home *** CD-ROM | disk | FTP | other *** search

---

/ Phoenix Rising BBS / phoenixrising.zip / phoenixrising / unix / inetsec.txt

< prev

next >

Wrap

Text File  |  1994-10-09  |  47KB  |  903 lines

---

1.                            Security on the Internet
2.   
3.   
4.   
5.                                  Statement of
6.                                 F. Lynn McNulty
7.                    Associate Director for Computer Security
8.                 National Institute of Standards and Technology
9.                           U.S. Department of Commerce
10.   
11.                                   Before the
12.                             Subcommittee on Science
13.                   Committee on Science, Space, and Technology
14.                          U.S. House of Representatives
15.   
16.                                 March 22, 1994
17.   
18.   I. INTRODUCTION
19.   
20.   Mr. Chairman and Members of the Committee:
21.   
22.   Thank you for inviting the National Institute of Standards and
23.   Technology (NIST) to speak about security of the Internet and the
24.   role NIST plays in its security.  We share your belief in the
25.   importance of security on the Internet.  We also believe that
26.   recent events affecting the security of Internet users reinforce
27.   the need for attention and action.  I want to address the
28.   specific concerns and issues you have identified and discuss the
29.   role that NIST plays in the security of both the Internet and the
30.   evolving national information infrastructure.
31.   
32.   A. NIST's Computer Security Mission
33.   
34.   First, let me briefly review NIST's role in the computer security
35.   area. Under the Brooks Act (P.L. 89-306), NIST is tasked with
36.   developing Federal Information Processing Standards (FIPS) for
37.   unclassified federal computer systems.  Our security activities
38.   in this area were re-enforced by Congress in 1987 when it passed
39.   the Computer Security Act of 1987 (P.L. 100-235).  The Act
40.   stipulates that NIST shall "have responsibility within the
41.   Federal Government for developing technical, management,
42.   physical, and administrative standards and guidelines for the
43.   cost-effective security and privacy of sensitive information in
44.   Federal computer systems" (excepting classified systems and those
45.   used to process "Warner Amendment" information covered by 10
46.   U.S.C. 2315).  This role was essentially reiterated in P.L. 102-
47.   194, the High-performance Computing Act of 1991.
48.   
49.   In essence, then, NIST has the responsibility -- through
50.   standards, guidance, and technology transfer -- for helping
51.   agencies protect their information technology and applications. 
52.   It is important to recognize that it remains the responsibility
53.   of agencies, service providers, and users of information
54.   technology to develop, implement, and manage security programs
55.   based on their specific risks and needs.
56.   
57.   
58.   II. THE RECENT INTERNET SECURITY INCIDENT
59.   
60.   Let me now turn briefly to the recent incident that was perhaps
61.   the primary impetus for  these hearings.  The testimony of the
62.   representative from the Computer Emergency Response Team (CERT)
63.   describes the technical details of the incident.  I will try to
64.   put the incident in a context and perspective.  Later, I will
65.   address more general Internet and NII security concerns.
66.   
67.   A. The Incident
68.   
69.   The recent incident involved the discovery of "password sniffer"
70.   programs on hundreds of systems throughout the Internet.  This
71.   "incident" was really a series of incidents on host systems
72.   around the Internet involving the exploitation of a combination
73.   of vulnerabilities present in the Internet.  First, I should note
74.   that over the last few years there have been many security alerts
75.   and incidents involving systems on the Internet.  This incident
76.   was different from  "routine" or ongoing incidents primarily in
77.   that it developed rapidly into a widespread pattern of similar
78.   attacks and that it resulted in threats to many other systems.  
79.   
80.   B. Major Vulnerabilities Exploited
81.   
82.   There were two major types of vulnerability that were exploited
83.   in this incident -- neither, by the way, being actual
84.   vulnerabilities of the Internet itself, but rather problems in
85.   systems connected to the Internet.
86.   
87.   Obtaining Privileged Access - The first step in the password
88.   sniffer attack requires the attacker to obtain privileged status
89.   on a target host system.  This can be done by exploiting any of a
90.   wide range of known attacks.  This normally can happen only when
91.   that host system has not been properly configured and
92.   administered to prevent unauthorized access.  As such, this is
93.   not an Internet vulnerability.  Rather, it is a general problem
94.   that all computer system administrators face and must address.
95.   
96.   Access to Passwords - The next steps in the attack involve the
97.   installation of the "sniffer" program to monitor the system's
98.   network interface port and the collection of log-in information,
99.   including passwords.  The problem was not the ability of a
100.   properly authorized user to monitor the network port; this is
101.   needed for effective system administration.  The vulnerability
102.   here was due to the fact that most computer systems on the
103.   Internet (and other networks) employ re-usable passwords to
104.   authenticate users.  There was no exposure for host systems or
105.   user accounts which employed non-reusable passwords or other
106.   advanced methods (such as tokens or "smart cards") for user
107.   authentication.   This, again, is not an Internet vulnerability;
108.   Internet protocols do not require host systems to use passwords
109.   for user authentication.  It should also be noted that encryption
110.   of network layer information would not have solved this specific
111.   problem, because the monitoring occurs at a point in the
112.   compromised systems where messages are unencrypted anyway.
