home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl3 / virusl3.01

< prev

next >

Wrap

Text File  |  1995-01-03  |  27KB  |  649 lines

---

1. VIRUS-L Digest   Tuesday,  2 Jan 1990    Volume 3 : Issue 1
2.  
3. Today's Topics:
4.  
5. Re: WDEF / Apology to Mainstay Software (Mac)
6. Tracking Infections
7. Re: AIDS TROJAN RESEARCH
8. Call for Papers --- 13th National Computer Security Conference
9. Questions re VIRUS-L
10. Re: DES Availability
11. Re: Virus trends
12. Comments Attributed to SWE
13. AIDS Program (PC)
14. Ascii 255
15. "Do not use this Diskette"
16. Spafford's Theorems
17. Re: Virus Trends
18.  
19. VIRUS-L is a moderated, digested mail forum for discussing computer
20. virus issues; comp.virus is a non-digested Usenet counterpart.
21. Discussions are not limited to any one hardware/software platform -
22. diversity is welcomed.  Contributions should be relevant, concise,
23. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
24. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
25. anti-virus, document, and back-issue archives is distributed
26. periodically on the list.  Administrative mail (comments, suggestions,
27. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
28.  - Ken van Wyk
29.  
30. ---------------------------------------------------------------------------
31.  
32. Date:    Fri, 22 Dec 89 16:17:00 -0500
33. From:    LUBKT@vax1.cc.lehigh.edu
34. Subject: Re: WDEF / Apology to Mainstay Software (Mac)
35.  
36. jln@acns.nwu.edu writes:
37.  
38. > 1st Aid Software deserves a great deal of credit for having the only
39. > virus prevention tool that was capable of catching WDEF.  Everybody
40. > else failed, including Symantec's SAM, HJC's Virex, Gatekeeper, and
41. > Vaccine.  I don't know about MainStay's AntiToxin - I don't have a
42. > copy of that either (yet).
43.  
44. Disinfectant 1.5 can also catch/remove WDEF virus.
45.  
46.  Binod Taterway, User Consultant, Lehigh University Computing Center
47.  Lehigh University, Bethlehem, PA 18015.         Tel: (215) 758-3984
48.  E-mail: LUBKT@vax1.cc.lehigh.EDU (Internet),     BT00@lehigh.BITNET
49.  
50. ------------------------------
51.  
52. Date:    Fri, 22 Dec 89 16:07:21 -0600
53. From:    "McMahon,Brian D" <MCMAHON@GRIN1.BITNET>
54. Subject: Tracking Infections
55.  
56. The current flurry of WDEF infection reports has reawakened a long-standing
57. interest of mine in tracking the propagation of nasties (term intended to
58. include both virus and Trojan horse).  I know people will occasionally post
59. messages to this list along the lines of, "If anyone's keeping track of
60. infection reports...", but this seems to be rather sporadic and haphazard.
61.  
62. Question:  Who is collecting such information, and in what form?  I would
63. certainly be willing to offer my assistance in the collection effort, but
64. how much of this wheel has already been invented, and what remains to be
65. done?
66.  
67. Going one step further, what if we were to formalize the procedure of
68. reporting, at least for the academic sites, by enlisting "spotters" at
69. various institutions, who would then file a brief report on any infections
70. at their location?  Microcomputer coordinators and user-support staffers
71. would be likely candidates.  This is a suggestion for discussion, so I'd
72. welcome any feedback, positive or negative.
73.  
74. Brian McMahon  <MCMAHON@GRIN1.BITNET>
75. Academic Programmer
76. Grinnell College
77. Grinnell, Iowa 50112
78. (515) 269-4901
79.  
80. Standard disclaimer ... my opinions only. <mumble>
81.  
82. ------------------------------
83.  
84. Date:    Fri, 22 Dec 00 19:89:01 +0000
85. From:    microsoft!alonzo@uunet.uu.net
86. Subject: Re: AIDS TROJAN RESEARCH
87.  
