home *** CD-ROM | disk | FTP | other *** search
/ Sigcat Software Showcase 1993 / Sigcat 93 Software Showcase dataDisc.ISO / research / library / docs / scchp8.asc < prev    next >
Encoding:
Text File  |  1993-02-08  |  17.8 KB  |  416 lines
  1.  
  2.  
  3.                      CHAPTER EIGHT
  4.  
  5.      CD-ROM IN THE CLASSIFIED SENSITIVE COMMUNITY
  6.  
  7.  
  8.                CD-ROM SECURITY ISSUES
  9.                            
  10.                    David S. Jernigan
  11.        Senior Analyst, Galaxy Computer Services
  12.  
  13.  
  14. In looking at security issues with any new technology it
  15. becomes interesting. I remember 25 years ago working in
  16. a vault. We got something brand new -- the first copier
  17. that we were allowed to copy classified information on.
  18. They put it down in a little room next to a security
  19. office. It had two little men in it. You turned over your
  20. classified document. Three days later you got it back all
  21. copied and documented. They got away with that because it
  22. was a very expensive item in those days. We never solved
  23. the security issue of copying. We haven't solved it to
  24. date. One of the things with CD-ROM we want to look at is
  25. what are the real security issues and what are the non-
  26. real security issues. Many security officers will say
  27. "You can't bring that into my system until we solve all
  28. of these problems." All of these problems are problems we
  29. never solved in the hard copy world. 
  30.  
  31.  
  32. BASICS OF SECURITY
  33.  
  34. We want to start off talking about some of the basics of
  35. security because in security we always use the same terms
  36. we just change the definitions. By "access control" we
  37. are talking about keeping the unintended user away from
  38. the PC. By "authentification" what we mean is the person
  39. at the PC is the person we think he or she is. The "audit
  40. trail" allows us to have some idea of what that person
  41. did while at the PC. And with good "labelling" we have
  42. some idea what that person did to the files they handled.
  43. These are standard computer security problems. As soon as
  44. we started to deal with computer security about fifteen
  45. years ago these cropped up. But it became more important
  46. with CD-ROM. We talked about classification but just so
  47. everyone is on the same sheet of music. 
  48.      There are only three classifications - confidential,
  49. secret, and top secret. It's in the Executive Order, its
  50. defined. This applies to the CD-ROM world as it applies
  51. to the hardcopy world. There are innumberable sensitivity
  52. levels. There is sensitive data. It is unclassified but
  53. it should be handled as classified. In the commercial
  54. world there is company proprietary. All the way up to
  55. sensitive information in the TS world we have various
  56. things. Within secret there are different types and we
  57. have to handle them differently. 
  58.  
  59.  
  60. OPERATING ENVIRONMENTS
  61.  
  62. Operating environments give us different requirements
  63. from a security standpoint. Operating here in the
  64. continental U.S. or CONUS (Continental United States) is
  65. a relatively benign operating environment. There are
  66. comparatively few security problems. However, if we go
  67. overseas we have a whole range of problems. Some
  68. countries are essentially the same as operating here all
  69. the way up to some countries where, if we talk to our
  70. diplomats, it's very close to being in open combat on a
  71. daily basis. Trying to develop a security policy that
  72. covers that whole range is very, very difficult.
  73.      There are a couple of special ones. We think of a
  74. ship out in the open ocean as being a very secure well
  75. protected environment. However, if you remember back a
  76. few years, we did lose a ship -- captured -- and it had
  77. a lot of classified documents on it. We lost all of them
  78. to the North Koreans. In our future combat operations we
  79. are going to see more and more small wars in countries we
  80. have never heard of. To support that, we are pushing
  81. intelligence data and other classified information
  82. further and further down the echelon. The lower echelon
  83. the unit is, the more likely it could be overrun. We have
  84. this conflict right there. 
  85.  
  86.  
  87. AGGREGATION
  88.  
  89. Let me introduce the aggregation problem. If I have
  90. hundreds and hundreds and thousands of pages of data does
  91. that change the classification or sensitivity level? It
  92. may. In the hardcopy world today there is a document that
  93. is several hundreds of pages of all unclassified data and
  94. that document is rightly and correctly classified and top
  95. secret. 
  96.  
  97.  
  98. VOLATILITY 
  99.  
  100. The volatility of the data is another problem. Some
  101. classified data has a long shelf-life. Research and
  102. development data on a new nuclear weapon might mean 20-50
  103. years classified. Whereas the data on a combat operation
  104. that's going to go off tomorrow may only have 24 hours
  105. classification. The criticality is the bottom line. You
  106. are looking at -- if the information is compromised can
  107. you still get your job done? What is the damage on
  108. compromise? 
