home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 1 / HACKER1.ISO / cud3 / cud300e.txt < prev    next >
Text File  |  1992-08-18  |  16KB  |  340 lines
  1.  
  2.  
  3.   ****************************************************************************
  4.                   >C O M P U T E R   U N D E R G R O U N D<
  5.                                 >D I G E S T<
  6.               ***  Volume 3, Issue #3.00 (January 6, 1991)   **
  7.   ****************************************************************************
  8.  
  9. MODERATORS:   Jim Thomas / Gordon Meyer  (TK0JUT2@NIU.bitnet)
  10. ARCHIVISTS:   Bob Krause / Alex Smith / Bob Kusumoto
  11. BYTEMASTER:  Brendan Kehoe
  12.  
  13. USENET readers can currently receive CuD as alt.society.cu-digest.
  14. Anonymous ftp sites: (1) ftp.cs.widener.edu (2) cudarch@chsun1.uchicago.edu
  15. E-mail server: archive-server@chsun1.uchicago.edu.
  16.  
  17. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  18. information among computerists and to the presentation and debate of
  19. diverse views.  CuD material may be reprinted as long as the source is
  20. cited.  Some authors, however, do copyright their material, and those
  21. authors should be contacted for reprint permission.
  22. It is assumed that non-personal mail to the moderators may be reprinted
  23. unless otherwise specified. Readers are encouraged to submit reasoned
  24. articles relating to the Computer Underground.
  25. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  26. DISCLAIMER: The views represented herein do not necessarily represent the
  27.             views of the moderators. Contributors assume all responsibility
  28.             for assuring that articles submitted do not violate copyright
  29.             protections.
  30. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  31.  
  32. ------------------------------
  33.  
  34. From: Name withheld
  35. Subject: Security on the Net
  36. Date: Sun, 23 Dec 90 17:04:49 -0500
  37.  
  38. ********************************************************************
  39. ***  CuD #3.00: File 5 of 6: Security on the Net                 ***
  40. ********************************************************************
  41.  
  42. COPS is a unix security package that runs through a checklist of sorts
  43. looking for common flaws in system security.
  44.  
  45. I polled a security mailing list and got about 40 responses to a selected
  46. number of questions dealing with security; it might be useful for inclusion
  47. on how the net (at least some of the security minded ones) view security.
  48. The answers to these questions shaped some of the philosophies of COPS and
  49. might be indicative of the type of security tools to be developed in the
  50. future.  My questions start with a number and a ")".
  51.  
  52.    1)  What kinds of problems should a software security system (SSS)
  53.    such as COPS check for? (Mention specific examples, if you can.)
  54.  
  55. Just about everyone agreed that the more things checked, the better.  Some
  56. specific wants of items I didn't mention, more or less in the order of # of
  57. requests:
  58.  
  59. Some kind of _secure_ checksum method for checking up on binary files.
  60.  
  61. Checking binaries for known security problems - sendmail, fingerd, ftpd,
  62. ect.
  63.  
  64. Checking the validity of the _format_ of key files rather than merely
  65. checking if they are writable.
  66.  
  67. Checking for potential trojan horses; files such as "ls" in a users
  68. account.
  69.  
  70. Finding things hidden under mount points.
  71.  
  72. Keeping track of accounts in a seperate file from /etc/passwd and run
  73. periodic checks to see if any accounts have been added by any unauthorized
  74. user.
  75.  
  76. Report unusual system activity, such as burning lots of CPU time.
  77.  
  78. Record unsuccessful login attempts and su's to root, when and by whom if
  79. possible.
  80.  
  81.    2)  Are there any security problems too sensitive to be checked
  82.    by a SSS?  That is, what things should *not* be built into a SSS?
  83.  
  84. Boy, this was a landslide.  Over 90% said NO, and not only no, but
  85. basically "Hell No".  The only concerns I got were against password
  86. cracking and problems that could not be easily fixed.  There was also a
  87. small amount of concern about limiting access to root, but most realized
  88. that no matter what, the benifits would outweigh any losses if the programs
  89. were put out.
