home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / hack / issm301.txt < prev    next >
Encoding:
Text File  |  1995-01-03  |  23.8 KB  |  559 lines
  1. ┌────── Information──────────────────────────────────────────────────┐
  2. │                          ░░░█   ░░░░░█  ░░░░░█   ░░█       ░░█     │
  3. ├────── Systems ─────────── ░█ ── ░░░█ ── ░░░█ ─── ░░░░█ ── ░░░█ ────┤
  4. │                           ░█    ░░░░░█  ░░░░░█   ░░░░░░░░░░░░█     │
  5. ├────── Security ────────── ░█ ───── ░░█ ─── ░░█ ─ ░░█ ─░░█ ─░░█ ────┤
  6. │                          ░░░█   ░░░░░█  ░░░░░█   ░░█       ░░█     │
  7. └────── Monitor ─────────────────────────────────────────────────────┘
  8.  
  9. Dedicated to the pursuit of security awareness..............
  10.  
  11. ======================================================================
  12. Volume 3 Number 1                                         January 1993
  13. ======================================================================
  14.  
  15.  
  16. In This Issue:
  17.  
  18. Securing Your Phone Switch
  19.  
  20. Virus Alert
  21.  
  22. Social Security Numbers & Privacy
  23.  
  24. Clyde's Computer Security Hall of Fame
  25.  
  26. Dear Clyde
  27.  
  28. COMMCRYPT Lives
  29.  
  30. Computer Speak
  31.  
  32. Computer Security Day Slogan Contest Winners
  33.  
  34.  
  35. The ISSM is a quarterly publication of the Department of Treasury,
  36. Bureau of the Public Debt, AIS Security Branch, 200 3rd Street,
  37. Parkersburg, WV 26101  (304) 420-6368
  38.  
  39. Editors:   Ed Alesius
  40.               Kim Clancy
  41.               Joe Kordella
  42.               Jim Heikkinen
  43.               Mary Clark
  44.  
  45.  
  46.  
  47.  
  48. Securing Your Phone Switch
  49.  
  50. By Dave Goldsmith, a student at Rockland Community College. He is
  51. working towards a degree in Computer Science. His hobbies include
  52. learning other technologies to include telephone systems and
  53. switches. He also edits an electronic magazine that focuses on
  54. computer technology issues.
  55.  
  56.    "If it has a dialup, a hacker can abuse it".  This, as some
  57. companies have already found out, applies to the System 75
  58. telephone system.  Hackers have, within the last year, figured out
  59. how to penetrate and manipulate a System 75.  This gives them
  60. complete control over your PBX.  If you allow them to get access to
  61. the controller, they will end up setting up a DISA (Direct Inward
  62. System Access), and make outgoing phone calls on YOUR bill.  This
  63. can result in thousands of dollars in fraudulent telephone calls,
  64. that you are going to have to pay.  Even if you decide to battle it
  65. out in courts, it is going to cost. In this article, I plan to
  66. outline the steps to secure your System 75.  
  67.    One question you should ask yourself is "Do I really need DISA
  68. on my system?".  I highly discourage having DISA, as it increases
  69. the chance of being a victim of toll fraud.  If it is vital for
  70. your employees to use DISA, then I suggest that you have a barrier
  71. code of at least 7 digits.  Any less then that is a definite
  72. security risk.  
  73.    If a hacker has already penetrated your system, there are some
  74. tell-tale signs.  Logon to your system and type 'DISPLAY
  75. REMOTE-ACCESS' followed by a carriage return.  If you haven't set
  76. up a DISA, then there shouldn't be an extension number.  If there
  77. is one, type 'CHANGE REMOTE-ACCESS' and remove the extension.  That
  78. will remove the DISA, and is the start of locking the hacker out of
  79. your system.  Your next step will be to change the passwords on ALL
  80. of the accounts.  The common login/password combinations that
  81. hackers use are:
  82.  
  83.      cust        custpw
  84.      rcust       rcustpw
  85.      browse      looker
  86.      craft       craftpw
  87.  
