home *** CD-ROM | disk | FTP | other *** search

---

/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / ietf / grip / grip-minutes-95jul.txt

< prev

next >

Wrap

Text File  |  1995-10-18  |  18KB  |  479 lines

---

1.  
2. CURRENT_MEETING_REPORT_
3.  
4.  
5. Reported by Barbara Fraser/CERT Coordination Center and
6. Klaus-Peter Kossakowski/DFN-CERT
7.  
8. Minutes of the Guidelines and Recommendations for Security Incident
9. Processing Working Group (GRIP)
10.  
11. Due to many new participants which were unfamiliar with the past
12. activities of this working group, a short overview of the activities of
13. the working group was provided.  The first meeting was spent reviewing
14. the outline of the document on incident response teams and proposing
15. material for the sections.  The second meeting focused on the
16. development of an outline for the document on vendor requirements.
17.  
18.  
19.  
20. Incident Response Team Document
21.  
22.  
23. Status of the Document
24.  
25.  
26. After the discussion during the last IETF meeting there was supposed to
27. be a draft for this meeting.  Due to the time schedule of the editor he
28. was unable to fulfill this role.  A volunteer for the position of the
29. editor was requested.  Nevil Brownlee volunteered for this position
30. later in the meeting and he is now our new document editor for the
31. response team document.
32.  
33. There was some discussion regarding the relationship of the template and
34. the document itself.  It was emphasized that the document serve two
35. purposes:  to provide guidance to organizations that want to form a
36. response team so that they will be able to describe themselves in terms
37. of the template, and to help the reader (or client or potential client)
38. of a team understand the content of a given team template.
39.  
40. One of the main primary purposes of the document is to help new teams.
41. During the discussion a split of the IRT document into a document about
42. forming an IRT and into another document about the team template was
43. proposed.  No decision was made by the group.  There was discussion as
44. to whether this document will provide to response teams, minimum
45. community expectations.  In earlier meetings, this was to be the case.
46. At this meeting there was a difference of opinion.  This is something
47. that we will settle on the mailing list or (in the worst case) at the
48. next meeting.
49.  
50. One of the other purposes of this working group and its documents was
51. named:  to get other groups to use this template.  This should be
52. included in the introduction.
53.  
54.  
55. Short Review of Team Template
56.  
57. During the review various issues came up.  One of the discussions was
58. devoted to the availability of the team templates.
59.  
60. A central repository is needed to provide easy access to the templates
61. of (most) teams.  It was thought that some of the existing archive areas
62. could include such templates.
63.  
64. It was recommended that digital signatures be used to protect the
65. provided template against modifications.  (This was also included in the
66. team template).
67.  
68. Each team will be responsible for ensuring that its own template is
69. available to its cooperating partners and its constituency.
70.  
71. Another discussion involved the meaning of several terms:
72. ``constituency'', ``sponsor'' and ``authorization''.  Due to many
73. different situations for the teams it is important to allow a consistent
74. description.  Therefore, we will provide definitions of these terms
75. within the context of the document.  They should be included in the
76. introductory section along with the others that have already been
77. identified.
78.  
79. After reviewing the already discussed and outlined chapters, the
80. discussion of the other chapters followed with the the goal to get more
81. content and keywords which could help the editor of the document.
82.  
83.  
84.  
85. Discuss Various Topics of the Document
86.  
87. During the last IETF the first chapters of the document
88. (``Introduction'' and ``Defining a Charter'') were discussed in more
89. detail.  During this meeting the remaining chapters were handled in
90. detail.
91.  
92. Policies
93.  
94. The problem of incident reports and requests, and their handling was
95. discussed in more detail.  It was felt that each team has to choose its
96. policy, but it should be clearly stated in the team template.  To avoid
97. the ``black hole'' phenomenon, a team might choose to provide a minimal
98. feedback even to sites without their constituency.
99.  
100. Due to the impact on the team's constituency (incidents) reports from
101. outside the constituency must be handled very carefully.  We discussed
102. that there are several ways that these reports may impact the response
103. teams constituency:
104.  
105.  
106.    o reports from outside effecting inside inside hosts/sites
107.    o reports from outside that do not effect inside hosts/sites
108.  
109.  
