home *** CD-ROM | disk | FTP | other *** search
/ Hackers Toolkit 2.0 / Hackers_Toolkit_v2.0.iso / HTML / archive / Texts / hacking / wily_hacker.txt < prev    next >
Encoding:
Text File  |  1999-11-04  |  45.4 KB  |  706 lines
  1.  
  2. -----------------------------------------------------------------------------
  3.  
  4. Title:     Stalking the wily hacker. (includes related articles on the
  5.  
  6.            definition of hackers, Intruder versus Tracker, legal constraints
  7.  
  8.            and ethics, and computer security resources)
  9.  
  10. Journal:   Communications of the ACM  May 1988 v31 n5 p484(14)
  11.  
  12.            * Full Text COPYRIGHT Assn. for Computing Machinery, Inc. 1988.
  13.  
  14. Author:    Stoll, Clifford.
  15.  
  16. HTML:      Markus Hⁿbner
  17.  
  18. Summary:   The experience of the Lawrence Berkeley Laboratory in tracking an
  19.  
  20.            intruder suggests that any operating system is insecure when
  21.  
  22.            obvious security rules are ignored. How a site should respond to
  23.  
  24.            an intrusion, whether it is possible to trace an intruder trying
  25.  
  26.            to evade detection, what can be learned from tracking an intruder,
  27.  
  28.            what methods the intruder used, and the responsiveness of the
  29.  
  30.            law-enforcement community are also discussed.
  31.  
  32. -----------------------------------------------------------------------------
  33.  
  34. STALKING THE WILY HACKER
  35.  
  36. In August 1986 a persistent computer intruder attacked the Lawrence
  37. Berkeley Laboratory (LBL). Instead of trying to keep the intruder out, we
  38. took the novel approach of allowing him access while we printed out his
  39. activites and traced him to his source. This trace back was harder than we
  40. expected, requiring nearly a year of work and the cooperation of many
  41. organizations. This article tells the story of the break-ins and the trace,
  42. and sums up what we learned. We approached the problem as a short,
  43. scientific exercise in discovery, intending to determine who was breaking
  44. into our system and document the exploited weaknesses. It became apparent,
  45. however, that rather than innocuously playing around, the intruder was
  46. using our computer as a hub to reach many others. His main interest was in
  47. computers operated by the military and by defense contractors. Targets and
  48. keywords suggested that he was attempting espionage by remotely entering
  49. sensitive computers and stealing data; at least he exhibited an unusual
  50. interest in a few, specifically military topics. Although most attacked
  51. computers were at military and defense contractor sites, some were at
  52. universities and research organizations. Over the next 10 months, we
  53. watched this individual attack about 450 computers and successfully enter
  54. more than 30. LBL is a research institute with few military contracts and
  55. no classified research (unlike our sister laboratory, Lawrence Livermore
  56. National Laboratory, which has several classified projects). Our computing
  57. environment is typical of a university: widely distributed, heterogeneous,
  58. and fairly open. Despite this lack of classified computing, LBL's
  59. management decided to take the intrusion seriously and devoted considerable
  60. resources to it, in hopes of gaining understanding and a solution. The
  61. intruder conjured up no new methods for breaking operating systems; rather
  62. he repeatedly applied techniques documented elsewhere. whenever possible,
  63. he used known security holes and subtle bugs in different operating
  64. systems, including UNIX, VMS, VM-TSO, EMBOS, and SAIL-WAITS. Yet it is a
  65. mistake to assume that one operating system is more secure than another:
  66. Most of these break-ins were possible because the intruder exploited common
  67. blunders by vendors, users, and system managers. Throughout these
  68. intrusions we kept our study a closely held secret. We deliberately
  69. remained open to attacks, despite knowing the intruder held system-manager
  70. privileges on our computers. Except for alerting management at threatened
  71. installations, we communicated with only a few trusted sites, knowing this
  72. intruder often read network messages and even accessed computers at several
  73. computer security companies. We remained in close touch with
  74. law-enforcement officials, who maintained a parallel investigation. as this
  75. article goes to press, the U.S. FBI and its German equivalent, the
  76. Bundeskriminalamt (BKA), continue their investigations. Certain details are
  77. therefore necessarily omitted from this article. Recently, a spate of
  78. publicity surrounded computer break-ins around the world [23, 33, 37]. With
  79. a few notable exceptions (e.g., [24, 36]), most were incompletely reported
  80. anecdotes [7] or were little more than rumors. For lack of substantive
  81. documentation, system designers and mangers have not addressed important
  82. problems in securing computers. Some effrts to lighten security on common
  83. systems may even be misdirected. We hope that lessons learned from our
  84. research will help in the design and management of more secure systems. How
  85. should a site respond to an attack? Is it possible to trace the connections
  86. of someone trying to evade detection? What can be learned by following such
  87. an intruder? Which security holes were taken advantage of? How responsive
  88. was the law-enforcement community? This article addresses these issues, and
  89. avoids such questions as whether there is anything intrinsically wrong with
  90. browsing through other people's files or with attempting to enter someone
  91. else's computer, or why someone would wish to read military databases.
  92. Nonetheless, the author holds strong opinions on these subjects.
  93.  
  94. DETECTION
  95.  
