home *** CD-ROM | disk | FTP | other *** search
/ The Hacker Chronicles - A…the Computer Underground / The Hacker Chronicles - A Tour of the Computer Underground (P-80 Systems).iso / network / nia52 < prev    next >
Text File  |  1992-09-26  |  17KB  |  409 lines
  1.  
  2.  ZDDDDDDDDDDDDDDDDDD? IMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM; ZDDDDDDDDDDDDDDDDDD?
  3.  3   Founded By:    3 :  Network Information Access   : 3   Founded By:    3
  4.  3 Guardian Of Time 3D:            12SEP90            :D3 Guardian Of Time 3
  5.  3   Judge Dredd    3 :        Guardian Of Time       : 3   Judge Dredd    3
  6.  @DDDDDDDDBDDDDDDDDDY :            File 52            : @DDDDDDDDDBDDDDDDDDY
  7.           3           HMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM<           3
  8.           3                IMMMMMMMMMMMMMMMMMMMMMMM;              3
  9.           @DDDDDDDDDDDDDDDD6System Security Part 02GDDDDDDDDDDDDDDY
  10.                            : Security For The User :
  11.                            HMMMMMMMMMMMMMMMMMMMMMMM<
  12.  
  13. Introduction:
  14.  
  15. Welcome to Nia's System Security Series Part 02, in this particulare file I will
  16. be attempting to describe to you Security as it relates to the user and from the
  17. vantage point of the system operator.
  18.  
  19. $_Dialups
  20.  
  21. User Security begins when you FIRST logon to a system.  You are asked for
  22. your username and a password. Some systems can have more than ONE password.
  23.  
  24. There are actually Seven different types of Logins:
  25.  
  26. 1) LOCAL
  27. 2) DIALUP
  28. 3) REMOTE
  29. 4) NETWORK
  30. 5) BATCH
  31. 6) DETACHED
  32. 7) SUBPROCESS
  33.  
  34. Logins are either INTERACTIVE or NONINTERACTIVE.  Interactive logins is a
  35. login made in a series of steps in which the user provides information.
  36. Noninteractive logins is a login that the system will perform all the
  37. functions needed, without any user interaction.
  38.  
  39. Different types of interactive and noninteractive logins follows:
  40.  
  41. LOCAL         interactive
  42. DIALUP        interactive
  43. REMOTE        interactive
  44. NETWORK       noninteractive
  45. BATCH         noninteractive
  46. DETAHED       depends
  47. SUBPROCESS    noninteractive
  48.  
  49. Local login is performed by users from a terminal connected directly to the
  50. central processor or to a terminal server that communicates directly with the
  51. central processor.
  52.  
  53. Dialup Logins are when you log in to a terminal that uses a modem, to make
  54. your connection to the system.
  55.  
  56. Remote Logins are when you log in to a node over the network, you request
  57. that node by entering the DCL command SET HOST.  This login is known as a
  58. remote login. The node you reach immediately asks you for a user name and
  59. password.
  60.  
  61. Network Logins are performed for you when you access files stored in a
  62. directory on another node or when you initiate some other type of network
  63. task on a remote node.  When you wish to copy files or messages, you would
  64. specify the desired node and an optional access control string, where the
  65. access control string includes your user name and password for the remote
  66. node.  An example is below:
  67.  
  68. $DIRECTORY PARIS"CRAND password"::WORK2:[PUBLIC]*.*;*
  69.  
  70. The above example, user CRAND has an account on remote node PARIS and enters
  71. the following command to get a directory listing of all the files in the
  72. [PUBLIC] directory on disk WORK2:
  73.  
  74. Proxy Logins are very good for security, reason is this, when using Proxy
  75. Logins, you never enter a password, the system automatically does this for
  76. you.  Your password is never echoed back to you, and passwords are never
  77. exchanged between systems.  And finally proxy logins keep all password files
  78. away from where budding young hackers might be looking, like the root or in
  79. command files.
  80.  
  81. Batch Logins are quite usefull for doing things on a VMS system. For
  82. instance, you could have a program that would activate the payroll program
  83. after 7:00pm ( and assumeing that you have modified the payroll program ),
  84. you could set the time to whatever you want, OR suppose you have set up a
  85. time bomb:
  86.  
  87. SUBMIT/AFTER=19:00 PAYROLL.COM
  88.  
  89. When the time comes to be, your user account is logged and a record is
  90. kepted.  So if modifying programs make sure that you erase all logs and
  91. such.
  92.  