  109.      Classified information has always had a requirement
  110. for marking and labelling. Do you remember back when we
  111. did typewriters and carbon paper? We had to mark
  112. paragraphs. It gets more critical in the CD-ROM world
  113. because there is more data. Now, we have always required
  114. that the outside of the document be labelled, the
  115. coversheets and so forth. CD-ROMs will require the same
  116. thing. Recently ISO addressed the standardized label
  117. problem for CD-ROMs. They are very similar to the ones
  118. they came up with for floppy disks. Same color scheme as
  119. the floppy disk labels and the coversheets. So they have
  120. kept that. That we can handle. 
  121.      External labels we can handle. But how about
  122. internal labelling? With mass production of CD-ROMs it is
  123. very quick and easy to stamp out many CD-ROMs but we
  124. don't know of any way or any company way of handling a
  125. neat internal machine-readable serial number. Some of the
  126. other things that fall into this are the CD-RDx project
  127. where they have standardized the access methods for CD-
  128. ROMs within the intelligence community with a great deal
  129. of application outside. 
  130.  
  131.  
  132. ACCESS METHOD
  133.  
  134. Standardizing the access method makes the security
  135. features more manageable because we are dealing with the
  136. same interface. And Ed asked me to please note that CD-
  137. RDx does not prevent the use of other than Type One
  138. encryption. Type One encryption is the standard for
  139. classified information, so that the CD-RDx allows the
  140. management of classified information in a company or on
  141. a commercial/proprietary basis. The intelligence
  142. community is also working on standardization of internal
  143. documentation, classification, departments and so forth. 
  144.  
  145.  
  146. PRODUCTION
  147.  
  148. Production can cause some interesting problems and these
  149. need solutions. If we are going to produce a classified
  150. CD-ROM, that means we are delivering plain text,
  151. classified information to a production facility. That
  152. means the production facility has to be able to handle
  153. that level of classification. There are very few that can
  154. do that. The production facilities that we know of, the
  155. commercial ones, often have a FOCI problem -- foreign
  156. ownership, control and influence. For those of you who
  157. dealt in the classified world, on every contract you have
  158. to put in one of those FOCI statements. 
  159.      The intelligence community and other classified
  160. communities worry a great deal about the foreign
  161. ownership problem. Also, all the drives and other
  162. supporting equipment that we know of are made by foreign
  163. companies which leads us into the toughest question. Do
  164. we need this tempesting? CD-ROM drives? Quite honestly I
  165. don't know. As far as I can find out no one has checked
  166. out the tempest signature of a CD-ROM drive. They are
  167. probably not too bad. Not very dirty. They are using low
  168. power, low frequency, low data rate transfers, and would
  169. probably give you low radiation problems. But I don't
  170. know; and as we go into the classified world the security
  171. officers are probably going to want to know. And if they
  172. are needed, who's going to make them? 
  173.      Making tempested items by foreign companies causes
  174. other security problems. Looking at the use of CD-ROMs,
  175. of course, provides some new problems for the security
  176. officer. Some of these problems are well understood;
  177. others we don't understand at all. Distribution is
  178. something we can handle. We know how to deliver a
  179. classified item. A CD-ROM is small -- we can deliver
  180. that. If it is extremely sensitive it may be locked in a
  181. briefcase and the briefcase locked to some guy's arm who
  182. is put on a military aircraft and flown directly to your
  183. location. We can do that. It's expensive but we can do
  184. it. We know how to handle classified distribution.
  185.      Storage is another problem that we can handle.
  186. Again, we don't have the volume but we can lock it in a
  187. safe and if necessary put the safe in a vault. The only
  188. real problem is the small size and the potential
  189. aggregation of the information. 
  190.      Getting back to my aggregation problem. This is one
  191. we need to do a lot of thinking about in the security
  192. policy world. Just how many secret pages are necessary to
  193. kick this up to the top secret level? I don't know. The
  194. other question is, if we kick it up, how do we justify
  195. it? How does that classifier justify moving this CD-ROM
  196. from secret to top secret. Let's face it, handling secret
  197. in most organizations is not too difficult. Handling top
  198. secret collateral information is a gigantic pain. How do
  199. we explain to the high cheese that just because I dump
  200. all of these ten thousand secret documents onto a disk
  201. that it's now top secret, or to Congress for that matter?
