home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / n_z / nia026.hac < prev    next >
Encoding:
Text File  |  2003-06-11  |  24.0 KB  |  462 lines
  1.  ┌──────────────────┐ ╔═══════════════════════════════╗ ┌──────────────────┐
  2.  │   Founded By:    │ ║  Network Information Access   ║ │ Mother Earth BBS │
  3.  │ Guardian Of Time │─║            17APR90            ║─│  NUP:> DECnet    │
  4.  │   Judge Dredd    │ ║          Judge Dredd          ║ │Text File Archives│
  5.  └────────┬─────────┘ ║            File 26            ║ └─────────┬────────┘
  6.           │           ╚═══════════════════════════════╝           │
  7.           │           ╔═══════════════════════════════╗           │
  8.           └───────────╢ Computer Viruses & Threats IV ╟───────────┘
  9.                       ╚═══════════════════════════════╝
  10.  
  11. $_Virus Prevention for Personal Computers and Associated Networks
  12.  
  13.   Virus  prevention in  the personal  computer  environment differs
  14.   from  that of the  multi-user computer environment  mainly in the
  15.   following two respects:  the relative lack of technical controls,
  16.   and  the  resultant  emphasis  this  places  on  less-technically
  17.   oriented means of protection which  necessitates more reliance on
  18.   user involvement.   Personal computers  typically do not  provide
  19.   technical controls for such things  as user authorization, access
  20.   controls, or memory protection that differentiates between system
  21.   memory and memory used by user applications.  Because of the lack
  22.   of controls and the resultant freedom  with which users can share
  23.   and modify software, personal computers are more  prone to attack
  24.   by viruses, unauthorized users, and related threats.
  25.  
  26.   Virus prevention in  the personal computer environment  must rely
  27.   on  continual  user  awareness  to  adequately  detect  potential
  28.   threats  and  then  to  contain  and  recover  from  the  damage.
  29.  
  30.   Personal   computer  users  are   in  essence  personal  computer
  31.   managers, and must practice  their management as a part  of their
  32.   general computing.   Personal computers generally do  not contain
  33.   auditing features, thus a user needs to be aware at all  times of
  34.   the computer's performance,  i.e., what it  is doing, or what  is
  35.   normal or abnormal activity.  Ultimately, personal computer users
  36.   need  to  understand  some  of  the  technical aspects  of  their
  37.   computers in order to protect, deter,  contain, and recover.  Not
  38.   all personal computer  users are technically oriented,  thus this
  39.   poses  some  problems  and  places  even  more emphasis  on  user
  40.   education and involvement in virus prevention.
  41.  
  42.   Because of the dependance on  user involvement, policies for  the
  43.   personal  computer environment  are more  difficult to  implement
  44.   than  in   the   multi-user  computer   environment.     However,
  45.   emphasizing  these policies as  part of a  user education program
  46.   will help to ingrain  them in users'  behavior.  Users should  be
  47.   shown  via  examples what  can happen  if  they don't  follow the
  48.   policies.   An example  where users  share infected  software and
  49.   then spread the  software throughout an organization  would serve
  50.   to effectively illustrate  the point, thus making the  purpose of
  51.   the policy  more clear and more  likely to be  followed.  Another
  52.   effective method for  increasing user cooperation is  to create a
  53.   list of effective personal computer management practices specific
  54.   to  each personal computing  environment.   Creating such  a list
  55.   would save users the problem of determining how best to enact the
  56.   policies,  and would serve  as a convenient  checklist that users
  57.   could reference as necessary.
  58.  
  59.   It will  likely be  years before  personal computers  incorporate
  60.   strong  technical  controls  in  their  architectures.    In  the
  61.   meantime,  managers  and  users  must  be  actively  involved  in
  62.   protecting their computers from viruses and related threats.  The
  63.   following sections provide guidance to help achieve that aim.
  64.  
  65. $_General Policies
  66.  
  67.   Two general policies are suggested here.  The first requires that
  68.   management  make  firm,  unambiguous decisions  as  to  how users
  69.   should  operate  personal  computers, and  state  that  policy in
  70.   writing.  This policy will be a general re-statement of all other
  71.   policies affecting personal computer use.   It is important  that
  72.   users  read  this  policy  and  agree  to  its  conditions  as  a
  73.   prerequisite to  personal  computer use.    The purposes  of  the
  74.   policy are  to  (1) ensure that users  are aware of all policies,
  75.   and (2) impress upon users the  need for their active involvement
  76.   in computer security.
  77.  
