home *** CD-ROM | disk | FTP | other *** search
/ InfoMagic Internet Tools 1993 July / Internet Tools.iso / RockRidge / security / cops / cops_104 / extensions / questions < prev    next >
Encoding:
Text File  |  1992-03-10  |  13.0 KB  |  305 lines
  1.    
  2.    I polled a security mailing list and got about 40 responses to a
  3. selected number of questions dealing with security; it might be useful
  4. for inclusion on how the net (at least some of the security minded ones)
  5. view security.  The answers to these questions shaped some of the philosophies
  6. of COPS and might be indicative of the type of security tools to be
  7. developed in the future.  My questions start with a number and a ")".
  8.  
  9.    1)  What kinds of problems should a software security system (SSS)
  10.    such as COPS check for? (Mention specific examples, if you can.)
  11.  
  12.   Just about everyone agreed that the more things checked, the better.
  13. Some specific wants of items I didn't mention, more or less in the order
  14. of # of requests:
  15.  
  16.   Some kind of _secure_ checksum method for checking up on binary files.
  17.  
  18.   Checking binaries for known security problems - sendmail, fingerd,
  19. ftpd, ect.
  20.  
  21.   Checking the validity of the _format_ of key files rather than merely
  22. checking if they are writable.
  23.  
  24.   Checking for potential trojan horses; files such as "ls" in a users
  25. account.
  26.  
  27.   Finding things hidden under mount points.
  28.  
  29.   Keeping track of accounts in a seperate file from /etc/passwd and
  30. run periodic checks to see if any accounts have been added by any
  31. unauthorized user.
  32.   
  33.   Report unusual system activity, such as burning lots of CPU time.
  34.  
  35.   Record unsuccessful login attempts and su's to root, when and by whom
  36. if possible.
  37.  
  38.  
  39.    2)  Are there any security problems too sensitive to be checked
  40.    by a SSS?  That is, what things should *not* be built into a SSS?
  41.  
  42.      Boy, this was a landslide.  Over 90% said NO, and not only no,
  43. but basically "Hell No".  The only concerns I got were against password
  44. cracking and problems that could not be easily fixed.  There was also
  45. a small amount of concern about limiting access to root, but most realized
  46. that no matter what, the benifits would outweigh any losses if the programs
  47. were put out.
  48.  
  49.    3) What should the primary goal of a SSS be -- discovering as many
  50.    security holes as possible in a given system (including bugs or
  51.    design flaws that may not be easily fixed -- especially without
  52.    source code), or merely uncovering correctable errors (due to
  53.    ignorance, carelessness, etc)?
  54.  
  55.      Another landslide.  Of all the responses, only one person objected
  56. to finding all holes, although a few did say that finding the fixable
  57. holes was top priority.
  58.  
  59.     One view:
  60.  
  61.   My use for an SSS is as a system monitor, not as a diagnostic tool.
  62. I suppose the diagnostic version also has its uses, but writing and
  63. distributing such a program is asking for trouble.  I don't see
  64. anything wrong with writing it and distributing only the binaries.
  65.  
  66.  
  67.    4)  Do you feel that SSS are a security threat themselves?
  68.  
  69.      Some dissent begins to show.... It was almost even here, with the
  70. no's beating out the yes's by a single vote.  However, 2/3 of the yes
  71. votes qualified there answer by stating something like "a tool can be
  72. misused" and whatnot.  Here are some typical responses:
  73.  
  74. Of course.  They point to way for bad guys.  Such is life.
  75. They are a tool.  They have the potential for anything.  The
  76. security threat lies in how they are used....
  77.  
  78. No, as long as they don't breed complacency. Just by running
  79. a SSS each night should not make you thinks your systems are
  80. secure.
  81.  
  82. Fire is also dangerous but VERY useful.
  83.  
  84.  
  85.    5) Do you think that the SSS should be restricted to be used only
  86.    by system administrators (or other people in charge), or should
  87.    they be accessible to all?
  88.  
  89.      Here's where the problems start :-)  Everyone wants as many
  90. features as possible, but quite a few of you don't want anyone else
  91. to have it.  Hmm...   Out of 35 responses on this question:
  92.   12 - Yes, only SA's.
  93.   10 - No.
  94.    6 - It would be nice to have it restricted, but... How?
  95.    5 - Have two versions; one restricted, one not.  Needless to say,
  96.         the dangerous stuff should go in the first.
  97.    1 - Restrict only parts that detect bugs/whatever that cannot be
  98.         repaired.
  99.    1 - Argh!  Help!
  100.  
  101.      Some quotable quotes:
  102.  
  103. I don't see how it could be restricted.
  104.  