  88.    It is my recommendation that you change ALL of the passwords on
  89. the system.  Be warned, you should change the passwords to
  90. something alpha numeric, and it should be something personal, so a
  91. hacker can't attempt to brute force any of the accounts.  If you
  92. find that you can't change browse's password, don't despair.  Login
  93. under one of the higher level accounts, and type 'CHANGE
  94. PERMISSIONS BROWSE'.  Then strip browse of all of its privileges. 
  95. This will keep hackers from displaying remote-access and finding
  96. out where your DISA is, if you have one.  
  97.    To ensure system security, it is suggested that you DISPLAY
  98. REMOTE-ACCESS on a fairly regular basis, just to make sure that
  99. your system remains untouched.  
  100.  
  101. Editors Note: Issue 41 of Phrack magazine was recently released and
  102. contains another article on hacking this phone switch.  Phrack 41
  103. is available on the AIS BBS.  Information on the BBS can be found
  104. on Page 4.
  105.  
  106. ************* End of Article ****************
  107.  
  108.  
  109.  
  110. Virus Alert
  111.  
  112.    Free diskettes distributed by the Cobb Group at the Federal
  113. Computer Conference December 8, 9, or 10, may contain a virus which
  114. is very difficult to detect.  One diskette has a blue label with
  115. the words "DOS/Software Connection" in large print.  The other has
  116. a red label with the words "Windows/ Software Connection" in large
  117. print.  If you or anyone you know has received such a diskette,
  118. please do not use it in any computer.  The virus detection software
  119. installed on your computer will not detect the virus.  Bring the
  120. diskette to your Information Systems Security Manager (ISSM) or
  121. call the AIS Security Branch at (304) 420-6355.
  122.  
  123.  
  124. ************* End of Article ****************
  125.                            
  126.  
  127. Social Security Numbers & Privacy
  128.  
  129. by Chris Hibbert
  130. Computer Professionals for Social Responsibility
  131. Reprinted with permission from 2600 Magazine 
  132.  
  133. (Kim Clancy was recently training Public Debt employees in
  134. Washington D.C. on computer security.  Her approach to computer
  135. security training is to first convince class participants that the
  136. information they are being asked to protect is worthy of
  137. protection.  She mentioned the following article regarding the
  138. protection of social security numbers and stated that it is
  139. important that as employees of Public Debt we understand the value
  140. of a social security number, both for our clients protection and
  141. also on a personal basis for our own protection.  Many members of
  142. the class requested a copy of the following article initially
  143. published in 2600 magazine (it was also published in Phrack issue
  144. 35).  We have received permission from 2600 to reprint the article.)
  145.  
  146.  
  147.    Many people are concerned about the number of organizations
  148. asking for their Social Security Numbers.  They worry about
  149. invasions of privacy and the oppressive feeling of being treated as
  150. just a number.
  151.    Unfortunately, I can't offer any hope about the dehumanizing
  152. effects of identifying you with your numbers.  I *can* try to help
  153. you keep your Social Security Number from being used as a tool in
  154. the invasion of your privacy.
  155.    Surprisingly, government agencies are reasonably easy to deal
  156. with; private organizations are much more troublesome. Federal law
  157. restricts the agencies at all levels of government that can demand
  158. your number and a fairly complete disclosure is required even if
  159. its use is voluntary.  There are no comparable laws restricting the
  160. uses non-government organizations can make of it, or compelling
  161. them to tell you anything about their plans.  With private
  162. institutions, your main recourse is refusing to do business with
  163. anyone whose terms you don't like.
  164.  
  165. Short History
  166.  
  167.    Social Security numbers were introduced by the Social Security
  168. Act of 1935. They were originally intended to be used only by the
  169. social security program, and public assurances were given at the
  170. time that use would be strictly limited.  In 1943 Roosevelt signed
  171. Executive Order 9397 which required federal agencies to use the
  172. number when creating new record-keeping systems.  In 1961 the IRS
  173. began to use it as a taxpayer ID number.  The Privacy Act of 1974
  174. required authorization for government agencies to use SSNs in their
  175. data bases and required disclosures (detailed below) when government
  176. agencies request the number.  Agencies which were already using SSN
  177. as an identifier were allowed to continue using it.  The Tax Reform 
  178. Act of 1976 gave authority to state or local tax, welfare, driver's
  179. license, or motor vehicle registration authorities to use the number
  180. in order to establish identities. The Privacy Protection Study 
  181. Commission of 1977 recommended that the Executive Order be repealed
  182. after some agencies referred to it as their authorization to use SSNs.
