home *** CD-ROM | disk | FTP | other *** search

---

/ Freaks Macintosh Archive / Freaks Macintosh Archive.bin / Freaks Macintosh Archives / Textfiles / zines / Midnight-Raid / midnightRAID_iss4.docmaker.sit / midnightRAID_iss4.docmaker.rsrc / TEXT_138.txt

< prev

next >

Wrap

Text File  |  1999-03-25  |  14KB  |  288 lines

---

1.          CSL - Computer Systems Laboratory Bulletin
2.                         March 1994
3.  
4.  
5.  
6. THREATS TO COMPUTER SYSTEMS:  AN OVERVIEW
7. Computer systems are vulnerable to many threats which can inflict
8. various types of damage resulting in significant losses.  Damage
9. can range from minor errors which sap database integrity to fires
10. which destroy entire computer centers.  Losses can stem from the
11. actions of supposedly trusted employees defrauding the system to
12. outside hackers roaming freely through the Internet.  The exact
13. amount of computer-related losses is unknowable; many losses are
14. never discovered and others are covered up to avoid unfavorable
15. publicity. 
16.  
17. This bulletin increases reader awareness of threats to computer
18. systems by giving a broad picture of the threat environment in
19. which systems are operated today.  An overview of many of today's
20. common threats will be useful to organizations studying their own
21. threat environments with a view toward developing solutions
22. specific to their organization.
23.  
24. This bulletin summarizes a chapter of the computer security
25. handbook being developed by CSL.  We have already published
26. bulletins summarizing other chapters on establishing a computer
27. security program, considering people issues in computer security,
28. and developing computer security policy.  Additional bulletins
29. will be issued as chapters are finalized.
30.  
31. Common Threats
32. A wide variety of threats face today's computer systems and the
33. information they process.  In order to control the risks of
34. operating an information system, managers and users must know the
35. vulnerabilities of the system and the threats which may exploit
36. them.  Knowledge of the threat environment allows the system
37. manager to implement the most cost-effective security measures. 
38. In some cases, managers may find it most cost-effective to simply
39. tolerate the expected losses.
40.  
41. The following threats and associated losses are based on their
42. prevalence and significance in the current computing environment
43. and their expected growth.  The list is not exhaustive; some
44. threats may combine elements from more than one area.  
45.  
46. Errors and Omissions
47. Users, data entry clerks, system operators, and programmers
48. frequently make unintentional errors which contribute to security
49. problems, directly and indirectly.  Sometimes the error is the
50. threat, such as a data entry error or a programming error that
51. crashes a system.  In other cases, errors create vulnerabilities. 
52. Errors can occur in all phases of the system life cycle.  
53.  
54. Programming and development errors, often called bugs, range in
55. severity from benign to catastrophic.  In the past decade,
56. software quality has improved measurably to reduce this threat,
57. yet software "horror stories" still abound.  Installation and
58. maintenance errors also cause security problems.  
59.  
60. Errors and omissions are important threats to data integrity. 
61. Errors are caused not only by data entry clerks processing
62. hundreds of transactions per day, but by all users who create and
63. edit data.  Many programs, especially those designed by users for
64. personal computers, lack quality control measures.  However, even
65. the most sophisticated programs cannot detect all types of input
66. errors or omissions.
67.  
68. The computer age saying "garbage in, gospel out" contains a large
69. measure of truth.  People often assume that the information they
70. receive from a computer system is more accurate than it really
71. is.  Many organizations address errors and omissions in their
72. computer security, software quality, and data quality programs.
73.  
74. Fraud and Theft
75. Information technology is increasingly used to commit fraud and
76. theft.  Computer systems are exploited in numerous ways, both by
77. automating traditional methods of fraud and by using new methods. 
78. For example, individuals may use a computer to skim small amounts
79. of money from a large number of financial accounts, thus
80. generating a significant sum for their own use.  Also, deposits
81. may be intentionally misdirected.  Financial systems are not the
82. only ones subject to fraud.  Systems which control access to any
83. resource are targets, such as time and attendance systems,
84. inventory systems, school grading systems, or long-distance
85. telephone systems.  
86.  
87. Fraud can be committed by insiders or outsiders.  The majority of
88. fraud uncovered on computer systems is perpetrated by insiders
89. who are authorized users of a system.  Since insiders have both
90. access to and familiarity with the victim computer system,
91. including what resources it controls and where the flaws are,
92. authorized system users are in a better position to commit