113.   
114.   In summary, while there were known vulnerabilities exploited in
115.   this incident, they were vulnerabilities in the security
116.   mechanisms of host systems, not the Internet itself.  
117.   Nevertheless, there was a serious and widespread impact of the
118.   incident affecting many other systems on the Internet.
119.   
120.   C. Impact
121.   
122.   The serious impact of the recent incident should be recognized;
123.   log-in information (i.e., account numbers and passwords) for
124.   potentially thousands of host system user accounts appear to have
125.   been compromised.  It is clear that this incident had a negative
126.   impact on the operational missions of some Government agencies. 
127.   Moreover, this should be viewed as ongoing incident, not an
128.   incident that has happend and been dealt with.  Indeed,
129.   administrators of systems throughout the Internet were advised,
130.   in turn, to direct their users to change their passwords.  This
131.   is, indeed, very significant, and we may be seeing its effects
132.   for some time to come.  Not only is it difficult, if not
133.   impossible, to identify and notify every user whose log-in
134.   information might have been compromised, it is unlikely that
135.   everyone, even if notified, will change his or her passwords. 
136.   Therefore, we will probably continue to see unauthorized access
137.   to user accounts resulting from the password "sniffing" activity
138.   of this incident.  Clearly, we need ways to minimize this kind of
139.   problem in the future.
140.   
141.   D. Alerting and Response to the Incident
142.   
143.   A Success Story - Despite the serious impact of this incident, it
144.   should be viewed as a clear and major success for organized
145.   incident response activities.  The existence and cooperation of
146.   several operational security incident response teams was
147.   instrumental in identifying this as more than a "routine"
148.   incident and ensuring rapid response to it.   A formal coalition
149.   of response teams, known as FIRST (the Forum of Incident Response
150.   and Security Teams) played an important role in the process.  All
151.   of the teams central to the incident are members of FIRST.  The
152.   Department of Energy's Computer Incident Advisory Capability
153.   (CIAC) at Lawrence Livermore Laboratory first identified the
154.   incident.  CERT led efforts to analyize and assess the emerging
155.   threat and issued initial alert messages to the other security
156.   incident response teams that are members of FIRST (including
157.   NIST).  Individual teams then spread the word among their
158.   constituencies.  Also of particular note was the DoD Automated
159.   System Security Incident Support Team (ASSIST), which has
160.   coordinated world-wide response efforts for all of DoD.  When it
161.   was clear that the incident was particularly wide-spread, notices
162.   were posted on several Internet "bulletin boards" and other
163.   forums.  A press release was also issued.  (It is important to
164.   note, however, that, because of the specific and inherently
165.   technical nature of most such incidents, press releases are not
166.   normally part of the alert process.)
167.   
168.   E. Lessons Learned
169.   
170.   This incident was the result of known vulnerabilities and
171.   already-hypothesized attack scenarios.  Rather than teach us new
172.   lessons, it really re-emphasizes some lessons we've already
173.   learned and simply increases a sense of urgency for advanced
174.   authentication methods and other actions.  Additional lessons
175.   learned were:
176.   
177.         Effective incident response teams and alerting mechanisms
178.        can (and, in this case, did) play an important role in
179.        minimizing the impact of such incidents.
180.   
181.         Traditional user authentication by means of re-usable
182.        passwords does not provide strong security in today's
183.        networked environment -- with or without encryption.
184.   
185.         Exploitation techniques (and software which automates such
186.        techniques) are rapidly shared across the network and can be
187.        easily used by otherwise unskilled miscreants.  In other
188.        words, you don't have to be smart (or ambitious) enough to
189.        build these "weapons" to be able to obtain them and use them
190.        against others.
191.   
192.         Any host system, if improperly configured or managed, can
193.        become an "unwitting" platform for an attack against other
194.        systems in a network.  Therefore, we need to mimimize the
195.        need for reliance on the integrity of individual hosts for
196.        the security of other hosts and users on the Internet.
197.   
198.         System administrators (which, because of the growing
199.        number of workstations on the net, include an increasing
200.        number of relatively unskilled users) need better awareness,
201.        skills, and competence in protecting their systems;
202.   
203.         The importance of security to users of the Internet (and
204.        by extension the evolving national information
205.        infrastructure) can no longer be seen as secondary.  If this
206.        valuable national resource is to achieve its full potential,
207.        its users must have confidence in the security of their data
208.        and activities on the network.
209.   
210.   III. IMPROVING SECURITY ON THE INTERNET
211.   