  90.  
  91.    3) What should the primary goal of a SSS be -- discovering as many
  92.    security holes as possible in a given system (including bugs or
  93.    design flaws that may not be easily fixed -- especially without
  94.    source code), or merely uncovering correctable errors (due to
  95.    ignorance, carelessness, etc)?
  96.  
  97. Another landslide.  Of all the responses, only one person objected to
  98. finding all holes, although a few did say that finding the fixable holes
  99. was top priority.
  100.  
  101. One view:
  102.  
  103. My use for an SSS is as a system monitor, not as a diagnostic tool.  I
  104. suppose the diagnostic version also has its uses, but writing and
  105. distributing such a program is asking for trouble.  I don't see anything
  106. wrong with writing it and distributing only the binaries.
  107.  
  108.    4)  Do you feel that SSS are a security threat themselves?
  109.  
  110. Some dissent begins to show.... It was almost even here, with the no's
  111. beating out the yes's by a single vote.  However, 2/3 of the yes votes
  112. qualified there answer by stating something like "a tool can be misused"
  113. and whatnot.  Here are some typical responses:
  114.  
  115. Of course.  They point to way for bad guys.  Such is life.  They are a
  116. tool.  They have the potential for anything.  The security threat lies in
  117. how they are used....
  118.  
  119. No, as long as they don't breed complacency. Just by running a SSS each
  120. night should not make you thinks your systems are secure.
  121.  
  122. Fire is also dangerous but VERY useful.
  123.  
  124.  
  125.    5) Do you think that the SSS should be restricted to be used only
  126.    by system administrators (or other people in charge), or should
  127.    they be accessible to all?
  128.  
  129. Here's where the problems start :-)  Everyone wants as many features as
  130. possible, but quite a few of you don't want anyone else to have it.  Hmm...
  131. Out of 35 responses on this question:
  132.  
  133.   12 - Yes, only SA's.
  134.   10 - No.
  135.    6 - It would be nice to have it restricted, but... How?
  136.    5 - Have two versions; one restricted, one not.  Needless to say,
  137.         the dangerous stuff should go in the first.
  138.    1 - Restrict only parts that detect bugs/whatever that cannot be
  139.         repaired.
  140.    1 - Argh!  Help!
  141.  
  142.      Some quotable quotes:
  143.  
  144. I don't see how it could be restricted.
  145.  
  146. Admins, etc only. (possibly said because I'm an admin. From an intellectual
  147. standpoint, I would want to know about this stuff even if I was just a
  148. user)
  149.  
  150. I think the SSS should be restricted to system administrators with the
  151. realisation that others can probably get their hands on the code if they
  152. want to.
  153.  
  154. Definitely available to all, SA's can be as lazy as anyone and should not
  155. be allowed to hide behind a veil of secrecy if, in doing so, they expose
  156. the systems they administer.
  157.  
  158. It seems to me that only an "administrator type" will have sufficient
  159. privilege levels to make _effective_ use of such a tool.  Ordinary users
  160. may be able to garner _some_ benefit though, if run on their own files.  If
  161. possible, can there be an "administrator" mode and a (restriced/limited)
  162. "user" mode?
  163.  
  164. (and finally, my personal favorite...)
  165.  
  166. I think that a check for a hole that can't be closed shouldn't be a part of
  167. the check, if that hole is widespread.  I have no examples of any such
  168. hole, but a weak spot that can't be closed and has no workaround is one of
  169. the few candidates for the security by secrecy concept.  I have mixed
  170. feelings about this, but if I can't fix the hole, I'd rather not have it's
  171. existence be "public" knowledge.  A freely available routine to locate the
  172. hole would spread it's existence far and wide.....(?) But, if I didn't know
  173. about it beforehand then it would be good to have a tool to tell me it
  174. existed.  Gads, I hate moral conflicts!
  175.  
