Sécurité et contre-sécurité

  1. 2008-03-11 11:18:30 UTC Blade
    En voyant les appareils de sécurité d'Arsenal, je me suis dit que designer une sécurité réaliste d'un lieu pour le MJ, surtout débutant, n'est pas une tâche facile. De même, les PJs risquent d'avoir besoin d'acquérir quelques automatismes pour réussir leurs infiltrations. C'est pourquoi je vous propose de réunir ici différentes procédures de sécurité et de sécurisation, ainsi que les moyens qu'ont les runners de les contrer. Un truc du genre : * Détection des noeuds sans fil : dans un bâtiment où les noeuds sont suffisamment peu nombreux et connus, il est possible de facilement détecter les noeuds "intrus", comme les commlinks ou autres équipement d'un intrus. Un appareil de surveillance peut donc faire tourner à intervalle régulier un programme scan pour détecter les éventuels noeuds ou réseaux intrus. Contre : n'avoir aucun équipement sans fil, limiter la portée de leur signal, les faire tourner en mode caché (fait augmenter le seuil de détection)... Vous pouvez même proposer un kit complet avec tous les appareils et les procédures. Si on a des résultats intéressant, ça pourra faire un bien bel article pour notre Cybi préféré, à la plus grande joie de Sly.
  2. 2008-03-11 19:09:59 UTC Sly Mange Figue
    [quote:1ba55d8cf9="Blade"] Si on a des résultats intéressant, ça pourra faire un bien bel article pour notre Cybi préféré, à la plus grande joie de Sly.[/quote:1ba55d8cf9] :p :bounce:
  3. 2008-03-14 08:36:56 UTC Blade
    Alors, pas d'amateurs ?
  4. 2008-03-14 08:38:20 UTC Max Anderson
    Le projet me paraît intéressant, mais je n'ai pas vraiment le temps en ce moment (et déjà pas mal de projets en cours...). Mais j'ai commencé à y réfléchir...
  5. 2008-03-14 08:45:59 UTC Leoric
    Je n'ai pas du tout le temps d'ecrire, par contre je trouve l'idée très intéressante, du coup je m'engage si tu veux à relire et à t'aider à debugger et/ou à completer.
  6. 2008-03-14 08:54:03 UTC Blade
    Après, rien ne vous oblige à faire des systèmes complets et/ou tortueux, rien qu'un truc sur les caméras de base (et/ou thermographiques), par exemple, c'est déjà un bon début.
  7. 2008-03-14 09:29:05 UTC Likoum
    C'est un bon début, mais je pense que l'on a tous des trucs à finir pour le Cybi et/ou les forums avant de prendre d'autres engagements :cry:
  8. 2008-03-14 10:55:53 UTC Gris-Gris
    Je trouve l'idée super, mais je me mettais plutôt du côté de ceux qui auraient bien besoin de ce genre de conseils... Cela dit, peut-être que mettre en forme quelque chose, ça permettrait de me clarifier les idées, mais je suis loin d'être un as en la matière, alors je ne sais pas si ce sera bien utile aux autres. En fait, de plancher dessus, ça risque de m'amener un paquet de questions (du genre, comment ça marche une caméra thermographique :? ) Mais on peut essayer. L'idée c'est de lister le matériel qui peut être utilisé dans les systèmes de sécurité et de dire 1°- à quoi ça sert, 2°- comment le contrer. C'est bien ça ? Ah, et aussi, je n'ai pas Arsenal... :emb:
  9. 2008-03-14 11:11:37 UTC Blade
    Yep c'est tout à fait ça l'idée. En fait y'a deux considérations : 1. Les appareils/systèmes/procédures : la caméra, le détecteur de pression, l'esprit veilleur, le barghest, le drone doberman, la fouille à l'entrée, la procédure de relève de la garde, etc. 2. Le système dans son ensemble : comment les différents points mentionnés dans le première partie se combinent pour former la sécurité d'un lieu. La partie 1 peut se faire sans problème par des posts rapides, pas besoin d'aller trop loin dans les détails non plus. La partie 2 est certes un peu plus lourde, mais on verra en temps utile.
  10. 2008-03-17 11:52:18 UTC okhin
    [EDIT: Le but de ce post est de proposer une architecture de base, et de dire où placer les moyens de contre intrusions, ça permettra de plaecr plus tard les éléments dans chacune des zones (par exemple, la bio-fibre couvre en général els zones de niveau 2, pas avant, etc...] Bon, j'ai pas encore Arsenal, mais déjà quelques considérations de base pour construire un système de sécurité cohérent et logique (et donc, pas forcément blindé ou fiable). Je prendrait comme exemple le bâtiment corpo de base, un immeuble en centre ville avec bureau administratif, quelques technicien, pas de rpoductiond e masse, masi probablement des brevets/prototypes. La cible de base des runners quoi. Estimation du bâtiment (si il était perdu pour la corpo, combien ça lui couterait): 1-10 000 000Y [u:d300dca975]Niveau de sécurité[/u:d300dca975] Il y a tout connement plusieurs niveaux de sécurité dans un bâtiment corpo standard, j'y inclut également l'aspect matriciel. Je les réduit à 3 par mesure de simplicité: * 0 - Zone publique. Tout le monde y a accès, et donc on y trouve en général pas grand chose. Bureau d'acceuil, page vitrine du site, etc... * 1 - Zone privée. Zone ouverte à tout le personnel de la boîte, ainsi qu'aux Visiteurs venant de 0 et aillant obtenu une accréditation, généralement temporaire (quelques heures, parfois jours, rarement plus) * 2 - Zone restreinte. Les bureaux de R&D, de la direction fiancncière ou de la stratége marketting. bref, le coeur de la boîte. N'y ont accès qu'un catégorie du personnel (et tout ceux qui ont accès à unz eone de niveau 2, n'ont pas forcément accès à tout le niveau 2 Je rajoute le niveau -1, c'est tout ce qui est à l'extérieur de la boîte (la rue environnente par exemple. [u:d300dca975]Ciruclation des personnes[/u:d300dca975] Au moment de la conception du bâtiment, il faut réfléchir à quelques contraintes: - Un personne qui quitte une zone 2 doit arriver en zone 1. Elle ne doit pas pouvoir arriver dans une autre zone 2 (donc, un directeur financier ne peu pas aller directement dans le bureau de R&D, il doit d'abord repasser par une zone privée) - Une personne en zone 1 peu aller soit en 0, soit en 2 si il en a les accréditations. Donc, il n'est pas possible de sortir du bâtiment directement depuis la zone privée - Une personne en zone 0 ne peu aller qu'en 1 ou en -1 (donc sortir) - Une personne ne peu aller dans une zone que si elle possède une accréditation, ou si elle est accompagnée physiquement apr une personne possédant cette accréditation. [u:d300dca975]PAN et accréditation[/u:d300dca975] Comme tout le monde le sait, le RFID permet de stocker les accréditations (physique ou matricielle) d'une personne dans son PAN. Les nodes qui permettent de les scanner doivent donc être positionner judicieusement (en gros à chaque élévation/diminution du niveau de sécurité d'une zone). De manière générale, voici où sont tolérés les différenst modes du PAN: * Stealth: -1 (et encore que) * Passif: -1, 0 * Actif: -1, 0, 1, 2 [u:d300dca975]A propos des indices[/u:d300dca975] AU cas