home *** CD-ROM | disk | FTP | other *** search
/ BBS in a Box 2 / BBS in a box - Trilogy II.iso / Files / MUG News / EFF / computer-security-intro < prev    next >
Encoding:
Text File  |  1992-07-14  |  59.1 KB  |  1,225 lines  |  [TEXT/EDIT]
  1. % (C) 1987, Simson L. Garfinkel.
  2. % May not be transmitted or copied without permission
  3.  
  4.  
  5.         Introduction to Security
  6.  
  7.     An Introduction to Computer Security For Lawyers
  8.  
  9. (Most of the examples in this article are based on actual events.)
  10.  
  11. A small business has its accounting records erased by a malicious
  12. high school student using a home computer and a modem. Did the business
  13. take reasonable security precautions to prevent this sort of damage?
  14.  
  15. A friend gives you a public domain program which greatly improves your
  16. computer's performance. One day, you find that the program has stopped
  17. working, along with all of your wordprocessor, spreadsheet and
  18. database programs.
  19.  
  20. It is important for legal practitioners to understand issues
  21. of computer security, both for the protection of their own interests
  22. and the interests of their clients. Lawyers today must automatically
  23. recognize insecure computer systems and lax operating procedures in
  24. the same was as Lawyers now recognize poorly written contracts.
  25. Additionally, as computers become more pervasive, more legal cases
  26. will arise which revolve around issues of computer security. Unless 
  27. familiar with the basic concepts of computer security, a lawyer
  28. will not know how to approach the question.
  29.  
  30. Not being a lawyer, the author will not attempt to address the legal
  31. aspects surrounding computer security. Instead, the goal of this
  32. article is to convey to the reader a basic understanding of the
  33. technical issues in the field. Even a simple understanding of computer
  34. security will afford the average lawyer protection from the accidental
  35. loss or theft of documents and data stored in the firm's computer
  36. systems, and allow the lawyer to begin to evaluate cases in which
  37. bypassing of computer security is of primary interest.
  38.  
  39. This article attempts to broadly cover questions of computer security
  40. in the small business or law firm. Because of its objectives, this
  41. article is not a step-by-step guide on how to make a law firm
  42. computer more secure: Instead, this article hopes to acquaint the
  43. reader with the issues involved so that the reader may then be able
  44. to analyze systems on a case-by-case basis and recognize when outside
  45. assistance is required. 
  46.  
  47. Simply defined, computer security is the process, procedures, or
  48. tools which assure that data entered into a computer today will be
  49. retrievable at a later time by, and only by, those authorized to do
  50. so. The procedures should additionally include systems by which
  51. computer system managers (simply ``management'' on future references)
  52. will be notified when attempts at penetrating security are made.
  53. Security is violated when some person or persons (the ``subverter'')
  54. succeedes in retrieving data without authorization. Security is also
  55. breached when the subverter manages to destroy
  56. or altering data belonging to others, making
  57. retrieval of the original data impossible.
  58.  
  59. Although a substantial effort has been spent in the academic and
  60. computer research communities exploring issues of computer security,
  61. little of what is understood has been put into practice on a wide
  62. scale. Computers are not inherently insecure, but there is a great
  63. temptation to build and run computers with lax security procedures,
  64. since this often results in simpler and faster operation. If security
  65. considerations are built into a product from the beginning they are
  66. relatively low cost; security added as an after-thought is often very
  67. expensive. Additionally, many computer users are simply not aware of
  68. how their facilities are insecure and how to rectify the situation.
  69.  
  70.     Who are the subverters?
  71.  
  72. It is a mistake to assume that all people bent on stealing or
  73. destroying data can be grouped together and that similar defenses are
  74. equally effective against all subverters.  In practice, the are two
  75. major groups: those who want to steal data and those who wish to
  76. destroy it. The first group can be called ``spies,'' the second group
  77. can be called ``vandals'' or ``crackers.''  Different security
  78. measures are targeted at each group.
  79.  
  80. Spies are sometimes exactly that: spies, either governmental or
  81. corporate who stand to gain from the possession of confidential or
  82. secret data.  Other times, spies are employees of the organization
  83. that owns the computer -- employees who seek information in the
  84. computer for personal advancement or blackmail. 
  85.  
  86. Crackers are typically adolescent boys who have a computer and a
  87. modem. They are usually very intelligent and break into computer
  88. systems for the challenge. They communicate with their friends via
  89. computer bulletin boards, often using stolen ATT credit card or MCI
  90. numbers to pay for the calls. On these boards, crackers report phone
  91. numbers, user names, passwords and other information regarding
  92. computer systems they have ``discovered.'' Many crackers are aware that
  93. their actions are illegal and cease them on their 18th birthday to
  94. avoid criminal liability for their actions.
  95. ``Vandals'' describes a larger group which includes both crackers and
  96. other people likely to vandalize data, such as disgruntled employees.
  97.  
  98. Computer security has two sets of mutual goals, each tailored to a
  99. particular set of opponents. The first goal is to make the cost of
  100. violating the computer security vastly greater than the value of the
  101. data which might be stolen. This is designed to deter the spies, who
  102. are interested in stealing data for its value. The second goal of
  103. security is to to make it too difficult for crackers to gain access to a
  104. computer system within a workable period of time.
  105.  
  106.     Three terms: operating system, accounts and passwords
  107.  
  108. The program which controls the basic operations of a computer is
  109. referred to as the computer's ``operating system.'' Often the same
  110. computer can be used to run several different operating systems (but
  111. not simultaneously). For example, the IBM PC/AT can run either the
  112. MSDOS operating system or Xenix, a Unix-based operating system. Under
  113. these two operating systems, the PC/AT has completely different
  114. behavior.
  115.  
  116. If a computer system is intended for use by many people, the operating
  117. system must distinguish between users to prevent
  118. them from interfering with each other. For example, most multi-user
  119. operating systems will not allow one user to delete files belonging
  120. to another user unless the second user gave explicitly permission.
  121.  
  122. Typically, each user of the computer is assigned an ``account.'' The
  123. operating system then does not allow commands issued by the user of
  124. one account to modify data which was created by another account.
  125. Accounts are usually named with between one and eight letters or
  126. numbers which are also called ``usernames.''  Typical usernames that
  127. the author has had include ``simsong'', ``Garfinkel'', ``slg'',
  128. ``SIMSON'' and ``ML1744.'' 
  129.  
  130. Most operating systems require that a user enter both the account name
  131. and a ``password'' in order to use the account. Account names are
  132. generally public knowledge while passwords are secret, known only to
  133. the user and the operating system. (Some operating systems make
  134. passwords available to system management, an insecure practice which
  135. will be explored in a later section.) Since the account can not be
  136. used without the password the name of the account can be made public
  137. knowledge. If a cracker does break into an account, only the password
  138. needs to be changed. Knowing a person's username is mandatory in order
  139. to exchange electronic mail.
  140.  
  141.     How much security?
  142.  