88. >              AIDS "TROJAN" DISK UPDATE - DECEMBER 17, 1989
89. >
90. > First, let us say for the record that everything reported so far by
91. > Mr. McAfee is correct. Our tests bear out the results he has obtained.
92. >
93. > A form of public key encryption is then used to perform the actual
94. > encryption. This was determined by the brute force decryption method.
95. > SWE has several 80486's and access to a VAX and they were put to work
96. > decrypting the files. It was made easier by the fact that the original
97. > contents of the test disk were known. One nasty little trick the AIDS
98. > "trojan" uses is that after each file is encrypted the encryption key
99. > is modified slightly.
100.  
101. Can either of you shed some light on the above message?  It contains
102. serious contradictions with both itself and the statements of Mr.
103. McAfee with whom it purports to agree.
104.  
105. The comments about DES and public key encryption contained in the
106. above message are extremely confused.  All indication is that the AIDS
107. trojan does simple substitutions on file names.  The above message
108. claims that the entire disk is encrypted with a public key encryption
109. scheme.
110.  
111. My conclusion is that this message was not posted in good faith.  The
112. last thing anyone needs is this kind of purposeful misinformation.
113. This conclusion is supported by the claim that the so-called SWE
114. company has moved and "returned" their sample disks to the owners.
115.  
116. By associating yourselves with this nonsense, you have seriously impaired
117. your reputations.
118.  
119. sincerely,
120.  
121. Alonzo Gariepy
122. alonzo@microsoft
123.  
124. ------------------------------
125.  
126. Date:    Sat, 23 Dec 89 08:59:00 -0500
127. From:    Jack Holleran <Holleran@DOCKMASTER.ARPA>
128. Subject: Call for Papers --- 13th National Computer Security Conference
129.  
130. CALL  FOR  PAPERS:
131.  
132.            13th NATIONAL COMPUTER  SECURITY CONFERENCE
133.                           Sponsored by
134.             the National Computer Security Center
135.                                and
136.        the National Institute of Standards and Technology
137.  
138. Theme:    Information Systems Security:  Standards - The Key to the Future
139.  
140. Date:                   OCTOBER 1-4, 1990
141.  
142. Location:                WASHINGTON, D.C.
143.  
144. This conference provides a forum for the Government and the private sector to
145. share current information that is useful and of general interest to the
146. conference participants on technologies, present and future, that are designed
147. to meet the ever-growing challenge of telecommunications and automated
148. information systems security.  The conference will offer multiple tracks for
149. the needs of users, vendors, and the research and development communities.
150. The focus of the conference will be on: Systems Application Guidance,
151. Awareness, Training, and Education, Ethics and Issues, Evaluation and
152. Certification, Innovations and New Products, Management and Administration,
153. and Disaster Prevention and Recovery.  We encourage submission of papers on
154. the following topics of high interest:
155.  
156. Systems Application Guidance
157.     -    Access Control Strategies
158.     -    Achieving Network Security
159.     -    Building on Trusted Computing Bases
160.     -    Integrating INFOSEC into Systems
161.     -    Preparing Security Plans
162.     -    Secure Architectures
163.     -    Securing Heterogeneous Networks
164.     -    Small Systems Security
165.  
166. Innovations and New Products
167.     -    Approved/Endorsed Products
168.     -    Audit Reduction Tools and Techniques
169.     -    Biometric Authentication
170.     -    Data Base Security
171.     -    Personal Identification and Authentication
172.     -    Smart Card Applications
173.     -    Tools and Technology
174.  
175. Awareness, Training and Education
176.     -    Building Security Awareness
177.     -    Compusec Training:  Curricula, Effectiveness, Media
178.     -    Curriculum for Differing Levels of Users
179.     -    Keeping Security In Step With Technology
180.     -    Policies, Standards, and Guidelines
181.     -    Understanding the Threat
182.  
