home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / phrack2 / phrack52.015 < prev    next >
Encoding:
Text File  |  2003-06-11  |  18.8 KB  |  382 lines
  1. ---[  Phrack Magazine   Volume 8, Issue 52 January 26, 1998, article 14 of 20
  2.  
  3.  
  4. -------------------------[  The International Crime Syndicate Association
  5.  
  6.  
  7. --------[  Dorathea Demming
  8.  
  9.       
  10.  
  11.   =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  12.   =                                                                         =
  13.   =                                ICSA                                     =
  14.   =                                                                         =
  15.   =               International Computer Security Association                =
  16.   =                                                                         =
  17.   =                                 or                                      =
  18.   =                                                                         =
  19.   =               International Crime Syndicate Association?                =
  20.   =                                                                         =
  21.   =                                                                         =
  22.   =                                 by                                      =
  23.   =                                                                         =
  24.   =                          Dorathea Demming                               =
  25.   =                                                                         =
  26.   =                                                                         =
  27.   =                                                                         =
  28.   =                  (c) Dorathea Demming,  October, 1997                   =
  29.   =                                                                         =
  30.   =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  31.  
  32.  
  33. This is an article about computer criminals. I'm not talking about the fun
  34. loving kids of the Farmers of Doom [FOD], the cool pranksters of the Legion of 
  35. Doom [LOD], or even the black-tie techno terrorists of The New Order [TNO].
  36. I'm talking about professional computer criminals.  I'm talking about the
  37. types of folks that go to work every day and make a living by ripping off
  38. guileless corporations.  I'm talking about the International Computer Security
  39. Association [ICSA].  The ICSA has made more money off of computer fraud than
  40. the other three organizations mentioned above combined.
  41.  
  42. ICSA was previously known as National Computer Security Association [NCSA].
  43. It seems that they finally discovered that there are networks and gullible
  44. corporations in countries other than the United States.
  45.  
  46. In this article I will inform you of the cluelessness and greed of ICSA.
  47. Instead of telling you, I will let them tell you in their own words.
  48.  
  49.   =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  50.  
  51.  
  52. Lets look at what the NSCA has to say about it's history:
  53.  
  54.         "the company was founded in 1989 to provide independent and
  55.         objective services to a rapidly growing and often confusing
  56.         digital security marketplace through a market-driven, for-profit
  57.         consortium model."
  58.  
  59. This is where the ICSA differs from real industry organizations like the IEEE.
  60. Non-profit organizations like the IEEE can provide independent and objective
  61. services, for-profit organizations like ICSA cannot be trusted to do so.
  62. The goal of the NSCA is profit, nothing more and nothing less.
  63.  
  64. Profit is a desirable goal in a business.  However, the ICSA pretends to be
  65. an industry association.  This is a complete and total fabrication.  ICSA is
  66. not an industry association -- it is a for-profit enterprise that competes for 
  67. business directly with the companies it pretends to help.
  68.  
  69.   =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  70.  
  71.  
  72. Let's look at the ICSA's knowledge of computer security:
  73.  
  74. "Early computer security issues focused on virus protection. "
  75.  
  76. This is where the ICSA accidentally informs us if their true history.  No one
  77. with half of a clue would claim that "Early computer security issues focused
  78. on virus protection."  In reality, early computer security issues focused on
  79. the protection of mainframe systems.  Virus protection did not become a
  80. concern until the 1980's.  We can only conclude that no one at the ICSA has a
  81. background in computer security outside of personal computer security.  These
  82. folks seem to be Unix illiterate -- not to speak of VM, MVS, OS/400, AOS/VS,
  83. VMS or a host of other systems where corporations store vast amounts of data.
  84. Focusing primarily on PC security will not benefit the overall security
  85. posture of your organization.
  86.  
  87.   =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  88.  
  89.  
  90. Let's look at another baseless claim of the ISCA:
  91.  
  92.         "ICSA consortia facilitate an open exchange of information among
  93.         security industry product developers and security service
  94.         providers within narrow, but well defined segments of the
  95.         computer security industry."
  96.  