  143. In most computer systems, security is purchased at a cost in system
  144. performance, ease of use, complexity and management time. Many
  145. government systems have a full time ``security officer'' whose job is
  146. to supervise and monitor the security operations of the computer
  147. facility. Many universities are also extremely concerned about
  148. security, since they are well-marked targets for crackers in the
  149. surrounding community. Most businesses, however, are notoriously lax
  150. in their security practices, largely out of ignorance and a lack of
  151. direct experience.
  152.  
  153. Security exists in many forms: An operating system may be programmed
  154. to prevent users from reading data they are not authorized to access.
  155. Security may be procedures followed by computer users, such as
  156. disposing of all printouts and unusable magnetic media in shredders or
  157. incinerators. Security may be in the form of alarms and logs which
  158. tell the management when a break-in is attempted and/or successful.
  159. Security may be a function of hiring procedures which require
  160. extensive security checks of employees before allowing them to access
  161. confidential data. Lastly, security may be in the form of physical
  162. security, such as locks on doors and alarm systems intended to protect
  163. the equipment and media from theft.
  164.  
  165. In a secure environment, the many types and layers of security are
  166. used to reinforce each other, with the hope that if one layer fails
  167. another layer will prevent or minimize the damage.  Established
  168. protocol and judgment are required to determine the amount and cost
  169. of security which a particular organization's data warrant.
  170.  
  171.     Security through obscurity
  172.  
  173. Security through obscurity is the reliance upon little known and
  174. often unchangeable artifacts for security. Security
  175. through obscurity is not a form of security, although it is often
  176. mistaken for such. Usually no mechanism informs site management that the
  177. ``security'' has been circumvented. Often intrusions are not detected
  178. until significant damage has been done or the intruder gets careless.
  179. Once damage is detected,
  180. management has little choice but to choose a new security system which
  181. does not depend on obscurity for its strength.
  182.  
  183. The classic example of security through obscurity is the family that
  184. hides the key to the front door under the ``Welcome'' mat. The only
  185. thing to stop a burglar from entering the house is the ignorance that
  186. there is a hidden key and its location -- that is, the key's
  187. obscurity. If the house is burglarized and the burglar returns the
  188. key to its original place, the family will have no way of knowing how
  189. the burglar got in. If the family does change the location of the
  190. hidden key, all the burglar needs to do is to find it again. A
  191. higher level of
  192. security would be achieved by disposing of the hidden key and issuing
  193. keys to each member of the family.
  194.  
  195. For an example of security through obscurity on a computer, imagine the
  196. owner of a small business who uses her IBM PC for both day-to-day
  197. bookkeeping and management of employee records. In an attempt to keep
  198. the employee records hidden from his employees, she labels the disk
  199. ``DOS 1.0 BACKUP DISK.'' The owner's hope is that none of the employees
  200. will be interested in the disk after reading the label. Although the
  201. label may indeed disinterest inquisitive employees, there
  202. are far better ways to secure the disk (such as locking it in a file
  203. cabinet).
  204.  
  205. In a second example of security through obscurity, a secretary stores
  206. personal correspondence on her office wordprocessor. To hide the
  207. documents' existence, she chooses filenames for them such as MEMO1,
  208. MEMO2, ..., and sets the first three pages of the documents to be the
  209. actual text of old, inter-office memos. Her private letters are
  210. obscurely hidden after the old memos. Once her system is discovered,
  211. none of her correspondence is secure.
  212.  
  213.     Physical Security
  214.  
  215. Physical security refers to devices and procedures used to protect
  216. computer hardware and media. Physical security is the most important
  217. aspect of computer security. Because of the similarities
  218. between computers and other physical objects, physical security is
  219. the aspect of computer which is best understood.
  220.  
  221. Like typewriters and furniture, office computers are targets for
  222. theft. But unlike typewriters and furniture, the cost of a computer
  223. theft can be many times the dollar value of the equipment stolen.
  224. Often, the dollar value of the data stored inside a computer far
  225. exceeds the value of the computer itself. Very strict precautions
  226. must be taken to insure that computer equipment is not stolen by
  227. casual thieves.
  228.  
  229.     Hardware
  230.  
  231. A variety of devices are available to physically secure computers and
  232. computer equipment in place. Examples are security plates which mount
  233. underneath a computer and attach it to the table that it rests on.
  234. Other approaches include the use of heavy-duty cables threaded
  235. through holes in the computer's cabinet. It is important,
  236. when installing such a restraining device, to assure that they
  237. will not damage or interfere with the operation of the computer (more
  238. than one installation has had workmen drill holes through circuit
  239. boards to bolt them down to tables.)
  240.  
  241.     Backups
  242.  
  243. To ``back up'' information means to make a copy of it from one place to
  244. another. The copy, or ``backup,'' is saved in a safe place. In the
  245. event that the original is lost, the backup can be used.
  246.  
  247. Backups should be performed regularly to protect the user from loss of
  248. data resulting from hardware malfunction. Improved reliability is a
  249. kind of security, in that it helps to assure that data stored today
  250. will be accessible tomorrow. The subverter in such an event might be a
  251. the faulty chip or power spike. Backups stored off site provide
  252. insurance against fire.
  253.  
  254. Backups are also vital in defending against human subverters. If a
  255. computer is stolen, the only copy of the data it contained will be
  256. on the backup, which can then be restored on another computer. If a
  257. cracker breaks into a computer system and erases all of the files,
  258. the backups can be restored, assuming that the cracker does not have
  259. access to or knowledge of the backups. 
  260.  
  261. But backups are a potential security problem. Backups are
  262. targets for theft by spies, since they can contain exact copies of
  263. confidential information. Indeed, backups warrant greater physical
  264. security than the computer system, since the theft of a backup
  265. will not be noticed as quickly as the theft of media containing working
  266. data. 
  267.  
  268. With recognition of the potential security hole of backups, some
  269. computer systems allow users to
  270. prevent specific files  from being backed up at all.
  271. Such action is justified when the potential cost of having a
  272. backup tape containing the data stolen is greater than the potential
  273. cost of losing the data due to equipment malfunction, or when the data
  274. stored on the computer is itself a copy of secure master source, such
  275. as a tape in a file cabinet.
  276.  
  277.     Sanitizing
  278.  
  279. Floppy disks and tapes grow old and are often discarded. Hard disks
  280. are removed from service and returned enact to the manufacture for
  281. repair or periodic maintenance. Disk packs costing 
  282. thousands of dollars are removed from equipment and resold. If these
  283. media ever contained confidential data, special precautions must be
  284. taken to ensure that no traces of the data remain on the media after
  285. disposal. This process is called ``sanitizing.'' To understand
  286. sanitizing, first it is necessary to understand how information is
  287. recorded on magnetic media:
  288.  
  289. The typical PC floppy disk can store approximately 360 thousand
  290. characters. Each of these each of these characters consists of 8
  291. binary digits, called ``bits,'' which can be set to ``0'' or ``1.''
  292. Information on the disk is arranged into files. One part of the
  293. disk, called the directory, is used to list the name and location of
  294. every file.
  295.  
