home *** CD-ROM | disk | FTP | other *** search

---

/ Freaks Macintosh Archive / Freaks Macintosh Archive.bin / Freaks Macintosh Archives / Textfiles / cert / CERTCoordinationCenter.sit.hqx / CERT coordination center FAQ

next >

Wrap

Text File  |  1997-01-20  |  26KB  |  591 lines

---

1.  
2. May 1995
3. Revision 9
4. JPO#94-478
5.  
6.  
7.                    The CERT* Coordination Center FAQ
8.  
9.  
10. =======================================================================
11. = Preface                                                             =
12. =======================================================================
13.  
14. This document is intended to answer the most Frequently Asked Questions (FAQs)
15. about the CERT Coordination Center.  The FAQ is a dynamic document that will
16. change as information changes.  Suggestions for additional sections are
17. welcome -- please e-mail them to cert@cert.org.  The most recent copy of this
18. FAQ will be available via anonymous FTP from info.cert.org in the /pub
19. directory.
20.  
21.  
22. Questions answered in this document
23.  
24. A.  Introduction to the CERT Coordination Center
25.         A1.  What is the CERT Coordination Center?
26.         A2.  How do I contact the CERT Coordination Center?
27.         A3.  What's in the CERT Coordination Center name?
28. B.  Where to go for information
29.         B1.  What is a CERT advisory?
30.         B2.  Where can I obtain archived CERT advisories?
31.         B3.  Can I obtain source code to a patch described in a CERT
32.              advisory?  
33.         B4.  What security mailing lists, newsgroups, and other sources of
34.              information does the CERT Coordination Center recommend?
35.         B5.  What information is available via anonymous FTP from the
36.              CERT Coordination Center?
37.         B6.  What presentations, workshops, and seminars does the CERT 
38.              Coordination Center offer?
39.         B7.  What books or articles does the CERT Coordination Center
40.              recommend?  
41. C.  Incident Response
42.         C1.  What kind of information should I provide to the CERT
43.              Coordination Center when my site has experienced an intrusion?
44.  
45.  
46. =======================================================================
47. = Section A.   Introduction to the CERT Coordination Center           =
48. =======================================================================
49.  
50. A1.     What is the CERT Coordination Center?
51.  
52.         The CERT Coordination Center is the organization that grew from the 
53.         computer emergency response team formed by the Defense Advanced 
54.         Research Projects Agency (DARPA) in November 1988 in response to the
55.         needs exhibited during the Internet worm incident. The CERT charter 
56.         is to work with the Internet community to facilitate its response to 
57.         computer security events involving Internet hosts, to take proactive
58.         steps to raise the community's awareness of computer security issues, 
59.         and to conduct research targeted at improving the security of existing
60.         systems.
61.  
62.         CERT products and services include 24-hour technical
63.         assistance for responding to computer security incidents,
64.         product vulnerability assistance, technical documents, and
65.         seminars.  In addition, the team maintains a number of
66.         mailing lists (including one for CERT advisories) and
67.         provides an anonymous FTP server:  info.cert.org, where
68.         security-related documents, past CERT advisories, and
69.         tools are archived.   
70.  
71. A2.     CERT Coordination Center contact information:
72.  
73.         U.S. mail address
74.           CERT Coordination Center
75.           Software Engineering Institute
76.           Carnegie Mellon University
77.           Pittsburgh, PA 15213-3890
78.           U.S.A.
79.  
80.         Internet E-mail address
81.           cert@cert.org
82.  
83.         Telephone number
84.           +1 412-268-7090 (24-hour hotline)
85.             CERT Coordination Center personnel answer 
86.             8:30 a.m.- 5:00 p.m. EST(GMT-5)/EDT(GMT-4), on call for
87.             emergencies during other hours.
88.  
89.         FAX number
90.           +1 412-268-6989 
91.  
92.  
93. A3.     What's in the CERT name?
94.  
95.         Since its beginning in 1988, the CERT Coordination Center has acquired
96.         its name through an evolutionary process. Because of this, you may see
97.         the CERT Coordination Center referred to by several different names. 
