home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / general / securit1.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  29.5 KB  |  793 lines
  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7.  
  8.  
  9.  
  10.        Computer Emergency Response - An International
  11.                           Problem|-
  12.  
  13.  
  14.                      Richard D. Pethia
  15.                      Kenneth R. van Wyk
  16.  
  17.    Computer Emergency Response Team / Coordination Center
  18.                Software Engineering Institute
  19.                  Carnegie Mellon University
  20.                      4500 Fifth Avenue
  21.                  Pittsburgh, PA 15213-3890
  22.                            U.S.A.
  23.  
  24.  
  25.                           _A_B_S_T_R_A_C_T
  26.  
  27.           Computer security incidents during  the  past
  28.      few  years have illustrated that unauthorized com-
  29.      puter activity does  not  obey  traditional  boun-
  30.      daries  (e.g.,  national, network, computer archi-
  31.      tecture).   Instead,  such   activity   frequently
  32.      crosses   these  boundaries  not  just  once,  but
  33.      several times per incident [Stoll89].
  34.  
  35.      International cooperation among computer  security
  36.      response groups can be an effective means of deal-
  37.      ing with computer security issues faced  today  by
  38.      the computer user community.  This paper addresses
  39.      the need for such cooperation and suggests methods
  40.      by  which  individual  computer  security response
  41.      groups can work together internationally  to  cope
  42.      with computer security incidents.
  43.  
  44.  
  45.  
  46. _1.  _B_a_c_k_g_r_o_u_n_d
  47.  
  48. The increasing use and dependence on  interconnected  local,
  49. regional,  and  wide area networks, while bringing important
  50. new capabilities, also brings new  vulnerabilities.   Widely
  51. publicized  events such as the November 1988, Internet Worm,
  52. which affected thousands of  systems  on  the  international
  53. research  network  Internet, or the October 1989, WANK worm,
  54. which affected hundreds of systems on NASA's  Space  Physics
  55. and  Analysis (SPAN) network are unusual, although dramatic,
  56. events.  There are many  more  events  such  as  intrusions,
  57. exploitation   of  vulnerabilities,  and  discovery  of  new
  58. _________________________
  59.   |= Sponsored by the U.S. Department of Defense
  61.  
  62.  
  63.                      November 14, 1990
  64.  
  65.  
  66.  
  67.  
  68.  
  69.                            - 2 -
  70.  
  71.  
  72. vulnerabilities that occur with much greater  frequency  and
  73. require effective methods of response.  Several examples are
  74. listed below.
  75.  
  76. _1._1.  _I_n_c_i_d_e_n_t_s
  77.  
  78. From August 1986 until late 1987, staff members at  Lawrence
  79. Berkeley  Laboratory  worked with investigators to trace the
  80. paths of a computer intruder; the trail eventually lead them
  81. to  a KGB-funded intruder operating out of Hannover, Germany
  82. [Stoll88].  The investigation was often hampered by  a  lack
  83. of cooperation among "bureaucratic organizations" [Stoll88].
  84. On the other hand,  "cooperation  between  system  managers,
  85. communications technicians, and network operators was excel-
  86. lent" [Stoll88].  Still, it was only when the  investigators
  87. in  both  countries  got  involved  that  the  intruder  was
  88. apprehended [Stoll89].  It is worthwhile to  note  that  the
  89. break-ins in this case utilized the same attack methods over
  90. and over (such as  repeatedly  guessing  common  and  system
  91. default   username/password  combinations,  exploiting  well
  92. known security holes which had not yet  been  fixed  by  the
  93. system  administrators,  etc.); through diligent, methodical
  94. application of these methods, the intruders were  successful
  95. at entering dozens of computer systems [Stoll89].
  96.  
  97. In November 1988, a rogue worm program entered the  Internet
  98. and  caused  widespread  system  failures [Spafford88].  The
  99. worm, written by Cornell University graduate student  Robert
  100. Tappan Morris, Jr. [Markoff90a], exploited lax password pol-
  101. icies as well  as  two  software  implementation  errors  in
  102. specific  versions of UNIX, the predominant operating system
  103. on Internet computers.
  104.  
  105. More recently,  three  Australian  computer  intruders  were
  106. arrested  by  Australian  Federal  police  "after a two-year
  107. investigation that included cooperation with  United  States
  108. authorities"  [Markoff90b].   Again, the intruders exploited
  109. known vulnerabilities to gain unauthorized entry  onto  sys-
  110. tems [Danca90].