  296. Using the operating system's delete-file command (such as the MSDOS
  297. ``erase'' command) is not sufficient to insure that data stored cannot
  298. be recovered by skilled operators. Most delete-file commands do not
  299. actually erase the target file from a diskette: instead, the command
  300. merely erases the name of the file from the diskette's directory. This
  301. action frees the storage area occupied by the file for use but does
  302. not modify the data in any way.
  303. The file itself remains intact and can be recovered at a later time
  304. if it has not been overwritten. Many programs exist on the
  305. market to do just this.
  306.  
  307. Even if the actual file contents are overwritten or erased -- that is,
  308. even if all of the bits used to store the contents of the file are
  309. set to ``0'' -- it is still possible to recover the original
  310. data, although not with normal operating procedures.
  311.  
  312. Imagine a black and white checkerboard used for a computer memory.
  313. Assume that the value of any square on the checkerboard is
  314. proportional to the darkness of the square: the black squares are 1s
  315. and the white squares are 0s. Now consider what happens when the
  316. checkerboard is painted with one coat of white paint: the original
  317. checkerboard pattern is still discernible, but less so.  The squares
  318. which formerly had a value of 1 now evaluate to 0.1 or 0.2. When the
  319. computer reads the memory, the 0.1 or 0.2 are rounded to 0. But an
  320. expert with special equipment could easily recover the original
  321. pattern.
  322.  
  323. Just as the pattern can be recovered from a checkerboard uniformly
  324. painted, data can be recovered from a floppy disk which has been
  325. uniformly erased or reformatted.  Typical sanitization procedures
  326. involve writing a 1 to every location on the media, then to write a 0
  327. to every location, then to fill the media with random data. To use
  328. the checkerboard analogy, this would be the same as painting the board
  329. black, then white, then with a different checkered  pattern. The
  330. original pattern should then be undetectable. Additional effort
  331. might be desired when dealing with very sensitive data.
  332.  
  333. Sanitizing is obviously an expensive and time consuming process.
  334. Physical destruction of the media represents an attractive
  335. alternative -- simply feeding the floppy disk (or the checkerboard)
  336. into a paper shredder does very well. Unfortunately, physical
  337. destruction is not economically possible with expensive media which
  338. must be returned for service or for resale in order to recover
  339. costs of purchase.
  340.  
  341.     Authentication
  342.  
  343. Authentication is the process by which the computer system verifies
  344. that a user is who the user claims to be, and vice versa.
  345. Systems of authentication are usually classified as being based on:
  346.  
  347.  Something the user has. (keys)
  348.  
  349.  Something the user knows. (passwords)
  350.  
  351.  Something the user is. (fingerprints)
  352.  
  353.     Passwords
  354.  
  355. A password is a secret word or phrase which should be known only to
  356. the user and the computer. When the user attempts to use the computer,
  357. he must first enter the password. The computer compares the typed password
  358. to the stored password and, if they match, allows the user access.
  359.  
  360. Some computer systems allow management access to the list of stored
  361. passwords; doing so is generally regarded as an unsound practice.  If
  362. a cracker gained access to such a list, every password on the computer
  363. system would have to be changed. Other computers store passwords after
  364. they have been processed by a non-invertible mathematical function.
  365. The user's typed password cannot be derived by the processed
  366. password, eliminating the damage resulting from the theft of the
  367. master password list. The password that the user types when attempting
  368. to log on is then transformed with the same mathematical function and
  369. the two processed passwords are compared for equality.
  370.  
  371.     What makes a secure password?
  372.  
  373. Insecure passwords are passwords which are easy for people  to guess.
  374. Examples of these include passwords which are the same
  375. as usernames, common first or last names, passwords of four
  376. characters or less, and English words (all english words, even long
  377. ones like ``cinnamon.'').  
  378.  
  379. A few years ago, the typical cracker would spend many hours at his
  380. keyboard trying password after password. Today, crackers have
  381. automated this search with personal computers. The cracker can
  382. program his computer to try every word in a large file.  Typically, these
  383. files consist of thirty thousand word dictionaries, lists of first and
  384. last names and easy-to-remember keyboard patterns. 
  385.  
  386. Examples of secure passwords include random, unpronounceable
  387. combinations of letters and numbers and several words strung together.
  388. Single words spelled backwards, very popular in some circles, are not
  389. secure passwords since crackers started searching for them.
  390.  
  391. The second characteristic of a secure password (and of a secure
  392. computer) is that it is easily changed by the user. Users should be
  393. encouraged to change their passwords frequently and whenever they believe
  394. that someone else has been using their account. This way, if a cracker
  395. does manage to learn a user's password, the damage will be minimized.
  396.  
  397. It should go without saying that passwords should never be written
  398. down, told to other people or chosen according to an easily predicted
  399. system.
  400.  
  401.     Smart Cards
  402.  
  403. If the communication link between the user and the computer is
  404. monitored, even the longest and most obscure password
  405. can be recorded, giving the eavesdropper access to the account. The
  406. answer, some members of the computer community believe, is for users
  407. to be assigned mathematical functions instead of passwords. When the
  408. user attempts to log on, the computer presents him with a number. The
  409. user applies his secret function (which the computer knows) to the
  410. number and replies with the result. Since the listener never sees the
  411. function, only the input and the result, tapping the communications
  412. link does not theoretically give one access to the account.
  413.  
  414. Assume for example, user P's formula is ``multiply by 2.'' When she tries to
  415. log in, the computer prints the number ``1234567.'' She types back
  416. ``2469134,'' and the computer lets her log in.  A problem with this system
  417. is that unless very complicated formulas are used, it is relatively easy for
  418. a eavesdropper to figure out the formula.
  419.  
  420. Very complicated formulas can be implemented with the ``smart card,''
  421. which is a small credit-card sized device with an embedded computer
  422. instead of magnetic strip. The host computer transmits a large (100
  423. digit) number to the smart card which performs several thousand
  424. calculations on the number. The smart card then transmits the result
  425. back to the host. Obviously, dedicated hardware consisting of the
  426. smart cards themselves and a special reader are required. Smart cards
  427. change authentication from something to user knows (a password) to
  428. something the user has (a smart card). Naturally, the theft of a
  429. smart-card is equivalent to the disclosure of a password.
  430.  
  431. Smart cards have been proposed as a general replacement for many
  432. password applications, including logon for very secure computers,
  433. verification of credit cards, and ATM cards and identity cards. Since the
  434. cards are authenticated by testing a mathematical function stored
  435. inside the card on a silicon computer, rather than a number stored on
  436. a magnetic strip, the cards would be very difficult to duplicate or
  437. forge. They are also very expensive.
  438.  
  439.     Authentication of the computer: The Trojan Horse problem
  440.  
  441. While most computer systems require that the user authenticate
  442. himself to the computer, very few provide a facility for
  443. the computer to authenticate itself to the user! Yet, computer
  444. users face the same authentication problems a computer does.
  445.  
  446. For example, a user sits down at a terminal to log onto a computer
  447. and is prompted to type his username and his password. What assurance
  448. does the user have that the questions are being asked by the
  449. operating system and not by a program that has been left running on
  450. the terminal?  Such a program -- called a Trojan Horse --
  451. can collect hundreds of passwords in a very short time. Well written
  452. trojan horses can be exceedingly difficult to detect.