98.         While you may hear us called Computer Emergency Response Team,
99.         CERT/CC, or CERT, our proper name is the CERT Coordination Center.
100.  
101.         CERT(sm) is a service mark of Carnegie Mellon University.
102.  
103.         The CERT e-mail address has undergone a similar evolution. We use the 
104.         e-mail address:  
105.  
106.                 cert@cert.org
107.  
108.         Any references to:  
109.  
110.                 cert@cert.sei.cmu.edu 
111.                         or 
112.                 cert@sei.cmu.edu 
113.  
114.         should be changed to the new address (cert@cert.org).
115.  
116.  
117. =======================================================================
118. = Section B.   Where To Go for Information                            =
119. =======================================================================
120.  
121. B1.     What is a CERT advisory?
122.  
123.         A CERT advisory provides information on how to obtain a patch or
124.         details of a workaround for a known computer security problem.
125.         The CERT Coordination Center works with vendors to produce a 
126.         workaround or a patch for a problem, and does not publish 
127.         vulnerability information until a workaround or a patch is available. 
128.         A CERT advisory may also be a warning to our constituency about ongoing
129.         attacks (e.g., "CA-91:18.Active.Internet.tftp.Attacks").
130.  
131.         CERT advisories are published on the USENET newsgroup:  
132.         
133.                 comp.security.announce 
134.  
135.         and are distributed via the cert-advisory mailing list.  Both
136.         of these publication methods are described below. 
137.  
138.         CERT advisory archives are available via anonymous FTP from 
139.         info.cert.org in the /pub/cert_advisories directory. 
140.  
141.  
142. B2.     Where can I obtain archived CERT advisories?
143.  
144.         CERT advisories are available via anonymous FTP from info.cert.org
145.         in the /pub/cert_advisories directory.  The "01-README" file provides
146.         a short summary of each of the  advisories.
147.  
148.  
149. B3.     Can I get source code to a patch described in a CERT advisory?
150.  
151.         The CERT Coordination Center does not provide source-level patches.  
152.         Some vendors make source-level patches available to their source 
153.         customers while others only distribute binary patches.  Contact your
154.         vendor for more information.   
155.  
156.  
157. B4.     What security mailing lists, newsgroups, and other sources of
158.         information does the CERT Coordination Center recommend?
159.  
160.         (a) CERT mailing lists
161.         
162.                 (1) CERT advisory mailing list
163.  
164.                     The CERT Coordination Center maintains a CERT
165.                     advisory mailing list for those members of the
166.                     constituency who are unable to access USENET news
167.                     or who would like to have advisories mailed
168.                     directly to them or to a mail exploder at their
169.                     site.  If you would like to be added to the
170.                     mailing list, please send mail to:  
171.  
172.                         cert-advisory-request@cert.org
173.  
174.                     You will receive confirmation mail when you have
175.                     been placed on the list.
176.  
177.  
178.                 (2) CERT tools mailing list
179.  
180.                     The purpose of this moderated mailing list is to
181.                     encourage the exchange of information on security
182.                     tools and techniques.  The list should not be used
183.                     for security problem reports.    
184.  
185.                     The CERT Coordination Center will not formally
186.                     review, evaluate, or endorse the tools and
187.                     techniques described.  The decision to use the
188.                     tools and techniques described is the
189.                     responsibility of each user or organization, and
190.                     we encourage each organization to thoroughly
191.                     evaluate new tools and techniques before
192.                     installation or use. 
193.  
194.                     Membership is restricted to system programmers,
195.                     system administrators, and others with a
196.                     legitimate interest in the development of computer
197.                     security tools.  If you would like to be
198.                     considered for inclusion, please send mail to:  
199.         
200.                         cert-tools-request@cert.org 
201.  
202.                     You will receive confirmation mail when you have
203.                     been placed on the list.
204.  
205.  
206.         (b) Other security-related mailing lists
207.  
208.                 (1) VIRUS-L mailing list (see comp.virus newsgroup
209.                         below) 
210.  
