sensibilisation à la sécurité informatique liberté académique vs. operations vs. sécurité...

Sensibilisation à la Sécurité Informatique

Liberté académique vs. Operations vs. Sécurité

CERN Computer Security Team (2010)S. Lopienski, S. Lüders, R. Mollon, R. Wartel

“Protecting Office Computing, Computing Services, GRID & Controls”

Dr. Stefan Lüders (CERN IT/CO) ― DESY ― 20. Februar [email protected] — “Sensibilisation à la sécurité informatique”

ABC de la sécurité informatique

Un système est aussi sûr que son lien le plus faible:► L’attaquant choisit l’heure, le lieu et la méthode

► Le défenseur doit se protéger de toutes les attaquespossibles (celles connues, et celles qui serontdécouvertes ensuite)

La sécurité est une propriété (pas une fonctionalité)

La sécurité est un process permanent (pas un produit)

La sécurité ne peut pas être prouvée

La sécurité parfaite n’existe pas, il faut se contenter de 100%-ε.► Au CERN, VOUS définissez ε !!!


ABC de la sécurité informatique

Un système est aussi sûr que son lien le plus faible:► L’attaquant choisit l’heure, le lieu et la méthode

► Le défenseur doit se protéger de toutes les attaquespossibles (celles connues, et celles qui serontdécouvertes ensuite)

La sécurité est une propriété (pas une fonctionalité)

La sécurité est un process permanent (pas un produit)

La sécurité ne peut pas être prouvée

La sécurité parfaite n’existe pas, il faut se contenter de 100%-ε.► Au CERN, VOUS définissez ε !!!

Note: En anglais «security» n’est pasun synonyme de «safety».

VOUS êtes responsables de sécuriser vos services &

systèmes:

►En tant qu’utilisateur, développeur, expert système ou administrateur

►En tant que chef de projet ou d’équipe

►En tant que membre du CERN et sa hiérarchie


Le CERN est attaqué en permanence… même à cet instant.Services disponibles depuis internet constamment examinés

par:►… des attaquants essayant de trouver des mots de passe par force brute;►… des attaquants essayant de pénétrer dans des applications Web;►… des attaquants essayant de prendre le contrôle de serveurs

Utilisateurs ne prennent pas les précautions suffisantes contre:

►… des attaquant essayant de collecter des mots de passe►… des attaquant essayant de voler des mots de passe par hameçonnage

Des incidents se produisent:►Sites et services web, interface de bases

de données, nœuds de calcul, comptes email…►Le réseau des bureaux du CERN est assez libre:

connections en libre service et beaucoup de visiteurs.Il y a donc toujours des machines infectées ou compromises

Sous attaques permanentes


Le CERN est attaqué en permanence… même à cet instant.Services disponibles depuis internet constamment examinés

par:►… des attaquants essayant de trouver des mots de passe par force brute;►… des attaquants essayant de pénétrer dans des applications Web;►… des attaquants essayant de prendre le contrôle de serveurs

Utilisateurs ne prennent pas les précautions suffisantes contre:

►… des attaquant essayant de collecter des mots de passe►… des attaquant essayant de voler des mots de passe par hameçonnage

Des incidents se produisent:►Sites et services web, interface de bases

de données, nœuds de calcul, comptes email…►Le réseau des bureaux du CERN est assez libre:

connections en libre service et beaucoup de visiteurs.Il y a donc toujours des machines infectées ou compromises

Sous attaques permanentes

VOUS êtes responsables d’empêcher les incidents de sécurité

d’arriver

►En tant qu’utilisateur, développeur, expert système ou administrateur

►En tant que chef de projet ou d’équipe

►En tant que membre du CERN et sa hiérarchie


Restez vigilant !!!

Adresses emailpeuvent être falsifiées !

Arrêtez le «hameçonnage»:

Aucune raison légitime pour qu’on vous demandevotre mot de passe !

Ne faites pas confiance

à votre navigateur web


220-<<<<<<>==< Haxed by A¦0n3 >==<>>>>>>220- ¸,ø¤º°^°º¤ø,¸¸,ø¤º°^°º¤ø,¸¸,ø¤º°^°º¤ø,¸¸,ø¤º°^°º¤ø,¸220-/220-| Welcome to this fine str0220-| Today is: Thursday 12 January, 2006220-|220-| Current througput: 0.000 Kb/sec220-| Space For Rent: 5858.57 Mb220-|220-| Running: 0 days, 10 hours, 31 min. and 31 sec.220-| Users Connected : 1 Total : 15220-|220^°º¤ø,¸¸,ø¤º°^°º¤ø,¸¸,ø¤º°^°º¤ø,¸¸,ø¤º°^°º¤ø,¸¸,ø¤º°^

