home *** CD-ROM | disk | FTP | other *** search
/ Group 42-Sells Out! - The Information Archive / Group 42 Sells Out (Group 42) (1996).iso / security / satanfaq.txt < prev    next >
Text File  |  1995-11-30  |  8KB  |  147 lines
  1. RELEASE OF SATAN SOFTWARE TOOL
  2. FACT SHEET
  3.  
  4. INTRODUCTION
  5.  
  6. Due to extensive media attention regarding the release of another version 
  7. of SATAN (Security Administrator Tool for Analyzing Networks), the National 
  8. Institute of Standards and Technology (NIST) is issuing this fact sheet to
  9. answer questions about SATAN. 
  10.  
  11. WHAT IS SATAN?
  12.  
  13. SATAN is a software tool for assessing Internet host and network security.  
  14. SATAN tests host systems to determine which Internet services are present 
  15. and whether those services are misconfigured or contain vulnerabilities that
  16. an intruder could exploit.  SATAN provides limited information on how to 
  17. correct the vulnerabilities it identifies as well as a modest tutorial on 
  18. host system security.  SATAN can test individual hosts or entire networks 
  19. of host systems. SATAN is an analysis and reporting tool only and does not 
  20. break into systems or exploit new and/or rare vulnerabilities.  All the 
  21. vulnerabilities it finds are well known and have either bulletins and/or 
  22. patches from an incident response team or a vendor. However, as with most 
  23. tools of this type not just system administrators but intruders will 
  24. undoubtedly use SATAN to find vulnerabilities in certain systems and then 
  25. they will exploit those systems.  Thus, while the tool aids a conscientious 
  26. security-aware administrator it does increase the risk to the unwary 
  27. administrator.
  28.  
  29. SATAN'S AVAILABILITY
  30.  
  31. SATAN's authors, Mr. Dan Farmer and Mr. Wietse Venema, made SATAN widely 
  32. available over the Internet without cost starting April 5, 1995.  Many 
  33. Internet sites now have SATAN and thousands of copies have been
  34. distributed worldwide.
  35.  
  36. WHAT IS REQUIRED TO RUN SATAN?
  37.  
  38. SATAN runs on specially-configured UNIX systems and can be configured so 
  39. that only users with system-level privileges or root privileges may execute 
  40. the software.  The first release of SATAN runs only on UNIX systems
  41. made by Sun Microsystems and Silicon Graphics.   Ports to other UNIX 
  42. systems such as Linux have followed quickly.  SATAN requires installation 
  43. of additional software and World Wide Web (WWW) client programs such
  44. as Mosaic.  It is important, however, to distinguish between systems that 
  45. execute SATAN and those that SATAN can scan.  SATAN can be used to scan 
  46. many different vendor systems and, furthermore, could be modified to probe
  47. routers and other networked devices.
  48.  
  49. WHY IS SATAN CONTROVERSIAL?
  50.  
  51. As stated earlier, SATAN is controversial because conscientious system and
  52. network administrators and would-be hackers or intruders are both helped.  
  53. Administrators who have both time and the capability to use and understand 
  54. SATAN and its  findings will clearly close up the holes or vulnerabilities 
  55. in their systems.  However,  many system administrators are often 
  56. ill-equipped or equipped but over-burdened, and thus are quite vulnerable 
  57. to intruders who run SATAN against them.   A typical hacker will scan a 
  58. site for vulnerabilities with a tool like SATAN, find some systems 
  59. vulnerable, and then install trojanized login programs (permit access by 
  60. legitimate users but steals their passwords and system Ids) or  sniffer 
  61. programs that silently sniff legitimate user passwords and Ids for later
  62. illegitimate use.   Several computer security incident response teams report 
  63. that internal testing for vulnerabilities indicates that very high 
  64. percentages of Internet host systems are vulnerable to tools like SATAN.  
  65. As a consequence, some incident response teams and others in the Internet 
  66. community have and are writing detectors to note when SATAN is being used 
  67. to scan their systems. 
  68.  
  69. IS SATAN OVERBLOWN? 
  70.  