211.                     VIRUS-L is a moderated mailing list with a focus
212.                     on computer virus issues.  For more information,
213.                     including a copy of the posting guidelines, see
214.                     the file "virus-l.README", available by anonymous
215.                     FTP from cs.ucr.edu.  To be added to the mailing 
216.                     list, send mail to:  
217.  
218.                         listserv@lehigh.edu
219.  
220.                     In the body of the message, put nothing more than:
221.  
222.                         SUB VIRUS-L your name
223.  
224.                 (2) Firewalls mailing list
225.  
226.                     The Firewalls mailing list is a discussion forum for
227.                     firewall administrators and implementors. To subscribe 
228.                     to Firewalls, send mail to:
229.  
230.                         Majordomo@GreatCircle.COM
231.  
232.                     In the body of the message, put only:
233.  
234.                         subscribe firewalls
235.  
236.                 (3) Firewalls digest
237.  
238.                     The Firewalls digest is a compilation of messages from the
239.                     Firewalls mailing list. To subscribe to the Firewalls 
240.                     digest, send mail to:
241.  
242.                         Majordomo@GreatCircle.COM
243.  
244.                     In the body of the message, put only:
245.  
246.                         subscribe firewalls-digest
247.  
248.                     Compressed back issues are available via anonymous FTP
249.                     from: 
250.  
251.                         FTP.GreatCircle.COM 
252.  
253.                     in pub/firewalls/digest/vNN.nMMM.Z (where "NN" is the
254.                     volume number and "MMM" is the issue number).
255.  
256.  
257.         (c) USENET newsgroups
258.  
259.                 (1) comp.security.announce
260.  
261.                     The comp.security.announce newsgroup is moderated
262.                     and is used solely for the distribution of CERT
263.                     advisories.  
264.  
265.                 (2) comp.security.misc
266.  
267.                     The comp.security.misc is a forum for the
268.                     discussion of computer security, especially as it
269.                     relates to the UNIX(r) Operating System. 
270.  
271.                 (3) alt.security 
272.  
273.                     The alt.security newsgroup is also a forum for the
274.                     discussion of computer security, as well as other
275.                     issues such as car locks and alarm systems.  
276.  
277.                 (4) comp.virus
278.  
279.                     The comp.virus newsgroup is a moderated newsgroup
280.                     with a focus on computer virus issues.  For more
281.                     information, including a copy of the posting
282.                     guidelines, see the file "virus-l.README",
283.                     available via anonymous FTP on info.cert.org
284.                     in the /pub/virus-l directory.  
285.  
286.                 (5) comp.risks
287.  
288.                     The comp.risks newsgroup is a moderated forum on
289.                     the risks to the public in computers and related
290.                     systems. 
291.  
292.  
293.         (d) NIST (National Institute of Standards and Technology)
294.                 Computer Security Bulletin Board
295.  
296.             Information posted on the bboard includes an events
297.             calendar, software reviews, publications, bibliographies,
298.             lists of organizations, and other government bulletin
299.             board numbers.  This bboard contains no sensitive 
300.             (unclassified or classified) information.  
301.  
302.             If you have any questions, contact NIST by phone at:
303.             301-975-3359; by FAX at:  301-590-0932; or by e-mail at:
304.             csrc@csrc.ncsl.nist.gov. 
305.  
306.  
307. B5.     What information is available via anonymous FTP from CERT? 
308.  
309.         The CERT Coordination Center has a variety of computer security 
310.         information available by anonymous FTP to info.cert.org in /pub 
311.         directory. In the /pub directory, the file "ls-lR" lists the
312.         subdirectories and the files found in those subdirectories. Examples 
313.         of what you will find in the /pub directory are listed below.
314.  
315.         /pub/CERT_Press_Release_8812:  The file
316.         "CERT_Press_Release_8812" is a copy of the December 1988 DARPA
317.         press release announcing the formation of the CERT
318.         Coordination Center. 
319.  