  93. Logging in is an important part of the system, for if you can not log in,
  94. then you can not complete jobs, perform tasks, and such other things.  All
  95. ports and terminals should be monitored frequently and any problems to be
  96. noted.  Never assume that something is ok, check all problems, questions and
  97. refer to the manuals and DEC personal for assistance.
  98.  
  99. $_Passwords
  100.  
  101. There are several types of passwords on a VMS system.  Most users need to
  102. provide a USER PASSWORD when they log in.  Some users also need to provide a
  103. system password to gain access to a particular terminal before logging in
  104. with their user password.  Users on systems w/ high security requirements
  105. need to provide PRIMARY PASSWORDS and SECONDARY PASSWORDS.
  106.  
  107. When you assign a password VMS operating system applies a ONE-WAY ENCRYPTION
  108. ALGORITHM to all passwords as it stores them.  Encryption refers to a method
  109. of encoding in an effort to conceal it.  ONE-WAY ALGORITHMS DO NOT USE A
  110. KEY.  Thus, if a user obtains the encryption algorithm and the encoded
  111. password, that user COULD DEDUCE the actual password only by trying all
  112. possible input values.
  113.  
  114. So in english it IS possible to create the format of password encryption as the
  115. VMS system.  Remember this, if you use an Enlish Dictionary format to create
  116. your password, you will then be able to get the password.  It may take some
  117. time, but it is possible.  Problem is this, most system managers are either
  118. trying to get users to use NON-ENGLISH words or use the /GENERATE password
  119. format which ill generate your password automatically.
  120.  
  121. System passwords control access to particular terminals and are required at
  122. the discretion of the security manager.  They are necessary to control
  123. access to terminals that might be targets for unauthorized use, such as
  124. dialups and public terminal lines.
  125.  
  126. Often when an account is set up your first name is used, and from there it
  127. is up to YOU to change your password, unless your password has the privilege
  128. of LOCKPWD, which means that you can NOT change your password.
  129.  
  130. Common passwords are as follows:
  131.  
  132. Your name
  133. Name of a family member or loved one
  134. Name of a pet
  135. Favorite Automobile
  136. Name of hometown
  137. Name of a boat (or YOUR boat)
  138. Any name associated with work.  Such as company, projects, or groups
  139. And any other item that bears a strong personal association to you
  140.  
  141. The above list is the most common that people use.  The problem with a
  142. person creating a password is that, your mind works in a matter where you
  143. think you pulled out a word, that to you, is random, but to somone else, it
  144. suits you just perfectly.  So when creating accounts, you should use the
  145. /GENERATE command, and that would just about eliminate any chance of a
  146. password that reminds someone about you.
  147.  
  148. When creating passwords, you must do the following:
  149.  
  150. $SET PASSWORD
  151. Old password:
  152. New password:
  153. Verification:
  154.  
  155. If you do not complete the correct sequence, it will not take, also i fyou
  156. are under the amount of minimum length for your password the system will
  157. automatically tell you.
  158.  
  159. If you want the system to automatically generate passwords, just do the
  160. following:
  161.  
  162. $SET PASSWORD/GENERATE=8
  163. old password:
  164.  
  165. apsjawpha     aps-jaw-pha
  166. oorsoult      oor-soult
  167. guamixexab    gu-a-mix-ex-ab
  168. impsapoc      imps-a-poc
  169. ukchafgoy     uk-chaf-goy
  170.  
  171. Choose a password from this list or press RETURN to get a new list
  172. New password:
  173. Verification:
  174. $
  175.  
  176. The above, shows only five passwords to choose from, and the system will
  177. give you the syllable version of the same word to the right.  Most people
  178. will take the syllable version, 'cause its easier ( meaning if you picked
  179. oor-soult, your password would be OORSOULT not OOR-SOULT ).
  180.  
  181. If your password las the flag PWDLIFETIME=30, your password would then
  182. expire in 30 days from the current date issued.  You will be notified when
  183. your password is due with the following message:
  184.  
  185. WARNING -- Your password expires on Thursday 30-SEP-1990 15:00
  186.  
  187. If your account is set with the /GENERATE=xx, then you will then be
  188. automatically shown your list of five words to pick from.  If you do not
  189. have the /GENERATE=xx then you will be prompted for your New Password only.
  190.  
  191. Make a note, if you are EVER asked to change your pw, do it.  For if you
  192. loose access to the system, you must get the system manager to restore your
  193. pw privileges to you.
  194.  
