home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 1 / HACKER1.ISO / network / nia03 < prev    next >
Internet Message Format  |  1992-09-26  |  12KB

  1. From @UICVM.uic.edu:TK0JUT2@NIU.BITNET Wed Dec  5 23:13:22 1990
  2. Return-Path: <@UICVM.uic.edu:TK0JUT2@NIU.BITNET>
  3. Received: from UICVM.uic.edu by cs.widener.edu (4.1/Widener-2.3)
  4.     id AA19553; Wed, 5 Dec 90 23:13:15 EST
  5. Message-Id: <9012060413.AA19553@cs.widener.edu>
  6. Received: from NIU.BITNET by UICVM.uic.edu (IBM VM SMTP R1.2.2MX) with BSMTP id 3082; Wed, 05 Dec 90 22:11:27 CST
  7. Date:    Wed, 05 Dec 90 22:10 CST
  8. To: BRENDAN@cs.widener.edu
  9. From: TK0JUT2%NIU.BITNET@UICVM.uic.edu
  10. Subject: nia #3
  11. Status: O
  12.  
  13.                  %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
  14.                  %%               N.I.A.                %%
  15.                  %%     Network Information Access      %%
  16.                  %%              02MAR90                %%
  17.                  %%             Lord Kalkin             %%
  18.                  %%              File #3                %%
  19.                  %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
  20.  
  21. :_Computer Crimes/Fraud/Waste part 1
  22. :_Written/Typed/Edited By: Lord Kalkin
  23.  
  24.  
  25.         1. COMPUTERS: CRIMES, CLUES, AND CONTROLS
  26.  
  27.                         Introduction
  28.  
  29.         The Information Age has brought aboout dramatic improvements in
  30. way the Federal goverment does its job.  For making descisions,
  31. more and better information is available more quickly to more
  32. people than ever before.  Statistics computations that once took
  33. weeks, now takes minutes. And analyses that once required numerous
  34. programmers, a computer operator, and a large computer facility may
  35. now need only a nontechnical staff using software packages on
  36. desktop computers in their office.
  37.  
  38.        The General Service Administration estimates that Federal
  39. agencies will acquire half a million small computers by 1990.  In
  40. FY 1984, federal expenditures for micro and desktop computers
  41. totaled $137 million.  The comparable figure for FY 1983 was $34
  42. million.  And these statistics do not include computer terminals
  43. that are part of large computer systems or word processors--many of
  44. which can be used to store and manipulate data, as well as create
  45. graphics.  The Office of Management and Budget(OMB) estimates that
  46. #13.9 billion was spent in FY 1985 to acquire, operate, and
  47. maintain Federal information technology systems.
  48.  
  49.         New management problems have accompanied the increase use
  50. of computers and automated technology.  Terminals, often connected
  51. to computers that are networked together, can access vast
  52. quantities and different types of data.  There are publicy voiced
  53. concerns about privacy of information and the risks associated with
  54. automating and making more accessable personal, proprietary, or
  55. other sensitive data.  These are serious concerns about increased
  56. computer crimes, waste, and abuse which result in such costly
  57. problems as improper payments from govermant benifit programs and
  58. unnecessary equipment purchases.  And there is the clear
  59. recongition that information is a resource to be protected.
  60.  
  61.         The responsibility for protecting information resides with
  62. the end user manager.  This responsibility is acknowledged in OMB
  63. circular A-130, MANAGEMENT OF FEDERAL INFORMATION RESOURCES:
  64.  
  65.         "Agencies shall make the official whose program an
  66.           information system supports responisble and accountable for the
  67.           products of that system..."
  68.  
  69.         "Because end user computing places management of
  70. information in the hands of the individual agency personnel rather
  71. than in a central automatic data processing organization, the
  72. Circular requires that the agencies train end users in their
  73. responsibilities for the safeguarding information"
  74.  
  75.         This document is designed to provide information security
  76. awareness training for the end user manager.  Security awareness
  77. training acquaints systems, controls, and techniques that enhance
  78. information security and with resources available for additional
  79. information.
  80.  
  81.         "YOU'VE GOT TO CONSIDER YIELD.  IT'S $19,000 PER BANK
  82.                   ROBBERY AND $560,000 PER COMPUTER CRIME!"
  83.  
  84.         Computer crime is a growth industry -- and so are computer
  85. waste and abuse.  Some estimates peg the increase of computer crime
  86. at 35 percent annually and the cost $3.5 billion.  One obvious
  87. reason is the potential payoff: the average computer crime yields
  88. an estimated $560,000; the average bank robbery, $19,000.
  89.  
  90.         The computer criminal is less likely to get caught than the
  91. bank robber -- and less likely to get convicted if caught.
  92. Estimates of detected computer crimes are as low as 1 percent.  And
  93. the liklihood of a criminal conviction for computer fraud is less
  94. than 1 in 10.
  95.  
  96.         Deliberate computer crime is a significant part of the
  97. picture.  But wasteful and abusive practices, accidents and errors
  98. are an even larger part.  In the succint words of one noted
  99. expert, " We bumble away far more computer $s than we could ever
  100. steal."  Those bumble dollars -- combined with the estimate of $3.5
  101. billion annual cost of computer crime -- underscore the scopes and
  102. seriousness of computer related losses.
  103.  
  104.         A major contributor to computer related loss is the lack of
  105. security  awareness.  Security awareness can stop accidents and
  106. errors, promote adequate information security controls, prevent and
  107. detect the wouldbe computer criminal.  End User awareness of
  108. securtiy controls provides four levels of protection for computers
  109. and information resources:
  110.  
  111.               SECURITY CONTROLS: FOUR LEVELS OF PROTECTION
  112.  
