home *** CD-ROM | disk | FTP | other *** search
/ CU Amiga Super CD-ROM 19 / CU Amiga Magazine's Super CD-ROM 19 (1998)(EMAP Images)(GB)[!][issue 1998-02].iso / CUCD / Online / RFCs / rfc / rfc1244.txt < prev    next >
Text File  |  1994-10-27  |  253KB  |  5,659 lines

  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7. Network Working Group                                        P. Holbrook
  8. Request for Comments:  1244                                       CICNet
  9. FYI: 8                                                       J. Reynolds
  10.                                                                      ISI
  11.                                                                  Editors
  12.                                                                July 1991
  13.  
  14.  
  15.                          Site Security Handbook
  16.  
  17. Status of this Memo
  18.  
  19.    This handbook is the product of the Site Security Policy Handbook
  20.    Working Group (SSPHWG), a combined effort of the Security Area and
  21.    User Services Area of the Internet Engineering Task Force (IETF).
  22.    This FYI RFC provides information for the Internet community.  It
  23.    does not specify an Internet standard.  Distribution of this memo is
  24.    unlimited.
  25.  
  26. Contributing Authors
  27.  
  28.    The following are the authors of the Site Security Handbook.  Without
  29.    their dedication, this handbook would not have been possible.
  30.  
  31.    Dave Curry (Purdue University), Sean Kirkpatrick (Unisys), Tom
  32.    Longstaff (LLNL), Greg Hollingsworth (Johns Hopkins University),
  33.    Jeffrey Carpenter (University of Pittsburgh), Barbara Fraser (CERT),
  34.    Fred Ostapik (SRI NISC), Allen Sturtevant (LLNL), Dan Long (BBN), Jim
  35.    Duncan (Pennsylvania State University), and Frank Byrum (DEC).
  36.  
  37. Editors' Note
  38.  
  39.    This FYI RFC is a first attempt at providing Internet users guidance
  40.    on how to deal with security issues in the Internet.  As such, this
  41.    document is necessarily incomplete.  There are some clear shortfalls;
  42.    for example, this document focuses mostly on resources available in
  43.    the United States.  In the spirit of the Internet's "Request for
  44.    Comments" series of notes, we encourage feedback from users of this
  45.    handbook.  In particular, those who utilize this document to craft
  46.    their own policies and procedures.
  47.  
  48.    This handbook is meant to be a starting place for further research
  49.    and should be viewed as a useful resource, but not the final
  50.    authority.  Different organizations and jurisdictions will have
  51.    different resources and rules.  Talk to your local organizations,
  52.    consult an informed lawyer, or consult with local and national law
  53.    enforcement.  These groups can help fill in the gaps that this
  54.    document cannot hope to cover.
  55.  
  56.  
  57.  
  58. Site Security Policy Handbook Working Group                     [Page 1]
  59.  
  60. RFC 1244                 Site Security Handbook                July 1991
  61.  
  62.  
  63.    Finally, we intend for this FYI RFC to grow and evolve.  Please send
  64.    comments and suggestions to: ssphwg@cert.sei.cmu.edu.
  65.  
  66. Table of Contents
  67.  
  68. 1.  Introduction.....................................................  3
  69. 1.1  Purpose of this Work............................................  3
  70. 1.2  Audience........................................................  3
  71. 1.3  Definitions.....................................................  4
  72. 1.4  Related Work....................................................  4
  73. 1.5  Scope...........................................................  4
  74. 1.6  Why Do We Need Security Policies and Procedures?................  5
  75. 1.7  Basic Approach..................................................  7
  76. 1.8  Organization of this Document...................................  7
  77. 2.  Establishing Official Site Policy on Computer Security...........  9
  78. 2.1  Brief Overview..................................................  9
  79. 2.2  Risk Assessment................................................. 10
  80. 2.3  Policy Issues................................................... 13
  81. 2.4  What Happens When the Policy Is Violated........................ 19
  82. 2.5  Locking In or Out............................................... 21
  83. 2.6  Interpreting the Policy......................................... 23
  84. 2.7  Publicizing the Policy.......................................... 23
  85. 3.  Establishing Procedures to Prevent Security Problems............. 24
  86. 3.1  Security Policy Defines What Needs to be Protected.............. 24
  87. 3.2  Identifing Possible Problems.................................... 24
  88. 3.3  Choose Controls to Protect Assets in a Cost-Effective Way....... 26
  89. 3.4  Use Multiple Strategies to Protect Assets....................... 26
  90. 3.5  Physical Security............................................... 27
  91. 3.6  Procedures to Recognize Unauthorized Activity................... 27
  92. 3.7  Define Actions to Take When Unauthorized Activity is Suspected.. 29
  93. 3.8  Communicating Security Policy................................... 30
  94. 3.9  Resources to Prevent Security Breaches.......................... 34
  95. 4.  Types of Security Procedures..................................... 56
  96. 4.1  System Security Audits.......................................... 56
  97. 4.2  Account Management Procedures................................... 57
  98. 4.3  Password Management Procedures.................................. 57
  99. 4.4  Configuration Management Procedures............................. 60
  100. 5.  Incident Handling................................................ 61
  101. 5.1  Overview........................................................ 61
  102. 5.2  Evaluation...................................................... 65
  103. 5.3  Possible Types of Notification.................................. 67
  104. 5.4  Response........................................................ 71
  105. 5.5  Legal/Investigative............................................. 73
  106. 5.6  Documentation Logs.............................................. 77
  107. 6.  Establishing Post-Incident Procedures............................ 78
  108. 6.1  Overview........................................................ 78
  109. 6.2  Removing Vulnerabilities........................................ 78
  110. 6.3  Capturing Lessons Learned....................................... 80
  111.  
  112.  
  113.  
  114. Site Security Policy Handbook Working Group                     [Page 2]
  115.  
  116. RFC 1244                 Site Security Handbook                July 1991
  117.  
  118.  
  119. 6.4  Upgrading Policies and Procedures............................... 81
  120. 7.  References....................................................... 81
  121. 8.  Annotated Bibliography........................................... 83
  122. 8.1  Computer Law.................................................... 84
  123. 8.2  Computer Security............................................... 85
  124. 8.3  Ethics.......................................................... 91
  125. 8.4  The Internet Worm............................................... 93
  126. 8.5  National Computer Security Center (NCSC)........................ 95
  127. 8.6  Security Checklists............................................. 99
  128. 8.7  Additional Publications......................................... 99
  129. 9.  Acknlowledgements................................................101
  130. 10.  Security Considerations.........................................101
  131. 11.  Authors' Addresses..............................................101
  132.  
  133. 1.  Introduction
  134.  
  135. 1.1  Purpose of this Work
  136.  
  137.    This handbook is a guide to setting computer security policies and
  138.    procedures for sites that have systems on the Internet.  This guide
  139.    lists issues and factors that a site must consider when setting their
  140.    own policies.  It makes some recommendations and gives discussions of
  141.    relevant areas.
  142.  
  143.    This guide is only a framework for setting security policies and
  144.    procedures.  In order to have an effective set of policies and
  145.    procedures, a site will have to make many decisions, gain agreement,
  146.    and then communicate and implement the policies.
  147.  
  148. 1.2  Audience
  149.  
  150.    The audience for this work are system administrators and decision
  151.    makers (who are more traditionally called "administrators" or "middle
  152.    management") at sites.  This document is not directed at programmers
  153.    or those trying to create secure programs or systems.  The focus of
  154.    this document is on the policies and procedures that need to be in
  155.    place to support any technical security features that a site may be
  156.    implementing.
  157.  
  158.    The primary audience for this work are sites that are members of the
  159.    Internet community.  However, this document should be useful to any
  160.    site that allows communication with other sites.  As a general guide
  161.    to security policies, this document may also be useful to sites with
  162.    isolated systems.
  163.  
  164.  
  165.  
  166.  
  167.  
  168.  
  169.  
  170. Site Security Policy Handbook Working Group                     [Page 3]
  171.  
  172. RFC 1244                 Site Security Handbook                July 1991
  173.  
  174.  
  175. 1.3  Definitions
  176.  
  177.    For the purposes of this guide, a "site" is any organization that
  178.    owns computers or network-related resources.  These resources may
  179.    include host computers that users use, routers, terminal servers,
  180.    PC's or other devices that have access to the Internet.  A site may
  181.    be a end user of Internet services or a service provider such as a
  182.    regional network.  However, most of the focus of this guide is on
  183.    those end users of Internet services.
  184.  
  185.    We assume that the site has the ability to set policies and
  186.    procedures for itself with the concurrence and support from those who
  187.    actually own the resources.
  188.  
  189.    The "Internet" is those set of networks and machines that use the
  190.    TCP/IP protocol suite, connected through gateways, and sharing a
  191.    common name and address spaces [1].
  192.  
  193.    The term "system administrator" is used to cover all those who are
  194.    responsible for the day-to-day operation of resources.  This may be a
  195.    number of individuals or an organization.
  196.  
  197.    The term "decision maker" refers to those people at a site who set or
  198.    approve policy.  These are often (but not always) the people who own
  199.    the resources.
  200.  
  201. 1.4  Related Work
  202.  
  203.    The IETF Security Policy Working Group (SPWG) is working on a set of
  204.    recommended security policy guidelines for the Internet [23].  These
  205.    guidelines may be adopted as policy by regional networks or owners of
  206.    other resources.  This handbook should be a useful tool to help sites
  207.    implement those policies as desired or required.  However, even
  208.    implementing the proposed policies isn't enough to secure a site.
  209.    The proposed Internet policies deal only with network access
  210.    security.  It says nothing about how sites should deal with local
  211.    security issues.
  212.  
  213. 1.5  Scope
  214.  
  215.    This document covers issues about what a computer security policy
  216.    should contain, what kinds of procedures are need to enforce
  217.    security, and some recommendations about how to deal with the
  218.    problem.  When developing a security policy, close attention should
  219.    be made not only on the security needs and requirements of the local
  220.    network, but also the security needs and requirements of the other
  221.    interconnected networks.
  222.  
  223.  
  224.  
  225.  
  226. Site Security Policy Handbook Working Group                     [Page 4]
  227.  
  228. RFC 1244                 Site Security Handbook                July 1991
  229.  
  230.  
  231.    This is not a cookbook for computer security.  Each site has
  232.    different needs; the security needs of a corporation might well be
  233.    different than the security needs of an academic institution.  Any
  234.    security plan has to conform to the needs and culture of the site.
  235.  
  236.    This handbook does not cover details of how to do risk assessment,
  237.    contingency planning, or physical security.  These things are
  238.    essential in setting and implementing effective security policy, but
  239.    this document leaves treatment of those issues to other documents.
  240.    We will try to provide some pointers in that direction.
  241.  
  242.    This document also doesn't talk about how to design or implement
  243.    secure systems or programs.
  244.  
  245. 1.6  Why Do We Need Security Policies and Procedures?
