home *** CD-ROM | disk | FTP | other *** search
/ The Hacker Chronicles - A…the Computer Underground / The Hacker Chronicles - A Tour of the Computer Underground (P-80 Systems).iso / network / nia17 < prev    next >
Text File  |  1992-09-26  |  14KB  |  250 lines
  1.  
  2.   ZDDDDDDDDDDDDDDDDDD? IMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM; ZDDDDDDDDDDDDDDDDDD?
  3.   3   Founded By:    3 :  Network Information Access   : 3   Founded By:    3
  4.   3 Guardian Of Time 3D:            12APR90            :D3 Guardian Of Time 3
  5.   3   Judge Dredd    3 :       Guardian Of Time        : 3   Judge Dredd    3
  6.   @DDDDDDDDBDDDDDDDDDY :            File 17            : @DDDDDDDDDBDDDDDDDDY
  7.            3           HMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM<           3
  8.            3    IMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM;  3
  9.            @DDDD: COMPUTER CRIME: COMPUTER SECURITY TECHNIQUES  :DDY
  10.                 :           Section I -- Introduction           :
  11.                 HMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM<
  12.  
  13. Forward:
  14.  
  15. There will be at least ten files on the subject of Computer Crime, I have
  16. tried to get people to show us just what we can,  the ideas that are being
  17. taught to managers, are simple, and crude.  You have seen in the first few
  18. files of NIA, just HOW SIMPLE are the techniques? Well here in this
  19. section will be a Governmental view of Computer Crime.
  20.  
  21.                                                 Guardian Of Time
  22.  
  23. $_SECTION I -- INTRODUCTION
  24.  
  25. The "Dawn of the Age of Aquarius" has also ushered in the "Age of the
  26. Computer." It is no secret that computers have become indispensable to
  27. almost every form of modern business and government.  The rapid expansion
  28. of computer use has created an electronic marketplace where goods and
  29. intellectual products are transferred and paid for entirely by electronic
  30. means.  Computers have also created a new method of storage and
  31. representation of assets through electronic data processing systems that
  32. record everything from bank balances to shares of securities.  The use of
  33. computers has even advanced to the stage where electronic signatures can
  34. be given unique characteristics making them more easily identifiable and
  35. reliable than human handwriting in many respects.
  36.  
  37. The new form of assets consists of pulses of electricity, states of
  38. electronic circuits, and patterns of magnetic areas on tape and disks.
  39. The pulses can be converted to the form of checks by a computer printer or
  40. to monetary currency by computer-printed reports that authorize cashiers
  41. to transfer cash from boxes to people or to other boxes.  The pulses can
  42. also be converted to printed reports or mechanical functions that cause
  43. actions either manually or automatically involving goods and services.
  44. These negotiable assets, as well as personal information, now are stored
  45. as data in computers, saved on magnetic tape and disks, and sent through
  46. wires and microwave carriers in electronic, electromagnetic wave, and
  47. magnetic forms.
  48.  
  49. The creation of these new forms of assets, however, has been accompanied by
  50. an increase in the potential for misuse of computers and computer data.
  51. Some of the people who create and work with computer products have the
  52. capability to alter or delete assets stored in computers or to create
  53. totally new assets.  The security of these assets, as well as other data
  54. stored in computers, is vital.  In this document, computer security
  55. encompasses the integrity, preservation, authorized use, and
  56. confidentiality of data starting with its generation, through its entry
  57. into computers, automatic and manual processing, output, storage, and
  58. finally its use.
  59.  
  60. One of the primary motives for computer security is protection from
  61. intentionally caused loss.  Computer crime is highly publicized and its
  62. nature frequently distorted in the news media.  Although there are no
  63. valid representative statistics on frequency or loss, enough loss
  64. experience has been documented (more than 1000 reported cases since 1958)
  65. and even more conjectured to make it clear that computer crime is a
  66. growing and serious problem.  Broadly defined, known experience indicates
  67. a high incidence of false data entry during manual data handling before
  68. computer entry.  Most losses of this kind are small, but several large
  69. losses of $10 to $20 million have occurred.  Unauthorized use of computer
  70. services has also prolifereated, especially with increasing use of dial-up
  71. telephone access to computers.  A few sophisticated programmed frauds
  72. inside computer systems or using them as tools for frauds have been found
  73. where detection was mostly accidental.  Reported computer crime is
  74. committed mostly by people in positions of trust with special skills,
  75. knowledge and access.  The results of known experience indicate the need
  76. for a wide range of basic controls that reduce the likelihood of violation
  77. of trust by these people.  Many of these controls that reduce the
  78. likelihood of violation of trust by these people.  Many of these controls
  79. are represented in this report.
