home *** CD-ROM | disk | FTP | other *** search
/ Forum of Incident Response & Security Teams / Forum_of_Incident_Response_and_Security_Teams_FIRST_October_1994.iso / teaminfo / nist / csl05_93.txt < prev    next >
Text File  |  1994-07-02  |  22KB  |  449 lines
  1. **************             CSL Bulletin       *************
  2.  
  3.                              May 1993
  4.  
  5. SECURITY ISSUES IN PUBLIC ACCESS SYSTEMS
  6. Many federal agencies have begun to design, develop and implement
  7. public access systems for the electronic dissemination of federal
  8. information to the public.  Such systems offer agencies the
  9. opportunity to increase the timely distribution of federal
  10. information to meet the needs of their consumers.  Public access
  11. systems can also provide electronic interaction by allowing the
  12. public to send information to the government as well as receive
  13. it.  Filing tax returns electronically or completing a survey on
  14. a computer bulletin board are examples of electronic interaction. 
  15. Both electronic dissemination and interaction offer many positive
  16. benefits, such as substantial increases in customer satisfaction,
  17. and many agencies are exploring their uses.  With increasing
  18. frequency, Congress is also requiring agencies to provide direct
  19. electronic public access to specific agency information.  
  20.  
  21. The growing use of these systems and commensurate public reliance
  22. upon them, require that agencies afford them appropriate
  23. protection.  This bulletin presents some of the major security
  24. issues which agencies should examine when planning or operating
  25. public access systems.  
  26.  
  27. Definition
  28. For the purpose of this bulletin, a public access system is
  29. defined as:
  30.  
  31.      a system used by either 1) the general public or 2) a large
  32.      or significant subset of the public.
  33.  
  34. Agency dial-in bulletin board systems fall under this definition
  35. as well as systems which provide information to individual
  36. members of the public.  These systems, called client-based
  37. systems, provide account-specific information to users of
  38. government services.  Systems made available only to non-
  39. government specialists in a given research field are also
  40. considered public access systems.  
  41.  
  42. PUBLIC ACCESS SYSTEMS REQUIRE SPECIAL ATTENTION
  43.  
  44. Public Confidence
  45. The dissemination of information by the federal government
  46. requires that public access systems maintain data integrity while
  47. ensuring data availability.  Like non-public access systems, the
  48. consequence of a loss of integrity or availability ranges from
  49. inconvenience to loss of life.  
  50.  
  51. However, there is also the consequence of reduced trust by the
  52. public in the federal government, or a specific agency, if a
  53. public access system has significant problems, such as prolonged
  54. system outages, distribution of incorrect data, or distribution
  55. of a computer virus.  These problems could reduce the level of
  56. public confidence and impact an agency's effectiveness.  
  57.  
  58. Because of the public confidence issues in public access systems,
  59. there is an increased risk of hackers and insider malice.  For
  60. example, to embarrass or discredit the agency, a disgruntled
  61. employee could try to introduce errors into data files intended
  62. for distribution.  Similarly, hackers may be tempted to break
  63. into a popular system in order to gain notoriety.  Because of
  64. public confidence issues, agencies may want to designate some
  65. public access systems as "high threat" systems.
  66.  
  67. Increased Connectivity and Visibility of Public Access Systems 
  68. Public access systems, by their definition, must provide an
  69. interface for the public, such as a phone number or network
  70. address.  In addition, the systems and interfaces are often
  71. advertised to the public.  This well-publicized connectivity is a
  72. necessity for public access systems, but it can be an invitation
  73. for hackers.
  74.  
  75. Difficulty of Security Administration
  76. In non-public access systems, procedures for enrolling users
  77. often include user training and signatures on forms acknowledging
  78. user responsibilities.  In public access systems, by contrast,
  79. users are often anonymous and untrained in the system and their
  80. responsibilities.  
  81.  
  82. In most non-public computer systems, security controls are based
  83. on "user accountability" which holds users responsible for their
  84. actions.  In addition, user profiles can be created and
  85. sophisticated audit mechanisms developed to detect unusual user
  86. activity.  However, public access systems which have anonymous or
  87. unverified users cannot implement user accountability-based
  88. controls.  