  246.  
  247.    For most sites, the interest in computer security is proportional to
  248.    the perception of risk and threats.
  249.  
  250.    The world of computers has changed dramatically over the past
  251.    twenty-five years.  Twenty-five years ago, most computers were
  252.    centralized and managed by data centers.  Computers were kept in
  253.    locked rooms and staffs of people made sure they were carefully
  254.    managed and physically secured.  Links outside a site were unusual.
  255.    Computer security threats were rare, and were basically concerned
  256.    with insiders: authorized users misusing accounts, theft and
  257.    vandalism, and so forth.  These threats were well understood and
  258.    dealt with using standard techniques: computers behind locked doors,
  259.    and accounting for all resources.
  260.  
  261.    Computing in the 1990's is radically different.  Many systems are in
  262.    private offices and labs, often managed by individuals or persons
  263.    employed outside a computer center.  Many systems are connected into
  264.    the Internet, and from there around the world: the United States,
  265.    Europe, Asia, and Australia are all connected together.
  266.  
  267.    Security threats are different today.  The time honored advice says
  268.    "don't write your password down and put it in your desk" lest someone
  269.    find it.  With world-wide Internet connections, someone could get
  270.    into your system from the other side of the world and steal your
  271.    password in the middle of the night when your building is locked up.
  272.    Viruses and worms can be passed from machine to machine.  The
  273.    Internet allows the electronic equivalent of the thief who looks for
  274.    open windows and doors; now a person can check hundreds of machines
  275.    for vulnerabilities in a few hours.
  276.  
  277.    System administrators and decision makers have to understand the
  278.    security threats that exist, what the risk and cost of a problem
  279.  
  280.  
  281.  
  282. Site Security Policy Handbook Working Group                     [Page 5]
  283.  
  284. RFC 1244                 Site Security Handbook                July 1991
  285.  
  286.  
  287.    would be, and what kind of action they want to take (if any) to
  288.    prevent and respond to security threats.
  289.  
  290.    As an illustration of some of the issues that need to be dealt with
  291.    in security problems, consider the following scenarios (thanks to
  292.    Russell Brand [2, BRAND] for these):
  293.  
  294.       - A system programmer gets a call reporting that a
  295.         major underground cracker newsletter is being
  296.         distributed from the administrative machine at his
  297.         center to five thousand sites in the US and
  298.         Western Europe.
  299.  
  300.         Eight weeks later, the authorities call to inform
  301.         you the information in one of these newsletters
  302.         was used to disable "911" in a major city for
  303.         five hours.
  304.  
  305.       - A user calls in to report that he can't login to his
  306.         account at 3 o'clock in the morning on a Saturday.  The
  307.         system staffer can't login either.  After rebooting to
  308.         single user mode, he finds that password file is empty.
  309.         By Monday morning, your staff determines that a number
  310.         of privileged file transfers took place between this
  311.         machine and a local university.
  312.  
  313.         Tuesday morning a copy of the deleted password file is
  314.         found on the university machine along with password
  315.         files for a dozen other machines.
  316.  
  317.         A week later you find that your system initialization
  318.         files had been altered in a hostile fashion.
  319.  
  320.       - You receive a call saying that a breakin to a government
  321.         lab occurred from one of your center's machines.  You
  322.         are requested to provide accounting files to help
  323.         trackdown the attacker.
  324.  
  325.         A week later you are given a list of machines at your
  326.         site that have been broken into.
  327.  
  328.        - A reporter calls up asking about the breakin at your
  329.          center.  You haven't heard of any such breakin.
  330.  
  331.         Three days later, you learn that there was a breakin.
  332.         The center director had his wife's name as a password.
  333.  
  334.  
  335.  
  336.  
  337.  
  338. Site Security Policy Handbook Working Group                     [Page 6]
  339.  
  340. RFC 1244                 Site Security Handbook                July 1991
  341.  
  342.  
  343.       - A change in system binaries is detected.
  344.  
  345.         The day that it is corrected, they again are changed.
  346.         This repeats itself for some weeks.
  347.  
  348.       - If an intruder is found on your system, should you
  349.         leave the system open to monitor the situation or should
  350.         you close down the holes and open them up again later?
  351.  
  352.       - If an intruder is using your site, should you call law
  353.         enforcement?  Who makes that decision?  If law enforcement asks
  354.         you to leave your site open, who makes that decision?
  355.  
  356.       - What steps should be taken if another site calls you and says
  357.         they see activity coming from an account on your system?  What
  358.         if the account is owned by a local manager?
  359.  
  360. 1.7  Basic Approach
  361.  
  362.    Setting security policies and procedures really means developing a
  363.    plan for how to deal with computer security.  One way to approach
  364.    this task is suggested by Fites, et. al. [3, FITES]:
  365.  
  366.       -  Look at what you are trying to protect.
  367.       -  Look at what you need to protect it from.
  368.       -  Determine how likely the threats are.
  369.       -  Implement measures which will protect your assets in a
  370.          cost-effective manner.
  371.       -  Review the process continuously, and improve things every time
  372.          a weakness is found.
  373.  
  374.    This handbook will concentrate mostly on the last two steps, but the
  375.    first three are critically important to making effective decisions
  376.    about security.  One old truism in security is that the cost of
  377.    protecting yourself against a threat should be less than the cost
  378.    recovering if the threat were to strike you.  Without reasonable
  379.    knowledge of what you are protecting and what the likely threats are,
  380.    following this rule could be difficult.
  381.  
  382. 1.8  Organization of this Document
  383.  
  384.    This document is organized into seven parts in addition to this
  385.    introduction.
  386.  
  387.    The basic form of each section is to discuss issues that a site might
  388.    want to consider in creating a computer security policy and setting
  389.    procedures to implement that policy.  In some cases, possible options
  390.    are discussed along with the some of the ramifications of those
  391.  
  392.  
  393.  
  394. Site Security Policy Handbook Working Group                     [Page 7]
  395.  
  396. RFC 1244                 Site Security Handbook                July 1991
  397.  
  398.  
  399.    choices.  As far as possible, this document tries not to dictate the
  400.    choices a site should make, since these depend on local
  401.    circumstances.  Some of the issues brought up may not apply to all
  402.    sites.  Nonetheless, all sites should at least consider the issues
  403.    brought up here to ensure that they do not miss some important area.
  404.  
  405.    The overall flow of the document is to discuss policy issues followed
  406.    by the issues that come up in creating procedures to implement the
  407.    policies.
  408.  
  409.    Section 2 discusses setting official site policies for access to
  410.    computing resources.  It also goes into the issue of what happens
  411.    when the policy is violated.  The policies will drive the procedures
  412.    that need to be created, so decision makers will need to make choices
  413.    about policies before many of the procedural issues in following
  414.    sections can be dealt with.  A key part of creating policies is doing
  415.    some kind of risk assessment to decide what really needs to be
  416.    protected and the level of resources that should be applied to
  417.    protect them.
  418.  
  419.    Once policies are in place, procedures to prevent future security
  420.    problems should be established.  Section 3 defines and suggests
  421.    actions to take when unauthorized activity is suspected.  Resources
  422.    to prevent secruity breaches are also discussed.
  423.  
  424.    Section 4 discusses types of procedures to prevent security problems.
  425.    Prevention is a key to security; as an example, the Computer
  426.    Emergency Response Team/Coordination Center (CERT/CC) at Carnegie-
  427.    Mellon University (CMU) estimates that 80% or more of the problems
  428.    they see have to do with poorly chosen passwords.
  429.  
  430.    Section 5 discusses incident handling: what kinds of issues does a
  431.    site face when someone violates the security policy.  Many decisions
  432.    will have to made on the spot as the incident occurs, but many of the
  433.    options and issues can be discussed in advance.  At very least,
  434.    responsibilities and methods of communication can be established
  435.    before an incident.  Again, the choices here are influenced by the
  436.    policies discussed in section 2.
  437.  
  438.    Section 6 deals with what happens after a security violation has been
  439.    dealt with.  Security planning is an on-going cycle; just after an
  440.    incident has occurred is an excellent opportunity to improve policies
  441.    and procedures.
  442.  
  443.    The rest of the document provides references and an annotated
  444.    bibliography.
  445.  
  446.  
  447.  
  448.  
  449.  
  450. Site Security Policy Handbook Working Group                     [Page 8]
  451.  
  452. RFC 1244                 Site Security Handbook                July 1991
  453.  
  454.  
  455. 2.  Establishing Official Site Policy on Computer Security
  456.  
  457. 2.1  Brief Overview
  458.  
  459.    2.1.1  Organization Issues
  460.  
  461.       The goal in developing an official site policy on computer
  462.       security is to define the organization's expectations of proper
  463.       computer and network use and to define procedures to prevent and
  464.       respond to security incidents.  In order to do this, aspects of
  465.       the particular organization must be considered.
  466.  
  467.       First, the goals and direction of the organization should be
  468.       considered.  For example, a military base may have very different
  469.       security concerns from a those of a university.
  470.  
  471.       Second, the site security policy developed must conform to
  472.       existing policies, rules, regulations and laws that the
  473.       organization is subject to.  Therefore it will be necessary to
  474.       identify these and take them into consideration while developing
  475.       the policy.
  476.  
  477.       Third, unless the local network is completely isolated and
  478.       standalone, it is necessary to consider security implications in a
  479.       more global context.  The policy should address the issues when
  480.       local security problems develop as a result of a remote site as
  481.       well as when problems occur on remote systems as a result of a
  482.       local host or user.
  483.  
  484.    2.1.2  Who Makes the Policy?
  485.  
  486.       Policy creation must be a joint effort by technical personnel, who
  487.       understand the full ramifications of the proposed policy and the
  488.       implementation of the policy, and by decision makers who have the
  489.       power to enforce the policy.  A policy which is neither
  490.       implementable nor enforceable is useless.
  491.  
  492.       Since a computer security policy can affect everyone in an
  493.       organization, it is worth taking some care to make sure you have
  494.       the right level of authority in on the policy decisions.  Though a
  495.       particular group (such as a campus information services group) may
  496.       have responsibility for enforcing a policy, an even higher group
  497.       may have to support and approve the policy.
  498.  
  499.    2.1.3  Who is Involved?
  500.  
  501.       Establishing a site policy has the potential for involving every
  502.       computer user at the site in a variety of ways.  Computer users
  503.  
  504.  
  505.  
  506. Site Security Policy Handbook Working Group                     [Page 9]
  507.  
  508. RFC 1244                 Site Security Handbook                July 1991
  509.  
  510.  
  511.       may be responsible for personal password administration.  Systems
  512.       managers are obligated to fix security holes and to oversee the
  513.       system.
  514.  
  515.       It is critical to get the right set of people involved at the
  516.       start of the process.  There may already be groups concerned with
  517.       security who would consider a computer security policy to be their
  518.       area.  Some of the types of groups that might be involved include
  519.       auditing/control, organizations that deal with physical security,
  520.       campus information systems groups, and so forth.  Asking these
  521.       types of groups to "buy in" from the start can help facilitate the
  522.       acceptance of the policy.