  195. You are encouraged to add digits to your passwords, for that will increase
  196. the combinations of letters.  For example:
  197.  
  198. Six Character password using letters equals out to 300 Million Combinations
  199. Six Character password using BOTH Letters/Numbers equals out to 2 Billion!
  200.  
  201. You can have Secondary passwords as well as primary passwords, so if you run
  202. into one, it will look like this:
  203.  
  204. NIA .. VMS Version 5.0
  205.  
  206. Username: Guardian of Time
  207. Password: xxxxxxxx
  208. Password: xxxxxxxxxx
  209.  
  210. If you wish to add to your account a secondary password, do the following
  211.  
  212. $SET PASSWORD/GENERATE=8/SECONDARY
  213.  
  214. That will generate a password of eight character length, and it will be the
  215. secondary password.
  216.  
  217. It is suggested that with System Accounts, or accounts with full privileges
  218. that you use a secondary password, and use the /GENERATE=xx Modifier, that
  219. way, your password would be next to impossible to hack.
  220.  
  221. Also remember that with two passwords you have about fifteen to thirty
  222. seconds to enter the password, if not, the system will automatically log you
  223. off.
  224.  
  225. Some Password Tips:
  226.  
  227. Select reasonably long passwords that cannot be easily guessed.  Avoid using
  228. words in your national language that woule appear in a dictionary.  Consider
  229. including digits in your passwords.  Alternatively, let the system generate
  230. passwords for you automatically.
  231.  
  232. Never write down your password.  You should have it memorized.
  233.  
  234. Give your password to other users only under special circumstances.  Change
  235. it immediately after the need for sharing has passed.
  236.  
  237. Do not include your password in any file, including the body of an
  238. electronic mail message.
  239.  
  240. Before you log in to a previously turned ON terminal, invoke the secure
  241. terminal server feature ( If it is enabled ), with the BREAK key.
  242.  
  243. Unless you share your password, change it every three to six months.
  244. DIGITAL worns against sharing passwords ( don't we all? ).  If you share
  245. your password, change it immediately.
  246.  
  247. Chage your password immediately if you have any reason to suspect it might
  248. have been dsicovered.  Report such incidents to your security manager.
  249.  
  250. Do NOT use the same password for your accounts on multiple systems.  But
  251. some dummy always will, and they get what they deserve.
  252.  
  253. $_Account Expiration Times
  254.  
  255. When your acceount is created, the security manager may decide to specify a
  256. period of time after which the account will lapse ( for example, if you will
  257. only need the account for a specific purpose for a limited time).  At
  258. universities, studen accounts are typically authorized for a single semester
  259. at a time.  Expired accounts automatically deny logins.
  260.  
  261. Users receive NO ADVANCE WARNING message prior to the expiration date, so it
  262. IS important to know in advance what your account duration will be.  The
  263. account expiration resides in the UAF record, which can be accessed and
  264. displayed only through the use of the VMS authorize Utility by users with
  265. the SYSPRV privilege or equivalent -- normally your system or security
  266. manager.
  267.  
  268. When your account expires, you receive an authorization failure message at
  269. your next attempted login.  If you need an extension, follow the procedures
  270. defined at your site.
  271.  
  272. $_Break In Detection
  273.  
  274. VMS is niffty to this regard, the system will automatically ( if enabled ),
  275. after x Number of Hack Attempts disable that account for a period of time.
  276. So even IF you got the password, after x number of attempts, the system will
  277. continue to log you off.
  278.  
  279. Otherwise the format could look something like this:
  280.  
  281. Username:NIA
  282. password:files
  283. User Authorization Failure
  284. Username:NIA
  285. password:text
  286. User Authorization Failure
  287. Username:NIA
  288. password:magazine
  289. User Authorization Failure
  290. Username:NIA
  291. password:textfile          <- Correct Pw, but since it detected 3 Hack Attempts
  292. User Authorization Failure <- The system will NOT let you on.
  293. Username:
  294.  
  295. The time before you could actually log back on, is determined by the
  296. security manager, and it could be one hour, one minue, two days, three
  297. weeks, whatever the manager decides.
  298.  
  299. $_Network Considerations For Security
  300.  
  301. When switching nodes you have to have an account (unless its public and open
  302. to whoever ) the following example is loging into another node:
  303.  
  304. NODE"username password"::disk:[directory]file.typ
  305.  
  306. The problem with this type of a sequence is that you must type the password
  307. on the screen, and if anyone happens to be standing by you, they will see
  308. your password and node and what directory.