  113.         Prevention -- Restricts access to information and
  114.                       technology to authorized personal only;
  115.  
  116.         Detection  -- Provides for early discovery of crimes and
  117.                       abuses if prevention mechanisms are
  118.                       circumvented;
  119.  
  120.         Limitation -- Resticts lossess if crime occurs despite
  121.                       prevention abd detection controls; and
  122.  
  123.         Recovery   -- Provides for efficient information recovery
  124.                       through fully documented and test contigency
  125.                       plans.
  126.  
  127.  
  128.         Yesterday, managing technology was the technical manager's
  129. concer.  Today, managing information is every nontechnical end user
  130. manager's concern.  Managing information requires new knowledge and
  131. new awareness by a new group of nontechnical employees.  Good
  132. information management requires recongizing opportunities for
  133. computer crime and waste so that steps can be taken to prevent
  134. their occurrence.
  135.  
  136.         When Computers were first introduced, few were available
  137. and only a small number of persons were trained to use them.
  138. Computers were usually housed in seperate, large areas far removed
  139. from programm managers, analysts, economists, and statisticians.
  140. Today that is changed.  Word processors, computer terminals, and
  141. desktop computers are as common equipment.  This electronic
  142. equipment is rapidly becoming increasingly user-friendly so that
  143. many people can quickly and easily learn how-to use it.
  144.  
  145.         Employees with access to computer equipment and automated
  146. information are greatly increasing throughput the organizational
  147. hierachy.  The GS-4 secretary, the GS-9 budget analyst, the GS-12
  148. program analyst, the GS-13 statician, the GM-14 economist, and the
  149. Senior Executive Service Manager may have all the access to a
  150. computer terminal or word processor and the information it contains.
  151.  
  152.         No longer is information restricted to select few at the
  153. highest levels of an organization.  This phenomenon has led
  154. computer crime to be called the "democratization of crime."  As
  155. more people gain access to automated information and equipment, the
  156. opportunities for crime, waste, and abuse likewise increase.
  157.  
  158.         It's Difficult to Generalize, But...
  159.                 - Functional end user, not the tecnical type and
  160.                   not a hacker
  161.                 - holds a non-supervisory position
  162.                 - no prevoius criminal record.
  163.                 - bright, motivated, desirable employee
  164.                 - works long hours; may take few vacations
  165.                 - Not sophisticated in computer use
  166.                 - The last person YOU would suspect
  167.                 - Just the person YOU would want to hire
  168.  
  169.                   THE COMPUTER CROOK CAN BE ANYONE
  170.  
  171.         The typical computer crook is not the precocious hacker who
  172. uses a telephone and home computer to gain access to major computer
  173. systems.  The typical computer crook is an employee who is a
  174. legitimate and nontechnical end user of the system.  Nationally,
  175. employee-committed crime, waste, and abuse account for an estimated
  176. 70 to 80 percent of the annual loss related to computers.
  177. Dishonest and disgruntled employees cause an estimated 20 percent
  178. of the total computer system related loss.  And they do so for a
  179. variety of reasons.
  180.  
  181.                  WHY PEOPLE COMMIT COMPUTER CRIME
  182.  
  183.                         - Personal or Financial gain
  184.                         - Entertainment
  185.                         - Revenge
  186.                         - Personal Favor
  187.                         - Beat the system, Challenge
  188.                         - Accident
  189.                         - Vandalism
  190.  
  191.         But a significantly lager dollar amount, about 60 percent
  192. of the total computer-related loss, is caused by employees through
  193. human errors and accidents.  Preventing computer losses, whether
  194. the result of debliberately committed crimes or unknowingly caused
  195. waste, requires security knowledge and security awareness.  A
  196. recent survey reported that observant employees were the primary
  197. means of detecting computer crime.
  198.  
  199.                    CLUES TO COMPUTER CRIME ABUSE
  200.  
  201.         Be on the look out for...
  202.                 - Unauthorized use of computer time
  203.                 - Unauthorized use of or attempts to access data files
  204.                 - Theft of computer supplies
  205.                 - Theft of computer software
  206.                 - Theft of computer hardware
  207.                 - Physical damage to hardware
  208.                 - Data or software destruction
  209.                 - Unauthorized possession of computer disks, tapes
  210.                   or printouts.
  211.  
  212.         This is a beginning list of the kinds of clues to look for
  213. in detecting computer crime, waste, and abuse.  Sometimes clues
  214. suggest that a crime has been committed or an abusive practice has
  215. occured.  Clues can also highlight systemn vunerabilities --
  216. identify where loopholes exist -- and help identify changes that
  217. should be made.  Whereas clues can help detect crime and abuse,
  218. conrols can help prevent them.
  219.  
  220.         Controls are management-initiated safeguards -- policies or
  221. administrative procedures, hardware devices or software additions
  222. -- the primary mission of which is to prevent crime and abuse by
  223. not allowing them to occur.  Controls can also serve a limitation
  224. function by restricting the losses should a crime or abuse occur.
  225.  
  226.         This document addresses information security into three
  227. areas: Information Secrurity, Physical Security, and personnel
  228. security.  In each area, crimes, clues, and controls are
  229. discussed.  In these areas not only frauds, but abuses and waste
  230. are addressed.  The final chapters provide a plan of action and
  231. cite availably security resources.
  232.  
  233.                    N.I.A. - Ignorance, There's No Excuse.
  234.                   Founded By: Guardian Of Time/Judge Dredd.
  235.  
  236. [OTHER WORLD BBS]
  237.  
  238.  
  239.  
  240. Downloaded From P-80 International Information Systems 304-744-2253 12yrs+
  241.