home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / n_z / phun3.003 < prev    next >
Encoding:
Text File  |  2003-06-11  |  12.0 KB  |  264 lines
  1. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  2. =                 P/HUN Issue #3, Volume 2: Phile #3 of 11                    =
  3. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  4.  
  5.                           VAX/VMS System Security
  6.                           =======================
  7.                 Written for P/HUN Inc.,P/HUN Online Magazine
  8.                 -------------------------------------------- 
  9.                              By  Lawrence Xavier
  10.                                January, 1989
  11.  
  12.  
  13. VAX/VMS may be the worlds best operating system. It certainly beats the
  14. pants off each and every IBM OS, and wins over Unix hands down. Native
  15. VAX/VMS security is rated higher (by the U.S. Government) than all IBM
  16. mainframe OSs, even after such security packages as RACF and Top Secret
  17. are added to them. 
  18.  
  19. VMS is not without its foibles and kludges, however. For one thing,
  20. enabling all the security features of VMS is guaranteed to crash the
  21. system! For another, many of VMS's security features are  annoying to 
  22. set up, encouraging lazy system managers to put off doing so indefinitely. 
  23.  
  24. VMS got a bad reputation when young hackers were able to routinely break
  25. into many systems by using default accounts and passwords such as username
  26. SYSTEM with password MANAGER. This has all changed with VMS 4.7: in the
  27. upgrade procedure the installer is required to change passwords on these
  28. accounts or eliminate them entirely.
  29.  
  30. Let's go over some of the basic features of VMS security, then look at some
  31. common problems and loopholes. Once you know what the loopholes are you can
  32. take steps to close them on systems you manage and increase security.
  33.  
  34.  
  35. VMS Security Features
  36. =====================
  37.  
  38. Logging In:
  39. -----------
  40. VAX/VMS systems have several types of protection that can be set up on
  41. logins. Logins can be restricted by time of day, day of the week, and by
  42. terminal ID. Logins can also be restricted by where they come from: Local,
  43. Remote, Dialup, etc. 
  44.  
  45.      Local    are logins on direct connect ports or DECservers.
  46.      Remote   are logins across DECnet.
  47.      Dialup   are logins across X.25 or on ports set with the DIALUP
  48.               characteristic. 
  49.  
  50. Usually VMS will present a
  51.      Username:
  52. prompt after it sees one or two <CR> characters (which are used by VMS to
  53. set the Baud rate, if AutoBaud is enabled). 
  54.  
  55. If a System Password has been set on the port, VMS will BEEP after the
  56. first <CR>, and will then seem to be dead. Only after the correct System
  57. Password has been entered will the Username: prompt be given.
  58.  
  59. VMS gives no indication of whether a correct username has been entered: it
  60. always asks for a Password:. VMS passwords can be like any other passwords,
  61. or they may be generated nonsense words. The /GENERATE_PASSWORD qualifier
  62. may be placed on user accounts by the system manager, forcing them to
  63. select from lists of supposedly easy to remember but nonsensical
  64. passwords. 
  65.  
  66. The system manager may also enforce a minimum password length and can even
  67. impose dual passwords on accounts. If a Username with dual passwords is
  68. entered, the system will prompt for Password: twice in a row. Automatic
  69. Password expiration dates can be set, forcing users to change their
  70. passwords every so often: from once a day to once a year or never.
  71.  
  72. After the Username and Password have been entered, the system will either
  73. log the user in, or will print the familiar message,
  74.  
  75.      User Authorization Failure
  76.  
  77. and will hang up after a settable number of failures (the default is 3) if
  78. the port characteristics include DIALUP and HANGUP.
  79.  
  80.  
  81. Breakin Detection:
  82. -----------------
  83. If a hacker were trying to get into the system he could just continue to
  84. dialup and try again. But VMS has some features to discourage this too. 
  85.  
  86. If breakin detection and evasion is enabled, VMS will start to get cagey.
  87. If the count of login failures from a specific source gets high enough, the
  88. system assumes a break-in is in progress. Only login failures caused by
  89. invalid Passwords are counted, NOT invalid usernames. And the attempts must
  90. be coming from one of these three sources:
  91.  