183. Evaluation and Certification
184.     -    Assurance and Analytic Techniques
185.     -    Conducting Security Evaluations
186.     -    Covert Channel Analysis
187.     -    Experiences in Applying Verification
188.     -    Formal Policy Models
189.     -    Techniques
190.  
191. Management and Administration
192.     -    Accrediting Information Systems and Networks
193.     -    Defining and Specifying Computer Security Requirements
194.     -    Life Cycle Management
195.     -    Managing Risk
196.     -    Role of Standards
197.     -    Security Requirements
198.  
199. Disaster Prevention and Recovery
200.     -    Assurance of Service
201.     -    Computer Viruses
202.     -    Contingency Planning
203.     -    Disaster Recovery
204.     -    Malicious Code
205.     -    Survivability
206.  
207. Ethics and Issues
208.     -    Computer Abuse/Misuse
209.     -    Ethics in the Workplace
210.     -    Individual Rights
211.     -    Laws
212.     -    Relationship of Ethics to Technology
213.     -    Standards of Ethics in Information Technology
214.  
215.  
216. BY FEBRUARY 16, 1990:  Send eight copies of your draft paper* or panel
217. suggestions to one of the following addresses.  Include the topical category
218. of your submission, author name(s), address, and telephone number on the cover
219. sheet only.
220.  
221.     1.  FOR PAPERS SENT VIA        National Computer Security Conference
222.           U.S. or Foreign             ATTN:  NCS Conference Secretary
223.          Government  MAIL             National Computer Security Center
224.               ONLY:                   Fort George G. Meade, MD 20755-6000
225.  
226.     2.   FOR PAPERS SENT VIA       National Computer Security Conference
227.          COMMERCIAL COURIER           c/o NCS Conference Secretary
228.        SERVICES (e.g.-FEDERAL         National Computer Security Center
229.          EXPRESS, EMERY, UPS,         911 Elkridge Landing Road
230.               etc.):                  Linthicum, MD  21090
231.  
232.     3.  FOR Electronic Mail:  NCS_Conference@DOCKMASTER.NCSC.MIL   (1 copy)
233.  
234. BY MAY 4, 1990: Speakers selected to participate in the conference will be
235. notified.
236.  
237. BY JUNE 22, 1990:  Final, camera-ready papers are due.
238.  
239.  * Government employees or those under Government sponsorship must so identify
240. their papers.
241.  
242. For additional information on submissions, please call (301) 850-0272.
243.  
244.      To assist the Technical Review Committee, the following is required for
245. all submissions:
246.  
247.         Page 1:     Title of paper or submission
248.                            Topical Category & keywords
249.                            Author(s)
250.                            Organization(s)
251.                            Phone number(s)
252.                            Net address(es), if available
253.                            Point of Contact
254.      Additionally, submissions sponsored by the U.S. Government must provide
255. the following information:
256.                         U.S. Government Program Sponsor or Procuring Element
257.                         Contract number (if applicable)
258.                         U.S. Government Publication Release Authority
259.                            (Note:  Responsibility for U.S. Government
260.                             pre-publication review lies with the author(s).)
261.  
262.       Page 2:      Title of the paper or submission
263.         -last       abstract
264.                     The paper   (Suggested length:  6 pages, double columns)
265.  
266.      A Technical Review Committee, composed of U.S. Government and Industry
267. Computer Security experts, will referee submissions only for technical merit
268. for publication and presentation at the National Computer Security (NCS)
269. Conference.  No classified submissions will be accepted for review.
270.  
271.      Papers drafted as part of the author's official U.S. Government duties
272. may not be subject to copyright.  Papers submitted that are subject to
273. copyright must be accompanied by a written assignment to the NCS Conference
274. Committee or written authorization to publish and release the paper at the
275. Committee's discretion.  Papers selected for presentation at the NCS
276. Conference requiring U.S. Government pre-publication review must include,
277. with the submission of the final paper no later than June 22, 1990 to the
278. committee, a written release from the U.S. Government Department or Agency
279. responsible for pre-publication review.  Failure to comply may result in
280. rescinding selection for publication and for presentation at the 13th NCS
281. Conference.
282.  
