home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / phrack2 / phrack42.004 < prev    next >
Encoding:
Text File  |  2003-06-11  |  21.6 KB  |  482 lines
  1.  
  2.                          ==Phrack Magazine==
  3.  
  4.              Volume Four, Issue Forty-Two, File 4 of 14
  5.  
  6.                           Prelude to a Kiss
  7.  
  8.     - Lessons Unlearned Are Doomed To Bring Misery Ad-Infinitum -
  9.  
  10.  
  11. The following is an article I wrote for a mainstream computer security
  12. periodical called ISPNews.  At the time, I had been discussing the idea
  13. of a bi-monthly column with the editor at that time, Len Spitz. (Now the
  14. editor is Michael Alexander, ex-of Computerworld)
  15.  
  16. The following article, although very, very tame by my standards, and
  17. admittedly lacking in enough hardcore information to help security
  18. professionals to apply a quick fix to their many problems, caused quite
  19. a stir among the folks at ISPNews.
  20.  
  21. Since this article was from me, a self-proclaimed hacker, it
  22. underwent an extraordinary amount of scrutiny.  Rather than be
  23. accepted or denied by the editor, my article got the dubious honor of
  24. being sent before an editorial advisory board.  I checked every back
  25. issue of ISPNews and could find no mention of such an entity until the
  26. November/December 1991 issue, the issue immediately following an length
  27. interview with none other than myself.
  28.  
  29. When I questioned Len Spitz about this rather odd fact, he maintained
  30. that this committee had indeed existed, but stammered his way through my
  31. question to name any other article that they had convened to judge in
  32. the past, and to explain the duties of such a group.  He could not give
  33. me any answers.
  34.  
  35. The group itself was obviously geared to be a type of kangaroo-court.
  36. It consisted of:
  37.  
  38. William J. Cook -- The man who less than two years prior had ordered my
  39.                    privacy and civil rights violated by the Secret
  40.                    Service solely on the basis of two bulletin board
  41.                    posts and my association with members of the Legion
  42.                    of Doom and the Phrack Magazine staff.
  43.  
  44. William H. Murray -- A senior consultant with Deloitte & Touche who had
  45.                      two weeks prior stood up before my presentation to
  46.                      the MIS Training Institute's 11th Annual Conference
  47.                      and said loudly "I can't take this any more, I'm leaving,"
  48.                      to the astounded audience.  The man who went on to
  49.                      state in his own column in ISPNews, "Can we lie
  50.                      down with dogs and get up without fleas?"  and "Ask
  51.                      yourself if you wish to work in a profession
  52.                      populated by rogues.  Ask yourself if you want your
  53.                      reputation mixed with theirs."
  54.  
  55. Winn Schwartau -- A security consultant with a broad view and an open
  56.                   mind, undoubtedly resulting from his background in the
  57.                   music industry, as opposed to the bean-counting world
  58.                   of MIS.
  59.  
  60. David J. Stang -- Director of research, NCSA.  Noted virus specialist.
  61.  
  62. This was the group.  Here is what they said about my article:
  63.  
  64. Bill Cook --  "It's very well-written and informative, but shouldn't be
  65. published for legal reasons."  (What those reasons might have been were
  66. not stated, nor did Mr. Cook return my call to his office.)
  67.  
  68. Bill Murray -- Was not even given the file to read, as his response was
  69. deemed to predictable.
  70.  
  71. Winn Schwartau -- "Publish it.  This is valuable information."
  72.  
  73. David Stang -- Was not given the file because, according to Len Spitz
  74. "David is just a virus expert, and this isn't in his arena, so we gave
  75. it to Ray Kaplan."
  76.  
  77.     Ray Kaplan -- Did not want to comment on it because he said, "It's
  78.     not my expertise, so I gave it to a friend."  I believe Ray did not
  79.     want to get involved with anything having to do with hackers after
  80.     the reactionary attitudes of the DECUS attendees towards his defense
  81.     of Kevin Mitnik that nearly left him in bankruptcy.  I cannot blame
  82.     him at all.  (Hell, I like the guy...he's certainly more brazen with
  83.     attitude these days, I mean, he went to HoHoCon for God's-sake!)
  84.  
  85.       Ray's Friend -- "This is of absolutely no use to the information
  86.       security professional, but of great use to the hacker community."
