home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / cud / cud852.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  40.1 KB  |  921 lines
  1.  
  2. Computer underground Digest    Wed  Jul 10, 1996   Volume 8 : Issue 52
  3.                            ISSN  1004-042X
  4.  
  5.        Editor: Jim Thomas (cudigest@sun.soci.niu.edu)
  6.        News Editor: Gordon Meyer (gmeyer@sun.soci.niu.edu)
  7.        Archivist: Brendan Kehoe
  8.        Shadow Master: Stanton McCandlish
  9.        Field Agent Extraordinaire:   David Smith
  10.        Shadow-Archivists: Dan Carosone / Paul Southworth
  11.                           Ralph Sims / Jyrki Kuoppala
  12.                           Ian Dickinson
  13.        Cu Digest Homepage: http://www.soci.niu.edu/~cudigest
  14.  
  15. CONTENTS, #8.52 (Wed, Jul 10, 1996)
  16.  
  17. File--*** DOJ calls for "Manhattan Project" to combat "the new cyber threats"
  18. File--***Cu Digest Header Info (unchanged since 7 Apr, 1996)
  19.  
  20. CuD ADMINISTRATIVE, EDITORIAL, AND SUBSCRIPTION INFORMATION ApPEARS IN
  21. THE CONCLUDING FILE AT THE END OF EACH ISSUE.
  22.  
  23. ---------------------------------------------------------------------
  24.  
  25. Date: Sun, 9 Jun 1996 01:04:51 -0500
  26. From: Mike Godwin <mnemonic@eff.org>
  27. Subject: File 1-- DOJ calls for "Manhattan Project" to combat "the new cyber thr
  28. eats"
  29.  
  30.  
  31.  [The following document was typed in from a photocopy by Mike
  32.  Godwin, mnemonic@well.com. Any errors in transcription are his.]
  33.  
  34.               NATIONAL SECURITY IN THE INFORMATION AGE
  35.              Conference at the U.S. Air Force Academy,
  36.                      Colorado Springs, Colorado
  37.                           29 February 1996
  38.  
  39.                   THE HONORABLE JAMIE S. GORELICK,
  40.             DEPUTY ATTORNEY GENERAL OF THE UNITED STATES
  41.  
  42.  Thank you for that kind introduction. I very much appreciate the
  43.  opportunity to speak with you this evening about national
  44.  security in the information age.  You have brought together a
  45.  truly remarkable collection of people for this conference. This
  46.  is precisely the sort of cross-section of government and
  47.  industry that is needed for us to begin working through the
  48.  difficult policy questions that must be resolved.
  49.  
  50.  In some ways, what we are experiencing today is sort of the "Big
  51.  Bang" moment in the development of information technology: New
  52.  technology is virtually exploding onto the scene, with important
  53.  developments occurring almost daily. With each new technological
  54.  innovation, there are not only myriad new opportunities for
  55.  business and new conveniences for consumers, but also new legal
  56.  and policy issues for national policymakers to confront. And
  57.  since, as many of you know,
  58.  
  59.  
  60.  Begin Page 2
  61.  
  62.  policy making in Washington is not always lightning-quick, it
  63.  will not surprise you to learn that the development of
  64.  technology has to a large degree outpaced our planning and
  65.  actions.
  66.  
  67.  Fortunately, though, this has begun to change. Tonight, I would
  68.  like to speak with you about some of the important developments
  69.  that are taking place in Washington concerning national security
  70.  in the information age. More importantly, I want to underscore
  71.  the importance of developing and continuing a dialogue between
  72.  government and industry on these issues. Simply put, no matter
  73.  what we try to do in Washington, we will get nowhere unless we
  74.  successfully enlist the assistance and cooperation of the
  75.  private sector.
  76.  
  77.  At the same time, though, The private sector must recognize that
  78.  a government role is also indispensable.  Government and private
  79.  industry are, in a very real way, interdependent in this area.
  80.  No workable solution to the myriad problems can be devised by
  81.  one or the other unilaterally. We have to work together.
  82.  
  83.  
  84.  Begin Page 3
  85.  
  86.  * * *
  87.  
  88.  One of the most striking things about the explosion of new
  89.  information technology over the last couple of years, in this
  90.  "Age of the Internet," is the way in which that technology is
  91.  often portrayed as an unqualified "good." The exponential growth
  92.  of the Internet, the expansion of digital and cellular phone
  93.  systems, and the proliferation of unbreakable encryption are
  94.  viewed by some as unconditionally positive developments.
  95.  Correspondingly, any effort to regulate the use of these new
  96.  technologies is seen as "bad," as the work of neo-Luddites, and
  97.  as inevitably doomed to failure.
  98.  
  99.  We are witnessing this phenomenon right now in the raging debate
  100.  over efforts to restrict pornography on the Internet. We saw it
  101.  last year in the debate over the FBI's effort to ensure that it
  102.  can continue to conduct legally authorized wiretaps on digital
  103.  telephones. And we see it, too, in the ongoing effort to develop
  104.  a national encryption policy, in which we
  105.  
  106.  
  107.  Begin Page 4
  108.  
  109.  seek to encourage the use of strong encryption while protecting
  110.  the interests that all of us have in effective law enforcement
  111.  and national security systems.