  89.  
  90. Some agencies are adding public access capabilities to existing
  91. systems.  The retrofitting of this capability compounds the
  92. difficulty of implementing effective security controls.
  93.  
  94. TECHNICAL CONSIDERATIONS
  95.  
  96. Identification of Users
  97. Some public access systems allow anonymous use while others
  98. require some form of identification and authentication of system
  99. users.  For example, the Internal Revenue Service operates a
  100. system to provide the current status of the processing of income
  101. tax refunds.  The system requires users to provide their social
  102. security number (SSN), filing status, and amount of the expected
  103. refund.  This is a form of identification (i.e., the SSN) and
  104. authentication (only the taxpayer, and perhaps the tax preparer,
  105. is likely to know the amount of the expected refund).  In this
  106. case, identification and authentication is needed to protect the
  107. confidentiality of the information.
  108.  
  109. The decision to require the identification and authentication of
  110. system users must be made by an agency in light of mission and
  111. operational considerations.  Often this is not an easy decision. 
  112. Factors to be considered include the size of the user population,
  113. the frequency of their use, confidentiality of the data being
  114. distributed, whether the system allows alterations or updates to
  115. data, and agency-specific issues.  
  116.  
  117. Access Controls
  118. Many of the security issues involving public access systems are
  119. strongly tied to the need to provide for access control.  The
  120. term "access" is often confused with "authorization" and
  121. "authentication."  
  122.  
  123.      Access is the ability to do something with information in a
  124.      computer.  Access refers to the technical ability to do
  125.      something (e.g., read, create, modify, or delete a file or
  126.      execute a program). 
  127.  
  128.      Authorization is the permission to do something with
  129.      information in a computer, such as read a file.
  130.  
  131.      Authentication is proving (to a reasonable degree) that
  132.      users are who they claim to be.  It is normally paired with
  133.      the term identification.  Typically, identification is
  134.      performed by entering a name or a userid, and authentication
  135.      is performed by entering a password, although many
  136.      organizations are moving to stronger authentication methods. 
  137.      For example, banks require a magnetic stripe card and a
  138.      personal identification number to authenticate users at
  139.      ATMs.
  140.  
  141. Although the ability to sign onto a computer system (enter a
  142. correct userid and password) is often called "accessing the
  143. system," this is actually the identification and authentication
  144. function.  Once a user has entered a system, access controls
  145. determine what the user can do, i.e., which data the user can
  146. read or modify and what programs the user can execute.
  147.  
  148. Using Access Controls to Build a Strong Security Foundation
  149. Public access systems require access control to system functions,
  150. data, and other resources.  Neither hackers nor legitimate users
  151. should be able to break through system access controls to modify
  152. data intended for public distribution or gain system management
  153. or other supervisory privileges.  Public users should be
  154. restricted to only those functions and data for which they are
  155. authorized.  Broadly speaking, if users are appropriately
  156. restricted in their ability to access data and resources on the
  157. system, their ability to cause harm or disruption is reduced or
  158. eliminated.  These controls provide for data and system integrity
  159. and help ensure the availability of system resources.  Data
  160. confidentiality can also be supplied, as necessary.
  161.  
  162. Unfortunately, implementing and maintaining effective access
  163. controls is not an easy task.  Both technical and procedural
  164. difficulties arise, often due to incorrect access control
  165. implementation or inadequately trained system management
  166. personnel.  A 1988 study by the President's Council on Integrity
  167. and Efficiency (PCIE) showed that at ten federal data centers
  168. which had purchased and installed high quality access control
  169. software, computer systems were still vulnerable to unauthorized
  170. access; that is, users were able to access more information than
  171. they were authorized to access.  Since 1988, there have been many
  172. improvements in access control, but industry experts warn that
  173. most computer systems that implement access controls are still
  174. vulnerable.  
  175.  
  176. In most non-public access systems, users are known employees or
  177. contractors.  For these systems, imperfectly implemented access
  178. control schemes may be tolerated because other controls, such as
  179. user accountability-based controls discussed above, are used. 