  523.  
  524.    2.1.4  Responsibilities
  525.  
  526.       A key element of a computer security policy is making sure
  527.       everyone knows their own responsibility for maintaining security.
  528.       A computer security policy cannot anticipate all possibilities;
  529.       however, it can ensure that each kind of problem does have someone
  530.       assigned to deal with it.
  531.  
  532.       There may be levels of responsibility associated with a policy on
  533.       computer security.  At one level, each user of a computing
  534.       resource may have a responsibility to protect his account.  A user
  535.       who allows his account to be compromised increases the chances of
  536.       compromising other accounts or resources.
  537.  
  538.       System managers may form another responsibility level: they must
  539.       help to ensure the security of the computer system.  Network
  540.       managers may reside at yet another level.
  541.  
  542. 2.2  Risk Assessment
  543.  
  544.    2.2.1  General Discussion
  545.  
  546.       One of the most important reasons for creating a computer security
  547.       policy is to ensure that efforts spent on security yield cost
  548.       effective benefits.  Although this may seem obvious, it is
  549.       possible to be mislead about where the effort is needed.  As an
  550.       example, there is a great deal of publicity about intruders on
  551.       computers systems; yet most surveys of computer security show that
  552.       for most organizations, the actual loss from "insiders" is much
  553.       greater.
  554.  
  555.       Risk analysis involves determining what you need to protect, what
  556.       you need to protect it from, and how to protect it.  Is is the
  557.       process of examining all of your risks, and ranking those risks by
  558.       level of severity.  This process involves making cost-effective
  559.  
  560.  
  561.  
  562. Site Security Policy Handbook Working Group                    [Page 10]
  563.  
  564. RFC 1244                 Site Security Handbook                July 1991
  565.  
  566.  
  567.       decisions on what you want to protect.  The old security adage
  568.       says that you should not spend more to protect something than it
  569.       is actually worth.
  570.  
  571.       A full treatment of risk analysis is outside the scope of this
  572.       document.  [3, FITES] and [16, PFLEEGER] provide introductions to
  573.       this topic.  However, there are two elements of a risk analysis
  574.       that will be briefly covered in the next two sections:
  575.  
  576.          1. Identifying the assets
  577.          2. Identifying the threats
  578.  
  579.       For each asset, the basic goals of security are availability,
  580.       confidentiality, and integrity.  Each threat should be examined
  581.       with an eye to how the threat could affect these areas.
  582.  
  583.    2.2.2  Identifying the Assets
  584.  
  585.       One step in a risk analysis is to identify all the things that
  586.       need to be protected.  Some things are obvious, like all the
  587.       various pieces of hardware, but some are overlooked, such as the
  588.       people who actually use the systems. The essential point is to
  589.       list all things that could be affected by a security problem.
  590.  
  591.       One list of categories is suggested by Pfleeger [16, PFLEEGER,
  592.       page 459]; this list is adapted from that source:
  593.  
  594.          1. Hardware: cpus, boards, keyboards, terminals,
  595.             workstations, personal computers, printers, disk
  596.             drives, communication lines, terminal servers, routers.
  597.  
  598.          2. Software: source programs, object programs,
  599.             utilities, diagnostic programs, operating systems,
  600.             communication programs.
  601.  
  602.          3. Data: during execution, stored on-line, archived off-line,
  603.             backups, audit logs, databases, in transit over
  604.             communication media.
  605.  
  606.          4. People: users, people needed to run systems.
  607.  
  608.          5. Documentation: on programs, hardware, systems, local
  609.             administrative procedures.
  610.  
  611.          6. Supplies: paper, forms, ribbons, magnetic media.
  612.  
  613.  
  614.  
  615.  
  616.  
  617.  
  618. Site Security Policy Handbook Working Group                    [Page 11]
  619.  
  620. RFC 1244                 Site Security Handbook                July 1991
  621.  
  622.  
  623.    2.2.3  Identifying the Threats
  624.  
  625.       Once the assets requiring protection are identified, it is
  626.       necessary to identify threats to those assests.  The threats can
  627.       then be examined to determine what potential for loss exists.  It
  628.       helps to consider from what threats you are trying to protect your
  629.       assets.
  630.  
  631.       The following sections describe a few of the possible threats.
  632.  
  633.       2.2.3.1  Unauthorized Access
  634.  
  635.          A common threat that concerns many sites is unauthorized access
  636.          to computing facilities.  Unauthorized access takes many forms.
  637.          One means of unauthorized access is the use of another user's
  638.          account to gain access to a system.  The use of any computer
  639.          resource without prior permission may be considered
  640.          unauthorized access to computing facilities.
  641.  
  642.          The seriousness of an unauthorized access will vary from site
  643.          to site.  For some sites, the mere act of granting access to an
  644.          unauthorized user may cause irreparable harm by negative media
  645.          coverage.  For other sites, an unauthorized access opens the
  646.          door to other security threats.  In addition, some sites may be
  647.          more frequent targets than others; hence the risk from
  648.          unauthorized access will vary from site to site.  The Computer
  649.          Emergency Response Team (CERT - see section 3.9.7.3.1) has
  650.          observed that well-known universities, government sites, and
  651.          military sites seem to attract more intruders.
  652.  
  653.       2.2.3.2  Disclosure of Information
  654.  
  655.          Another common threat is disclosure of information.  Determine
  656.          the value or sensitivity of the information stored on your
  657.          computers.  Disclosure of a password file might allow for
  658.          future unauthorized accesses.  A glimpse of a proposal may give
  659.          a competitor an unfair advantage.  A technical paper may
  660.          contain years of valuable research.
  661.  
  662.       2.2.3.3  Denial of Service
  663.  
  664.          Computers and networks provide valuable services to their
  665.          users.  Many people rely on these services in order to perform
  666.          their jobs efficiently.  When these services are not available
  667.          when called upon, a loss in productivity results.
  668.  
  669.          Denial of service comes in many forms and might affect users in
  670.          a number of ways.  A network may be rendered unusable by a
  671.  
  672.  
  673.  
  674. Site Security Policy Handbook Working Group                    [Page 12]
  675.  
  676. RFC 1244                 Site Security Handbook                July 1991
  677.  
  678.  
  679.          rogue packet, jamming, or by a disabled network component.  A
  680.          virus might slow down or cripple a computer system.  Each site
  681.          should determine which services are essential, and for each of
  682.          these services determine the affect to the site if that service
  683.          were to become disabled.
  684.  
  685. 2.3  Policy Issues
  686.  
  687.    There are a number of issues that must be addressed when developing a
  688.    security policy.  These are:
  689.  
  690.       1.  Who is allowed to use the resources?
  691.       2.  What is the proper use of the resources?
  692.       3.  Who is authorized to grant access and approve usage?
  693.       4.  Who may have system administration privileges?
  694.       5.  What are the user's rights and responsibilities?
  695.       6.  What are the rights and responsibilities of the
  696.           system administrator vs. those of the user?
  697.       7.  What do you do with sensitive information?
  698.  
  699.    These issues will be discussed below.  In addition you may wish to
  700.    include a section in your policy concerning ethical use of computing
  701.    resources.  Parker, Swope and Baker [17, PARKER90] and Forester and
  702.    Morrison [18, FORESTER] are two useful references that address
  703.    ethical issues.
  704.  
  705.    2.3.1  Who is Allowed to use the Resources?
  706.  
  707.       One step you must take in developing your security policy is
  708.       defining who is allowed to use your system and services.  The
  709.       policy should explicitly state who is authorized to use what
  710.       resources.
  711.  
  712.    2.3.2  What is the Proper Use of the Resources?
  713.  
  714.       After determining who is allowed access to system resources it is
  715.       necessary to provide guidelines for the acceptable use of the
  716.       resources.  You may have different guidelines for different types
  717.       of users (i.e., students, faculty, external users).  The policy
  718.       should state what is acceptable use as well as unacceptable use.
  719.       It should also include types of use that may be restricted.
  720.  
  721.       Define limits to access and authority.  You will need to consider
  722.       the level of access various users will have and what resources
  723.       will be available or restricted to various groups of people.
  724.  
  725.       Your acceptable use policy should clearly state that individual
  726.       users are responsible for their actions.  Their responsibility
  727.  
  728.  
  729.  
  730. Site Security Policy Handbook Working Group                    [Page 13]
  731.  
  732. RFC 1244                 Site Security Handbook                July 1991
  733.  
  734.  
  735.       exists regardless of the security mechanisms that are in place.
  736.       It should be clearly stated that breaking into accounts or
  737.       bypassing security is not permitted.
  738.  
  739.       The following points should be covered when developing an
  740.       acceptable use policy:
  741.  
  742.          o Is breaking into accounts permitted?
  743.          o Is cracking passwords permitted?
  744.          o Is disrupting service permitted?
  745.          o Should users assume that a file being world-readable
  746.            grants them the authorization to read it?
  747.          o Should users be permitted to modify files that are
  748.            not their own even if they happen to have write
  749.            permission?
  750.          o Should users share accounts?
  751.  
  752.       The answer to most of these questions will be "no".
  753.  
  754.       You may wish to incorporate a statement in your policies
  755.       concerning copyrighted and licensed software.  Licensing
  756.       agreements with vendors may require some sort of effort on your
  757.       part to ensure that the license is not violated.  In addition, you
  758.       may wish to inform users that the copying of copyrighted software
  759.       may be a violation of the copyright laws, and is not permitted.
  760.  
  761.       Specifically concerning copyrighted and/or licensed software, you
  762.       may wish to include the following information:
  763.  
  764.          o Copyrighted and licensed software may not be duplicated
  765.            unless it is explicitly stated that you may do so.
  766.          o Methods of conveying information on the
  767.            copyright/licensed status of software.
  768.          o When in doubt, DON'T COPY.
  769.  
  770.       Your acceptable use policy is very important.  A policy which does
  771.       not clearly state what is not permitted may leave you unable to
  772.       prove that a user violated policy.
  773.  
  774.       There are exception cases like tiger teams and users or
  775.       administrators wishing for "licenses to hack" -- you may face the
  776.       situation where users will want to "hack" on your services for
  777.       security research purposes.  You should develop a policy that will
  778.       determine whether you will permit this type of research on your
  779.       services and if so, what your guidelines for such research will
  780.       be.
  781.  
  782.       Points you may wish to cover in this area:
  783.  
  784.  
  785.  
  786. Site Security Policy Handbook Working Group                    [Page 14]
  787.  
  788. RFC 1244                 Site Security Handbook                July 1991
  789.  
  790.  
  791.          o Whether it is permitted at all.
  792.          o What type of activity is permitted: breaking in, releasing
  793.            worms, releasing viruses, etc..