  78.   The second policy is that every  personal computer should have an
  79.   "owner"  or  "system   manager"  who   is  responsible  for   the
  80.   maintenance and security of the  computer, and for following  all
  81.   policies and procedures associated with  the use of the computer.
  82.   It would be preferable that the primary user of the computer fill
  83.   this  role.    It  would   not  be  too  extreme  to   make  this
  84.   responsibility a part of the user's job description.  This policy
  85.   will require that resources  be spent on educating users  so that
  86.   they can adequately follow all policies and procedures.
  87.  
  88. $_Software Management
  89.  
  90.   Due  to the wide variety of  software available for many types of
  91.   personal computers, it  is especially important that  software be
  92.   carefully controlled.  The following policies are suggested:
  93.  
  94.      - Use only licensed copies of  vendor software for personal
  95.        computers.  Ensure  that the license numbers  are logged,
  96.        that warranty information is completed, and  that updates
  97.        or  update  notices  will be  mailed  to  the appropriate
  98.        users.   Ensure that software versions are uniform on all
  99.        personal  computers.     Purchase  software  from  known,
  100.        reputable  sources  - do  not  purchase software  that is
  101.        priced suspiciously low and do  not use pirated software,
  102.        even on a  trial basis.   As possible, buy software  with
  103.        built-in security features.
  104.  
  105.      - Do not install software that is  not clearly needed.  For
  106.        example, software  tools such  as compilers  or debuggers
  107.        should not  be installed on  machines where they  are not
  108.        needed.
  109.  
  110.      - Store the original copies of vendor software in  a secure
  111.        location for use when restoring the software.
  112.  
  113.      - Develop a clear policy for  use of public-domain software
  114.        and  shareware.    It  is  recommended  that  the  policy
  115.        prohibit   indiscriminate   downloading   from   software
  116.        bulletin boards.   A  special isolated  system should  be
  117.        configured to  perform the  downloading, as  well as  for
  118.        testing downloaded and other software  or shareware.  The
  119.        operation  of  the   system  should   be  managed  by   a
  120.        technically skilled user who  can use anti-virus software
  121.        and other techniques  to test new  software before it  is
  122.        released for use by other users.
  123.  
  124.      - Maintain   an   easily-updated   database  of   installed
  125.        software.  For each type of software, the database should
  126.        list the computers  where the software is  installed, the
  127.        license  numbers,  software  version  number, the  vendor
  128.        contact  information, and the responsible person for each
  129.        computer listed.  This database should be used to quickly
  130.        identify users, machines, and  software when problems  or
  131.        emergencies  arise,  such as  when  a particular  type of
  132.        software  is  discovered  to  contain  a virus  or  other
  133.        harmful aspects.
  134.  
  135.      - Minimize software  sharing within  the organization.   Do
  136.        not permit software to be  placed on computers unless the
  137.        proper manager is  notified and the software  database is
  138.        updated.    If computer  networks  permit software  to be
  139.        mailed or otherwise transferred among machines,  prohibit
  140.        this as a  policy.   Instruct users not  to run  software
  141.        that has been mailed to them.
  142.  
  143.      - If using software repositories on LAN servers, set up the
  144.        server  directory  such  that  users  can copy  from  the
  145.        directory, but not add software to the directory.  Assign
  146.        a user  to  manage the  repository;  all updates  to  the
  147.        repository  should  be cleared  through  this individual.
  148.        The software  should be tested  on an isolated  system as
  149.        described earlier.
  150.  
  151.      - If  developing software,  consider  the  use of  software
  152.        management  and  control  programs that  automate  record
  153.        keeping for software  updates, and that provide  a degree
  154.        of protection  against unauthorized modifications  to the
  155.        software under development.
  156.  
  157.      - Prohibit users from  using software  or disks from  their
  158.        home  systems.   A  home system  that  is used  to access
  159.        software bulletin boards  or that  uses shared copies  of
  160.        software  could  be   infected  with  viruses  or   other
  161.        malicious software.
  162.  
  163.  
  164. $_Technical Controls
  165.  
  166.   As stated earlier, personal computers suffer from a relative lack
  167.   of technical controls.  There are  usually no mechanisms for user
  168.   authentication  and   for  preventing  users  or   software  from
  169.   modifying  system  and  application  software.    Generally,  all
  170.   software  and  hardware is  accessible  by the  personal computer
  171.   user, thus the potential for misuse is substantially greater than
  172.   in the multi-user computer environment.
  173.  
