home *** CD-ROM | disk | FTP | other *** search
/ Hacks & Cracks / Hacks_and_Cracks.iso / hackersclub / km / news / 1996 / dec / hack27.txt < prev   
Text File  |  1998-03-25  |  8KB  |  121 lines

  1. SATAN uncovers high risk of Web attack
  2.  
  3. Software program's study details
  4. wide problems with security
  5.  
  6. Published: Dec. 19, 1996
  7.  
  8. BY SIMSON L. GARFINKEL
  9. Special to the Mercury News
  10.  
  11. SATAN is raising hell on the Internet again.
  12.  
  13. The controversial software program, created by maverick computer-security researcher Dan Farmer, has been used to show
  14. that nearly one-third of the Internet's most commonly used addresses, or sites on the Internet's graphically oriented World
  15. Wide Web, are highly vulnerable to attack.
  16.  
  17. Its findings raise a troubling possibility for people who use the Internet to get information or potentially make purchases. While
  18. none of the Web sites deemed vulnerable by the study contain truly sensitive information, such as individual bank account
  19. statements or personnel data, they do store information that many people rely upon to conduct business or make personal
  20. decisions. Also, as electronic commerce becomes more prevalent via the Internet, computer thieves, or ''crackers,'' potentially
  21. could infiltrate the Web sites to commit fraud or theft.
  22.  
  23. The study, which surveyed more than 2,200 Web sites on the Net was conducted independently during the past two months by
  24. Farmer, the controversial co-author of the SATAN network security tool.
  25.  
  26. SATAN, an acronym for Security Administrator Tool for Analyzing Networks, was both hailed and reviled by computer
  27. security experts when Farmer released it in April 1995. The program ostensibly was designed so that computer network
  28. administrators could find and then plug security holes before the crackers found them. But with its easy-to-use automated
  29. programs, SATAN also is an ideal tool for people with even rudimentary skills to use as a weapon for infiltrating computer
  30. systems.
  31.  
  32. Now, more than a year later, Farmer is showing that the Web is as solid as a sieve. The San Francisco resident used it to scan
  33. many commonly used Web sites, which anyone with a computer and Web access can see by using the Web's navigational tool,
  34. known as a browser, and typing in a series of letters and words. Once typed in, a person can see information from computers
  35. around the globe. 
  36.  
  37. Farmer did not actually ''break in'' to the sites, but simply looked for commonly known weaknesses.
  38.  
  39. Common sites explored
  40.  
  41. The results are startling: In addition to the 31 percent of the sites he deemed ''red,'' or highly vulnerable, another 34 percent
  42. were classified as ''yellow,'' or somewhat vulnerable. Specifically, he looked at sites within certain categories that people
  43. routinely view: banks, credit unions, the federal government, newspapers and sex. Within those categories, he found that nearly
  44. 36 percent of the bank Web sites SATAN explored have security holes widely known to crackers that can be used to break
  45. into a system and change its Web pages.
  46.  
  47. There already have been several widely publicized examples of crackers breaking into high-profile Web sites. In August, the
  48. computer that contains information for the Web site of the U.S. Department of Justice was attacked. Crackers broke in to the
  49. system, took it over, and added swastikas and obscene pictures to the department's electronic face in cyberspace.
  50.  
  51. A month later, another group of crackers broke into the computer operated by the Central Intelligence Agency, changing its
  52. Web pages to read Central Stupidity Agency. Both incidents caused great embarrassment and both are still under investigation.
  53.  
  54. Farmer's study argues that these two incidents may be more than just isolated pranks. Instead, they may be symptoms of a
  55. widespread inattention to computer security on the part of businesses, organizations and government agencies that are
  56. maintaining home pages on the Web. Home pages are the first pieces of information people see for individual Web sites.
  57.  
  58. ''Many people in the security community recognize these problems are widespread and the public needs to know them as well,''
  59. said Ed Felten, who is a computer security expert at the University of Princeton's Computer Science Department. ''I'm not
  60. surprised to see these numbers.''