  111.  
  112. In October 1989, a worm program called Worms Against Nuclear
  113. Killers  (WANK)  infected  a  National Aeronautics and Space
  114. Administration (NASA) network [Alexander89].  The worm  pro-
  115. gram  spread  to  many  computers  in different countries by
  116. using system vulnerabilities that "should have  been  closed
  117. months  ago"  following  a similar incident in December 1988
  118. [Alexander89].
  119.  
  120. In another, albeit domestic, case,  two  computer  intruders
  121. were  arrested and charged with illegal use of computer sys-
  122. tems at Pennsylvania State University.  The intrusions  took
  123. place  on  a  computer  system at the University of Chicago.
  124. University of Chicago  officials  contacted  CERT/CC,  which
  125. then  contacted  administrators  at Penn State.  Eventually,
  126.  
  127.  
  128.  
  129.                      November 14, 1990
  130.  
  131.  
  132.  
  133.  
  134.  
  135.                            - 3 -
  136.  
  137.  
  138. through the cooperation of the administrators and investiga-
  139. tors, the two Penn State students were charged [Graf90].
  140.  
  141. These cases all illustrate the need  for  cooperation  among
  142. computer security response groups.
  143.  
  144. _1._2.  _S_y_s_t_e_m _V_u_l_n_e_r_a_b_i_l_i_t_i_e_s
  145.  
  146. Another  situation  in  which  cooperation  across  multiple
  147. organizations  becomes essential is in dissemination of sys-
  148. tem vulnerability alerts (and, more importantly, their solu-
  149. tions).   As  system  intruders  successfully gain access to
  150. systems which have weak passwords  or  systems  where  known
  151. security  vulnerabilities  have  not been closed, they often
  152. share information on vulnerabilities in these  systems  with
  153. others.  Likewise, as intruders discover new vulnerabilities
  154. in particular operating system or other  software  packages,
  155. information  on  the vulnerabilities is quickly communicated
  156. through various bulletin boards and other electronic forums.
  157.  
  158. As a result, many large communities of system users  quickly
  159. become vulnerable.  Traditional methods of dealing with vul-
  160. nerability information, including closely protecting  infor-
  161. mation on the existence of the vulnerability, are not effec-
  162. tive once intruders have learned of system  weaknesses.   In
  163. these  cases, supplying password guideline and security vul-
  164. nerability information to system administrators  is  crucial
  165. in raising security levels and deterring attacks.
  166.  
  167. The Computer Emergency  Response  Team  Coordination  Center
  168. (CERT/CC)  (see  Section  2.1)  frequently  distributes CERT
  169. Advisories that, among other things, inform  the  public  of
  170. vulnerabilities, fixes, and active methods of attack.
  171.  
  172. _2.  _E_m_e_r_g_e_n_c_y _R_e_s_p_o_n_s_e _G_r_o_u_p_s
  173.  
  174. _2._1.  _I_n_t_r_o_d_u_c_t_i_o_n _t_o _C_E_R_T
  175.  
  176. Shortly after the Internet  worm  of  November  1988  [Spaf-
  177. ford88],  the  Defense  Advanced  Research  Projects  Agency
  178. (DARPA) started the Computer Emergency Response Team (CERT),
  179. whose  Coordination  Center (CERT/CC) is located at Carnegie
  180. Mellon University's  Software  Engineering  Institute  (SEI)
  181. [Scherlis88].   "The  CERT  is a community group intended to
  182. facilitate community response to  computer  security  events
  183. involving  Internet  hosts"  [Denning90].   CERT consists of
  184. hundreds of highly qualified volunteers throughout the  com-
  185. puter  community, as well as the staff of the CERT/CC and of
  186. the other emergency response groups in the CERT-System  (see
  187. Section  2.2  for  details).   The CERT/CC serves as a focal
  188. point for response to Internet  computer  security  problems
  189. [Denning90].   Since  it  would  be  impossible  for any one
  190. response group to address the needs of all  constituencies|=,
  191. _________________________
  192.  
  193.  
  194.  
  195.                      November 14, 1990
  196.  
  197.  
  198.  
  199.  
  200.  
  201.                            - 4 -
  202.  
  203.  