212.   Clearly, much can be done to improve security in the Internet. 
213.   The initial, research-oriented Internet and its protocols were
214.   designed for a more "benign" environment than now exists.  It
215.   could, perhaps, be described as a collegial environment in which
216.   the users and host computer systems are mutually trusting and
217.   interested in unrestrained sharing of information.  The new
218.   environment in which the Internet (and the NII) must operate is
219.   much less collegial and trustworthy.  It contains all the
220.   situations, people, and risks that we find in the society as a
221.   whole.  Thus, we have begun to reexamine and adjust our "design
222.   requirments" to reflect those new realities.  Security is now a
223.   primary concern.  The collegial Internet of the past cannot be
224.   the basis for the NII of the future.
225.   
226.   A. A Short History of Internet Security Incidents
227.   
228.   Despite the previous comment, security in the Internet is not
229.   something that has never occurred to its users and operators.  It
230.   is important to understand what has taken place and what is
231.   currently underway.
232.   
233.   In recent years, a number of security problems with networks in
234.   general and the Internet in particular have received public
235.   attention.  The media have carried stories of high-profile
236.   malicious hacker attacks via the Internet against government,
237.   business, and academic sites.  It often seems that hackers roam
238.   the Internet with virtual impunity, masking their tracks while
239.   moving from system to system.
240.   
241.   The Recent Incident Wasn't the First - Perhaps the first and
242.   still most significant major incident involving the Internet was
243.   the so-called Internet Worm, caused by Robert Morris, Jr. in
244.   November of 1988.  This incident, in effect, woke up the Internet
245.   community to at least three facts:
246.   
247.         Everyone out there isn't a "good guy";
248.   
249.         Internet protocols and applications had many inherent or
250.        implementation vulnerabilities that create exposures to
251.        misuse or intrusion; and
252.   
253.         The network community needed better methods of cooperation
254.        to identify and react to network incidents and emergencies.
255.   
256.   The first two of the above factors won't change; the last remains
257.   true, but has been and continues to be addressed.
258.   
259.   And It Won't Be The Last - In the years subsequent to the
260.   Internet Worm, there have been some significant trends:
261.   
262.         Use of the Internet has grown exponentially -- and
263.        continues unabated.  With this has come a corresponding
264.        increase in the number of people with a detailed technical
265.        understanding of Internet systems -- and the potential
266.        vulnerabilities of those systems. 
267.   
268.         "Security" incidents, such as attempted system access,
269.        actual system intrusions, and other exploitations of various
270.        weaknesses of systems on the Internet, also have grown
271.        dramatically.  It is likely that almost every host system on
272.        the Internet already has had at least some sort of security-
273.        related incident.
274.   
275.         The number of unskilled users who must (or should) be
276.        assuming network system administrator functions will
277.        continue to increase -- simply because the number of systems
278.        connected to the Internet is increasing.
279.   
280.         There are now growing organized efforts of Internet user
281.        organizations to identify and deal with intrusions and
282.        unauthorized system use.
283.   
284.   
285.   B. Internet Vulnerabilities vs. Host System Vulnerabilities
286.   
287.   It is important to recognize that the vast majority of security
288.   problems seen "on the Internet" are not really Internet problems
289.   at all.  We need to understand a subtle but important distinction
290.   between the Internet and its host systems.
291.   
292.   The Internet is, in essence, a collection of computers, usually
293.   called host systems, which are connected to underlying data
294.   communications networks.  These host systems (which may support
295.   one or more human users) communicate with each other by means of
296.   internet protocols.  The internet protocols may be thought of as
297.   the standard message formats by which the host systems establish
298.   connections to each other and exchange information -- much like
299.   the use of standard forms and procedures in an office
300.   environment.
301.   
302.   Security vulnerabilities can exist in the underlying
303.   communications network and its nodes, in the internet protocols,
304.   in network administration, or in host systems.  To use the
305.   highway analogy, a communications problem might be like a
306.   pothole, a bridge failure, or a closed road.  A protocol problem
307.   might be like a mis-marked exit sign or a failure of slower
308.   traffic to stay in the slow lane.  A network administration
309.   problem might be the lack of emergency vehicle access or
310.   notification and response procedures for accidents.  Last, a host
311.   system problem might be likened to a store proprietor along the
312.   highway leaving the doors open and the store unoccupied.  The
313.   problem is not the proximity of the highway, but the carelessness
314.   of the store proprietor (and the fact that not everyone on the
315.   highway is honest).  Most "Internet" security problems to date
316.   have been careless -- or unknowlegeable -- proprietors.
317.   
318.   
319.   C. The Role of the Internet in the NII
320.   
321.   The national information infrastructure is not some system that
322.   will be "switched on" at some specified date in the future.  The
323.   NII, at least in its initial form, is here now, and like many
324.   other national infrastructures, is made up of many -- often
325.   disjoint -- elements.  The issues that we in government and
326.   industry must address are the directions in which we want the NII
327.   to evolve and how to make that happen.  In the administration's
328.   guiding document on the development of the NII, The National
329.   Information Infrastructure: Agenda for Action, one of the nine
330.   guiding objectives is to "Ensure Information Security and Network
331.   Reliability".
332.   