  96. We firt suspented a break-in when one of LBL's computers reported an
  97. accounting error. A new account had been created without a corresponding
  98. billing address. Our locally developed accounting program could not balance
  99. its books, since someone had incorrectly added the account. Soon
  100. afterwards, a message from the National Computer Security Center arrived,
  101. reporting that someone from our laboratory had attempted to break into one
  102. of their computers through a MILNET connection. We removed the errant
  103. account, but the problem remained. We detected someone acting as a system
  104. manager, attempting to modify accounting records. Realizing that there was
  105. an intruder in the system, we installed line printers and recorders on all
  106. incoming ports, and printed out the traffic. Within a few days, the
  107. intruder showed up again. We captured all of his keystrokes on a printer
  108. and saw how he used a subtle bug in the Gnu-Emacs text editor [40] to
  109. obtain system-manager privileges. At first we suspected that the culprit
  110. was a student prankster at the nearly University of California. We decided
  111. to catch him in the act, if possible. Accordingly, whenever the intruder
  112. was present, we began tracing the line, printing out all of his activity in
  113. real time.
  114.  
  115. ORGANIZING OUR EFFORTS
  116.  
  117. Early on, we began keeping a detailed logbook, summarizing the intruder's
  118. traffic, the traces, our suspicions, and interactions with law-enforcement
  119. people. Like a laboratory notebook, our logbook reflected both confusion
  120. and progress, but eventually pointed the way to the solution. Months later,
  121. when we reviewed old logbook notes, buried clues to the intruder's origin
  122. rose to the surface. Having decided to keep our efforts invisible to the
  123. intruder, we needed to hide our rcords and eliminate our electronic
  124. messages about his activity. Although we did not know the source of our
  125. problems, we trusted our own staff and wished to inform whoever needed to
  126. know. We held meetings to reduce rumors, since our work would be lost if
  127. word leaked out. Knwing the sensitivity of this matter, our staff kept it
  128. out of digital networks, bulletin boards, and, especially, electronic mail.
  129. Since the intruder searched our electronic mail, we exchanged messages
  130. about security by telephone. Several false electronic-mail messages made
  131. the intruder feel more secure when he illicitly read them.
  132.  
  133. MONITORS, ALARMS, AND TRAFFIC ANALYSIS
  134.  
  135. We needed alarms to instantly notify us when the intruder entered our
  136. system. At first, not knowing from which port our system was being hit, we
  137. set printers on all lines leading to the attacked computer. After finding
  138. that the intruder entered via X.25 ports, we recorded bidirectional traffic
  139. through that set of lines. These printouts proved essential to our
  140. understanding of events; we had records of his every keystroke, giving his
  141. targets, keywords, chosen passwords, and methodologies. The recording wa
  142. complete in that virtually all of these session were captured, either by
  143. printer or on the floppy disk of a nearby computer. These monitors also
  144. uncovered several other attempted intrusions, unrelated to those of the
  145. individual we were following. Off-line monitors have several advantages
  146. over monitors embedded in an operating system. They are invisible even to
  147. an intruder with system privileges. Moreover, they gave printouts of the
  148. intruder's activities on our local area network (LAN), letting us see his
  149. attempts to enter other closely linked computers. A monitor that records
  150. keystrokes within an operating systm consumes computing resources and may
  151. slow down other processes. In addition, such an monitor must use highly
  152. privileged software and may introduce new security holes into the system.
  153. Besides taking up resources, on-line monitors would have warned the
  154. intruder that he was being tracked. Since printers and personal computers
  155. are ubiquitous, and because RS-232 serial lines can easily be sent to
  156. multiple receivers, we used this type of off-line monitor and avoided
  157. tampering with our operating systems. The alarms themselves were crude, yet
  158. effective in protecting our system as well as others under attack. We knew
  159. of researchers developing expert systems that watch fror abnormal activity
  160. [4, 35], but we found our methods simpler, cheaper, and perhaps more
  161. reliable. Backing up these alarms, a computer loosely coupled into our LAN
  162. periodically looked at every process. Since we knew from the printouts
  163. which accounts had been compromised, we only had to watch for the use of
  164. these stolen accounts. We chose to place alarms on the incoming lines,
  165. where serial line analyzers and personal computers watched all traffic for
  166. the use of stolen account names. If triggered, a sequence of events
  167. culminated in a modem calling the operator's pocket pager. The operator
  168. watched the intruder on the monitors. If the intruder began to delete files
  169. or damage a system, he could be immediately disconnected, or the command
  170. could be disabled. When he appeared to be entering sensitive computers or}
  171. downloading sensitive files, line noise, which appeared to be network
  172. glitches, could be inserted into the communications link. In general, we
  173. contacted the system managers of the attacked computers, though in some
  174. cases the FBI or military authorities made the contact. Occasionally, they
  175. cooperated by leaving their systems open. More often, they immediately
  176. disabled the intruder or denied him access. From the intruder's viewpoint,
  177. almost everyone except LBL detected his activity. In reality, almost nobody
  178. except LBL detected him. Throughout this time, the printouts showed his
  179. interests, techniques, successes, and failures. Initially, we were
  180. interested in how the intruder obtained system-manager privileges. Within a
  181. few weeks, we noticed him exploring our network connections--using ARPANET
  182. and MILNET quite handily, but frequently needing help with lesser known
  183. networks. Later, the monitors showed him leapfrogging through our
  184. computers, connecting to several military bases in the United States and
  185. abroad. Eventually, we observed him attacking many sites over Internet,
  186. guessing passwords and accounts names. By studying the printouts, we
  187. developed an understanding of what the intruder was looking for. We also
  188. compared activity on different dates in order to watch him learn a new
  189. system, and inferred sites he entered through pathways we could not
  190. monitor. We observed the intruder's familiarity with various operating
  191. systems and became familiar with his programming style. Buried in this
  192. chatter were clues to the intruder's location and persona, but we needed to
  193. temper inferences based on traffic analysis. Only a complete trace back
  194. would identify the culprit.
