dodany: 15.01.2013 | tagi: , , , ,

Autor:

Niektórzy myślą, że zhakowali cały CERN – wywiad z Sebastianem Łopieńskim

19

Pewnie każdy, kto choć trochę interesuję się aktualnościami ze świata, słyszał o Wielkim Zderzaczu Hadronów (na YouTubie można w wersji rapowej poznać, w jaki sposób działa to zagadkowe urządzenie), neutrinach przekraczających  prędkość światła i „boskich” bozonach Higgsa. Za ten rozgłos odpowiedzialna jest Europejska Organizacja Badań Jądrowych CERN (z fr. Organisation Européenne pour la Recherche Nucléaire). Nie każdy może wiedzieć, że CERN jest kolebką WWW. Nawet swoją nazwę system WorldWideWeb zawdzięcza ośrodkowi badań jądrowych. To w CERN-ie powstała pierwsza strona internetowa info.cern.ch, pierwszy serwer i pierwsza przeglądarka internetowa. Ośrodek do tej pory prowadzi badania nad bezpieczeństwem, a jego wewnętrzny system ochrony można brać jako przykład rozwiązań np. dla firm.

Sebastian ŁopieńskiO sprawach dawnych i bieżących rozmawiamy z Sebastianem Łopieńskim, Polakiem pracującym w CERN-ie od 12 lat, obecnie Zastępcą Inspektora ds. Bezpieczeństwa Komputerowego (Deputy Computer Security Officer). Sebastian Łopieński jest absolwentem Uniwersytetu Warszawskiego (informatyka) oraz Institute d’Administration des Enterprises w Aix-en-Provence (dyplom MBA).

 

Red.: Jak restrykcyjna jest polityka bezpieczeństwa w CERN – miejscu, które choć prowadzi badania z myślą o społeczeństwie i rozwoju cywilizacji, to narażone jest na próby przechwycenia wyników tych badań przez osoby i organizacje mające niezbyt czyste intencje?

Sebastian Łopieński: CERN to ośrodek badań naukowych z bardzo silną kulturą akademicką, z 2 500 pracownikami oraz około 11 000 użytkowników odwiedzającymi CERN mniej lub bardziej regularnie lub wręcz pracującymi tu na stałe. W tak różnorodnym środowisku nie jest łatwo uzasadnić, wprowadzić i utrzymać bardzo restrykcyjne zasady korzystania z infrastruktury komputerowej – bez ograniczania kreatywności i produktywności tych wszystkich ludzi.

Oczywiście, jak każda organizacja, trzymamy w naszych systemach komputerowych dane personalne, finansowe, nawet medyczne. Mamy do dyspozycji znaczną moc obliczeniową  oraz przechowujemy bardzo dużo danych fizycznych. Ponadto, cała infrastruktura techniczna, w tym akcelerator LHC oraz detektory/eksperymenty są sterowanie przy użyciu oprogramowania poprzez sieć IP. Ale CERN, szczęśliwie, nie jest bankiem ani tajnym ośrodkiem militarnym. Wyniki badań są udostępniane publicznie – jest to jedna z podstawowych zasad CERN-u. Biorąc to wszystko pod uwagę, w naszym podejściu do bezpieczeństwa komputerowego skupiamy się nie na zabranianiu i blokowaniu, tylko raczej na ułatwianiu i edukowaniu.

 

Co to za ułatwienia?

Przez „ułatwianie” rozumiem udostępnianie użytkownikom bezpiecznych serwisów komputerowych (desktop computing, rozproszone systemy plików, web hosting itp.), ale bez zmuszania do korzystania z nich. Przykładowo, jeśli użytkownik nie chce zajmować się uaktualnianiem i backupowaniem swojego komputera, to instaluje CERN-owy Windows lub Scientific Linux CERN. Ale jeśli potrzebuje innego systemu operacyjnego lub nawet Windows, ale z prawami administracyjnymi, to takie rozwiązanie też jest akceptowane – tylko że wtedy sam użytkownik jest odpowiedzialny za bezpieczeństwo swojego komputera i danych.