333.   One of the important elements in the current NII is the Internet. 
334.   The Internet may not, however, be the ultimate model or
335.   technology for the NII.  Nevertheless, it serves important roles
336.   in the evolution of the NII.  First, it is a working example of
337.   effective global computer networking.  Second, it is a possible
338.   model for future network technology.  Last -- and perhaps most
339.   importantly -- the Internet serves as a sort of living laboratory
340.   in which we can develop and experiment with technologies,
341.   applications, and concepts of information sharing that will be
342.   useful or necessary in the next century.  Again, security
343.   mechanisms are central to the process.
344.   
345.   D. The National Performance Review
346.   
347.   The importance of information technology security in general and
348.   Internet security in particular was recognized in the Vice
349.   President's National Performance Review.  In the area of
350.   information technology security, the following primary objectives
351.   were identified:
352.   
353.         Development of cryptographic standards
354.         Development of a set of generally-accepted system security
355.        practices
356.         Establishment of a national crisis response clearinghouse
357.         Improved security awareness
358.         Security of the public switched telecommunications network
359.         Internet security
360.         Coordinated security research and development
361.   
362.   In addition, the NPR report cited specific objectives in the
363.   related area of Privacy: 
364.         Establishment of a Privacy Protection Board
365.         Development of a set of Fair Information Handling
366.   Practices
367.   
368.   NIST has the lead responsibility in some of these items and a
369.   role in all of them.  Although each has some relevance to
370.   Internet security, two items are of particular relevance.
371.   
372.   Internet Security - This specifically focuses on the Internet. 
373.   It involves the development of an overall Internet security plan. 
374.   The Federal Networking Council has the lead in this activity,
375.   with the participation of several other organizations, including
376.   NIST.
377.   
378.   National Crisis Response Clearinghouse - This will be, in
379.   essence, the expansion and application of the FIRST concept to
380.   the entire Federal Government.  NIST has the lead responsibility
381.   for this item.
382.   
383.   E. A Self-Fulfilling Prophecy
384.   
385.   One of the clear directions of the administration is for agencies
386.   to "get connected".  Initially, that means electronic mail, and
387.   to most agencies, that means "on the Internet".  This presents us
388.   with an interesting situation.  For years, the reason that many
389.   agencies used as a reason not to connect to the Internet was
390.   concern over security -- "We don't want to open ourselves up to
391.   hackers."  Now, agencies are likely to rush headlong "onto the
392.   Internet" without careful planning, personnel skills, and
393.   knowledge of the security considerations.  The likely result, if
394.   we are not careful, is that we will see significant occurrences
395.   of those security problems that the agencies were always worried
396.   about -- a self-fulfilling prophecy.
397.   
398.   This is not to suggest that we should not be moving forward
399.   agressively on connecting to the Internet; the benefits of this
400.   initiative are clear and compelling.  However, it does require
401.   that we undertake this effort with care and intelligence.
402.   
403.   NIST's Computer Systems Security and Privacy Advisory Board
404.   (CSSPAB) will be examining this very issue at their quarterly
405.   meeting on March 23rd and 24th.  They will be examining the
406.   several agencies' plans for putting agency mission critical
407.   systems on the Internet.
408.   
409.   F. Security Incident Response Efforts
410.   
411.   The Need - Regardless of the security technology and other
412.   measures we put in place on the Internet -- or any other network
413.   -- we will always have security incidents.  We will discover
414.   exploitable vulnerabilities.  We will suffer intrusions, attacks,
415.   thefts, fraud, network failures, errors and omissions, and
416.   uncountable other possible risks.  Since we will never be able to
417.   anticipate, much less prevent all of these problems, we must have
418.   in place effective mechanisms for dealing with them when they do
419.   occur.  This is the role of security incident response efforts. 
420.   The recent Internet incident reinforces the need for such
421.   activities and demonstrates their value and effectiveness.
422.   
423.   FIRST - Beginning with the aftermath of the 1988 Internet worm
424.   incident, it was recognized that better methods for incident
425.   response and information sharing were needed.  It was also clear
426.   that the establishment of a single team or "hot line" would not
427.   work; it would simply be overwhelmed.  Out of this was born the
428.   concept of a coalition of response teams -- each serving its own
429.   constituency, but working with the others to share information,
430.   provide alerts, and provide mutual support in the response to
431.   incidents and potential incidents.  That concept was embodied in
432.   FIRST, the Forum of Incident Response and Security Teams.  FIRST
433.   has grown from an initial group of eleven, mostly Government,
434.   teams to over thirty teams now.  These teams include Government,
435.   industry, computer manufacturers, and academia -- both U.S. and
436.   international.
437.   
438.   Sharing Sensitive Security Incident Information - In discussing
439.   these well-publicized problems, I think it is important to stress
440.   that we at NIST believe that it is not a good idea to just
441.   publicly announce system security weaknesses, in the hope that
442.   such publicity will result in immediate solutions.  Some, indeed
443.   most, security weaknesses cannot be fixed overnight -- for
444.   example, it takes time to correct errors in operating systems,
445.   test the new code, distribute the updated code, and install the
446.   code.  Inappropriate publicity about some kinds of weaknesses
447.   will merely serve as a call for their exploitation by malicious
448.   hackers.