  112.  
  113.  In all of these debates, the decibel level is high. Many critics
  114.  of government start from the proposition that any involvement by
  115.  Washington is necessarily bad. In such circumstances, it is
  116.  difficult even to engage in rational discourse, let alone find
  117.  common ground.
  118.  
  119.  Clearly, we need to step back, take a deep breath, and recognize
  120.  a fundamental principle for starters:  technology is not
  121.  inherently "good." Nor is it inherently "evil." Rather, it is a
  122.  tool whose virtue and worth depend on the use to which people
  123.  put it.
  124.  
  125.  Everyone recognizes this simple proposition in the case of
  126.  nuclear technology. Obviously, that technology can be enormously
  127.  useful -- if harnessed correctly, it can end our dependence on
  128.  fossil fuels, satisfy our energy needs, and reduce pollution
  129.  caused by burning coal, oil, or gas. But it also is potentially
  130.  evil, if
  131.  
  132.  
  133.  Begin Page 5
  134.  
  135.  it is turned into nuclear weapons used by a rogue state or
  136.  terrorists to kill innocent people.
  137.  
  138.  But this notion of "moral neutrality" is not the universal view
  139.  when it comes to information technology.  It is easy to grasp
  140.  the potential good of this technology. The spread of the
  141.  Internet, for instance, can greatly enhance our lives in
  142.  countless ways: It can connect people across vast distances; it
  143.  can disseminate knowledge to far-flung corners of the earth; it
  144.  can spread the message of democracy to people who labor under
  145.  tyrannical regimes; it can improve our own democratic process by
  146.  allowing candidates to distribute their message more broadly and
  147.  cheaply or by permitting the people to make their voices -- and
  148.  their votes --heard more clearly; it can allow parents to spend
  149.  more time with their children by "telecommuting"; it can improve
  150.  our children's education by providing even the poorest school
  151.  districts with electronic access to our best teachers; and it
  152.  can improve the lives of our senior citizens by allowing them to
  153.  communicate with
  154.  
  155.  
  156.  Begin Page 6
  157.  
  158.  relatives or shop without leaving their homes. The possibilities
  159.  are truly endless.
  160.  
  161.  Similarly, strong encryption has the potential for better
  162.  protecting people's privacy and for increasing our ability to
  163.  conduct electronic commerce without fear of theft or fraud.
  164.  
  165.  But what has too often been ignored is the potential for the new
  166.  technology to be put to evil uses. Thus, absent regulation, the
  167.  Internet allows the distribution of child pornography nationwide
  168.  at the push of a button, without any control over who is exposed
  169.  to it.  Similarly, it can permit much greater invasion of
  170.  privacy and damage to reputation if private facts about a
  171.  person, or malicious slander, can be spread so quickly and
  172.  easily. In the old days, when gossip spread by word of mouth,
  173.  harm was necessarily limited. But now someone can be
  174.  "electronically slammed" around the world in minutes. And, the
  175.  more people begin to rely on the Internet to conduct electronic
  176.  commerce and everyday communications, the greater potential
  177.  there is for
  178.  
  179.  
  180.  Begin Page 7
  181.  
  182.  invasion of their privacy as credit companies and service
  183.  providers acquire vast amounts of personal information about
  184.  people's purchases, hobbies, interests, phone records, and other
  185.  details of their everyday lives. In the past, it would have
  186.  taken weeks of intensive investigation into a person's life to
  187.  put together a picture of him that can now be developed in
  188.  minutes. And electronically stored private information - - such
  189.  as credit or health records -- not only can be accessed quickly,
  190.  but also can be altered.
  191.  
  192.  Encryption, too, can be used for sinister purposes. With the
  193.  proliferation of unbreakable encryption, law enforcement stands
  194.  to lose some of its most effective tools against terrorists and
  195.  organized crime groups.  Court-ordered wiretaps that allows us
  196.  to intercept communications and prevent a terrorist plot are
  197.  rendered worthless. Stored data files that might hold the key to
  198.  bringing down an international drug cartel or child pornography
  199.  ring will be undecipherable, allowing some of the most heinous
  200.  criminals to go free.
  201.  
  202.  
  203.  Begin Page 8
  204.  
  205.  Just imagine, for a moment, if we found someone who was abusing
  206.  innocent children to manufacture graphic, hard-core child
  207.  pornography. Imagine that law enforcement successfully obtained
  208.  a warrant to search his office for evidence, including his
  209.  computer files. Imagine, though, that we go to all that effort
  210.  to catch this criminal, only to find that the list of children
  211.  that he uses to produce his pornography is encrypted with DES.
  212.  He's disposed of his only key (or at least he claims he did).
  213.  No key is held in escrow. Dead end for us. Is this really the
  214.  type of constraint we want? Unfortunately, this is _not_ an
  215.  imaginary scenario. This problem is a real one.
  216.  
  217.  Or, imagine an employee who encrypts crucial company documents
  218.  just before he quits the company, leaving the company helpless
  219.  to access the plain text . Or a widow who finds that all of her
  220.  deceased spouse's probate files are encrypted, but he did not
  221.  leave a key.
  222.  
  223.  Beyond these examples of potential ill-uses [sic] of information
  224.  technologies, there are broader social
  225.  
