home *** CD-ROM | disk | FTP | other *** search
/ The Hacker Chronicles - A…the Computer Underground / The Hacker Chronicles - A Tour of the Computer Underground (P-80 Systems).iso / cud2 / cud210i.txt < prev    next >
Text File  |  1992-09-26  |  9KB  |  159 lines
  1. ------------------------------
  2.  
  3. From: Dark Adept (Ripco BBS)
  4. Subject: In-House Security Problems
  5. Date: Thu, 1 Nov 90 01:37 CST
  6.  
  7. ********************************************************************
  8. ***  CuD #2.10: File 9 of 9: In-House Security Problems         ***
  9. ********************************************************************
  10.  
  11. Crossing the barriers of the Underground....
  12.  
  13.                   In-House Security Problems
  14.                              by
  15.                        The Dark Adept
  16.  
  17. While the current anti-hacker fervor causes many people to think that hackers
  18. are the number one intruders into computer systems, this isn't the case.  The
  19. foremost security problem is with employees.  Many companies overlook what the
  20. possible consequences are for giving an employee computer access.  Often times
  21. employees are given too much trust.  This leads to problems in the long run.
  22. This article will attempt to entreat the common mistakes made by companies
  23. when dealing with their employees.
  24.  
  25. Employee Carelessness and Laziness
  26. -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
  27.  
  28. Most people are lax when it comes to protecting something that is not their
  29. own.  The system operator assumes that an employee will diligently memorize
  30. his ID and password and throw the paper away.  This is usually not the case.
  31. Most people, being too lazy to memorize the password (or, after changing it,
  32. to memorize the new one), will keep a written copy of their password
  33. somewhere.  If a fellow employee finds it, he is given the opportunity to
  34. cause untraceable havoc.  Since the owner of the password knows nothing about
  35. these actions, the system operator will often assume that it's a hacker
  36. causing the trouble when it's not.
  37.  
  38. Another problem that employees create is not disposing of garbage properly.  A
  39. hacker who goes trashing (digging through your garbage to find items of value)
  40. can find many printouts, manuals, and even passwords that employees have
  41. indiscriminately thrown away without censoring.  The best practice is to shred
  42. all documents relating to computer transactions and send the shreddings to a
  43. recycling center.  This helps the community and secures the information.
  44. Locked trash receptacles may be picked and/or broken into, and hackers have
  45. been known to go to the dump/processing center to grab trash.  Even the most
  46. innocent printout should be destroyed.  For example, a core dump off of an IBM
  47. 360/370 architecture mainframe will give a hacker the following information:
  48. System name          Type of Operating System
  49. Node name             Various file/dataset names
  50. User ID                   Printer ID's
  51. JCL version            etc., etc., etc.
  52. Volume names
  53. Unit names
  54. Type of system
  55.  
  56. That's a lot of information to hand out free to the "enemy"!  Of course, a
  57. core dump is an extreme example, but any information regarding your system may
  58. be used by a hacker to his benefit.  If he knows that you are running Unix (Tm
  59. AT&T), he can tailor his tactics to fit that type of system.  If you are
  60. running MUSIC (Tm McGraw-Hill)  he can adjust to that.
  61.  
  62. Some operators require employees to change their passwords at least every six
  63. months or so.  This effort should be applauded.  But what they don't realize
  64. is that many employees change them for a couple of days, and then they change
  65. them back because they are too lazy to memorize a new one.  A hacker, if he
  66. has access to an account and the password changes, will almost always wait for
  67. the password to change back, and it usually does.  System operators should
  68. have a utility to check and see if the password is changed and remains
  69. changed.
  70.  
  71. B
  72. Systems Operators
  73. -=-=-=-=-=-=-=-=-=-
  74.  
  75. While a system operator has many responsibilities, the most important is
  76. account maintainance.  When an employee is terminated, his account should be
  77. revoked IMMEDIATELY!  Whether his termination was voluntary, requested, or
  78. involuntary, the account should be done away with instantaneously.  If you
  79. don't, the results could be catastrophic.  It would be comparable to firing
  80. someone but letting him keep a key to the store.  He could walk in at any time
  81. and destroy files.  If the system operator himself is terminated, the new
  82. system operator should go through the system with a fine-toothed comb.  He
  83. must look for any method the ex-operator has of getting into his old account.