  176.    6) When a SSS finds a security flaw in a system, do you want it to
  177.    indicate how they flaw could be used to compromise your system, or
  178.    would you just accept the conclusion and apply a fix?
  179.  
  180. This question was ill worded and gramatically incorrect, but still managed
  181. to conjure up a lot of comments.  Some thought it was asking if the system
  182. should apply a fix.  In any case, almost 3/4 said Yes, indicate exactly how
  183. to exploit any potential hole.  As usual, there were a few with
  184. reservations about the info getting out, but....
  185.  
  186. Here are some of the more interesting comments:
  187.  
  188.                 (Think about this one!)
  189. *I* would like to know to futher my knowledge of Unix, but more importantly
  190. to make sure that the version I have was not modified by a cracker to put
  191. security holes *into* a system.  (That'd be sneaky :-)
  192.  
  193. Security by obfuscation doesn't work.
  194.  
  195. By definition, a SSS is a software system, and therefore has bugs in it.
  196. If it reported a problem which would cause quite a bit of inconvenience if
  197. fixed, or would be difficult to fix, then I would be much more apt to make
  198. the fix if I knew how the problem could be exploited.  This is important,
  199. because many, if not most, sites require only a moderate level of security,
  200. and many security holes are fiendishly difficult to exploit.
  201.  
  202. We cannot assume that end-purchasers of a system can be as aware of the
  203. internal workings of a system as the designers of the system (or SSS) are.
  204. If a security flaw is discovered, the administrators need to be informed
  205. about what changes are necessary to remove that flaw, and what
  206. repercussions they may have.
  207.  
  208. Imagine a SSS that knew sendmail(8) was a security flaw allowing a worm to
  209. enter systems.  It would report that sendmail is a security flaw, please
  210. disable it like....  If the vendor had released a patch, and the SSS didn't
  211. know how it, the administrator (in blind faith to this SSS program) might
  212. disable a *very* useful program unnecessarily.
  213.  
  214.    7)  Do you think that there is too much, not enough, or just about
  215.    the right amount of concern over computer security?  How about at
  216.    your computer site?  At other sites?
  217.  
  218. The "not enough"s won, but not by much.  I thought that given the paranoia
  219. of a security group, this would be a larger victory.  Lots of people said
  220. it depends -- on the type of facility, the size, etc. Large sites seem to
  221. have a healthier view of security (paranoia :-)) than
  222. smaller/non-governmental.  Only 4 or 5 said there was enough concern.  A
  223. couple of people mentioned _The Cuckoo's Egg_ as suggested reading (I
  224. heartily agree.)
  225.  
  226. More quotes:
  227.  
  228. (I don't know if the next answer is true, but I like it anyway!)
  229.  
  230. This is really a deep philosophical question---something to talk about over
  231. a few beers at the bar, but not here.
  232.  
  233. I think it's a site dependent problem, and all the above are true: too
  234. much, too little, and just right. Computer is not a "one size fits all"
  235. situation. Having offered that opinion, I think an assessment of my site or
  236. other sites is extraneous, and I will reserve that opinion.
  237.  
  238. ... more attention to unauthorized use of the networks.
  239.  
  240.    8)  Do you think that there should be a ruling body that governs
  241.    and enforces rules and regulations of the net -- sort of a net.police?
  242.  
  243. Some of you wondered what this had to do with software security, but just
  244. about everyone answered anyway.  This one scared me!  The "No's" only beat
  245. out the "yes's" by one vote.  Yikes!  Maybe I'm from the old school of
  246. thought, but....  Several people said that it couldn't be done anyway; a
  247. couple mentioned they a CERT-like agency to help out, but not control, and
  248. finally two said that the laws and government were already there to do
  249. this.
  250.  
  251. It's there, defacto.  The free market is working pretty well.
  252.  