  204. the need for multiple CERT groups exists.  (This issue, too,
  205. is covered in more detail in Section 2.2.)
  206.  
  207. CERT groups must have sufficient in-house  technical  exper-
  208. tise  to  handle a reasonable portion of day to day security
  209. incidents, leaving the  volunteer  contacts  for  situations
  210. which  require additional expertise.  However, because emer-
  211. gency response involves addressing more than just  technical
  212. issues, CERT membership includes not only technical experts,
  213. but site managers, security officers,  industry  representa-
  214. tives, and government officials [Denning90].
  215.  
  216. One of the essential characteristics  of  a  CERT  group  is
  217. being  available  to  its  constituency on a 24 hour per day
  218. basis.  There must be a well  publicized  central  point  of
  219. contact   which  is  available  continuously.   This  should
  220. include, at a minimum, a "hotline" telephone which  is  con-
  221. stantly manned, and an electronic mailbox which is monitored
  222. during business hours.  The CERT/CC hotline number is  (412)
  223. 268-7090,    and   its   electronic   mailbox   address   is
  224. cert@cert.sei.cmu.edu, on the Internet.
  225.  
  226. It is critical that a CERT group build and maintain  a  col-
  227. lection  of  contacts,  both within the group's constituency
  228. and externally [Dalton90].  The contact  information  should
  229. include  other CERT groups, system vendors, law enforcement,
  230. network operation centers, technical experts, site  adminis-
  231. trators,  etc.   Building  the contact information is an on-
  232. going process in which contacts are developed and maintained
  233. over  time.  Each contact must be aware of its responsibili-
  234. ties and/or expectations in the emergency  response  process
  235. [Dalton90].
  236.  
  237. In addition to the contact information, a CERT group  should
  238. maintain  an information repository which will be drawn upon
  239. in future incidents.  The information in the repository will
  240. include contact information (as detailed above), system vul-
  241. nerability details, security  incident  reports,  electronic
  242. mail  archives,  and other relevant information [Denning90].
  243. Due to the nature of this information, the security  on  the
  244. system on which it resides must be beyond reproach.  CERT/CC
  245. maintains its information database on  an  off-line  system,
  246. which is not accessible via network connections.
  247.  
  248. As system vulnerabilities (and their fixes), break-in  warn-
  249. ing  information,  and  other  relevant  information becomes
  250. available, CERT groups should issue advisories to members of
  251. their  constituency  [Denning90].   Past  CERT/CC advisories
  252. have  included  vulnerability   notification   (along   with
  253. appropriate solutions), warnings of widespread break-ins and
  254. _________________________
  255.   |= The term "constituency" is used here  to  define  a
  256. group with some common needs.
  257.  
  258.  
  259.  
  260.  
  261.                      November 14, 1990
  262.  
  263.  
  264.  
  265.  
  266.  
  267.                            - 5 -
  268.  
  269.  
  270. symptoms thereof, and secure system  administration  sugges-
  271. tions.   The  entire  collection  of  CERT/CC advisories are
  272. maintained on-line and are  accessible  to  CERT/CC  consti-
  273. tuents.
  274.  
  275. _2._1._1.  _E_x_a_m_p_l_e _C_E_R_T _I_n_c_i_d_e_n_t _H_a_n_d_l_i_n_g _P_r_o_c_e_d_u_r_e_s
  276.  
  277. As an ongoing process, CERT/CC has developed and is continu-
  278. ing  to  improve upon its event handling procedures.  Natur-
  279. ally, the procedures are different for each distinct type of
  280. event  (e.g.,  system break-in, vulnerability report, worm).
  281. This section presents an overview  of  some  of  these  pro-
  282. cedures.
  283.  
  284. When CERT/CC receives a report  of  a  system  break-in,  it
  285. first    works    together    with   the   affected   system
  286. administrator(s) in  determining  how  the  intruder  gained
  287. access  to  the  system.   This  is generally in the form of
  288. offering guidance on what sort of  signs  the  administrator
  289. should look for to determine means of access.  Next, CERT/CC
  290. offers assistance in repairing  the  exploited  hole(s),  as
  291. well  as  other  commonly  known vulnerabilities.  Examining
  292. systems for  backdoors  or  trojan  horses  that  have  been
  293. planted by the intruder is an especially important activity.
