home *** CD-ROM | disk | FTP | other *** search
/ Power Hacker 2003 / Power_Hacker_2003.iso / E-zine / Magazines / crypto-gram / crypto-gram-0105.txt < prev    next >
Encoding:
Text File  |  2002-05-27  |  45.4 KB  |  921 lines
  1.                   CRYPTO-GRAM
  2.  
  3.                   May 15, 2001
  4.  
  5.                by Bruce Schneier
  6.                 Founder and CTO
  7.        Counterpane Internet Security, Inc.
  8.             schneier@counterpane.com
  9.           <http://www.counterpane.com>
  10.  
  11.  
  12. A free monthly newsletter providing summaries, analyses, insights, and 
  13. commentaries on computer security and cryptography.
  14.  
  15. Back issues are available at 
  16. <http://www.counterpane.com/crypto-gram.html>.  To subscribe or 
  17. unsubscribe, see below.
  18.  
  19.  
  20. Copyright (c) 2001 by Counterpane Internet Security, Inc.
  21.  
  22.  
  23. ** *** ***** ******* *********** *************
  24.  
  25. In this issue:
  26.       Defense Options: What Military History Can Teach
  27.         Network Security, Part 2
  28.       Crypto-Gram Reprints
  29.       The Futility of Digital Copy Prevention
  30.       News
  31.       Microsoft and the Window of Vulnerability
  32.       Counterpane Internet Security News
  33.       Security Standards
  34.       Safe Personal Computing
  35.       Comments from Readers
  36.  
  37.  
  38. ** *** ***** ******* *********** *************
  39.  
  40.      Defense Options: What Military History
  41.        Can Teach Network Security, Part 2
  42.  
  43.  
  44.  
  45. In Part I of this series, I examined the natural advantages of defense in 
  46. military history.  I concluded that two advantages -- the ability to shift 
  47. forces and knowledge of the terrain -- are underutilized in network 
  48. security.  I concluded that network security based on hidden attack sensors 
  49. and rapid response would be far more effective than firewalls, IDSs, and 
  50. whatever the new new thing next new thing is.
  51.  
  52. In Part II, I want to look even more broadly at the military's notion of 
  53. defense.  In war, there are three, and only three, types of defense: 
  54. passive defense, active defense, and counterattack.
  55.  
  56. Passive defenses involve making yourself harder to attack.  Against an air 
  57. assault, for example, this could mean building bunkers or hiding in caves, 
  58. dispersing your forces, or covering yourself in camouflage.  All of these 
  59. defenses have the same goal: reducing the effectiveness of the enemy's 
  60. bombs.  The important thing to note is that while passive defenses make 
  61. attacks less effective, they do nothing to the attackers themselves.
  62.  
  63. Active defenses are designed to take out the attacker.  Returning to the 
  64. incoming aircraft example, an active attack could be anti-aircraft fire 
  65. that shoots down the attacking aircraft in flight.  This is harder than 
  66. passive defense, but can be much more effective.
  67.  
  68. Counterattack means turning the tables and attacking the attacker.  Against 
  69. the air assault, it could involve attacking airfields, fuel depots, and 
  70. ammunition storage facilities.  Note that the line between defense and 
  71. offense can blur, as some counterattack targets are less clearly associated 
  72. with a specific attack on a specific target and more geared toward denying 
  73. the attacker the ability to wage war in general.
  74.  
  75. Warfare has taught us again and again that active defenses and 
  76. counterattacks are far more effective than passive defenses.  Look at the 
  77. Battle of Gettysburg in the American Civil War.  Look at the Battle of the 
  78. Bulge in World War II.  Look at Leyte, Agincourt, and almost any piece of 
  79. military history.  Even in the animal kingdom, teeth and claws are a better 
  80. defense than a hard shell or fast legs.
  81.  
  82. On the Internet, most people think of computer security in terms of passive 
  83. defenses only.  They believe that if they could only make their systems 
  84. "hard" enough, they'd be safe.  Security vendors reinforce this view, 
  85. providing ever more intricate protection mechanisms for computers and 
  86. networks.  Even the work I've done, pointing out the limitations of 
  87. prevention and extolling the virtues of detection and response, are still 
  88. centered around passive defense.  Part I of this essay was similarly 
  89. limited: the ability to shift forces and knowledge of the terrain are both 
  90. primarily associated with passive defense.
  91.  
  92. If we're ever going to win the war against computer crime, we're going to 
  93. have to increasingly think more in terms of active defenses, and even 
  94. counterattacks.
  95.  
  96. We've started to see some of this already.  Intrusion detection systems and 
  97. honeypots provide alarms that can alert defenders of an attack in 
  98. progress.  Managed Security Monitoring services can filter these alarms and 
  99. provide expert response when a network is under attack.  Vigilant, 
  100. adaptive, relentless, expert intelligent network defense is far more 
  101. effective than static security products.  I said all of this in Part I of 
  102. this essay.
  103.  
  104. But alarm systems, no matter how effective, are still primarily 
  105. passive.  They allow a defender to better survive an attack in progress, 
  106. but they don't put the attacker in danger.  Right now, the only 
  107. counterattack we have is prosecution.  Putting criminals in jail is the 
  108. best deterrent we have, and I am happy to see more of it.  But prosecution 
  109. can only happen after the fact.
  110.  
  111. One can imagine active defenses and counterattacks, but they are mostly in 
  112. the realm of science fiction.  What if, when an attacker broke into a 
  113. network, his attack program were disabled?  What if he could be sent a 
  114. virus that destroys his computer?  Or, at least, what if some third party 
  115. collected an evidentiary chain that could prove his guilt in court?
  116.  
  117. There are non-technical considerations as well.  In most countries, active 
  118. defenses can be illegal.  Private citizens can't mine their backyards or 
  119. booby-trap their front doors.  In many countries, it is illegal for them to 
  120. shoot a burglar breaking into their house.  Active defenses are reserved 
  121. for wartime, where there are no rules, or for the police, who have a 
  122. state-sponsored monopoly on violence.
  123.  