449.   
450.   The FIRST concept addresses this problem by establishing a means
451.   for developing a level of trust and cooperation among teams that
452.   permits sharing of information.  The FIRST "membership" process
453.   involves endorsement from an existing member, thus providing an
454.   initial level of confidence.  Further interactions among teams
455.   have build a level of trust and cooperation that probably could
456.   never have existed otherwise.
457.   
458.   We believe we have demonstrated the success of this concept over
459.   the last few years of FIRST's existence.  Groups who would have
460.   never discussed security problems outside their own confines have
461.   been able to work together with the confidence that they can gain
462.   from the knowledge and experience of other groups without
463.   exposing their organizations to attack in the process.
464.   
465.   NIST's Role in FIRST - NIST has played a leadership role in FIRST
466.   from the beginning.  NIST led efforts to bring together existing
467.   teams, develop an operational framework, and get the activity
468.   underway.  NIST continues to serve as the secretariat of FIRST. 
469.   In that role, we provide coordination and technical support.  For
470.   example, we established and administer the electronic mail
471.   alerting network used by FIRST members.  We are currently
472.   developing plans for a much more aggressive expansion of FIRST
473.   membership throughout the Government.  To date, the most active
474.   FIRST members in the Government have been teams from the
475.   "traditional" Internet communities -- the DoD and research
476.   agencies.  We are anxious to see more active participation on the
477.   part of the rest of the civilian agencies of Government as they
478.   increasingly become "network players".
479.   
480.   Individual Response Teams - The role of the individual response
481.   team cannot be ignored.  These teams are the essence of FIRST. 
482.   They must establish procedures for managing incidents within
483.   their defined constituencies, and they must be able to
484.   communicate with the other FIRST teams.  The major hurdle we have
485.   seen for agencies to become active in incident reponse activities
486.   (aside from the lack of Internet connectivity in many cases) is
487.   the need to develop an incident response "mindset" to complement
488.   the traditional policy and procedures approach of many computer
489.   security programs.  To help address this problem, we published in
490.   1991 a guidance document, NIST Special Publication 800-3,
491.   Establishing a Computer Security Incident Response Capability. 
492.   
493.   In summary, we believe that organized, coordinated, and effective
494.   security incident response efforts throughout government (and
495.   beyond) are critical to the security of the Internet (and the
496.   NII) now and in the future.
497.   
498.   
499.   G. Security Technology
500.   
501.   Security technology is important for the effective enforcement of
502.   security policies in any computer system.  Such technology is
503.   especially important in a highly distributed, networked
504.   environment -- such as the Internet -- in which physical and
505.   administrative controls are limited.
506.   
507.   Security Services - Five major security services are identified
508.   in International Standard 7498-2.  This standard was developed to
509.   specify the security aspects of the Open System Interconnect
510.   (OSI) model of computer networks.  The security services (and a
511.   short explanation of each) include:
512.   
513.         Authentication - Verification of the claimed identity of a
514.        computer or computer network user;
515.   
516.         Access Control - Verification and enforcement of the
517.        authorized uses of a computer network by a user subsequent
518.        to authentication;
519.   
520.         Data Integrity - Verification that the contents of a data
521.        item (e.g., message, file, program) have not been
522.        accidentally or intentionally changed in an unauthorized
523.        manner;
524.   
525.         Data Confidentiality - Protection of the information
526.        content of data from unauthorized disclosure;
527.   
528.         Non-repudiation - Protection against denial of sending (or
529.        receiving) a data item by the sender (or receiver).
530.   
531.   These major security services should be augmented by a number of
532.   auxiliary services (audit, availability assurance) and support
533.   services (key management, security maintenance, network
534.   management).  An integrated security system must offer all these
535.   services with a number of security mechanisms implemented in a
536.   number of security products.  Technology will advance and provide
537.   for newer, cheaper, better products but the overall security
538.   system need not be changed drastically if it is designed
539.   properly.  NIST is working with several organizations seeking an
540.   overall security architecture for unclassified information.  An
541.   integrated security system can then be designed with
542.   interchangeable and interoperable parts as needed.
543.   
544.   Advanced Authentication - Since reusable passwords are the
545.   weakest security link in the present Internet, better, more
546.   advanced, authentication techniques are needed.  A spectrum of
547.   solutions exist ranging from "one-time" passwords to high tech,
548.   biometric identification systems.  Token based authentication and
549.   access control systems appear to be a reasonable compromise among
550.   the goals of low cost, high security and system simplicity.  NIST
551.   has developed several token based security systems and continues
552.   to evaluate several new alternatives.  Most are based on
553.   something a user carries with them, like a "smart card" or "smart
554.   token" or "smart disk."  Software modules unique to an individual
555.   will also suffice if good software protection is provided to the
556.   information in the module.
557.   