  71. As we saw in the Michelangelo Virus furor that erupted a few years ago, 
  72. our fear and the attendant hype outstripped the actual damage caused.   
  73. Part of the issue here is our attention span.  Clearly, viruses are very 
  74. real and can and do cause much mayhem even if the damage occurs after the 
  75. press and management focus moves on to other issues. Similarly, the 
  76. vulnerabilities that SATAN identifies are real and exploitable but won't 
  77. evidence themselves in a sudden series of attacks days or hours after the 
  78. SATAN release.   However, with thousands of copies freely available
  79. and in use SATAN will make an impact.  It won t aid the knowledgeable 
  80. intruder who is already aware of how to break in but it will assist the 
  81. less than gifted would-be intruder.  As these thousands of copies coarse 
  82. throughout the Internet, we and the computer security community will be in 
  83. a better position to assess the real impact of SATAN and whether the 
  84. initial hysteria was founded after about 6 months of perspective is gained.
  85.  
  86. DOES SATAN IDENTIFY NEW VULNERABILITIES?
  87.  
  88. No,  all the vulnerabilities it finds are well known and have either 
  89. bulletins and/or patches from an incident response team or a vendor.
  90.  
  91. HOW IS SATAN DIFFERENT FROM OTHER SECURITY TOOLS?
  92.  
  93. Tools similar to SATAN have been available to Internet users for several 
  94. years, both commercially and in the public-domain.  These tools are also 
  95. used by the intruder community to identify systems vulnerable to attack.  
  96. SATAN is different in that it can be configured to test virtually any 
  97. system or network of systems accessible to the Internet.  SATAN is also 
  98. more powerful than previous tools and able to identify more vulnerabilities. 
  99. SATAN can discover whether a system trusts connections from other systems, 
  100. and then scan those systems.  SATAN's WWW interface is easy to use and its 
  101. results are easy to view. Additionally, SATAN can be modified easily to 
  102. exploit new vulnerabilities.
  103.  
  104. ADVICE FOR SYSTEM AND NETWORK MANAGERS
  105.  
  106. Sites should be concerned that internal users as well as intruders could 
  107. run SATAN and expose site vulnerabilities. Thus, NIST recommends the 
  108. following:
  109. - sites should develop policies for using SATAN responsibly and efficiently,
  110. - sites should promptly correct all vulnerabilities before vulnerable systems 
  111.   could be attacked,
  112. - sites should look-out for illicit scans of their networks by SATAN or 
  113.   other tools, and 
  114. - system managers should install access control software to ensure scans of 
  115.   their systems by SATAN will be noticeable and consider installing SATAN 
  116.   detector software developed by incident response teams.
  117.  
  118. Sites should also improve their network and host security policies and 
  119. measures.  Sites should consider installing firewall systems so that 
  120. internal systems are easier to manage and less vulnerable to attacks. Sites 
  121. should install all vendor patches and subscribe to vendor and incident 
  122. response team mailing lists so that they will be notified of future
  123. patches or vulnerabilities.  Sites should develop policy for network usage, 
  124. Internet access, and incident reporting.  It is very important that sites 
  125. improve system management by allotting sufficient time for system 
  126. administration duties and training as necessary.  Lastly, when purchasing 
  127. systems, sites should demand security features and properly install and 
  128. configure new systems and periodically recheck old systems.
  129.  
  130. FOR FURTHER INFORMATION
  131.  
  132. NIST operates a clearinghouse of computer security information and tools 
  133. accessible via the Internet and dial-in at all times.  The clearinghouse 
  134. contains links to information about computer security and incident response 
  135. team clearinghouses.  Together, these sites provide basic and detailed 
  136. computer security information, vulnerability and
  137. threat assessments, incident response team alerts, vendor patches, and 
  138. computer security tools including firewalls and pointers to vendors.  The 
  139. clearinghouse is accessible via the following methods:
  140.  
  141. WWW: http://csrc.ncsl.nist.gov
  142. ftp: csrc.ncsl.nist.gov, login as "anonymous"
  143. email: send message "send INDEX" to docserver@csrc.ncsl.nist.gov
  144. dial-in: 301-948-5717
  145.  
  146.  
  147.