  97. According to the "security industry product developers and security service
  98. providers" that I have spoken with, this is complete hogwash.  The word on the 
  99. street is that the ICSA folks collect information and then give nothing useful 
  100. in return.  My response is "How could they?"  No one at ICSA has any
  101. information to offer.  You would do as well to ask your 12 year old daughter
  102. for information about computer security -- and you might even do better, if
  103. your daughter reads Phrack.
  104.  
  105.   =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  106.  
  107.  
  108. Let's look at what the ICSA has to say about their Web Certification program:
  109.  
  110.         "The ICSA Web Certification materially reduces web site risks
  111.        and liability for both operator and visitor by providing,
  112.        verifying and improving the use of logical, physical and
  113.        operational baseline security standards and practices."
  114.  
  115.        "Comprised of a detailed certification field guide, on-site
  116.        evaluation, remote test, random spot checks, and an evolving set
  117.        of endorsed best practices, ICSA certification uniquely
  118.        demonstrates management's efforts to assure site availability,
  119.        information protection, and data integrity as well as enhanced
  120.        user confidence and trust."
  121.  
  122.  
  123. What really happens is that ICSA sends out a reseller to your site.  The
  124. reseller then asks you if you have set up your site correctly.  You tell the
  125. reseller that you have, and then the reseller tells ICSA that you have set up
  126. your site correctly. Very few items are actually verified by the reseller.
  127. ICSA then runs ISS (Internet Security Scanner) against your web server.  If ISS
  128. cannot detect any security vulnerabilities remotely, you receive ICSA Web
  129. Certification.
  130.  
  131. For grilling your staff with a series of almost meaningless questions, the
  132. reseller receives $2,975 US dollars.  For running ISS against your web server,
  133. ICSA receives $5,525.  For $19. 95, you can buy a copy of Computer Security
  134. Basics by Deborah Russell and G.T. Gangemi Sr. (ISBN:0-937175-71-4) and save
  135. your company almost $8,500.
  136.  
  137.   =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  138.  
  139.  
  140. Let's look at the ICSA's Reseller Training:
  141.  
  142. ICSA states that every reseller that delivers their product is trained in
  143. computer security.  In practice, however, this training is actually _sales_
  144. training.  The ICSA training course lasts for less than one day and is
  145. supposed to be conducted by two trainers, one sales person and one technical
  146. person.  One recipient of this training told me that the technical person did
  147. not bother to show up for his training, while another recipient of this
  148. training told me that ICSA instead sent _two_ sales people and _no_ technical
  149. people to his training.
  150.  
  151.   =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  152.  
  153.  
  154. Let's look at what ICSA says about change in the "digital world" of
  155. firewalls:
  156.  
  157.         "The digital world moves far too quickly to certify only a
  158.         particular version of a product or a particular incarnation of a
  159.         system.  Therefore, ICSA certification criteria and processes are
  160.         designed so that once a product or system is certified, all
  161.         future versions of the product (or updates of the system) are
  162.         inherently certified."
  163.  
  164.  
  165. What does this mean to you?  It means that ICSA is certifying firewalls
  166. running code that they have never seen.  It means that if you purchase a
  167. firewall that has been ICSA certified -- you have no way of knowing if the
  168. version of the firewall product that is protecting your organization has ever
  169. been certified.
  170.  
  171.   =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  172.  
  173.  
  174. Let's look at how ICSA defends itself from such allegations?  ISCA has
  175. three ready made defenses:
  176.  
  177.         "First, the ICSA gains a contractual commitment from the
  178.         product vendor or the organization that owns or runs the
  179.         certified system that the product or system will be maintained
  180.         at the current, published ICSA certification standards. "
  181.  
  182. So that's how ICSA certification works, the firewall vendors promise to write
  183. good code and ICSA gives them a sticker.  This works fine with little children
  184. in Sunday school, but I wouldn't trust the security of my business to such a
  185. plan.
  186.  
  187.         "Secondly, ICSA or it's authorized partners normally perform
  188.         random spot checking of the current product (or system) against
  189.         current ICSA criteria for that certification category. "
  190.  