  226.  
  227.  Begin Page 9
  228.  
  229.  problems that are harder to measure, but which we are slowly
  230.  coming to recognize instinctively. For instance, if people are
  231.  spending hours on end in chat room, conversing with faceless
  232.  strangers thousands of miles away, will they spend less time
  233.  actually talking with their children, their parents and their
  234.  friends? What will this do to interpersonal relations and
  235.  children's intellectual and emotional development?
  236.  
  237.  And what effect will the Internet have on the nature of
  238.  communication itself? Anyone who has used e-mail has experienced
  239.  the misunderstandings that arise so frequently in electronic
  240.  conversations. Something odd happens, whether it is that people
  241.  feel more free to discard social conventions like politeness and
  242.  to be brutally candid when they are looking at a computer screen
  243.  instead of a human face; or whether it is the lack of tone,
  244.  intonation or facial expression that accompanies spoken
  245.  communication and can subtly change the meaning of a person's
  246.  actual words or signal that someone is only joking; or whether
  247.  it is the lack of care that goes into messages that someone
  248.  fires off on
  249.  
  250.  
  251.  Begin Page 10
  252.  
  253.  her keyboard rather than taking the time to think out a
  254.  handwritten letter. Something happens that simply engenders
  255.  misunderstandings and hurt feelings more frequently in e-mail
  256.  than in casual conversations by the water cooler or written
  257.  letters to friends. We've all experienced this, but we don't
  258.  quite know what the implications are.
  259.  
  260.  The metaphor of the "information Superhighway" has become a
  261.  cliche by now, but let me invoke it one last time before putting
  262.  it to rest! Imagine if, at the advent of the automobile, all of
  263.  the states, as well as individual companies, just started
  264.  building their own roads all over the place, with no speed
  265.  limits, no lane markings, no highway patrol or emergency rescue
  266.  services, no emergency exits, no safety inspections for trucks
  267.  or passenger vehicles. I think everyone would recognize that
  268.  this would be a recipe for disaster. But now as we are
  269.  constructing our "information superhighway," which is a thousand
  270.  times more complicated than our automotive highway system -- and
  271.  provides opportunity for much greater damage if abused
  272.  
  273.  
  274.  Begin Page 11
  275.  
  276.  -- many people are telling the government to just get out of the
  277.  way and let NII develop its own, with no restrictions,
  278.  nonregulation, no effort even to protect our information
  279.  infrastructures from attack or abuse.  This simply does not make
  280.  sense.
  281.  
  282.  In my view, we really have two choices: We can begin now,
  283.  jointly, to try to come up with solutions to some of the
  284.  difficult issues raised by the growth of the information
  285.  infrastructure in a rational, measured, and prudent way. Or we
  286.  can wait until a crisis occurs, until some cyber catastrophe
  287.  suddenly crystallizes these issues in the public's mind and
  288.  leads to an outcry and a call for immediate government response.
  289.  But, if history teaches us anything, it is exactly this sort of
  290.  crisis mode, when the government is pressured to respond to some
  291.  recent outrage, that we are most likely to overreact and enact
  292.  bad policy [sic]. Let's try to do it now, while cooler heads
  293.  prevail; let's work together to come up with solutions that
  294.  serve the public interests.
  295.  
  296.  
  297.  Begin Page 12
  298.  
  299.  The telecommunications industry, to its great credit,
  300.  understands this interdependence. As a result, I think the
  301.  president's national security telecommunications advisory
  302.  committee -- a joint government-industry body - - has been
  303.  highly successful in crafting solutions to the particular
  304.  problems faced by the telecommunications industry. The NSTAC
  305.  serves as a model, in many ways, for what we need to do for the
  306.  rest of our industries that rely on the national information
  307.  infrastructure.
  308.  
  309.  * * *
  310.  
  311.  Let me now turn to the particular problems posed by the
  312.  information revolution for our national security. You have heard
  313.  a lot over the last two days about the growing dependence on the
  314.  information infrastructure in all sectors of society --
  315.  military, political, economic, academic, and cultural -- and
  316.  about the increasing interconnectedness of all these sectors.
  317.  The implications for national security are becoming more
  318.  apparent: as we become more interconnected, we are also
  319.  
  320.  
  321.  Begin Page 13
  322.  
  323.  more vulnerable to attack from many different sources.  The
  324.  information and control systems for our critical industries, for
  325.  instance, are more vulnerable to penetration and disruption;
  326.  information can be more easily stolen, distorted, or destroyed;
  327.  and the very operation of those industries can be brought to a
  328.  halt more quickly and easily.
  329.  
  330.  The issue of how we address our vulnerability to such attacks
  331.  has often been referred to as a "defensive information warfare."
  332.  But this term can be misleading.  It suggests that the issue is
  333.  a problem only for our defense establishment, and should be
  334.  addressed as part of our national defense strategy. Certainly,
  335.  the military sits on a vulnerable platform consisting of
  336.  different critical infrastructures. But civil society sits on
  337.  that same platform. This is therefore also an issue for the
  338.  civilian world. Every person and institution that is connected
  339.  to the "information superhighway" is vulnerable to attack, not
  340.  just those people and institutions involved in our defense
  341.  mission.
  342.  
  343.  