W CERNie duży nacisk kładziemy też na edukację, szkolenia, uświadamianie (awareness raising). Powód jest prosty i oczywisty: nawet najmocniejsze zabezpieczenie można obejść „atakując” jego użytkownika (social engineering) lub po prostu licząc na jego pomyłkę lub zaniedbanie. Naszym długofalowym celem jest wprowadzenie czegoś, co nazywam „kulturą bezpieczeństwa”. Chodzi o to, żeby każdy użytkownik systemów komputerowych – dotyczy to zarówno osób nietechnicznych, jak i bardzo technicznych – zachowywał się i działał bezpiecznie, nawet o tym nie myśląc. Tak jak przechodząc przez ulicę, odruchowo patrzymy na prawo i na lewo, tak np. zapisując gdzieś nowy dokument powinniśmy odruchowo sprawdzić czy jego prawa dostępu są odpowiednie.

 

 

CERN prowadzi otwarte laboratoria dla studentów.Źródło: cds.cern.ch

CERN prowadzi otwarte laboratoria dla studentów.
Źródło: cds.cern.ch

Dziś wiemy, że nawet silne hasła chronią coraz słabiej. Jakie sposoby uwierzytelniania stosuje się w CERN-ie – miejscu, gdzie przetwarzane i przechowywane są dane niezwykłej wagi?  

To prawda, że hasła jako jedyna metoda uwierzytelniania są słabym zabezpieczeniem. Odpowiedzią na ten problem, oprócz oczywiście edukowania użytkowników oraz dbania o bezpieczeństwo komputerów i kont użytkowników, jest używanie dodatkowych mechanizmów uwierzytelniania (multi-factor authentication), najlepiej opartych na czymś co się „ma”, a nie tylko „wie” (jak hasło). W CERN-ie używamy w tym celu kodów jednorazowych wysyłanych SMS-em na „firmowe” telefony komórkowe, smart-cardów (chipy wbudowane w kartę dostępu fizycznego do CERN-u) oraz haseł jednorazowych generowanych przy użyciu Yubikeys, a także przez Google Authenticator. Ważne jest, żeby udostępnić różne rodzaje uwierzytelniania, tak aby nie ograniczać użytkowników ograniczonym wyborem. Przykładowo, pracownik który nie ma „firmowego” telefonu komórkowego oraz nie ma przy sobie czytnika smart-cardów ani nawet portu USB do podłączenia Yubikey (bo np. łączy się z iPada), może skorzystać z Google Authenticator.

 

Czy pracownicy mogą pracować na danych pochodzących z CERN-u na swoich prywatnych komputerach i poza obrębem ośrodka? Czy polityka bezpieczeństwa wymusza szyfrowanie?

Model BYOD (bring your own device) mamy i akceptujemy w CERN-ie od zawsze. Nie mamy innego wyboru, biorąc pod uwagę ilość ludzi pracujących w CERN-ie, ich rotację, i to że większość nie jest tutaj zatrudniona lecz przyjeżdża na krótsze lub dłuższe okresy. Dodatkowo, w dzisiejszych czasach coraz trudniej oddzielić życie zawodowe od prywatnego – szczególnie w przypadku fizyków, dla których praca jest też bardzo często ich pasją i hobby.

Oczywiście, mamy specjalną politykę bezpieczeństwa danych (Data Protection Policy), która określa różne stopnie poufności danych i opisuje wymagane poziomy zabezpieczeń (w tym szyfrowanie – choć bez określania konkretnego algorytmu). Ale znowu, cel jakim jest bezpieczeństwo danych, osiągany jest nie tylko poprzez zakazy i restrykcje techniczne, ale także dzięki edukacji oraz odpowiednim procedurom bezpieczeństwa. Ogólnie rzecz biorąc, staramy się pomagać użytkownikom, choćby wspólnie szukając i wdrażając rozwiązania, które są bezpieczne i jednocześnie funkcjonalne, zamiast po prostu im coś narzucać. Wydaje mi się, że takie podejście, przynajmniej w środowisku naukowym, jest dużo bardziej efektywne, szczególnie na dłuższą metę.