  183. I don't know whether it was repealed, but that practice has stopped.
  184.    The Privacy Act of 1974 (5 USC 552a) requires that any federal,
  185. state, or local government agency that requests your Social
  186. Security Number has to tell you three things:
  187.  
  188.      1.  Whether disclosure of your Social Security Number is
  189. required or optional;
  190.  
  191.      2.  What law authorizes them to ask for your Social Security
  192. Number; and,
  193.  
  194.      3.  How your Social Security Number will be used if you give
  195. it to them.
  196.  
  197.    In addition, the Act says that only Federal law can make use of
  198. the Social Security Number mandatory.  So anytime you're dealing
  199. with a government institution and you're asked for your Social
  200. Security Number, just look for the Privacy Act Statement.  If there
  201. isn't one, complain and don't give your number.  If the statement
  202. is present, read it.  If it says giving your Social Security Number
  203. is voluntary, you'll have to decide for yourself whether to fill in
  204. the number.
  205.  
  206. Private Organizations
  207.  
  208.    The guidelines for dealing with non-governmental institutions
  209. are much more tenuous.  Most of the time private organizations that
  210. request your Social Security Number can get by quite well without
  211. your number, and if you can find the right person to negotiate
  212. with, they'll willingly admit it.  The problem is finding that
  213. right person.  The person behind the counter is often told no more
  214. than "get the customers to fill out the form completely."
  215.    Most of the time, you can convince them to use some other
  216. number.  Usually the simplest way to refuse to give your Social
  217. Security Number is simply to leave the appropriate space blank. 
  218. One of the times when this isn't a strong enough statement of your
  219. desire to conceal your number is when dealing with institutions
  220. which have direct contact with your employer.  Most employers have
  221. no policy against revealing your Social Security Number; they
  222. apparently believe the omission must have been an unintentional 
  223.  
  224. Lenders and Borrowers
  225.  
  226.    Banks and credit card issuers are required by the IRS to report
  227. the SSNs of account holders to whom they pay interest or when they
  228. charge interest and report it to the IRS.  If you don't tell them
  229. your number you will probably either be refused an account or be
  230. charged a penalty such as withholding of taxes on your interest.
  231.  
  232. Insurers, Hospitals, Doctors
  233.  
  234.    No laws require medical service providers to use your Social
  235. Security Number as an ID number (except for Medicare, Medicaid,
  236. etc).  They often use it because it's convenient or because your
  237. employer uses it to certify employees to its groups health plan. 
  238. In the latter case, you have to get your employer to change their
  239. policies.  Often, the people who work in personnel assume that the
  240. employer or insurance company requires use of the SSN when that's
  241. not really the case.  When my current employer asked for my SSN for
  242. an insurance form, I asked them to try to find out if they had to
  243. use it.  After a week they reported that the insurance company had
  244. gone along with my request and told me what number to use.  Blood
  245. banks also ask for the number but are willing to do without if
  246. pressed on the issue.  After I asked politely and persistently, the
  247. blood bank I go to agreed that they didn't have any use for the
  248. number, and is in the process of teaching their receptionists not
  249. to request the number.
  250.  
  251. Why Is The Use of Social Security Numbers A Problem? 
  252.  
  253.    The Social Security Number doesn't work well as an identifier
  254. for several reasons.  The first reason is that it isn't at all
  255. secure; if someone makes up a nine-digit number, it's quite likely
  256. that they've picked a number that is assigned to someone.  There
  257. are quite a few reasons why people would make up a number: to hide
  258. their identity or the fact that they're doing something; because
  259. they're not allowed to have a number of their own (illegal
  260. immigrants, e.g.), or to protect their privacy.  In addition, it's
  261. easy to write the number down wrong, which can lead to the same
  262. problems as intentionally giving a false number.  There are several
  263. numbers that have been used by thousands of people because they
  264. were on sample cards shipped in wallets by their manufacturers (one
  265. is included below).