  253. Absolutely. I quarrel with the "net.police" designation, per se, of course,
  254. as do many others. But perhaps something more like a recognized trade
  255. association, and providing similar services. Also, it is time that the
  256. basic duties which must be reasonably performed by a site in order for it
  257. to remain on the net should become a requirement rather than a matter of
  258. individual whim.
  259.  
  260. Yuck!  This is very distasteful to me.  It will probably be necessary
  261. though as more and more people participate in the net.  Enforcement will
  262. have to be judicious until secure networking is developed and implemented
  263. generally.
  264.  
  265. No.  Aside from the fact that it'd never work, I like Usenet as an anarchy.
  266. It has some rough edges, but for the most part it works.  What does this
  267. question have to do with SSS-type programs?
  268.  
  269. Enforcement will be tough and may hold back legitimate users.  But we have
  270. to start somewhere.  So I suppose that I agree with having net.police, as
  271. long as they don't turn things into a police.state.net.
  272.  
  273.    9)  Do you believe that breaking into other people's systems should
  274.    continue to be against the law?
  275.  
  276. Only one said "no", and s/he had a smiley following the answer.  But there
  277. were some of you who voiced concern that it wasn't really against the law
  278. to begin with.  In _The Cuckoo's Nest_, Cliff Stoll talked about a
  279. (Canadian, I think) case that the only reason the cracker was prosecuted
  280. was for stealing electricity!  Less than a watt or something.  A few of you
  281. mentioned denial of services as being a just reason, but what if they break
  282. in only at night, when no one else is on, and they really don't take
  283. anything at all?  Should that be less punishable than someone who sucks
  284. away user CPU/disk/whatever?
  285.  
  286. Breakins should be encouraged and rewarded (1/2 :-).
  287.  
  288. Yes.  Unquestionably.  However, those laws should not attempt to regulate
  289. inter-system traffic to cause these things to happen.
  290.  
  291. Yes - and as a felony in all cases, without exception.
  292.  
  293. Yes but murder, rape, robbery... are more important and laws and sentencing
  294. should reflect this. There are some around who want to treat cracking as a
  295. capital crime!
  296.  
  297. Yes, from the denial of services standpoint.  I pay $XXX,XXX.XX for a
  298. system, and joe blow slides in and sucks away at those resources, there
  299. should be a nontrivial penalty for getting caught.  Don't behead the guy,
  300. but monetary fines or community service would be just fine.
  301.  
  302. I don't know.  I'm not a philosopher.  Certainly causing damage to others
  303. is wrong, including denial of service, compromising sensitive info, or
  304. whatever.  I'm concerned though that clamping down on young kids will
  305. discourage them from becoming computer geeks.  I think we need to encourage
  306. our young people to become technically literate.  If we don't become a more
  307. expert society we can kiss it goodbye; all we'll have left is our military
  308. solutions, like some brainless jock bully...
  309.  
  310. I'm not sure that it is everywhere - but: Yes.  Should attempting to break
  311. in be against the law: No.  Is this vague: Yes.
  312.  
  313. I did not know that it was. The laws about it have not been tested and are
  314. vague and unclear. You need to be very clear about what the laws are going
  315. to do.
  316.  
  317. **HELL FUCKING YES** Those of us who started in UNIX years ago have for the
  318. most part *always* respected others!! This I can't stress strong enough.
  319.  
  320.   10)  Is your site academic, government, or commercial in nature?
  321.  
  322. Just over 1/2 of those that answered claimed university ties, with about
  323. 1/4 being commercial, 1/6 government, a few research sites, and a couple
  324. that were a mixture.  Sites included Sun, AT&T, SCO (Xenix), the DoD, and
  325. the Army, among others.
  326.  
  327. (Guess where this one came from :-)
  328.  
  329. Research.  We invented Unix.
  330.  
  331. Academic with commercial applications.
  332.  
  333. Primarily academic, but we are part of the government.
  334.  
  335. Academic, except when collecting student fees *) *)
  336.  
  337. ********************************************************************
  338.                            >> END OF THIS FILE <<
  339. ***************************************************************************
  340.