 

Czy systemy informatyczne zaprojektowane są do obrony przed konkretnymi atakującymi? W CERN myśli się np. o cyberterroryźmie?

Staramy się zabezpieczać CERN-owe systemy komputerowe przed różnego rodzaju zagrożeniami. W pewnym sensie żadna różnica czy jakieś dane z wynikami eksperymentów fizycznych zostają skasowane w wyniku zbyt otwartych praw dostępu oraz błędu użytkownika, czy też w wyniku ataku – a może kombinacji obu tych czynników. Oczywiście każde z tych zagrożeń wymaga innego rodzaju mechanizmów zabezpieczania. Z drugiej strony, w obu przypadkach potrzeba np. bezpiecznych i działających kopii zapasowych oraz mechanizmu wykrywania sytuacji niepożądanych (jakiekolwiek by były ich przyczyny).

Jednym z obszarów naszych zainteresowań jest bezpieczeństwo systemów typu SCADA [system nadzorujący przebieg procesu technologicznego lub produkcyjnego – przyp. red.]. CERN współpracuje z najważniejszymi producentami urządzeń PLC [komputery o ograniczonej funkcjonalności, używane najczęściej do sterowania maszynami np. w fabryce – przyp. red.], między innymi wykrywając ewentualnie słabości tych urządzeń i domagając się ich poprawienia. Biorąc pod uwagę, że te same urządzenia są używane na całym świecie do kontroli systemów technicznych (elektrownie, wodociągi itp.) czy produkcyjnych, mam nadzieję, że przyczyniamy się do ich ulepszania, co zmniejsza ryzyko między innymi ataków cyberterrorystycznych na infrastrukturę techniczną.

 

hcpss.web.cern.ch

Prace nad elementem akceleratora cząstek.
Źródło: hcpss.web.cern.ch

 

 

Czy CERN ma za sobą atak, który można opisać krótkim studium przypadku?

W dzisiejszych czasach, każdy desktop czy serwer (szczególnie Web oraz SSH) podłączony do Internetu jest atakowany i CERN-owe komputery nie są tu wyjątkiem. Chodzi o to, żeby nie dopuszczać do ataków udanych – oraz żeby te pojedyncze udane szybko wykrywać i odpowiednio reagować.

Oczywiście atak atakowi nierówny – mniej mnie martwi zainfekowany pojedynczy komputer z Windowsem (co się czasem zdarza), niż by mnie zmartwił przypadek przejęcia kontroli nad klastrem serwerów do obliczeń fizycznych (co się nie zdarzyło i mam nadzieję nie wydarzy).

Nie licząc standardowych ataków przeciw użytkownikom komputerów biurowych, takich jak drive-by download czy phishing, najczęstsze próby ataków obserwujemy właśnie na serwery WWW (są to ataki zarówno automatyczne przy użyciu narzędzi, jak i manualne) oraz SSH (głównie ataki typu brute-force). Miewamy przypadki osób, które specjalnie szukają dziur i po znalezieniu potencjalnej, nawet niepotwierdzonej podatności (vulnerability), oferują nam płatne usługi typu penetration testing (za które grzecznie dziękujemy), chwalą się tym na własnym blogu lub wręcz kontaktują się z mediami mówiąc, że „zhakowali cały CERN”. Zdarzyło się też kilka razy, że osoby przeglądające z ciekawości strony webowe CERN-u natknęły się np. na dokumenty, które wydały im się poufne i poinformowały nas o tym (zwykle okazywało się, że dokumenty te są jawne i upublicznione).

Oczywiście lepiej atakom zapobiegać zanim się wydarzą. Dlatego bardzo dużo energii kierujemy na zabezpieczanie naszej infrastruktury na bardzo różnych poziomach (dane, software, systemy operacyjne, urządzenia sieciowe, serwery, sieć, konta użytkowników itp.).

