home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 1 / HACKER1.ISO / network / nia04 < prev    next >
Internet Message Format  |  1992-09-26  |  20KB

  1. From @UICVM.uic.edu:TK0JUT2@NIU.BITNET Wed Dec  5 23:14:14 1990
  2. Return-Path: <@UICVM.uic.edu:TK0JUT2@NIU.BITNET>
  3. Received: from UICVM.uic.edu by cs.widener.edu (4.1/Widener-2.3)
  4.     id AA19557; Wed, 5 Dec 90 23:14:08 EST
  5. Message-Id: <9012060414.AA19557@cs.widener.edu>
  6. Received: from NIU.BITNET by UICVM.uic.edu (IBM VM SMTP R1.2.2MX) with BSMTP id 3085; Wed, 05 Dec 90 22:12:21 CST
  7. Date:    Wed, 05 Dec 90 22:10 CST
  8. To: BRENDAN@cs.widener.edu
  9. From: TK0JUT2%NIU.BITNET@UICVM.uic.edu
  10. Subject: nia #4
  11. Status: O
  12.  
  13.                  %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
  14.                  %%               N.I.A.                %%
  15.                  %%     Network Information Access      %%
  16.                  %%              03MAR90                %%
  17.                  %%            Lord Kalkin              %%
  18.                  %%              File #4                %%
  19.                  %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
  20.  
  21. :_Computers: Crime, Fraud, Waste Part 2
  22. :_Written/Typed/Edited By: Lord Kalkin
  23. :_Information Security
  24.  
  25.  
  26.                         2. INFORMATION SECURITY
  27.  
  28.         What was called computer security in the 1960s and data
  29. security in the 1970s is today more accurately called information
  30. security.  Information security underscores the value of
  31. information in today's society -- the recongition that information
  32. is a valuable resource, that it is more than discrete data elements.
  33.  
  34.         Information security refers to the controls that protect
  35. information from unauthorized access, destruction, modification,
  36. disclosure, and delay.  Information security addresses safeguards
  37. in the processes of data origination, input, processing, and
  38. output.  The goal of information security is to safeguard the
  39. system's assets, to protect and ensure the accuracy and integrity
  40. of information, and to minimize the damage that does occur if the
  41. information is modified or destroyed.  Information security
  42. requires accountability for all events that create, modify, provide
  43. access to, or disseminate information.
  44.  
  45.         Information security provides assurances that the following
  46. are achieved:
  47.  
  48.         - Confidentiality of sensitive information;
  49.         - Integrity of information and the related process
  50.           (origination, input, processing, and output);
  51.         - Availability of information when needed; and
  52.         - Accountability of the related information processes.
  53.  
  54.         Some techniques to protect the system and provide
  55. accountability can be built into the computer.  Others can be built
  56. into the software.  Still others are dependent upon management
  57. policies to define appropiate procedures to be followed.  Deciding
  58. upon the level of sophistication of accountability techniques for a
  59. system requires identifying the sensitivity of the information and
  60. then determining the appropiate level of security.
  61.  
  62.         This document addresses sensitive data as defined in OMB
  63. Circular A-130, Management of Federal Information Resources:
  64.  
  65.                 The Term "sensitive data" means data that require
  66. protection due to the risk and magnitude of loss or harm that could
  67. result from the inadvertant or deliberate disclosure, alteration,
  68. or destruction of the data.  The term includes data whose improper
  69. use or disclosure could adversly affect the ability of an agency to
  70. accomplish its mission, proprietary data, records, about
  71. individuals requiring protection under the Privacy Act, and data
  72. not releasable under the Freedom of Information Act.
  73.  
  74.  
  75.  
  76.                     CRIMES, ABUSES, AND WASTE
  77.  
  78.         A survey of goverment agancies identified techniques used
  79. in committing computer-related fraud and abuse.  Few of these
  80. frauds and abuses involved destruction of computer equipment or
  81. data.  Only 3 percent of the frauds and 8 percents of the abuses
  82. involved willful damage or destruction of equipment, software or
  83. data.  Most of the fraud and abuses cases involved information --
  84. manipulating it, creating it, and using it.
  85.  
  86.         THE FIVE MOST COMMON TECHNIQUES USED TO COMMIT
  87.                COMPUTER-RELATED FRAUD AND ABUSE
  88.  
  89.         Computer-Related Fraud
  90.                 1. Entering unauthorized information
  91.                 2. Manipulating authorized input information
  92.                 3. Manipulating or improperly using information
  93.                    files and records
  94.                 4. Creating unauthorized files and records
  95.                 5. Overriding internal controls
  96.  