  195.  
  196. TRACE BACKS
  197.  
  198. Tracing the activity was challenging because the intruder crossed many
  199. networks, seldom connected for more than a few minutes at a time, and might
  200. be active at any time. We needed fast trace backs on several systems, so we
  201. automated much of the process. Within seconds of a connection, our alarms
  202. notified system managers and network control centers automatically, using
  203. pocket pagers dialed by a local modem [42]. Simultaneously, technicians
  204. started tracing the networks. Since the intruder's traffic arrived from an
  205. X.25 port, it could have come from anywhere in the world. We initially
  206. traced it to a nearby dial-up Tymnet port, in Oakland, California. With a
  207. court order and the telephone company's cooperation, we then traced the
  208. dial-up calls to a dial-out modem belonging to a defense contractor in
  209. McLean, Virginia. In essence, their LAN allowed any user to dial out from
  210. their modem pool and even provided a last-number-redial capability for
  211. those who did not know access codes for remote systems. Analyzing the
  212. defense contractor's long-distance telephone records allowed us to
  213. determine the extend of these activities. By cross-correlating them with
  214. audit trails at other sites, we determined additional dates, times, and
  215. targets. A histogram of the times when the intruder was active showed most
  216. activity occurring at around noon, Pacific time. These records also
  217. demonstrated the attacks had started many months before detection at LBL.
  218. Curiously, the defense contractor's telephone bills listed hundreds of
  219. short telephone calls all around the United States. The intruder had
  220. collected lists of modem telephone numbers and then called them over these
  221. modems. Once connected, he attempted to log in using common account names
  222. and passwords. These attempts were usually directed at military bases;
  223. several had detected intruders coming in over telephone lines, but had not
  224. bothered to trace them. When we alerted the defense contractor officials of
  225. their problem, they tightened access to their outbound modems and these
  226. were no more short connections. After losinig access to the defense
  227. contractor's modems, the still undeterred intruder connected to us over
  228. different links. Through the outstanding efforts of Tymnet, the full X.25
  229. calling addresses were obtained within seconds of an attack. These
  230. addresses pointed to sources in Germany: universities in Bremen and
  231. Karlsruhe, and a public dial-up modem in another German city. When the
  232. intruder attacked the university in Bremen, he acquired system-manager
  233. privileges, disabled accounting, and used their X.25 links to connect
  234. around the world. Upon recognizing this problem, the university traced the
  235. connections to the other German city. This, in turn, spurred more tracing
  236. efforts, coordinating LBL, Tymnet, the university, and the German
  237. Bundespost. Most connections were purposely convoluted. Figure 1 summarizes
  238. the main pathways that were traced, but the intruder used other connections
  239. as well. The rich connectivity and redundant circuits demonstrate the
  240. intruder's attempts to cover his tracks, or at least his search for new
  241. networks to exploit. Besides physical network traces, there were several
  242. other indications of a foreign origin. When the intruder transferred files,
  243. we timed round-trip packet acknowledgments over the network links. Later,
  244. we measured the empirical delay times to a variety of different sites and
  245. estimated average network delay times as a function of distance. This
  246. measurement pointed to an overseas origin. In addition, the intruder knew
  247. his way around UNIX, using AT&T rather than Berkeley UNIX commands. When
  248. stealing accounts, he sometimes used German passwords. In retrospect, all
  249. were clues to his origin, yet each was baffling given our mind-set that "it
  250. must be some student from the Berkeley campus."
  251.  
  252. A STINGER TO COMPLETE THE TRACE
  253.  
  254. The intruder's brief connections prevented telephone technicians from
  255. determining his location more precisely than to a particular German city.
  256. To narrow the search to an individual telephone, the technicians needed a
  257. relatively long connection. We baited the intruder by creating several
  258. files of fictitious text in an obscure LBL computer. These files appeared
  259. to be memos about how computers were to support research for the Strategic
  260. Defense Initiative (SDI). All the information was invented and steepest in
  261. governmental jargon. The files also contained a mailing list and several
  262. form letters talking about "additional documents available by mail" from a
  263. nonexistent LBL secretary. We protected these bogus files so that no one
  264. except the owner and system manager could read them, and set alarms so that
  265. we would know who read them. While scavenging our files one day, the
  266. intruder detected these bogus files and then spent more than an hour
  267. reading them. During that time the telephone technicians completed the
  268. trace. We celebrated with milk shakes made with homegrown Berkeley
  269. strawberries, but the celebration proved premature. A few months later, a
  270. letter arrived from someone in the United States, addressed to the
  271. nonexistent secretary. The writer asked to be added to the fictitious SDI
  272. mailing list. As it requested certain "classified information," the letter
  273. alone suggested espionage. Moreover, realizing that the information had
  274. traveled from someone in Germany to a contact in the United States, we
  275. concluded we were witnessing attempted espionage. Other than cheap novels,
  276. we have no experience in this arena and so left this part of the
  277. investigation to the FBI.
