home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / n_z / nia007.hac < prev    next >
Encoding:
Text File  |  2003-06-11  |  12.8 KB  |  280 lines
  1.  
  2.                  %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
  3.                  %%               N.I.A.                %%
  4.                  %%     Network Information Access      %%
  5.                  %%              10MAR90                %%
  6.                  %%            Lord Kalkin              %%
  7.                  %%              FILE #7                %%
  8.                  %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
  9.  
  10. :_Computers: Crime, Fraud, Waste Part 3
  11. :_Written/Typed/Edited By: Lord Kalkin
  12. :_Information Security
  13.                          PHYSICAL SECURITY
  14.  
  15.  
  16.           Traditional Security: Locks, Fences, and Guards
  17.  
  18.         Physical security once meant keeping a computer and its
  19. information from physical harm by surronding the computer facility with
  20. locks, fences, and guards.  But physical security has changed to
  21. accomodate the realities of today's computer enviroment -- an enviroment
  22. that is often a typical office setting with many small computers, word
  23. processors, and portable terminals.
  24.  
  25.         Physical security is concerned with controls that protect
  26. against natural disasters ( e.g., fires, flood, or earthquakes ), and
  27. accidents.  Physical security controls regulate the enviroment
  28. surrounding the computer, the data input, and the information products.
  29. In addition to the site where the computer equipment is housed, the
  30. enviroment includes program libraries, logs, records, magnetic media,
  31. backup storage areas, and utility rooms.
  32.  
  33.         Whether physical security controls are called enviromental
  34. controls, installation controls, or technical controls, they must be
  35. responsive to today's enviroment and they must be cost-effective.  For
  36. exapmle, installing costly fire suppression may be essential to protect
  37. a large computer that process sensitive data but may not be justifiable
  38. to protect a single microcomputer.
  39.  
  40. CRIMES, ABUSES, AND WASTE
  41.  
  42.         Computers have been shot, stabbed, stolen, and intentionally
  43. electrically shorted out.  Disks and tapes have been destroyed by
  44. spilled beverages, and computers have been harmed by water leaks.
  45. Computers have been seriously damaged by temperature extremes, fire,
  46. electric power surges, natural disasters, and a host of accidents.
  47. Information has been intercepted, stolen, sold, and used for the
  48. personal gain of an individual or for the benefit of a company.
  49.  
  50.         - Small computers are an especially attractive target for thieves.
  51.         - During a fire, disks stored in nonfireproof cabinets and
  52.           floppy disks left next to computer terminals were destroyed by
  53.           a sprinkler system.  Thousands of dollars were spent
  54.           reconstructing the information they contained.
  55.  
  56.         But accidents and ordinary contaminants are propably the major
  57. cause of damage to computers and realted equipment.
  58.  
  59.         COMPUTER GERMS:
  60.  
  61.                 SPILLS, SMOKE, AND CRUMBS
  62.                 HEAT AND HUMIDITY
  63.  
  64.         CLUES
  65.  
  66.                 The following clues can help indicate physical security
  67. vulnerabilities:
  68.  
  69.         1. Smoking, eating, and drinking are permitted in the computer
  70.            work area.
  71.         2. Computer equipment is left unattended in unlocked rooms or is
  72.            otherwise unsecured.
  73.         3. There is no fire alert or fire protection system.
  74.         4. Disks are left in desk drawers; there are no backups of disks
  75.         5. Strangers are not questioned about being in the computer area.
  76.         6. An inventory of computer equipment or software in
  77.            nonexistant, incomplete, never updated, or not verified after
  78.            it is completed. Inventory shortages occur frequently.
  79.         7. Printouts, microfiche, or disks containing sensitive data are
  80.            discarded as normal trash.
  81.         8. Locks which secure computer equipment or provide access to
  82.            computer equipment are never changed.
  83.         9. No assessment is made of the computer site, i.e., how
  84.            vulnerable is it to access by unauthorized persons, to fire
  85.            or water damage, or to other disasters.
  86.  
  87.      "THIS PRINTOUT IS WORTH $$$$$!!!  IT WILL GET ME INTO THE SYSTEM."
  88.  