  174.   However,  some  technical  controls  can  be  added  to  personal
  175.   computers,  e.g., user  authentication  devices.   The  technical
  176.   controls that do  not exist can  be simulated by other  controls,
  177.   such as  a  lock on  an  office door  to  substitute for  a  user
  178.   authentication device, or  anti-virus software to take  the place
  179.   of  system  auditing  software.   Lastly,  some  of  the personal
  180.   computer's accessibility can  be reduced, such as  by the removal
  181.   of floppy diskette  drives or  by the use  of diskless  computers
  182.   that  must  download  their software  from  a  LAN  server.   The
  183.   following items are suggested:
  184.  
  185.  
  186.      - Where technical controls  exist, use them.  If basic file
  187.        access  controls are  available to make  files read-only,
  188.        make  sure  that   operating  system   files  and   other
  189.        executable files  are marked  as read-only.   Use  write-
  190.        protect  tabs on  floppy  diskettes and  tapes.   If  LAN
  191.        access  requires a  password, ensure  that passwords  are
  192.        used  carefully  - follow    the guidelines  for password
  193.        usage presented in in file III.
  194.  
  195.      - Use new cost-effective forms of  user identification such
  196.        as magnetic access cards.   Or, setup other software such
  197.        as  password   mechanism   that  at   a  minimum   deters
  198.        unauthorized users.
  199.  
  200.      - If  using  a  LAN,   consider  downloading  the  personal
  201.        computer's operating system and other applications from a
  202.        read-only directory  on the  LAN server  (instead of  the
  203.        personal computer's  hard disk).   If the  LAN server  is
  204.        well  protected,  this  arrangement  would  significantly
  205.        reduce  chances of  the software  becoming infected,  and
  206.        would simplify software management.
  207.  
  208.      - Consider booting personal computers  from write-protected
  209.        floppy diskettes (instead  of the computer's hard  disk).
  210.        Use a unique diskette per computer, and keep the diskette
  211.        secured when not in use.
  212.  
  213.      - Do not leave a personal  computer running but unattended.
  214.        Lock the computer with a  hardware lock (if possible), or
  215.        purchase  vendor add-on  software to "lock"  the keyboard
  216.        using a password mechanism.   Alternatively, turn off the
  217.        computer and lock  the office door.   Shut down and  lock
  218.        the computer at the end of the day.
  219.  
  220.      - When using modems connected to personal computers, do not
  221.        provide more access to  the computer than necessary.   If
  222.        only dial-out service is required, configure the modem so
  223.        that  it  won't answer  calls.    If  dial-in service  is
  224.        necessary,  consider  purchasing  modems  that require  a
  225.        password or  that use  a call-back  mechanism to  force a
  226.        caller to call from  a telephone number that is  known to
  227.        the modem.
  228.  
  229.      - Consider   using   "limited-use"  systems,   whereby  the
  230.        capabilities of a system  are restricted to only  what is
  231.        absolutely  required.  For example, users  who run only a
  232.        certain  application  (such  as word-processor)  may  not
  233.        require  the flexibility of a  personal computer.  At the
  234.        minimum,   do  not   install   applications  or   network
  235.        connections where they are not needed.
  236.  
  237.  
  238. $_Monitoring
  239.  
  240.   Personal computer operating systems typically  do not provide any
  241.   software or user monitoring/auditing features.  Monitoring, then,
  242.   is largely a user function whereby the user must be aware of what
  243.   the computer is doing, such as when the computer is accessing the
  244.   disk or the  general speed of its response  to commands, and then
  245.   must decide whether  the activity is  normal or abnormal.   Anti-
  246.   viral software can  be added to the  operating system and run  in
  247.   such  a way that the software flags  or in some way alerts a user
  248.   when suspicious  activity occurs, such as when  critical files or
  249.   memory regions are written.
  250.  
  251.   Effective monitoring depends on user education.  Users must  know
  252.   what constitutes normal  and abnormal activity on  their personal
  253.   computers.  They need to have  a reporting structure available so
  254.   that they  can alert an informed individual  to determine whether
  255.   there is indeed  a problem.  They need to know  the steps to take
  256.   to  contain the damage, and how  to recover.  Thus, the following
  257.   policies and procedures are recommended:
  258.  
  259.      - Form a team  of skilled  technical people to  investigate
  260.        problems reported  by users.   This same  group could  be
  261.        responsible for other aspects  of virus prevention,  such
  262.        as testing new software and  handling the containment and
  263.        recovery from virus-related incidents.  Ensure that users
  264.        have quick  access to this  group, e.g., via  a telephone
  265.        number.
  266.  
  267.      - Educate users  so that they  are familiar with  how their
  268.        computers function.  Show  them how to use such  items as
  269.        anti-viral  software.    Acquaint  them  with  how  their
  270.        computers boot, what  files are loaded, whether  start-up
  271.        batch files are executed, and so forth.