  191. Except, of course, that an unnamed source within ICSA itself admitted that
  192. these spot checks are not actually being done.  That's right, these spot
  193. checks exist only in the minds of the marketing staff of the ICSA.  ICSA
  194. cannot manage to cover the costs of spot checking in their exorbitant fee
  195. structure.  They must be spending the money instead on all of those free
  196. televisions they are giving away to their resellers.
  197.  
  198.         "Thirdly, ICSA certification is renewed annually. At renewal
  199.         time, the full certification process is repeated for the current
  200.         production system or shipping products against the current
  201.         criteria. "
  202.  
  203. Well here we have the final promise -- our systems will never out of
  204. certification for more than 364 days.  If our firewall vendor ships three new
  205. releases a year -- at least one of them will go through the actual ICSA
  206. certification process. Of course, all of them will have the ICSA certification
  207. sticker.
  208.  
  209.   =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  210.  
  211.  
  212. Let's looks at what ICSA has to say about their procedures:
  213.  
  214.         "The certification criteria is not primarily based on
  215.         fundamental design or engineering principles or on an assessment
  216.         of underlying technology. In most cases, we strive to use a
  217.         black-box approach. "
  218.  
  219. Listen to what they are really saying here.  They are admitting that their
  220. certification process does not deal with "fundamental design or engineering
  221. principles" or on an "assessment of underlying technology".  What else is left
  222. to base a certification upon?  Do they certify firewalls based upon the
  223. firewall vendors marketing brochures?  Upon the color of their product boxes?
  224. Upon the friendliness of their sales staff?  Or maybe they just certify anyone
  225. who gives them money.
  226.  
  227. When you are clueless, every computer system must look like a "black-
  228. box" to you.
  229.  
  230.   =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  231.  
  232.  
  233. Let's look at how the ICSA web certification process deals with CGI
  234. vulnerabilities:
  235.  
  236.         "The Site Operator attest that CGIs have been reviewed by
  237.         qualified reviewers against design criteria that affect
  238.         security. "  (sic)
  239.  
  240.  
  241. Let's take a close look at this.  The #1 method of breaking into web servers
  242. is to attack a vulnerable CGI program.  And the full extent that the ICSA
  243. certification deals with secure CGI programming is to have your staff attest
  244. that they have done a good job.  What sort of employee would respond "Oh no,
  245. we haven't even looked at the security of those CGI bins?"  The ICSA counts on 
  246. employees trying to save their jobs to speed the certification process along
  247. to it's conclusion.
  248.  
  249.  
  250.   =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  251.  
  252. Let's look at what ICSA has to say about it's own thoroughness:
  253.  
  254.         "Because it is neither practical nor cost effective, ICSA does
  255.         not test and certify every possible combination of web sites on
  256.         a web server at various locations unless requested to, and
  257.         compensated for, by Customer. "
  258.  
  259. We all know that security is breached at it's weakest link, not it's
  260. strongest.  If we choose to certify only some of our systems, we can only
  261. assume that attackers will them simply move on and attack our unprotected
  262. systems.  Perhaps if ICSA did not attempt to extort $8,500 for a single web
  263. server certification, more customers could have all of their web sites
  264. certified.
  265.  
  266.   =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  267.  
  268.  
  269. Let's look at how much faith ICSA puts in their own certifications:
  270.  
  271.         "Customer shall defend, indemnify, and hold ICSA harmless from
  272.         and against any and all claims or lawsuits of any third party
  273.         and resulting costs (including reasonable attorneys' fees),
  274.         damages, losses, awards, and judgements based on any claim that
  275.         a ICSA-certified server/site/system was insecure, failed to meet
  276.         any security specifications, or was otherwise unable to
  277.         withstand an actual or simulated penetration.
  278.  
  279.  
  280. In plain English, they are saying that if you get sued, you are on your own.
  281. But wait, their faithlessness does not stop there:
  282.  
  283.   =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  284.  
  285.  
  286. Let's look at how the ICSA sees it's legal relationship with it's
  287. customers:
  288.  