  278.  
  279. BREAK-IN METHODS AND EXPLOITED WEAKNESSES
  280.  
  281. Printouts of the intruder's activity showed that he used our computers as a
  282. way station; although he could become system manager here, he usually used
  283. LBL as a path to connect to the ARPANET/MILNET. In addition, we watched him
  284. used several other networks, including the Magnetic Fusion Energy network,
  285. the High Energy Physics network, and several LANs at invaded sites. While
  286. connected to MILNET, this intruder attempted to enter about 450 computers,
  287. trying to log in using common account names like root, guest, system, or
  288. field. He also tried default and common passwords, and often found valid
  289. account names by querying each system for currently logged-in accounts,
  290. using who or finger. Although this type of attack is the most primitive, it
  291. was dismayingly successful: In about 5 percent of the machines attempted,
  292. default account names and passwords permitted access, sometimes giving
  293. system-manager privileges as well. When he succeeded in logging into a
  294. system, he used standard methods to leverage his privileges to become
  295. system manager. Taking advantage of well-publicized problems in several
  296. operating systems, he was often able to obtain root or system-manager
  297. privileges. In any case, he searched file structures for keywords like
  298. "nuclear," "sdi," "kh-11," and "norad." After exhaustively searching for
  299. such information, he scanned for plain-text passwords into other systems.
  300. This proved remarkably effect ive: Users often leave passwords in files
  301. [2]. Electronic mail describing log-in sequences with account names and
  302. passwords is commonly saved at foreign nodes, allowing a file browser to
  303. obtain access into a distant system. In this manner he was able to obtain
  304. both passwords and access mechanisms into a Cray supercomputer. Typical of
  305. the security holes he exploited was a bug in the Gnu-Emacs program. This
  306. popular, versatile text editor includes its own mail system, allowing a
  307. user to forward a file to another user [40]. As distributed, the program
  308. uses the UNIX Set-User-ID-to-Root feature; that is, a section of the
  309. program runs with system-manager privileges. This movemail facility allows
  310. the user to change file ownership and move files into another's directory.
  311. Unfortunately, the program did not prevent someone from moving a file into
  312. the systems area. Aware of this hole, the intruder created a shell script
  313. that, when executed at root level, would grant him system privileges. He
  314. used the movemail facility to rename his script to masquerade as a utility
  315. periodically run by the system. When the script was executed by the system,
  316. he gained system-manager privileges. This intruder was impressively
  317. presistent and patient. For example, on one obscure gateway computer, he
  318. created an account with system privileges that remained untouched until six
  319. months later, when he began using it to enter other networked computers. On
  320. another occasion, he created several programs that gave him system-manager
  321. privileges and hid them in system software libraries. Returning almost a
  322. year later, he used the programs to become system manager, even though the
  323. original operating-system hole had been patched in the meantime. This
  324. intruder cracked encrypted passwords. The UNIX operating system stores
  325. passwords in publicly readable, but encrypted form [26]. We observed him
  326. downloading encrypted password files from compromised systems into his own
  327. computer. Within a week he reconnected to the same computer, logging into
  328. new accounts with correct passwords. The passwords he guessed were English
  329. words, common names, or place-names. We realized that he was decrypting
  330. password filed on his local computer by successively encrypting dictionary
  331. words and comparing the results to password file entries. By noting the
  332. length of time and the decrypted passwords, we could estimate the size of
  333. his dictionary and his computer's speed. The intruder understood what he
  334. was doing and thought that he was not damaging anything. This, alas, was
  335. not entirely true. Prior to being detected, he entered a computer used in
  336. the real-time control of a medical experiment. Had we not caught him in
  337. time, a patient might have been severely injured. Throughout this time the
  338. intruder tried not to destroy or change user data, although he did destroy
  339. several tasks and unknowingly caused the loss of data to a physics
  340. experiment. Whenever possible, he disabled accounting and audit trails, so
  341. there would be no trace of his presence. He planted Trojan horses to
  342. passively capture passwords and occasionally created new accounts to
  343. guarantee his access into computers. Apparently he thought detection less
  344. likely if he did not create new accounts, for he seemed to prefer stealing
  345. existing, unused accounts.
  346.  
  347. INTRUDER'S INTENTIONS
  348.  