  87.       I still do not know who Ray's "friend" was.  I hope his
  88.       Alzeheimer's has subsided since this comment.
  89.  
  90. Needless to say, the article went unpublished.
  91.  
  92. Shortly thereafter I received a letter from Robert Fox, an assistant
  93. vice-president at Sprint.  Somehow my little article had snaked its
  94. way over to Kansas City.  It's amazing how one faxed copy of an article
  95. could have reached so many people in such a short period of time.
  96. Mr. Fox had the following to say:
  97.  
  98. ------------------------------------------------------------------------
  99.  
  100. United Telecom/US Sprint
  101. 9221 Ward Parkway
  102. Kansas City, Missouri 64114
  103. 816-822-6262
  104.  
  105. Robert F. Fox                                     January 13, 1992
  106. Assistant Vice President
  107. Corporate Security
  108.  
  109.  
  110. VIA AIRBORNE EXPRESS
  111.  
  112. Mr. Chris Goggans
  113. COMSEC
  114. Suite 1470
  115. 7322 Southwest Freeway
  116. Houston, TX 77074
  117.  
  118.     Re:  Your Article "Packet-switched Networks
  119.           Security Begins With Configuration"
  120.  
  121. Dear Mr. Goggans:
  122.  
  123.     A copy of the referenced unpublished article, which is
  124. enclosed with this letter, has come to our attention.  After
  125. review, we believe the article is inaccurate and libelous.  If
  126. published the contents of the article could cause damage to Sprint
  127. customers, Sprint and our reputation, and we request that you not
  128. publish or otherwise disseminate it.
  129.  
  130.      In addition, we believe some of the information contained in
  131. the article has been obtained through violation of the property
  132. rights of Sprint and/or our customers and we demand that you cease
  133. any efforts or attempts to violate or otherwise compromise our
  134. property whether or not for you personal financial gain.
  135.  
  136.                         Sincerely,
  137.  
  138.                         Robert F. Fox
  139.  
  140.  
  141. Enclosure
  142.  
  143.  
  144. ------------------------------------------------------------------------
  145.  
  146.  
  147. Regardless of how Mr. Fox came into possession of this article, i have to
  148. question his letter based on his comments.   First he states that
  149. the information is almost criminally incorrect and could cause harm to
  150. Sprint's reputation.  Then he states that information in the article has
  151. come to be known through the violation of the security of Sprintnet and/or
  152. clients of Sprintnet.  In effect, I am both a thief and a liar according
  153. to Mr. Fox.  Well, if I were a thief the information could not possibly
  154. be inaccurate if it were obtained from Sprintnet or its clients.  If I
  155. was a liar, why would they think the information came from themselves
  156. and/or their clients?  Mr. Fox's thinly veiled threat caused me great
  157. amusement.
  158.  
  159. I then decided no mainstream publication would touch this article.  I
  160. don't know why everyone is so scared of the truth.  Perhaps if the truth
  161. were known people would have to work, and perhaps if the truth were
  162. known some people would be out of work.  None of this is of concern to
  163. me anymore.  I am here to speak the truth and to provide uncensored
  164. information gathered from a variety of sources to provide readers of
  165. this magazine the facts they need to quench their thirst for knowledge.
  166.  
  167. This article is included as a prelude to a series of articles all based
  168. on packet switched networks as related to information merely alluded to
  169. in my harmless little article.  To our readers, "enjoy."  To the cowering
  170. so-called security experts, "kiss my ass."
  171.  
  172. ------------------------------------------------------------------------
  173.  
  174. Packet-switched Networks
  175.  
  176. Security Begins with Configuration
  177.  
  178.  
  179. For many companies the use of packet-switched networks has
  180. allowed for increased interconnectivity of systems and easy
  181. remote access.  Connection to a major public packet-switched
  182. network brings increased access points with local dialups in
  183. many cities around the nation as well as access
  184. points from foreign countries.
  185.  
  186. With the many obvious benefits provided by this service,
  187. improper configuration of either the host's connection to the
  188. network or of the network itself can lead to extreme security
  189. problems.
  190.  
  191. The very connection to a public packet-switched network
  192. immediately increases the exposure of that particular system.