  124. I worry about the vigilante-style cyber-justice that could arise from this 
  125. kind of defense, but it is certainly something we should be thinking 
  126. about.  And it is definitely something that we should be researching.
  127.  
  128. Passive defense is far from useless, but is not the only form of defense we 
  129. can use.  In many cases, simple active defenses such as monitoring are both 
  130. more effective and more cost effective than adding more passive 
  131. defenses.  "Fortress computer center" was a good model when every company 
  132. had its own unconnected networks.  In today's world, where every network 
  133. must be connected to the global network, it doesn't work as well.  If we 
  134. are ever going to win the war against computer crime, we are going to have 
  135. to emerge from our protective bunkers and actively engage the attacker.
  136.  
  137.  
  138. ** *** ***** ******* *********** *************
  139.  
  140.             Crypto-Gram Reprints
  141.  
  142.  
  143.  
  144. Computer Security: Will we Ever Learn?
  145. <http://www.counterpane.com/crypto-gram-0005.html#ComputerSecurityWillWeEver 
  146. Learn>
  147.  
  148. Trusted Client Software
  149. <http://www.counterpane.com/crypto-gram-0005.html#TrustedClientSoftware>
  150.  
  151. The IL*VEYOU Virus (Title bowdlerized to foil automatic e-mail traps.)
  152. <http://www.counterpane.com/crypto-gram-0005.html#ilyvirus>
  153.  
  154. The Internationalization of Cryptography
  155. <http://www.counterpane.com/crypto-gram-9905.html#international>
  156.  
  157. The British discovery of public-key cryptography
  158. <http://www.counterpane.com/crypto-gram-9805.html#nonsecret>
  159.  
  160.  
  161. ** *** ***** ******* *********** *************
  162.  
  163.     The Futility of Digital Copy Prevention
  164.  
  165.  
  166.  
  167. Music, videos, books on the Internet!  Freely available to anyone without 
  168. paying!  The entertainment industry sees services like Napster as the death 
  169. of its business, and it's using every technical and legal means possible to 
  170. prevail against them.  They want to implement widespread copy prevention of 
  171. digital files, so that people can view or listen to content on their 
  172. computer but can't copy or distribute it.
  173.  
  174. Abstractly, it is an impossible task.  All entertainment media on the 
  175. Internet (like everything else on the Internet) is just bits: ones and 
  176. zeros.  Bits are inherently copyable, easily and repeatedly.  If you have a 
  177. digital file -- text, music, video, or whatever -- you can make as many 
  178. copies of that file as you want, do whatever you want with the 
  179. copies.  This is a natural law of the digital world, and makes copying on 
  180. the Internet different from copying Rolex watches or Louis Vuitton luggage.
  181.  
  182. What the entertainment industry is trying to do is to use technology to 
  183. contradict that natural law.  They want a practical way to make copying 
  184. hard enough to save their existing business.  But they are doomed to fail.
  185.  
  186. For these purposes, three kinds of people inhabit the Internet: average 
  187. users, hackers, and professional pirates.  Any security measure will work 
  188. against the average users, who are at the mercy of their software.  Hackers 
  189. are more difficult to deter.  Fifteen years of software copy protection has 
  190. taught us that, with enough motivation, any copy protection scheme -- even 
  191. those based on hardware -- can be broken.  The professional pirate is even 
  192. harder to deter; this is someone willing to spend considerable money 
  193. breaking copy protection, cloning manuals and anti-counterfeiting tags, 
  194. even building production plants to mass-produce pirated products.  If he 
  195. can make a profit selling the hacked software or stolen music, he will 
  196. defeat the copy protection.
  197.  
  198. The entertainment industry knows all of this, and tries to build solutions 
  199. that work against average users and most hackers.  This fails because of a 
  200. second natural law of the digital world: the ability of software to 
  201. encapsulate skill.  A safe that can keep out 99.9% of all burglars works, 
  202. because the safe will rarely encounter a burglar with enough skill.  But a 
  203. copy protection scheme with similar characteristics will not, because that 
  204. one-in-a-thousand hacker can encode his break into software and then 
  205. distribute it.  Then anyone, even an average user, can download the 
  206. software and use it to defeat the copy protection scheme.  This is what 
  207. happened to the DVD industry's Content Scrambling System (CSS).  This is 
  208. how computer games with defeated copy protection get distributed.
  209.  
  210. The entertainment industry is responding in two ways.  First, it is trying 
  211. to control the users' computers.  CSS is an encryption scheme, and protects 
  212. DVDs by encrypting their contents.  Breaks do not have to target the 
  213. encryption.  Since the software DVD player must decrypt the video stream in 
  214. order to display it, the break attacked the video stream after 
  215. decryption.  This is the Achilles' heel of all content protection schemes 
  216. based on encryption: the display device must contain the decryption key in 
  217. order to work.
  218.  
  219. The solution is to push the decryption out of the computer and into the 
  220. video monitor and speakers.  To see how this idea helps, think of a 
  221. dedicated entertainment console: a VCR, a Sega game machine, a CD 
  222. player.  The user cannot run software on his CD player.  Hence, a copy 
  223. protection scheme built into the CD player is a lot harder to break.  The 
  224. entertainment industry is trying to turn your computer into an Internet 
  225. Entertainment Console, where they, not you, have control over your hardware 
  226. and software.  The recently announced Copy Protection for Recordable Media 
  227. has this as an end goal.  Unfortunately, this only makes breaking the 
  228. scheme harder, not impossible.
  229.  
  230. The industry's second response is to enlist the legal system.  Legislation, 
  231. such as the Digital Millennium Copyright Act (DMCA), made it illegal to 
  232. reverse-engineer copy protection schemes.  Programs such as the one that 
  233. broke CSS are illegal to write or distribute under the DMCA.  This is 
  234. failing because of a third natural law of the digital world: the lack of 
  235. political boundaries.  The DMCA is a U.S. law, and does not affect any of 
  236. the hundreds of other countries on the Internet.  And while similar laws 
  237. could be passed in many countries, they would never have the global 
  238. coverage it needs to be successful.
  239.  