  349. Was the intruder actually spying? With thousands of military computer
  350. attached, MILNET might seem inviting to spies. After all, espionage over
  351. networks can be cost-efficient, offer nearly immediate results, and target
  352. specific locations. Further, it would seem to be insulated from risks of
  353. internationally embarrassing incidents. Certainly Western countries are at
  354. much greater risk than nations without well-developed computer
  355. infrastructures. Some may argue that it is ludicrous to hunt for classified
  356. information over MILNET because there is none. Regulations [21] prohibit
  357. classified computers from access via MILNET, and any data stored in MILNET
  358. systems must be unclassified. On the other hand, since these computers are
  359. not regularly checked, it is possible that some classified information
  360. resides on them. At least some data stored in these computers can be
  361. considered sensitive, especially when aggregated. Printouts of this
  362. intruder's activities seem to confirm this. Despite his efforts, he
  363. uncovered little information not already in the public domain, but that
  364. included abstracts of U.S. Army plans for nuclear, biological, and chemical
  365. warfare for central Europe. These abstracts were not classified, nor was
  366. their database. The intruder was extraordinarily careful to watch for
  367. anyone watching him. He always checked who was logged onto a system, and if
  368. a system manager was on, he quickly disconnected. He regularly scanned
  369. electronic mail for any hints that he had been discovered, looking for
  370. mention of his activities or stolen log-in names (often, by scanning for
  371. those words). He often changed his connection pathways and used a variety
  372. of different network user identifiers. Although arrogant from his
  373. successes, he was nevertheless careful to cover his tracks. Judging by the
  374. intruder's habits and knowledge, he is an experienced programmer who
  375. understands system administration. But he is by no means a "brilliant
  376. wizard," as might be popularly imagined. We did not see him plant viruses
  377. [18] or modify kernel code, nor did he find all existing security
  378. weaknesses in our systeM. He tried, however, to exploit problems in the
  379. UNIX/usr/spool/at [36], as well as a hole in the vi editor. These problems
  380. had been patched at our site long before, but they still exist in many
  381. other installations. Did the intruder cause damage? To his credit, he tried
  382. not to erase files and killed only a few processes. If we only count
  383. measurable losses and time as damage, he was fairly benign [41]. He only
  384. wasted systems staff time, computing resources, and network connection
  385. time, and racked up long-distance telephone tolls and international network
  386. charges. His liability under California law [6], for the costs of the
  387. computing and network time, and of tracking him, is over $100,000. But this
  388. is a narrow view of the damage. If we include intangible losses, the harm
  389. he caused was serious and deliberate. At the least, he was trespassing,
  390. invading others' property and privacy; at worst, he was conducting
  391. espionage. He broke into dozens of computers, extracted confidential
  392. information, read personal mail, and modified system software. He risked
  393. injuring a medical patient and violated the trust of our network community.
  394. Money and time can be paid back. Once trust is broken, the open,
  395. cooperative character of our networks may be lost forever.
  396.  
  397. AFTERMATH: PICKING UP THE PIECES
  398.  
  399. Following successful traces, the FPI assured us teh intruder would not try
  400. to enter our system again. We began picking up the pieces and tightening
  401. our sytem. The only way to guarantee a clean system was to rebuild all
  402. systems from source code, change all passwords overnight, and recertify
  403. each user. With over a thousand users and dozens of computers, this was
  404. impractical, especially since we strive to supply our users with
  405. uninterrupted computing services. On the other hand, simply patching known
  406. holes or instituting a quick fix for stolen passwords [27] was not enough.
  407. We settled on instituting password expiration, deleting all expired
  408. accounts, eliminating shared accounts, continued monitoring of incoming
  409. traffic, setting alarms in certain places, and educating our users. Where
  410. necessary, system utilities were compared to fresh versions, and new
  411. utilities built. We changed network-access passwords and educated users
  412. about choosing nondictionary passwords. We did not institute random
  413. password assignment, having seen that users often store such passwords in
  414. command files or write them on their terminals. To further test the
  415. security of our system, we hired a summer student to probe it [2]. He
  416. discovered several elusive, site-specific security holes, as well as
  417. demonstrated more general problems, such as file scavenging. We would like
  418. to imagine that intruder problems have ended for us; sadly, they have not,
  419. forcing us to continue our watch.
  420.  
  421. REMAINING OPEN TO AN INTRUDER
  422.  
  423. Should we have remained open? A reasonable response to the detection of
  424. this attack might have been to disable the security hole and change all
  425. passwords. This would presumably have insulated us from the intruder and
  426. prevented him from using our computers to attack other internet sites. By
  427. remaining open, were we not a party to his attacks elsewhere, possibly
  428. incurring legal responsibility for damage? Had we closed up shop, we would
  429. not have risked embarrassment and could have resumed our usual activities.
  430. Closing up and keeping silent might have reduced adverse publicity, but
  431. would have done nothing to counter the serious problem of suspicious (and
  432. possibly malicious) offenders. Although many view the trace back and
  433. prosecution of intruders as a community service to network neighbors, this
  434. view is not universal [22]. Finally, had we closed up, how could we have
  435. been certain that we had eliminated the intruder? With hundreds of
  436. networked computers at LBL, it is nearly impossible to change all passwords
  437. on all computers. Perhaps he had planted subtle bugs or logic bombs in
  438. places we did not know about. Eliminating him from LBL would hardly have
  439. cut his access to MILNET. And, by disabling his access into our system, we
  440. would close our eyes to his activities; we could neither monitor him nor
  441. trace his connections in real-time. Tracing, catching, and prosecuting
  442. intruders are, unfortunately, necessary to discourage these vandals.
  443.  
  444. LEGAL RESPONSES
  445.  