  344.  Begin Page 14
  345.  
  346.  Moreover, the sources of attacks are not limited to nation
  347.  states or other foreign powers during times of war. Rather, they
  348.  can run the gamut, from the disgruntled employee who steals or
  349.  destroys his employers information out of malice; to the
  350.  criminal who steals proprietary information for pecuniary gain;
  351.  to terrorists who seek to cause widespread death or destruction
  352.  to intimidate or coerce the government; to foreign intelligence
  353.  agents who want surreptitiously to access or manipulate
  354.  classified or proprietary information; and, finally, to the
  355.  hostile state using cyber attacks as an instrument of war.
  356.  Obviously, not all of these attacks are directly related to
  357.  defense.  All of them are, however, of interest to law
  358.  enforcement.
  359.  
  360.  The statistics illustrate, in broad strokes at least, how the
  361.  cyber threat is increasing. From 1991 to 1995, the number of
  362.  Internet hosts increased from approximately 750,000 to over 5
  363.  million, an expansion of over 500%. Not surprisingly, over a
  364.  three-year period from 1991 to
  365.  
  366.  
  367.  Begin Page 15
  368.  
  369.  1994, the number of security incidents reported to the Computer
  370.  Emergency Response Team (or CERT) at Carnegie Mellon University
  371.  increased 498%, and the number of sites affected worldwide was
  372.  up 702%.
  373.  
  374.  Recent surveys reinforce the CERT statistics. One survey of 246
  375.  companies revealed that the monthly rate of incidents involving
  376.  the theft of corporate proprietary information rose 260% from
  377.  1985-1993. Only 32 of these companies were willing to quantify
  378.  their losses, which amounted to $1.8 billion. In the other
  379.  survey, almost one quarter of the 898 organizations queried
  380.  reported a computer crime within the previous 12 months. And
  381.  last summer, the Defense Information Systems Agency (DISA),
  382.  reported that attacks on DOD computer systems had doubled from
  383.  only the year before and were then running at a rate of two a
  384.  day.
  385.  
  386.  Let me give you a few examples of the types of "cyber" crimes we
  387.  have seen in recent years to put some flesh on the bones of
  388.  these statistics. These cases illustrate how vulnerable we
  389.  already are, both as
  390.  
  391.  
  392.  Begin Page 16
  393.  
  394.  individuals and as institutions, and provide a window into our
  395.  future.
  396.  
  397.  * In 1994, nine people, including an MCI employee, were indicted
  398.  for a scheme involving a $50-million telephone calling card
  399.  fraud. Using a sniffer program (which monitors network traffic),
  400.  they captured and used more than 150,000 calling card numbers.
  401.  The scheme had been directed by hackers in Germany who then made
  402.  international calls to attack U.S. computer networks.
  403.  
  404.  * A computer hacker broke into files at a bank and a credit
  405.  union, and then used the information to apply for credit cards
  406.  in the victim's name. The criminal then used these cards to go
  407.  on a buying spree. The victim's ability to obtain credit was
  408.  ruined and had to be painstakingly reestablished.
  409.  
  410.  
  411.  Begin Page 17
  412.  
  413.  Hackers broke into Lawrence Livermore Laboratory computers and
  414.  used them to store illegal hard-core pornography. Nearly 2,000
  415.  megabytes with 1,000 images were found on one Internet-linked
  416.  computer.
  417.  
  418.  * We have seen transmission of child pornography files by e-mail
  419.  through America Online.
  420.  
  421.  * Con artists have used electronic bulletin board systems to
  422.  hype recently-purchased penny stocks, driving up the price and
  423.  giving the con artists a profit.
  424.  
  425.  For the most part, these attacks appear to come from
  426.  "unstructured" sources: That is, they are unrelated incursions
  427.  by individuals or small groups usually seeking to steal
  428.  information or services or to cause disruption purely out of
  429.  malice, but with no grand design or organization. In terms of
  430.  national security, though, the greatest threat will come from
  431.  "structured" sources: organized crime groups (we have seen
  432.  instances
  433.  
  434.  
  435.  Begin Page 18
  436.  
  437.  of this), and, more importantly, terrorist organizations,
  438.  foreign intelligence agencies, and foreign military services.
  439.  These are the entities whose efforts are the best financed, the
  440.  most focused, and the most likely to cause widespread damage to
  441.  our national security by disrupting elements of our
  442.  infrastructures that depend on the information superhighway.
  443.  
  444.  Even for these structured threats, law enforcement plays a
  445.  critical role. Under Presidential Decision Directive 39, which
  446.  was issued last summer and sets out the administration's
  447.  counterterrorism policy, the Department of Justice (through its
  448.  component, the FBI) is the lead agency responsible for
  449.  combatting terrorism in the United States. And Executive Order
  450.  12333, which has been the guiding instrument for the
  451.  intelligence community since 1981, designates the FBI as the
  452.  lead agency for counterintelligence matters. So clearly, law
  453.  enforcement has an important role in protecting our national
  454.  security against the new cyber threats.
  455.  
  456.  
  457.  Begin Page 19
  458.  
