home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / cud / cud513a.txt < prev    next >
Text File  |  1995-01-03  |  10KB  |  195 lines
  1. Date: 23 Jan 1993 16:14:31 -0700 (MST)
  2. From:  <KAPLAN%UABPA@ARIZVMS.BITNET>
  3. Subject: File 1--Talking with the Underground
  4.  
  5. (Previously published in the Computer Security Institute's newsletter
  6. - The Alert - and the French Chaos Computer Club's Chaos Digest)
  7.  
  8. Talking with the underground
  9. by Ray Kaplan and Joe Kovara
  10.  
  11. Information about system and network vulnerabilities is sparse, not
  12. readily available and carefully guarded by those segments of the
  13. security community that collect and control it.  Given that the
  14. legitimate security community won't share information about
  15. vulnerabilities with us, isn't it logical that we include outsiders
  16. (the computer underground or ex-computer criminals) in these
  17. discussions.  Amid criticism, we decided to let the community ask the
  18. advice of experts  the crackers who have successfully cracked computer
  19. networks.
  20.  
  21. Exploring the details of vulnerabilities
  22.  
  23. Over 300 participants at 25 sites in US, Canada, Europe and Mexico
  24. joined law enforcement, members of the security community, and former
  25. members of the computer underground as we explored these questions in
  26. the November 24, 1992, audio teleconference entitled System and
  27. Network Security: How You Will Be Attacked and What to do About It.
  28.  
  29. Our guests included Kevin Mitnick and Lenny DiCicco, who successfully
  30. penetrated a range of networks and telephone systems.  They were both
  31. sentenced in federal court after successfully penetrating Digital
  32. Equipment Corporation's computer network in 1988.  They stole the
  33. source code to VMS, Digital's widely used operating system.  Their
  34. exploits were profiled in the book Cyberpunk: Outlaws and Hackers on
  35. the Computer Frontier, by Katie Hafner and John Markoff (1991, Simon
  36. and Schuster).
  37.  
  38. Our panelists included Hal Hendershot, head of the FBI Computer Crime
  39. Unit in Washington D.C.; Don Delaney, Senior Investigator with the New
  40. York State Police; Computer security consultant Dave Johnson of Talon
  41. Systems (Los Alto, CA); Robert Clyde, V.P. of the Security Products
  42. Group, RAXCO, Inc.; and Lew, the organizational director of automation
  43. for a medium size company  a former cracker.
  44.  
  45. The panelists shared their considerable experience and discussed
  46. techniques used to break in to computer networks.  Among the
  47. penetration techniques discussed were the uses of psychological
  48. subversion, telecommunications monitoring techniques, and the
  49. exploitation of known system and network bugs.  Despite the popularity
  50. of these attack techniques, they are little known outside of the
  51. computer underground and the computer security community.
  52.  
  53. Panelists issue stern warnings about telecommunications security
  54.  
  55. Don Delaney stated that tremendous loss of money from both toll and
  56. Private Branch eXchange (PBX) fraud is whats happening in the telecom
  57. area.  Since the security of a PBX is the responsibility of its owner,
  58. such losses are not being absorbed by the telephone companies
  59. involved.  These losses have been known to force the owners of
  60. compromised PBXs into bankruptcy.  Delaney joins us in saying that its
  61. not a matter of if you will be hit, but when.
  62.  
  63. According to DiCicco, compromising the telephone system gave he and
  64. Kevin the ability to attack systems without the fear of discovery -
  65. telco tracebacks were simply ineffective.  They could attack networks
  66. at many different points of entry all over the country.  This is why
  67. no one could keep them out, even though their victims knew their
  68. systems and networks had been compromised.  If all of this does not
  69. scare you, consider Lenny's admission that at one point he and Kevin
  70. had compromised over 50 telco switches in the United States, including
  71. all of California, parts of New Jersey, New York and New Hampshire.
  72. At one point they even controlled all three of the switches that
  73. provided phone service to Manhattan.
  74.  
  75. Yes, the law is ready to help - but the threat is a tough,
  76. sophisticated, international one.
  77.  
  78. Threats from abroad? Yes, the threat does exist according to Hal
  79. Hendershot of the FBI.  Robert Clyde reports getting many calls from
  80. people trying to solve security problems.  In keeping with what we
  81. know of reported computer crimes, most sites see problems from
  82. insiders:  employees, consultants and vendors.  Robert reports that
  83. two companies publicly spoke of being approached by former East German
  84. agents for hire for as little as $10,000 at a September conference in
  85. Sweden where he spoke in 1992.  We appear to be seeing the
  86. criminalization of hacker activity that many have long feared: hackers
  87. and ex-foreign intelligence agents for hire.
  88.  
  89. James Bond is alive and well, thank you
  90.  
  91. In late 1992 Don Delaney reported the first case he's seen of James
  92. Bond techniques.   Remote surveillance can be done by intercepting,
  93. decoding and displaying the Radio Frequency (RF) emanations of various
  94. computing devices such as terminals and network cabling.   Delaney
  95. reports that in late 1992, an antenna was put up on the balcony of a
  96. 19th floor room in New York's Helmsley building pointing at Chemical
  97. Bank.  He indicated that it was being very carefully adjusted before
  98. being locked into position.  By the time they were able to
  99. investigate, the antenna and its manipulator had vanished - presumably
  100. having successfully gathered the intelligence that they were after.
