home *** CD-ROM | disk | FTP | other *** search

---

/ The Hacker Chronicles - A…the Computer Underground / The Hacker Chronicles - A Tour of the Computer Underground (P-80 Systems).iso / phrk3 / phrack31.7

< prev

next >

Wrap

Text File  |  1992-09-26  |  9KB  |  177 lines

---

1.  
2.  
3.                  ==Phrack Inc.==
4.           Volume Three, Issue Thirty-one, Phile #7 of 10
5.  
6.  
7.                   COMPANY CONFIDENTIAL
8.  
9.                    INTERIM MEMORANDUM
10.  
11.  
12.  
13.  
14.           SUBJECT:    TYMNET SUPPORT FOR CUSTOMER'S DATA SECURITY
15.  
16.  
17.        PURPOSE:  This document provides background, and general procedures
18.        and practices used to support customers with suspected security
19.        problems.  Field Sales is the intended audience but is a general
20.        document and may be useful to other customer support personnel.
21.  
22.        Currently, this document is in a final review.  Meanwhile, it is to
23.        retain the status of an internal proprietary document.
24.  
25.        BACKGROUND:  BT Tymnet Inc, and its Network Systems Company,
26.        believe information integrity is vital to ourselves and our
27.        customers.  One way TYMNET insures integrity is by providing good
28.        security.  TYMNET has a baseline security of user name, password,
29.        and user access profile available for all customers.  Further, there
30.        are two security products.  One permits the customer to limit
31.        password life (password automatically expires after a customer
32.        elected time period) and the other permits the end user to change
33.        his/her own password.  Since we do consider security a key issue,
34.        we continue to develop other security features.    Also, we work with
35.        Security vendors to certify their security products on our network,
36.        thus permitting customers to add such products, should they so
37.        desire.
38.  
39.  
40.        We have established Network Systems Company Policies which provide
41.        a framework for the information contained herein (see NSC Policy
42.        121 and 122.  More policies are in distribution as of this
43.        writing).  It is highly recommended that these policies be reviewed
44.        since they represent the framework of this document.
45.  
46.        Legal considerations are another key issue in any security case.
47.        Support, other then providing the customer with related security
48.        data, can only occur if law(s) have been broken.  The
49.        legal issues are complex and only a minimal information is
50.        provided herein.  At at the heart of this issue is the fact that
51.        the customer is the injured party, not TYMNET.  Patience and good
52.        communication may be required to get the customer to understand
53.        this fact.  The customers must act for themselves to obtain
54.        law enforcement support.  TYMNET will support that activity, and
55.        help to the degree possible, much as a "friend of the court".
56.  
57.        THE SUPPORT:  We provide security support as a responsible
58.        network service provider.  The first step in that support is for
59.        the field sales representative to act as a security consultant to
60.        the customer, at least to the extent explained below.
61.  
62.        The customer is well advised to plan in advance "what to do
63.        when Captain Midnight strikes" -- contingency planning, pure
64.        simple.    First there are two basic alternatives to choose from:
65.  
66.                   PROTECT AND PROCEED
67.  
68.                        OR
69.  
70.                   PURSUE AND PROSECUTE
71.  
72.        "Protect and proceed" means 1) determine how the incident
73.        occurred, 2) plug the security leak/hole, and 3) go on with
74.        business as normal.
75.        (Do we want written notification of the Intent to "Pusue and
76.        Prosecute" from the "Injured Party?").
77.  
78.        "Pursue and prosecute" is just that.  The first step is having
79.        the customer obtain legal support, and both we and the customer
80.        continue to gather evidence until the suspect is apprehended.  The
81.        next step is the prosecution in a court of law.    (The final step is
82.        to return to the first alternative, e.g., now protect and
83.        proceed.)
84.  
85.        The customer needs to judge each case  on its own merits, but
86.        generally the first choice is the wiser one.  The second choice
87.        involves considerable effort, mostly by the customer and law
88.        enforcement agency(s), possible negative publicity for the
89.        customer and does not necessarily result in successful prosecution.
90.        Good contingency planning also includes becoming familiar with the
91.        laws and the local law enforcement people.
92.  
93.        The starting point is a suspected incident.  Herein, we will address
94.        the case where the customer has identified a suspected intruder.