  459.  Our most immediate concern right now is the terrorist threat. As
  460.  our society becomes more and more dependent on the information
  461.  superhighway, we must expand our focus beyond the traditional
  462.  "physical" attacks by terrorists that we have encountered in the
  463.  past, and to anticipate and protect against cyber attacks that
  464.  could cause as great, if not greater, impact as a well-placed
  465.  bomb.
  466.  
  467.  It's not hard to imagine how terrorists could use cyber tools to
  468.  wreak massive havoc in this country. Consider the World Trade
  469.  Center case, for example. There was some evidence suggesting
  470.  that the conspirators in that case intended to cause the tower
  471.  to collapse, in order to disrupt the financial markets on wall
  472.  street. That same objective could also be accomplished through
  473.  an electronic attack on the energy or telecommunications systems
  474.  that supply lower Manhattan, or on the information systems of
  475.  the banking and financial institutions themselves.
  476.  
  477.  
  478.  Begin Page 20
  479.  
  480.  The threat is _not_ simply hypothetical. We have already seen
  481.  attacks on elements of the infrastructure that, although
  482.  apparently not committed by terrorists, illustrate the
  483.  vulnerabilities that are present in our information networks,
  484.  and demonstrate the urgency of our situation.
  485.  
  486.  * The pending case involving Citibank is one example.  Between
  487.  June and October in 1994, approximately 40 wire transfers were
  488.  attempted from Citibank's cash management system through the use
  489.  of a computer and phone lines from St. Petersburg, Russia, by
  490.  compromising the password and user identification code system.
  491.  Citibank was successful in blocking most of the transfers or
  492.  recovering the funds from recipient banks, limiting its losses.
  493.  But the potential loss was enormous. Still, imagine what the
  494.  impact might have been if the intruders' intent was not to steal
  495.  funds from a few accounts, but to bring down the entire bank's
  496.  accounting system; or to zero out the
  497.  
  498.  
  499.  Begin Page 21
  500.  
  501.  records of thousands of accounts; or to disrupt several major
  502.  banks simultaneously.
  503.  
  504.  * In 1989, the "Legion of Doom" in Atlanta, Georgia, remotely
  505.  accessed the administrative computers of Bell South and
  506.  wiretapped calls and altered phone services.  It could have shut
  507.  down the phone network for the Southeastern United States.
  508.  
  509.  * From 1993 to 1995, a man in California gained control of the
  510.  computers running local telephone switches, and discovered
  511.  information concerning U.S. government wiretaps conducted
  512.  pursuant to the Foreign Intelligence Surveillance Act (FISA). He
  513.  also uncovered a criminal wiretap and warned the target.
  514.  
  515.  Now, in part through the efforts by joint industry-government
  516.  bodies such as the President's National Security Advisory
  517.  Committee (NSTAC), telecommunications carriers have taken steps
  518.  to prevent,
  519.  
  520.  
  521.  Begin Page 22
  522.  
  523.  or to minimize and contain the damage from, this sort of attack,
  524.  in order to avoid the sort of regional disruption threatened by
  525.  the Legion of Doom. But I don't know anyone who thinks that this
  526.  sort of disruption is no longer a real possibility.
  527.  
  528.  The banking and telecommunications infrastructures are not the
  529.  only ones that have been affected.
  530.  
  531.  * In 1992, a computer intruder was arrested for tampering with
  532.  the Emergency 911 systems in Virginia, Maryland, and New Jersey
  533.  in order to introduce a virus and bring down the systems.
  534.  
  535.  * Also in 1992, a fired employee of an emergency alert network
  536.  sabotaged the firm's computer system by hacking into the
  537.  company's computers, causing them to crash for about 10 hours.
  538.  During that time, there was an emergency at an oil refinery. The
  539.  disabled system was therefore unable to alert thousands of
  540.  nearby residents to a noxious release from the
  541.  
  542.  
  543.  Begin Page 23
  544.  
  545.  refinery. Beyond that, the computer crash potentially
  546.  jeopardized hundreds of thousands of people in 22 states and 6
  547.  areas of Canada where the alert network operated.
  548.  
  549.  And, of course, the government itself has not been immune to
  550.  such attacks.
  551.  
  552.  * A computer hacker penetrated computer or phone systems of
  553.  universities, government departments, and companies.  In the
  554.  U.S. marshals' computer, he found the locations of individual
  555.  federal prisoners, putting the security of our institutions at
  556.  risk. He also stole from an air force base a computer access
  557.  card, which he then sold through the mail.
  558.  
  559.  * Finally, a sniffer was introduced into computers of NASA's
  560.  Goddard Space Flight Center, permitting someone to download a
  561.  large volume of complex calibration telemetry calculations
  562.  transmitted from satellites. The
  563.  
  564.  
  565.  Begin Page 24
  566.  
  567.  sniffer remained undetected for an unprecedented length of time.
  568.  
  569.  These are just some examples of the cases we've already seen.
  570.  But they should convey to you the urgency of the situation.
  571.  
  572.  Now, some of my colleagues in government think it's best not to
  573.  discuss such cases, or to speculate about possible terrorist
  574.  cyber attacks, publicly, for fear of inspiring would-be
  575.  terrorists to carry out just the sort of attacks we're concerned
  576.  about. But I think keeping quiet about the problem is the wrong
  577.  approach. Silence will not appreciably lessen the probability of
  578.  an attack. We must take it as a given that someone is already
  579.  scheming.