283.      Technical questions can be addressed to the NCS Conference Committee
284. through the following means:
285.  
286.             Phone:                   (301) 850-0CSC  [0272]
287.  
288.             Electronic Mail:         NCS_Conference@DOCKMASTER.NCSC.MIL
289.  
290.             Government Mail:         National Computer Security Conference
291.                                        National Computer Security Center
292.                                        Fort George G. Meade, MD 20755-6000
293.  
294.             Commercial Carriers:     National Computer Security Conference
295.                                        c/o NCS Conference Secretary
296.                                        National Computer Security Center
297.                                        911 Elkridge Landing Road
298.                                        Linthicum, MD  21090
299.  
300. ------------------------------
301.  
302. Date:    Sat, 23 Dec 89 21:38:00 -0500
303. From:    "Peter S. Graham" <GRAHAM@pisces.rutgers.edu>
304. Subject: Questions re VIRUS-L
305.  
306. I have two questions which the digest has probably dealt with but for
307. newcomers might be worth responding to again:
308.  
309. 1.  Does the Digest provide a way to query the effectiveness of commercial
310. antivirus programs against known viruses? --e.g., a kind of table with
311. commercial (or other published programs) across the top and known viruses
312. down the side and an X at the intersection if the program handles it.  This
313. would be a real service.
314.  
315. 2.  Does this Digest have a formal feedback mechanism to commercial and other
316. antivirus program developers, so that they get a sense of what needs to be
317. done and pronto?  Or do we know that they are all members of the listserv and
318. we leave it at that, depending on laissez-faire economics?
319.  
320. As a new reader I appreciate the service and the effort that goes into it.
321.  
322. Peter Graham
323. Associate Vice President for Information Services
324. Rutgers University / New Jersey
325.  
326. [Ed. To answer 1., there have been various informal product reviews
327. sent in to the VIRUS-L digest by various readers (perhaps someone out
328. there has put them together in one doc?) as well as pointers to other
329. reviews (e.g., PC Mag).
330.  
331. The digest does not offer a formal feedback mechanism.  However,
332. numerous shareware and commercial anti-virus product vendors to
333. monitor and (in some cases) contribute to the digest.  Feedback sent
334. to the digest does reach them.]
335.  
336. ------------------------------
337.  
338. Date:    Sun, 24 Dec 89 16:49:07 +0200
339. From:    kiravuo@kampi.hut.fi (Timo Kiravuo)
340. Subject: Re: DES Availability
341.  
342. >>For those not aware, the U.S. Government guards the DES formula,
343.  
344. >   Please correct me if I'm wrong, but isn't DES or DES-like
345. >encryption algorithms readily available?
346.  
347. As far as I understand, the DES formula is public, but exporting
348. impelemntations is prohibited in the USA. However there is
349. nothing preventing one to make a DES implementation outside the
350. USA and distributing it. Here in Helsinki University of
351. Technology Antti Louko has written one, it is available by
352. anonymous ftp from kampi.hut.fi (130.233.224.2), file is
353. alo/des-dist.tar.Z.
354.  
355. It was also posted to USENET comp.sources.??? group a while ago,
356. the posting was dove via a moderator in Australia, since
357. importing DES to the is legal by the US law. (Please note that
358. whatever the US government has to say about DES does not apply to
359. us outside the US territory, the most USA can do is to contact
360. our government or send a spy killer or invade Finland like they
361. did invade Panama.)
362.  
363. As to what this has to do with viruses, I don't know, but I think
364. that a public DES implementation might be interesting enough to
365. many people in the virus field, so maybe the moderator will be
366. nice and let this pass.
367. - --
368. Timo Kiravuo
369. Helsinki University of Technology, Computing Center
370. work: 90-451 4328, home: 90-676 076
371. kiravuo@hut.fi  sorvi::kiravuo  kiravuo%hut.fi@uunet.uu.net
372.  