  794.          o What type of controls must be in place to ensure that it
  795.            does not get out of control (e.g., separate a segment of
  796.            your network for these tests).
  797.          o How you will protect other users from being victims of
  798.            these activities, including external users and networks.
  799.          o The process for obtaining permission to conduct these
  800.            tests.
  801.  
  802.       In cases where you do permit these activities, you should isolate
  803.       the portions of the network that are being tested from your main
  804.       network.  Worms and viruses should never be released on a live
  805.       network.
  806.  
  807.       You may also wish to employ, contract, or otherwise solicit one or
  808.       more people or organizations to evaluate the security of your
  809.       services, of which may include "hacking".  You may wish to provide
  810.       for this in your policy.
  811.  
  812.    2.3.3  Who Is Authorized to Grant Access and Approve Usage?
  813.  
  814.       Your policy should state who is authorized to grant access to your
  815.       services.  Further, it must be determined what type of access they
  816.       are permitted to give.  If you do not have control over who is
  817.       granted access to your system, you will not have control over who
  818.       is using your system.  Controlling who has the authorization to
  819.       grant access will also enable you to know who was or was not
  820.       granting access if problems develop later.
  821.  
  822.       There are many schemes that can be developed to control the
  823.       distribution of access to your services.  The following are the
  824.       factors that you must consider when determining who will
  825.       distribute access to your services:
  826.  
  827.          o Will you be distributing access from a centralized
  828.            point or at various points?
  829.  
  830.       You can have a centralized distribution point to a distributed
  831.       system where various sites or departments independently authorize
  832.       access.  The trade off is between security and convenience.  The
  833.       more centralized, the easier to secure.
  834.  
  835.          o What methods will you use for creating accounts and
  836.            terminating access?
  837.  
  838.       From a security standpoint, you need to examine the mechanism that
  839.  
  840.  
  841.  
  842. Site Security Policy Handbook Working Group                    [Page 15]
  843.  
  844. RFC 1244                 Site Security Handbook                July 1991
  845.  
  846.  
  847.       you will be using to create accounts.  In the least restrictive
  848.       case, the people who are authorized to grant access would be able
  849.       to go into the system directly and create an account by hand or
  850.       through vendor supplied mechanisms.  Generally, these mechanisms
  851.       place a great deal of trust in the person running them, and the
  852.       person running them usually has a large amount of privileges.  If
  853.       this is the choice you make, you need to select someone who is
  854.       trustworthy to perform this task.  The opposite solution is to
  855.       have an integrated system that the people authorized to create
  856.       accounts run, or the users themselves may actually run.  Be aware
  857.       that even in the restrictive case of having a mechanized facility
  858.       to create accounts does not remove the potential for abuse.
  859.  
  860.       You should have specific procedures developed for the creation of
  861.       accounts.  These procedures should be well documented to prevent
  862.       confusion and reduce mistakes.  A security vulnerability in the
  863.       account authorization process is not only possible through abuse,
  864.       but is also possible if a mistake is made.  Having clear and well
  865.       documented procedure will help ensure that these mistakes won't
  866.       happen.  You should also be sure that the people who will be
  867.       following these procedures understand them.
  868.  
  869.       The granting of access to users is one of the most vulnerable of
  870.       times.  You should ensure that the selection of an initial
  871.       password cannot be easily guessed.  You should avoid using an
  872.       initial password that is a function of the username, is part of
  873.       the user's name, or some algorithmically generated password that
  874.       can easily be guessed.  In addition, you should not permit users
  875.       to continue to use the initial password indefinitely.  If
  876.       possible, you should force users to change the initial password
  877.       the first time they login.  Consider that some users may never
  878.       even login, leaving their password vulnerable indefinitely.  Some
  879.       sites choose to disable accounts that have never been accessed,
  880.       and force the owner to reauthorize opening the account.
  881.  
  882.    2.3.4  Who May Have System Administration Privileges?
  883.  
  884.       One security decision that needs to be made very carefully is who
  885.       will have access to system administrator privileges and passwords
  886.       for your services.  Obviously, the system administrators will need
  887.       access, but inevitably other users will request special
  888.       privileges.  The policy should address this issue.  Restricting
  889.       privileges is one way to deal with threats from local users.  The
  890.       challenge is to balance restricting access to these to protect
  891.       security with giving people who need these privileges access so
  892.       that they can perform their tasks.  One approach that can be taken
  893.       is to grant only enough privilege to accomplish the necessary
  894.       tasks.
  895.  
  896.  
  897.  
  898. Site Security Policy Handbook Working Group                    [Page 16]
  899.  
  900. RFC 1244                 Site Security Handbook                July 1991
  901.  
  902.  
  903.       Additionally, people holding special privileges should be
  904.       accountable to some authority and this should also be identified
  905.       within the site's security policy.  If the people you grant
  906.       privileges to are not accountable, you run the risk of losing
  907.       control of your system and will have difficulty managing a
  908.       compromise in security.
  909.  
  910.    2.3.5  What Are The Users' Rights and Responsibilities?
  911.  
  912.       The policy should incorporate a statement on the users' rights and
  913.       responsibilities concerning the use of the site's computer systems
  914.       and services.  It should be clearly stated that users are
  915.       responsible for understanding and respecting the security rules of
  916.       the systems they are using.  The following is a list of topics
  917.       that you may wish to cover in this area of the policy:
  918.  
  919.          o What guidelines you have regarding resource consumption
  920.            (whether users are restricted, and if so, what the
  921.            restrictions are).
  922.          o What might constitute abuse in terms of system performance.
  923.          o Whether users are permitted to share accounts or let others
  924.            use their accounts.
  925.          o How "secret" users should keep their passwords.
  926.          o How often users should change their passwords and any other
  927.            password restrictions or requirements.
  928.          o Whether you provide backups or expect the users to create
  929.            their own.
  930.          o Disclosure of information that may be proprietary.
  931.          o Statement on Electronic Mail Privacy (Electronic
  932.            Communications Privacy Act).
  933.          o Your policy concerning controversial mail or postings to
  934.            mailing lists or discussion groups (obscenity, harassment,
  935.            etc.).
  936.          o Policy on electronic communications: mail forging, etc.
  937.  
  938.       The Electronic Mail Association sponsored a white paper on the
  939.       privacy of electronic mail in companies [4].  Their basic
  940.       recommendation is that every site should have a policy on the
  941.       protection of employee privacy.  They also recommend that
  942.       organizations establish privacy policies that deal with all media,
  943.       rather than singling out electronic mail.
  944.  
  945.       They suggest five criteria for evaluating any policy:
  946.  
  947.          1. Does the policy comply with law and with duties to
  948.             third parties?
  949.  
  950.          2. Does the policy unnecessarily compromise the interest of
  951.  
  952.  
  953.  
  954. Site Security Policy Handbook Working Group                    [Page 17]
  955.  
  956. RFC 1244                 Site Security Handbook                July 1991
  957.  
  958.  
  959.             the employee, the employer or third parties?
  960.  
  961.          3. Is the policy workable as a practical matter and likely to
  962.             be enforced?
  963.  
  964.          4. Does the policy deal appropriately with all different
  965.             forms of communications and record keeping with the office?
  966.  
  967.          5. Has the policy been announced in advance and agreed to by
  968.             all concerned?
  969.  
  970.    2.3.6  What Are The Rights and Responsibilities of System
  971.           Administrators Versus Rights of Users
  972.  
  973.       There is a tradeoff between a user's right to absolute privacy and
  974.       the need of system administrators to gather sufficient information
  975.       to diagnose problems.  There is also a distinction between a
  976.       system administrator's need to gather information to diagnose
  977.       problems and investigating security violations.  The policy should
  978.       specify to what degree system administrators can examine user
  979.       files to diagnose problems or for other purposes, and what rights
  980.       you grant to the users.  You may also wish to make a statement
  981.       concerning system administrators' obligation to maintaining the
  982.       privacy of information viewed under these circumstances.  A few
  983.       questions that should be answered are:
  984.  
  985.          o Can an administrator monitor or read a user's files
  986.            for any reason?
  987.          o What are the liabilities?
  988.          o Do network administrators have the right to examine
  989.            network or host traffic?
  990.  
  991.    2.3.7  What To Do With Sensitive Information
  992.  
  993.       Before granting users access to your services, you need to
  994.       determine at what level you will provide for the security of data
  995.       on your systems.  By determining this, you are determining the
  996.       level of sensitivity of data that users should store on your
  997.       systems.  You do not want users to store very sensitive
  998.       information on a system that you are not going to secure very
  999.       well.  You need to tell users who might store sensitive
  1000.       information what services, if any, are appropriate for the storage
  1001.       of sensitive information.  This part should include storing of
  1002.       data in different ways (disk, magnetic tape, file servers, etc.).
  1003.       Your policy in this area needs to be coordinated with the policy
  1004.       concerning the rights of system administrators versus users (see
  1005.       section 2.3.6).
  1006.  
  1007.  
  1008.  
  1009.  
  1010. Site Security Policy Handbook Working Group                    [Page 18]
  1011.  
  1012. RFC 1244                 Site Security Handbook                July 1991
  1013.  
  1014.  
  1015. 2.4  What Happens When the Policy is Violated
  1016.  
  1017.    It is obvious that when any type of official policy is defined, be it
  1018.    related to computer security or not, it will eventually be broken.
  1019.    The violation may occur due to an individual's negligence, accidental
  1020.    mistake, having not been properly informed of the current policy, or
  1021.    not understanding the current policy.  It is equally possible that an
  1022.    individual (or group of individuals) may knowingly perform an act
  1023.    that is in direct violation of the defined policy.
  1024.  
  1025.    When a policy violation has been detected, the immediate course of
  1026.    action should be pre-defined to ensure prompt and proper enforcement.
  1027.    An investigation should be performed to determine how and why the
  1028.    violation occurred.  Then the appropriate corrective action should be
  1029.    executed.  The type and severity of action taken varies depending on
  1030.    the type of violation that occurred.
  1031.  
  1032.    2.4.1  Determining the Response to Policy Violations
  1033.  
  1034.       Violations to policy may be committed by a wide variety of users.
  1035.       Some may be local users and others may be from outside the local
  1036.       environment.  Sites may find it helpful to define what it
  1037.       considers "insiders" and "outsiders" based upon administrative,
  1038.       legal or political boundaries.  These boundaries imply what type
  1039.       of action must be taken to correct the offending party; from a
  1040.       written reprimand to pressing legal charges.  So, not only do you
  1041.       need to define actions based on the type of violation, you also
  1042.       need to have a clearly defined series of actions based on the kind
  1043.       of user violating your computer security policy.  This all seems
  1044.       rather complicated, but should be addressed long before it becomes
  1045.       necessary as the result of a violation.
  1046.  
  1047.       One point to remember about your policy is that proper education
  1048.       is your best defense.  For the outsiders who are using your
  1049.       computer legally, it is your responsibility to verify that these
  1050.       individuals are aware of the policies that you have set forth.