  266.    When more than one person uses the same number, it clouds up the
  267. records. If someone intended to hide their activities, it's likely
  268. that it'll look bad on whichever record it shows up on.  When it
  269. happens accidently, it can be unexpected, embarrassing, or worse. 
  270. How do you prove that you weren't the one using your number when
  271. the record was made?
  272.    A second problem with the use of SSNs as identifiers is that it
  273. makes it hard to control access to personal information.  Even
  274. assuming you want someone to be able to find out some things about
  275. you, there's no reason to believe that you want to make all records
  276. concerning yourself available.  When multiple record systems are
  277. all keyed by the same identifier, and all are intended to be easily
  278. accessible to some users, it becomes difficult to allow someone
  279. access to some of the information about a person while restricting
  280. them to specific topics.
  281.  
  282. What Can You Do To Protect Your Number?
  283.  
  284.    If despite your having written "refused" in the box for Social
  285. Security Number, it still shows up on the forms someone sends back
  286. to you (or worse, on the ID card they issue), your recourse is to
  287. write letters or make phone calls.  Start politely, explaining your
  288. position and expecting them to understand and cooperate.  If that
  289. doesn't work, there are several more things to try:
  290.  
  291.      1.  Talk to people higher up in the organization.  This often
  292. works simply because the organization has a standard way of dealing
  293. with requests not to use the SSN, and the first person you deal
  294. with just hasn't been around long enough to know what it is.
  295.  
  296.      2.  Enlist the aid of your employer.  You have to decide
  297. whether talking to someone in personnel, and possibly trying to
  298. change corporate policy is going to get back to your supervisor and
  299. affect your job.
  300.  
  301.      3.  Threaten to complain to a consumer affairs bureau.  Most
  302. newspapers can get a quick response.  Some cities, counties, and
  303. states also have programs that might be able to help.
  304.  
  305.      4.  Tell them you'll take your business elsewhere (and follow
  306. through if they don't cooperate).
  307.  
  308.      5.  If it's a case where you've gotten service already, but
  309. someone insists that you have to provide your number in order to
  310. have a continuing relationship, you can choose to ignore the
  311. request in hopes that they'll forget or find another solution
  312. before you get tired of  the interruption.
  313.  
  314.    If someone absolutely insists on getting your Social Security
  315. Number, you may want to give a fake number.  There is no legal
  316. penalty as long as you're not doing it to get something from a
  317. government agency or to commit fraud.  There are a few good choices
  318. for "anonymous" numbers. Making one up at random is a bad idea, as
  319. it may coincide with someone's real number and cause them some
  320. amount of grief.  It's better to use a number like 078-05-1120,
  321. which was printed on "sample" cards inserted in thousands of new
  322. wallets sold in the 40s and 50s. It's been used so widely that both
  323. the IRS and SSA recognize it immediately as bogus, while most
  324. clerks haven't heard of it.  It's also safe to invent a number that
  325. has only zeros in one of the fields. The Social Security
  326. Administration never issues numbers with this pattern.  They also
  327. recommend that people showing Social Security cards in
  328. advertisements use numbers in the range 987-65-4320 through
  329. 987-65-4329.
  330.    The Social Security Administration recommends that you request
  331. a copy of your file from them every few years to make sure that
  332. your records are correct.
  333.  
  334. ************* End of Article ****************
  335.  
  336.                                     
  337. CLYDE'S Computer Security Hall of Fame
  338.  
  339.    The Savings Bond Operations Office (SBOO) Division of Accounts
  340. and Reconcilements (DAR) has been inducted to the Computer Security
  341. Hall of Fame.
  342.  
  343.  
  344.    The SBOO/DAR's dedication to the Bureau of Public Debt's
  345. computer sercurity program has consistently been evident in all
  346. aspects of their computer security administration.  SBOO/DAR
  347. ISSM's, Glenn Siber, Liz Abram, Sharon Abbott, Don Hainkel, and Tom
  348. Jamison have pioneered the ISSM's role in administering computer
  349. access capabilities by being the initial ISSM group to interact
  350. with the AIS Security Branch in administering user logonid password
  351. resets, reviews, etc. utilizing ACF2 software.