 

CERN to kolebka WWW, ale system ten powstał z potrzeby komunikacji pomiędzy pracownikami. Pracujecie Państwo nadal nad udoskonalaniem/zwiększeniem bezpieczeństwa WorldWideWeb? 

Web żyje od lat własnym życiem, pod przewodnictwem WWW Consortium (W3C), choć oczywiście CERN jest dumny z bycia miejscem narodzin WWW. Swoją drogą, w gablocie przy naszym centrum komputerowym stoi komputer NeXT, który był pierwszym na świecie serwerem WWW; a biuro w którym pracował niegdyś Tim Berners-Lee (twórca WWW) zajmuje teraz mój kolega, Polak.

Infrastruktura Web jest w CERN-ie duża, różnorodna i szeroko używana, więc naturalnie sporo czasu spędzamy też nad jej zabezpieczaniem. Korzystamy przy tym z narzędzi własnych, jak i ogólnodostępnych, które czasem przystosowujemy do naszych potrzeb. Jeśli takie poprawki mogą się też przydać poza CERN-em, to proponujemy je oryginalnym twórcom tych narzędzi – przykładowo Yubikey, Wappalyzer czy skipfish.

 

info.cern.ch – to adres pierwszej strony internetowej (i serwera), postawionej w 1990 roku na komputerze nieistniejącego dziś NeXT (został wykupiony przez Apple). Niestety nie zachował się żaden screenshot z tamtego okresu. Najwcześniejsze kopie witryny pochodzą z wersji z roku 1992. Na stronie można było (i nadal można) przeczytać: co to jest hipertekst, jak stworzyć własną witrynę czy dowiedzieć się, jak przeszukiwać sieć.

info.cern.ch – to adres pierwszej strony internetowej (i serwera), postawionej w 1990 roku na komputerze nieistniejącego dziś NeXT (został wykupiony przez Apple). Niestety nie zachował się żaden screenshot z tamtego okresu. Najwcześniejsze kopie witryny pochodzą z wersji z roku 1992. Na stronie można było (i nadal można) przeczytać: co to jest hipertekst, jak stworzyć własną witrynę czy dowiedzieć się, jak przeszukiwać sieć.
Źródło: w3.org

 

A co sądzi Pan o Xanadu (alternatywa dla WWW)? Co nie pozwoliło się rozwinąć temu projektowi?

Za mało wiem o Xanadu, żeby móc ten projekt porównać do WWW, ale WWW jest standardem wszechobecnym i królującym. Z pewnością nieoptymalnym pod wieloma względami, choć – szczęśliwie – ewoluującym i stale rozwijanym (warto docenić tutaj rolę W3C). Prywatnie uważam, że w takiej sytuacji warto pracować nad poprawianiem lub rozszerzaniem funkcjonalności i bezpieczeństwa WWW, zamiast inwestować w projekty równoległe.

 

Co sądzi Pan o nowym algorytmie SHA?

Cieszę się, że jest alternatywa dla SHA-2, które nie jest już najmłodsze i ufam, że NIST wybierając Keccaka dokonało najlepszego wyboru. Swoja drogą, myślę, że kluczowe jest w tym wszystkim słowo „ufam” – w dzisiejszych czasach, przy takiej ilości różnych rozwiązań technicznych, tempie ich rozwoju oraz stopniu ich skomplikowania, nawet osoby techniczne nie mają możliwości (czasu ani tym bardziej wysoko specjalistycznej wiedzy), żeby samemu wszystko sprawdzić.

 

Internet Archive to dobry pomysł? Nie ma obaw, że kiedyś „pęknie w szwach”?