320.         /pub/FIRST:  The /pub/FIRST directory contains a file,
321.         "first-contacts".  FIRST, the Forum of Incident Response and
322.         Security Teams, is an organization whose members work together
323.         voluntarily to deal with computer security problems and their
324.         prevention.  General information on FIRST is available via
325.         anonymous FTP from csrc.ncsl.nist.gov in the /pub/first
326.         directory.  The name of the file is "op_frame.txt".  The
327.         document begins with a description of the CERT System, which
328.         was later renamed "FIRST".  Also in that directory are the
329.         minutes from meetings, a list of FIRST contacts (also
330.         duplicated in the CERT anonymous FTP area on info.cert.org
331.         in the /pub/FIRST directory), and other related
332.         information.  
333.  
334.         /pub/cert_advisories:  The /pub/cert_advisories directory
335.         contains archived copies of past CERT advisories, the
336.         "01-README" file, a copy of the CERT press release from
337.         December 1988 announcing the formation of the CERT Coordination 
338.         Center, an article from the March 1990 issue of Bridge, a magazine 
339.         published by the Software Engineering Institute (SEI), describing 
340.         CERT, and a file containing information on the status of the rdist
341.         patch.  
342.  
343.         /pub/clippings:  The /pub/clippings directory is an archive
344.         service for computer security. This archive is a central
345.         repository for selected security related USENET News and
346.         mailing list postings.  The archive will not be restricted to
347.         any one newsgroup or mailing list.  To submit an article for
348.         the clippings archive, please send e-mail to: 
349.  
350.                 clip@cert.org
351.  
352.         /pub/cops:  The /pub/cops directory includes the information
353.         for the COPS package.  COPS is a publicly available collection
354.         of programs that attempts to identify security problems in the
355.         UNIX Operating System.  COPS does not attempt to correct
356.         any discrepancies found; it simply produces a report of its 
357.         findings. 
358.  
359.         /pub/info:  The /pub/info directory contains online copies of 
360.         security-related books and papers, including Dave Curry's May
361.         1990 SRI Tech Report "Improving the Security of Your Unix
362.         System", "Computer Emergency Response - An International
363.         Problem" by Richard D. Pethia and Kenneth R. van Wyk, the
364.         report "Coping with the Threat of Computer Security Incidents:
365.         A Primer from Prevention through Recovery" by Russell Brand,
366.         and the Department of Defense Trusted Computer System
367.         Evaluation Criteria CSC-STD-001-83 often referred to as the
368.         "Orange Book".  (Note:  This is the Aug 1983 version of this
369.         document; this document was revised in Dec 1985.)
370.  
371.         /pub/network_tools:  The /pub/network_tools directory contains
372.         network tools made available via anonymous FTP.  The file
373.         "tcp_wrapper.xx" is a TCP daemon wrapper program that will
374.         provide additional logging information and access control for
375.         many network services (also duplicated in the /pub/tools
376.         directory). 
377.  
378.         /pub/papers:  The /pub/papers directory contains the
379.         announcement of the CERT tools mailing list. 
380.  
381.         /pub/ssphwg:  The /pub/ssphwg directory contains archived
382.         information from the IETF Site Security Policy Handbook
383.         Working Group and the IETF Security Policy Working Group. 
384.         RFC 1244, "Site Security Handbook" was the result of the Site
385.         Security Policy Handbook Working Group; and RFC 1281,
386.         "Guidelines for the Secure Operation of the Internet" was the
387.         result of the Security Policy Working Group.  Both of these
388.         RFCs are available in the /pub/info directory, as mentioned
389.         above. 
390.  
391.         /pub/tech_tips:  The /pub/tech_tips directory contains
392.         documents on anonymous FTP configurations, packet filtering,
393.         and the CERT security checklist. 
394.  
395.         /pub/tools:  The /pub/tools directory contains various
396.         software programs, including COPS, Crack, TCP daemon wrappers,
397.         and virus-detection programs. 
398.  
399.         /pub/virus-l:  The /pub/virus-l directory contains the
400.         archives and other VIRUS-L and VALERT-L mailing list
401.         documents. 