  272.  
  273.      - Users need  to watch for  changes in  patterns of  system
  274.        activity.   They  need to  watch  for program  loads that
  275.        suddenly  take   longer,  whether   disk  accesses   seem
  276.        excessive for  simple tasks,  do  unusual error  messages
  277.        occur, do access  lights for disks  turn on when no  disk
  278.        activity  should  occur,  is less  memory  available than
  279.        usual, do  files  disappear mysteriously,  is there  less
  280.        disk space than normal?
  281.  
  282.      - Users also need  to examine whether important  files have
  283.        changed  in size,  date, or  content.   Such  files would
  284.        include the operating system, regularly-run applications,
  285.        and  other batch  files.   System sweep  programs may  be
  286.        purchased  or  built  to  perform  checksums on  selected
  287.        files, and then  to report whether changes  have occurred
  288.        since the last time the program was run.
  289.  
  290.      - Purchase virus prevention  software as applicable.   At a
  291.        minimum,  use  anti-viral software  to test  new software
  292.        before  releasing it  to other  users.   However,  do not
  293.        download or use pirated copies of anti-viral software.
  294.  
  295.      - Always  report, log,  and investigate  security problems,
  296.        even when the  problems appear  insignificant.  Then  use
  297.        the log as input into regular  security reviews.  Use the
  298.        reviews as a  means for  evaluating the effectiveness  of
  299.        security policies and procedures.
  300.  
  301. $_Contingency Planning
  302.  
  303.   As described in file II, backups  are the single most important
  304.   contingency procedure.   It is especially important  to emphasize
  305.   regular  backups  for personal  computers,  due to  their greater
  306.   susceptibility  to misuse  and due  to the  usual requirement  of
  307.   direct user involvement  in the backup procedure, unlike  that of
  308.   multi-user computers.  Because of the second  factor, where users
  309.   must  directly  copy  files  to one  or  more  floppy  diskettes,
  310.   personal  computer  backups  are sometimes  ignored  or  not done
  311.   completely.   To  help ensure  that backups  are done  regularly,
  312.   external backup mechanisms that use a high-density tape cartridge
  313.   can be purchased  and a user assigned to run the backup procedure
  314.   on  a  regular  basis.    Additionally,  some  personal  computer
  315.   networks  contain  a personal  computer  backup feature,  where a
  316.   computer can directly access a network server's backup mechanism,
  317.   sometimes in an off-line mode at a selected time.  If  neither of
  318.   these mechanisms are available, then  users must be supplied with
  319.   an adequate number of  diskettes to make complete backups  and to
  320.   maintain a reasonable amount of backup history, with a minimum of
  321.   several weeks.
  322.  
  323.   Users  should  maintain  the  original  installation  media   for
  324.   software applications and  store it in a  secure area, such  as a
  325.   locked cabinet, container, or  desk.  If a user  needs to restore
  326.   software, the user should  use only the original media;  the user
  327.   should not use  any other type of  backup or a copy  belonging to
  328.   another user, as  they could be infected or damaged  by some form
  329.   of malicious software.
  330.  
  331.   The effectiveness of  a backup policy can be  judged by whether a
  332.   user  is able  to recover  with  a minimum  loss of  data  from a
  333.   situation whereby  the user would  have to format  the computer's
  334.   disk and  reload all  software.  Several  incidents of  malicious
  335.   software have required  that users go to this length to recover -
  336.  
  337.   Other important contingency procedures are described below:
  338.  
  339.      - Maintain  a  database of  personal  computer information.
  340.        Each record should  include items such as  the computer's
  341.        configuration, i.e., network connections,  disks, modems,
  342.        etc.,  the  computer's  location,  how  it is  used,  the
  343.        software it runs, and the  name of the computer's primary
  344.        user/manager.  Maintain this database to facilitate rapid
  345.        communication and identification  when security  problems
  346.        arise.
  347.  
  348.      - Create a security  distribution list for each user.   The
  349.        list should include  names of people  to contact who  can
  350.        help identify the cause of unusual computer activity, and
  351.        other  appropriate  security  personnel to  contact  when
  352.        actual problems arise.
  353.  
  354.      - Create a group of skilled users who can respond to users'
  355.        inquiries  regarding virus detection.   This group should
  356.        be  able to determine when a  computer has been attacked,
  357.        and how best to contain and recover from the problem.
  358.  