  105. Admins, etc only. (possibly said because I'm an admin. From an
  106. intellectual standpoint, I would want to know about this stuff even
  107. if I was just a user)
  108.  
  109. I think the SSS should be restricted to system
  110. administrators with the realisation that others can probably
  111. get their hands on the code if they want to. 
  112.  
  113. Definitely available to all, SA's can be as lazy as anyone and should not be 
  114. allowed to hide behind a veil of secrecy if, in doing so, they expose the 
  115. systems they administer.
  116.  
  117. It seems to me that only an "administrator type" will have sufficient
  118. privilege levels to make _effective_ use of such a tool.  Ordinary users
  119. may be able to garner _some_ benefit though, if run on their own files.
  120. If possible, can there be an "administrator" mode and a (restriced/limited)
  121. "user" mode?
  122.  
  123. (and finally, my personal favorite...)
  124.  
  125. I think that a check for a hole that can't be closed shouldn't be a part of
  126. the check, if that hole is widespread.  I have no examples of any such hole,
  127. but a weak spot that can't be closed and has no workaround is one of the few
  128. candidates for the security by secrecy concept.  I have mixed feelings about
  129. this, but if I can't fix the hole, I'd rather not have it's existence be
  130. "public" knowledge.  A freely available routine to locate the hole would
  131. spread it's existence far and wide.....(?)
  132. But, if I didn't know about it beforehand then it would be good to have a
  133. tool to tell me it existed.  Gads, I hate moral conflicts!
  134.  
  135.  
  136.    6) When a SSS finds a security flaw in a system, do you want it to 
  137.    indicate how they flaw could be used to compromise your system, or
  138.    would you just accept the conclusion and apply a fix?
  139.  
  140.       This question was ill worded and gramatically incorrect, but still
  141. managed to conjure up a lot of comments.  Some thought it was asking if
  142. the system should apply a fix.
  143.       In any case, almost 3/4 said Yes, indicate exactly how to exploit
  144. any potential hole.  As usual, there were a few with reservations about
  145. the info getting out, but.... 
  146.    Here are some of the more interesting comments:
  147.  
  148.                 (Think about this one!)
  149.   *I* would like to know to futher my knowledge of Unix, but more importantly
  150. to make sure that the version I have was not modified by a cracker to
  151. put security holes *into* a system.  (That'd be sneaky :-)
  152.  
  153.    Security by obfuscation doesn't work.
  154.  
  155.    By definition, a SSS is a software system, and therefore has bugs in it.
  156. If it reported a problem which would cause quite a bit of inconvenience if
  157. fixed, or would be difficult to fix, then I would be much more apt to make
  158. the fix if I knew how the problem could be exploited.  This is important,
  159. because many, if not most, sites require only a moderate level of security,
  160. and many security holes are fiendishly difficult to exploit.
  161.  
  162.    We cannot assume that end-purchasers of a system can be as aware of 
  163. the internal workings of a system as the designers of the system (or SSS)
  164. are.  If a security flaw is discovered, the administrators need to be
  165. informed about what changes are necessary to remove that flaw, and what
  166. repercussions they may have.
  167.    [...]
  168.    Imagine a SSS that knew sendmail(8) was a security flaw
  169. allowing a worm to enter systems.  It would report that sendmail is a 
  170. security flaw, please disable it like....  If the vendor had released
  171. a patch, and the SSS didn't know how it, the administrator (in blind
  172. faith to this SSS program) might disable a *very* useful program
  173. unnecessarily.
  174.  
  175.  
  176.    7)  Do you think that there is too much, not enough, or just about
  177.    the right amount of concern over computer security?  How about at 
  178.    your computer site?  At other sites?
  179.  
  180.       The "not enough"s won, but not by much.  I thought that given
  181. the paranoia of a security group, this would be a larger victory.
  182. Lots of people said it depends -- on the type of facility, the size, etc.
  183. Large sites seem to have a healthier view of security (paranoia :-)) than
  184. smaller/non-governmental.  Only 4 or 5 said there was enough concern.
  185. A couple of people mentioned _The Cuckoo's Egg_ as suggested reading
  186. (I heartily agree.)
  187.  
  188.    More quotes:
  189.  
  190.   (I don't know if the next answer is true, but I like it anyway!)
  191.  
  192.   This is really a deep philosophical question---something to talk about
  193. over a few beers at the bar, but not here.
  194.  
  195.   I think it's a site dependent problem, and all the above are
  196. true: too much, too little, and just right. Computer is not a
  197. "one size fits all" situation. Having offered that opinion, I
  198. think an assessment of my site or other sites is extraneous, and I
  199. will reserve that opinion.
  200.  
  201.   ... more attention to unauthorized use of the networks.
  202.  
