize भुगतान प्रोसेसर को अधिकृत किया है, जैसे authorize.net? जिस कंपनी के लिए मैं काम करता हूं वह उनके माध्यम से क्रेडिट कार्ड लेनदेन की बहुत बड़ी मात्रा में काम करता है। हमें किसी भी ग्राहक भुगतान जानकारी को स्टोर करने की ज़रूरत नहीं है - authorize.net इसका प्रबंधन करता है - इसलिए चीजों को जटिल करने के लिए हमारे सिस्टम का कोई ऑडिट नहीं है। - anastrophe
यह वही है जो मैंने सोचा था कि क्या हो रहा था। सोशल इंजीनियरिंग शायद इस जानकारी को पाने का सबसे आसान तरीका है और मुझे लगता है कि वह उस छेड़छाड़ का परीक्षण कर रहा है। यह लड़का या तो बहुत बुद्धिमान या बहुत गूंगा है - Joe Phillips
यह स्थिति कम से कम सबसे उचित पहला कदम है। उसे बताओ कि आप कानूनों / नियमों को तोड़ देंगे / जो कुछ भी कर रहे हैं, लेकिन आप उसकी गुमराह की सराहना करते हैं। - michael
बेवकूफ सवाल: इस स्थिति में स्वीकार्य "स्थापित" है? सामान्य तर्क मुझे बताता है कि एक ऑडिट प्रक्रिया "चाल" से नहीं बननी चाहिए। - Agos
@ एगोस: मैंने कुछ साल पहले एक जगह पर काम किया था जिसने एक एजेंसी को ऑडिट करने के लिए काम पर रखा था। लेखापरीक्षा के एक हिस्से में "<सीआईओ> के साथ कंपनी में यादृच्छिक लोगों को कॉल करने के लिए मुझे कॉल करने और आपके लॉगिन प्रमाण-पत्र प्राप्त करने के लिए कहा गया ताकि मैं <कुछ कर सकूं।" न केवल वे यह देखने के लिए जांच कर रहे थे कि आप वास्तव में प्रमाण-पत्र नहीं छोड़ेंगे, लेकिन एक बार जब आप उन पर लटकाएंगे तो आपको तुरंत <सीआईओ> या <सुरक्षा व्यवस्थापक> को कॉल करना होगा और इंटरचेंज की रिपोर्ट करना होगा। - Toby


मैंने अभी देखा है कि आप यूके में हैं, जिसका अर्थ है कि वह आपको जो करने के लिए कह रहा है वह कानून तोड़ना है (वास्तव में डेटा संरक्षण अधिनियम)। मैं ब्रिटेन में भी हूं, एक बड़ी भारी लेखापरीक्षित कंपनी के लिए काम करता हूं और इस क्षेत्र के आसपास कानून और सामान्य प्रथाओं को जानता हूं। मैं भी काम का एक बहुत ही बुरा टुकड़ा हूं जो इस लड़के को खुशी से दबाएगा यदि आप इसे मजाक के लिए पसंद करते हैं, तो मुझे बताएं कि क्या आप ठीक मदद करना चाहते हैं।


335
2017-07-23 07:01



मान लीजिए कि उन सर्वरों पर कोई व्यक्तिगत जानकारी है, मुझे लगता है कि दिखाए गए अक्षमता के इस स्तर के साथ सादे पाठ में पहुंच के लिए प्रमाण पत्र / सभी / प्रमाण पत्र सौंपना सिद्धांत 7 का स्पष्ट उल्लंघन होगा ... ("उचित तकनीकी और संगठनात्मक उपायों व्यक्तिगत डेटा की अनधिकृत या गैरकानूनी प्रसंस्करण और आकस्मिक हानि या विनाश के खिलाफ, या व्यक्तिगत डेटा को नुकसान पहुंचाने के खिलाफ लिया जाएगा। ") - Stephen Veiss
मुझे लगता है कि यह एक उचित धारणा है - यदि आप भुगतान जानकारी संग्रहीत कर रहे हैं, तो आप शायद अपने उपयोगकर्ताओं के लिए संपर्क जानकारी भी संग्रहीत कर रहे हैं। अगर मैं ओपी की स्थिति में था, तो मैं देखता हूं कि "आप मुझसे क्या पूछ रहे हैं न केवल नीति और अनुबंध संबंधी दायित्वों को तोड़ता है [पीसीआई का अनुपालन करने के लिए], लेकिन यह भी अवैध है" नीति और पीसीआई का जिक्र करने के बजाय एक मजबूत तर्क के रूप में । - Stephen Veiss
@ जिमी पासवर्ड क्यों व्यक्तिगत डेटा नहीं होगा? - robertc
@ रिचर्ड, आपको पता है कि यह एक रूपक सही था? - Chopper3
@ चोपपर 3 हां, मुझे अभी भी लगता है कि यह अनुचित है। इसके अलावा, मैं AviD का सामना कर रहा हूँ। - Richard Gadsden