  193. America's two major commercial networks, BT-Tymnet and
  194. Sprintnet, are probably the most popular US targets for hackers
  195. around the world.  The wealth of systems available on
  196. these two networks has provided hackers with a seemly endless
  197. supply of sites on which to sharpen their skills.  The ease of use
  198. inherent in both networks makes them popular for legitimate
  199. users as well as illegitimate users.
  200.  
  201. The Telenet software utilized in the Sprintnet network allows
  202. users to enter a network user address (NUA) in the standard
  203. format as outlined in the X.121 numbering standard:
  204.  
  205. DDDDAAAHHHHHPP
  206.  
  207. Where D = the four digit data network identifier code (DNIC)
  208.       A = the three digit area code corresponding to the host
  209.       H = the host address
  210.       P = the port or (sub) address
  211.  
  212. On domestic calls the DNIC for Sprintnet (3110) is stored in
  213. all Sprintnet equipment and is used as the default.  By
  214. merely picking an area code, most often corresponding to the standard
  215. area codes of the North American Numbering Plan, and an
  216. additional one to five digits a would-be intruder can
  217. connect to any number of systems while looking for targets.
  218.  
  219. In the past many software packages have been written to
  220. automate this process, and large scans of the network have
  221. been published in a variety of underground media.
  222.  
  223. The Tymnet II software utilized in BT's Tymnet
  224. prompts the user for a mnemonic which corresponds to a host
  225. or number of hosts.  The mnemonic, or username, is referenced
  226. to a fixed host address in the network's Master User
  227. Directory (MUD).  This username may allow the caller to
  228. connect to a variety of sites, as opposed to merely one, by
  229. entering additional information in separate fields after the username.
  230. It may also correspond to a network gateway thereby allowing
  231. the user to enter a number in the X.121 format and connect to that
  232. specific site.
  233.  
  234. This particular network, with its primary use of words as
  235. opposed to numbers, has been compromised by intruders who
  236. guess common words or names in their attempts to connect to
  237. remote sites.
  238.  
  239. Each network has its own particular set of problems but
  240. solutions to these problems are both simple and quick in
  241. implementation.
  242.  
  243. SPRINTNET
  244.  
  245. The first deterrence in securing a host on this
  246. network is to restrict access to the site.  This can be
  247. accomplished in a number of ways.  The most obvious is to
  248. have the site refuse collect calls.  All calls on Sprintnet
  249. are reverse-billed, unless the site has specifically asked
  250. that they not be billed for incoming calls.  This makes the
  251. site accessible only through the use of a Network User
  252. Identifier (NUI).
  253.  
  254. Another method of restricting access from intruders is to
  255. place the host in a closed user group (CUG).  By electing to
  256. have the host in a CUG, the administrator can allow only
  257. certain NUIs to connect, and can also restrict the actual
  258. addresses from which access is allowed.  For example:  A site
  259. is placed in a CUG that will allow only calls from the
  260. company's remote branch in Dallas to access the host and only
  261. with the NUI created specifically for that branch.  All
  262. attempts to access the site from an address outside the 214
  263. area will result in an error message indicating an invalid
  264. source address.  All attempts to connect with an invalid NUI
  265. will result in an error indicating an invalid ID.  This
  266. information is maintained in the networks main TAMS (TP
  267. Access Management System) database, and is not subject to
  268. manipulation under normal circumstances.
  269.  
  270. Many sites on the Sprintnet network have specific
  271. subaddresses connecting to a debug port.  This is usually at
  272. subaddress 99.  All connections to debug ports should be
  273. restricted.  Allowing users access to this port will allow
  274. them the ability to load and display memory registers of the
  275. Sprintnet equipment connected to the port, and even reset
  276. as well as enable or disable the host.  Most debug ports are
  277. equipped with preset passwords from the vendor, but should be
  278. changed.  These ports should also restrict connection from
  279. all addresses except those specified by the company.
  280.  
  281. An additional measure that may foil intruders relying on
  282. software programs to find all addresses in a given area code
  283. is to request that the host be given an address above 10000.
  284. The time involved in scanning the network is extensive and
  285. most casual intruders will not look past the 10000 range.  In
  286. fact, many will not venture past 2000.
  287.  
  288. BT-TYMNET
  289.  
  290. Any company having a host on the Tymnet network should choose
  291. a username that is not easily associated with the company or
  292. one that is not a common word or name.  If an intruder is aware that
  293. XYZ Inc. has a UNIX based system on TYMNET he or she would
  294. begin attempts to find this system with the obvious
  295. usernames:  XYZ, XYZINC, XYZNET, XYZ1, XYZUNIX, UNIX, etc.