  180. However, when opening up a system to public access, additional
  181. precautions may be necessary because of increased threats.  In
  182. these situations, strict attention to the implementation of
  183. access controls becomes much more important.  
  184.  
  185. For more details on the theory and implementation of access
  186. control see the References Section.  
  187.  
  188. SPECIFIC SECURITY ISSUES
  189. Sound access controls provide the foundation for the security of
  190. public access systems, but the difficulty of implementing
  191. controls raises other security issues.  Agencies should examine
  192. the following security issues when planning or operating public
  193. access systems.  Not all of these issues apply in every situation
  194. nor is this list exhaustive.  Each public access system operates
  195. in a unique environment and will have individual security
  196. requirements.
  197.  
  198. #1 - Maintaining Data Integrity 
  199. Users of government public access systems should not be able to
  200. modify data without authorization.  A number of available
  201. techniques can complement access controls in providing data
  202. integrity.  As noted above, access control alone may not provide
  203. sufficient security.  
  204.  
  205. One new technique is to use digital signatures to sign the data
  206. files to be distributed by the system.  Thereafter, each time a
  207. file is requested by a user, the system automatically (and
  208. transparently to the user) verifies the signature.  Verification
  209. indicates that the file remains unaltered.  Should the
  210. verification fail, it must be assumed that the data has been in
  211. some way corrupted.  Measures can then be taken so that incorrect
  212. data is not distributed.  
  213.  
  214. This technology can be extended to the users or redistributors of
  215. the data.  Users and redistributors can verify that the data has
  216. not been corrupted, both on the government system and on their
  217. own system after downloading.  This helps to ensure that the
  218. agency's data is distributed and used in an error-free state.
  219.  
  220. Another approach to maintaining data integrity is to use CD-ROM
  221. technology for on-line storage of data for distribution.  Files
  222. stored on CD-ROM technology are physically protected from user
  223. modification.  
  224.  
  225. #2 - Maintaining Data Quality
  226. Data quality is similar to, but distinct from, data integrity. 
  227. In this context, data quality refers to the general reliability,
  228. accuracy, and precision of the data.  Data integrity, on the
  229. other hand, helps ensure that the data (regardless of quality)
  230. remains unaltered or is only altered in an authorized manner.
  231.  
  232. Public access to data can result in increased data quality if the
  233. public is able to inform the government of errors in the data. 
  234. The public, however, should not be allowed to alter the data
  235. directly.  Procedures for receiving and verifying alterations
  236. should be established.
  237.  
  238. The agency "owner" of the data should be consulted as to the
  239. general reliability and accuracy of the data.  Users can then be
  240. provided with a summary of the agency's understanding of the
  241. quality of the data (e.g., "uncertainty" in measurement data,
  242. confidence levels, etc.) so that use of the data is consistent
  243. with its quality. 
  244.  
  245. #3 - Avoiding Public Access to "Live" or Permanent Record Data
  246. and Systems 
  247. In most cases, direct public access to an agency's "live"
  248. database or computer system presents an unacceptably high level
  249. of risk.  
  250.  
  251. Agencies collect, generate, and process information to meet their
  252. mission requirements and rely on the availability, integrity, and
  253. confidentiality of the information to perform their mission. 
  254. Depending upon the threat environment, an agency may not wish to
  255. allow direct public access to the same copy of a database or the
  256. same computer system the agency relies upon to fulfill its
  257. mission.  For example, an agency may determine that allowing such
  258. access may provide an unacceptably high level of risk from
  259. hackers and may jeopardize system availability and integrity. 
  260.  
  261. Access to "Live" Data.  Agencies should generate a copy of agency
  262. databases and allow public access only to the "copies."  Users
  263. should be informed of the date/time of the version of the data to
  264. which they have access.  "Owners" of data should be consulted as
  265. to how often updates to the database should occur.  The system
  266. operator can then update the public access copy accordingly.  
  267.  