  446. Several laws explicitly prohibit unauthorized entry into computers. Few
  447. states lack specific codes, but occasionally the crimes are to broadly
  448. defined to permit conviction [38]. Federal and California laws have tight
  449. criminal statutes covering such entries, even if no damage is done [47]. In
  450. addition, civil law permits recovery not only of damages, but also of the
  451. costs to trace the culprit [6]. In practice, we found police agencies
  452. relatively uninterested until monetary loss could be quantified and damages
  453. demonstrated. Although not a substitute for competent legal advice,
  454. spending several days in law libraries researching both the statutes and
  455. precedents set in case law proved helpful. Since this case was
  456. international in scope, it was necessary to work closely with
  457. law-enforcement organizations in California, the FBI in the United States,
  458. and the BKA in Germany. Cooperation between system managers, communications
  459. technicians, and network operators was excellent. It proved more difficult
  460. to get bureaucratic organizations to communicate with one another as
  461. effectively. With many organizational boundaries crossed, including state,
  462. national, commercial, university, and military, there was confusion as to
  463. responsibility: Most organizations recognized the seriousness of these
  464. break-ins, yet no one agency had clear responsibility to solve it. A common
  465. response was, "That's an interesting problem, but it's not our bailiwick."
  466. Overcomimng this bureaucratic indifference was a continual problem. Our
  467. laboratory notebook proved useful in motivating organizations: When
  468. individuals saw the extent of the break-ins, they were able to explain them
  469. to their colleagues and take action. In addition, new criminal laws were
  470. enacted that more tightly defined what constituted a prosecutable offense
  471. [6, 38, 47]. As these new laws took effect, the FBI became much more
  472. interested in this case, finding statutory grounds for prosecution. The FBI
  473. and BKA maintained active investigations. Some subjects have been
  474. apprehended, but as yet the author does not know the extent to which they
  475. have been prosecuted. With recent laws and more skilled personnel, we can
  476. expect faster and more effective responses from law-enforcement agencies.
  477.  
  478. ERRORS AND PROBLEMS
  479.  
  480. In retrospect, we can point to many errors we made before and during these
  481. intrusions. Like other academic organizations, we had given little thought
  482. to securing our system, believing that standard vendor provisions were
  483. sufficient because nobody would be interested in us. Our scientists'
  484. research is entirely in the public domain, and many felt that security
  485. measures would only hinder their productivity. With increased connectivity,
  486. we had not examined our networks for crosslinks where an intruder might
  487. hide. These problems were exacerbated on our UNIX systems, which are used
  488. almost exclusively for mail and text processing, rather than for heavy
  489. computation. Password security under Berkeley UNIX is not optimal; it lacks
  490. password aging, expiration, and exclusion of passwords found in
  491. dictionaries. Moreover, UNIX password integrity depends solely on
  492. encryption; the password file is publicly readable. Other operating systems
  493. protect the password file with encryption, access controls, and alarms. We
  494. had not paid much attention to choosing good passwords (fully 20 percent of
  495. our users' passwords fell to a dictionary-based password cracker). Indeed,
  496. we had allowed our Tymnet password to become public, foolishly believing
  497. that the system log-in password should be our only line of defense. Once we
  498. detected the intruder, the first few days were confused, since nobody knew
  499. what our response ought to be. Our accounting files were misleading since
  500. the system clocks had been allowed to drift several minutes. Although our
  501. LAN's connections had been saved, nobody knew the file format, and it was
  502. frustrating to find that its clock had drifted by several hours. In short,
  503. we were unprepared to trace our LAN and had to learn quickly. We did not
  504. know who to contact in the law-enforcement community. At first, assuming
  505. that the intruder was local, our district attorney obtained the necessary
  506. warrants. Later, as we learned that the intruder was out of state, we
  507. experienced frustration in getting federal law-enforcement support.
  508. Finally, after tracing the intruder abroad, we encountered a whole new set
  509. of ill-defined interfaces between organizations. The investigation
  510. stretched out far beyond our expectations. Naively expecting the problem to
  511. be solved by a series of phone traces, we were disappointed when the
  512. pathway proved to be a tangle of digital and analog connections. Without
  513. funding to carry out an investigation of this length, we were constantly
  514. tempted to drop it entirely. A number of minor problems bubbled up, which
  515. we were able to handle along the way. For a while this intruder's activity
  516. appeared similar to that of someone breaking into Stanford University; this
  517. confused our investigation for a short time. Keeping our work out of the
  518. news was difficult, especially because our staff is active in the computing
  519. world. Fortunately, it was possible to recover from the few leaks that
  520. occurred. At first, we were confused by not realizing the depth or extent
  521. of the penetrations. Our initial confusion gave way to an organized
  522. response as we made the proper contacts and began tracing the intruder. As
  523. pointed out by others [25, 36], advance preparations make all the
  524. difference.
  525.  
  526. LESSONS
  527.  
  528. As a case study, this investigation demonstrates several well-known points
  529. that lead to some knotty questions. Throughout this we are reminded that
  530. security is a human problem that cannot be solved by technical solutions
  531. alone [48]. The almost obsessive persistence of serious penetrators is
  532. astonishing. Once networked, our computers can be accessed via a tangle of
  533. connections from places we had never thought of. An intruder, limited only
  534. by patience, can attack from a variety of directions, searching for the
  535. weakest entry point. How can we analyze our systems' vulnerability in this
  536. environment? Who is responsible for network security? The network builder?