  453.  
  454. Another example of a trojan horse program is a program which claims to
  455. performs one function while actually performing another. For example,
  456. a program called DSKCACHE was distributed on some computer bulletin
  457. board systems in the New York in December 1985. The program
  458. substantially improved disk i/o performance of an IBM Personal
  459. Computer, encouraging people to use the program and give it to their
  460. friends. The hidden function of DSKCACHE was to erase the contents of
  461. the computer's disk when it was run on or after the trigger date,
  462. which was March 24, 1986.
  463.  
  464. Trojan horses are possible because reliable ways in which the computer can
  465. authenticate itself to the user are not wide spread. 
  466.  
  467.     Computer Viruses
  468.  
  469. A computer virus is a malicious program which can reproduce itself.
  470. The DSKCACHE program described above is a sort of computer virus that
  471. used humans to propagate. Other computer viruses copy themselves
  472. automatically when they are executed. Viruses have been written which
  473. propagate by telephone lines or by computer networks.
  474.  
  475. The computer virus is another problem of authentication: Since
  476. programs have no way of authenticating their actions, the user must
  477. proceed on blind trust when we run them. When I use a text editor on
  478. my computer, I trust that the program will not maliciously erase all
  479. of my files.  There are times that this trust is misplaced. Computer
  480. viruses are some of the most efficient programs at exploiting trust.
  481.  
  482. One computer virus is a program which when
  483. run copies itself over a randomly located program on the hard disk.
  484. For example, the first time the virus is run it might copy itself
  485. onto the installed wordprocessor program. Then, when either the
  486. original virus program or the wordprocessor program are run, another
  487. program on the hard disk will be corrupted. Soon there will be no
  488. programs remaining on the disk besides the virus. 
  489.  
  490. A more cleaver virus would merely modify the other programs on the
  491. disk, inserting a copy of itself and then remain dormant until a
  492. particular target date was reached. The virus might then print a
  493. ransom note and prevent use of the infected programs until a ``key'' was
  494. purchased from the virus' author.
  495.  
  496. Once a system is infected, the virus is nearly impossible to
  497. eradicate. The real danger of computer viruses is that they can
  498. remain dormant for months or years, then suddenly strike, erasing data
  499. and making computer systems useless (since all of the computer's
  500. programs are infected with the virus.) Viruses could also be triggered
  501. by external events such as phone calls, depending on the particular
  502. computer. A number of authors have suggested ways of using computer
  503. viruses for international blackmail infecting the nation's banking
  504. computers with them.  Viruses can and have been placed by disgruntled
  505. employees in software under development. Such viruses might be
  506. triggered when the employee's name is removed from the business'
  507. payroll.
  508.  
  509. There are several ways to defend against computer viruses. The
  510. cautious user should never use public domain software, or only use
  511. such software after a competent programmer has read the source-code
  512. and recompiled the executable-code from scratch.
  513.  
  514. {Computer programs are usually written in one of several english-like
  515. languages and then processed, using a program called a compiler, into a form
  516. which the computer can execute directly. While even a good programmer would
  517. have a hard time detecting a virus if presented solely with the executable
  518. code, they are readily detectable in source-code.}
  519.  
  520.  
  521. Telecommunications
  522.  
  523.     Modems
  524.  
  525. The word MODEM stands for Modulator/Demodulator. A modem takes a stream
  526. of data and modulates it into a series of tones suitable for broadcast
  527. over standard telephone lines. At the receiving end, another modem
  528. demodulates the tones into the original stream of data.
  529.  
  530. In practice, modems are used in two distinct ways: A) File Transfer
  531. and B) Telecomputing.
  532.  
  533. When used strictly for file transfer, modems are used in a fashion
  534. similar to the way that many law firms now use telcopier machines. One
  535. computer operator calls another operator and they agree to transfer a
  536. file. Both operators set up the modems, transmit the file and then shut
  537. down the modems, usually disconnecting them from the phone lines.
  538.  
  539. When used in this manner, the two computer operators are essentially
  540. authenticating each other over the telephone. (``Hi, Sam? This is
  541. Jean.'' ``Hi Jean. I've got Chris' file to send.'' ``Ok, send it. Have
  542. a nice day.'') If one operator didn't recognize or had doubts about
  543. the other operator, the transfer wouldn't proceed until the questions
  544. had been resolved. This system is called attended file transfer.
  545.  
  546. Modems can also be used for unattended file transfer, which is really
  547. a special case of telecomputing.
  548.  
  549. In telecomputing, one or more of the modems involved in operated
  550. without human intervention. In this configuration, a computer is
  551. equipped with a modem capable of automatically answering a ringing
  552. telephone line. Such modems are called AA (for ``auto answer'')
  553. modems. When the phone rings, the computer answers. After the modem
  554. answers the caller is required to authenticate himself to the computer
  555. system (at least, this is the case when a secure computer system is
  556. used), after which the caller is allowed to use the computer system or
  557. perform file transfer.
  558.  
  559. In most configurations, the computer system does not authenticate
  560. itself to the caller, creating a potential for Trojan horse programs
  561. to be used by subverters (see above).
  562.  
  563. AA modems answer the telephone with a distinctive tone. If a cracker
  564. dials an AA modem, either by accident or as the result of an
  565. deliberate search, the tone is like a neon sign inviting the cracker
  566. to try his luck. Fortunately, most multi-user operating systems are
  567. robust enough to stand up to even the most persistent crackers.  Most
  568. personal computers are not so robust, although this depends on the
  569. particular software being used. Leaving a PC unattended running a
  570. file-transfer program is an invitation for any calling cracker to take
  571. every file on the machine he can find, especially if the file-transfer
  572. program uses a well known protocol and does not require the user to
  573. type a password. The only security evident is the obscurity of the
  574. telephone number, which may not be very obscure at all, and of the
  575. file transfer program's protocol.
  576.  
  577.     Call back and password modems
  578.  
  579. Modem manufactures have attempted two strategies to make AA modems
  580. more secure: passwords and call back.
  581.  
  582. When calling a password modem, the user must first type a password
  583. before the modem will pass data to the host computer. The
  584. issues involved in breaking into a computer system protected by
  585. password modems are the same as in breaking into a computer system
  586. which requires that users enter passwords before logging in. 
  587.  
  588. A good password modem has a password for every user and records the
  589. times that each user calls in, but most password modems only have one
  590. password.  For most operating systems a password modem is overkill,
  591. since the operating system provides its own password and accounting
  592. facilities, or useless, since, any functionality which a password
  593. modem provides can be implemented better by programs running on a
  594. computer which a non-password modem is attached to.  But for an
  595. unattended microcomputer performing file transfer, a password modem
  596. may be the only way to achieve a marginal level of security.
  597.  
  598. A call back modem is like a password modem, in that it requires the
  599. caller to type in a preestablished password. The difference is that a
  600. call back modem then hangs up on the caller and then ``calls back'' --
  601. the modem dials the phone number associated with the password. The
  602. idea is that even if a cracker learns the password, he cannot use
  603. the modem because it won't call him back.
  604.  