  89. PHYSICAL SECURITY CONTROLS
  90.  
  91.         1. Prevent intentional damage, unauthorized use, or theft.
  92.  
  93.         Small computers can be locked or bolted to work stations and
  94. access to them limited by computer equipment cover locks.  Lock offices
  95. where they are located.  Ensure individuals are responsible and
  96. accountable for the small computer they use.
  97.  
  98.         If the information used by a goverment program is processed by a
  99. major computer facility, check to see how physical access to the
  100. facility and to related locations are controlled.  Methods such as logs,
  101. locks, identifiers ( such as badges ), and guards may be appropriate.
  102.  
  103.         The input of sensitive information requires proper handling of
  104. source documents.  Proper handling means giving the same security
  105. considerations to these documents whether they provide input to
  106. automated or nonautomated systems.  Consideratiosn may involve securing
  107. the area, logging the documents, ensuring that only appropiate cleared
  108. persons see these documents, and using burn abgs or other approved
  109. disposal methods.
  110.  
  111.         Carefully consider computer location.  Is it too accessible to
  112. unauthorized persons or susceptible to hazards?
  113.  
  114.       Alert Staff:
  115.  
  116.         Be aware of common access-gaining schemes, such as
  117.         "piggy-backing," where an authorized worker is followed into
  118.         the computer area by a stranger carrying an armload of
  119.         computer printouts or by persons claiming to be maintenance
  120.         workers.
  121.  
  122.         Know persons with authorized access to the computer area and
  123.         challenge strangers.
  124.  
  125.       Many people believe that locked and guarded doors provide total
  126. physical protection.  But electromagnatic emissions from other computers
  127. can be intercepted and automated information read.  Recommended
  128. protections (e.g., equipment modification and shielding ) must take into
  129. the account the level of security required by the automated information
  130. and the fact that such an interception is rare, but mare occur.
  131.  
  132.         An inexpensive precautionary measure is making sure that
  133.         telephone and computer transmission lines are not labled as to
  134.         their function and that their location is secured.  In a network
  135.         system, dedicated transmission lines -- which preform no other
  136.         function -- may be required.  In an increasing number of
  137.         situations, dedicating a small computer to a single application
  138.         may be the most cost-effective protection device.
  139.  
  140.         Each of the four technologies used to transmit automated
  141. information can be intercepted: cable ( wiretapping ), microwave (
  142. interception ), satellite ( satellite recieving atenna), and radio
  143. frequency ( interception ).
  144.  
  145.         Protection technologies which may be called for include
  146.         encryption of information, dedicated lines, security modems, and
  147.         the alteration of voice communications by scrambling the single,
  148.         converting it to digital form, and using encryption.
  149.  
  150. 2. Enviromental hazards can wreck havok with large and small computers
  151.    alike.
  152.  
  153.         Take measures to prevent, detect, and minimize the effects of
  154. harxards such as fire, water damage, air contaminants, excessive heat,
  155. and electricity blowouts.
  156.  
  157.         Protect against fire damage with regulary tested fire alert
  158. systems, and fire suspression devices.  Protect small computers with
  159. covers to prevent damage from sprinkler systems.  Do not store
  160. combustibles in the area.
  161.  
  162.         Static electricuty can erase memory in small computers.
  163. Antistatic pads and sprays can help control this.  Users can be reminded
  164. to discharge static electricity by touching a grounded object.
  165.  
  166.         Power surges can erase memory, alter programs, and destroy
  167. microcircuits.  An uniterrupted power source allows enough time to shut
  168. down a computer without losing data.  Prevent momentary power surges
  169. from damaging computers by using voltage regulators.  In a thunderstorm,
  170. unprotected small computers can be turned off and unplugged.
  171.  
  172.         Excessive heat can be controlled by air-conditioning systems and
  173. fans, and by ensuring that air can circulate freely.  A common problem
  174. is stacking peripheral equipment or blocking air vents on terminals or
  175. small computers.
  176.  
  177.         Air filters can remove airborne contaminants that harm equipment
  178. and disks.  Consider banning smoking near small computers.
  179.  