  202. Or, on the other hand, if we don't kick it up and we lose
  203. it, how to explain to Congress that we didn't give it
  204. more protection because it was all in one place and
  205. someone stuffed it into their back pocket and walked out
  206. of the facility with it?
  207.      We are trying to balance the real world against the
  208. emotional world. One potential solution I would throw out
  209. for consideration is that perhaps what we need to do is
  210. look at the life cycle of this classified CD-ROM disk and
  211. protect it at its vulnerable stages? For example, in
  212. transit maybe we want to have a secret disk handled as if
  213. it was TS in transit so that is never goes by registered
  214. mail but only goes by courier. But, again, we need to
  215. think about it both from the technical side from the user
  216. side and from the security officer's side as well, so we
  217. don't build ourselves into a box. Probably the solution
  218. we are going to come up with is encryption. There are a
  219. couple ways of doing this. One way might to have a piece
  220. of data on a disk which relates to a piece of hardware,
  221. which then decrypts the information. Another one is the
  222. SCSI bus solution which John is going to talk about in a
  223. few minutes, and this is probably the most logical
  224. solution available.      If we look at encryption, there
  225. are several ways of looking at it. One way is to take
  226. everything on the disk and encrypt everything on the disk
  227. -- overall total encryption. That's fine as long as when
  228. the disk gets to its destination we want to be able to
  229. have a user access all of the information. In the DoD
  230. (Department of Defense) world they have a slightly more
  231. complex problem. They want to be able to send to a ship
  232. one disk with all the operational intelligence files they
  233. need. But they don't want everything on the disk to be
  234. accessed by everyone that has clearance. So we run into
  235. the compartmentation problem and with compartmentation we
  236. need labelling.
  237.      There are several possible solutions. One is
  238. multiple level encryption where you have portions of data
  239. encrypted and then you have the whole thing over-
  240. encrypted. Or maybe you just have portions of it
  241. encrypted differently. Both of these solutions need to be
  242. looked at. As we get into the CD-ROM world in the
  243. classified arena, we are going to have to come up with
  244. creative solutions. But the labelling is required if we
  245. are going to separate out the data. We need a rigidly
  246. followed labelling schema that's standardized. The
  247. encrypted isolation may help us in the same way that
  248. DIA's comparted mode workstation helped us a few years
  249. ago. 
  250.  
  251.  
  252. DESTRUCTION
  253.  
  254. We don't know of anybody who has done research as to how
  255. standards should be set for destroying a CD-ROM. If you
  256. think back to the hardcopy world, we say if it's this
  257. classification we need to shred it down to this size --
  258. it needs to be crosscut, strip shredded, powdered,
  259. mulched whatever. We need to look at the recovery
  260. capability of a destroyed CD-ROM disk and balance that
  261. with the sensitivity of the data. For very sensitive CD-
  262. ROMs we may need to go to a very expensive method of
  263. destruction, but we don't want to do that for a
  264. confidential or unclassified sensitive disk.      
  265. Therefore, for these various types of data -- how should
  266. we destroy them? Also fitting into this matrix, along
  267. with sensitivity, is -- where am I in the world? If I am
  268. sitting here in the Washington area, in the benign
  269. continential U.S. environment maybe if I just break it up
  270. and throw it into the landfill that may take care of it.
  271. If you are overseas, it may be a different problem. If
  272. you are in military deployed situation or state
  273. department situation, again its different. If you have a
  274. bunch of people waving banners and signs outside your
  275. embassy gates it's one situation. What happens when the
  276. natives start coming over the fence? We have lost
  277. embassies full of equipment. I will remind you of the
  278. thousand Iranian students piecing back documents and
  279. feeding them back to us -- rather embarrassing.
  280.      Combat always dictates different standards. What
  281. comes up in a U.S. environment where you have
  282. environmental impact statements goes away in combat. We
  283. always have to remember when we put these CD-ROM disks
  284. (classified information) to the military, ships do get
  285. captured, planes do go down in denied areas, and infantry
  286. units do get overrun. 
  287.      I want to discuss some methods we have thought of.
  288. We haven't tried them, but I want to throw them out for
  289. you to think about. First, you can burn the thing. If the
  290. fire is hot enough, yes, you can burn it. However, you
  291. are probably going to get some very interesting toxic
  292. fumes which means this method is probably not going to be
  293. authorized except in dire circumstances. Shattering --
  294. just breaking it up. I can make sure its not going to be
  295. used as a CD-ROM again, but how much of that information
  296. can be recovered? Shredding is another possibility. If
  297. you jam that into your little office crosscut shredder,
  298. forget it -- the CD-ROM is going to eat your shredder.