  294. If the break-in came from other sites, or  if  the  intruder
  295. broke  into  other  systems from the current system, CERT/CC
  296. notifies other affected site administrators  (from  time  to
  297. time,  the  administrator  will already have contacted other
  298. affected sites; in such a case, CERT/CC requests to be  kept
  299. up to date with the relevant flow of information between the
  300. sites).  In  some  cases,  other  affected,  or  potentially
  301. affected,  sites  are  not  Internet sites.  In these cases,
  302. communication across traditional "territorial" boundaries is
  303. especially  important.    It is important to note that, when
  304. contacting sites, CERT/CC always maintains the confidential-
  305. ity  of  the  affected sites unless the sites specify other-
  306. wise.
  307.  
  308. As system vulnerabilities are reported to CERT/CC, they  are
  309. first  authenticated  and  then  reported  to  the  affected
  310. vendor(s).  CERT/CC offers guidance to the vendor  community
  311. by  reporting the magnitude of the threat (e.g., whether the
  312. hole is being actively exploited, whether the hole is  known
  313. to  a widespread audience, whether the hole can be exploited
  314. from a remote system or requires existing system  access  in
  315. order  to  be  exploited).   CERT/CC  also  offers technical
  316. input, if desired by the vendors. The vendor community  will
  317. generally  respond  with a fix, a workaround, or a reference
  318. to same for the problem.  In many  cases,  the  CERT/CC  has
  319. received  advanced  versions  of  fixes from vendors and has
  320. received the vendor's authorization to release  the  fix  to
  321. selected  members  of the technical community for review and
  322. comment.  This technical review  process  shows  promise  of
  323. improving the quality of corrections to vulnerabilities.
  324.  
  325.  
  326.  
  327.                      November 14, 1990
  328.  
  329.  
  330.  
  331.  
  332.  
  333.                            - 6 -
  334.  
  335.  
  336. Depending  upon  the  situation,  CERT/CC  then  drafts   an
  337. advisory  for review by the vendors, the CERT-System, and/or
  338. technical affiliates.  When the draft advisory  is  mutually
  339. accepted, it is distributed electronically to CERT/CC's con-
  340. stituency,  the  Internet  research  community.   For  this,
  341. CERT/CC  operates  a CERT Advisory mailing list, in addition
  342. to  a  Usenet  newsgroup,  comp.security.announce  [Quarter-
  343. man90].  (See Appendix 1 for an example CERT/CC advisory.)
  344.  
  345. _2._2.  _C_E_R_T-_S_y_s_t_e_m
  346.  
  347. As mentioned in Section 2.1, no  single  emergency  response
  348. group  can be expected to address the needs of every portion
  349. of the computing world, due to the diversities and scale  of
  350. all  of  the  various  computing  environments  [Denning90].
  351. Individual communities each have their  own  distinct  poli-
  352. cies,  rules, regulations, procedures, and culture.  Methods
  353. effective in one community (e.g., the Internet research com-
  354. munity)  would  not likely succeed in other communities that
  355. have significantly different cultures  (e.g.,  the  military
  356. community or the banking community).
  357.  
  358. In addition, implementation  platforms  (operating  systems,
  359. networking  software  and  protocols) vary widely.  A single
  360. CERT group would not likely be successful  in  dealing  with
  361. technical  diversity,  or  at least could not do so economi-
  362. cally.
  363.  
  364. The  "CERT-System"  model,  therefore,  includes   multiple,
  365. cooperating  individual CERT organizations.  Each individual
  366. CERT group in the CERT-System focuses on a  particular  con-
  367. stituency.
  368.  
  369. Each constituency in the model can be defined by either user
  370. or  technology  boundaries.  The user constituencies consist
  371. of groups with  common  networks,  needs,  and/or  policies,
  372. while  the  technology constituencies are groups with common
  373. computing architectures [Denning90].  An example of  a  user
  374. constituency  is  the  Internet research community, which is
  375. made up of organizations in academia, government,  military,
  376. as  well  as  commercial  groups.   These  groups  are bound
  377. together by being members of the Internet network.  An exam-
  378. ple  technology constituency is the IBM mainframe community,
  379. which is bound by a common computer architecture.
  380.  
  381. The CERT/CC group addresses both a user constituency (Inter-
  382. net   research  community)  and  a  technology  constituency
  383. (UNIX-based workstations and mainframes, which is  the  pri-
  384. mary type of system on the Internet).