  240. More legal maneuvering is in the works.  The entertainment industry is now 
  241. trying to pin liability on Internet service providers.  The next logical 
  242. step is to require all digital content to be registered, and to make 
  243. recording and playback equipment without embedded copy protection 
  244. illegal.  All in an attempt to do the impossible: to make digital content 
  245. uncopyable.
  246.  
  247. The end result will be failure.  All digital copy protection schemes can be 
  248. broken, and once they are, the breaks will be distributed...law or no 
  249. law.  Average users will be able to download these tools from Web sites 
  250. that the laws have no jurisdiction over.  Pirated digital content will be 
  251. generally available on the Web.  Everyone will have access.
  252.  
  253. The industry's only solution is to accept the inevitable.  Unrestricted 
  254. distribution is a natural law of digital content, and those who figure out 
  255. how to leverage that natural law will make money.  There are many ways to 
  256. make money other than charging for a scarce commodity.  Radio and 
  257. television are advertiser funded; there is no attempt to charge people for 
  258. each program they watch.  The BBC is funded by taxation.  Many art projects 
  259. are publicly funded, or funded by patronage.  Stock data is free, but costs 
  260. money if you want it immediately.  Open source software is given away, but 
  261. users pay for manuals and tech support: charging for the relationship.  The 
  262. Grateful Dead became a top-grossing band by allowing people to tape their 
  263. concerts and give away recordings; they charged for performances.  There 
  264. are models based on subscription, government licensing, marketing tie-ins, 
  265. and product placement.
  266.  
  267. Digital files cannot be made uncopyable, any more than water can be made 
  268. not wet.  The entertainment industry's two-pronged offensive will have 
  269. far-reaching effects -- its enlistment of the legal system erodes fair use 
  270. and necessitates increased surveillance, and its attempt to turn computers 
  271. into an Internet Entertainment Platform destroys the very thing that makes 
  272. computers so useful -- but will fail in its intent.  The Internet is not 
  273. the death of copyright, any more than radio and television were.  It's just 
  274. different.  We need business models that respect the natural laws of the 
  275. digital world instead of fighting them.
  276.  
  277. Similar sentiment about the death of the PC:
  278. <http://www.theregister.co.uk/content/2/17419.html>
  279.  
  280.  
  281. ** *** ***** ******* *********** *************
  282.  
  283.                      News
  284.  
  285.  
  286.  
  287. "Nihil tam munitum quod non expugnari pecuna possit."  So said Marcus 
  288. Tullius Cicero, a Roman poet, statesman, philosopher and writer who is 
  289. supposed to have lived 106-43 B.C.  Translation:  "No place is so strongly 
  290. fortified that money could not capture it."  (I know this is not news, but 
  291. it's interesting.)
  292.  
  293. A bug in commercial PGP that allows an attacker to drop files to your disk 
  294. that may then get executed (thanks to Windows .dll loading from current 
  295. working directories).
  296. <http://www.atstake.com/research/advisories/2001/index.html#040901-1>
  297.  
  298. An excellent article on the dangers of UCITA:
  299. <http://www.itworld.com/Comp/2362/LWD010411vontrol2/index.html>
  300.  
  301. There is a security flaw in Alcatel DSL modems:
  302. <http://www.pcworld.com/news/article/0,aid,47004,00.asp>
  303. <http://www.zdnet.com/zdnn/stories/news/0,4586,5080984,00.html>
  304. Normally, I wouldn't even bother with this story.  But Alcatel posted a MS 
  305. Word file on their Web site about the problem and fix (which they've since 
  306. removed).  Unfortunately, the file saved deleted changes.  The draft 
  307. document is far more interesting than the real one.  See some of the 
  308. deleted comments here:
  309. <http://morons.org/articles/1/188>
  310.  
  311. Microsoft responded to my article on the fake certificates in the previous 
  312. Crypto-Gram:
  313. <http://www.microsoft.com/technet/security/verisign.asp>
  314. Greg Guerin has rebutted Microsoft's claims better than I could:
  315. <http://amug.org/~glguerin/opinion/revocation.html>
  316. It turns out that the truth is way more complicated, but no more secure, 
  317. than I had originally thought.
  318.  
  319. Remember the Egghead.com break last December?  Here the CEO discusses what 
  320. he would and wouldn't do differently if faced with the situation again:
  321. <http://www.retailtech.com/content/coverstories/apr01.shtml>
  322.  
  323. Anti-sniffing password management software.  I'm not convinced this will 
  324. work, but at least people are thinking about the problem.  Shareware.
  325. <http://32-bitfreeware.virtualave.net/AntiSnoop.zip>
  326.  
  327. _Body of Secrets_ by James Bamford.  This is his second book about the NSA, 
  328. and it's really good.  I did a review for Salon:
  329. <http://www.salon.com/books/review/2001/04/25/nsa/index.html>
  330. Here's another review from The New York Times:
  331. <http://www.nytimes.com/books/01/04/29/reviews/010429.29findert.html>
  332.  
  333. CERT is charging companies to get early warnings about threats and 
  334. vulnerabilities.  On the one hand, it's nice to see a little free 
  335. enterprise here.  On the other hand, isn't CERT government-funded?  But 
  336. CERT advisories often appear long after other newsgroups report on 
  337. vulnerabilities, so I don't know how valuable this service really is.
  338. <http://www.msnbc.com/news/561513.asp>
  339. <http://news.excite.com/news/ap/010419/20/computer-security>
  340. <http://news.cnet.com/news/0-1003-200-5665677.html>
  341. <http://www.theregister.co.uk/content/8/18493.html>
  342.  
  343. Giga has released a report on the Managed Security Services space.  It says 
  344. nice things about Counterpane, but that's almost beside the point.  There 
  345. has been a lot of confusion in the security services space, and the author 
  346. nicely segments the businesses into six categories.  He does a good job 
  347. explaining what the different managed security services are, and which 
  348. companies offer what services.
  349. <http://www.counterpane.com/giga3.pdf>
  350.  
