home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / n_z / nia017.hac < prev    next >
Encoding:
Text File  |  2003-06-11  |  14.0 KB  |  244 lines
  1.   ┌──────────────────┐ ╔═══════════════════════════════╗ ┌──────────────────┐
  2.   │   Founded By:    │ ║  Network Information Access   ║ │   Founded By:    │
  3.   │ Guardian Of Time │─║            12APR90            ║─│ Guardian Of Time │
  4.   │   Judge Dredd    │ ║       Guardian Of Time        ║ │   Judge Dredd    │
  5.   └────────┬─────────┘ ║            File 17            ║ └─────────┬────────┘
  6.            │           ╚═══════════════════════════════╝           │
  7.            │    ╔═══════════════════════════════════════════════╗  │
  8.            └────║ COMPUTER CRIME: COMPUTER SECURITY TECHNIQUES  ║──┘
  9.                 ║           Section I -- Introduction           ║
  10.                 ╚═══════════════════════════════════════════════╝
  11.  
  12. Forward:
  13.  
  14. There will be at least ten files on the subject of Computer Crime, I have
  15. tried to get people to show us just what we can,  the ideas that are being
  16. taught to managers, are simple, and crude.  You have seen in the first few
  17. files of NIA, just HOW SIMPLE are the techniques? Well here in this
  18. section will be a Governmental view of Computer Crime.
  19.  
  20.                         Guardian Of Time
  21.  
  22. $_SECTION I -- INTRODUCTION
  23.  
  24. The "Dawn of the Age of Aquarius" has also ushered in the "Age of the
  25. Computer." It is no secret that computers have become indispensable to
  26. almost every form of modern business and government.  The rapid expansion
  27. of computer use has created an electronic marketplace where goods and
  28. intellectual products are transferred and paid for entirely by electronic
  29. means.  Computers have also created a new method of storage and
  30. representation of assets through electronic data processing systems that
  31. record everything from bank balances to shares of securities.  The use of
  32. computers has even advanced to the stage where electronic signatures can
  33. be given unique characteristics making them more easily identifiable and
  34. reliable than human handwriting in many respects.
  35.  
  36. The new form of assets consists of pulses of electricity, states of
  37. electronic circuits, and patterns of magnetic areas on tape and disks.
  38. The pulses can be converted to the form of checks by a computer printer or
  39. to monetary currency by computer-printed reports that authorize cashiers
  40. to transfer cash from boxes to people or to other boxes.  The pulses can
  41. also be converted to printed reports or mechanical functions that cause
  42. actions either manually or automatically involving goods and services.
  43. These negotiable assets, as well as personal information, now are stored
  44. as data in computers, saved on magnetic tape and disks, and sent through
  45. wires and microwave carriers in electronic, electromagnetic wave, and
  46. magnetic forms.
  47.  
  48. The creation of these new forms of assets, however, has been accompanied by
  49. an increase in the potential for misuse of computers and computer data.
  50. Some of the people who create and work with computer products have the
  51. capability to alter or delete assets stored in computers or to create
  52. totally new assets.  The security of these assets, as well as other data
  53. stored in computers, is vital.  In this document, computer security
  54. encompasses the integrity, preservation, authorized use, and
  55. confidentiality of data starting with its generation, through its entry
  56. into computers, automatic and manual processing, output, storage, and
  57. finally its use.
  58.  
  59. One of the primary motives for computer security is protection from
  60. intentionally caused loss.  Computer crime is highly publicized and its
  61. nature frequently distorted in the news media.  Although there are no
  62. valid representative statistics on frequency or loss, enough loss
  63. experience has been documented (more than 1000 reported cases since 1958)
  64. and even more conjectured to make it clear that computer crime is a
  65. growing and serious problem.  Broadly defined, known experience indicates
  66. a high incidence of false data entry during manual data handling before
  67. computer entry.  Most losses of this kind are small, but several large
  68. losses of $10 to $20 million have occurred.  Unauthorized use of computer
  69. services has also prolifereated, especially with increasing use of dial-up
  70. telephone access to computers.  A few sophisticated programmed frauds
  71. inside computer systems or using them as tools for frauds have been found
  72. where detection was mostly accidental.  Reported computer crime is
  73. committed mostly by people in positions of trust with special skills,
  74. knowledge and access.  The results of known experience indicate the need
  75. for a wide range of basic controls that reduce the likelihood of violation
  76. of trust by these people.  Many of these controls that reduce the
  77. likelihood of violation of trust by these people.  Many of these controls
  78. are represented in this report.