  97.         Computer-Related Abuse
  98.                 1. Stealing computer time, software, information,
  99.                    or equipment.
  100.                 2. Entering unauthorized information
  101.                 3. Creating unauthorized information fileas and
  102.                    records
  103.                 4. Developing computer programs for nonwork purposes
  104.                 5. Manipulating or improperly using computer
  105.                    processing
  106.  
  107.            These techniques are often used in combination and are
  108. identified in Computer-Related Fraud and Abuse in Goverment
  109. Agencies, Department of Health and Human Services, Office of
  110. Inspector General, 1983.
  111.  
  112.         Another way of looking at computer-related crime is to  examine
  113. the types of crimes and abuses, and the methods used to commit them.
  114. These include:
  115.  
  116. "Data Diddling" - Probably the most common method used to commit
  117.              computer crime because it does not require
  118.              sophisticated technical knowledge and is relatively
  119.              safe.  Information is changed at the time of
  120.              input to the computer or during output.  For example,
  121.              at input, documents may be forged, valid disks
  122.              exchanged, and data falsified.
  123.  
  124. "Browsing" - Another common method of obtaining information which can
  125.              lead to crime.  Employees looking in others' files have
  126.              discovered personal information about coworkers.  Ways to
  127.              gain access to computer files or alter them have been found
  128.              in trash containers by persons looking for such information.
  129.              Disks left on desks have been read, copied, and stolen.
  130.              The very sophisticated browser may even be able to look for
  131.              residual information left on the computer or on a storage
  132.              media after the completion of a job.
  133.  
  134. "Trojan Horse" - This method assumes that no one will notice that a
  135.              computer program was altered to include another function
  136.              before it was ever used.  A computer program with a
  137.              valid, useful function is written to contain additional
  138.              hidden functions that exploit the security features of
  139.              the system.
  140.  
  141. "Trap Door" - This method relies on a hidden software or hardware
  142.              mechanism that permits system protection methods to be
  143.              circumvented. The mechanism is activated in some
  144.              nonapperent manner.  Sometimes the program is written so
  145.              that a specific event, e.g., number of transactions
  146.              processed or a certain calender date, will cause the
  147.              unauthorized mechanism to function.
  148.  
  149. "Salami Technique" - So named because this technique relies on taking
  150.              slices so small that the whole is not obviously affected.
  151.              This technique is usually accomplished by altering a
  152.              computer program.  For example, benefit payments may be
  153.              rounded down a few cents and these funds, which can be
  154.              considerable in the aggregate, diverted to a fraudulent
  155.              acount.
  156.  
  157. "Supperzapping" - Named after the program used in many computer centers
  158.              which bypasses all system controls and is designed to be used
  159.              in time of an emergency.  Possession of this "master key"
  160.              gives the holder opportunity to access, at any time, the
  161.              computer and all of its information.
  162.  
  163.         Examples of Compuer-Related crimes, abuses, and waste include:
  164.  
  165.         - A payroll clerk, notified of a beneficiary's death, opened a
  166.           bank account using the beneficiary's name and social security
  167.           number. The beneficary was not removed from the computer
  168.           eligibility lists, but a computer input form changed the
  169.           address and the requested direct deposit of benefits to the
  170.           payroll clerk's new bank acount.
  171.  
  172.         - A major loss occurred with the diversion of the goverment
  173.           equipment.  Fictitious requisitions were prepared for routine
  174.           ordering at a major purchasing centor.  The rquisitions directed
  175.           shipment of communications equipment to legitimate private
  176.           corporations holding goverment contracts.  Just prior to the
  177.           delivery date, one of the conspirators would call the corporation
  178.           to alert them of their "error" and arrange "proper" delivery of
  179.           the equipment to the conspirators.
  180.  
  181.         - Three data clerks, using a remote terminal, entered phony
  182.           claims into the computer to recieve over $150,00 in benefits
  183.           and then deleted records of these transactions to avoid being
  184.           caught.
  185.  
  186.         - Thefts of information commonly involve selling either
  187.           personnel information, contract negotiation information
  188.           ( e.g., contract bids), and company proprietary information
  189.           (e.g., product engineering information ) for outside commercial
  190.           use, or copying or using software programs for personal or
  191.           personal business use.
  192.  
  193. CLUES
  194.         The following clues can indicate information security
  195. vulnerabilities:
  196.  