  80.  
  81. $_RELIANCE ON COMPUTERS REQUIRES COMPUTER SECURITY
  82.  
  83. Although computer security has always been needed, even before computers,
  84. interest in it became widespread only after computers came into use,
  85. especially for processing financial and personal data.  Computers
  86. facilitate the great concentration of data for powerful means of
  87. processing, and for the first time since the days of manual data
  88. processing computers, provide an opportunity to apply computer security in
  89. effective, uniform, and low-cost ways.  At the same time computer use
  90. increases the dangers of large losses from the conentration of intangible
  91. assets in electronic forms and changes the nature of exposures to losses
  92. with assets in these new forms.
  93.  
  94. Use of computers changes the patterns and degree of trust put in people
  95. who work with data.  New occupations staffed by fewer, technology oriented
  96. people, each with greater capacity to do good or harm using computers as
  97. tools have emerged.  There is now one computer terminal for every three
  98. white-coller workers.
  99.  
  100. Computers remove processing and storing of data in their electronic form
  101. from direct human observation.  Thus, computer programs that direct the
  102. processing of data whose integrity and correctness must be assured are
  103. necessary tools to see the results of data processing and check the
  104. correctness of data stored in computer media.  The procedures by which
  105. data are processed and stored are created by programmers at a different
  106. time and place than when the actual processing occurs.  Processing takes
  107. place so rapidly as to be incomprehensible to humans until it is complete,
  108. and intervention is impossible except in preprogrammed ways that where
  109. developed without the possibility of foreseeing all future conditions and
  110. needs.
  111.  
  112. Organizations that use or provide computer services for governmental and
  113. business purposes have a responsibility to the users, data subjects,
  114. managers and employees, as well as society, to assure computer security in
  115. legal, economic, and ethical terms to avoid loss to themselves and others.
  116. Thus, contractual commitments that specify trade secret protection of
  117. commercial computer program and data file products require that users of
  118. the products apply safeguards.  Top management, of course, wants to
  119. continue the success of their organizations and avoid data-related losses.
  120. Data processing employees abide by the computer security policies and
  121. procedures to please management and receive advancements in their jobs.
  122. Society demands responsible treatment of data, the US government, for
  123. example, has attempted to obtain voluntary adherence by business to the
  124. Organization for Economic Cooperation and Development Guidelines on
  125. Protection of Privacy and Transborder Flows of Personal Data.  In
  126. addition, professional societies and trade associations apply peer
  127. pressure to meet ethical standards.
  128.  
  129. Data-related losses from errors, omissions, bad judgment, intentional
  130. acts, and natural events motivate the victims to avoid further loss.  Some
  131. controls on loss result in more efficient data handling, reduced insurance
  132. premiums, and lower costs.  Compliance with laws and regulation such as the
  133. Privacy Act of 1974, Foreign Corrupt Practices Act, criminal statutes, and
  134. the US Office of Management and Budget Circular A-71 on Computer Security
  135. is required for an orderly society.
  136.  
  137. All of these factors and more must be taken into account in planning and
  138. establishing computer security.  Dangers lurk not where losses have been
  139. anticipated and good controls exist but where vulnerablities have NOT been
  140. anticipated and controls are lacking.  Systematic methods are needed to
  141. assure completeness of safeguarding with limited resources that can
  142. resonably be devoted to protection in the complex and changed environments
  143. of data processing brought about by the use of computers.
  144.  
  145. $_COMMITMENT TO COMPUTER SECURITY
  146.  
  147. Management is eager to allocate resources that directly increase the
  148. productivity of their organizations.  Security seldom adds directly to
  149. productivity; it only assures protection from loss of productivity and
  150. avoids violation of rights, laws and regulations.  Therefore, security
  151. might have occurred.  If security is effective, it usually goes unnoticed
  152. because loss is averted.  Otherwise, security is sometimes seen as costing
  153. money without visible, direct contributions to performance.  This makes
  154. security expenditures particularly important to justify and understand.
  155.  