  79.  
  80. $_RELIANCE ON COMPUTERS REQUIRES COMPUTER SECURITY
  81.  
  82. Although computer security has always been needed, even before computers,
  83. interest in it became widespread only after computers came into use,
  84. especially for processing financial and personal data.  Computers
  85. facilitate the great concentration of data for powerful means of
  86. processing, and for the first time since the days of manual data
  87. processing computers, provide an opportunity to apply computer security in
  88. effective, uniform, and low-cost ways.  At the same time computer use
  89. increases the dangers of large losses from the conentration of intangible
  90. assets in electronic forms and changes the nature of exposures to losses
  91. with assets in these new forms.
  92.  
  93. Use of computers changes the patterns and degree of trust put in people
  94. who work with data.  New occupations staffed by fewer, technology oriented
  95. people, each with greater capacity to do good or harm using computers as
  96. tools have emerged.  There is now one computer terminal for every three
  97. white-coller workers.
  98.  
  99. Computers remove processing and storing of data in their electronic form
  100. from direct human observation.  Thus, computer programs that direct the
  101. processing of data whose integrity and correctness must be assured are
  102. necessary tools to see the results of data processing and check the
  103. correctness of data stored in computer media.  The procedures by which
  104. data are processed and stored are created by programmers at a different
  105. time and place than when the actual processing occurs.  Processing takes
  106. place so rapidly as to be incomprehensible to humans until it is complete,
  107. and intervention is impossible except in preprogrammed ways that where
  108. developed without the possibility of foreseeing all future conditions and
  109. needs.
  110.  
  111. Organizations that use or provide computer services for governmental and
  112. business purposes have a responsibility to the users, data subjects,
  113. managers and employees, as well as society, to assure computer security in
  114. legal, economic, and ethical terms to avoid loss to themselves and others.
  115. Thus, contractual commitments that specify trade secret protection of
  116. commercial computer program and data file products require that users of
  117. the products apply safeguards.  Top management, of course, wants to
  118. continue the success of their organizations and avoid data-related losses.
  119. Data processing employees abide by the computer security policies and
  120. procedures to please management and receive advancements in their jobs.
  121. Society demands responsible treatment of data, the US government, for
  122. example, has attempted to obtain voluntary adherence by business to the
  123. Organization for Economic Cooperation and Development Guidelines on
  124. Protection of Privacy and Transborder Flows of Personal Data.  In
  125. addition, professional societies and trade associations apply peer
  126. pressure to meet ethical standards.
  127.  
  128. Data-related losses from errors, omissions, bad judgment, intentional
  129. acts, and natural events motivate the victims to avoid further loss.  Some
  130. controls on loss result in more efficient data handling, reduced insurance
  131. premiums, and lower costs.  Compliance with laws and regulation such as the
  132. Privacy Act of 1974, Foreign Corrupt Practices Act, criminal statutes, and
  133. the US Office of Management and Budget Circular A-71 on Computer Security
  134. is required for an orderly society.
  135.  
  136. All of these factors and more must be taken into account in planning and
  137. establishing computer security.  Dangers lurk not where losses have been
  138. anticipated and good controls exist but where vulnerablities have NOT been
  139. anticipated and controls are lacking.  Systematic methods are needed to
  140. assure completeness of safeguarding with limited resources that can
  141. resonably be devoted to protection in the complex and changed environments
  142. of data processing brought about by the use of computers.
  143.  
  144. $_COMMITMENT TO COMPUTER SECURITY
  145.  
  146. Management is eager to allocate resources that directly increase the
  147. productivity of their organizations.  Security seldom adds directly to
  148. productivity; it only assures protection from loss of productivity and
  149. avoids violation of rights, laws and regulations.  Therefore, security
  150. might have occurred.  If security is effective, it usually goes unnoticed
  151. because loss is averted.  Otherwise, security is sometimes seen as costing
  152. money without visible, direct contributions to performance.  This makes
  153. security expenditures particularly important to justify and understand.
  154.  