  299. But if you get one of the large hammer mills, it will eat
  300. it. Those, however, are very expensive and very noisy.
  301. How about I dump it into a vat of some interesting
  302. chemical? As far as we know, anything that will dissolve
  303. the plastic and the aluminum gives off a lot of toxic
  304. fumes.
  305.      There's always going to be some unconventional means
  306. -- for combat expediency -- so I will throw out a couple
  307. we have come up with. What happens if I take a stack of
  308. disks and superglue them together? That may well be
  309. sufficient. You can't take them apart without totally
  310. destroying them. That might be sufficient for sensitive
  311. unclassified or even confidential. What happens if I put
  312. the thing in a microwave and nuke it for five minutes on
  313. high power? Our military will always go for field
  314. expedience. What happens if I take a stick of C-4, cap it
  315. and blow it? I think that will probably work but that's
  316. not something you are going to do in the office. And if
  317. you are out in one of these units and you are overrun,
  318. what happens if I pour the battery acid on it? Does that
  319. help? Does that hurt? We need to be able to provide these
  320. people with suggestions. If we are going to put
  321. classified information on CD-ROM disk we also have to
  322. figure out how to destroy it.
  323.  
  324.  
  325. CONCLUSION
  326.  
  327. I have presented a number of problems. Let me give you
  328. some of our conclusions. The technology is here, but the
  329. policy is not ready. I could have stood up here thirty
  330. years ago and said the same thing. We seem to always lag
  331. on our policy. We get overrun by policy. The hardware is
  332. really powerful and getting cheap. It's certainly cheaper
  333. than any other system cost around. That also means the
  334. bad guys anywhere in the world can buy it just as
  335. cheaply. When it gets to the point where it's easy to
  336. build a PC out of parts, the fact that you have a
  337. sophisticated machine means absolutely nothing from a
  338. security standpoint. Classification and handling -- we
  339. really need policy here. But again I could have said that
  340. twenty-five years ago. We will probably get handling
  341. policy long before we get classification policy. We don't
  342. handle classification policy well -- we never have.
  343. Encryption in its various forms will probably be the only
  344. short-term solution and probably the mid-range and long-
  345. term one as well.
  346.      In summary, CD-ROM's advantages from a security
  347. point of view are also its disadvantages. Its small. You
  348. can easily lock it up and easily protect it. But you can
  349. also easily steal it. It is an extremely dense
  350. information medium. A great deal of information can be
  351. stored, but you run into the aggregation problem in
  352. spades. With new standards like CD-RDx, it makes it
  353. easier to use if we can overcome the proprietary search
  354. engine problems, but it also makes it very easy for the
  355. wrong person to read it. In closing, CD-ROM presents an
  356. interesting security problem. Interesting in the
  357. classical Chinese philosophical sense -- we live in
  358. interesting times. 
  359.  
  360. Related Graphics to this paper:
  361.  
  362. %g JER01.pcx;
  363. %g JER02.pcx;
  364. %g JER03.pcx;
  365. %g JER04.pcx;
  366. %g JER05.pcx;
  367. %g JER06.pcx;
  368. %g JER07.pcx;
  369. %g JER08.pcx;
  370. %g JER09.pcx;
  371. %g JER10.pcx;
  372. %g JER11.pcx;
  373. %g JER12.pcx;
  374. %g JER13.pcx;
  375. %g JER14.pcx;
  376. %g JER15.pcx;
  377.  
  378.  
  379.  
  380.  
  381.  
  382.  DATA ENCRYPTION: ONE POSSIBLE ANSWER
  383.                             
  384.                      John Politis
  385.             Director, Business Development
  386.                       Ultron Labs
  387.  
  388.  
  389. This paper was done with overhead visuals listed below.
  390.  
  391. %g POL01.pcx;
  392. %g POL02.pcx;
  393. %g POL03.pcx;
  394. %g POL04.pcx;
  395. %g POL05.pcx;
  396. %g POL06.pcx;
  397. %g POL07.pcx;
  398. %g POL08.pcx;
  399. %g POL09.pcx;
  400. %g POL10 pcx;
  401. %g POL11.pcx;
  402. %g POL12.pcx;
  403. %g POL13.pcx;
  404. %g POL14.pcx;
  405. %g POL15.pcx;
  406. %g POL16.pcx;
  407. %g POL17.pcx;
  408. %g POL18.pcx;
  409. %g POL19.pcx;
  410. %g POL20.pcx;
  411. %g POL21.pcx;
  412. %g POL22.pcx;
  413.  
  414.  
  415.  
  416.