558.   Public Key Infrastructure - A public key infrastructure (PKI) is
559.   a part of an integrated security system that is needed to support
560.   certain user authentication, data integrity and data
561.   confidentiality services.  A PKI is a distributed system
562.   consisting of people and computers that will verify the correct
563.   identity of a person seeking authorization to use a computer
564.   system or network and then associate a public key with that user
565.   in a highly secure manner.  The certificate issuer in the PKI
566.   produces an electronic certificate which contains the identity of
567.   a user, the user's public key, some auxiliary information for the
568.   security system and the digital signature of the CERTIFICATE
569.   ISSUER.  The PKI should be established so that a secure "chain of
570.   certificates" is established between any pair of users anywhere,
571.   perhaps, in the world.  This allows someone to sign a secure
572.   message, funds transfer or electronic contract and then allows
573.   anyone else to verify the source and authenticity of the message,
574.   etc.  NIST, along with several other organizations, are seeking
575.   to design, implement and coordinate the requisite security
576.   services of the PKI.
577.   
578.   Obstacles to Deployment and Use of Security Technology in the
579.   Internet - There are several current impediments to widespread
580.   adoption and use of advanced computer security technologies
581.   within the Internet.  However, these should be viewed as
582.   obstacles, not barriers.
583.   
584.         Historic Community Culture - The Internet community has
585.        historically emphasized openess in communications.  Computer
586.        security has been viewed as interfering with this goal.
587.   
588.         Internet Management Organization - The Internet is a
589.        loosely coupled coalition of organizations and activities
590.        without a central management structure.  Minimal  rules must
591.        be followed in order to connect to the Internet backbone
592.        communication system, and certain protocols must be followed
593.        in order to communicate with others on the network.  There
594.        are few policies or practices which specify acceptable use
595.        or adequate security (even though policies for both of these
596.        have been developed).  The National Performance Review (NPR)
597.        has identified a need for such policies.
598.   
599.         Availability of Security Systems - While there are many
600.        individual security products (seeking a small number of
601.        narrow niche markets), there is still a lack of integrated
602.        security systems.  An example of such an integrated security
603.        system would be a commercially supported electronic mail
604.        security mechanism (integrating a comprehensive key
605.        management support system, user authentication and
606.        authorization support services, and user message security
607.        services).
608.   
609.         Interoperability - The commercial security products that
610.        solve similar security problems usually are not
611.        interoperable.  A given product may have a large number of
612.        features and interfaces, but will not interoperate with
613.        those of other products.  Thus, communities of interest may
614.        adopt and use one product, but those users must obtain a
615.        second product in order to communicate with someone in
616.        another community of interest.  Lack of interoperable
617.        products often delay a user from selecting and using any
618.        security until either a de facto or de jure standard
619.        emerges.
620.   
621.         Costs - Since there is yet no universal market for
622.        security products fitting into a seamless security system,
623.        the costs of individual security products built to fill
624.        niche markets are currently high.  However, costs will go
625.        down as volume and competition increase.
626.   IV. ORGANIZATIONS, ROLES, AND RESPONSIBILITIES
627.   
628.   There are several organizations in the Government and in the
629.   private sector that have roles in the security of the Internet. 
630.   It would be difficult to identify them all here.  Therefore, I
631.   will describe briefly NIST's activities and our involvement in
632.   other Internet-related organizations or activities.
633.   
634.   NIST computer security activities have both direct and indirect
635.   relevance to  security on the Internet.  In general, our programs
636.   address information technology security in all environments. 
637.   Howerver, since the Internet is such an important element in our
638.   work and of an increasing number of Government agencies, we have
639.   a number of activities directed specifically at the Internet.
640.   
641.   A. NIST's Computer Security Activities
642.   
643.   Overall Program - In carrying out its mission, NIST seeks to
644.   develop cost-effective security standards and guidelines for
645.   federal systems.  These are often voluntarily adopted by those
646.   outside the federal community.  We are working in many areas to
647.   develop both the technology and standards and technology that
648.   will be needed in the long term, and addressing short term
649.   requirements for better training and awareness.  We have issued
650.   guidelines or standards on many facets of computer security,
651.   including: computer security awareness training, cryptographic
652.   standards, password generation, smart card technology, security
653.   of electronic commerce, viruses and other malicious code, risk
654.   management, and PBX security.  We have also issued bulletins on
655.   many computer security issues, which may be of interest to
656.   federal agencies and private sector organizations, including a
657.   July 1993 bulletin on security considerations in connecting to
658.   the Internet.  NIST works directly with federal computer security
659.   program managers through our Federal Computer Security Program
660.   Managers' Forum.  We also participate on many voluntary standards
661.   activities, and participate in various interagency forums.
662.   
663.   While NIST has published guidance in a wide variety of areas,
664.   including Internet-specific topics, NIST's computer security
665.   program is not focused primarily on the Internet -- or any other
666.   specific network or technology.  Operational responsibility for
667.   the Internet, and thus specific, operational responsibility for
668.   security, rests outside NIST.  Nevertheless, the Internet is
669.   central to much of the information technology activities and
670.   plans of Government agencies, and NIST has a responsibility to
671.   address those needs.