110. Interestingly, there is also the possibility that reports from inside
111. the constituency only effect outside sites.  A team must determine how
112. they are going to handle these types of reports and make it known.
113.  
114. The item ``reporting requirements'' is confusing due to the relation to
115. things like ``quarterly reports''.  This item was reworded to ``incident
116. reporting requirements''.  Similar confusion arose from ``points of
117. contact''.  It was changed to ``points of customer contacts''.  Standard
118. bodies were added as possible cooperation partners.
119.  
120. A new, important issue came up related to the team template itself.
121. Changes of policy must be distributed to the constituency (and other
122. relevant parties).  Without that, it is clear that misunderstanding and
123. misconceptions will arise, whenever policies are changed.
124.  
125. It was also felt by the group that vulnerabilities are sometimes not
126. related to incidents and their handling needs to be addressed.  As at
127. the last meeting, the group decided to categorize vulnerability response
128. as an optional service and this topic has to be analyzed in more detail
129. later.  Vulnerability reports not related to actual incidents might be
130. addressed to avoid possible incidents (this behavior is sometimes
131. categorized under ``pro-active measures'').
132.  
133. The next major topic addressed in the discussion was ``disclosure''.
134. The group felt comfortable with the actual items and several others were
135. added:
136.  
137.  
138.    o Vulnerabilities discovered in the process of handling an incident
139.      and the distribution of relevant information.  There are several
140.      relationships that have to be addressed here:
141.          to constituency
142.          to vendor
143.  
144.    o A team will normally collect statistics.  If they are distributed,
145.      this should be stated in the policy section under this topic.
146.  
147.    o Because feedback to a reporter will disclose information, this has
148.      to be handled, too.  It is important to set the right expectations.
149.  
150.    o If conflicts of interests are identified for a single team which
151.      might interfere with the disclosure of information this must be
152.      handled here.  The group felt it is unnecessary to address this
153.      issue within the template explicitly.
154.  
155.    o Legal requirements for disclosure might be different for the
156.      various teams.  Due to the interference with user expectations,
157.      these should be outlined.
158.  
159.  
160. One specific kind of request is related to contact information for other
161. teams, organizations or parties.  The distribution of this information
162. might be important (e.g., contacts to the law enforcement) or it might
163. be helpful to the reporter if a team will not deal with the request
164. (because it is outside of the scope or the reporter is outside its
165. constituency).  Each team can decide to put other contact addresses into
166. the appendix of its template.  This topic will also fit under
167. disclosure.
168.  
169. Services
170.  
171. During the first review a little confusion arose surrounding some of the
172. items within this section.  These were later clarified:
173.  
174.  
175.    o ``verification'' was renamed to ``verification of incident''
176.    o ``optional'' was renamed to ``optional activities''
177.  
178.  
179. It was noted that all pro-active services, if offered, are optional.  It
180. was suggested that the group be very careful in the wording of the
181. section about optional services to avoid the misconception that such
182. services are mandatory in order to be perceived as a ``good'' (or
183. quality) IRT. Even legal conflicts can arise because of such
184. misunderstanding.
185.  
186. Examples for other optional activities might include but are not limited
187. to:
188.  
189.  
190.    o firewall consulting
191.    o security tools packages
192.    o information about security software (e.g., tcp-wrapper)
193.  
194.  
195. One of the services during handling an incident is to help the victim to
196. understand the problem and the extent of the impact and/or damage.  This
197. fits under ``understanding of activity'' as opposed to under an optional
198. activity.
199.  
200. The group felt uncomfortable with the topic ``coping''.  This was
201. changed and divided into ``eradication'' and ``recovery''.  Recovery may
202. or may not include education.
203.  
204. The closing of an incident as an explicit service (i.e., letting all
205. involved parties know, that the IRT considers an incident closed) is
206. important and clearly an instance of the incident handling process.
207. This also helps the IRT to avoid the black hole phenomenon.
208.  
209. Procedures
210.  
211. This section has no relevance for the team template.  Policies stated in
212. the template have to be implemented as procedures internally.
213.  
214. Some procedures were discussed in more detail.
215.  
216.  
217.    o Keeping statistics was already addressed under disclosure, but a