373. ------------------------------
374.  
375. Date:    Tue, 26 Dec 89 08:17:52 -0500
376. From:    dmg@retina.mitre.org (David Gursky)
377. Subject: Re: Virus trends
378.  
379. > To: dmg@retina.mitre.org
380. > Date: Fri, 22 Dec 89 19:13:24 -0500
381. > From: denbeste@BBN.COM
382. >
383. > One of the best-known and best researched anti-viral programs for the Amiga
384. > is VirusX by Steve Tibbetts. A few months ago a new version of this program
385. > began appearing which was really a trojan. It got rather wide distribution
386. > before anyone noticed that Tibbetts hadn't really written it. Since that
387. > time, Tibbetts no longer publishes his source code when he releases a new
388. > version.
389. >
390. > In other words: The prediction you didn't like was really true; it already
391. > came about!
392.  
393. Oops!  Minor omission on my part.  I neglected to include in my
394. comment about the authors being well known that they should be easily
395. and widely reachable!
396.  
397. There is also the underlying presumption in my message that a new
398. release is confirmed from the author before publication of the
399. application
400.  
401. ------------------------------
402.  
403. Date:    Thu, 21 Dec 89 10:22:00 -0500
404. From:    WHMurray@DOCKMASTER.ARPA
405. Subject: Comments Attributed to SWE
406.  
407. The following comments indicated by ">" were attributed to SWE in
408. VIRUS-L 1234.
409.  
410. >SWE first suspected and tested for the public key encryption method
411. >for several reasons. The major reason was the lack of access people
412. >outside of the United States would have to the DES encryption formula.
413.  
414. [The DEA is an encryption algorithm developed and licensed by IBM. The
415. DES is a U. S. Government standard for the implementation of that
416. algorithm.]
417.  
418. The DES is published and available from The Superintendent of
419. Documents, U.S.  Government Printing Office Washington, D.C.  It
420. can be implemented in software without much difficulty.  It is
421. widely available outside the U.  S.
422.  
423. >For those not aware, the U.S. Government guards the DES formula, and
424. >software which makes use of this formula may not be exported out of
425. >the United States. Should it turn out that the DES formula was also
426. >used, the authors of the AIDS "trojan", could possibly be prosecuted
427. >under United States statutes pertaining to national security.
428.  
429. While export of any munitions, including cryptography, from the U.S.
430. msut be licensed, possession or use of the DES or DES outside the U. S.
431. is not a crime.
432.  
433. >The second reason deals with the DES encryption method. Students of
434. >cryptology are well aware that the DES formula has been considered
435. >vulnerable for some time now.
436.  
437. Students of cryptology are aware of an untruth.  While there have
438. been flawed implementations of the DEA, the cheapest know attack
439. against the DES is an exhaustive attack against the key.
440. Such an attack is measured in centuries of 3090 time.
441.  
442. >It is also a well know fact that DES
443. >specific processors have been produced, which make "cracking" a DES
444. >encrypted file much easier than the public key method. The DES method
445. >also limits to a greater degree the length of the encryption key.
446.  
447. Have you seen one?  Do you even know anyone that has seen one?        (Of
448. course everyone knows someone who knows someone who has seen one, but
449. that is true of UFO's too.
450.  
451. As to the relative strength of the two method, each is, in part a
452. function of the key length chosen.  However, in general, public
453. key lengths of 8 to 10 times as long are required to achieve
454. comparable security with the DEA.
455.  
456. While the DES limits the length of the key to 56 bits, choice of
457. key length in an implementation is arbitrary.  IBM sells an
458. implementation that employs a 112 bit key, if only to protect other
459. keys.
460.  
461. >Combining these two reasons along with the extraordinary expense the
462. >authors of the AIDS "trojan" went to, we guessed that they would also
463. >use a "first class" encryption method.