  385.  
  386. The CERT model lends itself well to network groups  such  as
  387. the  Internet  research  community,  as  well  as  corporate
  388. [Fedeli90], government, military, etc., groups.
  389.  
  390.  
  391.  
  392.  
  393.                      November 14, 1990
  394.  
  395.  
  396.  
  397.  
  398.  
  399.                            - 7 -
  400.  
  401.  
  402. In times of crisis, many CERT groups can be  active  with  a
  403. technology  coordination center analyzing problems and coor-
  404. dinating the search for solutions and with user constituency
  405. coordination  centers  gathering  information  and informing
  406. their constituents as appropriate.
  407.  
  408. In less troubled times, the CERTs  work  together  to  build
  409. effective  communication  mechanisms,  share  information on
  410. effective computer security tools and techniques,  and  con-
  411. duct  proactive  campaigns aimed at increasing the awareness
  412. of computer security issues and improving  the  security  of
  413. operational systems.
  414.  
  415. The CERT-System model has been widely  accepted  and  eleven
  416. groups  funded  by  U.S.  government  agencies  and  several
  417. private firms now participate in the  system.   Interest  in
  418. participating  has been expressed by several other organiza-
  419. tions and steps are being taken to more  formally  structure
  420. the  CERT-System.   This  structure, including a charter and
  421. by-laws that are being reviewed  and  approved  by  existing
  422. CERT-System  members  as  this  paper is being written, will
  423. provide a framework to enable wider participation.
  424.  
  425. _3.  _C_o_n_c_l_u_s_i_o_n_s
  426.  
  427. It has been shown that the CERT concept can be an  effective
  428. means  of  responding to computer security-related incidents
  429. [Graf90].  In incidents prior  to  the  existence  of  CERT,
  430. system  administrators were frequently at a loss for outside
  431. assistance     when     handling     security      incidents
  432. [Stoll88,Stoll89].   It  has  also  been shown that computer
  433. system security incidents do not obey network, national,  or
  434. architectural  boundaries  [Stoll88]  and that the intruders
  435. frequently exploit lax security procedures (due, perhaps, to
  436. a  lack  of  specific knowledge on the administrators' part)
  437. [Stoll88,Danca90,Alexander89].
  438.  
  439. Effective computer security incident response requires  com-
  440. munication  and  coordination  across  multiple communities.
  441. While many incidents occur because software design or imple-
  442. mentation  deficiencies  are  exploited,  resolution  of the
  443. incidents requires more than a technical solution.  Communi-
  444. cation  of  threat and vulnerability information across com-
  445. puting  communities  is  essential  to  resolving   specific
  446. incidents and improving the security of operational systems.
  447.  
  448. A well formed CERT-System will raise security awareness  and
  449. knowledge  among  site  administrators  as  well as give the
  450. administrators sources of assistance in  times  of  computer
  451. emergencies.   By  drawing  on the experiences of individual
  452. CERT groups, the knowledge level of  the  CERT-System  as  a
  453. whole  will  grow,  enabling all members to more effectively
  454. and efficiently deal with  computer  security  incidents  as
  455. they arise.
  456.  
  457.  
  458.  
  459.                      November 14, 1990
  460.  
  461.  
  462.  
  463.  
  464.  
  465.                            - 8 -
  466.  
  467.  
  468. _1.  _E_x_a_m_p_l_e _C_E_R_T/_C_C _A_d_v_i_s_o_r_y
  469.  
  470. CA-90:02
  471.  
  472.                        CERT Advisory
  473.                        March 19, 1990
  474.                  Internet Intruder Warning
  475. --------------------------------------------------------------------------------------
  476.  
  477.  
  478. There have been a number of media reports  stemming  from  a
  479. March  19  New  York Times article entitled 'Computer System
  480. Intruder Plucks Passwords and Avoids Detection.'  The  arti-
  481. cle  referred to a program that attempts to get into comput-
  482. ers around the Internet.
  483.  
  484. At this point, the Computer Emergency Response Team  Coordi-
  485. nation  Center  (CERT/CC)  does  not have hard evidence that
  486. there is such a program.  What we have seen are several per-
  487. sistent attempts on systems using known security vulnerabil-
  488. ities.  All of these vulnerabilities  have  been  previously
  489. reported.   Some  national  news agencies have referred to a
  490. 'virus' on the Internet; the information we have  now  indi-
  491. cates that this is NOT true.  What we have seen and can con-
  492. firm is an intruder making persistent attempts to  get  into
  493. Internet systems.
  494.  