  605. In practice, shortcomings in the telephone system make call back
  606. modems are no more secure than password modems. Most telephone
  607. exchanges are ``caller controlled,'' which means that a connection is
  608. not broken until the caller hangs up. If the cracker, after entering
  609. the correct password, doesn't hang up, the modem will attempt to
  610. ``hang up,'' pick up the phone, dial and connect to the cracker's modem
  611. (since the connection was never dropped). A few modems will not being
  612. dialing until they hear a dial tone, but this is easily overcome by
  613. playing a dial tone into the telephone. 
  614.  
  615. The idea of call back can be made substantially more secure by using
  616. two modems, so that the returned call is made on a different
  617. telephone line than the original call is received on. Call back of
  618. this type must be implemented by the operating system rather than
  619. the modem. Two modem call back is also defeatable by use of the ``ring
  620. window,'' explained below:
  621.  
  622. How many times have you picked up the telephone to discover someone at
  623. the other end? The telephone system will connect the caller before it
  624. rings the called party's bell if the telephone is picked up within a
  625. brief period of time, called the ``ring window.'' That is -- when a
  626. computer (or person) picks up a silent telephone, there is no way to
  627. guarantee that there will be no party at the other end of the line.
  628. There is no theoretical way around the ring window problem with the
  629. current telephone system, but the problem can be substantially
  630. minimized by programming the dialout-modem to wait a random amount of
  631. time before returning the call.
  632.  
  633. The principle advantage of a call back modem is that it allows the
  634. expense of the telephone call to be incurred at the computer's end,
  635. rather than at the callers end. One way to minimize telecommunication
  636. costs might be to install a call back modem with a WATS line.
  637.  
  638. In general, both password and call back modems represent expensive
  639. equipment with little or no practical value. They are becoming
  640. popular because modem companies, playing on people's fears, are making
  641. them popular with advertising.
  642.  
  643.     Computer Networks
  644.  
  645. A network allows several computers to exchange data and share devices,
  646. such as laser printers and tape drives. Computer networks can be small,
  647. consisting of two computers connected by a serial line, or very large,
  648. consisting of hundreds or thousands of systems. One network, the
  649. Arpanet, consists of  thousands of computers at universities,
  650. corporations and government installations all over the United States.
  651. Among other functions, the Arpanet allows users of any networked
  652. computer to transfer files or exchange electronic mail with users at any
  653. other networked computer. The Arpanet also provides a service) by which
  654. a user of one computer can log onto another computer, even if the other
  655. computer is several thousand miles away.
  656.  
  657. It is utility of the network which presents potential security
  658. problems. A file transfer facility can be used to steal files, remote
  659. access can be used to steal computer time. A spy looking for a way to
  660. remove a classified file from a secure installation might use the
  661. network to ``mail'' the document to somebody outside the building.
  662. Unrestricted remote access to resources such as disks and printers
  663. places these devices at the mercy of the other users of the network. A
  664. substantial amount of the Arpanet's system software is
  665. devoted to enforcing security and protecting users of the network from
  666. each other.
  667.  
  668. In general, computer networks can be divided into two classes: those
  669. that are physically secure and those that are not. A physically
  670. secure network is a network in which the management knows the details
  671. of every computer connected at all times. An insecure network is one
  672. in which private agents, employees, saboteurs and crackers are free to add
  673. equipment. Few networks are totally insecure.
  674.  
  675. Encryption
  676.  
  677.     What is encryption?
  678.  
  679. The goal of encryption is to translate a message (the ``plaintext'')
  680. into a second message (the ``cyphertext'') which is unreadable without
  681. the possession of additional information.  This translation is
  682. performed by a mathematical function called the encryption algorithm.
  683. The additional information is known as the ``key.'' In most encryption
  684. systems, the same key is used for encryption as for decryption.
  685.  
  686.  
  687. Encryption allows the content of the message to remain secure even if
  688. the cyphertext is stored or transmitted via insecure methods (or even
  689. made publicly available). The
  690. security in such a system resides in the strength of the encryption
  691. system employed and the security of the key. In an ideal cryptographic
  692. system, the security of the message resides entirely in the secrecy
  693. of the key.
  694.  
  695. When Julius Caeser sent his reports on the Gallic Wars back to Rome,
  696. he wanted the content of the reports to remain secret until they
  697. reached Rome (where his confidants would presumably be able to decode
  698. them.) To achieve this end, he invented an encrypted system now known
  699. as the Caeser Cipher. The Caeser Cipher is a simple substitution
  700. cipher in which every letter of the plaintext is substituted with the
  701. letter three places further along in the alphabet. Thus, the word:
  702.  
  703.   AMERICA
  704.  
  705. encrypts as
  706.  
  707.   DQHULFD
  708.  
  709. The ``key'' of the Caeser Cipher is the number of letters which the
  710. plaintext is shifted (three); the encryption algorithm is the rule
  711. ``shift all letters in the plaintext by the same number of
  712. characters.'' The Caeser Cipher isn't very secure: if the algorithm is
  713. known, the key is deducible by a few rounds of trail-and-error.
  714. Additionally, the algorithm is readily determinable by lexigraphical
  715. analysis of the cyphertext.  Recently, the author sent a postcard to a
  716. friend which was encrypted with the Caeser Cipher (without any
  717. information on the card that it was encrypted or which system was
  718. used): the postcard was decoded in five minutes.
  719.  
  720. Modern cryptography systems assume that both the encryption
  721. algorithm and the complete cyphertext are publicly known.
  722. Security of the plaintext is achieved by security of the key. 
  723. Cryptographic keys are typically very large numbers. Since
  724. people find it easier to remember sequences of letters than numbers,
  725. most cryptographic systems allow the user to enter an alphabetic key
  726. which is translated internally into a very large number.
  727.  
  728. Ideally, it should be impossible for a spy to translate the
  729. cyphertext back into plaintext unless he is in possession of the key.
  730. In practice, there are a variety of methods by which cyphertext can be
  731. decrypted. Breaking cyphers usually involves detecting regularities
  732. within the cyphertext and repeated decoding attempts of the cyphertext
  733. with different keys. This process requires considerable amounts of
  734. computer time and (frequently) a large portion of the cyphertext. As
  735. there are many excellent books written on the subject of cryptography,
  736. it will not be explored in depth here.
  737.  
  738.     Why encryption?
  739.  
  740. Encryption makes it more expensive for spies to steal data, since
  741. even after the data is stolen it must still be decrypted. Encryption
  742. thus provides an additional defense layer against data theft after
  743. other security systems have failed. 
  744.  
  745. On computer systems without security, such as office IBM PCs shared by
  746. several people, encryption is a means for providing 
  747. privacy of data between users. Instead of copying confidential files
  748. to removable media, users can simply encrypt their files and leave them on
  749. the PC's hard disk. Of course, the files must be decrypted before they
  750. can be used again and encryption of files does not protect them from deletion.
  751.  
  752. Encryption allows confidential data to be transmitted via insecure
  753. systems, such as telephone lines or by courier. Encryption allows one to
  754. relax other forms of security with the knowledge that the encryption
  755. system is reasonably secure.
