home *** CD-ROM | disk | FTP | other *** search
/ 2,000 Greater & Lesser Mysteries / 2,000 Greater and Lesser Mysteries.iso / computer / security / mys00399.txt < prev    next >
Encoding:
Text File  |  1994-06-10  |  8.0 KB  |  142 lines
  1.         _____________________________________________________
  2.               The Computer Incident Advisory Capability
  3.                          ___  __ __    _     ___
  4.                         /       |     / \   /
  5.                         \___  __|__  /___\  \___
  6.         _____________________________________________________
  7.                         Informational Bulletin                                 
  8.  
  9.                          End of FY90 Update
  10.  
  11. September 30, 1990, 1300 PST                               Number A-34
  12.  
  13. During the twelve months of this fiscal year,  CIAC team members have
  14. engaged in a number of activities.  One of the main activities has been
  15. assisting sites in recovering from incidents.   Our involvement has led
  16. to a number of valuable lessons learned--things that can improve your
  17. site's computer security as well as enhance the DOE community's
  18. coordination and handling of incidents.
  19.  
  20. 1.  Password problems.  The main contributor to network intrusions has
  21. been poorly chosen passwords.   There are still too many accounts in
  22. which the username and password are identical--an easy target for
  23. network attackers and worms.  There is a great need for system managers
  24. to perform regular checks on passwords using tools such as the Security
  25. Profile Inspector (SPI) for UNIX and VMS systems.  (Contact CIAC to
  26. obtain a copy of SPI.)   Accounts such as DEMO, GUEST, TEST, FIELD, and
  27. others need to be closed--these accounts provide an easy way for
  28. attackers to gain unauthorized access to systems.  Prohibit passwords
  29. that can be found in the English dictionary.  CIAC strongly recommends
  30. that your site as well as your system(s) have a written password
  31. policy.  This policy should be required reading for users before they
  32. are given an account.  Violations of this policy should result in a
  33. lower level of privileges, i.e., lower usage priority (if practical to
  34. implement), or in the case of repeated violations, termination of usage
  35. altogether.
  36.  
  37. 2.      Vulnerabilities.  A frequent contributor to network intrusions
  38. is unpatched operating system vulnerabilities.   In CIAC Bulletin A-23
  39. we described the major exploited vulnerabilities in UNIX systems.  In
  40. particular, ensure that sendmail, finger, ftp, tftp, the DECODE alias,
  41. and the host.equiv configuration do not allow attackers opportunity for
  42. intrusion.   In CIAC Bulletin A-31 steps to improve the security of VMS
  43. systems are presented.   It is important to secure DECNET,  enhance
  44. auditing, disuser (or protect in other ways) all old or infrequently
  45. used accounts, and improve login security with LGI_xxx SYSGEN
  46. parameters.  If you are not sure how to patch vulnerabilities, which
  47. particular vulnerabilities apply to your system, how to install a TAR
  48. tape, etc. call CIAC for assistance!  Again, having a site policy for
  49. dealing with vulnerabilities is essential!
  50.  
  51. 3.      Viruses.  The major viruses with which we have dealt in the
  52. MS-DOS arena during the last 12 months are Jerusalem, Stoned, Cascade
  53. (1701/1704), Ohio, Ping Pong, and Disk Killer.  Of these viruses,
  54. Jerusalem and Disk Killer are most likely to produce damage.  In the
  55. Macintosh arena, nVIR and WDEF are most prevalent, although neither is
  56. likely to damage a system.   For a summary of the major viruses, refer
  57. to CIAC Bulletin A-15.  In addition to frequently obtaining reports of
  58. viruses spreading through exchange of removable media (disks), we are
  59. also hearing about  viruses spreading rapidly through Novelle and other
  60. microcomputer networks (see CIAC Bulletin A-33).  Vendor demonstrations
  61. and shrink wrap software are increasingly becoming a source of virus
  62. outbreaks.  We have found that sites with implemented procedures for
  63. detecting and eradicating viruses have significantly decreased the time
  64. and effort involved in recovering from this type of incident.  Users of
  65. PCs, PC clones, and Macintoshes frequently do not know exactly whom to
  66. call if there is a suspected virus infection--the number of a support
  67. person should be posted on every small system!  This is particularly
  68. important with users of classified systems.  Finally, Disinfectant 2.1
  69. and FPROT (freeware detection/ eradication packages for Macintosh and
  70. MS-DOS computers, respectively) are available from CIAC for the
  71. asking.