  268. Access to "Live" Systems.  Public access applications may be
  269. provided to the public on either standalone single-purpose
  270. systems or on existing multipurpose agency systems.  Agencies
  271. sometimes allow the public to access existing agency systems
  272. because of a perception that the impact on agency resources and
  273. operations will be minimal.  However, there may be a significant
  274. threat to agency operations if a hacker or malicious code
  275. disrupts a system which the agency relies upon for day-to-day
  276. operations.  Recovery from such incidents can be highly resource-
  277. intensive.  Agency systems may also process data not authorized
  278. for public release, placing a high degree of reliance upon the
  279. proper implementation of access controls to maintain the
  280. confidentiality of such data.  While integrity and availability
  281. can be "recovered," confidentiality cannot.  NIST strongly urges
  282. agencies to consider separating public access applications from
  283. general use agency systems.
  284.  
  285. In some cases agencies can realize cost savings and security
  286. benefits by sharing dedicated public access systems.  This should
  287. result in reduced agency hardware and system management
  288. expenditures.
  289.  
  290. #4 - Maintaining System and Data Availability
  291. Many federal computer systems have strong requirements for the
  292. system to be operational and available as needed.  Unavailability
  293. of public access systems, however, may have additional
  294. consequences because of their unique position as a direct
  295. government interface with the public.  Demand for system
  296. resources may increase, often beyond expectation, as users learn
  297. about the availability of information in electronic form. 
  298. Because of the convenience and speed of electronic access, more
  299. traditional means of obtaining information may be reduced or
  300. eliminated causing an increased public dependence on the system. 
  301.  
  302. Providing for backup telecommunications may present special
  303. problems for public access because of the widespread geographic
  304. distribution of the user population.  When developing 
  305. contingency plans, planning backup schedules, and implementing
  306. other "availability" measures, agencies must consider the special
  307. needs of public access systems.
  308.     
  309. #5 - Preventing Computer Viruses 
  310. Agencies should ensure that public access systems are designed to
  311. minimize the distribution of computer viruses by the agency.
  312.  
  313. Many computer systems are vulnerable to infection by computer
  314. viruses and other forms of malicious code.  Public access systems
  315. may be more highly vulnerable to virus infection.  In addition, a
  316. special risk is the possibility of government systems spreading
  317. viruses to public users.    
  318.  
  319. Computer viruses are usually distributed via infected executable
  320. code.  Therefore, the easiest method to avoid virus infections is
  321. to prohibit users from uploading or downloading executable code
  322. by allowing only the downloading of data files.  If
  323. upload/download capability is necessary to meet the agency's
  324. programmatic requirements, agencies must implement additional
  325. security precautions.
  326.  
  327. In some cases, there may be a requirement to allow users of the
  328. public access system to download software from the system.  This
  329. may be necessary in order to allow the user to process or analyze
  330. data files available on the system.  In such cases, the system
  331. operator should use up-to-date anti-virus tools.  This will
  332. reduce, but not eliminate, the risk of users obtaining infected
  333. software from the agency system.  
  334.  
  335. Once software has been determined to be virus-free, the agency
  336. may wish to digitally sign the software file (as discussed in #1
  337. above).  The addition of a virus or any other modification to the
  338. software would then be readily detectable.  The system operator
  339. could periodically verify the digital signature, as could the
  340. user after downloading the software.  Each time the signature is
  341. verified the user will have confidence that the software has not
  342. been modified.  Some operating systems offer utility programs
  343. that compute check sums.  These can provide some degree of
  344. assurance that the code is unaltered. 
  345.  
  346. Public access systems (e.g., a bulletin board system) that allow
  347. for users to both upload and download files (either data or
  348. executable code) require additional security measures.  When
  349. users wish to post a file, the system should be configured so the
  350. file is made available only to the system operator.  Using up-to-
  351. date anti-virus tools, the administrator can verify that data
  352. files and executables contain no viruses.  Files found to be
  353. virus-free can then be posted.  System managers and users should
  354. be aware, however, that new viruses appear every day and that
  355. tools cannot detect all viruses.  Therefore, system users should
  356. be warned against the possibility of virus transmission and urged
  357. to take appropriate precautions, such as backing up files on
  358. their systems.  
  359.  
  360. #6 - Audit Trails and User Confidentiality
  361. In performing routine security and operational tasks, system
  362. managers collect information on system use in audit trails. 