où vous devriez improviser à la volée un appareil quelconque, une petite façon de calculer les indices: [i:d300dca975]Niveau de la zone cible x 2[/i:d300dca975] me paraît une bonne base (donc oui, pour aller de 0 à 1, ce sont des scanner niveau 2, et de 1 à 2 ils passent en niveau 4. On est encore dans un immeuble de bureau en pleine ville hein :)) [u:d300dca975]Le coût[/u:d300dca975] Un point à ne pas perdre de vue. La protection de donnée ne doit pas coûter plus que la valeur de ces données. EN gros, si je protège des données à X Y, si il faut Z Y à un adversaire pour me voler mes données, et que ma sécurité coute Y Y, mon objectif est de maintenir Z > (X + Y) (car si l'attaque réussie, ma sécurité est inefficace et donc son coût est une perte sèche). Il y a aussi des problématique de temps, et donc le but de la plupart des mesures de sécurités n'ont pour but que de ralentir l'attaquant, juste le temps pour réagir et le décourager/le coincer. [u:d300dca975]L'immeuble, zone par zone[/u:d300dca975] Bien, continuons d'éplucher notre immeuble, tel un oignon (et donc comme un ogre, car ils ont tout les deux des couches ndlr). Je séparerait en trois partie chaque zone: Sécurité Physique, Sécurité Matricielle et Sécurité Magique [u:d300dca975][i:d300dca975]Zone -1 [/i:d300dca975][/u:d300dca975] Le périmèrtre immédiat de l'immeuble. [i:d300dca975]Physique[/i:d300dca975] pas grand chose, après tout, on est pas chez la corpo. Une ou deux caméras qui surveillent les environs, probablement une patrouille d'un maître chien légèrement armé hors des heures de bureau. [i:d300dca975]Matricielle[/i:d300dca975] Pas grand chose non plus. Probablement un agent ou deux qui surveillent l'état des nodes en -1. Globalement parlant, pas de sécurité magique à ce niveau là, on ne veut pas empêcher un visiteur de venir sur notre site vitrine [i:d300dca975]Magique[/i:d300dca975] Et puis quoi encore? Queue dalle. [u:d300dca975][i:d300dca975]Zone 0[/u:d300dca975][/i:d300dca975] Le hall d'acceuil, les salles de presse et autres salles de réunions publiques. C'est aussi les services matriciels fournis au public. [i:d300dca975]Physique[/i:d300dca975] Patrouille de vigile légèrement armés (lacrymo et matraque, un chien sur la moitié des patrouilles par exemple). [i:d300dca975]Matricielle[/i:d300dca975] Tout les nodes de connexions au système. Ils sont disposés un peu partout et accessibles en sans-fil, et permettent de tracer les utilisateurs (PAN en mode actif, on sait sur quels nodes ils sont et on sait où sont les nodes) Tout est en DMZ. ie: il est impossible depuis un accés en 0 de passer à un accès supérieur. Si l'application plante, on en démarre une copie sauvegardée la veille, les données sont stockées en zone 1 de toutes façon, et donc, chaque applications qui attaque des données possèdent une accréditation spécifique (on appelle ça un certificat). Cryptage léger des données (indice 1 ou 2). la plupartd es IC dans les nodes seront des traces et le shutdown arrive trés tôt dans la ligne de défense. [i:d300dca975]Magique[/i:d300dca975] Un veilleur peut-être, ou deux, qui accueilleront les visiteurs gentiment. Je vois pas l'intérêt de claquer plus de moyens à ce niveau là. [More to Come]
  11. 2008-03-17 16:54:33 UTC murdoch
    Le chapitre de sécurité d'Arsenal reprend ce qui était dit dans le guide to real life de SR2 et le chapitre idoine de SR3, ou bien on a des développements? J'avoue que je me fendrais bien de pas mal de choses, mais je veux pas être trop gourmand. Donc, je veux bien discuter, orienter, donner quelques pistes mais en évitant de me laisser aller à ma propension à lâcher des pavés...
  12. 2008-03-17 20:02:02 UTC Blade
    Y'a pas de chapitre sur la sécurité en fait. Juste une liste d'équipements de sécurité en tous genre. D'où cette idée de faire une petite aide de jeu sur le sujet. Merci Okhin, j'attends la suite !
  13. 2008-03-17 22:31:41 UTC Leoric
    SOTA63 avait un chapitre toufu sur le sujet. Certes la partie regle est en SR3, et ça ne prend pas en compte le wireless, mais il doit deja y avoir une bonne base.
  14. 2008-03-17 23:09:31 UTC Wazarnaud
    Puisqu'on parle d'un petit truc dédié aux joueurs, est ce qu'il n'y aurait pas plutôt (Sur le cybi j'ai pas trouvé...) un gros truc à donner aux joueurs débutants, pour qu'ils sachent ce qu'ils doivent faire, ce dont ils doivent se méfier ou pas, bref tout ce qu'un shadowrunner doit savoir en long, en large, et même en travers ?
  15. 2008-03-18 10:57:53 UTC okhin
    Suite de notre épluchage architectural [u:c8aac456d7][i:c8aac456d7]Zone 1[/i:c8aac456d7][/u:c8aac456d7] Bien, les choses sérieuses commencent ici. On trouve dans cette zone tous les bureaux administratifs, les commerciaux ou ingénieur qui ne travaillent pas sur des données dites sensible (donc 80% de la population de l'immeuble). On y trouve aussi tout les servies généraux (tels que intranet, paye, mails internes non sécurisés, etc). La plupart des mesures de sécurités ont pour but de décourager les gens peu motivés, sans pour autant géner le travil des employés (à ne pas perdre de vue!!! un système trop sécuriés est inutilisable, et les utilisateurs mettent en place des manoeuvres de contournement qui rendent caduques toutes les sécurités!!). [i:c8aac456d7]Physique[/i:c8aac456d7] Pas grand chose, il ne faut pas géner les gens qui travaille. Pour la plupart ce sont des camrés, des sas d'accès nécessitant un pass/acréditation. Quelques drônes légers. Des scanners de cyberware sont également présents, pour détecter toute présence d'implant non déclarée. Pareil pour les armes. On trouvera ces scanners sur les accés 0->1, pas à l'intérieur de la zone 1. Les vitres polarisées peuvent permettre de rendre le cadre de travail plus sympathique, de décorer la façade de l'immeuble et d'empêcher de zieuter l'intérieur de l'immeuble avec de simples jumelles, donc on peut en équiper toutes les façades. Lorsque les locaux sont vides, il y a des patrouilles physiques (drones en général, armés d'armes non léthales mais incapacitante, plus rarement des gardes de zone 2 qui récupèrent le périmètre pendant la nuit) [i:c8aac456d7]Matricielle[/i:c8aac456d7] La plupart des serveurs sont cablés. On y accède par des nodes d'accés sans-fil disposés dans les bureaux et qui sont reliés à un serveur d'authentification léger. Une peinture à la ferrite est appliquée à l'extérieur du périmètre pour empêcher la connexion aux nodes sans fil depuis l'extérieur, mais avec un bon signal rien d'insurmontable. Au niveau des défenses, on trouvera beaucoup de CI traces ou qui ralentissent l'attaquant, les services applicatifs sont embarqués dans des VM [i:c8aac456d7]jail[/i:c8aac456d7] qui sont sauvagement redémarrées. On pourra croiser une paire de spider qui traînent en journée ou la nuit, mais