  289.         "Customer, may, upon written notice and approval of ICSA, assume
  290.         the defense of any claim or legal proceeding using counsel of
  291.         it's choice. ICSA shall be entitled to participate in, but not
  292.         control, the defense of any such action, with it's own counsel
  293.         and at it's own expense: provided, that if ICSA, it its sole
  294.         discretion, determines that there exists a conflict of interest
  295.         between Customer and ICSA, ICSA shall have the right to engage
  296.         separate counsel, the reasonable costs of which shall be paid by
  297.         the customer. "
  298.  
  299. What you, the customer, agree to when you sign up for ICSA certification is
  300. that you cannot even legally defend yourself in court until you have "written
  301. notice and approval of ICSA. "  But it's even worse that that, ICSA then
  302. reserves the right to hire lawyers and bill YOU for the expense if it feels
  303. that you are not sufficiently protecting it's interests.  Whose corporate
  304. legal department is going to okay a provision like this?
  305.  
  306.   =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  307.  
  308.  
  309. Let's look at how much the ICSA attempts to charge for this garbage:
  310.  
  311.         ===========================================================
  312.         | Web Certification                                       |
  313.         |                                                         |
  314.         |         1 Server                                $8,500  |
  315.         |         2-4 Servers                             $7,650  |
  316.         |         5 or more Servers                       $6,800  |
  317.         |                                                         |
  318.         |         6-10 DNS                                $  495  |
  319.         |         11 or more DNS                          $  395  |
  320.         |                                                         |
  321.         | Perimeter Check                                         |
  322.         |                                                         |
  323.         |         up to 15 Devices                        $3,995  |
  324.         |         additional groups of 10 Devices         $1,500  |
  325.         |         bi-monthly reports                      $1,000  |
  326.         |         monthly reports                         $3,500  |
  327.         |                                                         |
  328.         | War Dial                                                |
  329.         |                                                         |
  330.         |         first 250 phone lines                   $1,000  |
  331.         |         additional lines                        $3/line |
  332.         |                                                         |
  333.         | Per Diem                                                |
  334.         |                                                         |
  335.         |         Domestic                                $  995  |
  336.         |         International                           $1,995  |
  337.         |                                                         |
  338.         ===========================================================
  339.  
  340. Certifying one web server will cost you $8,500.  I have seen small web servers
  341. purchased, installed, and designed for less than that amount.
  342.  
  343. If you tell the ICSA that you have 15 network devices visible on the Internet
  344. and they discover 16 devices, they will bill you an additional $1,500.  This
  345. is what you agree to when you sign a ICSA Perimeter Check contract.  In
  346. effect, when you sign up for an ICSA Perimeter Check, you are agreeing to pay
  347. unspecified fees.
  348.  
  349. To dial an entire prefix the ICSA will charge you $30,250.  I wonder if these
  350. folks are using ToneLoc.  I wonder if these fools are even using modems...
  351.  
  352. I will leave judgement on the per diem rates to the reader.  How much would
  353. you pay for a clown to entertain at your daughters birthday party?  Would you
  354. give the clown a daily per diem of $995?  Why would you feel the ICSA clowns
  355. might deserve better?  How do you spend $995 a day and still manage to put in
  356. some work hours?
  357.  
  358.   =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  359.  
  360.  
  361. These are just a few excerpts from some ICSA documentation I managed to get my 
  362. hands on.  I do not feel my assessment has been any more harsh than these
  363. people deserve.  I am certain that if I had more of their literature, there
  364. would be even more flagrant examples of ignorance and greed.
  365.  
  366. ICSA feeds on business people who are so ignorant as to fall for the ICSA
  367. propaganda.  By masquerading as a legitimate trade organization, they make
  368. everyone in the data security industry look bad.  By overcharging the
  369. clientele, they drain money from computer security budgets that could better
  370. be spent on securing systems and educating users.  By selling certifications
  371. with no actual technical validity behind them they fool Internet users into a
  372. false sense of security when using e-commerce sites.
  373.  
  374. ISCA is good for no one and it is good for nothing.
  375.  
  376.  
  377. Dorathea Demming
  378. Mechanicsburg, PA
  379. 10 Oct, 1997
  380.  
  381.  
  382. ----[  EOent o