  296.  
  297. BT-Tymnet allows for these usernames to have additional
  298. password security as well.  All hosts should have this option
  299. enabled, and passwords should be changed frequently.
  300. The password should always be a minimum of six
  301. digits, should include letters, numbers and at least one symbol
  302. character, and should not be associated in any way with the
  303. corresponding username.
  304.  
  305. Many clients of BT-Tymnet have purchased the Tymnet II
  306. software and have individual sub-networks that are linked to
  307. the public network through gateways.  Each subnet is
  308. personally configured and maintained through the use of a
  309. package of utilities provided by Tymnet.  These utilities
  310. each perform a specific task and are highly important to the
  311. smooth operation of the network.  These utilities may be
  312. accessed either directly from the host-end or remotely
  313. through the network by entering a corresponding username.
  314. Some of these utilities are:
  315.  
  316. XRAY : a monitoring utility
  317. DDT : a debugging utility
  318. NETVAL : a database of username to host correspondence
  319. PROBE : a monitoring utility
  320. TMCS : a monitoring utility
  321.  
  322. Under NO CIRCUMSTANCES should these utilities be left
  323. without a password on the company's subnet.  These utilities should
  324. also never be named similarly to their given name.  Should an
  325. intruder gain access to any of these utilities the integrity
  326. of your network will be at risk.
  327.  
  328. For example:
  329.  
  330. Allowing an outsider access to the XRAY utility, would give
  331. he or she the ability to monitor both incoming and outgoing
  332. data from the host using the "TA" command (display trace data
  333. table in ASCII).  Use of certain XRAY commands are restricted
  334. by a security function that allows only certain usernames to
  335. execute commands on the basis of their existence in a
  336. "Goodguy" list, which can be displayed by any XRAY user.
  337. Should a user be of the highest privilege, (2), he or she can
  338. add or delete from the "Goodguy" list, reset connections, and
  339. display trace data on channels other than the default
  340. channel.
  341.  
  342. Allowing a user access to DDT can result in complete
  343. disruption of the network.  DDT allows the user the ability
  344. to write directly to the network controller "node code" and
  345. alter its configuration.
  346.  
  347. Allowing a user access to NETVAL will allow the user to
  348. display all usernames active on the network and the
  349. corresponding host addresses.
  350.  
  351. OTHER PROBLEMS
  352.  
  353. EXAMPLE ONE
  354.  
  355. On many networks users have the ability to connect to the
  356. packet assembler/disassembler (PAD) of the network dial-ups.
  357. This has led to significant problems in the past.
  358.  
  359. In the mid-1980's two American hackers were exploring the
  360. German packet network DATEX-P.  One connected to a host in
  361. Berlin and was immediately disconnected by the remote site.
  362. Before the hacker could react, the German host connected to
  363. the NUA corresponding to his Sprintnet PAD and sent him a
  364. login prompt.  This alarmed the hacker greatly, as he assumed
  365. that the proprietors of the German host had somehow noticed
  366. his attempt to access their system.  He contacted his partner
  367. and told him of the occurrence.  The two concluded that since
  368. the NUA of the origination point is sent in the packet-header,
  369. the remote site must have been programed to recognize the NUA and
  370. then return the call.  The fact that it had returned a call to a
  371. public PAD was intriguing to the pair, so they decided to
  372. attempt to recreate the event by calling each other.  Both
  373. individuals connected to the network and one entered the NUA
  374. corresponding to the others PAD.  A connection resulted and
  375. the two were able to interact with one another.  They then
  376. decided that they would periodically meet in this fashion and
  377. discuss their findings from Germany.  At the time of the next
  378. meeting, the connection did not occur as planned.  One hacker
  379. quickly received a telephone call from the second who
  380. exclaimed rather excitedly that he had attempted to connect
  381. to his partner as planned, but accidentally connected to
  382. another PAD and intercepted a legitimate user typing his NUI.
  383. Further investigation proved that one could connect to public
  384. PADs during the idle period when the user was in network
  385. mode, prior to making a connection to a remote site.  This
  386. discovery was intended to remain secret, because of its
  387. extremely dangerous applications.  Nevertheless, word of this
  388. discovery soon reached the entire hacker community and what
  389. came to be known as "PAD to PAD" was born.