  197.         1. Security policies and practices are nonexistant or not
  198.            followed.  No one is assigned responsibility for information
  199.            security.
  200.         2. Passwords are posted nest to computer terminals, written in
  201.            obvoius places, shared with others, or appear on the computer
  202.            screen when they are entered.
  203.         3. Remote terminals, microcomputers, and word processors are
  204.            left on and unattended during work or nonwork hours.  Data
  205.            is displayed on unattended computer screens.
  206.         4. There are no restrictions on users of the information, or on
  207.            the applications they can use.  All users can access all
  208.            information and use all trhe system functions.
  209.         5. There are no audit trails, and no logs are kept of who uses
  210.            the computer for which operation.
  211.         6. Programming changes can be made without going through a
  212.            review and approval process.
  213.         7. Documentation is nonexistant or inadequate to do any of the
  214.            following: understand report definitions and calulations;
  215.            modify programs; prepare data input; correct errors;
  216.            evaluate system controls; and understand the data base
  217.            itself -- its sources, records, layout, and data relationships.
  218.         8. Numerous attempts to log on are made with invalid passwords.
  219.            In dialup systems -- those with telephone hookups -- hackers
  220.            have programmed computers to do this "trial and error" guessing
  221.            for them.
  222.         9. Input data is not subject to any verification or accuracy
  223.            checks, or, when input data is checked:
  224.                -- more data is rejected;
  225.                -- more data adjustments are made to force
  226.                   reconciliation; or
  227.                -- there is no record of rejected transactions.
  228.         10. There are excessive system crashes.
  229.         11. No reviews are made of computer information to determine the
  230.             level of security needed.
  231.         12. Little attention is paid to information security.  Even if
  232.             an information policy exists, there is a prevailing view
  233.             that it really is not needed.
  234.  
  235.                      INFORMATION SECURITY CONTROLS
  236.  
  237.  1. Control access to both computer information and computer
  238. applications.  Ensure only authorized users have access.
  239.  
  240.         User Identification:
  241.  
  242.         Require users to log on to the computer as a means of initial
  243. identification.  To effectively control a microcomputer, it may be most
  244. cost-effective to use it as a single user systems.  Typically, a
  245. microcomputer has no log-on procedures; authority to use the system is
  246. granted by simply turning on the computer.
  247.  
  248.         User Authentication:
  249.  
  250.         Use nontransferable passwords, avoiding traceable personal data,
  251. to authenticate the identity of the users.  Establish password
  252. management protection controls, and educate users to common problems.
  253.  
  254.         Other Controls:
  255.  
  256.         Passwords are one type of identification -- something users
  257. knows.  Two other types of identification which are effective are
  258. somthing that a user has -- such as a magnetic coded card -- or
  259. distinguished user characteristic -- such as a voice print
  260.  
  261.         If the computer has a built in default password ( a password
  262. that comes built into the computer software and overrides access
  263. controls ) be sure it gets changed.
  264.  
  265.         Consider having the computer programmed so that when the user
  266. log on, they are told the last time of its use and the number of invalid
  267. log-on attempts since then.  This makes the user an important part of
  268. the audit trail.
  269.  
  270.                      Protect your Password
  271.  
  272.         - Don't share your password -- with anyone
  273.         - Choose a password that is hard to guess
  274.         - Hint: Mix letters and numbers, or select a famous saying and
  275.           select every fourth letter.  Better yet, let the computer
  276.           generate your password.
  277.         - Don't use a password that is your address, pet's name,
  278.           nickname, spouse's name, telephone number or one that is
  279.           obvious -- such as sequential numbers or letters.
  280.         - Use longer passwords because they are more secure; six to
  281.           eight characters are realistic
  282.         - Be sure that your password is not visible on the computer
  283.           screen when it is entered.
  284.         - Be sure that your password does not appear on printouts
  285.         - Do not tape passwords to desks, walls, or terminals.  Commit
  286.           yours to memory.   <<---- Remember this!!!
  287.  
  288.                     Manage Passwords Carefully
  289.  
  290.         - Change passwords periodically and on an irregular schedule
  291.         - Encrypt or otherwise protect from unauthorized access the
  292.           computer stored password file.
  293.         - Assign password administration to the only most trusted
  294.           officials.
  295.         - Do not use a common password for everyone in an area.
  296.         - Invalidate passwords when individuals leave the organization.
  297.         - Have individuals sign for their passwords.
  298.         - Establish and enforce password rules -- and be sure everyone
  299.           knows them.