  495. It is possible that a program may be  discovered.   However,
  496. all  the  techniques  used  in these attempts have also been
  497. used, in the past, by intruders probing systems manually.
  498.  
  499. As of the morning of March 19, we know  of  several  systems
  500. that  have  been broken into and several dozen more attempts
  501. made on Thursday and Friday, March 15 and 16.
  502.  
  503. Systems administrators should be  aware  that  many  systems
  504. around  the  Internet  may  have  these vulnerabilities, and
  505. intruders know how  to  exploit  them.   To  avoid  security
  506. breaches  in  the  future,  we  recommend  that  all  system
  507. administrators check for the kinds of problems noted in this
  508. message.
  509.  
  510. The rest of this advisory  describes  problems  with  system
  511. configurations  that  we have seen intruders using.  In par-
  512. ticular, the intruders  attempted  to  exploit  problems  in
  513. Berkeley  BSD derived UNIX systems and have attacked DEC VMS
  514. systems.  In the advisory below, points 1  through  12  deal
  515. with Unix, points 13 and 14 deal with the VMS attacks.
  516.  
  517. If you have questions about a particular problem, please get
  518. in touch with your vendor.
  519.  
  520. The CERT makes  copies  of  past  advisories  available  via
  521. anonymous FTP (see the end of this message).  Administrators
  522.  
  523.  
  524.  
  525.                      November 14, 1990
  526.  
  527.  
  528.  
  529.  
  530.  
  531.                            - 9 -
  532.  
  533.  
  534. may wish to review these as well.
  535.  
  536. We've had reports of intruders  attempting  to  exploit  the
  537. following areas:
  538.  
  539. 1) Use TFTP (Trivial File Transfer Protocol) to steal  pass-
  540. word files.
  541.  
  542.    To test your system for this  vulnerability,  connect  to
  543. your  system using TFTP and try 'get /etc/motd'.  If you can
  544. do this, anyone else can get your password file as well.  To
  545. avoid this problem, disable tftpd.
  546.  
  547.    In conjunction with this, encourage your users to  choose
  548. passwords  that  are difficult to guess (e.g. words that are
  549. not contained in any dictionary of words of any language; no
  550. proper  nouns, including names of "famous" real or imaginary
  551. characters; no acronyms that are common to computer  profes-
  552. sionals;  no simple variations of first or last names, etc.)
  553. Furthermore, inform your users not to leave any  clear  text
  554. username/password information in files on any system.
  555.  
  556.    If an intruder can get a password file, he/she will  usu-
  557. ally  take  it  to another machine and run password guessing
  558. programs on it.  These  programs  involve  large  dictionary
  559. searches and run quickly even on slow machines.  The experi-
  560. ence of many sites is that most systems that do not put  any
  561. controls  on  the  types  of passwords used probably have at
  562. least one password that can be guessed.
  563.  
  564. 2) Exploit accounts without  passwords  or  known  passwords
  565. (accounts  with vendor supplied default passwords are favor-
  566. ites).  Also uses finger to get account names and then tries
  567. simple passwords.
  568.  
  569.    Scan  your  password  file  for  extra  UID  0  accounts,
  570. accounts  with  no  password, or new entries in the password
  571. file.  Always change vendor supplied default passwords  when
  572. you install new system software.
  573.  
  574. 3) Exploit holes in sendmail.
  575.  
  576.    Make sure you are running the latest sendmail  from  your
  577. vendor.  BSD 5.61 fixes all known holes that the intruder is
  578. using.
  579.  
  580. 4) Exploit  bugs  in  old  versions  of  FTP;  exploit  mis-
  581. configured
  582.    anonymous FTP
  583.  
  584.    Make sure you are running the most recent version of  FTP
  585. which  is the Berkeley version 4.163 of Nov.  8 1988.  Check
  586. with your vendor for information on configuration  upgrades.
  587. Also   check   your  anonymous  FTP  configuration.   It  is
  588.  
  589.  
  590.  
  591.                      November 14, 1990
  592.  
  593.  
  594.  
  595.  
  596.  
  597.                            - 10 -
  598.  
  599.  