qui ont essentiellement pour mission de détecter les défaillances systèmes. [i:c8aac456d7]Magique[/i:c8aac456d7] La sécurité magique dépendra de l'activité des locaux. Par exemple, si il y a des travaux avec de recherche avec des mages, ou des services magiques par exemple. Dans la plupart des cas, on aura la même chose qu'en sécurité 0, avec un mage d'astreinte pour le backup (magie 4 à priori, et qui utilisera des sorts légers dans la mesure du possible). Si il y a une raison à avoir quelque chose de plus sérieux (ne perdez pas de vue le coût d'une telle protection), on pourra avoir des patrouilles de veilleurs et des wards légers sur tout ou partie des bureaux. Une sorte de scanner magique permettra aussi de détecter les intrusions astrale, mais encore une fois, je pense que ce n'est pas présent partout, surtout que ce genre de sort coute cher et nécessite d'être entretenu. Si la corpo est trés accés magie, pourquoi pas, mais je pense que ce sera présent dans 25 à 40% des cas [u:c8aac456d7][i:c8aac456d7]Zone 2[/u:c8aac456d7][/i:c8aac456d7] Bien, ici nous sommes en zone protégée, généralement le coeur d'attaque des runners. [i:c8aac456d7]Physique[/i:c8aac456d7] Sas d'accés avec identifiaction biométrique en plus de l'accréditation. Présence de gardes armés à l'entrée du SAS, ces mecs sont à priori entrainés (voir les profils de grunt de SR4, du niveau de cadre corpo par exemple), et généralement implantés. Des drônes lourd (Dalamtaian, Steel lynx) et armés de vrais armes patrouillent et quadrillent la zone. Les senseurs divers sont nombreux et couvrent toute une gamme de détection (cyberware, bioware, vision normale, infrarouge, etc). Les murs sont épais, et souvent équipés de détecteur de vibrations. On ajouteras aussi les précautions nécessaire au corps de métier (par exemple, dans le cadre de la virologie, on mettra des combinaisons NCB, des stérilisateurs, etc...) Les murs sont quadrillés de ferraille et empêche toute onde électromagnétique d'entrer ou de sortir. Les patrouilles ont lieu à intervalle irréguliers pour rendre plus complexe la tâche des gens qui tentent de s'infiltrer. Selon la politique de la boîte, on pourra également avoir des diffuseur de gazs neuro toxique qui paralyseraient des attaquants, des systèmes d'éclairage qui se coupent lorsque le bâtiment est en alerte, et généralement les sas et autres portes se verrouillent en position fermée, même en alerte incendie (ce qui implique d'avoir de bons moyens d'intervention pour éteindre les incendies). [i:c8aac456d7]Matricielle[/i:c8aac456d7] Aucun node sans fil. Les cominks doivent êytre physiquement connectés aux serveur d'application, et l'intégrité du comlink est vérifié avant chaque connexion (ie: on vérifie qu'il n'y a pas eu de nouvelles applis installées, que les données n'ont pas été modifiées ou altérées, etc). Tout les systèmes informatiques sont redondants et isolées de la zone 1. Les salles qui hébergent les serveurs sontdes salles blanches et disposent de diffuseurs de gaz qui neutralisent l'oxygène pour arréter les incendies. Les ndoes ruissellent de glace noire agressive. On y trouve beaucoup de trace pour faire grimper trés vite l'indice de sécurité du système, qui seront suivies d'IC qui détruiront les comlinks et les icônes intruses. Les fichiers sensibles sont piégés, et globalement TOUT est chiffré. Les systèmes de communications des équipes de sécurité, sont redondants (émissions sur deux canaux simultanée et différent), chiffré et réduit au minimum. [i:c8aac456d7]Magique[/i:c8aac456d7] Bio fibre partout dans la mesure du possible. Si il y a des objets magique à protéger, on ajoutera des wards autour des ilots concernés. On trouvera généralement des mages trés agressifs avec les équipes de sécurité qui utiliseront la manipulation mentale, la confusion et autre au début,a avnt de sortir les boules de feu et autres sorts plus incisifs. Des esprits peuvent rejoindre les patrouille, et la plupart des mages possèdent un sort de soin pour renforcer l'équipe qui essuit le feu. Voilà pour l'épluchage en règle de l'immeuble. La zone 1 est volontairement light, mais c'est là que bosse la plupart des gens et les mesures de sécurité ne doivent pas être trop contraignante. Le plus dur est de définir si une zone est de niveau 1 ou 2 au final.
  16. 2008-03-18 12:59:01 UTC okhin
    mes deux posts ci-dessus sont sous licence CC-by-sa, donc reprenez les si vous voulez pour un LdL ou un ciby, ou que sais-je encore. Ca s'applique ussi à tout ce que je pondrait par la suite sur ce sujet :)
  17. 2008-03-18 13:02:29 UTC Blade
    Ok, merci encore Okhin ! @Wazarnaud: Non, on en avait discuté un jour, mais comme beaucoup de projets, personne n'a pris l'initiative de le faire donc c'est pas allé très loin. Si tu veux lancer une discussion là-dessus, hésite pas à ouvrir un nouveau sujet.
  18. 2008-03-18 13:16:56 UTC okhin
    Bon, maintenant, acheter les PDF Arsenal, et je vous fait un exemple (probablement un fichier PDF) d'immeuble avec plan par exemple. Ah, et faudrait que je me ressorte le Corporate Download, qui donnait les "préférences" en sécurité des corpos (Renraku a, "étrangement", une grosse sécu matricielle par exemple ;)) Okhin
  19. 2008-03-18 16:02:19 UTC okhin
    Bien, détaillons maintenant quelques points clefs d'un immeuble corpo, ainsi que les endroits sur lesquels agir en tant que runner. [b:f77d650134]Le Hall d'acceuil - Zone 0[/b:f77d650134] [i:f77d650134]Physique[/i:f77d650134] On trouvera classiquement dans ce hall, une ou deux hotesses d'acceuil. Probablement sensibilisées à la sécurité informatique (donc non, à priori, il faudra faire un peu plus que leur demander gentiment pour avoir des infos). Elles représente cependant un des points d'accès au niveau 1, car elles ont accès aux annuaires et agendas de toute l'entreprise (data de niveau 1 à priori). Cela dit, elles sont un poil protégées quand même. Comlink branché en filaire pour commencer, et quelques ORA pour les aider dans leur tâches (standard automatisé, gestionnaire d'agenda, et autre), et probablement aucun passage derrière (ou sous bande de pervers) le bureau n'est possible depuis le hall. Un vigile surveille le hall depuis son poste de garde, attenant le hall de sécurité. Il va régulièrement taxer du café aux différents distributeurs de boissons chaude (ce qui lui permet de discuter avec les hôtesses d'acceuil). Les accès depuis les zones -1 se font par des portillons tournant qui empêchent les personnes de rentrer par pack de 12, fluidifiant ainsi les flux de personnes. Ces accès sont généralement doublés de scanner d'armes et de cyberware, et vérifient dans une base si le cyber est déclaré (certains employés ont certains cyberware). Il y a aussi probablement une ou deux caméras tridéo connectées à des enregistreurs (24h au max de données ainsi sauvegardées, effacement ait à une heure fixe). Pour ce qui est des accès aux étages, outre les escaliers de secours (mais qui ne s'ouvrent pas depuis le hall), il y a pléthore d'ascenseurs (une demi-douzaine parfois) qui possèdent une spécifités: il ne s'ouvrent qu'à la demande de l'ORA qui les gères (et donc, soit parceque l'hotesse d'accuil lui a demandé, soit parceque vous avez en poche le tag RFID qui va bien). ET il y en a toujours un au rez de chaussée, histoire de réduire lestemps de latence. [i:f77d650134]Matriciel[/i:f77d650134] Des ORA permettent aux visiteurs d'en apprendre un peu plus sur l'entreprise (du moins pour ceux qu sont en Actif). Mais ils restent relativement discrets pour ne pas emmerder et faire fuir les utilisateurs. Les visiteurs ont d'ailleurs accès à un peu de logistique, telles que fonction de messagerie et autres joyeuseté qui leur permettent de finir de préparer leurs réunions. Bien entendu, il est possible d'accéder à la Matrice depuis le Hall d'acceuil, sans s'authentifier sur le portail de la boîte. Cela dit, à priori, il y a un proxy filtrant pour contrôller que les visiteurs ne font rien d'illégal. Les nodes ne sont pas connectés aux système de zone 1 à priori, sauf exception (mais je vois pas bien lesquelles). A priori, pas grand chose ne tourne dessus (à part des sondes traces qui vérifient la légitimité de la connexion, mais rien de méchant). Bien entendu, des canaux d'informations sont disponibles en temps réel, il suffit d'y abonner son comlink. C'est la corpo qui paye (et donc, il s'agît de chaîne corporatistes hein, faut pas déconner non plus) [i:f77d650134]Magique[/i:f77d650134] Un esprit de l'homme peut-être, pour orienter le visiteur si l'immeuble à besoin d'une vitrine magique, mais c'est tout. [u:f77d650134]Par où attaquer?[/u:f77d650134] On l'a vu, les hôtesses d'acceuil sont LA faille de sécurité. Situées en zone 0, elles ont une élévation de privilège pour accéder en zone 1. Le social peu fonctionner (Psychologie pour faire un profil, puis Con est l'approche à préférer). Il faut probablement les travailler au corps, mais rien d'insurmontable pour un face. Cela peu juste nécessiter une bonne journée de travail, de la suivre après le taff pour voir ou elle sort, etc... Une fois qe l'on a accés aux agenda et autre, on est en zone 1, une bonne part du boulot est fait, du moins pour une attaque matricielle. Il est possible de négocier une accréditation de "nettoyage". Pour pouvoir accéder au bureau, il suffit de passer la vérification du SIN (donc, Zone 1, niveau 2) par la secrétaire et de passer l'air décontracté (un petit test pour vérifier ça peu rendre les choses...intéressantes). Après, je voit rien de particulier là. Okhin [EDIT: Les ascenseurs, j'avais oublié les ascenseurs]
  20. 2008-03-19 11:05:40 UTC neko.miaou
    J'adore ce que tu fais, Okhin!!!
  21. 2008-03-19 11:12:45 UTC okhin
    Oui, moi aussi :D Okhin
  22. 2008-03-19 11:53:21 UTC Leoric
    Je suis globalement d'accord avec Okhin, mais pas dans le detail :p . Déjà, je vois bien un niveau 2 un peu plus leger, et ajouter un niveau 3 qui se rapproche un peu plus de l'esprit "zero zone". Simplement parceque tes cadres corpos egocentriques et pedants de la zone 2, ils ne vont pas forcement apprecier la pression de la securité en permanence (genre croiser des drones armés et lethaux dans les couloir, ça ne met pas à l'aise, surtout après l'incident de l'archologie Renraku). Donc peut etre plus de securité discrete et humaine ici. Par contre, zone 3 on aurait les infrastructures sensibles quasi automatiquement: Datacenters, Labo, R&D, eventuellement les bureaux de la direction, QG securité. Ensuite, pour la partie magique, il faut voir que: - Avoir un mage en permancence sur place c'est un cout important, alors plusieurs, c'est uniquement dans les coins les plus chauds. Par contre, avoir des veilleurs, des wards, un ou plusieurs esprits liés au site, et autres c'est dejà plus accessible. Dans l'ordre, le moins cher reste le ward, qui coute à peu de chose près 1¥: le prix de la craie pour le tracer. Ensuite, le veilleur qui coute peu (automatiquement esprit de niveau 1 en SR4). Pour les biofibres dans les murs, y une notion architecturale et de BTP qui augmente le cout, et les esprits, de toute maniere ça se compte en miliers de nuyens. Pour le coté matriciel, la peinture antiwifi est un must peu onereux mais assez contraignant, etant donné que certaines personnes vont frequement travailler dans differents niveaux de securtité. Mais je pense surtout qu'on aura beaucoup plus de details à ce sujet dans Unwirred (et donc il faudra probablement metre à jour l'article à ce moment là). D'un point de vue architecture, meme si ce que tu annonces tiens la route d'un point de vue securité, d'un point de vue pratique, il y aura forcement des failles au niveau de la communication des differentes zones entre elles. On peut tout à fait immaginer des accés directs entre un niveau -1 et un niveau 1. Tout simplement parceque les batiments ne sont generalement pas construits exclusivement pour accueillir telle ou telle architecture de securité, mais existent depuis plus longtemps, par exemple à une epoque ou le piratage wifi n'existait pas, voir meme avant l'eveil. Et puis quelques contraintes techniques peuvent se poser: une cage de faraday autours d'un labo de R&D en telecoms peut poser des problemes, des biofibres vivantes dans un environnement à risque de contamination peut etre risqué, etc... voilà!
  23. 2008-03-19 11:59:20 UTC Blade
    Le truc qui me dérange pour le ward c'est l'impossibilité de mettre un ward dans un autre. Ca fait que pour warder efficacement un bâtiment avec plusieurs couches (par exemple un petit ward pour l'enceinte externe et d'autres wards pour les lieux plus sensibles) il faudra faire un ward par mur et un pour le toit (voire pour le sol si c'est pas directement sur terre).
  24. 2008-03-19 12:01:47 UTC neko.miaou
    Là, Okhin nous parle d'un petit immeuble de bureau dans le centre ville pas d'un labo ultra secret au pole nord. Donc, pas besoin d'une zone de niveau 3 ici, et la zone de niveau 2 ne me parais pas forcement abusive, à partir du moment on l'ou n'y trouve que les application vraiment sensible du site (genre les serveurs du batiment, avec tout les accès au réseau intranet de la boite). Pour les cadres, chef et autres, tant qu'ils ne sont pas en train de bosser sur du super sécurisé, ils peuvent largement ce trouver en zone 1, avec éventuellement un leger (mais discret) boost de la sécurité pour ces VIP. Après, le niveau 3 (zero zone etc) bien sur ça existe, mais ça n'est pas ce qui est decris ici, et de toute façon, seul un groupe de runners hautements couillus (et karmatu) devrait pouvoir y rentrer....