  309.  
  310. Also watch out for placing your string into a command file or any txt or
  311. message, because if it can be read, it will be.
  312.  
  313. A proxy login allow users to access files across a network without
  314. specifying user name or password in an access control string.  This is what
  315. a proxy login would look like:
  316.  
  317. $COPY WALNUT::BIONEWS.MEM BIONEWS.MEM
  318.  
  319. What the above did was contact NODE WALNUT and request BIONEW.MEM and copied
  320. it back to the orignal system, notice that NO passwords where exchanged
  321. visably, so you wouldn't have to worry about password stealing.
  322.  
  323. Also must note that BOTH nodes MUST have a proxy ACCOUNT, if they don't have
  324. one, then your out cold.
  325.  
  326. Also remember that you will need to erase the RECALL command, because if you
  327. do not do so, another user would be able to view all of your previous
  328. commands.  That is ONLY if you are still CONNECTED to the system.  Once you
  329. log off, the RECALL counter is erased automatically.  Remember that RECALL
  330. can "recall" up to twenty previous commands.  If you want to see all of what the
  331. RECALL has in store, just type RECALL/ALL and it will list the last twenty
  332. commands and a mischevious person could aquire your passwords that way.
  333.  
  334. $_Logging Out Of A System
  335.  
  336. When you leave your terminal/system unlocked or online, someone else could
  337. walk on in and pick up where you left off, also if you have SYSPRV then that
  338. person could actually start creating accounts, and you wouldn't know it.  So
  339. make sure that when you leave your office, LO/FULL and make sure that you
  340. note the time/date that you where online, shut your system off and lock the
  341. door on the way out (unless you can't).
  342.  
  343. At high-security sites, it is common practice to turn off your video
  344. terminal every time you log out because the logout message reveals a
  345. currently active user name.  When users log off after a remote login, the
  346. name of the node they return to after the remote logout is also revealed.
  347. When a user has accessed multiple accounts remotely over the network, the
  348. final sequence of logout commands reveals all the nodes and the user names
  349. that are accessible to the user on each nod, with the exception of the name
  350. of the furthest node reached.  To those who can recognize the operating
  351. system from the prompt or a logout message, this will also reveal the
  352. operating system, and thus that person could deduct if he has sufficient
  353. programming skills what your system is, and maybe even depending if you
  354. where careless with your PW, might even be able to hack back onto the
  355. system.
  356.  
  357. When logging out of a Hard Copy terminal, make sure that all printouts are
  358. ripped off and shredded, burned, trashed or whatever your current site
  359. specifies.
  360.  
  361. Print outs should NEVER be thrown away, since people trash, they can get it
  362. easily back out and have a hard copy of what you where doing, what accounts
  363. that might have been created and passwords that where set up, YOUR passwords
  364. are not displayed when you enter one, but if you where modifying user
  365. accounts it is possible to have it on print.
  366.  
  367. On dial ups, it is possible to log out and the phone line NOT disconnected,
  368. that is a special flag that must be added to your account, that flag is the
  369. PERMANENT/HANGUP.  To activate it, you must do the following:
  370.  
  371. $SET TERMINAL/PERMANENT/HANGUP
  372.  
  373. You will have to specify your terminal number or name, or port name, that
  374. way the system will know how to react.
  375.  
  376. $_Common Commands:
  377.  
  378. DIRECTORY ( or DIR )
  379. LO/HANGUP
  380. MODIFY username/PWDLIFETIME=29-15:00 (29 days, expires at 3:00pm)
  381. MODIFY username/GENERATE=8
  382. PERMANENT/HANGUP
  383. RECALL/ERASE
  384. SET PASSWORD
  385. SET PASSWORD/GENERATE=8
  386. SET PASSWORD/SECONDARY/GENERATE=10
  387.  
  388.  
  389. Note that the MODIFY command must be used in the UAF file (User
  390. Authorization File ).
  391.  
  392.                             Guardian Of Time
  393.                               Judge Dredd
  394.                       Ignorance, Theres No Excuse.
  395.                   For questions or comments write to:
  396.                          Internet: elisem@nuchat
  397.                            Fidonet: 1:106/69.0
  398.                                   or
  399.                              NIA FeedBack
  400.                              P.O. Box 299
  401.                        Santa Fe, Tx.  77517-0299
  402.  
  403. [OTHER WORLD BBS]
  404.  
  405.  
  406.  
  407.  
  408. Downloaded From P-80 International Information Systems 304-744-2253 12yrs+
  409.