672.   
673.   General Activities Affecting the Internet - Some of the general
674.   research, standards, and guidance activities of NIST that affect
675.   the Internet include the following:
676.   
677.         Smartcard technology development and application
678.         Advanced authentication technology development and
679.   application
680.         Trusted systems criteria and evaluation
681.         Cryptographic methods, interfaces, and applications 
682.   
683.   
684.   Specific Activities Affecting the Internet - In addition, NIST
685.   has undertaken a number of activities that focuse directly on
686.   Internet security issues.  These include the following:
687.   
688.         CSL Bulletins - guidance on connecting to the Internet
689.         Special Publications - guidance  on Incident Response
690.   Capability
691.         FIRST leadership and support 
692.   
693.   Firewalls Research - One of the most actively examined methods of
694.   protecting systems or subnetworks connected to the Internet is
695.   the use of "firewalls" -- specially-programmed machines to
696.   control the interface between a subnetwork and the Internet. 
697.   NIST has established, with the assistance of the National
698.   Communications System and others, a new Firewalls Research
699.   Laboratory effort to extend and share knowledge in this important
700.   area.
701.   
702.   In addition to these programmatic activities, NIST is involved in
703.   a number of groups and activities that are directly involved in
704.   Internet security.
705.   
706.   B. Information Infrastructure Task Force
707.   
708.   Security is being addressed on several fronts in the Information
709.   Infrastructure Task Force (IITF).  There are specific security
710.   efforts in each of the three main committees of the IITF, plus
711.   the Privacy Working Group of the Information Policy Committee. 
712.   NIST is involved all of these efforts.
713.   
714.   C. OMB Circular A-130
715.   
716.   NIST is working with the Office of Management and Budget (OMB) in
717.   the revision of Appendix III of OMB Circular A-130.  This
718.   appendix specifically addresses agency information technology
719.   security programs.  Although this does not address the Internet
720.   specifically, we expect the new appendix to include the
721.   requirement for agency incident response capabilities.
722.   
723.   D. Federal Networking Council
724.   
725.   The Federal Networking Council (FNC) is an interagency group
726.   which coordinates the computer networking activities of federal
727.   agencies that serve general and specific research communities. 
728.   The FNC established a security working group to address various
729.   security needs and seek common security services and mechanisms
730.   meeting these needs.  The security working group, under the
731.   leadership of NIST, has initiated the following activities:
732.   
733.   Security Policy for Use of the National Research and Education
734.   Network - a high level security policy which specifies the
735.   principles and goals of security in the NREN and then assigns
736.   responsibilities to six categories of participants in the NREN
737.   (completed and approved by the FNC).
738.   
739.   Security Architecture for the NREN - a comprehensive but generic
740.   categorization of the components of security needed to satisfy
741.   the security requirements of the NREN.  This activity has been
742.   initiated but not completed.
743.   
744.   Security Action Plan for the NREN - a first draft of an action
745.   plan for developing and fielding security prototype components
746.   (e.g., smartcards, access control tokens) has been developed; 
747.   participants in the user acceptance testing are being solicited.
748.   
749.   
750.   E. Internet Society Security Activities
751.   
752.   The sponsors and supporters of the Internet have conducted
753.   several security activities over the past several years.  The
754.   CERT and FIRST activities, previously described, were major
755.   activities to alert users of potential and on-going security
756.   problems and to provide information on what to do about them. 
757.   The following are other activities and the roles that NIST has
758.   played in each of them.
759.   
760.   Internet Security Policy - The Internet Engineering Task Force
761.   (IETF) sponsored the development of a policy for secure operation
762.   of the Internet.  This policy specified six basic guidelines for
763.   security:
764.   
765.         assure individual accountability;
766.         employ available security mechanisms;
767.         maintain security of host computers;
768.         provide computers that embody security controls;
769.         cooperate in providing security; and
770.         seek technical improvements.  
771.   
772.   These guidelines were expanded and clarified in the Security
773.   Policy for Use of the National Research and Education Network. 
774.   NIST participated in the development of the Internet security
775.   policy and was a major player in development of the NREN security
776.   policy.
777.   
778.   Privacy Enhanced Mail - The IETF sponsored the development of the
779.   Privacy Enhanced Mail (PEM) system.  PEM provides the ability to
780.   protect the integrity and confidentiality (i.e., privacy) of
781.   electronic messages on a user-selected basis.  PEM utilizes the
782.   popular Simple Mail Transfer Protocol as the foundation for
783.   private (sometimes also called, trusted or secure) mail.  PEM
784.   uses the Federal Data Encryption Standard for confidentiality
785.   protection.  Digital signatures are used to assure the integrity
786.   of a message and to verify the source (originator) of the
787.   message.  NIST was a participant in the group that developed the
788.   specifications for PEM.  It is available both as a free,
789.   unsupported software package and a licensed supported software
790.   system.V. SUMMARY AND RECOMMENDATIONS
791.   