  600. important to  follow  the  instructions  provided  with  the
  601. operating  system  to properly configure the files available
  602. through anonymous ftp (e.g.,  file  permissions,  ownership,
  603. group,  etc.).  Note especially that you should not use your
  604. system's standard password file as  the  password  file  for
  605. FTP.
  606.  
  607. 5) Exploit the fingerd hole  used  by  the  Morris  Internet
  608. worm.
  609.  
  610.    Make sure you're running  a  recent  version  of  finger.
  611. Numerous  Berkeley BSD derived versions of UNIX were vulner-
  612. able.
  613.  
  614. Some other things to check for:
  615.  
  616. 6) Check user's .rhosts files and the /etc/hosts.equiv files
  617. for  systems  outside  your  domain.  Make sure all hosts in
  618. these files are  authorized  and  that  the  files  are  not
  619. world-writable.
  620.  
  621. 7) Examine all the files that are run by cron and at.  We've
  622. seen  intruders  leave  back doors in files run from cron or
  623. submitted to at.  These techniques can let the intruder back
  624. on  the  system even after you've kicked him/her off.  Also,
  625. verify  that  all  files/programs  referenced  (directly  or
  626. indirectly) by the cron and at jobs, and the job files them-
  627. selves, are not world-writable.
  628.  
  629. 8) If your machine supports uucp, check the L.cmds  file  to
  630. see  if they've added extra commands and that it is owned by
  631. root (not by uucp!) and  world-readable.   Also,  the  L.sys
  632. file should not be world-readable or world-writable.
  633.  
  634. 9) Examine the /usr/lib/aliases (mail alias) file for  unau-
  635. thorized  entries.   Some alias files include an alias named
  636. 'uudecode'; if this alias exists on your system, and you are
  637. not explicitly using it, then it should be removed.
  638.  
  639. 10) Look for hidden files (files that start  with  a  period
  640. and  are  normally  not  shown  by ls) with odd names and/or
  641. setuid capabilities, as these can be used to "hide" informa-
  642. tion   or   privileged  (setuid  root)  programs,  including
  643. /bin/sh.  Names such as '..  ' (dot dot space space), '...',
  644. and  .xx have been used, as have ordinary looking names such
  645. as  '.mail'.   Places  to  look  include  especially   /tmp,
  646. /usr/tmp,  and  hidden directories (frequently within users'
  647. home directories).
  648.  
  649. 11) Check the integrity of critical system programs such  as
  650. su,  login,  and telnet.  Use a known, good copy of the pro-
  651. gram, such as the original distribution media and compare it
  652. with the program you are running.
  653.  
  654.  
  655.  
  656.  
  657.                      November 14, 1990
  658.  
  659.  
  660.  
  661.  
  662.  
  663.                            - 11 -
  664.  
  665.  
  666. 12) Older versions of systems often have  security  vulnera-
  667. bilities  that are well known to intruders.  One of the best
  668. defenses against problems is to upgrade to the  latest  ver-
  669. sion of your vendor's system.
  670.  
  671. VMS SYSTEM ATTACKS:
  672.  
  673. 13) The intruder exploits system default passwords that have
  674. not  been  changed  since installation.  Make sure to change
  675. all default passwords when the software is  installed.   The
  676. intruder  also  guesses  simple user passwords.  See point 1
  677. above for suggestions on choosing good passwords.
  678.  
  679. 14) If the intruder gets into a system, often  the  programs
  680. loginout.exe  and  show.exe  are modified.  Check these pro-
  681. grams against the files found in your distribution media.
  682.  
  683. If you believe that your system has been  compromised,  con-
  684. tact CERT via telephone or email.
  685.  
  686.         J. Paul Holbrook
  687.         Computer Emergency Response Team (CERT)
  688.         Software Engineering Institute
  689.         Carnegie Mellon University
  690.         Pittsburgh, PA 15213-3890
  691.  
  692.         Internet: cert@cert.sei.cmu.edu
  693.         Telephone: 412-268-7090 24-hour hotline: CERT personnel answer
  694.                    7:30a.m.-6:00p.m. EST, on call for emergencies
  695.                     other hours.
  696.  
  697. Past advisories and  other  information  are  available  for
  698. anonymous ftp from cert.sei.cmu.edu (128.237.253.5).
  699.  