  756.  
  757.     Costs of Encryption
  758.  
  759. Encryption is not without its costs. Among these are the expenses
  760. of the actual encryption and decryption, the costs associated with
  761. managing keys, and the degree of security required of the encryption
  762. program. 
  763.  
  764. Beyond the cost of purchasing the encryption system, there are costs
  765. associated with the employment of cryptography as a security measure.
  766. Encrypting and decrypting data requires time. Most cryptography
  767. systems encrypt plaintext to cyphertext containing many control
  768. characters: special file-transfer programs must be used to transmit
  769. these files over telephone lines. In many cryptography systems,
  770. a one character change in the cyphertext will result in the rest of
  771. the ciphertext being indecipherable, requiring that 100 percent reliable
  772. data transmission and storage systems be used for encrypted text.
  773.  
  774. If the encryption program is lost or if the key is
  775. forgotten, an encrypted message becomes useless. This characteristic
  776. of cryptography encourages many users to store both an encrypted and
  777. a plaintext version of their message, which dramatically reduces the
  778. security achieved from the encryption in the first place.
  779.  
  780. An encryption program should be the most carefully guarded program on
  781. the system. A cracker/spy might modify the program so that it records
  782. all keys in a special file on the system, or so that it encrypts all
  783. files with the same key (known to the cracker), or with an
  784. easy-to-break algorithm rather than the advertised one. Management
  785. should regularly verify an encryption program to assure that it is
  786. providing its expected function, and only its expected function.
  787.  
  788.     Key Management
  789.  
  790. Key management is the process by which cryptographic keys are decided
  791. upon and changed. For maximum security, keys (like passwords) should
  792. be randomly chosen combinations of letters and numbers. Keys should
  793. not be reused (that is, every message should be encrypted with a
  794. different key) and no written copy of the key should exist. Few
  795. computer users are able to adhere to such demanding protocols.
  796.  
  797.     Encryption as a defense against crackers
  798.  
  799. If a database is stored in encrypted form, it becomes nearly
  800. impossible for a saboture guy to make fradulant entries unless the
  801. encryption key is known.  This provides an excellent defense against
  802. crackers and sabatures who vandalize databases by creating fraudulent
  803. entries. On a legal accounting or medical records system, it is far
  804. more damaging to have a database unknowingly modified than destroyed.
  805. A destroyed database can be restored from backups; modifications to a
  806. database may require weeks or months to detect.  Unfortunately, few
  807. database programs on the market use encryption for stored files.
  808.  
  809. Some operating systems store user information, such as passwords,
  810. encrypted. As noted previously, when passwords are stored with a
  811. one-way encryption algorithm it is of little value to a cracker to
  812. steal the file which contains user passwords. The UNIX operating
  813. system is so confident in its encryption system that the password file
  814. is readable by all users of the system; to date, it does not appear
  815. that this confidence is misplaced.
  816.  
  817.     Encryption in practice
  818.  
  819. In practice, there are several serviceable cryptography systems on the
  820. market: most of them use different cryptographic algorithms, which is
  821. both advantageous and disadvantagous to the end user. One advantage of
  822. the availability of many different cryptography systems is that
  823. secrecy of the encryption system adds to the security of the
  824. plaintext. This is a form of security through obscurity and should not
  825. be relied on, but its presence will slightly strengthen security.
  826.  
  827. A disadvantage of the multitude of encryption systems is that the
  828. transmitter of an encrypted message must ensure that the proposed
  829. recipient knows which decryption algorithm to use and has a suitable
  830. program, in addition to knowing the decryption key.
  831.  
  832.     Public-key encryption
  833.  
  834. In some cryptography systems a different key is used to encrypt a
  835. message than to decrypt it. Such systems are called ``public-key''
  836. systems, because the encrypting key can be made public without (in
  837. theory) sacrificing the security of encrypted messages.
  838.  
  839. There are several public key systems in existence; all of them have
  840. been broken with the exception of system devised by Rivest, Shamir
  841. and Adlerman called RSA. In RSA, the private key consists of two
  842. large prime numbers while the public key consists of the product of
  843. the two numbers. The system is considered to be secure because it is
  844. not possible, with today's computers and algorithms, to factor
  845. numbers several hundred digits in length.
  846. The problem with RSA is determining the size of the
  847. prime numbers to use: they must be large enough so that their product
  848. cannot be factored within a reasonable amount of time, yet small
  849. enough to be manipulated and transmitted by existing computers in
  850. a reasonable time frame. The
  851. problem is compounded by the fact that new factoring algorithm are
  852. being constantly developed, so a number which is long enough today
  853. may not be long enough next week. While the length of the public key
  854. can always be increased, messages encrypted with today's ``short'' keys
  855. may be decryptable with tomorrow's new algorithms and computers.
  856.  
  857.     Confidence in the encryption program
  858.  
  859. A computer's cryptography program is one of the most rewarding targets
  860. for a Trojan horse. The very nature of a computer's
  861. cryptography program is that it requires absolute faith on the part
  862. of the user that the program is performing exactly the function which
  863. it claims to, but there are a number of very damaging in which a
  864. cryptography program can be modified without notice:
  865.  
  866. The program could make a plaintext copy of everything it encrypts or
  867. decrypts without the user's knowledge. This copy could be hidden for
  868. the later retrieval by the cracker. The copy could even be encrypted
  869. with a different key.
  870.  
  871. The program could keep a log of every time it encrypted or decrypted
  872. a file. Included in this log could be the time, user, filename, key
  873. and length of the encrypted or decrypted file.
  874.  
  875. The program might use an encryption algorithm which has a hidden
  876. ``back door'' -- that is, a secret method to decrypt any cyphertext
  877. message with a second key. 
  878.  
  879. The program might have a ``time bomb'' in it so that, after a
  880. particular date, instead of decrypting cyphertext it prints a ransom
  881. note. The user would only be able to decrypt his file after obtaining
  882. a password from the author of the program, perhaps at a very high
  883. cost. (This is a form of computer extortion which will be further
  884. explored under ``subversion.'')
  885.  
  886. Microcomputer Security Issues
  887.  
  888. Beware of public domain software! Although there are many excellent
  889. programs in the public domain, there is are an increasing number of
  890. malicious Trojan Horses and computer viruses. Unless the source code of
  891. the program is carefully examined by a competent programmer, it is
  892. nearly impossible to test a public domain program for hidden and
  893. malicious functions. Even ``trying a'' program once may cause
  894. significant data loss -- especially if the microcomputer is equipped
  895. with a hard disk. Although the vast majority of public domain software
  896. is very useful and relatively reliable, the risks faced by the user are
  897. considerable and the trust required in the software absolute. Hobbyists
  898. can afford to risk their data for gains of using some public domain
  899. software; businesses and law practices cannot be so careless.
  900.  
  901. The user of a microcomputer must back up his own files, not only to
  902. protect against accidental deletion or loss of data but also to
  903. protect against theft of equipment. Although no issue in
  904. microcomputer security is stressed more than backups, many users
  905. do not perform this routine chore.
  906.  