Może pęknie, może dobry :-)

A tak na serio: uważam, że istnienie takich serwisów jak Internet Archive (i serwisów do odnajdywania informacji o danej osobie) powinno być przypomnieniem, że wszystko co publikujemy (blogi, komentarze na forach, prywatne filmy, zdjęcia z imprez itp.) będzie gdzieś zapisane na wieki i „może być użyte przeciwko nam”. Przypomnieniem szczególnie dla tzw. digital natives, najmłodszych użytkowników Internetu.

 

Pracował Pan nad cernowskim Scientific Linux? Skąd potrzeba stworzenia takiego systemu? Jak go Pan ocenia? Czy Scientific Linux spotkał się z pozytywnym odbiorem? Pracują Państwo nad jakimiś innowacjami dla tego systemu, albo planują stworzyć inny, nowy system operacyjny?

Ja osobiście nie pracuję nad Scientific Linux CERN (SLC), ale korzystam z niego codziennie w pracy i czasem zajmuję się jego zabezpieczaniem. Celem tego systemu, opartego o Scientific Linux (tworzonego głównie przez laboratorium Fermilab, znajdujące się w USA oraz CERN na podstawie Red Hat Enterprise Linux), jest udostepnienie jednolitej i sprawdzonej platformy do obliczeń naukowych. SLC jest szeroko używany na różnorakich serwerach (jego podstawowe zastosowanie), ale też na desktopach.

Warto przy okazji wspomnieć, że szefem zespołu technicznego zajmującego się SLC jest Polak.

 

Wielki Zderzacz Hadronów - tutaj przeprowadza się badania nad "Boskimi" bozonami Higgsa. Źródło grafiki: extremetech.com

Wielki Zderzacz Hadronów – tutaj przeprowadza się badania nad „boskimi” bozonami Higgsa.
Źródło: extremetech.com

 

Może Pan zdradzić nad czym obecnie pracuje CERN? Czy zwykły użytkownik może spodziewać się jakichś rewolucyjnych zmian czy udogodnień podczas korzystania z Internetu?

Skala całego przedsięwzięcia CERN-u stawia wiele wyzwań przed inżynierami z bardzo różnych dziedzin: od kriogeniki, materiałoznawstwa, budownictwa, elektryki itp. do elektroniki i informatyki. Przykładowo, informatycy muszą dostarczyć systemy komputerowe będące w stanie przekazywać, przetwarzać i zapisywać wielkie ilości danych pochodzących z detektorów (eksperymentów) – aktualnie rzędu 5-10 GB na sekundę, co daje około 25 PB rocznie. (A my, ekipa bezpieczeństwa komputerowego, musimy te systemy zabezpieczyć).

Siłą rzeczy, inżynierowie różnej maści rozwiązują w CERN-ie ciekawe problemy i część rozwiązań prędzej czy później trafia poza CERN (zresztą, istnieje w CERN-ie specjalna grupa Knowledge and Technology Transfer, która bardzo mocno promuje wykorzystanie poza CERN-em technologii i wiedzy tu powstałej). Już teraz fizycy cząsteczkowi, ale też inni naukowcy potrzebujący dużej mocy obliczeniowej, korzystają z systemów typu Grid (rozproszone przetwarzanie i przechowywanie danych, np. EGI (z ang. European Grid Infrastructure)), pochodzących od lub powiązanych z projektami rozwijanymi w CERN-ie, jak np. LCG (z ang. LHC Computing Grid). Natomiast, jeśli chodzi o domowe wykorzystanie Internetu, nie oczekiwałbym jakichś rewolucyjnych zmian będących bezpośrednim efektem naszej pracy.

 

A jak odnajduje Pan wybór Polki, prof. Agnieszki Zalewskiej, na przewodniczącą Rady Europejskiej Organizacji Badań Jądrowych (CERN). 

Jako Polak bardzo się z tego wyboru cieszę!

Redaktorka WebSecurity.pl. Z zamiłowania i wykształcenia dziennikarka. Szlify dziennikarskie zdobywała w prasie lokalnej. W wolnym czasie czyta książki, ogląda filmy albo scrobbluje na last.fmie.