  700. _R_e_f_e_r_e_n_c_e_s
  701.  
  702.  
  703. Dalton90.
  704.      Dalton, J., "Building a Constituency - An Ongoing  Pro-
  705.      cess,"  _P_r_o_c_e_e_d_i_n_g_s,  _C_o_m_p_u_t_e_r  _E_m_e_r_g_e_n_c_y _R_e_s_p_o_n_s_e _T_e_a_m
  706.      _W_o_r_k_s_h_o_p, 1990.
  707.  
  708. Danca90.
  709.      Danca, R., "Officials Confirm Latest Attempt to  Invade
  710.      Internet," _F_e_d_e_r_a_l _C_o_m_p_u_t_e_r _W_e_e_k, vol. 4, no. 12, 1990.
  711.  
  712. Denning90.
  713.      Denning, P., _C_o_m_p_u_t_e_r_s _U_n_d_e_r _A_t_t_a_c_k, ACM Press, 1990.
  714.  
  715. Fedeli90.
  716.      Fedeli, A., "Forming and  Managing  a  Response  Team,"
  717.      _P_r_o_c_e_e_d_i_n_g_s, _C_o_m_p_u_t_e_r _E_m_e_r_g_e_n_c_y _R_e_s_p_o_n_s_e _T_e_a_m _W_o_r_k_s_h_o_p,
  718.      1990.
  719.  
  720.  
  721.  
  722.  
  723.                      November 14, 1990
  724.  
  725.  
  726.  
  727.  
  728.  
  729.                            - 12 -
  730.  
  731.  
  732. Graf90.
  733.      Graf, J., "2 Charged With Illegal Computer Use," _C_e_n_t_r_e
  734.      _D_a_i_l_y _T_i_m_e_s, February 17, 1990.
  735.  
  736. Alexander89.
  737.      Alexander, M., Johnson, M., "Worm Eats Holes in  NASA's
  738.      Decnet," _C_o_m_p_u_t_e_r _W_o_r_l_d, October 23, 1989.
  739.  
  740. Markoff90a.
  741.      Markoff, J., "3 Arrests Show Global Threat  to  Comput-
  742.      ers," _N_e_w _Y_o_r_k _T_i_m_e_s, April 4, 1990.
  743.  
  744. Markoff90b.
  745.      Markoff, J., "Student Says His Error  Crippled  Comput-
  746.      ers," _N_e_w _Y_o_r_k _T_i_m_e_s, January 19, 1990.
  747.  
  748. Quarterman90.
  749.      Quarterman, J., _T_h_e _M_a_t_r_i_x: _C_o_m_p_u_t_e_r _N_e_t_w_o_r_k_s _a_n_d  _C_o_n_-
  750.      _f_e_r_e_n_c_i_n_g _S_y_s_t_e_m_s _W_o_r_l_d_w_i_d_e, Digital Press, 1990.
  751.  
  752. Scherlis88.
  753.      Scherlis, W.,  "DARPA  Establishes  Computer  Emergency
  754.      Response Team," _D_A_R_P_A _P_r_e_s_s _R_e_l_e_a_s_e, December 6, 1988.
  755.  
  756. Spafford88.
  757.      Spafford, E., "The Internet Worm Program: An Analysis,"
  758.      Technical  Report, Purdue University Department of Com-
  759.      puter Sciences, 1988.
  760.  
  761. Stoll88.
  762.      Stoll, C., "Stalking the Wily  Hacker,"  _C_o_m_m_u_n_i_c_a_t_i_o_n_s
  763.      _o_f _t_h_e _A_C_M, vol. 31, no. 5, 1988.
  764.  
  765. Stoll89.
  766.      Stoll, C., _T_h_e _C_u_c_k_o_o'_s _E_g_g - _T_r_a_c_k_i_n_g  _a  _S_p_y  _T_h_r_o_u_g_h
  767.      _t_h_e _M_a_z_e _o_f _C_o_m_p_u_t_e_r _E_s_p_i_o_n_a_g_e, Doubleday, 1989.
  768.  
  769.  
  770.  
  771.  
  772.  
  773.  
  774.  
  775.  
  776.  
  777.  
  778.  
  779.  
  780.  
  781.  
  782.  
  783.  
  784.  
  785.  
  786.  
  787.  
  788.  
  789.                      November 14, 1990
  790.  
  791.  
  792.  
  793.