  907. More than any other computer system, with a microcomputer physical
  908. security is vitally important because of the ease of stealing a
  909. microcomputer and the ease at which it can be resold. (It is rather difficult for a
  910. bugler to sell a stolen mainframe computer).  Anti-theft devices
  911. must be installed on equipment containing hard disks, not only for the
  912. value of the equipment but also for the value of the data stored
  913. therein.
  914.  
  915. Do not trust the microcomputer or its operating system to guard
  916. confidential documents stored on a hard disk. If a spy has physical
  917. access to the computer, he can physically remove the hard disk and
  918. read its contents on another machine. File encryption is another
  919. defense against this sort of data theft, but the installed encryption
  920. program should be regularly checked for signs of tampering (for
  921. example, the modification date or the size of the file having changed).
  922.  
  923. Managing a secure computer
  924.  
  925.     Auditing
  926.  
  927. Most security-conscious operating systems provide some sort of
  928. auditing system to record events such as invalid logon attempts or
  929. attempted file transfer of classified files.
  930. Typically, each log entry consists of a timestamp and a description
  931. of the event. One of the responsibility of site management is to read
  932. these ``security logs.'' 
  933.  
  934. Most operating systems keep records of the times that each user was
  935. logged on within the past year. A selective list of logons between
  936. 5pm and 8am can help detect unauthorized ``after-hours'' use of
  937. accounts by crackers, especially on computers equipped with modems.
  938.  
  939. Some operating systems will notify a user when he logs in of the last
  940. time he logged in. Other systems will will notify a user of every
  941. time an unsuccessful login attempt is made on his account. Presented
  942. with this information, it is very easy one to discover when crackers
  943. are attempting (or have succeeded) to break into the system.
  944.  
  945. Good auditing systems include the option to set software alarms which
  946. will notify management of suspicious activity. For example, an alarm
  947. might be sent to notify management whenever someone logs into the
  948. user administration account, or the first time that an account is
  949. accessed over a dialup. The security administrator could then verify
  950. that the account was used by those authorized to use it and not by
  951. crackers. 
  952.  
  953.     Alarms
  954.  
  955. Software alarms scan for suspicious activity and alert management when
  956. such activity is detected. These programs can be implemented as daily
  957. tasks which scan the security logs and isolate out questionable
  958. occurrences. Software alarms can be useful on insecure computers, such
  959. as desktop PCs, for altering management of security violations which
  960. the operating system cannot prevent.
  961.  
  962. For example, it is possible to write a very simple program on a PC
  963. that would notify management whenever a system program, such as a text
  964. editor, spread sheet or utility program is modified or replaced. Such
  965. a program could detect a virus infection and could be used to isolate
  966. and destroy the virus before it became widespread.
  967.  
  968. On larger computers, alarms can notify management of repeated failed logon
  969. attempts (indicating that a cracker it attempting to break into the
  970. computer) or repeated attempts by one user to read another user's
  971. files.
  972.  
  973. It is important for management to test alarms regularly and not to
  974. become dependent on alarms to detect attempted violations of security;
  975. the first action by an experienced cracker after breaking into a
  976. system should be to disable or reset the software alarms so that the
  977. break in is hidden.
  978.  
  979.     Policy and Protocol
  980.  
  981. The most secure protocol is useless if people do not follow it. A
  982. good protocol is one that is easy, if not automatic, to follow.
  983.  
  984. For example, many university computer centers have adopted a policy
  985. that computer passwords are not given out over the telephone under any
  986. circumstances. Such a policy, if enforced, eliminates the possibility
  987. of a cracker telephoning management and, posing as a staff member,
  988. obtaining a user's password.
  989.  
  990. Other policies include requiring users to change their passwords on a
  991. regular basis. Some computer systems allow policies such as this to be
  992. implemented automatically: After the same password has been used for a
  993. given period of time, the computer requires that the user change the
  994. password the next time the user logs in.
  995.  
  996.     Subversion
  997.  
  998. Most incidents of data loss are due to employees rather than external
  999. agents. Many employees, by virtue of their position, are presented
  1000. with ample opportunity to steal or corrupt data, use computer
  1001. resources for personal gain or the benefit of a third party and
  1002. generally wreak havoc. While computers make these actions easier, they
  1003. are merely reflections of concerns already present in the
  1004. businessplace. Traditional methods of employee screening coupled with
  1005. sophisticated software alarms and backup systems can both minimize the
  1006. impact of subversion and aid in its early detection.
  1007.  
  1008.     Cracking
  1009.  
  1010. This section is intended to give some idea of how a cracker breaks
  1011. into a computer. The intent is that, by giving a demonstration of how
  1012. a cracker breaks into a computer system, the reader will gain insight
  1013. into ways of preventing similar actions.
  1014. The target system is actually irrevelent; the concepts presented apply
  1015. to many on the market.
  1016.  
  1017. Perhaps as the result of a random telephone search, the cracker has
  1018. found the telephone number of a modem connected to a timesharing computer.
  1019. Upon calling the computer's modem, the cracker is prompted to Logon. Different
  1020. operating systems have different ways of logging in and perhaps the
  1021. cracker is not familiar with this one.  (The cracker's typing is lowercase
  1022. for clarity.)  He starts:
  1023.  
  1024.   hello
  1025.   RESTART
  1026.  
  1027. The computer prints ``RESTART'' telling the cracker that ``hello'' is
  1028. not the proper way to logon to the computer system. Some computer
  1029. systems provide extensive help facilities in order to assist novice
  1030. users in logging in, which are just as helpful to crackers as they are
  1031. to novices.  From trial and error, the cracker determines the proper
  1032. way to logon to the system:
  1033.  
  1034.   help
  1035.   RESTART
  1036.   user
  1037.   RESTART
  1038.   login
  1039.   DMKLOG020E USERID MISSING OR INVALID
  1040.  
  1041. The next task for the cracker is to determine a valid username and
  1042. password combination. One way to do this is to try a lot of them. It
  1043. is not very difficult to find a valid username from a list of common
  1044. first and last names:
  1045.  
  1046.   login david
  1047.   DMKLOG053E DAVID NOT IN CP DIRECTORY
  1048.   login sally
  1049.   DMKLOG053E SALLY NOT IN CP DIRECTORY
  1050.   login cohen
  1051.   LOGIN FORMAT:    LOGIN USERNAME,PASSWORD
  1052.   RESTART
  1053.  
  1054. Once a valid username is found, the cracker tries
  1055. passwords until he find one that works:
  1056.     
  1057.   login cohen,david
  1058.   DMKLOG050E PASSWORD INCORRECT - REINITIATE LOGON PROCEDURE
  1059.   login cohen,charles
  1060.   DMKLOG050E PASSWORD INCORRECT - REINITIATE LOGON PROCEDURE
  1061.   login cohen,sally
  1062.   LOGMSG - 15:40:23 +03 TUESDAY 06/24/86
  1063.   WICC CMS 314 05/29 PRESS ENTER=>
  1064.  
  1065. The basic flaw in this operating system is that it tells the cracker
  1066. the difference between a (valid username,invalid password) pair and an
  1067. (invalid username, invalid password) pair. For the invalid usernames,
  1068. the system responded with the ``NOT IN CP DIRECTORY'' response, while
  1069. for valid usernames the system asked for the user's PASSWORD. 