19 odpowiedzi na “Niektórzy myślą, że zhakowali cały CERN – wywiad z Sebastianem Łopieńskim”

  1. avatar Paweł napisał(a):

    "…jest używanie dodatkowych mechanizmów autentykacji (multi-factor authentication)",
    "autentykacji" ? Nie ma w polskim słowniku słowa "autentykacja", tylko "uwierzytelnienie".

  2. avatar Katarzyna Sejdak napisał(a):

    Oczywiście. Zwykło się tak mówić potocznie, ale jest to niepoprawne, dlatego zmieniliśmy na "uwierzytelniania".

  3. avatar Katarzyna Sejdak napisał(a):

    Nowy kawałek Nicka Cave'a – Higgs Boson Blues! http://www.youtube.com/watch?v=XQud7EFQ3zQ :)

  4. avatar she said napisał(a):

    Good post. I merely found your site in addition to planned to claim that I’ve genuinely enjoyed checking ones blog site content. In any case We’re signing up in your feed and I’m expecting you are submitting just as before very soon!

  5. avatar android napisał(a):

    Hi, i believe that i saw you visited my blog thus i got here to return the prefer?.I’m attempting to find things to enhance my website!I guess its
    adequate to use a few of your ideas!!

  6. We’re not confident the site you’re helping your info, even so wonderful subject matter. My partner and i needs to spend some time studying far more as well as finding out much more. Many thanks for superb facts I’d been in search of this data in my assignment.

  7. Impressive troubles here. My business is incredibly content to look your current document. Many thanks using this program . looking towards effect anyone. Are you going to be sure to decline us a e-mail?

  8. avatar Virtual Assistant napisał(a):

    Amazing troubles here. I am quite pleased to see your document. Many thanks lots and i’m having a look in front to feel a person. Might you make sure you shed me a e-mail?

  9. Appreciate a different spectacular report. The place otherwise can any individual get that type of information in such a great way of writing? For sale demonstration next week, using this program . at the search for such information.

  10. avatar hosting napisał(a):

    Appreciation for a good writeup. It in fact had been some sort of discretion accounts the idea. Peek tricky for you to far sent gratifying from you! Nonetheless, the way could we keep up to date your communications?

  11. Hiya. I recently found ones website making use of msn. This can be a very well written post. I shall be absolute to save them and are avalable returning to get more information of one’s information. Thank you for a submit. Let me surely come back.

  12. avatar insurance agency napisał(a):

    This website was… how do you say it? Relevant!! Finally I’ve found something which helped me.
    Thank you!

  13. avatar Kate napisał(a):

    It can be really difficult finding a decent SEO freelancer nowadays, just going to do it myself I think
    I will definitely be coming back, ’tis a great blog

  14. avatar klocka napisał(a):

    Just want to say your article is as astonishing.
    The clarity for your publish is simply nice and i can think you are knowledgeable in this subject.
    Fine together with your permission allow me to grab your RSS feed to stay updated with drawing close post.
    Thanks one million and please keep up the rewarding work.

  15. avatar klocka napisał(a):

    I like the helpful info you supply for your articles. I will
    bookmark your blog and test again right here regularly.
    I’m slightly certain I’ll learn many new stuff right right
    here! Good luck for the following!

  16. avatar money napisał(a):

    Hi, i feel that i saw you visited my website so i got here to return the
    choose?.I am attempting to find issues to improve my web site!I assume its good enough to make
    use of some of your ideas!!

  17. avatar Seolhyun aoa napisał(a):

    Finally, a site post I enjoyed reading! Keep up the
    great work!

  18. avatar ชวภณ napisał(a):

    I am really grateful to the owner of this web site who has shared this fantastic paragraph at at this time.

  19. avatar listrik online napisał(a):

    My partner and I absolutely love your blog and find the majority of your post’s to be what precisely I’m looking for.
    Do you offer guest writers to write content to suit your needs?
    I wouldn’t mind composing a post or elaborating on some of the subjects
    you write regarding here. Again, awesome weblog!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *