Sensibilisation à la Sécurité Informatique Liberté académique vs. Operations vs. Sécurité CERN Computer Security Team (2010) S. Lopienski, S. Lüders, R. Mollon, R. Wartel “Protecting Office Computing, Computing Services, GRID & Controls”
ABC de la sécurité informatique Un système est aussi sûr que son lien le plus faible: ► L’attaquant choisit l’heure, le lieu et la méthode ► Le défenseur doit se protéger de toutes les attaques possibles (celles connues, et celles qui seront découvertes ensuite) La sécurité est une propriété (pas une fonctionalité) La sécurité est un process permanent (pas un produit) La sécurité ne peut pas être prouvée La sécurité parfaite n’existe pas, il faut se contenter de 100%-ε. ► Au CERN, VOUS définissez ε !!!
ABC de la sécurité informatique Un système est aussi sûr que son lien le plus faible: ► L’attaquant choisit l’heure, le lieu et la méthode ► Le défenseur doit se protéger de toutes les attaques possibles (celles connues, et celles qui seront découvertes ensuite) La sécurité est une propriété (pas une fonctionalité) La sécurité est un process permanent (pas un produit) La sécurité ne peut pas être prouvée La sécurité parfaite n’existe pas, il faut se contenter de 100%-ε. ► Au CERN, VOUS définissez ε !!! VOUS êtes responsables de sécuriser vos services & systèmes: En tant qu’utilisateur, développeur, expert système ou administrateur En tant que chef de projet ou d’équipe En tant que membre du CERN et sa hiérarchie Note: En anglais «security» n’est pas un synonyme de «safety».
Sous attaques permanentes Le CERN est attaqué en permanence… même à cet instant. Services disponibles depuis internet constamment examinés par: … des attaquants essayant de trouver des mots de passe par force brute; … des attaquants essayant de pénétrer dans des applications Web; … des attaquants essayant de prendre le contrôle de serveurs Utilisateurs ne prennent pas les précautions suffisantes contre: … des attaquant essayant de collecter des mots de passe … des attaquant essayant de voler des mots de passe par hameçonnage Des incidents se produisent: Sites et services web, interface de bases de données, nœuds de calcul, comptes email… Le réseau des bureaux du CERN est assez libre: connections en libre service et beaucoup de visiteurs. Il y a donc toujours des machines infectées ou compromises
Sous attaques permanentes Le CERN est attaqué en permanence… même à cet instant. Services disponibles depuis internet constamment examinés par: … des attaquants essayant de trouver des mots de passe par force brute; … des attaquants essayant de pénétrer dans des applications Web; … des attaquants essayant de prendre le contrôle de serveurs Utilisateurs ne prennent pas les précautions suffisantes contre: … des attaquant essayant de collecter des mots de passe … des attaquant essayant de voler des mots de passe par hameçonnage Des incidents se produisent: Sites et services web, interface de bases de données, nœuds de calcul, comptes email… Le réseau des bureaux du CERN est assez libre: connections en libre service et beaucoup de visiteurs. Il y a donc toujours des machines infectées ou compromises VOUS êtes responsables d’empêcher les incidents de sécurité d’arriver En tant qu’utilisateur, développeur, expert système ou administrateur En tant que chef de projet ou d’équipe En tant que membre du CERN et sa hiérarchie
Restez vigilant !!! Adresses email peuvent être falsifiées ! Arrêtez le «hameçonnage»: Aucune raison légitime pour qu’on vous demande votre mot de passe ! Ne faites pas confiance à votre navigateur web
Ne faites pas confiance à votre navigateur ! VRAIS liens vers www.ebay.com ? http://www.ebay.com\cgi-bin\login?ds=1%204324@%31%33%37 %2e%31%33%38%2e%31%33%37%2e%31%37%37/p?uh3f223d http://www.ebaỵ.com/ws/eBayISAPI.dll?SignIn http://scgi.ebay.com/ws/eBayISAPI.dll?RegisterEnterInfo&siteid=0& co_partnerid=2&usage=0&ru=http%3A%2F%2Fwww.ebay.com&rafId=0 &encRafId=default http://secure-ebay.com Même pour les professionels, la réponse n’est pas évidente ! OPTIONAL
Les risques sont partout ! Oscilloscope piraté (tournant Win XP SP2) Manque de filtrage des données entrantes Informations confidentielles sur Wiki, web, CVS, … Négligence de la «règle du moindre privilège»
Incident récent Un site web| piraté… Oops !!??? …une liste d’utilisateurs
Violation de principes de base ! Oubli de «la règle du moindre privilège»: N’importe qui pourrait uploader des fichiers... Documentation système disponible via Google... OPTIONAL/TECHNICAL Manque de filtrage des données entrantes
Qui en assume les conséquences? Qui peut se permettre pertes de: Fonctionnalité Contrôle ou sécurité Efficacité & beam time matérielles ou de données réputation…? Etes vous prêts à assumer toutes les conséquences ? Etes-vous dans une position de vraiment l’accepter ? Consequences: moving collimators, changing interlock thresholds, failing to dump beam, ... Combien de temps vous faudrait-il pour réinstaller un système si on vous deviez le faire immédiatement ?