  61.  
  62. 'Conservative' results
  63.  
  64. Farmer refused to release the actual names of the sites that he has probed, citing both safety issues and because the
  65. organizations themselves do not necessarily know their Web sites have potential security flaws. However, he gave a copy of his
  66. data for review to Wietse Venema, a Dutch computer scientist who co-authored the SATAN Web security tool with Farmer
  67. and who is currently on sabbatical at IBM in New York.
  68.  
  69. ''Though the results are scary, they're probably on the conservative side. Remember that the SATAN program is non-intrusive
  70. and that it only recognizes widely known problems,'' Venema said. ''Yes, a quarter of some categories of sites can be
  71. compromised with no effort, and another quarter could be compromised with modest effort -- no rocket science involved.
  72. Now,imagine what a determined attacker could achieve.''
  73.  
  74. Farmer says he did not obtain permission of the sites that he included in his study. He simply chose the sites from publicly
  75. available sources, such as the Yahoo Internet search service. Yahoo and several other search services allow people to find
  76. information about specific topics of interest to Web users by typing in a series of ''keywords.'' The search service then quickly
  77. scans a database of literally tens of thousands of Web sites and offers the computer user a series of potential matches to
  78. review.
  79.  
  80. ''If I had asked all of them for explicit permission, the number of responses I received would have been very small, and perhaps
  81. statistically insignificant,'' says Farmer in his paper on the study, titled ''Security Survey of Key Internet Hosts & Various
  82. semi-Relevant Reflections.''
  83.  
  84. Farmer also worried that asking sites their permission might prejudice the findings because of his somewhat rogue reputation.
  85.  
  86. Extra layer of security
  87.  
  88. The fact that Farmer succeeded at finding security holes at Web sites such as banks or government agencies does not mean
  89. any highly sensitive information is at risk, Farmer said. 
  90.  
  91. Just because he could break into ''a bank's World Wide Web site doesn't mean you can break into a bank.''
  92.  
  93. That is because banks, for instance, typically use one computer to store the information it offers to the public via the Web and
  94. another, more secure, computer to maintain customer financial records. Government agencies, such as the CIA and FBI,
  95. similarly keep their more sensitive information on much more secure computer networks that are not in any way linked to the
  96. Internet.
  97.  
  98. Nonetheless, the weaknesses do raise some potentially troubling consequences. As more and more banks make it possible for
  99. their customers to view bank statements, transfer money, and write checks over the Internet, there is a very real chance that a
  100. compromised Web site could be used to initiate fraudulent transactions.
  101.  
  102. Web sites that are on a businesses' internal network can be used for monitoring information traveling on that network.
  103.  
  104. Furthermore, many system administrators use the same password for a variety of different computers: once the password for
  105. an organization's Web server is learned by an attacker, other computers may be compromised that use the same passwords.
  106.  
  107. Because the SATAN tool does not actually break into computers on the Internet, most computer security specialists contacted
  108. for this article believe Farmer's study does not violate the law. Instead, it is as if Farmer walked up to the front door of several
  109. thousand businesses in the middle of the night and tried turning the door knobs to see if they were unlocked.
  110.  
  111. ''I think an attempt to quantify the problem is long overdue,'' said Andrew Gross, a computer security researcher in San Diego
  112. who has seen Farmer's results. "I think Dan has taken great care in his efforts. He's thought about the sampling problems and
  113. has carefully documented his methodology.''
  114.  
  115. Nevertheless, Farmer said, he's a little nervous about his findings.
  116.  
  117. ''I sure as hell hope I don't get in legal trouble for this.''
  118.  
  119. | Mercury Center Home | Index | Feedback | ⌐1996 Mercury Center. The information you receive on-line from Mercury Center is protected by the
  120. copyright laws of the United States. The copyright laws prohibit any copying, redistributing, retransmitting, or repurposing of any
  121. copyright-protected material.