  101. This is no longer gee, we knew it was possible, but holy shit, it's
  102. happening now.  Imagine someone reading your terminal screen from
  103. across the street.
  104.  
  105. Management's show me attitude
  106.  
  107. Dave Johnson insists that his biggest problem when he was at Lockheed
  108. was getting corporate management to understand that there is a
  109. problem.  One of the areas in which this type of conference can really
  110. help is understanding the enemy.  Management simply doesn't understand
  111. the thinking of hackers.  Since it makes no sense to them, they tend
  112. to deny its existence until theres proof.  Of course, the proof is
  113. usually very expensive: once a system has been compromised the work of
  114. cleaning it up is a long, hard and complicated.  A well-connected
  115. system or network makes an excellent platform from which to launch
  116. attacks on other hosts or on other networks.
  117.  
  118. A major problem for Digital in securing their network against Kevin
  119. Mitnick and Lenny DiCicco was that only one vulnerable system on
  120. Digitals EASYnet was needed.  From there, they were able to penetrate
  121. other systems.  Even nodes that were known to have been penetrated and
  122. were secured were penetrated repeatedly by using other vulnerable
  123. nodes to monitor either users or network traffic accessing the secured
  124. nodes.  While at Lockheed, Dave Johnson implemented policies,
  125. awareness training and widescale authentication for all external
  126. access, including dialup lines and telnet connections using
  127. challenge-response tokens or smart cards.  He does not trust the phone
  128. system and assumes that it has been compromised.  Kevin Mitnick and
  129. Lenny DiCicco illustrated just how vulnerable the phone system was in
  130. 1988 and the MOD bust in July 1992 shows that things have not
  131. improved.  Kevin reminds us that you must assume the telephone system
  132. is insecure: even robust challenge-response systems can be compromised.
  133. You simply have to play the telecommunications game for real.  Kevin
  134. reminds us that unless you use encryption, all bets are off.  As an
  135. example of how deep, long lived and dedicated a serious attack can be,
  136. consider that Kevin and Lenny were in DEC's network for years.  They
  137. knew exactly what DEC and telco security were doing in their efforts
  138. to catch them since they were reading the security personnel's email.
  139. They evaded the security forces for over 12 months and they had a
  140. pervasive, all powerful, privileged presence on DEC's internal
  141. network.  I've seen the enemy and them is us (this is a quote from
  142. Pogo).
  143.  
  144. Mitnick insists that people are the weakest link.  According to his
  145. considerable experience, you don't even need to penetrate a system if
  146. you can talk someone on the inside into doing it for you.  Why bother
  147. breaking in to a computer system if you can talk someone in accounts
  148. payable into cutting you a check?  Using the finely tuned tools of
  149. psychological subversion, practiced social manipulators can get most
  150. anything that they want from the ranks of the generally unsuspecting
  151. (uncaring?) employees that inhabit most of our organizations today.
  152. The only cure is a massive and complete educational program that
  153. fosters loyalty, awareness and proper skepticism in every employee.
  154.  
  155. In the end
  156.  
  157. Perhaps the strongest message from everyone was that you can't trust
  158. the phone system.  Telephone companies have been, and continue to be,
  159. compromised.  While Mitnick & DiCicco's penetration of DEC's internal
  160. network happened in 1988, the 1992 MOD bust showed us that the same
  161. techniques are still being used successfully today.  Data and voice,
  162. including FAX transmissions, are subject to eavesdropping and
  163. spoofing.  Encryption is absolutely required for secure, trustworthy
  164. communications.
  165.  
  166. The coupling of social engineering and technical skills is a potent
  167. threat.  Most sites that have addressed technical security are still
  168. wide open to penetration from people who have well-practiced social
  169. engineering skills.  However, in all, you don't even need social
  170. engineering skills to get into most systems.
  171.  
  172. Are your systems and networks secure?  Are your systems and networks
  173. at risk?  What will you do if you are attacked?  Although the
  174. questions seem simple, they are not.  Future teleconferences will
  175. explore both the questions and the answers in more detail.
  176.  
  177. ++++
  178.  
  179. Ray Kaplan and Joe Kovara have been independent computer consultants
  180. for more than a decade. They specialize in operating systems, networks
  181. and solving system and network security problems.  Ray Kaplan is also
  182. a well-known writer and lecturer.  He is a regular contributor to
  183. Digital News and Review and other computer trade publications.
  184.  
  185. Tapes and handout materials for the System and Network Security
  186. teleconference series are available from Ray Kaplan, P.O. Box 42650,
  187. Tucson, AZ  USA 85733 FAX (602) 791-3325 Phone (602) 323-4606.
  188.  
  189. ------------------------------
  190.  
  191. From: sc03281@LLWNET.LINKNET.COM(Cheshire HS)
  192. Subject: File 2--System Surfing at U-Cal/Davis
  193.  
  194. Downloaded From P-80 International Information Systems 304-744-2253
  195.