464.  
465. Very naive analysis.  John McAfee writes:
466.  
467. >    A comparison of the encrypted and unencrypted entries
468. >indicates that some form of linear character mapping was used
469. >i.e.     # = I, } = A, 8 = E, @ = D, etc.)
470.  
471. In other words, "first class" equates to a Captain Midnight decoder
472. ring.  So much for this writer's expert analysis.
473.  
474. William Hugh Murray, Fellow, Information System Security, Ernst & Young
475. 2000 National City Center Cleveland, Ohio 44114
476. 21 Locust Avenue, Suite 2D, New Canaan, Connecticut 06840
477.  
478. ------------------------------
479.  
480. Date:    Thu, 21 Dec 89 15:15:00 -0500
481. From:    WHMurray@DOCKMASTER.ARPA
482. Subject: AIDS Program (PC)
483.  
484. Does the AIDS program do what it purports to do?  Is that something that
485. the recipients were interested in having done?  Was it worth $.50 a day?
486.  
487. It is necessary to understand the answers to these questions in order to
488. know whether we are dealing with:
489.  
490. 1) Attempted extortion;
491.  
492. 2) A very expensive, obscurely motivated, and otherwise gratuitous
493. attack;
494.  
495. 3) Or, a peculiarly inept attempt to market a program.
496.  
497. William Hugh Murray, Fellow, Information System Security, Ernst & Young
498. 2000 National City Center Cleveland, Ohio 44114
499. 21 Locust Avenue, Suite 2D, New Canaan, Connecticut 06840
500.  
501. ------------------------------
502.  
503. Date:    Thu, 21 Dec 89 15:21:00 -0500
504. From:    WHMurray@DOCKMASTER.ARPA
505. Subject: Ascii 255
506.  
507. I like the idea of using a non-displayable character to conceal the
508. presence of a directory.  I also like the idea of using it on the end of
509. a file name in order to make it hard to establish addressability to the
510. file.
511.  
512. I like it now almost as much as I did when I first read the idea in the
513. readers' contributions to PC Magazine.
514.  
515. William Hugh Murray, Fellow, Information System Security, Ernst & Young
516. 2000 National City Center Cleveland, Ohio 44114
517. 21 Locust Avenue, Suite 2D, New Canaan, Connecticut 06840
518.  
519. ------------------------------
520.  
521. Date:    Thu, 21 Dec 89 15:26:00 -0500
522. From:    WHMurray@DOCKMASTER.ARPA
523. Subject: "Do not use this Diskette"
524.  
525. This advice published in association with the AIDS program is good
526. advice.
527.  
528. It is a special case of the advice that says use only programs or
529. diskettes that you expect from trusted sources.
530.  
531. This is a special case of the advice that says do not open mail that has
532. no return address, is not expected, or is otherwise suspicious.  In a
533. small number of cases it may be very dangerous to do so.
534.  
535. ____________________________________________________________________
536. William Hugh Murray                     216-861-5000
537. Fellow,                                 203-966-4769
538. Information System Security             203-964-7348 (CELLULAR)
539.                                         ARPA: WHMurray@DOCKMASTER
540. Ernst & Young                           MCI-Mail: 315-8580
541. 2000 National City Center               TELEX: 6503158580
542. Cleveland, Ohio 44114                   FAX: 203-966-8612
543.                                         Compu-Serve: 75126,1722
544.                                         INET: WH.MURRAY/EWINET.USA
545. 21 Locust Avenue, Suite 2D              DASnet: [DCM1WM]WMURRAY
546. New Canaan, Connecticut 06840           PRODIGY: DXBM57A
547. - --------------------------------------------------------------------
548.  
549. ------------------------------
550.  
551. Date:    Fri, 22 Dec 89 12:28:00 -0500
552. From:    WHMurray@DOCKMASTER.ARPA
553. Subject: Spafford's Theorems
554.  