  537. The managers of the end nodes? The network users? The security weaknesses
  538. of both systems and networks, particularly the needless vulnerability due
  539. to sloppy systems management and administration, result in a surprising
  540. success rate for unsophisticated attacks. How are we to educate our users,
  541. system managers, and administrators? Social, ethical, and legal problems
  542. abound. How do we measure the harm done by these penetrators? By files
  543. deleted or by time wasted? By information copied? If no files are
  544. corrupted, but information is copied, what damage has been done? What
  545. constitutes unreasonable behavior on a network? Attempting to illicitly log
  546. in to a foreign computer? Inquiring who is currently logged in there?
  547. Exporting a file mistakenly made world readable? Exploiting an unpatched
  548. hole in another's system? Closing out an intruder upon discovery may be a
  549. premature reflex. Determining the extent of the damage and cooperating with
  550. investigations argue for leaving the system open. How do we balance the
  551. possible benefits of tracking an intruder against the risks of damage or
  552. embarrassment? Our technique of catching an intruder by providing bait and
  553. then watching what got nibbled is little more than catching flies with
  554. honey. It can be easily extended to determine intruders' interests by
  555. presenting them with a variety of possible subjects (games, financial data,
  556. academic gossip, military news). Setting up alarmed files is
  557. straightforward, so this mechanism offers a method to both detect and
  558. classify intruders. It should not be used indiscriminately, however. Files
  559. with plaintext passwords are common in remote job entry computers, yet
  560. these systems often are not protected since they have little computational
  561. capability. Such systems are usually widely networked, allowing entry from
  562. many sources. These computers are fertile grounds for password theft
  563. through file scavenging since the passwords are left in easily read command
  564. procedures. These files also contain instructions to make the network
  565. connection. Random character passwords make this problem worse, since users
  566. not wishing to memorize them are more likely to write such passwords into
  567. files. How can we make secure remote procedure calls and remote batch job
  568. submissions? Passwords are at the heart of computer security. Requirements
  569. for a quality password are few: Passwords must be nonguessable, not in a
  570. dictionary, changed every few months, and easily remembered. User-generated
  571. passwords usually fail to meet the first three criteria, and
  572. machine-generated passwords fail the last. Several compromises exist:
  573. forcing "pass phrases" or any password that contains a special character.
  574. There are many other possibilities, but none are implemented widely. The
  575. Department of Defense recommends pronounceable machine-generated words or
  576. pass phrases [5]. Despite such obvious rules, we (and the intruder) found
  577. that poor-quality passwords pervaded our networked communities. How can we
  578. make users choose good passwords? Should we? Vendors usually distribute
  579. weakly protected systems software, relying on the installer to enable
  580. protections and disable default accounts. Installers often do not care, and
  581. system managers inherit these weak systems. Today, the majority of computer
  582. users are naive; they install systems the way the manufacturer suggests or
  583. simply unpackage systems without checking. Vendors distribute systems with
  584. default accounts and backdoor entryways left over from software
  585. development. Since many customers buy computers based on capability rather
  586. than security, vendors seldom distribute secure software. It is easy to
  587. write procedures that warn of obvious insecurities, yet vendors are not
  588. supplying them. Capable, aware system managers with plenty of time do not
  589. need these tools--the tools are for novices who are likely to overlook
  590. obvious holes. When vendors do not see security as a selling point, how can
  591. we encourage them to distribute more secure systems? Patches to
  592. operating-system security holes are poorly publicized and spottily
  593. distributed. This seems to be due to the paranoia surrounding these
  594. discoveries, the thousands of systems without systems administrators, and
  595. the lack of channels to spread the news. Also, many security problems are
  596. specific to a single version of an operating system or require systems
  597. experience to understand. Together, these promote ignorance of problems,
  598. threats, and solutions. We need a central clearinghouse to receive reports
  599. of problems, analyze their importance, and disseminate trustworthy
  600. solutions. How can we inform people wearing white hats about security
  601. problems, while preventing evil people from learning or exploiting these
  602. holes? Perhaps zero-knowledge proofs [20] can play a part in this.
  603. Operating systems can record unsuccessful log ins. Of the hundreds of
  604. attempted log ins into computers attached to internet, only five sites (or
  605. 1-2 percent) contacted us when they detected an attempted break-in.
  606. Clearly, system managers are not watching for intruders, who might appear
  607. as neighbors, trying to sneak into their computers. Our networks are like
  608. communities or neighborhoods, and so we are surprised when we find
  609. unneighborly behavior. Does security interfere with operational demands?
  610. Some security measures, like random passwords or strict isolation, are
  611. indeed onerous and can be self-defeating. But many measures neither
  612. interfere with legitimate users nor reduce the system's capabilities. For
  613. example, expiring unused accounts hurts no one and is likely to free up
  614. disk space. Well thought out management techniques and effective security
  615. measures do not bother ordinary users, yet they shut out or detect
  616. intruders.
  617.  
  618. INTERNET SECURITY
  619.  