220-<<<<<<>==< Haxed by A¦0n3 >==<>>>>>>220- ¸,ø¤º°^°º¤ø,¸¸,ø¤º°^°º¤ø,¸¸,ø¤º°^°º¤ø,¸¸,ø¤º°^°º¤ø,¸220-/220-| Welcome to this fine str0220-| Today is: Thursday 12 January, 2006220-|220-| Current througput: 0.000 Kb/sec220-| Space For Rent: 5858.57 Mb220-|220-| Running: 0 days, 10 hours, 31 min. and 31 sec.220-| Users Connected : 1 Total : 15220-|220^°º¤ø,¸¸,ø¤º°^°º¤ø,¸¸,ø¤º°^°º¤ø,¸¸,ø¤º°^°º¤ø,¸¸,ø¤º°^

Oscilloscope piraté(tournant Win XP SP2)

Les risques sont partout !

Manque de filtrage des données entrantes

Informations confidentiellessur Wiki, web, CVS, …

Négligence de la «règledu moindre privilège»


Circulaire opérationnelle #5

http://cern.ch/ComputingRules


Utilisez la «règle du moindre privilège»►Protégez comptes/fichiers/services/systèmes contre les accès non autorisés►Les mots de passe ne doivent pas être partagés ou devinables facilement►Protégez l’accès aux équipements non surveillés

Les utilisateurs du service d’emails ne doivent pas :►Envoyer de mail bombs, SPAM, chaines or de faux e-mails ou articles

Les utilisateurs de PC doivent :►Utiliser un logiciel anti-virus et

appliquer les mises à jour de sécurité régulièrement►Agir immédiatement pour limiter les conséquences d’un incident de sécurité

Les utilisateurs du réseau du CERN doivent :►Collaborer pour résoudre les problèmes pouvant nuire au réseau du CERN►Ne faire aucune modification non autorisée au réseau du CERN




L’utilisation personnelle des ressources est tolérée si:►La fréquence et durée d’utilisation sont limitées et les ressources utilisées

négligeables►L’utilisation n’est pas: illégale, politique, commerciale, inappropriée,

choquante, ou faite au détriment du travail►L’utilisation ne viole pas les lois applicables dans les pays hôtes du CERN►INTERDIT: Consultation de contenu pornographique ou illicite

(ex: pédophilie, incitation à la violence, discrimination ou à la haine raciale)

Utilisation professionnelle sous conditions:►Applications pouvant poser certains problèmes réseau ou de sécurité►ex: Skype, IRC, P2P (eDonkey, BitTorrent, …)

Respect de la confidentialité et des copyrights►Contenus illégaux ou piratés (logiciels, musique, films, etc.) sont interdits




La sécurité est un procès permanent etne peut être efficace qu’à 100%-

ε.

VOUS êtes responsables de sécuriser vos services (i.e. ε):► En tant qu’utilisateur, développeur, expert système ou administrateur► En tant que chef de projet ou d’équipe

Donc:► Soyez vigilant !► Eliminez les vulnérabilités: empêchez les incidents d’arriver► Vérifiez les droits d’accès et respectez la «Règle du moindre privilège»► Rendez la sécurité une propriété du système:

vérifiez configuration et méthodes de programmation► Accordez des ressources et financements à la sécurité

L’équipe de sécurité du CERN peut vous aider.

Résumé


Formation sécurité informatique

https://cern.ch/security/training/fr/index.shtml


http://cern.ch/security

[email protected]

Pierre Charrue (BE),Peter Jurcso (DSU), Brice Copy (EN), Folke Wallberg (FP),

Timo Hakulinen (GS), Catharina Hoch (HR), Stefan Lüders (IT), Joel Closier (PH), Gustavo Segura (SC), Vittorio Remondino (TE)

Peter Chochula (ALICE),Mike Capell (AMS), Giuseppe Mornacchi (ATLAS),Frans Meijers (CMS), Gerhart Mallot (COMPASS),

Niko Neufeld (LHCb), Alberto Gianoli (NA62),Francesco Cafagna (TOTEM), Technical-Network Admins .

Plus d’informations...

CERN Computing Rules OC#5, conditions générales d'utilisation & infos sur la sécurité:

Signalez d’éventuels incidents:

Contacts de sécurité (Départements):

Contacts de sécurité (Expériences):

sensibilisation à la sécurité informatique liberté académique vs. operations vs. sécurité...

Documents

cern et

scurit informatique

stefan lders cern itco

scurit parfaite nexiste

cern est assez libre

scurit ne peut pas tre

attaquants essayant

et celles