95.        Generally, that occurs by a customer's detailed review of billing
96.        or host based security exception reports.
97.  
98.        At this point it is essential the field sales representative open a
99.        ticket containing at least the following:  1) customer name and CID,
100.        2) host(s) involved, 3) incident start and stop times, and 4) the
101.        customer's objective.  Add any other information deemed helpful.
102.        Other support may be an on-line trace of the call, if the
103.        suspect is currently on-line.  Field support should do this trace, or
104.        alternately, this same help can be obtained by calling network
105.        customer support and/or NetCon.    In any case it must be done while
106.        the suspect is on-line.    Such trace information should be
107.        included on the ticket.
108.  
109.        Based on the customer's position; the case will fit either
110.        "prevent and proceed" or, "pursue and prosecute".  The former is
111.        straight forward, in that TYMNET security will research the
112.        incidents(s), and provide data (generally user name and point of
113.        origin(s) to the customer via Field Sales, with recommendations
114.        on how to prevent any further occurrence.  We do provide this
115.        service as a responsible vendor, although strict interpretation
116.        of NSC policy 121 precludes it.    However, we do apply the policy if
117.        a customer continues to ask for data without taking preventative
118.        action.
119.  
120.        The "pursue and prosecute" case is complex, and is different for each
121.        situation.  It will be explained by using a typical scenario.  After
122.        the first step (as above), it is necessary to gather data sufficient
123.        to show a pattern of intrusion from a single TYMNET access point.
124.        With this information, the customer (the injured party) must contacts
125.        law enforcement agency(s), with the one exception noted below.
126.  
127.        If that intrusion point is through a gateway from a foreign
128.        country, for all practical purposes, the customer can do little to
129.        prosecute.  The law(s) of the foreign country will apply since
130.        extradition is most unlikely.  Therefore, action will have to be
131.        have to be initiated by the network service provider in the
132.        foreign country.  In this case, TYMNET security will have MIS
133.        research the session details to obtain the Network User
134.        Identifier, and External Network Support (Jeff Oliveto's
135.        organization) will communicate that information to the foreign
136.        network for their action (cases involving U.S. government computers
137.        may get special treatment - see for example - Communications of the
138.        ACM, May, 1988, article on "Stalking the Wiley Hacker").
139.  
140.        Most all security incidents on our network are caused by international
141.        hackers using X.121 addressing.    Frequently, our customer is unaware
142.        of the risk of X.121 addressing, and permits it.  BE SURE YOUR
143.        CUSTOMERS KNOW THAT THEY CAN CHOOSE FULL TYMNET SECURITY FEATURES,
144.        THEREBY PRECLUDING SUCH INTRUSIONS FROM X.121 ADDRESSING FROM
145.        FOREIGN NETWORKS.
146.  
147.        For the domestic case, the customer gets law enforcement (attorney
148.        general at incoming call location, secret service if credit card
149.        fraud is involved, or possibly the FBI, depending on the incident)
150.        to open a case.    Note, damage in estimated dollars is usually
151.        necessary to open a case, and many agencies will not take action on
152.        small claims.  For example, as of December, 1988, the Los Angeles
153.        Attorney will not open a case for less than $10,000 (they have too
154.        big a caseload at higher damages).
155.  
156.        Assuming legal support is provided, a court order for a wire tap
157.        and trace will be obtained, thereby determining the caller's phone
158.        number (this step can be very involved and time consuming for long
159.        distance calls).  The next legal action occurs after the calling
160.        number is identified.  A search warrant is obtained for searching the
161.        facility housing the phone location.  Normally, this search will
162.        gather evidence sufficient for prosecution.  Evidence is typically
163.        the necessary terminal equipment, printouts, diskettes, etc.  Then,
164.        at long last the prosecution.  Also note, again at the time the
165.        calling number is identified, the injured party should use the
166.        "protect and proceed" plan.
167.  
168.        For further information, contact Data Security, TYMNET Validations,
169.        or Ontyme NSC.SECURITY.
170.  
171.  
172.  
173.  
174. _______________________________________________________________________________
175.  
176. Downloaded From P-80 International Information Systems 304-744-2253 12yrs+
177.