218.      team needs a procedure for doing this.
219.  
220.    o Keeping track of lessons learned seems trivial but it is important
221.      in helping the team handle similar incidents more efficiently the
222.      next time.
223.  
224.    o It was decided that we should not include too much guidance
225.      concerning securing a team's infrastructure since we can point them
226.      to ``The Site Security Handbook'' as a resource.  There might exist
227.      IRT-specific security demands which are not usually considered for
228.      other sites and those might be important to handle in this section.
229.  
230.    o Another topic was the use of the network itself as an information
231.      resource for the teams.  In using it they have to realize that they
232.      might be vulnerable to faked information which might lead to damage
233.      if it was used for part of the incident handling process by the
234.      team (e.g., wrong contact information for contacting involved
235.      sites).
236.  
237.  
238. After reviewing the first document and in lack of more input to the
239. group, it was decided was to focus on the second document.
240.  
241.  
242. Vendor Document
243.  
244. The discussion started with a kind of reality check.  The original
245. question was what can be achieved through such a document?  The users
246. need something to point to.  The community has to develop an
247. understanding of what can be expected from the vendor (technology
248. producer) side.  Leading the way to best current practise is a good
249. description for the purpose of this document.
250.  
251. The discussion of experiences of the audience revealed the following
252. thoughts:
253.  
254.  
255.    o Getting an understanding of what the larger community really needs
256.      is most important.  The needs might be very different for users
257.      outside the more technical community of the IETF.
258.  
259.    o Users have to deal with a highly hierarchical system of vendor,
260.      seller and reseller.
261.  
262.    o The users will need a document in simple language, so that
263.      everybody can understand it and use it.
264.  
265.    o There is a special situation outside the US, where even the vendor,
266.      seller and reseller have no access to the technical information and
267.      the detailed knowledge.  For example, it is a wrong assumption that
268.      every party has access to source code.
269.  
270.  
271. Scope of Document
272.  
273. Get an understanding of what users can expect from a vendor when a
274. product security problem is reported for:
275.  
276.  
277.    o software
278.    o hardware
279.  
280.  
281. Clearly this document therefore has to reflect the community's
282. expectations of how vendors should respond to and handle reports of
283. security problems in their products.  The producers are the audience,
284. but users will read it.  This will lead to the use of the document to in
285. some ways force the technology producer to a specific behavior.
286.  
287. A question was raised if the document will address the areas of secure:
288.  
289.  
290.    o packaging
291.    o distribution
292.    o installation
293.    o default configuration
294.  
295.  
296. Is the development of the software within the scope or not?  The field
297. of software engineering clearly does not fit into this document.  But
298. perhaps a document about ``best current practise'' for software
299. developers is needed.  This topic will probably not be included in this
300. document and the decision to write yet another document will be decided
301. after we have these two completed (or at least well underway).  The
302. distribution of software (especially in the public domain area) often
303. leads to flaws and therefore advice in this area would be worthwhile.
304.  
305. The normal answer on a security hole is the suggestion to use an
306. update/revised version of the product.  However, internal technology
307. constraints may make this impossible to use or not advisable.  Some
308. vendors stop supporting patches for software products and the change to
309. a new major version would force the victim organization to change the
310. whole setup.  Therefore the sites need updates (especially in complex
311. system setups) not a new version.  The question of how long a specific
312. system is supported is important.  Especially in the case of large
313. organizations the amount of work for ``regular'' updates is immense.
314. Folks are interested in the length of time as measured in calendar time
315. as opposed to versions.  So, for example, some vendors state that they
316. support the current versions and the two preceding ones.  The problem is
317. that the buyer does not know how long a period of time this might cover.
318.  
319. From a strategic and financial planning point of view it would be very
320. helpful to know, rather, how long in real time an organization can count
321. on support for the product.  What about products that are sold but are