  25. 2008-03-19 12:17:38 UTC inchenzo
    pour l'accès du niveau -1 au niveau ça peut très bien être le parking souterrain. Ensuite, je me posais surtout la question des procédures des gardes de sécurité, quelles sont leurs premières réaction face à un bruit suspect, en cas de rencontre avec des intrus etc.. j'imagine que dans tous les cas, la première chose à faire est d'alerter le central par radio ( et la problème de communications dans les zones protégées), afin que l'information ne soit pas perdu en cas de pépin. Du genre: [i:c813304f4b]Barney notre garde basique fait sa ronde à minuit et aperçoit la porte du local a balai entre-ouverte[/i:c813304f4b] Première réaction: "Central, ici Barney je vais vérifier le local 32 au 2e" "Ici central, bien reçue" Si c'est juste une porte mal fermée par un employé, pas de problème Barney n'aura qu'à lancer un [i:c813304f4b]RAS[/i:c813304f4b] dans sa radio et reprendre sa ronde Si Barney se fait assommer ( embuscade des intrus) des son entrée dans le local, le central aura des doutes au bout de 30 secondes vu qu'il n'aura plus de nouvelles de Barney Si Barney tombe sur des intrus ( mais pas d'embuscade cette fois), sa première réaction ne sera surement pas de les attaquer mais de prévenir le central et de se mettre à l'abri. Barney n'est pas un commando, c'est un garde payé le minimum syndical (pas de prime de risque, juste une augmentation de 25% pour les horaires de nuit, d'ailleurs c'est pour ça qu'il a accepté ce job), il a une femme et un mioche. D'ailleurs, barney a surement un gros bouton rouge sur sa radio, un genre de panic button, envoyant un signal de position et déclenchant l'alerte
  26. 2008-03-19 12:30:56 UTC okhin
    [quote:34458028ba="Leoric"]On peut tout à fait immaginer des accés directs entre un niveau -1 et un niveau 1.[/quote:34458028ba] Ouip, mais là c'est de la théorie que j'ai énoncé, des principes et autres qui ne sont oas tous respectés. Les hôtesse d'acceuil de zone 0 et qui ont accès à de la zone 1 (matricielle) est un exemple, les problèmes d'accès par les parkings en sont un autre. On en arrive d'ailleurs à un paradoxe intéressant. Plus une architecture est sécurisée et complexe, et donc inutilisable, plus il y aura de faille mise en place par les utilisateurs pour pouvoir utiliser le système. Donc, lorsque vous concevez un bâtiment qui va se faire inflitrer par les runners, pensez avant tout au fait que ce bâtiment a été conçu pour que des gens y travaillent et ce de manière optimale. A priori, 95% d'un bâtiment sera en zone 1, et donc au final assez simple à pénétrer (avec de l'aplomb, un chouïa de repérage, et un poil de psychologie). La difficulté est que généralement la cible d'une run sera en zone 2.
  27. 2008-03-19 12:57:58 UTC okhin
    Bien, continuons notre visite des lieux. je donnerait plus tard des angles d'approches orientés runner (et selon les axes voulus: social, magique, matrice, physique). [b:1669c5966f]Le parking du personnel - Zone -1 à 1[/b:1669c5966f] Oh, la belle faille de sécu que voilà. Le parking est généralement situé autour/sous l'immeuble corporatiste, voire paratgé avec d'autres corpo, notament en centre ville. Il y a en général trois périmètres: - Visiteurs (Zone 0) - Employés (Zone -1 et 1) - Livraisons (Zone 1) [i:1669c5966f]Zone visiteurs[/i:1669c5966f] Rien de particulier ici. Quelques caméra, des places de parking, un système de grid pour orienter les chauffeurs vers les places disponibles, et des ORA qui jouent le rôle des hôtesses d'racceuil pour savoir avec qui la personne à rendez-vous. Il y a un maître chien cependant, pour éviter que des voyous ne viennent visiter de manière impromptue les véhicules des clients. [i:1669c5966f]Zone employé[/i:1669c5966f] Alors, pourquoi la zone employée est-elle en zone -1 et 1? Tout simplement parceque la même zone de sécurité est partagée par deux corpos par exemple (et donc, la corpo B fait partie du niveau -1 de la corpo A, et réciproquement). Donc, dans un même niveau de parking protégé par des accès identique, on trouvera des véhicules de deux corpos différentes côte à côte, ce qui peu faciliter une intrusion discrète (ben oui, si vous vous faites passer pour des employés de B, vous avez également accès au parking de A, et donc vous passez automatiquement en zone 1 de A, et vous voilà dedans) [u:1669c5966f]Physique[/u:1669c5966f] Au niveau des moyens techniques, un lecteur RFID qui commande la barrière d'accès et qui nécessite la présence des bonnes authentification de la voiture ainsi que de ses passagers, un PC de sécurité avec garde, drônes et chiens prêt à intervenir. Caméras tridéos qui diffusent sur un node du PC de sécurité et scanners permettent d'analyser un peu mieux les voitures. Des brouilleurs de faible niveau sont là pour rompre les flux de communications radio, et empêcher un hacker externe de prendre le contrôle à distance d'un véhicule(bon, il peut passer par la matrice, mais c'est plus complexe déjà). Il y a aussi un centre d'entretien/lavage qui peu s'occuper de la mécanique légère (changer l'huile, les roues, les filtres) et de l'électronique (vérifier les autonavs, mettre à jour les accès, etc) ainsi que de faire briller les voitures. Bien entendu, ces services sont refacturés au servie et donc réservés à ceux qui en ont besoin (les chefs quoi). Enfin, des escaliers roulants et des ascenseurs permettent aux costard de rejoindre leur lieu de travail en douceur. Ces accès nécessitent, bien entendu, d'être accrédités pour les utilisé. Un petit sas au bout de l'escalier roulant par exemple, ou les portes de l'ascenseur qui ne s'ouvre que sur les bonnes ID. [u:1669c5966f]Matriciel[/u:1669c5966f] On trouve quelques ORA dans le coin. Principalement de deux types: - Des assistants qui vont aider les décideurs divers et variés, et notament les prévenirs des visiteurs en attente, des rendez-vous de la journée, ou du contenu de leurs messageries. - Des chauffeurs qui vont s'occuper de diriger la voiture vers une place de parking libre, et de déclencher les opérations de maintenance nécessaires. Il n'y a que peu de node WiFi disponibles ici, juste de quoi héberger les ORA et se connecter au réseau de télécommunication de la corpo. C'ets porbablement le arent pauvre de la sécurité du parking [u:1669c5966f]Magique[/u:1669c5966f] Comme une zone 1 standard. Une paire de veilleur dans le meilleur des cas, ou une astreinte téléphonique pour le mage de sécu de zone 2 au cas où. [i:1669c5966f]Livraison[/i:1669c5966f] Les quais de chargement sont eux, spécifiques à une corpo, car ils donnent en général directement dans les entrepôts et ateliers ou ils sont nécessaire. C'est aussi par là qu'arrivent les vans des employés d'entretien pour les déposer pour la journée. [u:1669c5966f]Physique[/u:1669c5966f] Portes roulantes sous alarme, et gardes de sécurité armés sont un minimum, même si ils ne font que taper le carton dans le poste de garde. Il y a aussi moults scanner de marchandises, et sanner RFID, ne serait-ce que pour faciliter la tâche des dockers (pas besoin de sortir 6 caisses pour trouver la bonne, on prend directement celles dont on a besoin. Des drônes s'occupent d'ailleurs de décharger les camions. Ils sont pilotés par des autonavs et supervisés par un docker/hacker qui se pose tranquillement au chaud à l'intérieur des hangars. Il y a aussi une kitchenette et une petite salle de bain, pour les routiers qui auraient roulé toute la nuit, afin de leur permettre de se laver un brin et de casser une croute au chaud en attendant que les drônes déchargent. Cette