  580.  
  581.  Instead, our main concern should be to get our own house in
  582.  order and begin constructing our defenses. This means, first and
  583.  foremost, that we need to raise people's consciousness -- both
  584.  within the government and in the relevant sectors of industry.
  585.  This requires that
  586.  
  587.  
  588.  Begin Page 25
  589.  
  590.  we talk about the threat and how to combat it. That is why this
  591.  conference is so valuable. Second, it means we have to figure
  592.  out how to organize ourselves within government, and in the
  593.  private sector, to fight the threat.
  594.  
  595.  While the Justice Department is designated as the lead agency
  596.  for fighting terrorism in the U.S., we do not look at the cyber
  597.  threat solely as a subset of terrorism. The potential sources of
  598.  attack are simply too varied. It would be self-defeating to
  599.  concentrate on protecting against terrorist attacks, but to
  600.  ignore the problem of hackers, foreign espionage agents, or
  601.  organized crime groups. Yet, despite the breadth of the problem,
  602.  right now, there is no single agency, no focal point within the
  603.  government responsible for protecting against such attacks. In
  604.  fact, at last count there some 22 agencies and task forces that
  605.  thought they had responsibility for some segment of this
  606.  problem.  Similarly, while many individual companies have taken
  607.  steps to secure their information systems, very few industries
  608.  have begun considering this problem on an
  609.  
  610.  
  611.  Begin Page 26
  612.  
  613.  industry-wide scale. But clearly this problem begs for a
  614.  comprehensive approach that involves both industry and
  615.  government in a cooperative effort.
  616.  
  617.  So, what needs to be done? Let me set out a roadmap for you, and
  618.  identify in particular where I think help from industry is
  619.  critical.
  620.  
  621.  _First_, we have to identify our vulnerabilities. This means
  622.  identifying those components of government and the private
  623.  sector that, if attacked, would result in the greatest harm to
  624.  society, on a regional or national scale These are what we have
  625.  begun calling "critical national infrastructures." We currently
  626.  break those infrastructures into roughly eight categories:
  627.  telecommunications; electrical power systems; transportation;
  628.  water supply systems; emergency services (including medical,
  629.  police, and fire and rescue services); and continuity of
  630.  government and government operations.
  631.  
  632.  
  633.  Begin Page 27
  634.  
  635.  We already have a foundation for this effort. Both the Defense
  636.  Department and the FBI have what they call key asset programs,
  637.  which consist of databases identifying key assets within each
  638.  category of critical infrastructures, and containing
  639.  vulnerability information and emergency points of contact for
  640.  each key asset.
  641.  
  642.  Until now, however, both of these programs have focused on
  643.  vulnerabilities to _physical_ attack. DOD and FBI have already
  644.  set out to broaden the focus of these programs to include
  645.  vulnerabilities to cyber attacks and to coordinate the two
  646.  databases. In expanding into the cyber area, we will need a lot
  647.  of cooperation from industry, a willingness to share information
  648.  with us (on a confidential basis) and to work jointly with us in
  649.  determining vulnerabilities.
  650.  
  651.  The _second_ thing we need to do is identify the scope and
  652.  sources of the threat. Again, the defense and intelligence
  653.  communities have been concerned with identifying military and
  654.  espionage threats in this
  655.  
  656.  
  657.  Begin Page 28
  658.  
  659.  field. But there has been very little effort to assess
  660.  comprehensively the full range of cyber threats to our
  661.  infrastructures: who poses a threat? What are their
  662.  capabilities? What have they done in the past? What are their
  663.  intentions?
  664.  
  665.  This will require a joint effort by the defense, intelligence,
  666.  and law enforcement communities, combining their data and doing
  667.  joint analyses. But it will also require cooperation by
  668.  industry. No analysis can be complete without information about
  669.  what attacks industry has already experienced, and by whom.
  670.  
  671.  On this point, let me say that under-reporting of computer
  672.  crimes has been a major problem in getting a handle on the
  673.  nature and scope of the threat. There are two principal reasons
  674.  for this under-reporting. First, many victims don't even now
  675.  they are victims. Let me give you one example. The Justice
  676.  Department handled a case in 1992 involving a hacker intrusion
  677.  into Boeing's supercomputer center in Seattle. The hacker
  678.  downloaded encrypted password files and used Boeing's computers
  679.  to
  680.  
  681.  
  682.  Begin Page 29
  683.  
  684.  run hacker and cracker programs. To its great credit, Boeing
  685.  reported the intrusion to the FBI and partitioned its system to
  686.  allow agents to trace the hackers to the source.
  687.  
  688.  In the course of the investigation, the FBI soon learned that
  689.  the hackers had gained access to the entire computer system
  690.  serving the federal district court in Seattle. In fact, he had
  691.  obtained the passwords of both the system administrator and a
  692.  federal judge, forcing the courthouse system to close for a day.
  693.  Yet, without Boeing's call to law enforcement, the federal court
  694.  administrator would not have known that an intruder had acquired
  695.  unfettered access to the court's computers.
  696.  