  359.      - Set up some means of  distributing information rapidly to
  360.        all affected users  in the event  of an emergency.   This
  361.        should not  rely upon a computer network,  as the network
  362.        could actually  be attacked,  but could  use other  means
  363.        such  as   telephone  mail  or  a   general  announcement
  364.        mechanism.
  365.  
  366.      - Observe physical security for personal computers.  Locate
  367.        them  in  offices  that can  be  locked.    Do not  store
  368.        software and backups in unsecured cabinets.
  369.  
  370. $_Associated Network Concerns
  371.  
  372.   Personal  computer  networks  offer  many  advantages  to  users,
  373.   however  they  must be  managed  carefully  so that  they  do not
  374.   increase  vulnerability  to viruses  and  related threats.   Used
  375.   incorrectly,   they  can   become   an   additional  pathway   to
  376.   unauthorized  access  to  systems,  and  can  be  used  to  plant
  377.   malicious software such as network worms.   This section does not
  378.   provide specific management guidance, as there are many different
  379.   types of personal  computer networks with widely  varying degrees
  380.   of similarity.   However, some general suggestions  for improving
  381.   basic management are listed below:
  382.  
  383.      - Assign  a network  administrator,  and make  the required
  384.        duties  part  of  the  administrator's  job  description.
  385.        Personal  computer  networks  are  becoming  increasingly
  386.        complex to administer, thus the administration should not
  387.        be  left to  an individual  who cannot  dedicate time  as
  388.        necessary.
  389.  
  390.      - Protect the network server(s) by  locating them in secure
  391.        areas.    Make sure  that  physical access  is restricted
  392.        during off-hours.  If possible, lock or remove a server's
  393.        keyboard to prevent tampering.
  394.  
  395.      - Do not provide  for more than one  administrator account,
  396.        i.e., do not give  other users administrator  privileges.
  397.        Similar  to  the  problem  of  multiple   system  manager
  398.        accounts on  multi-user systems, this situation  makes it
  399.        more  likely that a password will become known, and makes
  400.        overall  management more  difficult  to  control.   Users
  401.        should coordinate their requests through a single network
  402.        administrator.
  403.  
  404.      - Do not  permit users to connect personal computers to the
  405.        network  cable  without  permission.   The  administrator
  406.        should keep an updated diagram of the network's topology,
  407.        complete with corresponding network addresses and users.
  408.  
  409.      - Use  the  network monitoring  tools  that  are available.
  410.        Track network usage and access to resources, and pinpoint
  411.        unauthorized  access attempts.   Take  appropriate action
  412.        when violations consistently occur, such as requiring the
  413.        user  in  question  to attend  a  network  user  class or
  414.        disabling the user's network account.
  415.  
  416.      - Ensure  that users know how to  properly use the network.
  417.        Show them how to use all  security features.  Ensure that
  418.        users  know  how  to use  passwords  and  access controls
  419.        effectively -  see for information  on password usage.
  420.        Show  them the  difference  between  normal and
  421.        abnormal network  activity or response.   Encourage users
  422.        to contact  the  administrator  if  they  detect  unusual
  423.        activity.  Log and investigate all problems.
  424.  
  425.      - Do  not give users more access  to network resources than
  426.        they require.   If  using shared  directories, make  them
  427.        read-only  if write permission is  not required, or use a
  428.        password.   Encourage  users to  do the  same with  their
  429.        shared directories.
  430.  
  431.      - Do not set up directories  for software repository unless
  432.        (1) someone can first verify  whether the software is not
  433.        infected, and (2) users are not permitted to write to the
  434.        directory without prior approval.
  435.  
  436.      - Backup the network  server(s) regularly.  If  possible or
  437.        practical, backup  personal computers  using the  network
  438.        server backup mechanism.
  439.  
  440.      - Disable  the  network  mail  facility  from  transferring
  441.        executable  files,  if  possible.     This  will  prevent
  442.        software  from  being  indiscriminately shared,  and  may
  443.        prevent  network  worm programs  from  accessing personal
  444.        computers.
  445.  
  446.      - For network guest or anonymous  accounts, limit the types
  447.        of commands that can be executed.
  448.  
  449.      - Warn network users  to be suspicious  of any messages  or
  450.        programs  that are received  from unidentified  sources -
  451.        network  users  should  have a  critical  and  suspicious
  452.        attitude  towards  anything  received   from  an  unknown
  453.        source.
  454.  
  455.      - Always remove old  accounts or change passwords.   Change
  456.        important passwords  immediately  when  users  leave  the
  457.        organization or no longer require access to the network.
  458.  
  459. -JUDGE DREDD/NIA
  460.  
  461. [OTHER WORLD BBS]
  462.