  620. The intruder's successes and failures provide a reasonable snapshot of
  621. overall security in the more than 20,000 computers connected to Internet. A
  622. more detailed analysis of these attacks is to be published in the
  623. Proceedings of the 11th National Computer Security Conference [43]. Of the
  624. 450 attacked computers, half were unavailable when the intruder tried to
  625. connect to them. He tried to log into the 220 available computers with
  626. obvious account names and trivial passwords. Of these 220 attempted log
  627. ins, listed in increasing importance, * 5 percent were refused by a distant
  628. computer (set to reject LBL connects), * 82 percent failed on incorrect
  629. user name/passwords, * 8 percent gave information about the system status
  630. (who, sysstat, etc.), * 1 percent achieved limited access to databases or
  631. electronic-mail shells, * 2 percent yielded normal user privileges and a
  632. programming environment, and * 2 percent reached system-manager privileges.
  633. Most attempts were into MILNET computers (Defense Data Network address
  634. groups 26.i.j.k). Assuming the population is representative of nonmilitary
  635. computers and the last three categories represent successful penetrations,
  636. we find that about 5 percent of Internet computers are grossly insecure
  637. against trivial attacks. This figure is only a lower limit of
  638. vulnerability, since military computers may be expected to be more secure
  639. than civilian systems. Further, cleverer tactics for entering computers
  640. could well lead to many more break-ins. Whereas the commercial sector is
  641. more concerned with data integrity, the military worries about control of
  642. disclosure [8]. With this in mind, we expect greater success for the
  643. browser or data thief in the commercial world. In a different set of
  644. penetrations [37], NASA experienced about 130 break-ins into its
  645. nonclassified, academic computers on the SPAN networks. Both the NASA
  646. break-in and our set of intrusions originated in West Germany, using
  647. similar communications links and searching for "secret" information.
  648. Pending completion of law enforcement and prosecution, the author does not
  649. make conjectures as to the relationships between these different break-ins.
  650. Between 700 and 3000 computers are reachable on the SPAN network (exact
  651. figures depend on whether LANs are counted). In that incident the break-in
  652. success rate was between 4 and 20 percent. Considering the SPAN break-ins
  653. with the present study, we find that, depending on the methods chosen,
  654. break-in success rates of 3-20 percent may be expected in typical network
  655. environments.
  656.  
  657. CONCLUSIONS AND COMMENTS
  658.  
  659. Perhaps no computer or network can be totally secure. This study suggests
  660. that any operating system will be insecure when obvious security rules are
  661. ignored. From the intruder's widespread success, it appears that users,
  662. managers, and vendors routinely fail to use sound security practices. These
  663. problems are not limited to our site or the few dozen systems that we saw
  664. penetrated, but are networkwide. Lax system management makes patching
  665. utility software or tightening a few systems ineffective. We found this
  666. intruder to be a competent, patient programmer, experienced in several
  667. operating systems. Alas, some system managers violate their positions of
  668. trust and confidence. Our worldwide community of digital networks requires
  669. a sense of responsibility. Unfortunately, this is missing in some
  670. technically competent people. Some speak of a "hacker ethic" of not
  671. changing data [37]. It is astounding that intruders blithely tamper with
  672. someone else's operating system, never thinking they may destroy months of
  673. work by systems people, or may cause unforeseen system instabilities or
  674. crashes. Sadly, few realize the delicacy of the systems they fool with or
  675. the amount of systems staff time they waste. The foreign origin of the
  676. source, the military computers entered, and the keywords searched suggest
  677. international espionage. This author does not speculate as to whether this
  678. actually was espionage, but does not doubt that someone took the
  679. opportunity to try. Break-ins from abroad seem to be increasing. Probably
  680. this individual's intrusions are different from others only in that his
  681. efforts were noticed, monitored, and documented. LBL has detected other
  682. attempted intrusions from several European countries, as well as from the
  683. Orient. Individuals in Germany [37] have claimed responsibility for
  684. breaking into foreign computers. Such braggadocio may impress an
  685. unenlightened public; it has a different effect on administrators trying to
  686. maintain and expand networks. Indeed, funding agencies have already
  687. eliminated some international links due to these concerns. Break-ins
  688. ultimately destroy the network connectivity they exploit. If this is the
  689. object of such groups as the German Chaos Club, Data Travellers, Network
  690. Rangers, or various contributors to 2600 Magazine, it reflects the
  691. self-destructive folly of their apparent cleverness. Tracking down
  692. espionage attempts over the digital networks may be the most dramatic
  693. aspect of this work. But it is more useful to realize that analytic
  694. research methods can be fruitfully applied to problems as bizarre as
  695. computer break-ins. It seems that everyone wants to hear stories about
  696. someone else's troubles, but few are willing to write about their own. We
  697. hope that in publishing this report we will encourage sound administrative
  698. practices. Vandals and other criminals reading this article will find a way
  699. to rationalize breaking into computers. This article cannot teach these
  700. people ethics; we can only hope to reach those who are unaware of these
  701. miscreants. An enterprising programmer can enter many computers, just as a
  702. capable burglar can break into many homes. It is an understandable response
  703. to lock the door, sever connections, and put up elaborate barriers. Perhaps
  704. this is necessary, but it saddens the author, who would rather see future
  705. networks and computer communities built on honesty and trust.
  706.