  697.  A second reason for under-reporting is the collateral
  698.  consequences of reporting. To put it bluntly, there may be a lot
  699.  of explaining to do -- to managers, customers, regulators, or
  700.  the public. If it is your job to secure a company's information
  701.  systems, how eager will you be to confess to people that your
  702.  defenses didn't work? Banks are a prime example. If
  703.  
  704.  
  705.  Begin Page 30
  706.  
  707.  you are Citibank, you maybe loath to reveal to depositors that
  708.  their accounts may be vulnerable to electronic theft. Similarly,
  709.  a telecommunications carrier may not want to publicize that its
  710.  customers' conversations have been accessed by so-called "phone
  711.  phreakers."
  712.  
  713.  The extent of under-reporting is illustrated by some statistics
  714.  compiled by DISA. As many of you probably know, DISA tests the
  715.  security of DOD computer systems by having its tiger teams
  716.  "attack" the computes using standard hacker methods and tools.
  717.  Over the course of this program, DISA has accumulated some
  718.  telling statistics. At last count, DISA tiger teams had
  719.  successfully penetrated 88% of the computer systems they
  720.  attacked. More startling, system administrators at the
  721.  successfully attacked sites only detected 4% of these
  722.  penetrations. And of the 4 % who discovered the intrusion, only
  723.  5% reported it! If you do the math, you'll see that of the
  724.  10,000 machines attacked, 8,800 were penetrated, only 352
  725.  discovered it, and only 18 reported it. Or put another way, for
  726.  each report of a
  727.  
  728.  
  729.  Begin Page 31
  730.  
  731.  computer intrusion, there were 490 others that went unreported.
  732.  
  733.  The FINAL step, and probably the most difficult, is to figure
  734.  out how to organize ourselves to address the problem. Again, I
  735.  believe it is a mistake to think about this problem in
  736.  compartments: that is, for DOD as a military problem; for
  737.  Justice and FBI as a terrorism problem; for the CIA and NSA as
  738.  an espionage problem and for private industry as a white-collar
  739.  crime problem.  The threat is too varied. and the problems too
  740.  overlapping, to permit such a fragmented approach. We clearly
  741.  need one focal point in the government to take the lead in
  742.  addressing this issue comprehensively -- to develop national
  743.  policy, coordinate the necessary other agencies, and with
  744.  industry on developing solutions.  We need the equivalent of the
  745.  "Manhattan Project" to address the technological issues and to
  746.  help us harden our infrastructures against attack.  It might be
  747.  that we can just designate an existing agency to take the lead.
  748.  Or we may need a new agency or some interagency body to perform
  749.  the task.
  750.  
  751.  
  752.  Begin Page 32
  753.  
  754.  But some centralized entity is direly needed to push this effort
  755.  along.
  756.  
  757.  Most importantly, though, whatever we decide to do within the
  758.  government, we need to enlist the private sector to join in this
  759.  cooperative venture -- not just in assessing vulnerabilities and
  760.  threats, but in devising and implementing solutions. Simply put,
  761.  without the participation of the private sector, any effort is
  762.  bound to come up short.
  763.  
  764.  There are several reasons for this. _First_, at the most basic
  765.  level, most components of the national information
  766.  infrastructure, as well as the critical industries and
  767.  institutions that depend on the NII, are in private hands. This
  768.  means that, absent statutory authority to regulate a particular
  769.  industry, the government has limited ability to require private
  770.  companies to take protective measures; it can merely advise
  771.  industry and urge it to "do the right thing." And even if
  772.  government convinces industry to take protective measures, there
  773.  remains the knotty question
  774.  
  775.  
  776.  Begin Page 33
  777.  
  778.  of who will pay for such measures (or for restoration of service
  779.  after an attack). Although private companies have an obvious
  780.  financial incentive to take steps to reduce thefts, it is less
  781.  clear that they are willing to incur the costs necessary to
  782.  protect their plants or information systems against a purely
  783.  malicious or terrorist attack. These are issues that need to be
  784.  worked out by industry and government together.
  785.  
  786.  _Second_, private sector involvement in crafting and
  787.  implementing solutions is needed in order to engender the trust
  788.  in government that will be necessary to implement any solution.
  789.  Few people question the need for a government role, at some
  790.  level, in protecting the physical plant of the nation's critical
  791.  infrastructures.  But the same cannot be said in the information
  792.  technology arena. The notion of government involvement in this
  793.  area immediately raises concerns about privacy, economic
  794.  competitiveness, and protection of proprietary information. The
  795.  raging debate over the government's encryption policy is just
  796.  one example. These concerns are not easily reconciled with the
  797.  interests in national
  798.  
  799.  Page 34
  800.  
  801.  security and law enforcement; but to ignore them would render
  802.  any effort futile.
  803.  
  804.  We are currently trying to come up with a framework for
  805.  addressing all these issues. No decisions have been made yet, so
  806.  I cannot report to you on precisely where we are headed. But I
  807.  do know that, in the very near future, we will be reaching out
  808.  to critical industries to get them integrally involved in the
  809.  process. I ask you to join us in this vital effort; to sit down
  810.  with us and share your concerns, your ideas, your skill and
  811.  expertise, and your energy; and to work with us to begin
  812.  addressing this problem.
  813.  