  352.    SBOO/DAR ISSMs have promoted security awareness training not
  353. only to their own personnel through distribution of the ISSM
  354. newsletter, but also distribute copies of the newsletter to all of
  355. the FRBs.  They have consistently dedicated their time and
  356. resources to ensure that computer security awareness and computer
  357. security issues are addressed not only throughout their
  358. organization, but also others that interface with the Bureau.   
  359.    SBOO/DAR's dedication, interest, and leading edge participation
  360. to all aspects of the Bureau of the Public Debt's computer security
  361. program is of the type that makes any undertaking successful.
  362.  
  363. Submitted by Kim Clancy, Manager of the AIS Security Branch, and Ed
  364. Alesius
  365.  
  366.  
  367. ************* End of Article ****************
  368.  
  369.  
  370. "Dear Clyde;"
  371.  
  372. (Responses to questions for those who are searching for the truth.)
  373.  
  374. Dear Clyde;
  375.  
  376.    One day, while I was away from my desk, someone sent an E:Mail
  377. message to my boss that said "Bite It".  Since it was sent from my
  378. PC, my boss thought I had sent the message.  Needless to say, I was
  379. in big trouble with the boss.  Isn't it an invasion of my privacy
  380. for someone else to use my CC:mail?
  381.  
  382. Miss Imin Bigtrouble
  383.  
  384. Dear Imin,
  385.  
  386.    Yes it is an invasion of your privacy when someone else uses
  387. your CC:mail, however you can easily prevent this type of invasion
  388. by simply remembering to secure your PC whenever you are leaving
  389. the area.  If you log out, or activate software that requires your
  390. password to be entered prior to your PC being able to be used, you
  391. will prevent this type of situation.
  392.    Remember to protect your logonid as you would your credit card. 
  393. Don't make it available for someone elses use, the consequences can
  394. be very expensive.
  395.  
  396.  
  397. Send your comments or questions to Clyde c/o the AIS Security
  398. Branch in Parkersburg, Room 1013, or leave them in Clyde's mailbox
  399. located on the Security bulletin boards throughout the Parkersburg
  400. office.
  401.  
  402.  
  403. ************* End of Article ****************
  404.  
  405.  
  406. COMMCRYPT Lives!
  407.  
  408. by Jim Heikkinen
  409.  
  410. "SCANNER" grafted to Public Debt network servers! 
  411.  
  412.    During the month of December, an ad hoc group consisting of Jim
  413. Heikkinen, Joe Kordella (Security Branch), Richard Montalbano, and
  414. Dave Frietsch (LAN Committee) sucessfully developed and implemented
  415. a plan that will scan the Bureau's NOVELL network file servers for
  416. viral infestations. 
  417.    The plan called for installation of an anti-virus software
  418. package named COMMCRYPT, and was to be carried out in two phases. 
  419.    Phase one called for the continuous scanning of each server for
  420. viruses.  This was accomplished with the installation of Scan Plus,
  421. one of the two main ingredients in COMMCRYPT.  The implementation
  422. of this phase was accomplished by December 14.  The second and
  423. final phase, the installation of Detect Plus, was in place two days
  424. later on Wednesday, December 16th.  This phase consists of
  425. comparing the "signatures" of executable files of each server
  426. against those previously captured in a hopefully virus-free file
  427. list called a "watchlist".
  428.     Should either Scan Plus or Detect Plus encounter suspicious
  429. activity, a notice is automatically sent to the Help Desk for
  430. immediate resolution.
  431.    Prior to the installation of COMMCRYPT, a user-centered scheme
  432. relied heavily on the individual computer user as the first line of
  433. defense against viral infection.  Security awareness programs are
  434. in place that promote the use of virus detection software, etc.,
  435. and have been regarded as generally successful.
  436.    Recently however, the server-centered philosophy suggested the
  437. computer user should, but might not always offer the level of
  438. protection needed to continually safeguard every BPD network.