  155. Fortunately, enlightened management will react rationally to assure
  156. security in their organizations when given resonable options and adequate
  157. justification for doing so.  Employees will support and carry out security
  158. when they understand its purpose, receive clear directives, understand
  159. that it is part of their job performance, and are judged on their
  160. adherence to secure practices.  Therefore, recommendations for
  161. cost-effective controls must be properly justified and generally accepted.
  162.  
  163.  
  164. Methods for conducting security reviews based on risk assessment to
  165. determine vulnerabilities and identify needed controls have been developed
  166. and used to some extent.  However, many controls are still selected on a
  167. piecemeal basis when individual needs become evident without comprehensive
  168. review of all needs.  This leads to inconsistent security buildup that
  169. leaves serious vulnerabilities and gaps.  Security must be mesasured by
  170. the weakest links; losses occur where adequate controls are lacking.
  171. Therefore, methods of review must be developed that are comprehensive as
  172. well as sufficiently practical and low in cost to attract their use.
  173.  
  174. Data processing and computer security have advanced rapidly to the point
  175. where organizations today do not take action in isolation from what other
  176. organizations are doing.  Many organizations have adopted the solutions to
  177. common vulnerability problems developed by others.  Applying generally
  178. used security practices and controls is attractive where the problems and
  179. needs are similar among many organizations.
  180.  
  181. $_CONTRIBUTION OF THIS REPORT TO COMPUTER SECURITY
  182.  
  183. The study results reported in this document are meant to add materially to
  184. new concepts in computer security.  The computer security practices and
  185. controls presented here are those used or endorsed by seven organizations
  186. that are particularly advanced in their computer security.  In addition,
  187. the organizations were chosen from among those heavily involved in
  188. manipulating personal data to emphasize the application of security to
  189. issues of privacy.  Thus, several of the organizations are processors of
  190. crimminal justice data and one is a processor of life and medical
  191. insurance.  The seven participating field site organizations are:
  192.  
  193. (1)     A state law enforcement data center
  194. (2)     A county EDP services department
  195. (3)     A city data services bureau
  196. (4)     A research institute specializing in criminal justice research
  197. (5)     A life and casualty insurance company
  198. (6)     A center for political studies, which does extensive research on
  199.         sensitive topics linked to individuals
  200. (7)     A state information services department.
  201.  
  202. A project team of experienced computer security consultants examined the
  203. seven field site organizations to determine the best controls and
  204. practices in use, as well as the methods of review and selection of
  205. controls and practices that organizations use.  This document describes
  206. the 82 controls and practices that were judged as generally acceptable for
  207. good computer security by computer security administrators from all seven
  208. organizations along with two independent security consultants.
  209.  
  210. In Section II of this report, the background and maturation of computer
  211. security methods, particularly as a basis for new approaches to
  212. evaluating and selecting controls, are described.  Common, selective, and
  213. special vulnerabilities are identified.  Section III describes presently
  214. used security review methods and the legal concepts of standards of due
  215. care and protecting proprietary interests in computer programs which
  216. contribute to computer security practices and the law.
  217.  
  218. Section IV, along with more detailed descriptions in Appendix B, presents a
  219. new, baseline concept that can be used along with other methods for
  220. selecting controls and security practices.  The principles and benefits of
  221. baseline controls are stated and future baseline development is
  222. considered.
  223.  
  224. Section V explains the method of investigation, the format used to
  225. describe the controls found in the study, and the five indices of the 82
  226. controls that are described in the last section.  The five indices are
  227. identified by topic, objective, area or responsibility, mode, and
  228. environment to facilitate location of specific controls.  An overview
  229. summarizing the controls by topic completes Section V.
  230.  
  231. In Section VI, the controls are presented in ways quite different from
  232. that found in other security literature.  A title, control objective, and
  233. general description based on actual usage experience are presented.  The
  234. control variants are identified.  Strengths and weaknesses found in usuage
  235. are stated.  These items are followed by  advice on how to audit the
  236. controls, and five more characteristics are briefly identified to complete
  237. the description.  Appendix A presents three case studies of actual
  238. selection and approval of controls and a step-by-step method of how a
  239. baseline review could be conducted.
  240.  
  241. $_EOF
  242.  
  243. [OTHER WORLD BBS]
  244.