  814.  There are many skeptics who say that we will have to endure the
  815.  electronic equivalent of Pearl Harbor or Oklahoma City before
  816.  the key players in government or industry wake up to the problem
  817.  of protecting our information and other critical infrastructures
  818.  from the new cyber threats. The fact that the Olin Foundation
  819.  and the Air Force are holding this conference, however, and
  820.  
  821.  
  822.  Begin Page 35
  823.  
  824.  have succeeded in getting such a diverse and high-level group of
  825.  participants disproves this pessimistic view.
  826.  
  827.  But we cannot stop here. It is not enough to identify the
  828.  problem and to talk about it. After this conference, we need to
  829.  begin taking action. So I ask you to join us in taking those
  830.  next steps. We need to educate industry about the problem,
  831.  determine its scope, and create a joint approach to developing
  832.  solutions. If we in government begin to pause or stumble, prod
  833.  us or help us up. There will be much resistance along the way;
  834.  but given the importance of the issue, inaction would be
  835.  intolerable.
  836.  
  837.  Thank you.
  838.  
  839.  ---------------
  840.  
  841. ------------------------------
  842.  
  843.  
  844. ------------------------------
  845.  
  846. Date: Thu, 21 Mar 1996 22:51:01 CST
  847. From: CuD Moderators <cudigest@sun.soci.niu.edu>
  848. Subject: File 2--Cu Digest Header Info (unchanged since 7 Apr, 1996)
  849.  
  850. Cu-Digest is a weekly electronic journal/newsletter. Subscriptions are
  851. available at no cost electronically.
  852.  
  853. CuD is available as a Usenet newsgroup: comp.society.cu-digest
  854.  
  855. Or, to subscribe, send post with this in the "Subject:: line:
  856.  
  857.      SUBSCRIBE CU-DIGEST
  858. Send the message to:   cu-digest-request@weber.ucsd.edu
  859.  
  860. DO NOT SEND SUBSCRIPTIONS TO THE MODERATORS.
  861.  
  862. The editors may be contacted by voice (815-753-0303), fax (815-753-6302)
  863. or U.S. mail at:  Jim Thomas, Department of Sociology, NIU, DeKalb, IL
  864. 60115, USA.
  865.  
  866. To UNSUB, send a one-line message:   UNSUB CU-DIGEST
  867. Send it to  CU-DIGEST-REQUEST@WEBER.UCSD.EDU
  868. (NOTE: The address you unsub must correspond to your From: line)
  869.  
  870. Issues of CuD can also be found in the Usenet comp.society.cu-digest
  871. news group; on CompuServe in DL0 and DL4 of the IBMBBS SIG, DL1 of
  872. LAWSIG, and DL1 of TELECOM; on GEnie in the PF*NPC RT
  873. libraries and in the VIRUS/SECURITY library; from America Online in
  874. the PC Telecom forum under "computing newsletters;"
  875. On Delphi in the General Discussion database of the Internet SIG;
  876. on RIPCO BBS (312) 528-5020 (and via Ripco on  internet);
  877. and on Rune Stone BBS (IIRGWHQ) (860)-585-9638.
  878. CuD is also available via Fidonet File Request from
  879. 1:11/70; unlisted nodes and points welcome.
  880.  
  881. EUROPE:  In BELGIUM: Virtual Access BBS:  +32-69-844-019 (ringdown)
  882.          Brussels: STRATOMIC BBS +32-2-5383119 2:291/759@fidonet.org
  883.          In ITALY: ZERO! BBS: +39-11-6507540
  884.          In LUXEMBOURG: ComNet BBS:  +352-466893
  885.  
  886.   UNITED STATES: etext.archive.umich.edu (192.131.22.8) in /pub/CuD/CuD
  887.                   ftp.eff.org (192.88.144.4) in /pub/Publications/CuD/
  888.                   aql.gatech.edu (128.61.10.53) in /pub/eff/cud/
  889.                   world.std.com in /src/wuarchive/doc/EFF/Publications/CuD/
  890.                   wuarchive.wustl.edu in /doc/EFF/Publications/CuD/
  891.   EUROPE:         nic.funet.fi in pub/doc/CuD/CuD/ (Finland)
  892.                   ftp.warwick.ac.uk in pub/cud/ (United Kingdom)
  893.  
  894.  
  895. The most recent issues of CuD can be obtained from the
  896. Cu Digest WWW site at:
  897.   URL: http://www.soci.niu.edu/~cudigest/
  898.  
  899. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  900. information among computerists and to the presentation and debate of
  901. diverse views.  CuD material may  be reprinted for non-profit as long
  902. as the source is cited. Authors hold a presumptive copyright, and
  903. they should be contacted for reprint permission.  It is assumed that
  904. non-personal mail to the moderators may be reprinted unless otherwise
  905. specified.  Readers are encouraged to submit reasoned articles
  906. relating to computer culture and communication.  Articles are
  907. preferred to short responses.  Please avoid quoting previous posts
  908. unless absolutely necessary.
  909.  
  910. DISCLAIMER: The views represented herein do not necessarily represent
  911.             the views of the moderators. Digest contributors assume all
  912.             responsibility for ensuring that articles submitted do not
  913.             violate copyright protections.
  914.  
  915. ------------------------------
  916.  
  917. End of Computer Underground Digest #8.52
  918. ************************************
  919.  
  920.  
  921.