Sensibilisation de Cyber Sécurité Liberté académique vs. Operations vs. Sécurité Introduction: usually these 9 slides 1,2,3,4,6,11,12,13,15 Standard Users: usually leave out slides 8,10 (too technical) CERN Computer Security Team (2010) S. Lopienski, S. Lüders, R. Mollon, R. Wartel “Protecting Office Computing, Computing Services, GRID & Controls”

ABC de la sécurité informatique Un système est aussi sûr que son lien le plus faible: ► L’attaquant choisit l’heure, le lieu et la méthode ► Le défenseur doit se protéger de toutes les attaques possibles (celles connues, et celles qui seront découvertes ensuite) La sécurité est une propriété (pas une fonctionalité) La sécurité est un process permanent (pas un produit) La sécurité ne peut pas être prouvée La sécurité parfaite n’existe pas, il faut se contenter de 100%-ε. ► Au CERN, VOUS définissez ε !!! VOUS êtes responsables de sécuriser vos services & systèmes: En tant qu’utilisateur, développeur, expert système ou administrateur En tant que chef de projet ou d’équipe En tant que membre du CERN et sa hiérarchie Note: En anglais «security» n’est pas un synonyme de «safety».

Sous attaques permanentes Le CERN est attaqué en permanence… même à cet instant. Services disponibles depuis internet constamment examinés par: … des attaquant essayant de trouver des mots de passes par force brute; … des attaquant essayant de pénétrer dans des applications Web; … des attaquant essayant de prendre le contrôle de serveurs Utilisateurs ne prennent pas les précautions suffisante contre: … des attaquant essayant de collecter des mots de passe … des attaquant essayant de voler des mots de passes par hameçonnage Des incidents se produisent: Sites et services web, interface de bases de données, nœuds de calcul, comptes email… Le réseau des bureaux du CERN est assez libre: connections en libre service et beaucoup de visiteurs. Il y a donc toujours des machines infectées ou compromises VOUS êtes responsables d’empêcher incidents de sécurité d’arriver En tant qu’utilisateur, développeur, expert système ou administrateur En tant que chef de projet ou d’équipe En tant que membre du CERN et sa hiérarchie

Restez vigilant !!! Adresses email peuvent être falsifiée ! Arrêtez le «hameçonnage»: Aucune raison légitime pour qu’on vous demande votre mot de passe ! Ne faites pas confiance à votre navigateur web

Ne faites pas confiance à votre navigateur ! VRAIS liens vers www.ebay.com ? http://www.ebay.com\cgi-bin\login?ds=1%204324@%31%33%37 %2e%31%33%38%2e%31%33%37%2e%31%37%37/p?uh3f223d http://www.ebaỵ.com/ws/eBayISAPI.dll?SignIn http://scgi.ebay.com/ws/eBayISAPI.dll?RegisterEnterInfo&siteid=0& co_partnerid=2&usage=0&ru=http%3A%2F%2Fwww.ebay.com&rafId=0 &encRafId=default http://secure-ebay.com Même pour les professionels, la réponse n’est pas évidente !   OPTIONAL  

Les risques sont partout ! Oscilloscope piraté (tournant Win XP SP2) Manque de filtrage des données entrantes Informations confidentielles sur Wiki, web, CVS, … Négligence de la «règle du moindre privilège»

Incident récent Un site web| piraté… Oops !!??? …une liste d’utilisateurs

Violation de principes de base ! Oubli de «la règle du moindre privilège»: N’importe qui pourrait uploader des fichiers... Documentation système disponible via Google... Manque de filtrage des données entrantes OPTIONAL/TECHNICAL

Qui en assume les conséquences? Qui peut se permettre pertes de: Fonctionnalité Contrôle ou sécurité Efficacité & beam time matérielles ou de données réputation…? Etes vous prêts à assumer toutes les conséquences ? Etes-vous dans une position de vraiment l’accepter ? Consequences: moving collimators, changing interlock thresholds, failing to dump beam, ... Combien de temps vous faudrait-il pour réinstaller un système si on vous le deviez le faire immédiatement ?