93. crimes.  An organization's former employees may also pose
94. threats, particularly if their access is not terminated promptly.
95.  
96. Disgruntled Employees
97. Disgruntled employees can create both mischief and sabotage on a
98. computer system.  Employees are the group most familiar with
99. their employer's computers and applications, including knowing
100. what actions might cause the most damage.  Organizational
101. downsizing in both public and private sectors has created a group
102. of individuals with organizational knowledge who may retain
103. potential system access.  System managers can limit this threat
104. by invalidating passwords and deleting system accounts in a
105. timely manner.  However, disgruntled current employees actually
106. cause more damage than former employees.
107.  
108. Common examples of computer-related employee sabotage include:
109.  
110.          -       Entering data incorrectly
111.          -       Changing data
112.          -       Deleting data
113.          -       Destroying data or programs with logic bombs
114.          -       "Crashing" systems
115.          -       Holding data hostage
116.          -       Destroying hardware or facilities
117.  
118. Physical and Infrastructure 
119. The loss of supporting infrastructure includes power failures
120. (including outages, spikes and brownouts), loss of
121. communications, water outages and leaks, sewer problems, lack of
122. transportation services, fire, flood, civil unrest, strikes, and
123. so forth.  These losses include dramatic events such as the
124. explosion at the World Trade Center and the Chicago tunnel flood
125. as well as more common events such as a broken water pipe. 
126. System owners must realize that more loss is associated with
127. fires and floods than with viruses and other more widely
128. publicized threats.    
129.  
130. A loss of infrastructure often results in system downtime,
131. sometimes in unexpected ways.  For example, employees may not be
132. able to get to work during a winter storm, although the computer
133. system may be functional.  
134.  
135. Malicious Hackers
136. Hackers, sometimes called crackers, are a real and present danger
137. to most organizational computer systems linked by networks.  From
138. outside the organization, sometimes from another continent,
139. hackers break into computer systems and compromise the privacy
140. and integrity of data before the unauthorized access is even
141. detected.  Although insiders cause more damage than hackers, the
142. hacker problem remains serious and widespread.
143.  
144. The effect of hacker activity on the public switched telephone
145. network has been studied in depth.  Studies by the National
146. Research Council and the National Security Telecommunications
147. Advisory Committee show that hacker activity is not limited to
148. toll fraud.  It also includes the ability to break into
149. telecommunications systems (such as switches) resulting in the
150. degradation or disruption of system availability.  While unable
151. to reach a conclusion about the degree of threat or risk, these
152. studies underscore the ability of hackers to cause serious
153. damage.
154.  
155. The hacker threat often receives more attention than more common
156. and dangerous threats.  The U.S. Department of Justice's Computer
157. Crime Unit suggests three reasons.  First, the hacker threat is a
158. more recently encountered threat.  Organizations have always had
159. to worry about the actions of their own employees and could use
160. disciplinary measures to reduce that threat.  However, these
161. controls are ineffective against outsiders who are not subject to
162. the rules and regulations of the employer.  
163.  
164. Secondly, organizations do not know the purposes of a hacker;
165. some hackers only browse, some steal, some damage.  This
166. inability to identify purposes can suggest that hacker attacks
167. have no limitations.  Finally, hacker attacks make people feel
168. vulnerable because the perpetrators are unknown.  
169.  
170. Industrial Espionage
171. Industrial espionage involves collecting proprietary data from
172. private corporations or government agencies for the benefit of
173. another company or organization.  Industrial espionage can be
174. perpetrated either by companies seeking to improve their
175. competitive advantage or by governments seeking to aid their
176. domestic industries.  Foreign industrial espionage carried out by
177. a government is known as economic espionage.  
178.  
179. Industrial espionage is on the rise.  The most damaging types of
180. stolen information include manufacturing and product development
181. information.  Other types of information stolen include sales and
182. cost data, client lists, and research and planning information.
183.  
184. Within the area of economic espionage, the Central Intelligence
185. Agency states that the main objective is obtaining information
186. related to technology, but that information on U.S. government
187. policy deliberations concerning foreign affairs and information
188. on commodities, interest rates, and other economic factors is
189. also a target.  The Federal Bureau of Investigation concurs that