  351. It's hard to take this particular story seriously, but I have long 
  352. predicted that insurance companies will start differentiating premiums 
  353. based on what kind of networking hardware and software you use:
  354. <http://www.theregister.co.uk/content/8/18324.html>
  355.  
  356. Impressive investigative work by the FBI.  This is the kind of thing I like 
  357. to see the FBI doing, rather than mucking about with surveillance tools 
  358. like Carnivore.
  359. <http://news.cnet.com/news/0-1007-200-5699762.html?tag=tp_pr>
  360. <http://www.cnn.com/2001/TECH/internet/05/10/fbi.hackers.ap/index.html>
  361. Some disagree with me:
  362. <http://www.zdnet.com/enterprise/stories/main/0,10228,5082126,00.html>
  363.  
  364. Years ago, ftp was how you shared files between computers.  There are still 
  365. vulnerabilities associated with this service/
  366. <http://securityportal.com/closet/closet20010418.html>
  367.  
  368. A major legal battle is looming, as the RIAA tries to suppress Princeton 
  369. security research into its digital watermarks, citing secrecy provisions of 
  370. the DMCA:
  371. <http://www.zdnet.com/zdnn/stories/news/0,4586,5081595,00.html>
  372. A preliminary version of the actual paper, and assorted correspondence:
  373. <http://cryptome.org/sdmi-attack.htm>
  374. The site reported over 50,000 visits to the paper within 24 hours of its 
  375. posting.
  376. The RIAA changes its tune:
  377. <http://riaa.com/PR_story.cfm?id=407>
  378.  
  379. Don't forget mundane security risks.  The British Ministry of Defense has 
  380. lost 205 laptops in the past four years.
  381. <http://www.wired.com/news/politics/0,1283,43088,00.html>
  382.  
  383. An e-mail was recently sent to Amazon associates, inviting them to visit a 
  384. non-Amazon Web site and complete a questionnaire.  The e-mail purported to 
  385. come from associates@amazon.com, but was actually sent from an entirely 
  386. different domain <jami@interpoll.net>.  When I asked Amazon whether they 
  387. were being spoofed, they told me the survey was legitimate.  Are they 
  388. trying to train their customers to respond to unverified impersonations?
  389.  
  390. Argus boasted that their secure operating system couldn't be hacked, and 
  391. sponsored a $50K contest.  It was hacked.  The story of how it happened has 
  392. a moral for everyone: security is only as strong as the weakest link, and 
  393. if you're not monitoring your security in real time you need to constantly 
  394. make sure all the links are strong.
  395. <http://www.zdnet.com/enterprise/stories/main/0,10228,2713689,00.html>
  396. Someone else plans on a $1M hacking contest.
  397. <http://www.theregister.co.uk/content/8/18644.html>
  398.  
  399. Gene Spafford makes much the same points I do about the future of computer 
  400. security: it's going to get worse, not better.
  401. <http://www.cerias.purdue.edu/homes/spaf/ncssa.html>
  402.  
  403. There have been zillions of articles on this "May Day 
  404. Cyberwar."  Supposedly, the Chinese are attacking the U.S. in retaliation 
  405. for our lousy foreign relations policies.
  406. <http://www.zdnet.com/enterprise/stories/main/0,10228,2714179,00.html>
  407. I believe this is nothing but hacker fantasy and media hype.  I don't see 
  408. hackers with political motivations taking up arms; I see hackers with no 
  409. motivations donning a cloak of politics to justify their actions.  I also 
  410. see the media turning this into a much bigger deal than reality.
  411. <http://www.msnbc.com/news/568036.asp?cp1=1>
  412. <http://www.thestandard.com/article/0,1902,24202,00.html>
  413. <http://www.wired.com/news/politics/0,1283,43520,00.html>
  414.  
  415. People are the weakest link in security:
  416. <http://news.cnet.com/news/0-1003-200-5798589.html?tag=mn_hd>
  417.  
  418. U.S. "national security" surveillance is on the rise:
  419. <http://www.securityfocus.com/news/201>
  420.  
  421. Cyber-thriller screenplay:
  422. <http://www.theatlantic.com/issues/2001/05/frazier.htm>
  423.  
  424. Comments on NIST's AES FIPS are due by May 29th.  This isn't the time to 
  425. suggest alternate algorithms, but it is time to comment on the details of 
  426. the standard.
  427. <http://csrc.nist.gov/encryption/aes/>
  428.  
  429. The Dutch government is forcing trusted third parties to use key escrow.
  430. <http://www.telepolis.de/english/inhalt/te/7571/1.html>
  431.  
  432. Another semantic attack.  A fake BBC Web page was circulating (without the 
  433. caveat at the top), and the British newspapers fell for it.
  434. <http://europe.thestandard.com/article/display/0,1151,16490,00.html>
  435. The fake Web page (with a disclaimer on the top):
  436. <http://news.bbc.co.uk!articles@3276960428/hi/english/uk/newsid/123456.htm>
  437.  
  438.  
  439. ** *** ***** ******* *********** *************
  440.  
  441.        Microsoft and the Window of Vulnerability
  442.  
  443.  
  444.  
  445. In many of my speeches, I talk about a "Window of Vulnerability."  When a 
  446. security vulnerability exists in a product and no one knows about it, there 
  447. is very little danger.  But this state of security is fragile.  As soon as 
  448. someone discovers the vulnerability, the danger increases.  If we're lucky, 
  449. the discoverer is a good guy who does not exploit the vulnerability for 
  450. personal gain.  Eventually word of the vulnerability gets out, and the 
  451. danger increases.
  452.  
  453. This sounds just like the real world, but cyberspace has a crucial 
  454. difference.  If I knew how to break into a certain kind of ATM, or hot-wire 
  455. a certain make of car, or pick a certain model of lock, I could teach 
  456. someone.  The person I taught would then know how, and he could teach 
  457. others.  But it's a skill, and skills take time to teach.  Cyberspace is 
  458. different because skill can be encapsulated into software.  If I knew how 
  459. to break into Microsoft's IIS 5.0, I could turn my knowledge into an 
  460. exploit and distribute it on the net.  Then, hundreds of thousands of 
  461. "script kiddies" -- with no skill whatsoever -- could use my exploit to 
  462. break into IIS 5.0.  The propagation characteristics of virtual 
  463. vulnerabilities are very different than physical vulnerabilities.