  1051.       Having this proof may assist you in the future if legal action
  1052.       becomes necessary.
  1053.  
  1054.       As for users who are using your computer illegally, the problem is
  1055.       basically the same.  What type of user violated the policy and how
  1056.       and why did they do it?  Depending on the results of your
  1057.       investigation, you may just prefer to "plug" the hole in your
  1058.       computer security and chalk it up to experience.  Or if a
  1059.       significant amount of loss was incurred, you may wish to take more
  1060.       drastic action.
  1061.  
  1062.  
  1063.  
  1064.  
  1065.  
  1066. Site Security Policy Handbook Working Group                    [Page 19]
  1067.  
  1068. RFC 1244                 Site Security Handbook                July 1991
  1069.  
  1070.  
  1071.    2.4.2  What to do When Local Users Violate the Policy of a Remote
  1072.           Site
  1073.  
  1074.       In the event that a local user violates the security policy of a
  1075.       remote site, the local site should have a clearly defined set of
  1076.       administrative actions to take concerning that local user.  The
  1077.       site should also be prepared to protect itself against possible
  1078.       actions by the remote site.  These situations involve legal issues
  1079.       which should be addressed when forming the security policy.
  1080.  
  1081.    2.4.3  Defining Contacts and Responsibilities to Outside
  1082.           Organizations
  1083.  
  1084.       The local security policy should include procedures for
  1085.       interaction with outside organizations.  These include law
  1086.       enforcement agencies, other sites, external response team
  1087.       organizations (e.g., the CERT, CIAC) and various press agencies.
  1088.       The procedure should state who is authorized to make such contact
  1089.       and how it should be handled.  Some questions to be answered
  1090.       include:
  1091.  
  1092.          o Who may talk to the press?
  1093.          o When do you contact law enforcement and investigative agencies?
  1094.          o If a connection is made from a remote site, is the
  1095.            system manager authorized to contact that site?
  1096.          o Can data be released?  What kind?
  1097.  
  1098.       Detailed contact information should be readily available along
  1099.       with clearly defined procedures to follow.
  1100.  
  1101.    2.4.4  What are the Responsibilities to our Neighbors and Other
  1102.           Internet Sites?
  1103.  
  1104.       The Security Policy Working Group within the IETF is working on a
  1105.       document entitled, "Policy Guidelines for the Secure Operation of
  1106.       the Internet" [23].  It addresses the issue that the Internet is a
  1107.       cooperative venture and that sites are expected to provide mutual
  1108.       security assistance.  This should be addressed when developing a
  1109.       site's policy.  The major issue to be determined is how much
  1110.       information should be released.  This will vary from site to site
  1111.       according to the type of site (e.g., military, education,
  1112.       commercial) as well as the type of security violation that
  1113.       occurred.
  1114.  
  1115.    2.4.5  Issues for Incident Handling Procedures
  1116.  
  1117.       Along with statements of policy, the document being prepared
  1118.       should include procedures for incident handling.  This is covered
  1119.  
  1120.  
  1121.  
  1122. Site Security Policy Handbook Working Group                    [Page 20]
  1123.  
  1124. RFC 1244                 Site Security Handbook                July 1991
  1125.  
  1126.  
  1127.       in detail in the next chapter.  There should be procedures
  1128.       available that cover all facets of policy violation.
  1129.  
  1130. 2.5  Locking In or Out
  1131.  
  1132.    Whenever a site suffers an incident which may compromise computer
  1133.    security, the strategies for reacting may be influenced by two
  1134.    opposing pressures.
  1135.  
  1136.    If management fears that the site is sufficiently vulnerable, it may
  1137.    choose a "Protect and Proceed" strategy.  This approach will have as
  1138.    its primary goal the protection and preservation of the site
  1139.    facilities and to provide for normalcy for its users as quickly as
  1140.    possible.  Attempts will be made to actively interfere with the
  1141.    intruder's processes, prevent further access and begin immediate
  1142.    damage assessment and recovery.  This process may involve shutting
  1143.    down the facilities, closing off access to the network, or other
  1144.    drastic measures.  The drawback is that unless the intruder is
  1145.    identified directly, they may come back into the site via a different
  1146.    path, or may attack another site.
  1147.  
  1148.    The alternate approach, "Pursue and Prosecute", adopts the opposite
  1149.    philosophy and goals.  The primary goal is to allow intruders to
  1150.    continue their activities at the site until the site can identify the
  1151.    responsible persons.  This approach is endorsed by law enforcement
  1152.    agencies and prosecutors.  The drawback is that the agencies cannot
  1153.    exempt a site from possible user lawsuits if damage is done to their
  1154.    systems and data.
  1155.  
  1156.    Prosecution is not the only outcome possible if the intruder is
  1157.    identified.  If the culprit is an employee or a student, the
  1158.    organization may choose to take disciplinary actions.  The computer
  1159.    security policy needs to spell out the choices and how they will be
  1160.    selected if an intruder is caught.
  1161.  
  1162.    Careful consideration must be made by site management regarding their
  1163.    approach to this issue before the problem occurs.  The strategy
  1164.    adopted might depend upon each circumstance.  Or there may be a
  1165.    global policy which mandates one approach in all circumstances.  The
  1166.    pros and cons must be examined thoroughly and the users of the
  1167.    facilities must be made aware of the policy so that they understand
  1168.    their vulnerabilities no matter which approach is taken.
  1169.  
  1170.    The following are checklists to help a site determine which strategy
  1171.    to adopt: "Protect and Proceed" or "Pursue and Prosecute".
  1172.  
  1173.  
  1174.  
  1175.  
  1176.  
  1177.  
  1178. Site Security Policy Handbook Working Group                    [Page 21]
  1179.  
  1180. RFC 1244                 Site Security Handbook                July 1991
  1181.  
  1182.  
  1183.    Protect and Proceed
  1184.  
  1185.       1. If assets are not well protected.
  1186.  
  1187.       2. If continued penetration could result in great
  1188.          financial risk.
  1189.  
  1190.       3. If the possibility or willingness to prosecute
  1191.          is not present.
  1192.  
  1193.       4. If user base is unknown.
  1194.  
  1195.       5. If users are unsophisticated and their work is
  1196.          vulnerable.
  1197.  
  1198.       6. If the site is vulnerable to lawsuits from users, e.g.,
  1199.          if their resources are undermined.
  1200.  
  1201.    Pursue and Prosecute
  1202.  
  1203.       1. If assets and systems are well protected.
  1204.  
  1205.       2. If good backups are available.
  1206.  
  1207.       3. If the risk to the assets is outweighed by the
  1208.          disruption caused by the present and possibly future
  1209.          penetrations.
  1210.  
  1211.       4. If this is a concentrated attack occurring with great
  1212.          frequency and intensity.
  1213.  
  1214.       5. If the site has a natural attraction to intruders, and
  1215.          consequently regularly attracts intruders.
  1216.  
  1217.       6. If the site is willing to incur the financial (or other)
  1218.          risk to assets by allowing the penetrator continue.
  1219.  
  1220.       7. If intruder access can be controlled.
  1221.  
  1222.       8. If the monitoring tools are sufficiently well-developed
  1223.          to make the pursuit worthwhile.
  1224.  
  1225.       9. If the support staff is sufficiently clever and knowledgable
  1226.          about the operating system, related utilities, and systems
  1227.          to make the pursuit worthwhile.
  1228.  
  1229.       10. If there is willingness on the part of management to
  1230.           prosecute.
  1231.  
  1232.  
  1233.  
  1234. Site Security Policy Handbook Working Group                    [Page 22]
  1235.  
  1236. RFC 1244                 Site Security Handbook                July 1991
  1237.  
  1238.  
  1239.       11. If the system adminitrators know in general what kind of
  1240.           evidence would lead to prosecution.
  1241.  
  1242.       12. If there is established contact with knowledgeable law
  1243.           enforcement.
  1244.  
  1245.       13. If there is a site representative versed in the relevant
  1246.           legal issues.
  1247.  
  1248.       14. If the site is prepared for possible legal action from
  1249.           its own users if their data or systems become compromised
  1250.           during the pursuit.
  1251.  
  1252. 2.6  Interpreting the Policy
  1253.  
  1254.    It is important to define who will interpret the policy.  This could
  1255.    be an individual or a committee.  No matter how well written, the
  1256.    policy will require interpretation from time to time and this body
  1257.    would serve to review, interpret, and revise the policy as needed.
  1258.  
  1259. 2.7  Publicizing the Policy
  1260.  
  1261.    Once the site security policy has been written and established, a
  1262.    vigorous process should be engaged to ensure that the policy
  1263.    statement is widely and thoroughly disseminated and discussed.  A
  1264.    mailing of the policy should not be considered sufficient.  A period
  1265.    for comments should be allowed before the policy becomes effective to
  1266.    ensure that all affected users have a chance to state their reactions
  1267.    and discuss any unforeseen ramifications.  Ideally, the policy should
  1268.    strike a balance between protection and productivity.
  1269.  
  1270.    Meetings should be held to elicit these comments, and also to ensure
  1271.    that the policy is correctly understood.  (Policy promulgators are
  1272.    not necessarily noted for their skill with the language.)  These
  1273.    meetings should involve higher management as well as line employees.
  1274.    Security is a collective effort.
  1275.  
  1276.    In addition to the initial efforts to publicize the policy, it is
  1277.    essential for the site to maintain a continual awareness of its
  1278.    computer security policy.  Current users may need periodic reminders
  1279.    New users should have the policy included as part of their site
  1280.    introduction packet.  As a condition for using the site facilities,
  1281.    it may be advisable to have them sign a statement that they have read
  1282.    and understood the policy.  Should any of these users require legal
  1283.    action for serious policy violations, this signed statement might
  1284.    prove to be a valuable aid.
  1285.  
  1286.  
  1287.  
  1288.  
  1289.  
  1290. Site Security Policy Handbook Working Group                    [Page 23]
  1291.  
  1292. RFC 1244                 Site Security Handbook                July 1991
  1293.  
  1294.  
  1295. 3.  Establishing Procedures to Prevent Security Problems
  1296.  
  1297.    The security policy defines what needs to be protected.  This section
  1298.    discusses security procedures which specify what steps will be used
  1299.    to carry out the security policy.
  1300.  
  1301. 3.1  Security Policy Defines What Needs to be Protected
  1302.  
  1303.    The security policy defines the WHAT's: what needs to be protected,
  1304.    what is most important, what the priorities are, and what the general
  1305.    approach to dealing with security problems should be.
  1306.  
  1307.    The security policy by itself doesn't say HOW things are protected.
  1308.    That is the role of security procedures, which this section
  1309.    discusses.  The security policy should be a high level document,
  1310.    giving general strategy.  The security procedures need to set out, in
  1311.    detail, the precise steps your site will take to protect itself.
  1312.  