Réduction des risques: un processus permanent Prevention Protection Patchez sans délai (centralisé) Gardez vos mots de passe secrets & changez les régulièrement «Règle du moindre privilège»: Contrôlez l’accès à vos ressources Utilisez une bonne méthode de développent et de configuration VOUS Utilisez une «protection en profondeur» Renforcez vos règles de firewall Séparez vos réseaux Soyez vigilants! VOUS & NOUS Budget & Ressources VOUS Détection Réponse Surveillez le trafic réseau Déployez un mécanisme de détection (machines et réseau) Utilisez et maintenez votre anti-virus à jour Activez et surveillez les messages systèmes Soyez vigilant ! VOUS & NOUS VOUS &NOUS Analysez vos incidents Laissez la machine «ON», déconnectez la & n’y touchez pas Réparer… Analysez les causes & implémentez les leçons retenues OPTIONAL/TECHNICAL

Circulaire opérationnelle #5 Utilisez la «règle du moindre privilège» Protégez comptes/fichiers/services/systèmes contre les accès non autorisés Les mots de passe ne doivent pas être partagés ou devinable facilement Protégez l’accès aux équipements non surveillés Les utilisateurs du services d’emails ne doivent pas : Envoyer de mail bombs, SPAM, chaines or de faux e-mails ou articles Les utilisateurs de PC doivent : Utiliser un logiciel anti-virus et appliquez les mises à jour de sécurité régulièrement Agir immédiatement pour limiter les conséquences d’un incident de sécurité Les utilisateurs du réseau du CERN doivent: Collaborer pour résoudre les problèmes pouvant nuire au réseau du CERN Ne faire aucune modification non autorisée au réseau du CERN http://cern.ch/ComputingRules

Circulaire opérationnelle #5 L’utilisation personnelle des ressources est tolérée si: La fréquence et durée d’utilisation sont limitées et les ressources utilisées négligeables L’utilisation n’est pas: illégale, politique, commerciale, inappropriée, choquante, ou faite au détriment du travail L’utilisation ne viole pas les lois applicables dans les pays hôtes du CERN INTERDIT: Consultation de contenu pornographique ou illicite (ex: pédophilie, incitation à la violence, discrimination ou à la haine raciale) Utilisation professionnelle sous conditions: Applications pouvant poser certains problèmes réseau ou de sécurité ex: Skype, IRC, ToR, P2P (eDonkey, BitTorrent, …) http://cern.ch/security/software-restrictions Respect de la confidentialité et des copyrights Contenus illégaux ou piratés (logiciels, musique, films, etc.) sont interdits http://cern.ch/ComputingRules

Do you want to act BEFORE or AFTER the incident ? Résume La sécurité est un procès permanent et ne peut être efficace qu’a 100%-ε. VOUS êtes responsables de sécuriser vos services (i.e. ε): En tant qu’utilisateur, développeur, expert système ou administrateur En tant que chef de projet ou d’équipe Donc: Soyez vigilant ! Eliminez les vulnérabilités: empêchez les incidents d’arriver Vérifiez les droits d’accès et respectez la «Règle du moindre privilège» Rendez la sécurité une propriété du système: vérifier configuration et méthodes de programmation Accordez des ressources et financements à la sécurité L’équipe de sécurité du CERN peut vous aider. Do you want to act BEFORE or AFTER the incident ?

Formation sécurité informatique OPTIONAL

Plus d’informations... http://cern.ch/security Computer.Security@cern.ch Pierre Charrue (BE), Peter Jurcso (DSU), Brice Copy (EN), Flavio Costa (FP), Timo Hakulinen (GS), Catharina Hoch (HR), Stefan Lüders (IT), Joel Closier (PH), Gustavo Segura (SC), Vittorio Remondino (TE) Peter Chochula (ALICE), Giuseppe Mornacchi (ATLAS), Eric Cano (CMS), Gerhart Mallot (COMPASS), Niko Neufeld (LHCb), Alberto Gianoli (NA62), Francesco Cafagna (TOTEM), Technical-Network Administrator (TN) . CERN Computing Rules OC#5, conditions générales d'utilisation & infos sur la sécurité: Signalez d’éventuels incidents: Contacts de sécurité (départements): Contacts de sécurité (Expériences):