आप सामाजिक रूप से इंजीनियर हो रहे हैं। या तो इसे 'परीक्षण करें' या उसके पास एक बहुत ही उपयोगी डेटा प्राप्त करने के लिए ऑडिटर के रूप में प्रस्तुत एक हैकर।


271
2017-07-23 09:20



यह शीर्ष जवाब क्यों नहीं है? क्या यह समुदाय के बारे में कुछ कहता है, सोशल इंजीनियरिंग की आसानी, या क्या मुझे कुछ मौलिक याद आ रही है? - Paul
दुर्भाग्य को जिम्मेदार ठहराया जा सकता है जो दुर्भाग्य को जिम्मेदार ठहराया जा सकता है - aldrinleal
जब ऑडिटर पेशेवर होने का दावा करता है, तो उन सभी अनुरोधों को अज्ञानता के लिए जिम्मेदार ठहराते हुए, कल्पना को थोड़ा सा फैलाता है। - Thomas K
इस सिद्धांत के साथ समस्या यह है कि, भले ही वह "इसके लिए गिर गया" या "परीक्षण में असफल रहा," वह भी नहीं कर सका उसे जानकारी दें क्योंकि यह है असंभव..... - eds
मेरा सबसे अच्छा अनुमान 'गंभीर सामाजिक इंजीनियरिंग' भी है (क्या यह एक संयोग है कि नई केविन मिटनिक पुस्तक जल्द ही बाहर आ रही है?), इस मामले में आपकी भुगतान फर्म आश्चर्यचकित होगी (क्या आपने अभी तक इस 'ऑडिट' के बारे में उनके साथ जांच की है?) । दूसरा विकल्प एक बहुत ही रूकी ऑडिटर है जिसमें लिनक्स ज्ञान नहीं है, जिसने ब्लफिंग करने की कोशिश की और अब उसे गहरी, गहरी और गहरी में खोद रहा है। - Koos van den Hout


नैतिक समस्या निवारण कौशल की ओपी की कमी के बारे में मैं गंभीरता से चिंतित हूं तथा नैतिक आचरण के इस स्पष्ट उल्लंघन को अनदेखा करते हुए सर्वर गलती समुदाय।

संक्षेप में, मुझे चाहिए;

  • 'नकली' छह महीने के पासवर्ड परिवर्तन के लिए एक तरीका है और इसे वैध दिखता है
  • छह महीने के इनबाउंड फ़ाइल स्थानान्तरण 'नकली' का एक तरीका

मुझे दो बिंदुओं पर स्पष्ट होने दो:

  1. सामान्य व्यापार के दौरान डेटा को गलत साबित करना कभी भी उचित नहीं होता है।
  2. आपको इस तरह की जानकारी किसी को भी प्रकट नहीं करना चाहिए। कभी।

रिकॉर्ड्स को गलत साबित करना आपका काम नहीं है। यह सुनिश्चित करना आपका काम है कि कोई भी आवश्यक रिकॉर्ड उपलब्ध, सटीक और सुरक्षित है।

यहां सर्वर फॉल्ट पर समुदाय जरूर इस तरह के प्रश्नों का इलाज करें क्योंकि स्टैक ओवरफ्लो साइट "होमवर्क" प्रश्नों का इलाज करती है। आप इन मुद्दों को केवल तकनीकी प्रतिक्रिया के साथ संबोधित नहीं कर सकते हैं या नैतिक जिम्मेदारी के उल्लंघन को अनदेखा कर सकते हैं।

इस धागे में इतने सारे उच्च-प्रतिनिधि उपयोगकर्ताओं को यहां जवाब दिया गया है और प्रश्न के नैतिक प्रभावों का कोई उल्लेख मुझे परेशान नहीं करता है।

मैं सभी को पढ़ने के लिए प्रोत्साहित करता हूं एसएजी सिस्टम प्रशासक 'आचार संहिता 

बीटीडब्ल्यू, आपका सुरक्षा लेखा परीक्षक बेवकूफ़ है, लेकिन इसका मतलब यह नहीं है कि आपको अपने काम में अनैतिक होने का दबाव महसूस करने की आवश्यकता है।