  92.      .    A specific valid Username, and (if setup this way, A specific
  93.           terminal. 
  94.      .    A specific remote DECnet node and remote Username.
  95.      .    The Username of the creator of a detached process.
  96.  
  97. By default, VMS allows five failed login attempts from any one source
  98. within the time period specified. But it's not as simple as that! 
  99.  
  100. Each time a failure occurs, time is added to the time period in which a
  101. certain number of failures can occur. To take an example from DEC: 
  102.  
  103.      Assume the default values are in effect. LGI_BRK_LIM specifies no
  104.      more than five login failures from one source. LGI_BRK_TMO is set
  105.      for five minutes. Assume that an outsider starts sending user
  106.      names and passwords to the system. When the first password fails,
  107.      the clock starts to run and the user has four more tries in the
  108.      next five minutes. When the second attempt fails about 30 seconds
  109.      later, the user has three tries left that will be counted over
  110.      the next 9.5 minutes. When the third attempt fails 30 seconds
  111.      later, the login failure observation time has reached 22.5
  112.      minutes. As a result, the next login failure from that source
  113.      within 22.4 minutes will trigger evasive action. The system
  114.      tolerates an average rate of login failures that is the
  115.      reciprocal of the parameter LGI_BRK_TMO...
  116.  
  117.  
  118. When breakin evasion is triggered, the system will give a:
  119.      User Authorization Failure
  120. message even when a valid Username and Password are entered, giving no
  121. indication of what it is doing. Note that ONLY the Username(s) in question
  122. are treated this way: other Usernames can still log in from the same
  123. terminal even if terminal-specific breakin detection is enabled. 
  124.  
  125. The length of time VMS will hide in this way is controlled by the sysgen
  126. parameter LGI_HID_TIM. But VMS doesn't hide for exactly this time. Rather,
  127. it will hide for a length of time determined by the following equation:
  128.  
  129.      Evasion time = LGI_HID_TIM * (random number between 1 and 1.5)
  130.  
  131. The parameter LGI_BRK_DISUSER can be set, and will tell VMS to permanently
  132. disable accounts rather than just hiding for a time. The system manager
  133. then has to re-enable them manually. This is a dangerous parameter to set,
  134. however, because malicious individuals could deliberately disable accounts
  135. then! If the SYSTEM account is disabled this way, it will only be allowed
  136. to login on the VAX system console.
  137.  
  138.  
  139. Security Alarms:
  140. ----------------
  141. Although breakin attempts to different Usernames don't activate VMS Breakin
  142. detection, they can trigger Security Alarms. Security Alarms can also be
  143. triggered by different types of access to specific files or memory areas.
  144. Security Alarms cause messages to be displayed on the system console, on
  145. the terminals of any user enabled as Security Operator, and in the Operator
  146. Log file.
  147.  
  148. As DEC says, 
  149.      Because security auditing affects system performance, enable
  150.      security alarms only for the most important events.
  151. Damn right! If all security alarms are enabled the system will hang! It
  152. starts writing alarms about the fact it is writing alarms, ad infinitum....
  153.  
  154. Security alarms can be triggered on multiple login failures, on breakin, on
  155. successful login from given ports, on failed attempts to access files, on
  156. successful attempts to access files, etc. So even if you get privilege to
  157. override protection or to defeat it a security alarm may still be
  158. triggered.
  159.  
  160. Security alarms typically might be enabled on the AUTHORIZE program, which
  161. adds and modifies user accounts, on SYSUAF.DAT, the authorization database,
  162. on RIGHTSLIST.DAT, the access rights database, etc. and on critical
  163. database files. But many sites don't bother with them because of their
  164. inconvenience.
  165.  
  166. Accounting:
  167. ----------
  168. Besides Security Alarms, Accounting can be enabled. Accounting can show
  169. successful logins, login failures, how much resources are consumed by
  170. processes, what programs are executed, etc. Not all sites enable
  171. accounting, and not all sites enable the same amount of it. Accounting
  172. records show login failures but only show the username that attempted to
  173. login if it is a valid username. 