  72.  
  73. 4.      User Accountability and Legal Considerations.  We recommend
  74. that every user should be required to sign a statement indicating
  75. exactly what the user is and is not permitted to do before being
  76. allowed to use a computing system.  We also recommend that if possible
  77. every system should display a login banner that prohibits unauthorized
  78. use (see CIAC Bulletin A-22).   Failure to take these steps may provide
  79. a legal loophole during prosecution for computer misuse and/or damage.
  80.  
  81. 5.      Distribution of CIAC Bulletins.  Many sites promptly distribute
  82. CIAC and other bulletins widely throughout the site.  Some users and
  83. system managers, however, report that they are not receiving CIAC
  84. bulletins, or, if they are, there is a substantial delay.  CIAC
  85. bulletins are sent to every site's security managers (e.g., Computer
  86. Security Site Managers and Computer Protection Program Managers).   It
  87. is critical to ensure that these bulletins quickly get to those who
  88. need them.  It is also important to avoid distributing bulletins marked
  89. FOR OFFICIAL DEPARTMENT OF ENERGY USE ONLY outside of the DOE community.
  90.  
  91. 6.      Reporting of Incidents.   Sometimes a CIAC team member will
  92. call a system manager and inform that the system manager's system has
  93. been probed or penetrated by an attacker.  Too often the system manager
  94. will not report the incident to the site security manager(s).   CIAC
  95. does not report incidents; however, it is essential that site personnel
  96. comply with DOE Orders 1360.2A and 5637.1 in reporting incidents.
  97.  
  98. 7.      Getting Information to CIAC.  When you have an incident that
  99. might affect others throughout DOE (e.g., a network intrusion, worm,
  100. new vulnerability, widespread virus infection, etc.), call CIAC.  A
  101. large number of CIAC bulletins this fiscal year have been based on
  102. information supplied to us by sites.  Many thanks go to the "good
  103. computer security citizens" who furnish this information to us--timely
  104. warnings have spared many sites from incidents.
  105.  
  106. 8.      Training and Awareness.  The CIAC team has already presented
  107. the two-day workshop on incident handling at many sites .  We
  108. appreciate the comments and feedback that have enhanced this workshop
  109. considerably.   The aim of the workshop is to enable system managers,
  110. managers, and users to respond to incidents more efficiently as well as
  111. become more aware of sound computer security practices.    For
  112. additional information, or to bring this workshop to your site, call
  113. CIAC.
  114.  
  115. As a parenthetical note, please be advised that the identification
  116. number for CIAC bulletins issued on or after October 1, 1990 will begin
  117. with "B."  Thus, the first bulletin will be B-1, the second will be
  118. B-2, etc.
  119.  
  120. For additional information or assistance, please contact CIAC:
  121.  
  122.         Eugene Schultz
  123.         (415) 422-8193 or (FTS) 532-8193
  124.         FAX:  (415) 423-0913 or (FTS) 543-0913 
  125.  
  126.  Send e-mail to:
  127.  
  128.         ciac@tiger.llnl.gov
  129.  
  130. Neither the United States Government nor the University of California nor any of
  131. their employees, makes any warranty, expressed or implied, or assumes any legal
  132. liability or responsibility for the accuracy, completeness, or usefulness of any
  133. information, product, or process disclosed, or represents that its use would not
  134. infringe privately owned rights.  Reference herein to any specific commercial
  135. products, process, or service by trade name, trademark manufacturer, or
  136. otherwise, does not necessarily constitute or imply its endorsement,
  137. recommendation, or favoring by the United States Government or the University of
  138. California.  The views and opinions of authors expressed herein do not
  139. necessarily state or reflect those of the United States Government nor the
  140. University of California, and shall not be used for advertising or product
  141. endorsement purposes.
  142.