संपादित करें: आपके अपडेट अमूल्य हैं। अपने सिर को नीचे रखें, अपने पाउडर को सूखा रखें, और किसी भी लकड़ी के निकल न लें (या दें)।


266
2017-07-24 20:05



मैं असहमत हूं। "ऑडिटर" ओपी को जानकारी देने में ओपी धमका रहा था जो संगठन की पूरी आईटी सुरक्षा को कमजोर कर देगा। किसी भी परिस्थिति में ओपी को उन रिकॉर्ड उत्पन्न नहीं करना चाहिए और उन्हें किसी को भी प्रदान करना चाहिए। ओपी नकली रिकॉर्ड नहीं होना चाहिए; उन्हें आसानी से नकली माना जा सकता है। ओपी को उच्च-अप को समझाया जाना चाहिए क्यों सुरक्षा लेखा परीक्षकों की मांग दुर्भावनापूर्ण इरादे या पूरी अक्षमता (सादा पाठ में ईमेल पासवर्ड) के माध्यम से एक खतरा है। ओपी को सुरक्षा लेखा परीक्षक की तत्काल समाप्ति और पूर्व लेखा परीक्षक की अन्य गतिविधियों में पूर्ण जांच की सिफारिश करनी चाहिए। - dr jimbob
डॉ जिम्बोब, मुझे लगता है कि आप इस बिंदु को याद कर रहे हैं: "ओपी को फर्जी रिकॉर्ड नहीं होना चाहिए; उन्हें आसानी से नकली माना जा सकता है।" अभी भी एक अनैतिक स्थिति है क्योंकि आप सुझाव दे रहे हैं कि उन्हें केवल डेटा को गलत साबित करना चाहिए जब इसे सही डेटा से अलग नहीं किया जा सकता है। झूठा डेटा भेजना अनैतिक है। किसी तीसरे पक्ष को अपने उपयोगकर्ताओं के पासवर्ड भेजना लापरवाही है। इसलिए हम इस बात से सहमत हैं कि इस स्थिति के बारे में कुछ करने की जरूरत है। मैं इस समस्या को हल करने में महत्वपूर्ण नैतिक सोच की कमी पर टिप्पणी कर रहा हूं। - Joseph Kern
मैं इस बात से असहमत हूं कि यह सुनिश्चित करना आपका काम है कि वे रिकॉर्ड उपलब्ध हैं, सटीक और सुरक्षित हैं। " आपके सिस्टम को सुरक्षित रखने के लिए आपके पास ज़िम्मेदारी है; अनुचित अनुरोध (जैसे स्टोर और साझा सादे टेक्स्ट पासवर्ड) अगर वे सिस्टम समझौता करते हैं तो नहीं किया जाना चाहिए। सादे टेक्स्ट पासवर्ड को संग्रहीत करना, रिकॉर्ड करना और साझा करना आपके उपयोगकर्ताओं के साथ विश्वास का एक बड़ा उल्लंघन है। यह एक बड़ा लाल झंडा सुरक्षा खतरा है। सुरक्षा लेखापरीक्षा सादे टेक्स्ट पासवर्ड / एसएसएच निजी कुंजी को उजागर किए बिना किया जा सकता है और किया जाना चाहिए; और आपको उच्च अप्स को इस मुद्दे को जानने और हल करने देना चाहिए। - dr jimbob
डॉ जिम्बोब, मुझे लगता है कि हम रात में दो जहाज गुजर रहे हैं। मैं जो कुछ कह रहा हूं उससे सहमत हूं; मैंने इन बिंदुओं को स्पष्ट रूप से पर्याप्त रूप से पर्याप्त नहीं किया होगा। मैं उपरोक्त अपनी प्रारंभिक प्रतिक्रिया संशोधित करूंगा। मैं थ्रेड के संदर्भ पर बहुत भारी निर्भर था। - Joseph Kern
@ जोसेफ कर्न, मैंने ओपी को अपने जैसा ही नहीं पढ़ा। मैंने इसे और अधिक पढ़ा है क्योंकि मैं छह महीने का डेटा कैसे बना सकता हूं जिसे हमने कभी नहीं रखा था। निश्चित रूप से, मैं मानता हूं कि इस आवश्यकता को पूरा करने की कोशिश करने के अधिकांश तरीके धोखेबाज होंगे। हालांकि, क्या मैं अपना पासवर्ड डेटाबेस लेना चाहता था और पिछले 6 महीनों के लिए टाइमस्टैम्प निकालने के लिए मैं एक रिकॉर्ड बना सकता था कि अभी भी कौन से बदलाव संरक्षित किए गए थे। मैं मानता हूं कि डेटा को 'फ़िकिंग' के रूप में कुछ डेटा खो गया है। - user179700