  174.  
  175.  
  176.  
  177. File and Device Protection:
  178. ==========================
  179.  
  180. UIC:
  181. ----
  182. The primary access protection mechanism is the UIC. This consists of a
  183. Group and a User code, numerically represented as [nnn,nnn]. It is an Octal
  184. number. Since VMS 4.x versions the UIC can also be expressed as [name] or
  185. [name,name], but internally this is translated back to the old format.
  186.  
  187. Users, processes, files, devices, memory sections, etc. all have UICs.
  188. Files, devices, memory sections, etc. can have access by System, Owner,
  189. Group and World, any combination of Read, Write, Execute, Delete for each
  190. category. 
  191.      System    are the system accounts.
  192.      Owner     is the account(s) who's UIC is the same as that on the 
  193.                object (file, device, etc.). 
  194.      Group     are accounts with the same first UIC number.
  195.      World     is everyone.
  196.  
  197. So a process with UIC [23,7] could access an object with UIC [23,4] if that
  198. object allowed access by Group or World. The process could access an object
  199. with UIC [25,3] only if World access was allowed, and could access objects
  200. with UIC [23,7] if Owner, Group, or World was allowed.
  201.  
  202. ACL:
  203. ----
  204. Also, there's a protection mechanism called the ACL or Access Control List.
  205. This is in addition to, and can override UIC protection. With ACLs an
  206. Identifier is created, like MODEM for one or more modem ports. An ACL is
  207. created on the port(s) desired, and in the ACL are multiple Access Control
  208. Entries (ACEs). If one of them is:
  209.      (Identifier=MODEM, Access=Read+Write)
  210. for example, user who has been Granted the identifier MODEM can access
  211. those ports. These access privileges, like UICs apply to processes in
  212. general. Granting and managing Identifiers is done in the AUTHORIZE
  213. program.
  214.  
  215.  
  216.  
  217. Loopholes, Ways of  put at $1 billion per 
  218. switching system some years ago by the then Philips chief executive Dr. Wisse 
  219. Dekker, with ongoing development costing around $200 million a year (Mr. 
  220. Kuznik) -- is one of the main factors of limiting the number of future 
  221. participants.  Its globality is stressed in the strongest terms by Mr. 
  222. Philippe Gluntz, executive vice-president and chief operation officer of 
  223. Alcatel NV:  "We are one of the few manufactures able to offer the whole range 
  224. of telecommunications equipment: digital switches, all kinds of transmission 
  225. products from copper cables and fiber optics to satellite communications; all 
  226. types of business systems from digital PABXs to microcomputers or electronics 
  227. sub-sets, word processors, etc."
  228.  
  229. Resources in terms of funds and range of products are vital for the 
  230. prospective telecommunications survivors:  but so is teh technology of the 
  231. 21st century.
  232.  
  233. TABLES:
  234.  
  235.  
  236. TABLE I
  237. World public switching equipment sales of leading manufactures
  238. _____________________________________
  239. Company               Sales of public
  240.                       switching equip
  241.                       in $ million
  242. ___________________________________
  243. AT&T (US)                    1350
  244. Northern Telecom (Canada)    1000
  245. NEC/Fujitsu/Hitachi (Japan)  1000
  246. Siemens (West Germany)        950
  247. ITT (US *1)                   850
  248. Ericsson (Sweden)             750
  249. Alcatel/Thomson (France)      700
  250. GTE (US)                      350
  251. Plessey (UK *2)               260
  252. GEC (UK)                      260
  253. Italtel (Italy)               180
  254. Philips (Netherlands *3)      130
  255. Stromberg-Carlson (US *4)      70
  256. Others (inc. Nokia, Finland)  120
  257.                              ----
  258.                              7970
  259. ___________________________________
  260. *
  261. 1) Now Alcatel NV through merging Alcatel/ITT telecommunications intrests
  262. 2) Involved in talks on merging certain System X functions
  263. 3) Set up APT to cater for world telecommunications sales outside US
  264. 4) Subsidiary of Plessey, mainly for US switch