  1313.    The security policy should include a general risk assessment of the
  1314.    types of threats a site is mostly likely to face and the consequences
  1315.    of those threats (see section 2.2).  Part of doing a risk assessment
  1316.    will include creating a general list of assets that should be
  1317.    protected (section 2.2.2).  This information is critical in devising
  1318.    cost-effective procedures.
  1319.  
  1320.    It is often tempting to start creating security procedures by
  1321.    deciding on different mechanisms first: "our site should have logging
  1322.    on all hosts, call-back modems, and smart cards for all users."  This
  1323.    approach could lead to some areas that have too much protection for
  1324.    the risk they face, and other areas that aren't protected enough.
  1325.    Starting with the security policy and the risks it outlines should
  1326.    ensure that the procedures provide the right level of protect for all
  1327.    assets.
  1328.  
  1329. 3.2  Identifing Possible Problems
  1330.  
  1331.    To determine risk, vulnerabilities must be identified.  Part of the
  1332.    purpose of the policy is to aid in shoring up the vulnerabilities and
  1333.    thus to decrease the risk in as many areas as possible.  Several of
  1334.    the more popular problem areas are presented in sections below.  This
  1335.    list is by no means complete.  In addition, each site is likely to
  1336.    have a few unique vulnerabilities.
  1337.  
  1338.    3.2.1  Access Points
  1339.  
  1340.       Access points are typically used for entry by unauthorized users.
  1341.       Having many access points increases the risk of access to an
  1342.       organization's computer and network facilities.
  1343.  
  1344.  
  1345.  
  1346. Site Security Policy Handbook Working Group                    [Page 24]
  1347.  
  1348. RFC 1244                 Site Security Handbook                July 1991
  1349.  
  1350.  
  1351.       Network links to networks outside the organization allow access
  1352.       into the organization for all others connected to that external
  1353.       network.  A network link typically provides access to a large
  1354.       number of network services, and each service has a potential to be
  1355.       compromised.
  1356.  
  1357.       Dialup lines, depending on their configuration, may provide access
  1358.       merely to a login port of a single system.  If connected to a
  1359.       terminal server, the dialup line may give access to the entire
  1360.       network.
  1361.  
  1362.       Terminal servers themselves can be a source of problem.  Many
  1363.       terminal servers do not require any kind of authentication.
  1364.       Intruders often use terminal servers to disguise their actions,
  1365.       dialing in on a local phone and then using the terminal server to
  1366.       go out to the local network.  Some terminal servers are configured
  1367.       so that intruders can TELNET [19] in from outside the network, and
  1368.       then TELNET back out again, again serving to make it difficult to
  1369.       trace them.
  1370.  
  1371.    3.2.2  Misconfigured Systems
  1372.  
  1373.       Misconfigured systems form a large percentage of security holes.
  1374.       Today's operating systems and their associated software have
  1375.       become so complex that understanding how the system works has
  1376.       become a full-time job.  Often, systems managers will be non-
  1377.       specialists chosen from the current organization's staff.
  1378.  
  1379.       Vendors are also partly responsible for misconfigured systems. To
  1380.       make the system installation process easier, vendors occasionally
  1381.       choose initial configurations that are not secure in all
  1382.       environments.
  1383.  
  1384.    3.2.3  Software Bugs
  1385.  
  1386.       Software will never be bug free.  Publicly known security bugs are
  1387.       common methods of unauthorized entry.  Part of the solution to
  1388.       this problem is to be aware of the security problems and to update
  1389.       the software when problems are detected.  When bugs are found,
  1390.       they should be reported to the vendor so that a solution to the
  1391.       problem can be implemented and distributed.
  1392.  
  1393.    3.2.4  "Insider" Threats
  1394.  
  1395.       An insider to the organization may be a considerable threat to the
  1396.       security of the computer systems.  Insiders often have direct
  1397.       access to the computer and network hardware components.  The
  1398.       ability to access the components of a system makes most systems
  1399.  
  1400.  
  1401.  
  1402. Site Security Policy Handbook Working Group                    [Page 25]
  1403.  
  1404. RFC 1244                 Site Security Handbook                July 1991
  1405.  
  1406.  
  1407.       easier to compromise.  Most desktop workstations can be easily
  1408.       manipulated so that they grant privileged access.  Access to a
  1409.       local area network provides the ability to view possibly sensitive
  1410.       data traversing the network.
  1411.  
  1412. 3.3  Choose Controls to Protect Assets in a Cost-Effective Way
  1413.  
  1414.    After establishing what is to be protected, and assessing the risks
  1415.    these assets face, it is necessary to decide how to implement the
  1416.    controls which protect these assets.  The controls and protection
  1417.    mechanisms should be selected in a way so as to adequately counter
  1418.    the threats found during risk assessment, and to implement those
  1419.    controls in a cost effective manner.  It makes little sense to spend
  1420.    an exorbitant sum of money and overly constrict the user base if the
  1421.    risk of exposure is very small.
  1422.  
  1423.    3.3.1  Choose the Right Set of Controls
  1424.  
  1425.       The controls that are selected represent the physical embodiment
  1426.       of your security policy.  They are the first and primary line of
  1427.       defense in the protection of your assets.  It is therefore most
  1428.       important to ensure that the controls that you select are the
  1429.       right set of controls.  If the major threat to your system is
  1430.       outside penetrators, it probably doesn't make much sense to use
  1431.       biometric devices to authenticate your regular system users.  On
  1432.       the other hand, if the major threat is unauthorized use of
  1433.       computing resources by regular system users, you'll probably want
  1434.       to establish very rigorous automated accounting procedures.
  1435.  
  1436.    3.3.2  Use Common Sense
  1437.  
  1438.       Common sense is the most appropriate tool that can be used to
  1439.       establish your security policy.  Elaborate security schemes and
  1440.       mechanisms are impressive, and they do have their place, yet there
  1441.       is little point in investing money and time on an elaborate
  1442.       implementation scheme if the simple controls are forgotten.  For
  1443.       example, no matter how elaborate a system you put into place on
  1444.       top of existing security controls, a single user with a poor
  1445.       password can still leave your system open to attack.
  1446.  
  1447. 3.4  Use Multiple Strategies to Protect Assets
  1448.  
  1449.    Another method of protecting assets is to use multiple strategies.
  1450.    In this way, if one strategy fails or is circumvented, another
  1451.    strategy comes into play to continue protecting the asset.  By using
  1452.    several simpler strategies, a system can often be made more secure
  1453.    than if one very sophisticated method were used in its place.  For
  1454.    example, dial-back modems can be used in conjunction with traditional
  1455.  
  1456.  
  1457.  
  1458. Site Security Policy Handbook Working Group                    [Page 26]
  1459.  
  1460. RFC 1244                 Site Security Handbook                July 1991
  1461.  
  1462.  
  1463.    logon mechanisms.  Many similar approaches could be devised that
  1464.    provide several levels of protection for assets.  However, it's very
  1465.    easy to go overboard with extra mechanisms.  One must keep in mind
  1466.    exactly what it is that needs to be protected.
  1467.  
  1468. 3.5  Physical Security
  1469.  
  1470.    It is a given in computer security if the system itself is not
  1471.    physically secure, nothing else about the system can be considered
  1472.    secure.  With physical access to a machine, an intruder can halt the
  1473.    machine, bring it back up in privileged mode, replace or alter the
  1474.    disk, plant Trojan horse programs (see section 2.13.9.2), or take any
  1475.    number of other undesirable (and hard to prevent) actions.
  1476.  
  1477.    Critical communications links, important servers, and other key
  1478.    machines should be located in physically secure areas.  Some security
  1479.    systems (such as Kerberos) require that the machine be physically
  1480.    secure.
  1481.  
  1482.    If you cannot physically secure machines, care should be taken about
  1483.    trusting those machines.  Sites should consider limiting access from
  1484.    non-secure machines to more secure machines.  In particular, allowing
  1485.    trusted access (e.g., the BSD Unix remote commands such as rsh) from
  1486.    these kinds of hosts is particularly risky.
  1487.  
  1488.    For machines that seem or are intended to be physically secure, care
  1489.    should be taken about who has access to the machines.  Remember that
  1490.    custodial and maintenance staff often have keys to rooms.
  1491.  
  1492. 3.6   Procedures to Recognize Unauthorized Activity
  1493.  
  1494.    Several simple procedures can be used to detect most unauthorized
  1495.    uses of a computer system.  These procedures use tools provided with
  1496.    the operating system by the vendor, or tools publicly available from
  1497.    other sources.
  1498.  
  1499.    3.6.1  Monitoring System Use
  1500.  
  1501.       System monitoring can be done either by a system administrator, or
  1502.       by software written for the purpose.  Monitoring a system involves
  1503.       looking at several parts of the system and searching for anything
  1504.       unusual.  Some of the easier ways to do this are described in this
  1505.       section.
  1506.  
  1507.       The most important thing about monitoring system use is that it be
  1508.       done on a regular basis.  Picking one day out of the month to
  1509.       monitor the system is pointless, since a security breach can be
  1510.       isolated to a matter of hours.  Only by maintaining a constant
  1511.  
  1512.  
  1513.  
  1514. Site Security Policy Handbook Working Group                    [Page 27]
  1515.  
  1516. RFC 1244                 Site Security Handbook                July 1991
  1517.  
  1518.  
  1519.       vigil can you expect to detect security violations in time to
  1520.       react to them.
  1521.  
  1522.    3.6.2  Tools for Monitoring the System
  1523.  
  1524.       This section describes tools and methods for monitoring a system
  1525.       against unauthorized access and use.
  1526.  
  1527.       3.6.2.1  Logging
  1528.  
  1529.          Most operating systems store numerous bits of information in
  1530.          log files.  Examination of these log files on a regular basis
  1531.          is often the first line of defense in detecting unauthorized
  1532.          use of the system.
  1533.  
  1534.             - Compare lists of currently logged in users and past
  1535.               login histories.  Most users typically log in and out
  1536.               at roughly the same time each day.  An account logged
  1537.               in outside the "normal" time for the account may be in
  1538.               use by an intruder.
  1539.  
  1540.             - Many systems maintain accounting records for billing
  1541.               purposes.  These records can also be used to determine
  1542.               usage patterns for the system; unusual accounting records
  1543.               may indicate unauthorized use of the system.
  1544.  
  1545.             - System logging facilities, such as the UNIX "syslog"
  1546.               utility, should be checked for unusual error messages
  1547.               from system software.  For example, a large number of
  1548.               failed login attempts in a short period of time may
  1549.               indicate someone trying to guess passwords.
  1550.  
  1551.             - Operating system commands which list currently executing
  1552.               processes can be used to detect users running programs
  1553.               they are not authorized to use, as well as to detect
  1554.               unauthorized programs which have been started by an
  1555.               intruder.
  1556.  
  1557.       3.6.2.2  Monitoring Software
  1558.  