आप उसे वह नहीं दे सकते जो आप चाहते हैं, और "नकली" करने का प्रयास आपको गधे में (संभवतः कानूनी तरीकों से) काटने के लिए वापस आने की संभावना है। आपको या तो कमांड की श्रृंखला अपील करने की आवश्यकता है (यह संभव है कि यह ऑडिटर खराब हो गया हो, हालांकि सुरक्षा लेखा परीक्षा कुख्यात रूप से बेवकूफ है - मुझे ऑडिटर के बारे में पूछें जो एसएमबी के माध्यम से एएस / 400 तक पहुंचने में सक्षम होना चाहता था), या नरक प्राप्त करें इन जबरदस्त आवश्यकताओं के नीचे से बाहर।

वे भी अच्छी सुरक्षा नहीं हैं - सभी सादे टेक्स्ट पासवर्ड की एक सूची है अविश्वसनीय रूप से खतरनाक बात है कभी उत्पादन, उन्हें बचाने के लिए उपयोग की जाने वाली विधियों के बावजूद, और मैं शर्त लगाऊंगा कि यह झटका उन्हें सादा पाठ में ई-मेल करेगा। (मुझे यकीन है कि आप इसे पहले से ही जानते हैं, मुझे बस थोड़ा सा भागना है)।

Shits और giggles के लिए, उसे सीधे पूछें कि उसकी आवश्यकताओं को कैसे कार्यान्वित करें - स्वीकार करें कि आप नहीं जानते कि कैसे, और अपने अनुभव का लाभ उठाना चाहते हैं। एक बार जब आप बाहर निकल जाएंगे, तो "मेरे पास सुरक्षा लेखा परीक्षा में 10 से अधिक वर्षों का अनुभव है" का जवाब होगा "नहीं, आपके पास सैकड़ों बार बार-बार अनुभव का 5 मिनट का अनुभव है"।


232
2017-07-22 23:00



... एक लेखा परीक्षक जो एसएमबी के माध्यम से एएस / 400 तक पहुंच चाहता था? ... क्यों? - Bart Silverstrim
पीसीआई अनुपालन कंपनियों के साथ मैंने कितनी बार परेशानी की है, कंबल आईसीएमपी फ़िल्टरिंग के खिलाफ बहस कर रहा है, और केवल गूंज को अवरुद्ध कर रहा है। आईसीएमपी बहुत अच्छे कारण के लिए है, लेकिन यह समझाने के लिए असंभव है कि कई 'स्क्रिप्ट से काम करने वाले' लेखा परीक्षकों के लिए। - Twirrim
@ BartSilverstrim शायद चेक-सूची ऑडिटिंग का मामला। एक लेखा परीक्षक ने मुझे एक बार बताया - ऑडिटर सड़क पार क्यों किया? क्योंकि पिछले साल उन्होंने यही किया था। - Scott Pack
मुझे पता है कि यह करने योग्य है, असली "डब्ल्यूटीएफ?" यह तथ्य था कि ऑडिटर ने माना कि मशीन एसएमबी के माध्यम से हमलों के लिए कमजोर थी जब तक वह एसएमबी के माध्यम से कनेक्ट नहीं हो सकता ... - womble♦
"आपके पास 5 मिनट का अनुभव बार-बार दोहराया गया है" --- ओह, यह सीधे मेरे उद्धरण संग्रह में जा रहा है! : डी - Tasos Papastylianou


यदि कोई ऐतिहासिक समस्या है जिसे आपने अभी तय कर लिया है तो कोई ऑडिटर आपको असफल नहीं कर सकता है। वास्तव में, यह अच्छा व्यवहार का सबूत है। इसे ध्यान में रखते हुए, मैं दो चीजों का सुझाव देता हूं:

ए) झूठ मत बोलो या सामान बनाओ। बी) अपनी नीतियों को पढ़ें।

मेरे लिए मुख्य बयान यह है:

सभी [जेनेरिक क्रेडिट कार्ड प्रसंस्करण प्रदाता] ग्राहकों को हमारी नई सुरक्षा नीतियों के अनुरूप होना आवश्यक है

