home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 1 / HACKER1.ISO / phrk3 / phrack27.5 < prev    next >
Text File  |  1992-09-26  |  12KB  |  237 lines
  1.      
  2.      
  3.                                 ==Phrack Inc.==
  4.      
  5.                      Volume Three, Issue 27, File 5 of 12
  6.      
  7.      
  8.                                     COSMOS
  9.      
  10.                    COmputer System for Mainframe OperationS
  11.      
  12.                                    Part Two
  13.      
  14.                                 by King Arthur
  15.      
  16.      
  17.      This article will present solutions to the computer security problems
  18. presented in my previous file.  The following are simple but often neglected
  19. items which if properly treated can immensely increase your company's computer
  20. security.  These points apply not merely in regards to COSMOS, but to all
  21. computers in all companies.
  22.      
  23.      
  24. A) Dial-Up Security:
  25.      
  26.      When securing a computer system, regardless of its type, it's important to
  27. remember this: the only way someone can remotely access your system is if there
  28. is a dial-up line leading to that system.  If your system has a dial-up, make
  29. sure that you have taken every possible precaution to secure that line.  "The
  30. one piece of advice I would give is:  Be careful with dial-up lines," says
  31. Bellcore's Ed Pinnes.
  32.      
  33.      Dave Imparato, Manager of Database Management at New York Telephone, says,
  34. "We have devices that sit in front of our computers that you have to gain
  35. access to.  In order to even get to COSMOS, there are three or four levels of
  36. security you have to go through, and that's before you even get to the system."
  37.      
  38. Rules for protection of Dial-Up lines:
  39.      
  40. 1.  Have as few dial-up lines as possible.  Private lines or direct connections
  41.     are often a viable replacement for dial-up lines.
  42.      
  43. 2.  If you must have phone lines going to your computer, use external hardware,
  44.     if possible.  For instance, the Datakit Virtual Circuit Switch (VCS) will
  45.     require a user to specify an "access password" and a system destination to
  46.     specify which system you are calling.  The VCS would then connect you to
  47.     the requested system which would prompt you for a login and password.
  48.     Using hardware similar to this serves a double purpose:
  49.      
  50.          A) It is harder for someone to get into your computer, due to
  51.             additional passwords;
  52.      
  53.          B) Employees need only dial a single number to access a number of
  54.             systems.
  55.      
  56.     Another good type of hardware is a callback modem.  A callback modem will
  57.     prompt users for a login and password.  If these are correct, the modem
  58.     will automatically callback to a predetermined number.  At that point you
  59.     would login to the computer.  The advantage of callback is that unless a
  60.     call is placed from a certain phone, there is no way to connect.
  61.     Unfortunately, this is not always efficient for systems with large numbers
  62.     of users.
  63.      
  64.     Lastly, and the most effective means of access, is to have a system which
  65.     does not identify itself.  A caller has to enter a secret password, which
  66.     doesn't display on the screen.  If a caller doesn't type the correct
  67.     password, the system will hang up, without ever telling the caller what has
  68.     happened.
  69.      
  70. 3.  If you ever detect "hackers" calling a certain number, it is advisable to
  71.     change that number.  Phone numbers should be unlisted.  According to a
  72.     hacker, he once got the number to an AT&T computer by asking directory
  73.     assistance for the number of AT&T at 976 Main Street.
  74.      
  75. 4.  If dial-up lines aren't used on nights or weekends, they should be
  76.     disabled.  Computer hackers usually conduct their "business" on nights or
  77.     weekends.  The COSMOS system has the ability to restrict access by time of
  78.     day.
  79.      
  80.      
  81. B) Password Security:
  82.      
  83.      Using the analogy between a computer and a file cabinet, you can compare a
  84. password to the lock on your file cabinet.  By having accounts with no
  85. passwords you are, in effect, leaving your file cabinet wide open.  A system's
  86. users will often want passwords that are easy to remember.  This is not an
  87. advisable idea, especially for a database system with many users.  The first
  88. passwords tried by hackers are the obvious.  For instance if MF01 is known to
  89. be the user name for the frame room, a hacker might try MF01, FRAME, MDF, or
  90. MAINFRAME as passwords.  If it's known to a hacker that the supervisor at the
  91. MDF is Peter Pinkerton,  PETE or PINKERTON would not be very good passwords.
  92.      
  93. Rules for password selection:
  94.      
  95. 1.  Passwords should be chosen by system administrators or the like.  Users
  96.     will often choose passwords which provide no security.  They should not be
  97.     within the reach of everybody in the computer room, but instead should be
  98.     sent via company mail to the proper departments.
  99.      
  100. 2.  Passwords should be changed frequently, but on an irregular basis -- every
  101.     four to seven weeks is advisable.  Department supervisors should be
  102.     notified of password changes via mail, a week in advance.  This would
  103.     ensure that all employees are aware of the change at the proper time.  One
  104.     thing you don't want is mass confusion, where everybody is trying to figure
  105.     out why they can't access their computers.
  106.      
  107. 3.  System administrators' passwords should be changed twice as often because
  108.     they can allow access to all system resources.  If possible, system
  109.     administrator accounts should be restricted from logging in on a dial-up
  110.     line.
  111.      
  112. 4.  A password should NEVER be the same as the account name.  Make sure that
  113.     ALL system defaults are changed.
  114.      
  115. 5.  Your best bet is to make passwords a random series of letters and  numbers.
  116.     For example 3CB06W1, Q9IF0L4, or F4W21D0.  All passwords need not be the
  117.     same length or format.  Imparato says, "We built a program in a PC that
  118.     generates different security passwords for different systems and makes sure
  119.     there's no duplication."
