home *** CD-ROM | disk | FTP | other *** search
/ Internet Standards / CD1.mdf / INET / DDN_NEWS / BLTN9402.TXT < prev    next >
Encoding:
Text File  |  1994-02-18  |  7.3 KB  |  141 lines
  1.  
  2. ************************************************************************ 
  3. DDN MGT Bulletin: 9402           DISA DDN Defense Communications System   
  4. 17 Feb 1994                      Published by: DDN Network Info Center
  5.                                       (NIC@NIC.DDN.MIL)  (800) 365-3642
  6.  
  7.  
  8.                         DEFENSE  DATA  NETWORK
  9.                          MANAGEMENT  BULLETIN
  10.  
  11.   The DDN MANAGEMENT BULLETIN is distributed online by the DDN Network
  12.   Information Center under DISA contract as a means of communicating
  13.   official policy, procedures and other information of concern to
  14.   management personnel at DDN facilities.  Back issues may be read
  15.   through the TACNEWS server ("@n" command at the TAC) or may be
  16.   obtained by FTP (or Kermit) from the NIC.DDN.MIL host [192.112.36.5]
  17.   using login="anonymous" and password="guest".  The pathname
  18.   for bulletins is ddn-news/ddn-mgt-bulletin-nn.txt (where "nn" is the
  19.   bulletin number).
  20. ************************************************************************
  21.  
  22. Subject: Actions to be taken by DoD systems affected by the recent
  23. MILNET/Internet intrusions detailed in ASSIST Bulletin 94-02.
  24.  
  25. PLEASE PASS TO ALL NODE SITE COORDINATORS AND HOST ADMINISTRATORS. REQUEST
  26. THIS INFORMATION BE DISSEMINATED AT ALL LEVELS.
  27.  
  28. 1. SUMMARY: ASSIST has received numerous calls from persons requesting
  29. additional information about which systems were affected by recent
  30. large scale network sniffer incidents, and what actions must be taken
  31. to correct problems. These points were addressed in ASSIST Bulletin
  32. 94-02, but various interpretations of the information has resulted in
  33. some confusion.  This bulletin attempts to clarify the confusion.
  34. Additional ASSIST Bulletins will be released as more information
  35. becomes available.
  36.  
  37.  
  38. 2. BACKGROUND: ASSIST Bulletin 94-02 described a recent network security
  39. event that affects every MILNET host that accepts remote network
  40. connections (FTP, telnet, and rlogin).  The event has been ongoing
  41. since at least mid-December.  The compromise of account information
  42. occurred using network eavesdropping software ("packet sniffers")
  43. operating on major Internet backbones, as well as at least one MILNET
  44. system.
  45.  
  46. 3. IMPORTANT: SINCE THESE PACKET SNIFFERS DO NOT SPECIFICALLY TARGET
  47. INFORMATION FROM UNIX SYSTEMS, ALL SYSTEMS ON THE NETWORK ARE
  48. POTENTIALLY VULNERABLE TO THE EAVESDROPPING, REGARDLESS OF SYSTEM
  49. TYPE.  The packet sniffers compromise any FTP, rlogin, or telnet
  50. packet regardless of the type of operating system (e.g., UNIX, VMS,
  51. MVS, PC, Macintosh) the packet was sent from or to.
  52.  
  53. 4. IMPORTANT: A SYSTEM DOES NOT HAVE TO BE COMPROMISED ITSELF TO BE
  54. AFFECTED BY THIS INCIDENT; IT SIMPLY HAD TO TRANSMIT ONE OF THE
  55. TARGETED PACKETS THROUGH A COMPROMISED NETWORK HOST.  Thus, any system
  56. on the network can have its usernames and passwords compromised when
  57. accepting an FTP, telnet, or rlogin session from a remote system.
  58.  
  59. 5. Additionally, all MILNET sites should verify that their computer
  60. systems have not had the sniffer software installed on them.  The
  61. particular sniffer software used in this incident only runs on UNIX
  62. systems that have the /dev/nit device; refer to ASSIST Bulletin 94-02
  63. for additional information on how to detect the presence of a sniffer
  64. on a UNIX computer.
  65.  
  66.  