मैं शर्त लगाता हूं कि उन नीतियों में एक बयान है कि पासवर्ड को लिखा नहीं जा सकता है और उपयोगकर्ता के अलावा किसी अन्य व्यक्ति को पास नहीं किया जा सकता है। यदि वहां है, तो उन नीतियों को उनके अनुरोधों पर लागू करें। मैं इसे इस तरह से संभालने का सुझाव देता हूं:

  • सभी सर्वरों पर सभी उपयोगकर्ता खातों के लिए वर्तमान उपयोगकर्ता नाम और सादे-पाठ पासवर्ड की एक सूची

उसे उपयोगकर्ता नामों की एक सूची दिखाएं, लेकिन उन्हें दूर करने की अनुमति न दें। समझाएं कि सादा पाठ पासवर्ड देना एक है) असंभव है क्योंकि यह एक तरफा है, और बी) नीति के खिलाफ, जिसे वह आप के खिलाफ लेखा परीक्षा दे रहा है, इसलिए आप इसका पालन नहीं करेंगे।

  • पिछले छह महीनों के लिए सभी पासवर्ड परिवर्तनों की एक सूची, फिर सादा पाठ में

समझाओ कि यह ऐतिहासिक रूप से उपलब्ध नहीं था। यह दिखाने के लिए कि यह अब किया जा रहा है, उसे हालिया पासवर्ड परिवर्तन समय की एक सूची दें। समझाओ, ऊपर के रूप में, वह पासवर्ड प्रदान नहीं किया जाएगा।

  • पिछले छह महीनों में "दूरस्थ डिवाइस से सर्वर में जोड़े गए प्रत्येक फ़ाइल" की एक सूची

बताएं कि क्या है और लॉग नहीं किया जा रहा है। प्रदान करें कि आप क्या कर सकते हैं। कुछ भी गोपनीय प्रदान न करें, और पॉलिसी द्वारा समझाएं क्यों नहीं। पूछें कि क्या आपके लॉगिंग में सुधार की जरूरत है या नहीं।

  • किसी भी एसएसएच कुंजी की सार्वजनिक और निजी कुंजी

अपनी कुंजी प्रबंधन नीति देखें। यह कहना चाहिए कि निजी कुंजियों को उनके कंटेनर से बाहर नहीं रखा गया है और पहुंच की सख्त स्थितियां हैं। उस नीति को लागू करें, और पहुंच की अनुमति न दें। सार्वजनिक कुंजी खुशी से सार्वजनिक हैं और साझा की जा सकती हैं।

  • हर बार जब कोई उपयोगकर्ता अपना पासवर्ड बदलता है, जिसमें सादे पाठ पासवर्ड होता है तो उसे एक ईमेल भेजा जाता है

सिर्फ नहीं बोल। यदि आपके पास स्थानीय सुरक्षित लॉग सर्वर है, तो उसे यह देखने की अनुमति दें कि यह स्थिति में लॉग इन हो रहा है।

असल में, और मुझे यह कहने में खेद है, लेकिन आपको इस लड़के के साथ हार्डबॉल खेलना है। अपनी नीति का पालन करें बिल्कुल विचलित न करें। झूठ मत बोलो। और यदि वह पॉलिसी में नहीं होने वाली किसी भी चीज़ के लिए आपको विफल कर देता है, तो उसे भेजने वाले कंपनी में अपने वरिष्ठों से शिकायत करें। यह साबित करने के लिए कि आप उचित रहे हैं, इस सब का एक पेपर निशान एकत्र करें। यदि आप अपनी पॉलिसी तोड़ते हैं तो आप उसकी दया पर हैं। यदि आप उन्हें पत्र के लिए पालन करते हैं, तो वह बर्खास्त हो जाएगा।


177
2017-07-23 10:15



सहमत हैं, यह उन पागल रियलिटी शो में से एक जैसा है, जहां एक कार सेवा लड़का आपकी कार को चट्टान से बाहर ले जाता है या कुछ भी अविश्वसनीय है। मैं ओपी से कहूंगा, अपना पुनरुत्थान तैयार करें और छोड़ दें, अगर ऊपर दिए गए कार्य आपके लिए काम नहीं करते हैं। यह स्पष्ट रूप से एक हास्यास्पद और भयानक स्थिति है। - Jonathan Watmough
इच्छा है कि मैं इस +1,000,000 को वोट दे सकता हूं। जबकि यहां के अधिकांश उत्तर एक ही बात कहते हैं, यह एक बहुत अधिक गहन है। महान काम, @ जिमी! - Iszi