  156. Fortunately, enlightened management will react rationally to assure
  157. security in their organizations when given resonable options and adequate
  158. justification for doing so.  Employees will support and carry out security
  159. when they understand its purpose, receive clear directives, understand
  160. that it is part of their job performance, and are judged on their
  161. adherence to secure practices.  Therefore, recommendations for
  162. cost-effective controls must be properly justified and generally accepted.
  163.  
  164.  
  165. Methods for conducting security reviews based on risk assessment to
  166. determine vulnerabilities and identify needed controls have been developed
  167. and used to some extent.  However, many controls are still selected on a
  168. piecemeal basis when individual needs become evident without comprehensive
  169. review of all needs.  This leads to inconsistent security buildup that
  170. leaves serious vulnerabilities and gaps.  Security must be mesasured by
  171. the weakest links; losses occur where adequate controls are lacking.
  172. Therefore, methods of review must be developed that are comprehensive as
  173. well as sufficiently practical and low in cost to attract their use.
  174.  
  175. Data processing and computer security have advanced rapidly to the point
  176. where organizations today do not take action in isolation from what other
  177. organizations are doing.  Many organizations have adopted the solutions to
  178. common vulnerability problems developed by others.  Applying generally
  179. used security practices and controls is attractive where the problems and
  180. needs are similar among many organizations.
  181.  
  182. $_CONTRIBUTION OF THIS REPORT TO COMPUTER SECURITY
  183.  
  184. The study results reported in this document are meant to add materially to
  185. new concepts in computer security.  The computer security practices and
  186. controls presented here are those used or endorsed by seven organizations
  187. that are particularly advanced in their computer security.  In addition,
  188. the organizations were chosen from among those heavily involved in
  189. manipulating personal data to emphasize the application of security to
  190. issues of privacy.  Thus, several of the organizations are processors of
  191. crimminal justice data and one is a processor of life and medical
  192. insurance.  The seven participating field site organizations are:
  193.  
  194. (1)     A state law enforcement data center
  195. (2)     A county EDP services department
  196. (3)     A city data services bureau
  197. (4)     A research institute specializing in criminal justice research
  198. (5)     A life and casualty insurance company
  199. (6)     A center for political studies, which does extensive research on
  200.         sensitive topics linked to individuals
  201. (7)     A state information services department.
  202.  
  203. A project team of experienced computer security consultants examined the
  204. seven field site organizations to determine the best controls and
  205. practices in use, as well as the methods of review and selection of
  206. controls and practices that organizations use.  This document describes
  207. the 82 controls and practices that were judged as generally acceptable for
  208. good computer security by computer security administrators from all seven
  209. organizations along with two independent security consultants.
  210.  
  211. In Section II of this report, the background and maturation of computer
  212. security methods, particularly as a basis for new approaches to
  213. evaluating and selecting controls, are described.  Common, selective, and
  214. special vulnerabilities are identified.  Section III describes presently
  215. used security review methods and the legal concepts of standards of due
  216. care and protecting proprietary interests in computer programs which
  217. contribute to computer security practices and the law.
  218.  
  219. Section IV, along with more detailed descriptions in Appendix B, presents a
  220. new, baseline concept that can be used along with other methods for
  221. selecting controls and security practices.  The principles and benefits of
  222. baseline controls are stated and future baseline development is
  223. considered.
  224.  
  225. Section V explains the method of investigation, the format used to
  226. describe the controls found in the study, and the five indices of the 82
  227. controls that are described in the last section.  The five indices are
  228. identified by topic, objective, area or responsibility, mode, and
  229. environment to facilitate location of specific controls.  An overview
  230. summarizing the controls by topic completes Section V.
  231.  
  232. In Section VI, the controls are presented in ways quite different from
  233. that found in other security literature.  A title, control objective, and
  234. general description based on actual usage experience are presented.  The
  235. control variants are identified.  Strengths and weaknesses found in usuage
  236. are stated.  These items are followed by  advice on how to audit the
  237. controls, and five more characteristics are briefly identified to complete
  238. the description.  Appendix A presents three case studies of actual
  239. selection and approval of controls and a step-by-step method of how a
  240. baseline review could be conducted.
  241.  
  242. $_EOF
  243.  
  244. [OTHER WORLD BBS]
  245.  
  246.  
  247.  
  248.  
  249. Downloaded From P-80 International Information Systems 304-744-2253 12yrs+
  250.