  67. 6. IMPACT: All connected network sites that use the network to access
  68. remote systems are at risk from this attack.  All user account and
  69. password information derived from FTP, telnet, and rlogin sessions and
  70. passing through the same network as a compromised host could be
  71. disclosed.
  72.  
  73. 7. ASSIST continues to operate on a 24 hour basis in support of the
  74. numerous requests for assistance.
  75.  
  76.  
  77. IMMEDIATE ACTIONS REQUIRED: 
  78.    A. ALL PASSWORDS ON ALL MILNET SYSTEMS THAT HAVE NOT YET BEEN
  79.    CHANGED AS DIRECTED IN ASSIST BULLETIN 94-02 MUST BE CHANGED
  80.    IMMEDIATELY.  Systems that have not changed their passwords are in
  81.    considerable risk of intrusion.
  82.    B. Check all UNIX systems on the MILNET for the sniffer program as
  83.    described in ASSIST Bulletin 94-02.
  84.  
  85.  
  86. 8. ASSIST is an element of the Defense Information Systems Agency (DISA),
  87. Center for Information Systems Security (CISS), that provides service
  88. to the entire DoD community.  If you have any questions about ASSIST
  89. or computer security issues, contact ASSIST using one of the methods
  90. listed below.  If you would like to be included in the distribution
  91. list for these bulletins, send your MILNET (Internet) e-mail address
  92. to assist-request@assist.ims.disa.mil.  Back issues of ASSIST
  93. bulletins, and other security related information, is available on the
  94. ASSIST bbs (see below), and through anonymous FTP from
  95. assist.ims.disa.mil (IP address 137.130.234.30).  Note:
  96. assist.ims.disa.mil will only accept anonymous FTP connections from
  97. MILNET addresses.
  98.   
  99. 9. ASSIST contact information:
  100. PHONE: 703-756-7974, DSN 289, 24 hrs/day during the immediate handling
  101. of this incident.  Afterwards, duty hours will return to 06:30 to
  102. 17:00 Monday through Friday.  During off duty hours, weekends, and
  103. holidays, ASSIST can be reached via pager at 800-SKY-PAGE
  104. (800-759-7243) PIN 2133937.  Your page will be answered within 30
  105. minutes, however if a quicker response is required, prefix your
  106. phone number with "999"
  107. ELECTRONIC MAIL: assist@assist.ims.disa.mil.
  108. ASSIST BBS: 703-756-7993/4, DSN 289, leave a message for the "sysop".
  109.  
  110. 10. Privacy Enhanced Mail (PEM): ASSIST uses PEM, a public key
  111. encryption tool, to digitally sign all bulletins that are
  112. distributed through e-mail.  The section of seemingly random
  113. characters between the "BEGIN PRIVACY-ENHANCED MESSAGE" and "BEGIN
  114. ASSIST BULLETIN" contains machine-readable digital signature
  115. information generated by PEM, not corrupted data.  PEM software for
  116. UNIX systems is available from Trusted Information Systems (TIS) at
  117. no cost, and can be obtained via anonymous FTP from ftp.tis.com
  118. (IP 192.94.214.100).  Note: The TIS software is just one of several
  119. implementations of PEM currently available and additional versions
  120. are likely to be offered from other sources in the near future.
  121.  
  122. 11. POCs for this DDN Management Bulletin are Maj John Lent, DISA/UTDS,
  123. DSN 222-2757/COMM (703 692-2757; E-Mail lentj@cc.ims.disa.mil and Mr Joe
  124. Boyd, DISA/UTDS, DSN 222-7580/COMM (703) 692-7580; E-Mail
  125. boydj@cc.ims.disa.mil.
  126.  
  127. ****************************************************************************
  128. *                                                                          *
  129. *    The point of contact for MILNET security-related incidents is the     *
  130. *    Security Coordination Center (SCC).                                   *
  131. *                                                                          *
  132. *               E-mail address: SCC@NIC.DDN.MIL                            *
  133. *                                                                          *
  134. *               Telephone: 1-(800)-365-3642                                *
  135. *                                                                          *
  136. *    NIC Help Desk personnel are available from 7:00 a.m.-7:00 p.m. EST,   *
  137. *    Monday through Friday except on federal holidays.                     *
  138. *                                                                          *
  139. ****************************************************************************
  140.  
  141.