  363. Audit trails are used to determine usage patterns, to develop
  364. typical user profiles so that anomalous behavior (such as an
  365. intruder) can be detected, and other system management functions. 
  366.  
  367. These standard procedures raise some confidentiality issues when
  368. they are applied to public access systems since they can be used
  369. to identify or distinguish among users and to identify what
  370. information a user has requested.  For example, a system's audit
  371. trail may identify the network address of all users calling into
  372. a system.  This information is used to help in troubleshooting
  373. potential problems.  The same information, however, could be used
  374. to identify a user or user's organization.  This may create
  375. difficulties if the system in question promised or implied user
  376. confidentiality, such as an Inspector General Hotline.
  377.  
  378. #7 - Legal Considerations
  379. Agency personnel may encounter many security-related legal issues
  380. in the operation of public access systems.  For example, on
  381. bulletin board systems, users should be warned not to post
  382. copyrighted software or information.  Notices should be posted to
  383. warn users whether by signing onto the system they are expressly
  384. consenting to keystroke monitoring.  For specific guidance on
  385. legal issues, system operators are urged to contact their Office
  386. of the General Counsel. 
  387.  
  388. Conclusion
  389. This bulletin highlights areas of particular concern for public
  390. access systems.  These are in addition to the many security
  391. issues which must be addressed for all systems.  Technical,
  392. administrative, and operating controls cannot be ignored in
  393. public access systems.  Standard security measures and good
  394. system management principles cannot be neglected.  
  395.  
  396. The Computer Security Act of 1987 specifies that security plans
  397. must be developed for sensitive systems.  Although public access
  398. systems may not contain information sensitive to disclosure,
  399. there may well be integrity and availability concerns which would
  400. require the development of a security plan.  
  401.  
  402. Appendix III to Office of Management and Budget Circular A-130,
  403. "Management of Federal Information Resources," provides general
  404. security requirements for federal systems, including public
  405. access systems.
  406.  
  407. References
  408. Abrams, M.D. et al.  A Generalized Framework for Access Control: 
  409. An Informal Description.  MITRE Corporation, McLean, VA, 1990.
  410.  
  411. Caelli, William, et al.  Information Security for Managers. 
  412. Stockton Press, New York, NY, 1989.  (See pages 130-157.)
  413.  
  414. Environmental Protection Agency.  Public Access:  A "How To"
  415. Guide.  Environmental Protection Agency, Washington, DC, 1992.  
  416.  
  417. Gasser, Morrie.  Building a Secure Computer System.  Van Nostrand
  418. Reinhold Co., Inc., New York, NY, 1988.
  419.  
  420. Jacobson, Robert V.  The PC Virus Control Handbook.  Miller
  421. Freeman Publications, San Francisco, CA, 1990.
  422.  
  423. National Institute of Standards and Technology, Computer Systems
  424. Laboratory.  CSL Bulletin, Guidance on the Legality of Keystroke
  425. Monitoring.  National Institute of Standards and Technology,
  426. Gaithersburg, MD, March 1993.  
  427.  
  428. Office of Management and Budget.  Management of Federal 
  429. Information Resources, OMB Circular A-130.  Office of Management
  430. and Budget, Washington, DC, December 1985. 
  431.  
  432. Pfleeger, Charles P.  Security in Computing.  Prentice-Hall,
  433. Inc., Englewood Cliffs, NJ, 1989.
  434.  
  435. Polk, W. Timothy and Bassham, Lawrence E.  A Guide to the
  436. Selection of Anti-Virus Tools and Techniques, NIST Special
  437. Publication 800-5.  National Institute of Standards and
  438. Technology, Gaithersburg, MD, 1992.
  439.  
  440. President's Council on Integrity and Efficiency.  Review of
  441. General Controls in Federal Computer Systems.  Washington, DC,
  442. 1988.  
  443.  
  444. Wack, John P. and Carnahan, Lisa J.  Computer Viruses and 
  445. Related Threats:  A Management Guide, NIST Special Publication
  446. 500-166.  National Institute of Standards and Technology,
  447. Gaithersburg, MD, 1989. 
  448.  
  449.