402.  
403.  
404. B6.     What presentations, workshops, and seminars does the CERT
405.         Coordination Center offer? 
406.  
407.         (a) Presentations
408.  
409.             Throughout the year, members of the CERT Coordination
410.             Center give presentations at various technical
411.             conferences, seminars, and regional networks.
412.             Periodically, special arrangements can be made to tailor
413.             the presentation to fit the requirements of the specific
414.             site.  For further information regarding presentations,
415.             please contact the CERT Coordination Center. (Contact information
416.             is in section A.2.)
417.  
418.         (b) Workshops
419.  
420.             From 1989 to 1992 the CERT Coordination Center hosted and
421.             co-sponsored the FIRST Workshop on Incident Handling. CERT has 
422.             also participated in subsequent workshops.  For further information
423.             about the FIRST Workshop on Incident Handling, please contact the 
424.             CERT Coordination Center. 
425.                 
426.         (c) Seminars
427.  
428.             (1) Internet Security for Managers
429.  
430.                 Description:  This seminar is to help 
431.                 managers understand what needs to be done to ensure 
432.                 that their computer systems and networks are as 
433.                 securely managed as possible when operating within
434.                 the Internet community.  Attendees will be provided 
435.                 with information that will enable them to formulate 
436.                 realistic security policies, procedures, and
437.                 programs specific to their operating environment.  
438.  
439.                 Audience:  This seminar is designed for managers of
440.                 computing centers/facilities, individuals tasked to
441.                 evaluate/initiate Internet connectivity, senior system
442.                 administrators, and others interested in computer
443.                 security within the Internet community.
444.  
445.             (2) Internet Security for UNIX System Administrators
446.  
447.                 Description:  The information presented in this
448.                 seminar is based on incidents reported to the CERT
449.                 Coordination Center.  The topics covered will include
450.                 defensive and offensive strategies for system
451.                 administration, site-specific security policies, and
452.                 incident handling.
453.  
454.                 Audience:  This seminar is designed for users and
455.                 system administrators of hosts using the UNIX
456.                 Operating System.  It is especially suited for system 
457.                 administrators of systems connected to a wide
458.                 area network based on TCP/IP such as the Internet.
459.                 Some system administrator experience is assumed. 
460.  
461.  
462. B7.     What books or articles does the CERT Coordination Center
463.         recommend?   
464.  
465.         [Bishop 87]     Bishop, Matt.  "How to Write a Setuid
466.                         Program."  ;login: 12, 1 (Jan/Feb 1987):
467.                         5-12. 
468.  
469.         [Cheswick 94]   Cheswick, William R.; Bellovin, Steven M.
470.                         Firewalls and Internet Security: Repelling the Wily 
471.                         Hacker. New York: Addison-Wesley Publishing Company, 
472.                         1994.
473.  
474.         [Curry 90]      Curry, Dave.  "Improving the Security of Your
475.                         UNIX System" (Technical Report
476.                         ITSTD-721-FR-90-21). Menlo Park, CA:  SRI
477.                         International, April 1990. 
478.  
479.         [Curry 92]      Curry, David A.  UNIX System Security:  A
480.                         Guide for Users and System Administrators.
481.                         Reading, MA: Addison-Wesley Publishing Co., Inc., 
482.                         1992. (ISBN 0-201-56327-4)
483.  
484.         [Denning 91]    Denning, Peter J., ed.  Computers Under
485.                         Attack: Intruders, Worms, and Viruses.  ACM
486.                         Press, New York: Addison-Wesley Publishing Company,
487.                         Inc., 1990. (ISBN 0-201-53067-8)
488.  
489.         [Ellis 94]      Ellis, Jim; Fraser, Barbara; Pesante, Linda. "Keeping
490.                         Internet Intruders Away." UNIX Review 12, 9 (September
491.                         1994): 35-44.
492.  