  1070.  
  1071. Some systems systems ask for a password regardless of whether or not
  1072. the username provided by the cracker is valid. This features enhances
  1073. security dramatically since the cracker never knows if a username he
  1074. tries is valid or not.
  1075.  
  1076. Suppose a cracker has to try an average of 20,000 names or words to find
  1077. a correct username or password. Mathematically, on a system
  1078. which does not inform the cracker when a username is correct the
  1079. cracker may have to try upwards from 20,000 x 20,000 = 400,000,000
  1080. username/password combinations.  On a system which tells the cracker
  1081. when he has found a valid username the search
  1082. is reduced to total of 20,000 + 20,000 = 40,000 tries. The difference
  1083. is basically whether the password and the username can be guessed
  1084. sequentially or must be guessed together.
  1085.  
  1086. All it takes is patience to crack a system. One way to speed the
  1087. process is to automate the username and password search: essentially,
  1088. the cracker programs his computer to try repeatedly to log onto the
  1089. target system. To find a username, the cracker can instruct his
  1090. computer to cycle through a list of a few thousand first and last
  1091. names. Once a username is found, the cracker programs his computer to
  1092. search for passwords in a similar fashion. The cracker may also have a
  1093. dictionary of the 30,000 most common english words, and try each of
  1094. these as a password. Since people tend to pick first names, single
  1095. characters, and common words as passwords, most passwords can be
  1096. broken within a few thousand tries.  If the cracker's computer can
  1097. test one password every 5 seconds, ten thousand passwords can be
  1098. tested in under 15 hours. (Hopefully by this time a software alarm
  1099. would have disabled logins from the computer's modem, but few
  1100. operating systems contain such provisions.)
  1101.  
  1102. Finding one valid username/password combination on a system does not
  1103. place the entire computer at the mercy of the cracker (unless it is a
  1104. privileged account which he discovers), but it does give him a very
  1105. strong basis from which to explore and then crack the rest of the
  1106. accounts on the system. Some computers are more resistant to this
  1107. sort of exploration than others.
  1108.  
  1109. If the cracker gives up trying to penetrate the login server of the
  1110. host, there are still many other ways to crack the system. He might
  1111. telephone the computer operator and, pretending to be a member of the
  1112. computer center's staff, ask for the operator's password. (Crackers
  1113. have successfully used this method to break into numerous computer
  1114. systems around the country.) 
  1115.  
  1116. Some crackers use their computers to search for other computers. A
  1117. cracker will program his computer to randomly dial telephone numbers
  1118. searching for AA modems. When the cracker's computer finds a modem answering,
  1119. the phone number is recorded for later cracking.  Automatically
  1120. dialing modems can also be used to crack into long distance services
  1121. such as MCI and Sprint by trying successive account numbers.
  1122.  
  1123. Although it is theoretically possible to track a cracker back through
  1124. his call, such action requires the assistance of the telephone
  1125. utility. Utilities will not trace telephone calls unless ordered to do
  1126. so by police who have, to date, been very hesitant about ordering such
  1127. action. At a recent massive computer break in at Stanford University
  1128. one research staffer communicated with a cracker over the computer for
  1129. two hours while another staffer in the lab contacted police to arrange
  1130. a trace; the police refused.
  1131.  
  1132.  
  1133. Conclusion
  1134.  
  1135. Computer security is a topic too large to cover fully in any
  1136. publication, least of all in as short an introduction as this. In
  1137. order to evaulate a security system it is necessary to think like a
  1138. cracker or a subverter. After that, most other details follow.
  1139.  
  1140.  
  1141. Glossary
  1142.  
  1143. Backup (n.):  A copy of information stored in a computer, to be used
  1144. in the event that the original is destroyed.
  1145.  
  1146. Back up (v.):   To make a backup.
  1147.  
  1148. break (v.):   To gain access to computers or information thought to
  1149. be secure. To break a cypher is to be able to decrypt any message
  1150. encrypted with it. To break a computer is to log on to it without
  1151. authorization. 
  1152.  
  1153. bit:  One unit of memory storage. Either a ``0'' or a ``1.''
  1154.  
  1155. client:   With reference to a computer network, the computer or program
  1156. which requests data or a service.
  1157.  
  1158. Confidence:  The level of trust which can be placed in a computer
  1159. system or program to perform the function which it is designed to do.
  1160. Alternatively, the amount of protection offered by such a system.
  1161.  
  1162. Cracker:  A person who breaks into computers for fun.
  1163.  
  1164. Encryption:  The process of taking information and making it
  1165. unreadable to those who are not in possession of a the decrypting key.
  1166.  
  1167. MODEM:  Modulator/Demodulator. A device used for sending computer
  1168. information over a telephone line.
  1169.  
  1170. Public key:  A cryptography system which uses one key to
  1171. encrypt a message and a second key to decrypt it. In a perfect
  1172. public-key system it is not possible to decrypt a message without the
  1173. second key.
  1174.  
  1175. RSA:  Rivest, Shamir and Adlerman. A popular public-key cryptography
  1176. system.
  1177.  
  1178. Trojan Horse:  A program which claims to be performing one function
  1179. while actually performing another.
  1180.  
  1181. Sanitizing:  Ensuring that confidential data has been removed
  1182. from computer media before the media is disposed of.
  1183.  
  1184. security logs:  A recording of all events of a computer system
  1185. pertinent to security. 
  1186.  
  1187. Security through obscurity: Security that arises from ignorance of
  1188. operating procedures rather than first principles.
  1189.  
  1190. server:  With respect to a network, the computer or program which
  1191. responds to requests from clients.
  1192.  
  1193. smart card:  a credit-card sized computer, used for user authentication.
  1194.  
  1195. subversion:  Attacks on a computer system's security from trusted
  1196. individuals within the organization
  1197.  
  1198. References and Credits
  1199.  
  1200. For more information on computer security, see:
  1201.  
  1202. The Codebreakers, by David Kahn, 1973. Available in abridged (by
  1203. author) paperback. A signet Book from The New American Library, Inc,
  1204. Bergenfield, NJ 07621. ISBN 0-451-08967-7.
  1205.  
  1206. The Hut Six Story, by Gordon Welchman.
  1207.  
  1208. Personal Computer Security Considerations, by the National
  1209. Computer Security Center, NCSC-WA-002-85, December 1985, from the
  1210. Government Printing Office.
  1211.  
  1212. Special Publication 500-120 - Security of Personal Computer
  1213. Systems: A Management Guide, January 1985, from the National Bureau
  1214. of Standards.
  1215.  
  1216. Some of the information presented in this article is the result of
  1217. discussions on the ARPANET network ``Security'' mailing list and the
  1218. Usenet network ``net.crypt'' newsgroup.
  1219.  
  1220. Multics is a trademark of Honeywell.
  1221.  
  1222. UNIX is a trademark of Bell Laboratories.
  1223.  
  1224. VM/CMS is a trademark of International Business Machines (IBM).
  1225.