  84. Often times system operators either let the account self-destruct from lack of
  85. use, or they allow the termination notices to pile up in anticipation of doing
  86. one large purge at the end of the month.  Obviously 30 days is more than
  87. enough time to destroy and/or copy a large portion of files.
  88.  
  89. For any employee, all his programs and files must be searched for trap doors,
  90. viruses, etc.  Anything that could be used to gain entrance to the system must
  91. be destroyed.  And, again, if he has a fellow employee's password, then there
  92. will be much trouble.
  93.  
  94. The system operator should also keep an eye on the log files and note attempts
  95. at unauthorized access by employees.  Once on the inside, an unscrupulous
  96. person can cause more trouble than a run-of-the-mill hacker.  Having access to
  97. any account is more than halfway to gaining access to the operator level.
  98. Most of the time employees are just poking around to see what's on the system
  99. (not much different from what hackers do!), and they won't cause any harm.
  100. But when there is a pattern of attempts to access something by a single
  101. employee, you can bet your bottom dollar that he is up to no good.
  102.  
  103. Social Engineering
  104. -=-=-=-=-=-=-=-=-=-
  105.  
  106. One term that often appears in hacking papers is "social engineering".  What
  107. this is, basically, is bullshipping your way into a computer system.  It is
  108. easier done than explained.  All one has to do is find someone who loves his
  109. work.  Pretend there is a business called BusinessCoInc.  It hires a system
  110. operator whose life is computers.  The SysOp lives, eats, sleeps, breathes
  111. computers (gee, sounds like a hacker so far!).  Well, say he goes to a
  112. computer conference.  Now this chump is sitting at a conference, and some guy
  113. next to him starts talking about security.  WOW! This idiot gets all excited
  114. and starts blabbing "Yeah!  That's cool, but I have a Shayes callback modem
  115. hooked up to a Eunichs system running Try2HackMe security software.  The only
  116. problem we had was...."  The pinhead in question just told the guy how to get
  117. into his system.  What's really funny is that the SysOp was just talking about
  118. something he loved.  He got all excited to find someone else that shared the
  119. same interests that he lost his head and blabbed.
  120.  
  121. One of my buddies whom I've known since grade school currently attends Notre
  122. Dame University and is a business major.  During summer break, he related to
  123. me a bit of advice one of his finance professors gave the class.  He said,
  124. "Boys, the most important thing you'll learn in college is how to drink.  More
  125. business deals have been made and more idiots taken advantage of over drinks
  126. than on the 18th hole.  If you can't hold your liquor, sooner or later someone
  127. will take advantage of you."  Now some people don't even need alcohol to get
  128. talking, but this is another aspect of social engineering.   Basically, all
  129. social engineering is can be summed up as "Loose lips sink ships".  And most
  130. businesses are half-submerged if this is true.
  131.  
  132. Another problem that relates to social engineering involves choosing
  133. passwords.  Employees often choose passwords such as their wife's maiden name.
  134. A friend of an employee who does this has a greater chance of figuring out
  135. their password since they know something about the employee.  Even if a word
  136. is chosen at random, a hacker can write a program that tries every word in his
  137. word processor's dictionary file until it finds the proper one.  There is a
  138. greater chance of picking out "battle" using this type of program than
  139. "98^Y&$" using a sequential test program (one that tries every possible
  140. permutation of, say, a 10 character or less field from 512 possible
  141. characters).
  142.  
  143. To sum up, the most dangerous chinks in system security armor do not exist in
  144. the security system itself, but in the people who use the system.  Laziness
  145. and carelessness of employees cause most security breeches, and most system
  146. breeches are inside jobs.  The myth of the evil hacker sitting there
  147. destroying files is just that: a myth.  The real problem is not the hackers;
  148. the real problem is the people who use the system.
  149.  
  150. Written 10/31/90 in Chicago, IL  --  The Dark Adept
  151.  
  152. ------------------------------
  153.  
  154.                            **END OF CuD #2.10**
  155. ********************************************************************
  156.  
  157.  
  158. Downloaded From P-80 International Information Systems 304-744-2253 12yrs+
  159.