493.         [Farrow 91]     Farrow, Rik.  How to Protect Your Data and
494.                         Prevent Intruders:  UNIX System Security.
495.                         Reading, MA: Addison-Wesley Publishing Company, Inc., 
496.                         1991. (ISBN 0-201-57030-0)
497.  
498.         [Fithen 94]     Fithen, Katherine; Fraser, Barbara. "CERT Incident
499.                         Response and the Internet." Communications of the ACM 
500.                         37, 8 (August 1994):108-113.
501.  
502.         [Garfinkel and Spafford 91]     
503.                         Garfinkel, Simson; Spafford, Gene.  Practical
504.                         UNIX Security.  Sebastopol, CA: O'Reilly & Associates,
505.                         Inc., 1991. (ISBN 0-937175-72-2) 
506.  
507.         [Grampo and Morris 84]  
508.                         Grampo, M.; Morris, R.T.  "UNIX Operating
509.                         System Security."  AT&T Technical Journal
510.                         63, 8 (Oct 1984):  1649-1672.
511.  
512.         [Hafner and Markoff 91]
513.                         Hafner, Katie; Markoff, John.  Cyberpunk:
514.                         Outlaws and Hackers on the Computer Frontier.
515.                         New York, NY: Simon & Schuster, 1991. 
516.  
517.         [Morris and Thompson 79]
518.                         Morris, R.T.; Thompson, K.  "Password
519.                         Security: A Case History."  Coomunications of the ACM 
520.                         22, 11 (November 1979):  594-597.
521.  
522.         [Nemeth, Snyder, and Seebass 89]
523.                         Nemeth, Evi; Snyder, Garth; Seebass, Scott.
524.                         UNIX System Administration Handbook.  Englewood
525.                         Cliffs, NJ: Prentice Hall, 1989.
526.                         (ISBN 0-13-933441-6)
527.  
528.         [Stoll 89]      Stoll, Clifford.  The Cuckoo's Egg: Tracking a
529.                         Spy Through the Maze of Computer Espionage.
530.                         New York, NY: Doubleday, 1989. (ISBN 0-385-24946-2)
531.  
532.         [Wood and Kochran 86]
533.                         Wood, Patrick; Kochran, Stephen.  UNIX System
534.                         Security.  Hasbrouck Heights, NJ: Haden Books, 1986.
535.  
536.  
537.  
538. =======================================================================
539. = Section C.   Incident Response                                      =
540. =======================================================================
541.  
542. C1.     What kind of information should I provide to the CERT staff when my 
543.         site has had an intrusion?
544.  
545.         The CERT Coordination Center would like as much information as
546.         possible, including opinions and thoughts as to how the
547.         break-in occurred.  Some specifics include:
548.  
549.                  1) names of host(s) compromised at your site
550.  
551.                  2) architecture and OS (operating system and revision)
552.                     of compromised host(s)
553.  
554.                  3) whether or not security patches have been applied
555.                     to the compromised host(s); if so, were patches
556.                     applied before or after the intrusion
557.  
558.                  4) account name(s) compromised
559.  
560.                  5) other host(s)/site(s) involved in the intrusion and
561.                     whether or not you have already contacted those
562.                     site(s) about the intrusion 
563.  
564.                  6) if other site(s) have been contacted, the contact 
565.                     information used for contacting the site(s)
566.                     involved 
567.  
568.                  7) if CERT is to contact the other site(s), can we
569.                     give the other sites your contact information
570.                     (i.e., your name, e-mail address, and phone number)
571.  
572.  
573.                  8) whether or not any law enforcement agencies have
574.                     been contacted
575.  
576.                  9) appropriate log extracts (including timestamps)
577.  
578.                 10) what assistance you would like from the CERT
579.                     Coordination Center
580.  
581.  
582.  
583. *CERT is a service mark of Carnegie Mellon University.
584.  
585. UNIX(r) is a registered trademark of UNIX System Laboratories, Inc. 
586.  
587. The CERT Coordination Center is sponsored by the Advanced Research Projects
588. Agency (ARPA). The Software Engineering Institute is sponsored by the U.S.
589. Department of Defense.
590.  
591.