  464.  
  465. We're seeing this happen right now with an IIS 5.0 vulnerability.  It was 
  466. discovered by a company called eEye Digital Security, which was nice enough 
  467. to warn Microsoft and give them time to create a patch.  Then, Microsoft 
  468. and eEye announced both the vulnerability and the availability of a 
  469. patch.  A few days later, someone wrote an exploit.  As the exploit made 
  470. its way through the hacker community, and continues to do so, more and more 
  471. IIS installations are being broken into.
  472.  
  473. The press regularly writes the story like this.  First, vulnerability 
  474. discovered and we're all in danger.  Then, vulnerability patched and we're 
  475. all safe again.  What they forget is that patches don't work unless they're 
  476. installed.  And more and more often, people don't install patches.  I 
  477. predict that years from now, Web sites will still be broken into because of 
  478. this vulnerability.
  479.  
  480. So here's the million-dollar question:  Is eEye Digital Security part of 
  481. the solution, or is it part of the problem?  eEye's own legal disclaimer 
  482. implies that even they're not sure: "In no event shall the author be liable 
  483. for any damages whatsoever arising out of or in connection with the use or 
  484. spread of this information."
  485.  
  486. Microsoft IIS vulnerability:
  487. <http://www.msnbc.com/news/567192.asp>
  488. <http://www.cert.org/advisories/CA-2001-10.html>
  489. eEye Digital Security's announcement:
  490. <http://www.eeye.com/html/Research/Advisories/AD20010501.html>
  491. Microsoft security advisory and patch information:
  492. <http://www.microsoft.com/technet/security/bulletin/MS01-023.asp>
  493. Exploit published:
  494. <http://www.theregister.co.uk/content/4/18734.html>
  495. <http://www.msnbc.com/news/568503.asp?0nm=T23F>
  496. <http://www.infoworld.com/articles/hn/xml/01/05/03/010503hnattacktool.xml>
  497.  
  498. Schneier's essay "Closing the The Window of Exposure":
  499. <http://www.counterpane.com/window.html>
  500. The fallacy of installing patches:
  501. <http://www.counterpane.com/crypto-gram-0103.html#1>
  502.  
  503.  
  504. ** *** ***** ******* *********** *************
  505.  
  506.        Counterpane Internet Security News
  507.  
  508.  
  509.  
  510. There have been an enormous number of exciting things going on at 
  511. Counterpane.  I can't talk about any of it yet, because we're still working 
  512. on press releases.  We acquired SDII, a small consulting company.
  513. <http://www.counterpane.com/pr-sdiacquisition.html>
  514. More news next month.
  515.  
  516. Articles on Counterpane have appeared in The New York Times and The Economist:
  517. <http://www.nytimes.com/2001/04/18/technology/18SCHW.html>
  518. <http://www.economist.com/business/displayStory.cfm?Story_ID=569825>
  519.  
  520. eWeek reported on Schneier's talk at the RSA Conference last month:
  521. <http://www.zdnet.com/eweek/stories/general/0,11011,2705973,00.html>
  522.  
  523. Bruce Schneier is speaking at ISSA events in New York (May 17), Palo Alto 
  524. (Jun 6), and Denver (Jun 14):
  525. <http://www.nymissa.org/documents/ISSA_2001_F_425.pdf>
  526. <http://www.issa.org>
  527.  
  528. Schneier is speaking at the Trema World Forum in Monaco on May 30:
  529. <http://www.trema-world-forum.com/>
  530.  
  531. _Secrets and Lies_ won a "Jolt" award from Software Development magazine:
  532. <http://www.sdmagazine.com/features/jolts/>
  533. <http://www.counterpane.com/pr-joltaward.html>
  534.  
  535. And Counterpane is still hiring:
  536. <http://www.counterpane.com/jobs.html>
  537.  
  538.  
  539. ** *** ***** ******* *********** *************
  540.  
  541.                Security Standards
  542.  
  543.  
  544.  
  545. Andrew Tanenbaum once quipped that the great thing about standards is that 
  546. there are so many to choose from.  Despite numerous efforts over the years 
  547. to develop comprehensive computer security standards, it's a goal that 
  548. remains elusive at best.
  549.  
  550. It all started with the Orange Book.  As far back as 1985, the U.S. 
  551. government attempted to establish a general method for evaluating security 
  552. requirements.  This resulted in the "Orange Book," the colloquial name for 
  553. the U.S. Department of Defense Trusted Computer System Evaluation 
  554. Criteria.  The Orange Book gave computer manufacturers a way to measure the 
  555. security of their systems and offered a method of classifying different 
  556. levels of computer security.
  557.  
  558. The goal was to aid government procurement, but it also held the promise of 
  559. benefiting the entire industry as well.  That never came to pass, primarily 
  560. because certification testing was expensive and controlled by a only few 
  561. labs, and the resulting designations weren't well-suited to the civilian 
  562. marketplace's needs.
  563.  
  564. There have been other efforts over the years to codify security, but they 
  565. were unsuccessful.  Now, several industries are rallying around the Common 
  566. Criteria, an ISO standard (15408, version 2.1) that provides a catalog of 
  567. security features such as confidentiality and authentication.  Companies 
  568. and industries using this document are expected to include these concepts 
  569. in a more specific "protection profile," which is basically a statement of 
  570. security requirements.
  571.  
  572. Then, individual products can be tested against that profile.  For example, 
  573. a smart card could be tested against a protection profile with such 
  574. attributes as resistance to cloning, security of protocols and protection 
  575. against physical reverse engineering, and a firewall could have a different 
  576. protection profile that includes attributes related to its security and 
  577. functionality.
  578.  
  579. It's a great idea, and puts more meat on the bone than past efforts.  But 
  580. don't expect it to work except in a few isolated areas.  The problem is 
  581. that these standards are too general.  They won't tell you how to configure 
  582. your CheckPoint firewall, or what security settings to run on Windows 
  583. 2000.  It's not a shortcoming in the standards; it's just not feasible to 
  584. document an infinite number of scenarios.