190. technology-related information is the main target, but also cites
191. corporate proprietary information such as negotiating positions
192. and other contracting data as a target.
193.  
194. Malicious Code
195. Malicious code refers to viruses, worms, Trojan horses, logic
196. bombs, and other "uninvited" software.  Malicious code is
197. sometimes mistakenly associated only with personal computers, but
198. can also attack more sophisticated systems.  However, actual
199. costs attributed to the presence of malicious code have resulted
200. primarily from system outages and staff time involved in
201. repairing the systems.  Nonetheless, these costs can be
202. significant.  
203.  
204. Malicious Software: A Few Key Terms
205.  
206. Virus:  A code segment which replicates by attaching copies of
207. itself to existing executables.  The new copy of the virus is
208. executed when a user executes the new host program.  The virus
209. may include an additional "payload" that triggers when specific
210. conditions are met.  For example, some viruses display a text
211. string on a particular date.  There are many types of viruses
212. including variants, overwriting, resident, stealth, and
213. polymorphic. 
214.  
215. Trojan Horse:  A program that performs a desired task, but also
216. includes unexpected (and undesirable) functions.  Consider as an
217. example an editing program for a multi-user system.  This program
218. could be modified to randomly delete one of the users' files each
219. time they perform a useful function (editing) but the deletions
220. are unexpected and definitely undesired!
221.  
222. Worm:  A self-replicating program which is self-contained and
223. does not require a host program.  The program creates a copy of
224. itself and causes it to execute; no user intervention is
225. required.  Worms commonly utilize network services to propagate
226. to other host systems.  
227. The number of known viruses is increasing, and the rate of virus
228. incidents is growing moderately.  Most organizations use anti-
229. virus software and other protective measures to limit the risk of
230. virus infection.
231.  
232. Foreign Government Espionage
233. In some instances, threats posed by foreign government
234. intelligence services may be present.  In addition to possible
235. economic espionage, foreign intelligence services may target
236. unclassified systems to further their intelligence missions.  
237.  
238. Threats to Personal Privacy
239. The accumulation of vast amounts of electronic information about
240. individuals by the government, credit bureaus, and private
241. companies combined with the ability of computers to monitor,
242. process, aggregate, and record information about individuals have
243. created a very real threat to individual privacy.  The
244. possibility that all of this information and technology could be
245. linked together has loomed as a specter of the modern information
246. age.  This phenomenon is known as "big brother."  
247.  
248. The threat to personal privacy arises from many sources.  Several
249. cases have been reported involving the sale of personal
250. information by federal and state employees to private
251. investigators or other "information brokers."  One such case was
252. uncovered in 1992 when the Justice Department announced the
253. arrest of over two dozen individuals engaged in buying and
254. selling information from Social Security Administration (SSA)
255. computer files.  In the course of the investigation, auditors
256. learned that SSA employees had unrestricted access to over 130
257. million employment records.
258.  
259. Just recently, an investigation found that five percent of the
260. employees in one region of the Internal Revenue Service had
261. browsed through tax records of friends, relatives, and
262. celebrities.  Some employees used the information to create
263. fraudulent tax refunds, but many acted simply out of curiosity.   
264.  
265.  
266. As more of these cases come to light, many individuals express
267. increased concern about threats to their personal privacy.  Over
268. the years, Congress has enacted legislation, such as the Privacy
269. Act of 1974 and the Computer Matching and Privacy Protection Act
270. of 1988, which defines the boundaries of the legitimate uses of
271. personal information collected by the government.    
272.  
273. While the magnitude and cost to society of the personal privacy
274. threat are difficult to gauge, information technology has become
275. powerful enough to warrant fears of both government and corporate
276. "big brothers."  Increased awareness of the problem is needed. 
277.  
278. Conclusion
279. Today's computer systems, linked by national and global networks,
280. face a variety of threats which can result in significant
281. financial and information losses.  Threats vary considerably,
282. from threats to data integrity resulting from unintentional
283. errors and omissions to threats to system availability from
284. malicious hackers attempting to crash a system.  An understanding
285. of the types of threats in today's computing environment can
286. assist a security manager in selecting appropriate cost-effective
287. controls to protect valuable information resources.
288.