  1559.          Other monitoring tools can easily be constructed using standard
  1560.          operating system software, by using several, often unrelated,
  1561.          programs together.  For example, checklists of file ownerships
  1562.          and permission settings can be constructed (for example, with
  1563.          "ls" and "find" on UNIX) and stored off-line.  These lists can
  1564.          then be reconstructed periodically and compared against the
  1565.          master checklist (on UNIX, by using the "diff" utility).
  1566.          Differences may indicate that unauthorized modifications have
  1567.  
  1568.  
  1569.  
  1570. Site Security Policy Handbook Working Group                    [Page 28]
  1571.  
  1572. RFC 1244                 Site Security Handbook                July 1991
  1573.  
  1574.  
  1575.          been made to the system.
  1576.  
  1577.          Still other tools are available from third-party vendors and
  1578.          public software distribution sites.  Section 3.9.9 lists
  1579.          several sources from which you can learn what tools are
  1580.          available and how to get them.
  1581.  
  1582.       3.6.2.3  Other Tools
  1583.  
  1584.          Other tools can also be used to monitor systems for security
  1585.          violations, although this is not their primary purpose.  For
  1586.          example, network monitors can be used to detect and log
  1587.          connections from unknown sites.
  1588.  
  1589.    3.6.3  Vary the Monitoring Schedule
  1590.  
  1591.       The task of system monitoring is not as daunting as it may seem.
  1592.       System administrators can execute many of the commands used for
  1593.       monitoring periodically throughout the day during idle moments
  1594.       (e.g., while talking on the telephone), rather than spending fixed
  1595.       periods of each day monitoring the system.  By executing the
  1596.       commands frequently, you will rapidly become used to seeing
  1597.       "normal" output, and will easily spot things which are out of the
  1598.       ordinary.  In addition, by running various monitoring commands at
  1599.       different times throughout the day, you make it hard for an
  1600.       intruder to predict your actions.  For example, if an intruder
  1601.       knows that each day at 5:00 p.m. the system is checked to see that
  1602.       everyone has logged off, he will simply wait until after the check
  1603.       has completed before logging in.  But the intruder cannot guess
  1604.       when a system administrator might type a command to display all
  1605.       logged-in users, and thus he runs a much greater risk of
  1606.       detection.
  1607.  
  1608.       Despite the advantages that regular system monitoring provides,
  1609.       some intruders will be aware of the standard logging mechanisms in
  1610.       use on systems they are attacking.  They will actively pursue and
  1611.       attempt to disable monitoring mechanisms.  Regular monitoring
  1612.       therefore is useful in detecting intruders, but does not provide
  1613.       any guarantee that your system is secure, nor should monitoring be
  1614.       considered an infallible method of detecting unauthorized use.
  1615.  
  1616. 3.7  Define Actions to Take When Unauthorized Activity is Suspected
  1617.  
  1618.       Sections 2.4 and 2.5 discussed the course of action a site should
  1619.       take when it suspects its systems are being abused.  The computer
  1620.       security policy should state the general approach towards dealing
  1621.       with these problems.
  1622.  
  1623.  
  1624.  
  1625.  
  1626. Site Security Policy Handbook Working Group                    [Page 29]
  1627.  
  1628. RFC 1244                 Site Security Handbook                July 1991
  1629.  
  1630.  
  1631.       The procedures for dealing with these types of problems should be
  1632.       written down.  Who has authority to decide what actions will be
  1633.       taken?  Should law enforcement be involved?  Should your
  1634.       organization cooperate with other sites in trying to track down an
  1635.       intruder?  Answers to all the questions in section 2.4 should be
  1636.       part of the incident handling procedures.
  1637.  
  1638.       Whether you decide to lock out or pursue intruders, you should
  1639.       have tools and procedures ready to apply.  It is best to work up
  1640.       these tools and procedures before you need them.  Don't wait until
  1641.       an intruder is on your system to figure out how to track the
  1642.       intruder's actions; you will be busy enough if an intruder
  1643.       strikes.
  1644.  
  1645. 3.8  Communicating Security Policy
  1646.  
  1647.    Security policies, in order to be effective, must be communicated to
  1648.    both the users of the system and the system maintainers.  This
  1649.    section describes what these people should be told, and how to tell
  1650.    them.
  1651.  
  1652.    3.8.1  Educating the Users
  1653.  
  1654.       Users should be made aware of how the computer systems are
  1655.       expected to be used, and how to protect themselves from
  1656.       unauthorized users.
  1657.  
  1658.       3.8.1.1  Proper Account/Workstation Use
  1659.  
  1660.          All users should be informed about what is considered the
  1661.          "proper" use of their account or workstation ("proper" use is
  1662.          discussed in section 2.3.2).  This can most easily be done at
  1663.          the time a user receives their account, by giving them a policy
  1664.          statement.  Proper use policies typically dictate things such
  1665.          as whether or not the account or workstation may be used for
  1666.          personal activities (such as checkbook balancing or letter
  1667.          writing), whether profit-making activities are allowed, whether
  1668.          game playing is permitted, and so on.  These policy statements
  1669.          may also be used to summarize how the computer facility is
  1670.          licensed and what software licenses are held by the
  1671.          institution; for example, many universities have educational
  1672.          licenses which explicitly prohibit commercial uses of the
  1673.          system.  A more complete list of items to consider when writing
  1674.          a policy statement is given in section 2.3.
  1675.  
  1676.       3.8.1.2  Account/Workstation Management Procedures
  1677.  
  1678.          Each user should be told how to properly manage their account
  1679.  
  1680.  
  1681.  
  1682. Site Security Policy Handbook Working Group                    [Page 30]
  1683.  
  1684. RFC 1244                 Site Security Handbook                July 1991
  1685.  
  1686.  
  1687.          and workstation.  This includes explaining how to protect files
  1688.          stored on the system, how to log out or lock the terminal or
  1689.          workstation, and so on.  Much of this information is typically
  1690.          covered in the "beginning user" documentation provided by the
  1691.          operating system vendor, although many sites elect to
  1692.          supplement this material with local information.
  1693.  
  1694.          If your site offers dial-up modem access to the computer
  1695.          systems, special care must be taken to inform users of the
  1696.          security problems inherent in providing this access.  Issues
  1697.          such as making sure to log out before hanging up the modem
  1698.          should be covered when the user is initially given dial-up
  1699.          access.
  1700.  
  1701.          Likewise, access to the systems via local and wide-area
  1702.          networks presents its own set of security problems which users
  1703.          should be made aware of.  Files which grant "trusted host" or
  1704.          "trusted user" status to remote systems and users should be
  1705.          carefully explained.
  1706.  
  1707.       3.8.1.3  Determining Account Misuse
  1708.  
  1709.          Users should be told how to detect unauthorized access to their
  1710.          account.  If the system prints the last login time when a user
  1711.          logs in, he or she should be told to check that time and note
  1712.          whether or not it agrees with the last time he or she actually
  1713.          logged in.
  1714.  
  1715.          Command interpreters on some systems (e.g., the UNIX C shell)
  1716.          maintain histories of the last several commands executed.
  1717.          Users should check these histories to be sure someone has not
  1718.          executed other commands with their account.
  1719.  
  1720.       3.8.1.4  Problem Reporting Procedures
  1721.  
  1722.          A procedure should be developed to enable users to report
  1723.          suspected misuse of their accounts or other misuse they may
  1724.          have noticed.  This can be done either by providing the name
  1725.          and telephone number of a system administrator who manages
  1726.          security of the computer system, or by creating an electronic
  1727.          mail address (e.g., "security") to which users can address
  1728.          their problems.
  1729.  
  1730.    3.8.2  Educating the Host Administrators
  1731.  
  1732.       In many organizations, computer systems are administered by a wide
  1733.       variety of people.  These administrators must know how to protect
  1734.       their own systems from attack and unauthorized use, as well as how
  1735.  
  1736.  
  1737.  
  1738. Site Security Policy Handbook Working Group                    [Page 31]
  1739.  
  1740. RFC 1244                 Site Security Handbook                July 1991
  1741.  
  1742.  
  1743.       to communicate successful penetration of their systems to other
  1744.       administrators as a warning.
  1745.  
  1746.       3.8.2.1  Account Management Procedures
  1747.  
  1748.          Care must be taken when installing accounts on the system in
  1749.          order to make them secure.  When installing a system from
  1750.          distribution media, the password file should be examined for
  1751.          "standard" accounts provided by the vendor.  Many vendors
  1752.          provide accounts for use by system services or field service
  1753.          personnel.  These accounts typically have either no password or
  1754.          one which is common knowledge.  These accounts should be given
  1755.          new passwords if they are needed, or disabled or deleted from
  1756.          the system if they are not.
  1757.  
  1758.          Accounts without passwords are generally very dangerous since
  1759.          they allow anyone to access the system.  Even accounts which do
  1760.          not execute a command interpreter (e.g., accounts which exist
  1761.          only to see who is logged in to the system) can be compromised
  1762.          if set up incorrectly.  A related concept, that of "anonymous"
  1763.          file transfer (FTP) [20], allows users from all over the
  1764.          network to access your system to retrieve files from (usually)
  1765.          a protected disk area.  You should carefully weigh the benefits
  1766.          that an account without a password provides against the
  1767.          security risks of providing such access to your system.
  1768.  
  1769.          If the operating system provides a "shadow" password facility
  1770.          which stores passwords in a separate file accessible only to
  1771.          privileged users, this facility should be used.  System V UNIX,
  1772.          SunOS 4.0 and above, and versions of Berkeley UNIX after 4.3BSD
  1773.          Tahoe, as well as others, provide this feature.  It protects
  1774.          passwords by hiding their encrypted values from unprivileged
  1775.          users.  This prevents an attacker from copying your password
  1776.          file to his or her machine and then attempting to break the
  1777.          passwords at his or her leisure.
  1778.  
  1779.          Keep track of who has access to privileged user accounts (e.g.,
  1780.          "root" on UNIX or "MAINT" on VMS).  Whenever a privileged user
  1781.          leaves the organization or no longer has need of the privileged
  1782.          account, the passwords on all privileged accounts should be
  1783.          changed.
  1784.  
  1785.       3.8.2.2  Configuration Management Procedures
  1786.  
  1787.          When installing a system from the distribution media or when
  1788.          installing third-party software, it is important to check the
  1789.          installation carefully.  Many installation procedures assume a
  1790.          "trusted" site, and hence will install files with world write
  1791.  
  1792.  
  1793.  
  1794. Site Security Policy Handbook Working Group                    [Page 32]
  1795.  
  1796. RFC 1244                 Site Security Handbook                July 1991
  1797.  
  1798.  
  1799.          permission enabled, or otherwise compromise the security of
  1800.          files.
  1801.  
  1802.          Network services should also be examined carefully when first
  1803.          installed.  Many vendors provide default network permission
  1804.          files which imply that all outside hosts are to be "trusted",
  1805.          which is rarely the case when connected to wide-area networks
  1806.          such as the Internet.