  439.    COMMCRYPT will provide that protection at a minimal cost in
  440. server performance. 
  441.    An expanded team has been developed to review network scanners
  442. recently released on the market to ensure that the greatest level
  443. of protection is provided for Public Debt computer resources. 
  444.  
  445. ************* End of Article ****************
  446.  
  447.  
  448. COMPUTER SPEAK 
  449.  
  450. COMPUTER TERMS AND THEIR MEANINGS
  451.  
  452. scanner..........   Software that is designed to help identify
  453.                     viruses within files, boot sectors, partition
  454.                     tables, memory, and other hiding places; to
  455.                     name them; and potentially to help remove
  456.                     them.
  457.  
  458. PBX..............   A telephone system operating within one
  459.                     building, company, etc. and having outside
  460.                     telephone lines.
  461.  
  462. access controls..   Restrictions on the ability of a subject
  463.                     (e.g., a user) to use a system or an object
  464.                     (e.g., a file) in that system.  Such controls
  465.                     limit access to authorized users only.  Access
  466.                     control mechanisms may include hardware or
  467.                     software features, operating procedures,
  468.                     management procedures, or any combination.
  469.  
  470. ********** End of Article *************
  471.                                 
  472.  
  473. Computer Security Day Slogan Contest Winners
  474.  
  475. Congratulations!  The following are the award winning Computer
  476. Security Slogans that were submitted by ISSM Newsletter readership. 
  477. The slogan selection committee was so impressed with the quality of
  478. the slogans that they unanimously decided to award a prize to each
  479. entrant.......
  480.  
  481.  
  482. Brenda McFarland; DTRA-3
  483.  
  484.      Keep your PC secure, 
  485.      And don't ever slack,    
  486.      Or you could be the victim
  487.      Of a big hack attack.                             
  488.  
  489. Barb Milliron; DDS/Data Retrieval
  490.  
  491.      A virus is to a computer
  492.      What AIDS is to a human.
  493.      Protect your computer
  494.      As you would yourself.
  495.  
  496. Ken Kirby; OAIS/ASD/WTB                       
  497.  
  498.      Security and Securities                      
  499.      You have to invest.                          
  500.  
  501. Becky Marks; OA/Search & File
  502.  
  503.      As the day enters night
  504.      Your machine enters QUIeT.
  505.  
  506. Rick Montalbano; DPC/Communications Branch        
  507.  
  508.      Your data, Your job... Protect them both.              
  509.  
  510.      A BPD man shared his password                
  511.      In security, felt his was the last word.               
  512.      A disgruntled employee                       
  513.      Logged into his PC.
  514.      His now scrambled is data back-s-wards!
  515.  
  516.  
  517. Kaye Dobson; DTS/Software Branch
  518.  
  519.      Keep it SHUT
  520.      Lock it UP!
  521.  
  522.      Keep it Clean
  523.      Clear the Screen.                  
  524.  
  525.  
  526. Lee Ohringer; Engraving & Printing
  527.  
  528.      PSSST.  Can you keep a secret?  Begin with your password.
  529.  
  530.      At BPD we Backup and Protect our Data.
  531.  
  532.      Don't let them "Read your bits" -- Logoff and lock up.
  533.  
  534.      Comp?ter sec?rity is not right without "U".
  535.  
  536.  
  537. Patina V. Waters; Securities Audit Section
  538.  
  539.      A password unprotected is an invitation for data elimination.
  540.  
  541.      Disks on the go can carry viruses unknown.
  542.  
  543.  
  544. Steve Berenson/Mary Davis-Demick; DPPA
  545.  
  546.      Protect your PC: Practice safe software.
  547.  
  548. *********** End of Article ************
  549.  
  550.  
  551. The AIS Security Branch Runs an Electronic BBS. Give us a call at
  552. (304) 420-6083. An electronic version of the ISSM is posted on the
  553. board and can be downloaded. Articles in the electronic version may
  554. include more detail in that we are not limited by space constraints
  555. as we are in the paper copy. 
  556.  
  557.  
  558. Downloaded From P-80 International Information Systems 304-744-2253
  559.