  585.  
  586. Consider something truly quantitative: say, a configuration guide on the 
  587. best way to secure Red Hat Linux 6.0.  It could be an excellent standard, 
  588. but it will probably be obsolete in a few weeks.  It will certainly have to 
  589. be revised for version 6.1.  And it can't possibly help you configure 
  590. Solaris version 3.2, let alone Windows NT SP 4.0.
  591.  
  592. On the other hand, some standards can be too specific, making it almost 
  593. impossible to test a general system.  Remember when Windows NT received the 
  594. Orange Book's C2 security rating?  The rating was only good for a specific 
  595. configuration of Windows, one unconnected to the network and without any 
  596. removable media.  What about a rating for the overall security of Windows 
  597. NT?  Forget about it!
  598.  
  599. The bottom line is that while these standards can be very useful for 
  600. certain applications, they aren't useful gauging enterprise security in 
  601. general.  The Common Criteria is a great document, and companies like Visa 
  602. are putting a lot of effort to turn it into something that they can use for 
  603. their own purposes.  The credit card company is currently using the 
  604. document to specify security levels of hardware and software.  But that's 
  605. only a special case; no one else can take what Visa did and make use of it.
  606.  
  607. I have long joked that given any general security standard, I could design 
  608. a product that 1) met the standard, and 2) was still insecure.  Given this 
  609. truism, it's no wonder that these standards don't find much utility in the 
  610. commercial world.  And it's no wonder why there are so many standards to 
  611. choose from.
  612.  
  613. Common Criteria:
  614. <http://www.commoncriteria.org>
  615.  
  616. NSA's Rainbow Series, including the Orange Book:
  617. <http://www.radium.ncsc.mil/tpep/library/rainbow>
  618.  
  619. There are configuration guides that are designed to help you with specific 
  620. products.  This SANS Windows NT guide is an excellent example:
  621. <http://www.sans.org/newlook/publications/ntstep.htm>
  622. So is Phil Cox's Windows 2000 guide:
  623. <http://www.systemexperts.com/win2k.shtml>
  624.  
  625.  
  626. ** *** ***** ******* *********** *************
  627.  
  628.             Safe Personal Computing
  629.  
  630.  
  631.  
  632. I am regularly asked what the average Internet user can do to ensure his 
  633. security.  My first answer is usually "Nothing; you're screwed."  But it's 
  634. really more complicated than that.
  635.  
  636. Against the government there's nothing you can do.  The power imbalance is 
  637. just too great.  Even if you use the world's best encryption, the police 
  638. can install a keyboard sniffer while you're out.  (If you're paranoid 
  639. enough to sleep with your gun and laptop under your pillow, this article is 
  640. not written for you.)  Even big corporations are difficult to defend 
  641. against.  If they have your credit card number, for example, there's 
  642. probably no way to make them forget it.
  643.  
  644. But there are some things you can do to increase your security on the 
  645. Internet.  None of these are perfect; none of these are foolproof.  If the 
  646. secret police wants to target your data or your communications, none of 
  647. these will stop them.  But they're all good network hygiene, and they'll 
  648. make you a more difficult target than the computer next door.
  649.  
  650. 1.  Passwords.  You can't memorize good enough passwords any more, so don't 
  651. bother.  Create long random passwords, and write them down.  Store them in 
  652. your wallet, or in a program like Password Safe.  Guard them as you would 
  653. your cash.  Don't let Web browsers store passwords for you.  Don't transmit 
  654. passwords (or PINs) in unencrypted e-mail and Web forms.  Assume that all 
  655. PINs can be easily broken, and plan accordingly.
  656.  
  657. 2.  Antivirus software.  Use it.  Download and install the updates every 
  658. two weeks, and whenever you read about a new virus in the media.  Some 
  659. antivirus products automatically check for updates.
  660.  
  661. 3.  Personal firewall software.  Use it.  There's usually no reason to 
  662. allow any incoming connections from anybody.
  663.  
  664. 4.  E-mail.  Delete spam without reading it.  Don't open, and immediately 
  665. delete, messages with file attachments unless you know what they 
  666. contain.  Don't open, and immediately delete, cartoons, videos, and similar 
  667. "good for a laugh" files forwarded by your well-meaning friends.  Turn off 
  668. HTML mail.  Don't use Outlook or Outlook Express.  If you must use 
  669. Microsoft Office, enable macro virus protection; in Office 2000, turn the 
  670. security level to "high" and don't trust any sources unless you have 
  671. to.  If you're using Windows, turn off the "hide file extensions for known 
  672. file types" option; it lets Trojan horses masquerade as other types of 
  673. files.  Uninstall the Windows Scripting Host if you can get along without 
  674. it.  If you can't, at least change your file associations so that script 
  675. files aren't automatically sent to the Scripting Host if you double-click them.
  676.  
  677. 5.  Web sites.  SSL does not provide any assurance that the vendor is 
  678. trustworthy or that their database of customer information is 
  679. secure.  Think before you do business with a Web site.  Limit financial and 
  680. personal data you send to Web sites; don't give out information unless you 
  681. see a value to you.  If you don't want to give out personal information, 
  682. lie.  Opt out of marketing notices.  If the Web site gives you the option 
  683. of not storing your information for later use, take it.
  684.  
  685. 6.  Browsing.  Limit use of cookies and applets to those few sites that 
  686. provide services you need.  Regularly clean out your cookie and temp 
  687. folders (I have a batch file that does this every time I boot.)  If at all 
  688. possible, don't use Microsoft Internet Explorer.
  689.  
  690. 7.  Applications.  Limit the applications on your machine.  If you don't 
  691. need it, don't install it.  If you no longer need it, uninstall it.  If you 
  692. need it, regularly check for updates and install them.
  693.  