792.   In summary, then, I think that recent Internet security
793.   experiences have taught us -- or have reinforced -- some
794.   important lessons, and there are some obvious actions that should
795.   follow.
796.   
797.   A. Lessons and Conclusions
798.   
799.   The Internet Is a Lightning Rod - The public already knows about
800.   the Internet and understands that the Internet will be a part of
801.   the national information infrastructure.  Thus, any security
802.   problems affecting the Internet reflect on the entire NII effort
803.   and could undermine the public's confidence in and willingness to
804.   use that developing infrastructure. 
805.   
806.   Internet Security is Not a "Second Tier" Issue - The attention
807.   that security incidents receive in the media and the impact that
808.   recent incidents have had on the operations of some agencies and
809.   other Internet users make it clear that security is now a first
810.   level concern that must be addressed.
811.   
812.   Organized Incident Response Efforts Work - Despite the widespread
813.   impact of recent incident, it is clear that organized,
814.   cooperative incident response efforts -- which we in the Federal
815.   Government had in-place -- were instrumental in identifying and
816.   mitigating its effect.  This incident reinforces the importance
817.   and need for such efforts.
818.   
819.   Traditional, Re-Usable Passwords are Inadequate in a Network
820.   Environment - The nature of data communications networks makes
821.   unacceptable the continued reliance on traditional, re-usable
822.   passwords for user authentication.
823.   
824.   Secure Systems Operations Require Skilled Personnel - The highly
825.   powerful and sophisticated workstations that are increasingly
826.   being connected to the Internet are often operated by technically
827.   unskilled users.  Further, most systems come "out of the box"
828.   configured for the easiest-to-install-and-use options -- usually
829.   also the most insecure configuration.  To be installed,
830.   connected, and operated securely, these systems currently require
831.   the users to be full-fledged system adminstrators, not just
832.   "ordinary users".  This is an unreasonable and unrealistic
833.   expectation.
834.   
835.   B. Recommendations for Action
836.   
837.   Implement the NII/NPR Action Items - The recommendations of the
838.   National Performance Review in the area of information technology
839.   security address specifically some of the needs for the Internet. 
840.   NIST and the other action agencies will be working to implement
841.   those recommendations. 
842.   
843.   Deploy Advanced Authentication Technology - We must move forward
844.   agressively to deploy already-available technology to replace the
845.   traditional re-usable password as the method of choice for user
846.   authentication.  Technologies developed at NIST and those
847.   becoming available in the marketplace can make marked
848.   improvements in the near term.  In the longer term, we must begin
849.   establishment of sectoral and national certificate
850.   infrastructures to enable more generally available and
851.   interoperable methods of authentication.
852.   
853.   Promote and Expand Incident Response Activities - The concept
854.   works.  We must now move actively to ensure that agencies
855.   throughout Government and constituencies nation-wide establish
856.   active and cooperating incident response capabilities.  NIST
857.   plans to continue to lead such efforts within the Government and
858.   promote them world-wide through FIRST and similar activities.
859.   
860.   Educate and Train System Administrators - In the long run, we
861.   cannot demand that users of increasingly sophisticated technology
862.   be technical experts, i.e., system administrators. We must find
863.   ways to deliver secure systems "out of the box".  In the short
864.   term, however, we must better train system users.  If agencies
865.   are going to connect their networks (and thereby their agencies)
866.   to the Internet and other external networks, their technical
867.   personnel must understand the risks involved and be trained and
868.   equipped to manage such connections securely.  NIST and others
869.   have published technical guidance to assist in this process and
870.   will be developing additional guidance in the future.  Agencies
871.   must take it upon themselves, however, to ensure adequate
872.   technical training of their personnel.
873.   
874.   Use Available Security Technology - Computer users, system
875.   administrators, and service providers should evaluate and, where
876.   cost-effective, employ current security products and technologies
877.   to reduce risks to acceptable levels.
878.   
879.   C. Conclusion
880.   
881.   There are always trade-offs involved in the use of new or complex
882.   technology -- especially in something as potentially universal as
883.   the Internet and the evolving national information
884.   infrastructure.  The challenge, of course, is to find the right
885.   balance of risks and costs against the benefits.  However, I must
886.   emphasize that even with a complete restructuring and replacement
887.   of the current Internet we would continue to have security
888.   incidents and other problems.  Historically, with the
889.   introduction of any new technology, the miscreants and charlatans
890.   are not far behind.  Our task is to work as hard as we can to
891.   anticipate and avoid such problems and, we hope, get and stay a
892.   step or two ahead of the game.  I would also like to assure you
893.   that NIST -- in concert with the several other key players in the
894.   Internet -- is both aware of the importance of Internet security
895.   in the context of the evolving national information
896.   infrastructure and actively undertaking efforts to meet that
897.   need.  
898.   
899.   Mr. Chairman, I want to thank you again for the opportunity to
900.   speak to your committee.  We at NIST -- and the other communities
901.   of interest involved in the Internet and the NII -- look forward
902.   to working with your committee and others in the Congress on this
903.