partie n'est cependant accessible que si les routiers se sont préalablement enregistrés sur le site matriciel adéquat (site de niveau 1, nécessitant donc une légère vérification de SIN). [u:1669c5966f]Matriciel[/u:1669c5966f] Vérification des itinéraires des camion par système de GRID, pour valider le fait qu'ils viennent bien de là où ils ont dit venir. Un node permet aux routiers d'enregistrer leurs étapes, et de valider la livriason (plutôt que de faire signer un bon par quelqu'un). Il héberge aussi les réseaux de communication routiers, ainsi que quelques canaux d'informations publique. On trouvera globalement un agent, en assistance au hacker/docker, pour gérer les déchargements afin de libérer au plus vite un quai de chargement. Des algorithmiques assez complexe peuvent être mises en oeuvre, en anticipant les arrivées des camions grâce à leurs transpondeurs et à la GRID. [u:1669c5966f]Magique[/u:1669c5966f] Si il y a des artefacts particuliers à transporter, ou du matériel à convoyer en zone 2, il pourra y avoir des petits esprits type veilleurs pour valider le contenu. [u:1669c5966f][i:1669c5966f]Par où rentrer[/i:1669c5966f][/u:1669c5966f] Le plus simple est d'obtenir une accréditation pour la corpo qui partage éventuellement le parking avec la cible, ça évitera à la cible d'avoir des soupçons, et ça permet de pouvoir fouiller tranquillement les voitures de la corpo cible et de passer en zone 1. Il est simlple de se faire embaucher dans els équipes d'entretien des voitures, en principe parceque des ORA s'occupent de valider le boulot. Il n'empêche que cela peut permettre de modifier la voiture, ou de choper les données des itinéraires pour monter une embuscade par exemple. Enfin, si les runners ont les moyens, ils peuvent se faire embaucher pour conduire un camion de livraisons (ou le détourner), ce qui peut leur permettre de rentrer physiquement dans les entrepôts de zone 1. Enfin, hacker les drônes de déchargement permets de faire entrer du matériel en zone 1, voire 2 si les entrepôts possèdent une zone 2. Okhin
  28. 2008-03-19 17:14:01 UTC Blade
    Bon, pour participer un peu à mon propre sujet (quand même), au niveau des appareils de sécurité : [b:a905f26a5f]* Caméras :[/b:a905f26a5f] La caméra de sécurité reste un des appareils de base. Elle permet non seulement de détecter l'intrus lors de l'intrusion, mais aussi de garder une trace de l'activité. [u:a905f26a5f]Quoi ?[/u:a905f26a5f] Une caméra de sécurité peut-être très petite et intégrée quelque part (dans un mur ou une décoration quelconque) de telle sorte qu'elle sera invisible. Elle peut être fixe, sur pivot ou même mobile. Ses mouvements pourront être programmés, télécommandés, aléatoires ou "intelligents" (suivre une personne par exemple). Elles peuvent être sans fil ou câblées. Le sans fil est plus facile et rapide à déployer, mais pour avoir une sécurité un peu sérieuse, on utilisera plutôt des câbles. [u:a905f26a5f]Où ?[/u:a905f26a5f] Partout. Elle peut surveiller la rue devant le bâtiment, n'importe quelle salle du bâtiment peut être couverte... A ce sujet, je pense qu'il n'y a que dans les films et les jeux vidéos que les caméras sont installées/programmées pour avoir un angle mort juste le temps pour l'intrus de s'infiltrer. [u:a905f26a5f]Combien ?[/u:a905f26a5f] Les caméras ne coûtent pas cher, le stockage des vidéos non plus... Donc on peut se permettre d'en installer beaucoup dans le moindre lieu à surveiller un peu. Cependant, une bonne qualité d'image ou des modifications (vision lumière faible, etc.) feront monter le prix, sans non plus atteindre des sommets. [u:a905f26a5f] Les risques :[/u:a905f26a5f] Être vu lors d'une infiltration, laisser une trace de son passage, laisser son apparence. [u:a905f26a5f] Les détecter :[/u:a905f26a5f] Il existe des appareils permettant de détecter les caméras [à compléter quand j'aurais retrouvé la référence]. Les caméras en mode sans fil pourront aussi être détectés par le programme Scan. Les détecter à la vue sera rarement possible, à l'exception des caméras thermographiques, qui pourront peut-être être détectés par vision thermographique en raison du rayonnement qu'elles produisent (quoique ce n'est peut-être plus vrai en 2070). [u:a905f26a5f] les contrer :[/u:a905f26a5f] Tout dépend de l'objectif. Si les caméras ne font qu'enregistrer, il suffira d'effacer l'enregistrement ou de le remplacer par un faux. Si les caméras sont surveillées (ou sont "intelligentes") ça devient plus compliqué. Rester en dehors du champ de vision ne sera pas toujours visible, reste donc deux solutions principales : le sort d'invisibilité amélioré qui fonctionne aussi bien sur les caméras normales que les thermographiques ou le hacking. Le hacking demandera d'accéder à la caméra (ou au cable/réseau entre la caméra et le central) et ensuite soit de la désactiver (ce qui peut déclencher une alarme ou être remarqué par un gardien), la déplacer ou d'y envoyer un flux vidéo factice généré en temps réel (un hacker ou un agent avec un programme Edit pourra le faire). Attention toutefois à le faire subtilement: la moindre coupure du signal ou irrégularité peut provoquer une alerte. Enfin le coup des films de repasser en boucle l'image des 5 dernières secondes ne marche déjà pas à l'heure actuelle. La cape thermique, ou autre "protection" thermographique permettra de ne pas détecter votre signature thermographique, mais ne vous empêchera pas d'être détecté par la caméra : il y aura malgré tout une perturbation lors de votre passage. De même, les fumigènes sont un bon moyens de ne pas être reconnu, mais déclencheront à coup sûr une alerte si quelqu'un surveille ou que la caméra est intelligente. Le ruthénium, associé à un mouvement lent, pourra passer inaperçu. Enfin, porter des cagoules ou déguiser son visage est toujours un bon moyen d'éviter l'identification visuelle... mais n'empêchera pas d'avoir des informations sur votre apparence générale ainsi que votre démarche et d'autres infos qui permettront de vous retrouver.
  29. 2008-03-24 04:34:34 UTC Gorak
    Bonne initiative : je soutiens... Comme Gris-Gris, je fais plutôt partie de ceux à qui ça profite, que de ceux qui peuvent écrire sur le sujet :roll:
  30. 2008-03-25 16:31:12 UTC okhin
    Bon, je suis en train de lire le dernier MISC, avec un dossier consacré à la Lutte Informatique Offensive, et un article intitulé: "Petit mémo d'identification des failles à l'usage du prédateur informationnel..." En remplaçant "prédateur informationnel" par runner, on a un truc pas mal. je vous mettrait une synthèse des failles utilisés, et des moyens de s'en prémunir dés que je l'ai assimilé. Mais pour info, ils sont trés générique (oui, ils vont fouiller dans les poubelles, fréquenter les mêmes nights clubs que leurs costard, réucpérer des infos financières en créant une "shell company", etc). Donc, pas d'intrusions physiques, mais tout le boulot de renseignement/préparation que devrait faire les runners/jonhson avant de partir en run. Je ferait ça en deux axes (Mesures physique ici, et HowTo dans le guide de survie). Okhin
  31. 2008-03-25 16:51:54 UTC skip
    Si on admet que tout se passe en zone 1 ou presque (on aura en zone 2 la partie exploit) alors il faut rajouter une zone 1.5 - les bureaux de la direction. Pas de gardes armés ici, mais quand même une sécurité renforcée. Par ailleurs, la première faille aujourd'hui est humaine. Et je parierais que demain il en sera de même. Donc le personnel de la zone 2 (sysadmin, dba...) doit être encadré, y-compris à la maison.
