home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker Chronicles 1 / HACKER1.ISO / cud3 / cud333g.txt

< prev

next >

Wrap

Text File  |  1992-10-10  |  6KB  |  132 lines

---

1. ------------------------------
2.  
3. Date: Tue, 10 Sep 91 11:45:43 PDT
4. From: Dark Adept <dadept@unixville.uunet.uu.net>TNET>
5. Subject: File 7--Review of Site Security Handbook (by Dark Adept)
6.  
7.                        (Reviewed by Dark Adept)
8.  
9. The RFC 1244 - Site Security Handbook Reviewed
10.  
11. The Dark Adept
12.  
13. -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
14.      The RFC (Request for Comment series) has produced a new tome:
15. The Site Security Handbook. This little gem aired on July 26, 1991 on
16. the newsgroup comp.doc.  At 250K+, it is a somewhat large file to
17. transfer around, but well worth it.
18.  
19. It has its good points and bad points, but the good seem to outweigh
20. the bad.  So, saving the best for last, I will address some of the
21. major bad points first.
22.  
23. I. Stereotyping and other falsities
24. -----------------------------------
25.  
26. This document completely explodes hacker myths and stereotypes.  Here
27. is an example:
28.  
29. "As an illustration of some of the issues that need to be dealt with
30. in security problems, consider the following scenarios (thanks to
31. Russell Brand [2, BRAND] for these):
32.  
33.       - A system programmer gets a call reporting that a
34.         major underground cracker newsletter is being
35.         distributed from the administrative machine at his
36.         center to five thousand sites in the US and
37.         Western Europe.
38.  
39.         Eight weeks later, the authorities call to inform
40.         you the information in one of these newsletters
41.         was used to disable "911" in a major city for
42.         five hours." (RFC1244 p. 6)
43.  
44.  
45. Very cute.  Very believeable.  Very much impossible, and very much a
46. lie.  I think we all know what this refers to (the Phrack/E911
47. incident), and I think that it is unprofessional of the editors of RFC
48. 1244 to use this example which is nothing more than a scare tactic.
49.  
50. Also please note that all the examples, while not as blatant as this,
51. deal with someone on the outside breaking in.  It makes one wonder why
52. this is true when later in the document the editors state:
53.  
54.  "As an example, there is a great deal of publicity about intruders on
55. computers systems; yet most surveys of computer security show that for
56. most organizations, the actual loss from "insiders" is much greater."
57. (RFC1244 p. 10)
58.  
59. Why oh why, then, are all your examples so one-sided?  Why the
60. stereotyping of intruders?  Why the little E911 parody?
61.  
62.  
63. II.  Relies more on accepted sources than reality
64. -------------------------------------------------
65.  
66. Over and over and over and over again, ad nauseum, this manual refers
67. to those security gods, CERT.  Allow me to let you in on a little
68. secret.  CERT has not said anything revolutionary.  In fact, much of
69. what CERT says, and much of what is stated in this manual, has been
70. found in hacker G-Philes over the years.
71.  
72. examples:
73.  
74. "...the Computer Emergency Response Team/Coordination Center (CERT/CC)
75. at Carnegie-Mellon University (CMU) estimates that 80% or more of the
76. problems they see have to do with poorly chosen passwords." (RFC1244
77. p. 8)
78.  
79. Gee, does that sound familiar, or what?  Every G-Phile around has in
80. bold-faced italicized triple underlined print: "Try his wife's maiden
81. name" or "try his name backwards" or "here is a list of common
82. passwords" or, more to the point "people are idiots when they choose
83. passwords" (hmm.  I think that particular one was in one of my
84. previous CuD articles).
85.  
86. Here is another "cute" one:
87.  
88. "The Computer Emergency Response Team (CERT - see section 3.9.7.3.1)
89. has observed that well-known universities, government sites, and
90. military sites seem to attract more intruders." (RFC1244 p. 12)
91.  
92. Those veritable gods of observation!  Gee, what would hackers break
93. into?  Maybe John Doe's collection of x-rated .gifs?  I doubt it.  In
94. fact, 90% or more of every "hacker's atlas" (a G-Phile which is more
95. or less a phonebook of data lines and who owns them) consists of phone
96. numbers to the above named institutions.
97.  
98. The main point is that RFC1244 does nothing more than collect
99. statistics from G-Philes.  This in itself is useful, however, but it
100. would be more beneficial if the editors read the G-Philes themselves
101. rather than using watered down information from CERT et al.
102.  
103. Now for the good points.  There are so many that I dare not try to
104. list them all, just some highlights.
105.  
106. It contains an extensive overview of a step-by-step way to implement
107. security.  From deciding who is to be involved to selecting a method
108. (or methods) of security, this document mentions it.
109.  
110. It has a list of many resources such as (ugh!) CERT, magazines
111. (on-line and printed), software companies, etc.  This is good since it
112. provides the prospective securer with a starting point.
113.  
114. It deals with security issues not usually thought of until a disaster
115. happens, such as: how much should we tell the press?  who should we
116. notify? etc.
117.  
118. This handbook is directed mainly at the Internet user/sysadmin, but it
119. can be applied to a PC in a dentist's office.  For a security novice,
120. or someone who just wants to find out what real security entails, this
121. is the book, and it's free!
122.  
123. So, before you go hiring Tacky Thacky or ex-LoD, read this handbook
124. first.  At least then you'll know what you're buying.
125.  
126. My rating:  3.5 hacks (out of 4).  It loses the 0.5 for the
127. stereotypes and lack of first hand info, but otherwise something to
128. have around the office/terminal.
129.  
130.  
131. Downloaded From P-80 International Information Systems 304-744-2253
132.