  120.      
  121. 6.  It's important to change passwords whenever an employee leaves the company
  122.     or even changes departments.  Imparato says, "When managers leave our
  123.     organization, we make sure we change those passwords which are necessary to
  124.     operate the system."
  125.      
  126. 7.  The Unix operating system has a built-in "password aging" feature, which
  127.     requires a mandatory change of passwords after a period of time.  If you
  128.     run any Unix-based systems, it's important to activate password aging.
  129.      
  130. 8.  When you feel you have experienced a problem, change ALL passwords,  not
  131.     just those passwords involved with the incident.
  132.      
  133.      
  134. C) Site security:
  135.      
  136.      There have been a number of articles written by hackers and published in
  137. 2600 Magazine dealing with garbage picking or what hackers call "trashing".
  138. It's important to keep track of what you throw out.  In many companies,
  139. proprietary operations manuals are thrown out.  COSMOS itself is not a
  140. user-friendly system.  In other words, without previous exposure to the system
  141. it would be very difficult to operate.  Bellcore's Beverly Cruse says, "COSMOS
  142. is used in so many places around the country, I wouldn't be surprised if they
  143. found books... in the garbage, especially after divestiture.  One interesting
  144. thing about a COSMOS article written by hackers, is that there was a lot of
  145. obsolete information, so it shows that wherever the information came from... it
  146. was old."
  147.      
  148. Rules for site security:
  149.      
  150. 1.  Although it may seem evident, employees should be required to show proper
  151.     identification when entering terminal rooms or computer facilities.  It's
  152.     doubtful that a hacker would ever attempt to infiltrate any office, but
  153.     hackers aren't the only people you have to worry about.
  154.      
  155. 2.  Urge employees to memorize login sequences.  It's a bad idea for passwords
  156.     to be scribbled on bits of paper taped to terminals.  Eventually, one of
  157.     those scraps may fall into the wrong hands.
  158.      
  159. 3.  Garbage should be protected as much as possible.  If you use a private
  160.     pick-up, keep garbage in loading docks, basements, or fenced-off areas. If
  161.     you put your garbage out for public sanitation department pick-up, it's a
  162.     good idea to shred sensitive materials.
  163.      
  164. 4.  Before throwing out old manuals or books, see if another department could
  165.     make use of them.  The more employees familiar with the system, the less of
  166.     a chance that there will be a security problem.
  167.      
  168. 5.  Printing terminals should be inspected to make sure that passwords are not
  169.     readable.  If passwords are found to echo, check to see if the duplex is
  170.     correct.  Some operating systems allow you to configure dial-ups for
  171.     printer use.
  172.      
  173.      
  174. D) Employee Security:
  175.      
  176.      When a hacker impersonates an employee, unless he is not successful there
  177. is a great chance the incident will go unreported.  Even if the hacker doesn't
  178. sound like he knows what he's talking about, employees will often excuse the
  179. call as an unintelligent or uninformed person.  It's unpleasant to have to
  180. worry about every call with an unfamiliar voice on the other end of the phone,
  181. but it is necessary.
  182.      
  183. Rules for employee security:
  184.      
  185. 1.  When making an inter-departmental call, always identify yourself with:
  186.     1) Your name; 2) Your title; and 3) Your department and location.
  187.      
  188. 2.  Be suspicious of callers who sound like children, or those who ask you
  189.     questions that are out of the ordinary.  Whenever someone seems suspicious,
  190.     get their supervisor's name and a callback number.  Don't discuss anything
  191.     sensitive until you can verify their identity.  Don't ever discuss
  192.     passwords over the phone.
  193.      
  194. 3.  When there is a security problem with a system, send notices to all users
  195.     instructing them not to discuss the system over the phone, especially if
  196.     they do not already know the person to whom they are talking.
  197.      
  198. 4.  Remind all dial-up users of systems, before hanging up.
  199.      
  200. 5.  If security-minded posters are put up around the workplace, employees are
  201.     bound to take more care in their work and in conversations on the phone.
  202.      
  203. 6.  If managers distribute this and other computer security articles to
  204.     department supervisors employee security will be increased.
  205.      
  206.      
  207. E) General Security:
  208.      
  209.      Bellcore recently sent a package to all system administrators of COSMOS
  210. systems.  The package detailed security procedures  which applied to COSMOS and
  211. Unix-based systems.  If you are a recipient of this package, you should re-read
  212. it thoroughly to ensure that your systems are secure.  Cruse says, "Last
  213. year... I had a call from someone within an operating company with a COSMOS
  214. security problem.  All we really did was give them documentation which reminded
  215. them of existing security features...  There is built-in security in the COSNIX
  216. operating system...  We really didn't give them anything new at the time.  The
  217. features were already there; we gave them the recommendation that they
  218. implement all of them."
  219.      
  220.      If you feel you may not be using available security features to the
  221. fullest, contact the vendors of your computer systems and request documentation
  222. on security.  Find out if there are security features that you may not be
  223. currently taking advantage of.  There are also third party software companies
  224. that sell security packages for various operating systems and computers.
  225.      
  226.      Computer security is a very delicate subject.  Many people try to pretend
  227. that there is no such thing as computer crime.  Since the problem exists, the
  228. best thing to do is to study the problems and figure out the best possible
  229. solutions.  If more people were to write or report about computer security, it
  230. would be easier for everyone else to protect themselves.  I would like to see
  231. Bellcore publish security guidelines, available to the entire
  232. telecommunications industry.  Keep in mind, a chain is only as strong as its
  233. weakest link.
  234. _______________________________________________________________________________
  235.  
  236. Downloaded From P-80 International Information Systems 304-744-2253 12yrs+
  237.