  390.  
  391. The "PAD to PAD" technique became so wide-spread that hackers
  392. were soon writing software to intercept data and emulate
  393. hosts and capture login names and passwords from unsuspecting
  394. network users.  Hackers were intercepting thousands of calls
  395. every day from users connecting to systems ranging from
  396. banking and credit to the Fortune 500 to government sites.
  397.  
  398. After nearly two years of "PAD to PAD" Sprintnet became
  399. alerted to the crisis and disallowed all connections to
  400. public PADs.  When Sprintnet expanded its service overseas
  401. they once again left access to the overseas PADs
  402. unrestricted.  The problem went unnoticed again until
  403. their attention was brought to it by a hacker who called
  404. Sprintnet security and told them that they ought to fix it
  405. quickly before it became as wide-spread as before.
  406. The problem was resolved much quicker this time.
  407.  
  408. This particular technique was not limited to Sprintnet.  All
  409. networks using the Telenet software are at risk to this type
  410. of manipulation.  This type of network manipulation was
  411. integral in the recent compromise of a large Bell Company's packet
  412. network in a much-publicized case.  Certain foreign
  413. networks in countries such as Israel, England, Chile, Panama,
  414. Peru and Brazil are also at risk.
  415.  
  416. EXAMPLE TWO
  417.  
  418. In the late 1980's hackers stumbled onto a packet network
  419. owned and maintained by a large facilities maintenance
  420. company.  This particular network had a huge flaw in its
  421. setup.  It connected all calls placed through it as if they
  422. were placed with an NUI.  This allowed hackers to place calls
  423. to addresses that refused collect connections on networks
  424. around the world.  This became a popular method for hackers
  425. to access underground chat systems in Europe.  Additionally,
  426. this network contained a score of computers belonging to a
  427. major automobile manufacturer.  Most of these systems were
  428. highly insecure.  The network also allowed unrestricted
  429. access to network debug ports.  This particular network also
  430. had a toll-free number on an MCI exchange.  At the time, MCI
  431. was having some difficulty getting their equipment to accept
  432. the ANI information to provide customers with a full call-
  433. detail report on their monthly statement.  The hackers were
  434. well aware of this fact and made frequent use of the network
  435. with no fear of prosecution.  Eventually MCI was able to fix
  436. their translation problem and were able to provide their
  437. clients with full call-detail reports.  When this was
  438. learned, many hackers abandoned use of the network, but
  439. several others were later prosecuted for its usage when their
  440. number turned up on the bill.
  441.  
  442. EXAMPLE THREE
  443.  
  444. Until quite recently intimate knowledge of the utilities
  445. driving various packet-switched networks were known by an
  446. exclusive few.  While investigating a network owned by an
  447. extremely large Cleveland-based conglomerate hackers came
  448. across a system where documentation on the usage of every
  449. utility was kept online.  The hackers quickly downloaded all
  450. the information and it soon became somewhat wide-spread among
  451. the underground community.  With less-skilled and more
  452. unscrupulous individuals in possession of this information
  453. many networks began experiencing disruptions and system
  454. integrity was quickly lost as hackers began monitoring data
  455. traffic.
  456.  
  457. No information on the usage of packet networks or their
  458. utilities should ever be kept online.  Hard copies should be
  459. kept in the possession of the network administrator, and when
  460. updated, obsolete versions must be destroyed.
  461.  
  462. WHAT TO DO
  463.  
  464. When a security violation stemming from a connection through
  465. the packet network is noticed, Network Security should be
  466. notified.  Clients of BT-Tymnet should notify Steve Matthews
  467. at 408-922-7384.  Clients of Sprintnet should notify
  468. Pat Sisson at 703-689-6913.
  469.  
  470. Once changes have been enacted in the network to prevent
  471. further break-ins, the host computer should be checked
  472. thoroughly for any changes or damages, and all individual
  473. account passwords should be changed.
  474.  
  475. CONCLUSION
  476.  
  477. It is critical that the packet network be configured properly
  478. and that all measures are taken to ensure its security.  Even
  479. the most secure host computer can be easily compromised if it
  480. is connected to an insecure packet network.
  481. ----------------------------------------------------------------------
  482.