  694. 8.  Backups.  Back up regularly.  Back up to disk, tape, or CD-ROM.  Store 
  695. at least one set of backups off-site (a safe-deposit box is a good place) 
  696. and at least one set on-site.  Remember to destroy old backups; physically 
  697. destroy CD-R disks.
  698.  
  699. 9.  Laptop security.  Keep your laptop with you at all times when not at 
  700. home; think of it as you would a wallet or purse.  Regularly purge unneeded 
  701. data files from your laptop.  The same goes for palm computers; people tend 
  702. to keep even more personal data, including passwords and PINs, on them than 
  703. on laptops.
  704.  
  705. 10.  Encryption.  Install an e-mail and file encryptor (like 
  706. PGP).  Encrypting all your e-mail is unrealistic, but some mail is too 
  707. sensitive to send in the clear.  Similarly, some files on your hard drive 
  708. are too sensitive to leave unencrypted.
  709.  
  710. 11.  General.  Turn off the computer when you're not using it, especially 
  711. if you have an "always on" Internet connection.  If possible, don't use 
  712. Microsoft Windows.
  713.  
  714. Honestly, this is hard work.  Even I can't say that I diligently follow my 
  715. own advice.  But I do mostly, and that's probably good enough.  And 
  716. "probably good enough" is about the best you can do these days.
  717.  
  718.  
  719. ** *** ***** ******* *********** *************
  720.  
  721.              Comments from Readers
  722.  
  723.  
  724.  
  725. From: David Wallace <david.wallace@sabre.com>
  726. Subject:  Military History and Computer Security
  727.  
  728. I was taken aback by your assertion that a burglar alarm works because "the 
  729. attacker doesn't know they're there."  After all, "true victory consists of 
  730. breaking the enemy's will without fighting."  The first line of defense is 
  731. deterrence, the number one reason for installing a burglar alarm.  Security 
  732. starts with making yourself a more difficult target.  Hence the "Premises 
  733. protected by" stickers in windows and "Alarm" signs in front yards.  They 
  734. encourage a potential attacker to pick another, less heavily defended, 
  735. target.  In fact, the target may be completely undefended, protected only 
  736. by signage purchased at a hardware or department store.
  737.  
  738. The Internet makes deterrence a little more dicey.  First off, the alarm is 
  739. necessary, but the "alarm" sign is impractical.  It is a potential "red 
  740. cape" waved at a hacking "bull."  It may also tip the defender's hand by 
  741. revealing his defenses.  In the physical realm there are a wide variety of 
  742. systems and sensors to deploy to "measure."  In the virtual, there are 
  743. fewer, they are less easily understood, and harder to install and configure.
  744.  
  745. Once deterrence fails, detection becomes key.  In the physical world, the 
  746. alarm system monitors a variety of metrics to evaluate defensive posture 
  747. (system armed/unarmed), readiness to respond (sensor 
  748. operational/deactivated), and violations of its sensors (heat, motion, 
  749. noise, moisture, or sensor loss).  The Internet alarm performs the same 
  750. functions, and performs them in much the same way.
  751.  
  752. The next step in deterrence is the concept of "unacceptable losses".  Here 
  753. the two worlds both converge and diverge.  They converge on the definition 
  754. of unacceptable losses.  On both the physical and logical plane 
  755. unacceptable losses include arrest, conviction, fine, and/or 
  756. imprisonment.  They diverge in the likelihood of suffering unacceptable losses.
  757.  
  758. As you note in _Secrets and Lies_, in physical security, the attacker must 
  759. be physically present, rendering him not only detectable, but visible, and 
  760. apprehend able.  The Internet removes that risk from the attacker, allowing 
  761. him to strike remotely and in relative anonymity.
  762.  
  763. Once attacked, there are two phases to the defense: Repel and 
  764. counterattack.  In the physical world, once an attacker is repelled, you 
  765. follow up with counterattack.  Repelling the attack is accomplished by 
  766. holding ground and buying time while the resources needed to stop the 
  767. attack are marshalled and committed (amateurs debate tactics, professional 
  768. soldiers argue logistics).
  769.  
  770. Counterattack is accomplished by understanding the attacker's objective and 
  771. the resources he has committed to the attack.  The defender manipulates 
  772. these variables to expose vulnerabilities in the attacker's position which 
  773. can be exploited.  These can weaken the enemy, forestall his attack, and 
  774. potentially force his retreat.  If retreat can be forced, it can be 
  775. followed up with pursuit, further weakening the attacker, deterring future 
  776. aggression, and potentially reducing the attacker's resources below the 
  777. level necessary to support another assault.
  778.  
  779. Unfortunately, counterattack and pursuit do not transfer well to the 
  780. virtual battlefield.  About the only option is to repel.  The logical 
  781. version of counterattack is limited to prosecution, which proves difficult 
  782. when attacks occur across state and national boundaries.  Even when 
  783. prosecution does occur, it is hampered by poor forensics, poor laws, and 
  784. general ignorance within the court system (See the judge in the Mittnick 
  785. trial).
  786.  
  787. So what can you do to defend? Roll deterrence into your 
  788. defense.  Monitor.  REVIEW THE LOGS! Have an incident response 
  789. plan.  Partner with law enforcement and a professional forensics team.  Be 
  790. prepared to go public when attacked.  Aggressively prosecute intruders 
  791. whenever possible.  Develop a reputation as a target to stay away from.
  792.  
  793.  
  794. From: Henry Spencer <henry@spsystems.net>
  795. Subject:  Military History and Computer Security
  796.  
  797. I would argue that there's a third issue, more important on the military 
  798. side although it's not clear that there is any useful Internet 
  799. analogy.  Another old military axiom: "the attacker must vanquish; the 
  800. defender need only survive."
  801.  
  802. The defender's biggest advantage is that the attack has to make progress to 
  803. succeed, and the defense doesn't.  This puts the attacker out in the open, 
  804. moving forward, while the defender is stationary and under cover -- less 
  805. visible, better protected, and much more easily connected to communications 
  806. and supply lines.
  807.  