  32. 2008-03-25 16:57:52 UTC okhin
    Euh, alors on a pas du se comprendre. Les sysadmins (je le sait, 'jen suit), ne font que rarement parti du personnel protégé. Ils ne manipulent pas les données, juste els serveurs. Ils ne savent probablement même pas comment focntionne l'appli (cest pas leur boulot, c'est celui des développeurs). Les serveurs seront en zone 2, les pc d'admins en zone 1 (et oui, ils constituent une frontière zone 1 vers zone 2, mais il faut que ça reste utilisable). Quand aux directeurs, ils sont probablement en zone 2. Déjà, il faut passer les assistantes de direction, leurs communications sont plus que probablement chiffrée, etc.. Mais laissez moi le temps de détailler tout ça :) Okhin PS: A, et tant que j'y suis, ça reste des idées de base, des grandes lignes qui ne sont jamais toutes appliquées, qui évoluent et qui dépendent de la mentalité des entreprises. PS2: Pour les failles humaine,s elles sont réduites. Les gens le savent, les copros aussi. Il y a des formations/sensibilisation du personnel régulière, des coachs et autres psys qui suivent les cadres important et qui sont chargés de détecter les faiblesses de telle ou telle personne, des employés dévoués corps et âmes à la corpo (si ils perdent leur job, ils perdent leur SIN, leur maison, probablement leur femme, etc...trés vrai dans les corpos asiatique par exemple).
  33. 2008-03-25 17:08:42 UTC skip
    [quote:ee3719f89d="okhin"] Les sysadmins (je le sait, 'jen suit), ne font que rarement parti du personnel protégé. Ils ne manipulent pas les données, juste els serveurs. Ils ne savent probablement même pas comment focntionne l'appli (cest pas leur boulot, c'est celui des développeurs). Les serveurs seront en zone 2, les pc d'admins en zone 1 (et oui, ils constituent une frontière zone 1 vers zone 2, mais il faut que ça reste utilisable). [/quote:ee3719f89d] J'ai passé trop de temps dans la banque privée à traiter des problèmes de sécurité avec Genève, il faut croire :) je détaille ce soir.
  34. 2008-03-26 08:51:52 UTC okhin
    Volontier :) Cela dit, à priori, les systèmes bancaires sont probablement parmi les plus sécurisés du moment et ne constitue pas la règle mais l'exception (quoique, quand on voit le cas Société Générale, le système il est sécurisé, mais les procédures de sécurité ne sont pas suivies...). Et ce rapport aux procédures de sécurités appliquées ou non, mériterait une aide de jeu à elle seule ^^ (car oui, ça dépend des personnes, du nombre de fois par jour qu'elles y sont confrontées, de la fréquence des changements de procédures, de la lourdeur de ces procédures, etc...) Okhin
  35. 2008-03-26 09:08:36 UTC skip
    ça n'a pas été hier soir :) En gros, (je bossais avec eux depuis Paris, je n'ai pas eu l'occasion d'y aller) les serveurs d'exploitation et les serveurs d'admin (je parle des trucs relatif à la sécurité des données bancaires, pas le serveur mail, hein :) )sont dans un bunker. En temps normal, il n'y a personne dans le bunker (ni sysadmin, ni dba). Si une intervention manuelle (mise en production, bug...) doit être réalisé dans le bunker, alors un sysadmin ou dba habilité va entrer physiquement dans le bunker, se connecter sur les serveurs d'admin pour réaliser les opérations de maintenance sur les serveur d'exploit. Il y a ensuite une zone moins sécurisée, dans lequel il y a l'ensemble des personnels habilités à utiliser ces applications. Cela implique que les ordinateurs utilisés pour ces applications n'ont, en général, pas installés les applications classiques (type mail...). Il y a donc deux ordinateurs par personne.
  36. 2008-03-26 09:46:05 UTC okhin
    Oki, donc serveurs en zone 2, admins en zone 1. Comme partout quoi :) EDIT: Si tu peux détailler un peu (sans nom ou autre) à la sauce 2070, pour donner un exemple de salle serveur sécurisée (en physique), ça pourrait être sympa :)
  37. 2008-03-26 10:19:48 UTC skip
    [quote:21c34bf46a="okhin"]Oki, donc serveurs en zone 2, admins en zone 1. Comme partout quoi :) [/quote:21c34bf46a] Nop. Pour bien comprendre, je vais rajouter une zone. Zone 1 : la zone de travail normale Zone 1+ : la zone des serveurs de sécurité normale (intranet, mail etc...) Zone 2 : la zone de travail de sécurité avancé Zone 2+ : la zone des serveurs de sécurité avancé Pour la zone 1+ : on a uniquement l'exploit, les admins sont en zone 1. Pour la zone 2+ : on a à la fois l'exploit et les machines d'admin. Les admins bossent en général dans une autre zone, mais en cas d'intervention sur les serveurs de la zone 2+ (mise en production, évolution...), ils doivent physiquement se déplacer pour entrer dans la zone 2+, se connecter sur les PCs d'admin. EDIT : quand aux utilisateurs qui travaillent sur des applications hébérgés en zone 2+, ils sont naturellement en zone 2. S'ils doivent utiliser également des applications de zone 1, ils auront alors deux ordinateurs différents. [quote:21c34bf46a] EDIT: Si tu peux détailler un peu (sans nom ou autre) à la sauce 2070, pour donner un exemple de salle serveur sécurisée (en physique), ça pourrait être sympa :)[/quote:21c34bf46a] Ok, j'y réfléchis. Notez bien que je suis très novice dans Shadowrun :)
  38. 2008-04-07 10:17:49 UTC okhin
    Hum, oki, il y a un problème d'incompréhension alors avec ce que j'ai dit. Les zones ne sont pas géographiques mais logique. Ie: Une zone 2, peu très bien être un node matriciel hébergé dasn une salle en zone 3 ou en zone 1 physique. On trouve aussi des termianux d'accès à la zone 3 depuis une zone 2 physique, ces terminaux sont comme des sas, des ascensseurs. De même, un organigramme fonctionnels possède plusieurs zone de sécurité (les designers et les gars pointus qui bossent en R&D sont en zone 3, le service de paye est une zone 2, l'entretien des locaux est une zone 1). Toutes ces zones, se superposent. Si elles sont toutes identiques (ie: les designers de zone 3? sont dans des locaux de zone 3 et travaillent sur une matrice de zone 3), tout baigne. Les trous de sécurité sont au niveau de changement de zone. Mais en général, il y a toujours des endroits....étrange (des membres de zone 1 (personnel d'entretien) ont accès à une zone 2+ (ben oui, faut bien qu'ils fassent leur boulot), ou une secrétaire de direction (zone 2) connait les RdV des designers, et à accès à leur emploi du temps (zone 3)). Bref, la faiblesse d'une structure corporatiste n'est pas que sur un seul niveau. On la trouve à tout les étages (physique, matriciels, fonctionnels, humains, magique.., et il est nécessaire pour un runner ou un membre de la sécurité, de bien connaitre ces différentes zones, et la façon dont elles se superposent, afin de voir quels sont les points forts de la structure (généralement tout ce qui protège son cœur de métier) et aussi leurs points faibles (services généraux et commerciaux en premier, ainsi que toutes les structures dites "transverses"). Et ces points faibles peuvent être anodins. Un fax de service par exemple, qui devient défectueux. La secrétaire va automatiquement utiliser l'autre fax le plus proche (parfois dans une zone de sécurité différente, plus élevée ou plus faible), permettant ainsi à quelqu'un de bénéficier d'une élévation de privilège (la porte s'ouvre, il suffit de la tenir avec un sourire de 1° classe pour aider la secrétaire à passer avec tout ses dossiers, et à rentrer dans la zone de privilège différente). Bref, il suffit souvent de pas grand chose pour ouvrir une faille et l'exploiter judicieusement, il faut juste analyser correctement le système. Après tout, Shadowrun est un monde cybernétique, où tout est information (car c'est cela la cybernétique, la théorie de l'information) et les métaphores utilisés en hacking, peuvent s'appliquer à tous les systèmes qu'ils soient humains ou physiques, pas que matriciels. Okhin - qui devrait peut-être écrire un truc sur le social engineering...