  203.    8)  Do you think that there should be a ruling body that governs
  204.    and enforces rules and regulations of the net -- sort of a net.police?
  205.  
  206.      Some of you wondered what this had to do with software security, but
  207. just about everyone answered anyway.  This one scared me!  The "No's" only
  208. beat out the "yes's" by one vote.  Yikes!  Maybe I'm from the old school
  209. of thought, but....  Several people said that it couldn't be done anyway;
  210. a couple mentioned they a CERT-like agency to help out, but not control,
  211. and finally two said that the laws and government were already there to
  212. do this.
  213.  
  214.    It's there, defacto.  The free market is working pretty well.
  215.  
  216.    Absolutely. I quarrel with the "net.police" designation, per se, of
  217. course, as do many others. But perhaps something more like a recognized
  218. trade association, and providing similar services. Also, it is time that
  219. the basic duties which must be reasonably performed by a site in order for
  220. it to remain on the net should become a requirement rather than a matter
  221. of individual whim.
  222.  
  223.    Yuck!  This is very distasteful to me.  It will probably be necessary
  224. though as more and more people participate in the net.  Enforcement will
  225. have to be judicious until secure networking is developed and implemented
  226. generally.
  227.  
  228.    No.  Aside from the fact that it'd never work, I like Usenet as an
  229. anarchy.  It has some rough edges, but for the most part it works.  What
  230. does this question have to do with SSS-type programs?
  231.  
  232.    Enforcement will be tough and may hold back legitimate users.  But
  233. we have to start somewhere.  So I suppose that I agree with having
  234. net.police, as long as they don't turn things into a police.state.net. 
  235.  
  236.  
  237.    9)  Do you believe that breaking into other people's systems should
  238.    continue to be against the law?
  239.  
  240.       Only one said "no", and s/he had a smiley following the answer.
  241. But there were some of you who voiced concern that it wasn't really
  242. against the law to begin with.  In _The Cuckoo's Nest_, Cliff Stoll talked
  243. about a (Canadian, I think) case that the only reason the cracker was
  244. prosecuted was for stealing electricity!  Less than a watt or something.
  245. A few of you mentioned denial of services as being a just reason, but
  246. what if they break in only at night, when no one else is on, and they
  247. really don't take anything at all?  Should that be less punishable than
  248. someone who sucks away user CPU/disk/whatever?
  249.  
  250.    Breakins should be encouraged and rewarded (1/2 :-).
  251.  
  252.    Yes.  Unquestionably.  However, those laws should not attempt to regulate
  253. inter-system traffic to cause these things to happen.
  254.  
  255.    Yes - and as a felony in all cases, without exception.
  256.  
  257.    Yes but murder, rape, robbery... are more important and laws and
  258. sentencing should reflect this. There are some around who want to treat
  259. cracking as a capital crime!
  260.  
  261.    Yes, from the denial of services standpoint.  I pay $XXX,XXX.XX for a
  262. system, and joe blow slides in and sucks away at those resources, there
  263. should be a nontrivial penalty for getting caught.  Don't behead the guy,
  264. but monetary fines or community service would be just fine.
  265.  
  266.  
  267.    I don't know.  I'm not a philosopher.  Certainly causing
  268. damage to others is wrong, including denial of service,
  269. compromising sensitive info, or whatever.  I'm concerned
  270. though that clamping down on young kids will discourage them
  271. from becoming computer geeks.  I think we need to encourage
  272. our young people to become technically literate.  If we
  273. don't become a more expert society we can kiss it goodbye;
  274. all we'll have left is our military solutions, like some
  275. brainless jock bully...
  276.  
  277.    I'm not sure that it is everywhere - but: Yes.  Should attempting 
  278. to break in be against the law: No.  Is this vague: Yes.
  279.  
  280.    I did not know that it was. The laws about it have not been tested and 
  281. are vague and unclear. You need to be very clear about what the laws
  282. are going to do. 
  283.  
  284.    **HELL FUCKING YES** Those of us who started in UNIX years ago have
  285. for the most part *always* respected others!! This I can't stress strong
  286. enough.
  287.  
  288.  
  289.   10)  Is your site academic, government, or commercial in nature?
  290.  
  291.       Just over 1/2 of those that answered claimed university ties,
  292. with about 1/4 being commercial, 1/6 government, a few research sites,
  293. and a couple that were a mixture.  Sites included Sun, AT&T, SCO (Xenix),
  294. the DoD, and the Army, among others.
  295.  
  296. (Guess where this one came from :-)
  297.  
  298. Research.  We invented Unix.
  299.  
  300. Academic with commercial applications.
  301.  
  302. Primarily academic, but we are part of the government.
  303.  
  304. Academic, except when collecting student fees *) *)
  305.