  180.         Locate computers away from potential water hazards, such as
  181. plumbing pipes, areas known to flood, or even sprinkler systems if other
  182. fire protection devices are available.
  183.  
  184.         Keep food, beverages, and ashtrays away from the computer.
  185.  
  186.         Keep equipment in good working order.  Monitor and record
  187. hardware maintainence.  This provides both an audit trail of persons who
  188. have had access to system and a record of contract fulfillment.
  189. Remember that maintainence personnel must carry proper identification.
  190.  
  191. 3. Protect and secure storage media ( source documents, tapes,
  192. cartridges, disks, printouts ).
  193.  
  194.         -- Maintain, control, and audit storage media inventories.
  195.         -- Educate users to the proper methods for erasing or destroying
  196.            storage media.
  197.         -- Label storage media to reflect the sensitivity level of the
  198.            information they contain.
  199.         -- Destroy storage media in accordance with the agancy's
  200.            security provisions.
  201.         -- Ensure that access for storing, transmitting, marking,
  202.            handling, and destroying storage media is granted only to
  203.            authorized persons.
  204.         -- Plubicize procedures and policies to staff.
  205.  
  206.         Consider posting the following reminders -- Disks are Fragile
  207. and Good Management Practices Provide Protection -- Where everyone can
  208. see them.
  209.  
  210.                     -=-  Disks are Fragile  -=-
  211.  
  212.         -- Store in protective jakets.
  213.         -- Don't write on jackets.
  214.         -- Protect from bending.
  215.         -- Don't touch disks directly
  216.         -- Insert carefully into the computer.
  217.         -- Protect from coffee and soda spills.
  218.         -- Maintain acceptable tempuratures (50C-125C)
  219.         -- Prevent erasures by keeping disks away from magnetic sources
  220.            such as radios and telephones.
  221.         -- Store in areas, such as metal cabinets, protected from fire
  222.            and water damage.
  223.         -- Handle disks in accord with their sensitivity marking.
  224.  
  225.  
  226.         -=- Good Management Practices Provide Protection -=-
  227.  
  228.         -- Lock disks and tapes when not in use.
  229.         -- Use a filing system to keep track of disks and tapes.
  230.         -- Don't lend storage media with sensitive information to
  231.            unauthorized persons.
  232.         -- Return damaged or defective disks with sensitive information
  233.            only after degaussing or after a similar procedure.
  234.         -- Dispose of disks with sensitive information by degaussing,
  235.            shredding, and following agency security procedres.
  236.         -- Dispose of printouts and printer ribbons with sensitve
  237.            information by following agency security procedures.
  238.         -- Secure printouts of passwords and other access information.
  239.  
  240. 4. be sure that adequate plans are made for contingencies.  Remember
  241. that the intent of contegency plans is to ensure that users can continue
  242. to preform essential functions in the event that information technology
  243. support is interrupted.  End users of information technology
  244. applications, as well as computer installations that process these
  245. applications, are required to hove contingency plans.
  246.  
  247.         Contingency plans must be written, tested, and regularly
  248. communicated to staff.
  249.  
  250.         Contingency plans must take into account backup operations,
  251. i.e., how information will be processed when the usual computers cannot
  252. be used, and the recovery of any information which is lost or destroyed.
  253.  
  254.         With small computers and word processors especially, the
  255. contigency plans should address selected equipment breakdowns, such as a
  256. single printer servicing many stations.
  257.  
  258.         Procedures and equipment should be adequate for handling
  259. emergency situations ( fire, flood, etc. ).
  260.  
  261.         Store backup materails, including the contingency plan, in a
  262. secure and safe location away from the computer site.
  263.  
  264.         Contingecny procedures must be adequate for the security level
  265. and criticality of the information.
  266.  
  267.         Know what to do in case of an emergency and be familiar with the
  268. contingency plan.
  269.  
  270.         Remember what the contingency plan may be operating at a time of
  271. great stress and without key personnel.  Training of staff is vital.
  272.  
  273.                    N.I.A. - Ignorance, There's No Excuse.
  274.                   Founded By: Guardian Of Time/Judge Dredd.
  275.  
  276. [OTHER WORLD BBS]
  277.  
  278.  
  279.  
  280.