  300.  
  301.         Authorization Procedures:
  302.  
  303.         Develope authorization procedures that identify which users have
  304. access to which information and which applications -- and use
  305. appropriate controls.
  306.  
  307.         Establish procedures to require management approval to use
  308. computer resources, gain authorization to specific information and
  309. applications, and recieve a password.
  310.  
  311.         File Protection:
  312.  
  313.         In addition to user identification and authorization procedures,
  314. develope procedures to restrict access to data files:
  315.  
  316.         -- Use external file and internal file labels to identify the
  317.            type of information contained and the required security levle;
  318.         -- Restrict access to related areas that contain data files such
  319.            as off-site backup facilities, on-site libraries, and
  320.            off-line files; and
  321.         -- Use software, hardware, and procedural controls to restrict
  322.            access to on-line files to authorized users.
  323.  
  324.         System Precaution:
  325.  
  326.         -- Turn off idle terminals;
  327.         -- Lock rooms where terminals are located;
  328.         -- Position computer screens away from doorways, windows, and
  329.            heavily tracked areas;
  330.         -- Install security equipment, such as devices that limit the
  331.            number of unsuccessful log-on attempts or dial-back would be
  332.            users who use telephones to access the computer;
  333.         -- Program the terminal to shut down after a specific time of
  334.            non-use; and,
  335.         -- If feasible, shut down the system during nonbusiness hours.
  336.  
  337. ------
  338.  
  339. 2. Protect the integrity of information.  Input information should be
  340.    authorized, complete, accurate, and subject to error checks.
  341.  
  342.         Information Integrity:
  343.  
  344.         Verify information accuracy by using procedures that compare
  345. what was processed against what was supposed to have been processed.
  346. For example, controls can compare totals or check sequence numbers.
  347.  
  348.         Check input accuracy by installing checks on data validation and
  349. verification, such as:
  350.  
  351.         - Character checks that compare input characters against the
  352.           expected type of character (e.g., numeric or alpha );
  353.         - Range checks that compare input data against predetermined
  354.           upper and lower limits;
  355.         - Relationship checks that compare input data to datat on a
  356.           master record file;
  357.         - Reasonableness checks that compare input data to an expected
  358.           standard; and,
  359.         - Transaction Limits that check input data against
  360.           administratively set ceilings on specific transactions.
  361.  
  362.         Trace transactions through the system using transaction lines.
  363.  
  364.         Cross-check the contents of files by doing a record count, or by
  365. controlling the total.
  366.  
  367. -----
  368.  
  369. 3. Protect System software.  If software is shared, protect it from
  370. undetected modification by ensuring that policies, developemental
  371. controls and life cycle controls are in place, and that users are
  372. educated to security policies.
  373.  
  374.         Software developemental controls and policies should include
  375. procedures for changing, accepting and testing software prior to
  376. implementation.  Policies should require management approval for
  377. software changes, limit who can make software changes, and address
  378. maintaining documentation.
  379.  
  380.         An inventory of software applications should be developed and
  381. maintained.
  382.  
  383.         Controls should be installed that prevent unauthorized persons
  384. from obtaining, altering, or adding, programs via remote terminals.
  385.  
  386. -----
  387.  
  388. 4. Enhance the adequacy of security controls by involving ADP auditors
  389. in evaluating applications program controls and consulting them to
  390. determine needed tests and checks in handling sensitive data.  Audit
  391. trails built into computer programs can both deter and detect computer
  392. fraud and abuse.
  393.  
  394.         Security audit trails should be available to track the identity
  395. of users who update sensitive information files.
  396.  
  397.         If the sensitivity of information stored on microcomputers
  398. requires audit trails, then both physical and access controls are
  399. essential.
  400.  
  401.         In a computer network, the host computer, not the terminal, is
  402. where the audit trails should be located.
  403.  
  404.         Audit trails should not be switched off to improve processing
  405. speed.
  406.  
  407.         Audit trail printouts should be reviewed regularly and frequently.
  408.  
  409. ------
  410.  
  411. 5. Consder the need for communication security.  Data transimitted over
  412. unprotected lines can be intercepted or passive eavesdropping can occur.
  413.  
  414.                    N.I.A. - Ignorance, There's No Excuse.
  415.                   Founded By: Guardian Of Time/Judge Dredd.
  416.  
  417. [OTHER WORLD BBS]
  418.  
  419.  
  420.  
  421.  
  422. Downloaded From P-80 International Information Systems 304-744-2253 12yrs+
  423.