  39. 2008-04-07 12:25:06 UTC skip
    J'ai zappé le reste, car on dit globalement la même chose. le concept de zone géographiques s'appliquent normalement assez bien aux machines (encore que ton exemple du fax en rade est complètement réaliste) mais pas du tout aux hommes. Bah oui, il faut aussi faire la poussière dans la salle des serveurs. [quote:a6deb40749="okhin"]Okhin - qui devrait peut-être écrire un truc sur le social engineering...[/quote:a6deb40749] Oui - c'est là que se font la plupart des attaques.
  40. 2008-04-10 12:57:48 UTC okhin
    Bon, en lurkant sur divers forums, j'ai trouvé ce post là (du forum debian), qui expliques et clarifies 2-3 choses sur l'anonymat sur le net en utilisant des proxys. Ca peu être étendu à tout type de tentative d'anonymisation, et dons aux runners en général. VU que c'est du domaine de la sécurité/contre-sécurité, je le colles ici: [quote:373d6c2a1f="Un jour, un debianiste"] helid a écrit: Bonjour, En fait le proxy, si tu le lances sur (une de tes) ta machine, va te servir à filtrer les informations que tu échanges quand tu te balades sur Internet mais en aucun cas servir à te "cacher" au sens réel. Je m'explique: Si tu mets privoxy (conseillé) tu peux définir toi même certains en-tête que tu vas envoyer aux sites que tu visites, notamment l'identification de ton navigateur, cela permet de ne pas être redirigé vers une page bridée spéciale "utilisateur Netscape" (comme à une époque roll mais cela n'est plus d'actualité je pense), tu as aussi pas mal de protections ajoutées pour bloquer les publicités et bloquer l'utilisation indirecte de sites spécialisés dans le traçage. smile Tu peux aussi rajouter Squid (conseillé) qui lui même pointe sur privoxy et qui permet de filtrer pas mal d'en-tête HTTP comme "From" et "Via" qui sont super sympathiquement faites pour le traçage ... wink Tu peux activer Tor (déconseillé) si tu veux devenir anonyme avec les sites tiers, mais sache qu'alors tu vas être considéré comme "potentiellement dangereux" et que tu vas activer automatiquement tous les systêmes de backtrace de la planète ... Ya mieux pour être anonyme ! Parce que là, pour les éviter ceux-là... t'as pas le niveau (je résume big_smile), en gros si tu veux "savoir", il faut ou être un "autonomous system" et cracker un FAI (Infonie était réputé être super pour cela, un vrai trou et en plus il paraît qu'il offrait lui-même la protection) ou passer en indirect via le crack de beaucoup d'ordi ("fermage"), tu peux aussi te servir du phreaking et cracker directement un FAI mais cela demande des connaissances en électronique aussi. Bien sûr la Rolls c'est de cracker un top-level-domaine, mais là ... wink Publicités et certains sites collectes les données relatives à une IP et la revendent à qui les veux sous forme de profil individuel psychologique. C'est 80€ le profil donc ils sont "motivés". mad Mais pour cela ils sont obligés de pouvoir dire que derrière cette IP il n'y a qu'un seul ordi ... d'où les routeurs vendus dans le commerce qui t'offrent cinq ports directement reliables sur les ordinateurs de la famille ... mais dont l'ident est activé ... wink. D'où aussi le besoin d'identifier le navigateur, considérant que tu ne vas pas changer de navigateur ni d'OS (c'est précisé dans la chaîne d'identification du navigateur, par hasard) à tout bout de champs. Tout ces profils finissant, au final, au DARPA dans le but du projet Total Awareness ... "La gravité de cela est laissé à l'appréciation de chacun." je dirais ... Par contre "te cacher" est infaisable car ce sont les top-level-domain qui, via les requêtes DNS, tracent les gens (bien sûr "pour notre sécurité" big_smile), tu peux au maximum te dissimuler et ne pas leur faciliter la tâche mais bon ... avec des caches DNS (et autres options de bind) mais cela va seulement brouiller ton profil psychologique car ils ne seront pas évaluer (sans qu'ils le sachent) tes "habitudes comportementales". Et au hasard, c'est justement le fichier des requêtes DNS qui est demandé au FAI en cas de litige juridique. Voilà, pour connaître la sécurité (un peu) il fait connaître l'insécurité (beaucoup plus), ou du moins la théorie, pas la peine de tenter de cracker pour "comprendre". On est pas con non plus ! wink D'ailleur je précise, à toutes fins utiles, que si vous lisez ceci et que vous voudriez appliquer la propagande qui dit que l'"on peut se faire de l'argent facile" ou que "c'est c00l" de faire cela, il faut savoir que vous êtes vraiment très con: seules trois types d'organisations ont les reins suffisamment solides pour le faire: armée/secte/gouvernement (oui, dans l'ordre). Et tout cela n'est donné que dans un but pédagogique. Pour savoir à quel point tu es tracé, tu as un test très facile: utilises webcollage qui est un des économiseurs d'écran du paquet xscreensaver, le résultat que tu vas voir s'afficher dans les premières réponses est ce qui est dans ton profil puisque c'est ce que donne les moteurs de recherches et que eux aussi participent à cette joyeuse farandole ... d'où htdig pour certains. Il y a quelques modifications à faire pour que cela soit pleinement fonctionnel comme avoir les images qui ne s'affichent pas en dehors de l'écran ou qui ne sont pas réduites, c'est un simple script perl et il est facilement compréhensible même sans connaissance du langage, mais c'est assez utilisable "tel quel". Il est d'ailleurs évident que, si tu as bien suivi, il te suffit de modifier légèrement ce petit logiciel pour foutre en l'air le-dit profil ... "pour s'amuser dans un but d'éducation" bien sûr. cool En fait le problème viens surtout des sites tiers ("normalement" le problème n'est pas le gouvernement ni l'armée n'est-ce pas ?! wink) car ils revendent à n'importe qui en veux ... là c'est pas cool. Un "site tier" est en général dissimulé dans les sites "underground" comme les warez (en général c'est M$ derrière d'ailleurs), les pornographiques, etc, et beaucoup de ceux se la jouant "rebelle discipliné"... wink Les IRC et autres messageries instantanées sont aussi dans cette danse ... si tu te faisait des illusions ... tongue (clause n°6 du contrat d'MicrosoftN je crois par exemple, ouais le truc "qui n'est jamais lu"... wink ) ... En fait, à ma connaissance il n'y a rien qui ne soit pas tracé, y compris le P2P, c'est la raison pour laquelle des technologies comme l'adsl n'est pas plus répandues: trop de bande passante à écouter ... "les pauvres !" big_smile Voilà un bout de ton éducation est plus complète maintenant. Je ne pense pas avoir oublié un des "gros" détails ... Édit: j'allais oublier: "oui un proxy c'est "bien!" big_smile[/quote:373d6c2a1f] Bon, le ton n'est aps top, ca grouille de détails assez pointus, mais ça expliques quelque peu les mécaniques qui font que non, être anonyme sur le net c'est 1°) dur et 2°) mal. Ca fait un peu shadowtalk vu comme ça :)