Réduction des risques: un processus permanent Prevention Protection Patchez sans délai (centralisé) Gardez vos mots de passe secrets & changez les régulièrement «Règle du moindre privilège»: Contrôlez l’accès à vos ressources Utilisez une bonne méthode de développent et de configuration VOUS Utilisez une «protection en profondeur» Renforcez vos règles de firewall Séparez vos réseaux Soyez vigilants! VOUS & NOUS Budget & Ressources VOUS Détection Réponse OPTIONAL/TECHNICAL Surveillez le trafic réseau Déployez un mécanisme de détection (machines et réseau) Utilisez et maintenez votre anti-virus à jour Activez et surveillez les messages systèmes Soyez vigilant ! VOUS & NOUS VOUS &NOUS Analysez vos incidents Laissez la machine «ON», déconnectez la & n’y touchez pas Réparer… Analysez les causes & implémentez les leçons retenues
Circulaire opérationnelle #5 http://cern.ch/ComputingRules
Circulaire opérationnelle #5 Utilisez la «règle du moindre privilège» Protégez comptes/fichiers/services/systèmes contre les accès non autorisés Les mots de passe ne doivent pas être partagés ou devinables facilement Protégez l’accès aux équipements non surveillés Les utilisateurs du service d’emails ne doivent pas : Envoyer de mail bombs, SPAM, chaines or de faux e-mails ou articles Les utilisateurs de PC doivent : Utiliser un logiciel anti-virus et appliquer les mises à jour de sécurité régulièrement Agir immédiatement pour limiter les conséquences d’un incident de sécurité Les utilisateurs du réseau du CERN doivent : Collaborer pour résoudre les problèmes pouvant nuire au réseau du CERN Ne faire aucune modification non autorisée au réseau du CERN http://cern.ch/ComputingRules
Circulaire opérationnelle #5 L’utilisation personnelle des ressources est tolérée si: La fréquence et durée d’utilisation sont limitées et les ressources utilisées négligeables L’utilisation n’est pas: illégale, politique, commerciale, inappropriée, choquante, ou faite au détriment du travail L’utilisation ne viole pas les lois applicables dans les pays hôtes du CERN INTERDIT: Consultation de contenu pornographique ou illicite (ex: pédophilie, incitation à la violence, discrimination ou à la haine raciale) Utilisation professionnelle sous conditions: Applications pouvant poser certains problèmes réseau ou de sécurité ex: Skype, IRC, P2P (eDonkey, BitTorrent, …) Respect de la confidentialité et des copyrights Contenus illégaux ou piratés (logiciels, musique, films, etc.) sont interdits http://cern.ch/ComputingRules
Circulaire opérationnelle #5 L’utilisation personnelle des ressources est tolérée si: La fréquence et durée d’utilisation sont limitées et les ressources utilisées négligeables L’utilisation n’est pas: illégale, politique, commerciale, inappropriée, choquante, ou faite au détriment du travail L’utilisation ne viole pas les lois applicables dans les pays hôtes du CERN INTERDIT: Consultation de contenu pornographique ou illicite (ex: pédophilie, incitation à la violence, discrimination ou à la haine raciale) Utilisation professionnelle sous conditions: Applications pouvant poser certains problèmes réseau ou de sécurité ex: Skype, IRC, P2P (eDonkey, BitTorrent, …) Respect de la confidentialité et des copyrights Contenus illégaux ou piratés (logiciels, musique, films, etc.) sont interdits http://cern.ch/ComputingRules
Résumé La sécurité est un procès permanent et ne peut être efficace qu’à 100%-ε. VOUS êtes responsables de sécuriser vos services (i.e. ε): En tant qu’utilisateur, développeur, expert système ou administrateur En tant que chef de projet ou d’équipe Donc: Soyez vigilant ! Eliminez les vulnérabilités: empêchez les incidents d’arriver Vérifiez les droits d’accès et respectez la «Règle du moindre privilège» Rendez la sécurité une propriété du système: vérifiez configuration et méthodes de programmation Accordez des ressources et financements à la sécurité L’équipe de sécurité du CERN peut vous aider.
Do you want to act BEFORE or AFTER the incident ? Résumé La sécurité est un procès permanent et ne peut être efficace qu’à 100%-ε. VOUS êtes responsables de sécuriser vos services (i.e. ε): En tant qu’utilisateur, développeur, expert système ou administrateur En tant que chef de projet ou d’équipe Donc: Soyez vigilant ! Eliminez les vulnérabilités: empêchez les incidents d’arriver Vérifiez les droits d’accès et respectez la «Règle du moindre privilège» Rendez la sécurité une propriété du système: vérifiez configuration et méthodes de programmation Accordez des ressources et financements à la sécurité L’équipe de sécurité du CERN peut vous aider. Do you want to act BEFORE or AFTER the incident ?
Formation sécurité informatique OPTIONAL https://cern.ch/security/training/fr/index.shtml
Plus d’informations... http://cern.ch/security Computer.Security@cern.ch Pierre Charrue (BE), Peter Jurcso (DSU), Brice Copy (EN), Folke Wallberg (FP), Timo Hakulinen (GS), Catharina Hoch (HR), Stefan Lüders (IT), Joel Closier (PH), Gustavo Segura (SC), Vittorio Remondino (TE) Peter Chochula (ALICE), Mike Capell (AMS), Giuseppe Mornacchi (ATLAS), Frans Meijers (CMS), Gerhart Mallot (COMPASS), Niko Neufeld (LHCb), Alberto Gianoli (NA62), Francesco Cafagna (TOTEM), Technical-Network Admins . CERN Computing Rules OC#5, conditions générales d'utilisation & infos sur la sécurité: Signalez d’éventuels incidents: Contacts de sécurité (Départements): Contacts de sécurité (Expériences):