322. no longer supported or dropped from the list of supported products
323. shortly after purchase.  What are the implications for security patches
324. in these cases?
325.  
326. The feeling was also that security problems have to be addressed, even
327. without a service agreement.  Security patches are expected to be free.
328. However, this will not hold forever since vendors must be able to stop
329. support on old products at some point in time.  The point is that they
330. need to clearly state what their support policy is so that a buyer can
331. make informed decisions.
332.  
333. The distribution of security information has to be addressed, too.  This
334. is a sensitive subject but the group came up with a starting point for
335. further discussions in this area.  In general, enough information has to
336. be shared so that it is possible to find out if a site is vulnerable.
337.  
338. This may be especially important if no patch is available and the
339. knowledge about a security bug can be serious to a site.  If informed, a
340. site would perhaps decide to disconnect from the net.
341.  
342. It was brought up that there may be liability involved with the
343. disclosure of such information and what is the responsibility for side
344. effects of patches (like it is done on prescription medications).
345.  
346. The distribution of more detailed security related information to
347. (major) customers was approached by at least one major vendor.  Due to
348. the transfer of the liability for misuse of this information to the
349. customers, no one was eager to sign the contract.  One solution was
350. proposed:
351.  
352.  
353.    o If no exploitation, company provides fix, but does not disclose
354.      before fix is available.
355.  
356.    o If being exploited, disclose the information.
357.  
358.  
359. It was quickly noted that we are not attorneys, and we cannot possibly
360. set policy.  However the discussion was good because it pointed out the
361. areas where vendors need to their policies.
362.  
363. Resellers are problematic, too.  They might be responsible for security
364. flaws the end user will contact the vendor of single components.
365.  
366. Network providers may claim to be technology providers (aka vendors),
367. but they are not.  Even if they are responsible for things like router
368. configurations, this has to be separated from the hardware and software
369. component.
370.  
371.  
372.  
373. Purpose Statement
374.  
375. Primary Purposes
376.  
377. Reflect the community's expectations of what consumers can expect from a
378. vendor to address the security issues related to their products during
379. the product's lifetime (excluding the software development process).  To
380. include:
381.  
382.  
383.    o distribution
384.  
385.    o default configuration
386.  
387.    o optional components (e.g., debugging)
388.  
389.    o installation
390.  
391.    o normal use
392.  
393.    o response to security problems (known by the vendor and reported by
394.      customers)
395.  
396.    o support for old versions, duration of support
397.  
398.    o documentation
399.  
400.  
401. Secondary Purposes
402.  
403. Raise the awareness both on vendor and consumer sides that addressing
404. security issues is worthwhile.
405.  
406.  
407. Outline of Draft Document
408.  
409. Suggestion for the title of the document:
410.  
411.  
412.      ``Internet Technology Producers Guide to Good Security
413.      Practice''
414.  
415.  
416.    o Introduction
417.  
418.       -  purpose
419.  
420.       -  statement of intended audience
421.  
422.       -  basic definitions
423.           * vendor
424.           * security bug
425.  
426.       -  relationship to other documents
427.           * site security handbook (SSH)
428.           * vendor document (GRIP)
429.  
430.    o Distribution
431.  
432.    o Default configuration
433.  
434.    o Optional components
435.  
436.    o Installation
437.  
438.    o Normal use
439.  
440.    o Response to security problems
441.          known by the vendor
442.          reported by customers
443.  
444.    o Duration of support
445.  
446.    o Documentation
447.  
448.  
449. Discuss Various Topics of the Document
450.  
451. The following definitions were discussed:
452.  
453.  
454.    o Vendor -- Entities that produce technology and are responsible for
455.      the technical content.
456.  
457.    o Security Bug -- No definition was given during the 33rd IETF. If it
458.      is felt that there would be the need for such (maybe under a
459.      different term) we will get a definition later.
460.  
461.  
462. Administrivia
463.  
464. Incident Response Teams Document
465.  
466.  
467.      September 1995    -- First draft
468.      November 1995     -- Internet-Draft
469.      December 1995     -- 34th IETF, review of draft
470.      January 20, 1996  -- Final draft
471.      Mid-February 1996 -- Final call
472.  
473.  
474. Internet Technology Provider Document
475.  
476.  
477.      September 1995 -- Draft outline
478.  
479.