555. In general, I agree with theorems 1, 2, and 3.  I think that those that
556. deal with the future, are speculative.  However, in the same spirit and
557. along the same lines, I offer the following:
558.  
559. 1. The amount of damage to data and availability done by viruses to date
560. has been less than users do to themselves by error every day.
561.  
562. 2. The press speculation about the DATACRIME virus was much more
563. damaging than the virus.
564.  
565. 3. The amount of damage that has been done to trust within the community
566. is orders of magnitude worse.
567.  
568. 4. Viruses and rumors of viruses have the potential to destroy society's
569. already fragile trust in our ability to get computers to do that which
570. we intend while avoiding unintended adverse consequences.
571.  
572. 5. We learn from the biological analogy that viruses are self-limiting.
573.  
574. Clinically, if you catch a cold, you will either get over it, or you
575. will die.  Epidemiologically, a virus in a limited population
576. will either make its hosts immune, or destroy the population.  Even in
577. open population, a virus must have a long incubation period and slow
578. replication in order to be successful (that is, replicate and spread).
579.  
580. 6. The current vector for viruses is floppy disks and diskettes, not
581. programs.  That is to say, it is the media, rather than the programs,
582. that are moving and being shared.
583.  
584. A virus that is stored on such media will be very persistent.  One
585. infected diskette pulled from a drawer may began a new cycle.
586.  
587. On the other hand, diskettes as media have a limited life expectancy.
588. Punched paper lasted just a century; 8.5" floppies only a decade.  The
589. life of such media is a function of a number of complex factors.  The
590. success of the current technology augers for a long life, while the pace
591. of technology suggests that it will be short.
592.  
593. 7. AIDS not withstanding, terrorists have more effective and efficient
594. mechanisms at hand.  Amateurs have a very high vested interest in a
595. community in which programs can be relied upon to do only what they
596. advertise.  It is to be hoped that they can be socialized not "to soil
597. their own sandpiles."
598.  
599. Season's Greetings.
600.  
601. William Hugh Murray, Fellow, Information System Security, Ernst & Young
602. 2000 National City Center Cleveland, Ohio 44114
603. 21 Locust Avenue, Suite 2D, New Canaan, Connecticut 06840
604.  
605. ------------------------------
606.  
607. Date:    Mon, 25 Dec 89 19:45:47 -0800
608. From:    Nagle@cup.portal.com
609. Subject: Re: Virus Trends
610.  
611.      Back in the 1970s, when I was working on secure operating systems,
612. I never dreamed that the day would come when there would be twenty five
613. million computers in the world running without memory protection.
614.  
615.      And it's going to get worse.  New and interesting programmatic objects
616. are coming into being.  Attacks need not be through object programs.
617. Already, there have been attacks via mail, and via text files editable by
618. GNU EMACS.  But this is just the beginning.
619.  
620.      - PostScript is a programming language.  Trojan horses could be
621.        embedded in PostScript files.  While attacking a printer isn't
622.        all that productive, Display PostScript offers more tempting
623.        targets.
624.  
625.      - A FAX message is a bitstream interpreted by an interpreter at
626.        the receving end.  Could it be induced to do something interesting
627.        through the use of illegal bit patterns?  Group III is probably too
628.        simple to be attacked, but group IV?  Imagine a message which
629.        causes a FAX machine to send an extra copy of transmitted documents
630.        to another location.
631.  
632.      - Network transmittable C++ objects are being developed.  Security
633.        doesn't seem to be mentioned.  This has promise.
634.  
635.      - Multi-media electronic mail offers new avenues of attack.
636.  
637. The basic problem is that the transmission of programmatic objects is
638. on the increase, and anything interpreted at the receiving end is
639. potentially a means of attack.  I predict that this will grow to a
640. moderately serious problem in the 1990s.
641.  
642.                                         John Nagle
643.  
644. ------------------------------
645.  
646. End of VIRUS-L Digest
647. *********************
648. Downloaded From P-80 International Information Systems 304-744-2253
649.