  808. This shows, for example, in a traditional distinction between two types of 
  809. hand grenades:  offensive and defensive.  An offensive grenade has a rather 
  810. limited lethal radius, because it's meant to be used by attackers, who may 
  811. be on the move or behind poor cover; in particular, it relies more on blast 
  812. than on fragmentation.  A defensive grenade is designed to be lethal over 
  813. the widest possible area, for use by people who are safely ensconced behind 
  814. solid cover and may be (locally) badly outnumbered.  (I am not sure this 
  815. distinction is still made nowadays, since even defensive forces now tend to 
  816. emphasize mobility, but at one time it was taken quite seriously.)
  817.  
  818.  
  819. From: "Gerard Joseph" <gerard@au1.ibm.com>
  820. Subject:  Military History and Computer Security
  821.  
  822. I keep thinking about the apportionment of blame between the innocent 
  823. defender and the guilty attacker.  Presumably, a bank robber would still be 
  824. charged and found guilty even if one night the bank completely forgot to 
  825. lock its doors or set its alarms.  But in that case I'm sure the bank would 
  826. be held partly responsible for the attack.  If someone takes a shot at me 
  827. while I'm ambling on the street, then he will always be guilty, even though 
  828. I might have been negligent in walking on that particular street at that 
  829. particular time.  It seems that in all cases there develops, over time and 
  830. in accordance with local norms and experience, a state of equilibrium 
  831. between the rate of crime and the level of defenses that are customarily 
  832. implemented to thwart criminal acts.  Ideally, this state represents an 
  833. optimal balance between the level of crime and the cost of relevant 
  834. defensive measures.  A criminal who succeeds in spite of those defenses is 
  835. more readily seen to be guilty, while a victim who falls short in 
  836. implementing accepted levels of defense is less readily seen to be 
  837. innocent.  But in no case does the victim's negligence excuse or justify 
  838. the crime, nor does the criminal's ability to overcome your defenses excuse 
  839. or justify their absence.
  840.  
  841. I think as far as the Internet is concerned, we are groping towards the 
  842. defining equilibrium between crime and defense.  Right now, there is a set 
  843. of protective measures whose omission would certainly represent culpability 
  844. on the part of a defender, and there is a set of attacks whose commission 
  845. would certainly represent a crime (whether legally recognized or not) on 
  846. the part of the attacker.  But in between there is a grey area of defenses 
  847. and attacks that lack categorical classification.  To date, though, I think 
  848. we've been too lenient on both complacent defenders and aggressive 
  849. attackers.  That must and surely will change.  A starting point would be 
  850. for the media to stop interviewing hackers as if they were just ordinary 
  851. community-minded citizens.
  852.  
  853.  
  854. From: Stephen Tye <StephenT@marshalsoftware.com>
  855. Subject: e-mail filter idiocy
  856.  
  857. I have read your article and I can understand your annoyance at having your 
  858. e-mail blocked for containing the unrelated words "blow" and "job".  I 
  859. admit the sample text censor scripts that we provided in MailMarshal 
  860. version 3.3 have a couple of anomalies like this that would false 
  861. trigger.  We have done a lot of work on our sample text censor scripts for 
  862. the next version release to improve them and minimize false triggers.
  863.  
  864. MailMarshal is a tool to allow companies to apply corporate policy to their 
  865. e-mail.  Technically MailMarshal did exactly what it was told to do, which 
  866. was to block e-mails with the words blow and job in them.  In this case it 
  867. was the script that was at fault, not the product.
  868.  
  869. Depending on how the company has set up our product to match their 
  870. corporate guidelines, it is highly likely that the intended recipient of 
  871. your e-mail also received a notification e-mail informing them that your 
  872. e-mail did not arrive.   The e-mail you sent would have most likely been 
  873. quarantined and could have been easily released by the administrator.  The 
  874. line "blow and job" could have then been removed from the text censor 
  875. script and the problem would never occur again.
  876.  
  877. If it is the organization's policy to block any e-mails which contain the 
  878. words "IL*VEYOU" in the subject, then that is their choice and MailMarshal 
  879. will allow them to enforce that policy.  We normally only suggest using a 
  880. text censor script in this way when there is a virus alert and you would 
  881. like implement some protection until you can get your antivirus product 
  882. updated.  Otherwise we find scanning e-mails with an antivirus product and 
  883. implementing rules that block e-mails which contain EXE or VBS attachments 
  884. (which normally have no business use for end users) an effective protection 
  885. against e-mail borne viruses.
  886.  
  887. As you well know, security is process, not product.  MailMarshal is a tool 
  888. that allows you to apply that process.  It will only action what it has 
  889. been told to do.
  890.  
  891.  
  892. ** *** ***** ******* *********** *************
  893.  
  894. CRYPTO-GRAM is a free monthly newsletter providing summaries, analyses, 
  895. insights, and commentaries on computer security and cryptography.
  896.  
  897. To subscribe, visit <http://www.counterpane.com/crypto-gram.html> or send a 
  898. blank message to crypto-gram-subscribe@chaparraltree.com.  To unsubscribe, 
  899. visit <http://www.counterpane.com/unsubform.html>.  Back issues are 
  900. available on <http://www.counterpane.com>.
  901.  
  902. Please feel free to forward CRYPTO-GRAM to colleagues and friends who will 
  903. find it valuable.  Permission is granted to reprint CRYPTO-GRAM, as long as 
  904. it is reprinted in its entirety.
  905.  
  906. CRYPTO-GRAM is written by Bruce Schneier.  Schneier is founder and CTO of 
  907. Counterpane Internet Security Inc., the author of "Secrets and Lies" and 
  908. "Applied Cryptography," and an inventor of the Blowfish, Twofish, and 
  909. Yarrow algorithms.  He served on the board of the International Association 
  910. for Cryptologic Research, EPIC, and VTW.  He is a frequent writer and 
  911. lecturer on computer security and cryptography.
  912.  
  913. Counterpane Internet Security, Inc. is a venture-funded company bringing 
  914. innovative managed security solutions to the enterprise.
  915.  
  916. <http://www.counterpane.com/>
  917.  
  918. Copyright (c) 2001 by Counterpane Internet Security, Inc.
  919.  
  920.  
  921.