  1807.  
  1808.          Many intruders collect information on the vulnerabilities of
  1809.          particular system versions.  The older a system, the more
  1810.          likely it is that there are security problems in that version
  1811.          which have since been fixed by the vendor in a later release.
  1812.          For this reason, it is important to weigh the risks of not
  1813.          upgrading to a new operating system release (thus leaving
  1814.          security holes unplugged) against the cost of upgrading to the
  1815.          new software (possibly breaking third-party software, etc.).
  1816.          Bug fixes from the vendor should be weighed in a similar
  1817.          fashion, with the added note that "security" fixes from a
  1818.          vendor usually address fairly serious security problems.
  1819.  
  1820.          Other bug fixes, received via network mailing lists and the
  1821.          like, should usually be installed, but not without careful
  1822.          examination.  Never install a bug fix unless you're sure you
  1823.          know what the consequences of the fix are - there's always the
  1824.          possibility that an intruder has suggested a "fix" which
  1825.          actually gives him or her access to your system.
  1826.  
  1827.       3.8.2.3  Recovery Procedures - Backups
  1828.  
  1829.          It is impossible to overemphasize the need for a good backup
  1830.          strategy.  File system backups not only protect you in the
  1831.          event of hardware failure or accidental deletions, but they
  1832.          also protect you against unauthorized changes made by an
  1833.          intruder.  Without a copy of your data the way it's "supposed"
  1834.          to be, it can be difficult to undo something an attacker has
  1835.          done.
  1836.  
  1837.          Backups, especially if run daily, can also be useful in
  1838.          providing a history of an intruder's activities.  Looking
  1839.          through old backups can establish when your system was first
  1840.          penetrated.  Intruders may leave files around which, although
  1841.          deleted later, are captured on the backup tapes.  Backups can
  1842.          also be used to document an intruder's activities to law
  1843.          enforcement agencies if necessary.
  1844.  
  1845.          A good backup strategy will dump the entire system to tape at
  1846.          least once a month.  Partial (or "incremental") dumps should be
  1847.  
  1848.  
  1849.  
  1850. Site Security Policy Handbook Working Group                    [Page 33]
  1851.  
  1852. RFC 1244                 Site Security Handbook                July 1991
  1853.  
  1854.  
  1855.          done at least twice a week, and ideally they should be done
  1856.          daily.  Commands specifically designed for performing file
  1857.          system backups (e.g., UNIX "dump" or VMS "BACKUP") should be
  1858.          used in preference to other file copying commands, since these
  1859.          tools are designed with the express intent of restoring a
  1860.          system to a known state.
  1861.  
  1862.       3.8.2.4  Problem Reporting Procedures
  1863.  
  1864.          As with users, system administrators should have a defined
  1865.          procedure for reporting security problems.  In large
  1866.          installations, this is often done by creating an electronic
  1867.          mail alias which contains the names of all system
  1868.          administrators in the organization.  Other methods include
  1869.          setting up some sort of response team similar to the CERT, or
  1870.          establishing a "hotline" serviced by an existing support group.
  1871.  
  1872. 3.9  Resources to Prevent Security Breaches
  1873.  
  1874.    This section discusses software, hardware, and procedural resources
  1875.    that can be used to support your site security policy.
  1876.  
  1877.    3.9.1  Network Connections and Firewalls
  1878.  
  1879.       A "firewall" is put in place in a building to provide a point of
  1880.       resistance to the entry of flames into another area.  Similarly, a
  1881.       secretary's desk and reception area provides a point of
  1882.       controlling access to other office spaces.  This same technique
  1883.       can be applied to a computer site, particularly as it pertains to
  1884.       network connections.
  1885.  
  1886.       Some sites will be connected only to other sites within the same
  1887.       organization and will not have the ability to connect to other
  1888.       networks.  Sites such as these are less susceptible to threats
  1889.       from outside their own organization, although intrusions may still
  1890.       occur via paths such as dial-up modems.  On the other hand, many
  1891.       other organizations will be connected to other sites via much
  1892.       larger networks, such as the Internet.  These sites are
  1893.       susceptible to the entire range of threats associated with a
  1894.       networked environment.
  1895.  
  1896.       The risks of connecting to outside networks must be weighed
  1897.       against the benefits.  It may be desirable to limit connection to
  1898.       outside networks to those hosts which do not store sensitive
  1899.       material, keeping "vital" machines (such as those which maintain
  1900.       company payroll or inventory systems) isolated.  If there is a
  1901.       need to participate in a Wide Area Network (WAN), consider
  1902.       restricting all access to your local network through a single
  1903.  
  1904.  
  1905.  
  1906. Site Security Policy Handbook Working Group                    [Page 34]
  1907.  
  1908. RFC 1244                 Site Security Handbook                July 1991
  1909.  
  1910.  
  1911.       system.  That is, all access to or from your own local network
  1912.       must be made through a single host computer that acts as a
  1913.       firewall between you and the outside world.  This firewall system
  1914.       should be rigorously controlled and password protected, and
  1915.       external users accessing it should also be constrained by
  1916.       restricting the functionality available to remote users.  By using
  1917.       this approach, your site could relax some of the internal security
  1918.       controls on your local net, but still be afforded the protection
  1919.       of a rigorously controlled host front end.
  1920.  
  1921.       Note that even with a firewall system, compromise of the firewall
  1922.       could result in compromise of the network behind the firewall.
  1923.       Work has been done in some areas to construct a firewall which
  1924.       even when compromised, still protects the local network [6,
  1925.       CHESWICK].
  1926.  
  1927.    3.9.2  Confidentiality
  1928.  
  1929.       Confidentiality, the act of keeping things hidden or secret, is
  1930.       one of the primary goals of computer security practitioners.
  1931.       Several mechanisms are provided by most modern operating systems
  1932.       to enable users to control the dissemination of information.
  1933.       Depending upon where you work, you may have a site where
  1934.       everything is protected, or a site where all information is
  1935.       usually regarded as public, or something in-between.  Most sites
  1936.       lean toward the in-between, at least until some penetration has
  1937.       occurred.
  1938.  
  1939.       Generally, there are three instances in which information is
  1940.       vulnerable to disclosure: when the information is stored on a
  1941.       computer system, when the information is in transit to another
  1942.       system (on the network), and when the information is stored on
  1943.       backup tapes.
  1944.  
  1945.       The first of these cases is controlled by file permissions, access
  1946.       control lists, and other similar mechanisms.  The last can be
  1947.       controlled by restricting access to the backup tapes (by locking
  1948.       them in a safe, for example).  All three cases can be helped by
  1949.       using encryption mechanisms.
  1950.  
  1951.       3.9.2.1  Encryption (hardware and software)
  1952.  
  1953.          Encryption is the process of taking information that exists in
  1954.          some readable form and converting it into a non-readable form.
  1955.          There are several types of commercially available encryption
  1956.          packages in both hardware and software forms.  Hardware
  1957.          encryption engines have the advantage that they are much faster
  1958.          than the software equivalent, yet because they are faster, they
  1959.  
  1960.  
  1961.  
  1962. Site Security Policy Handbook Working Group                    [Page 35]
  1963.  
  1964. RFC 1244                 Site Security Handbook                July 1991
  1965.  
  1966.  
  1967.          are of greater potential benefit to an attacker who wants to
  1968.          execute a brute-force attack on your encrypted information.
  1969.  
  1970.          The advantage of using encryption is that, even if other access
  1971.          control mechanisms (passwords, file permissions, etc.) are
  1972.          compromised by an intruder, the data is still unusable.
  1973.          Naturally, encryption keys and the like should be protected at
  1974.          least as well as account passwords.
  1975.  
  1976.          Information in transit (over a network) may be vulnerable to
  1977.          interception as well.  Several solutions to this exist, ranging
  1978.          from simply encrypting files before transferring them (end-to-
  1979.          end encryption) to special network hardware which encrypts
  1980.          everything it sends without user intervention (secure links).
  1981.          The Internet as a whole does not use secure links, thus end-
  1982.          to-end encryption must be used if encryption is desired across
  1983.          the Internet.
  1984.  
  1985.          3.9.2.1.1  Data Encryption Standard (DES)
  1986.  
  1987.             DES is perhaps the most widely used data encryption
  1988.             mechanism today.  Many hardware and software implementations
  1989.             exist, and some commercial computers are provided with a
  1990.             software version.  DES transforms plain text information
  1991.             into encrypted data (or ciphertext) by means of a special
  1992.             algorithm and "seed" value called a key.  So long as the key
  1993.             is retained (or remembered) by the original user, the
  1994.             ciphertext can be restored to the original plain text.
  1995.  
  1996.             One of the pitfalls of all encryption systems is the need to
  1997.             remember the key under which a thing was encrypted (this is
  1998.             not unlike the password problem discussed elsewhere in this
  1999.             document).  If the key is written down, it becomes less
  2000.             secure.  If forgotten, there is little (if any) hope of
  2001.             recovering the original data.
  2002.  
  2003.             Most UNIX systems provide a DES command that enables a user
  2004.             to encrypt data using the DES algorithm.
  2005.  
  2006.          3.9.2.1.2  Crypt
  2007.  
  2008.             Similar to the DES command, the UNIX "crypt" command allows
  2009.             a user to encrypt data.  Unfortunately, the algorithm used
  2010.             by "crypt" is very insecure (based on the World War II
  2011.             "Enigma" device), and files encrypted with this command can
  2012.             be decrypted easily in a matter of a few hours.  Generally,
  2013.             use of the "crypt" command should be avoided for any but the
  2014.             most trivial encryption tasks.
  2015.  
  2016.  
  2017.  
  2018. Site Security Policy Handbook Working Group                    [Page 36]
  2019.  
  2020. RFC 1244                 Site Security Handbook                July 1991
  2021.  
  2022.  
  2023.       3.9.2.2  Privacy Enhanced Mail
  2024.  
  2025.          Electronic mail normally transits the network in the clear
  2026.          (i.e., anyone can read it).  This is obviously not the optimal
  2027.          solution.  Privacy enhanced mail provides a means to
  2028.          automatically encrypt electronic mail messages so that a person
  2029.          eavesdropping at a mail distribution node is not (easily)
  2030.          capable of reading them.  Several privacy enhanced mail
  2031.          packages are currently being developed and deployed on the
  2032.          Internet.
  2033.  
  2034.          The Internet Activities Board Privacy Task Force has defined a
  2035.          draft standard, elective protocol for use in implementing
  2036.          privacy enhanced mail.  This protocol is defined in RFCs 1113,
  2037.          1114, and 1115 [7,8,9].  Please refer to the current edition of
  2038.          the "IAB Official Protocol Standards" (currently, RFC 1200
  2039.          [21]) for the standardization state and status of these
  2040.          protocols.
  2041.  
  2042.    3.9.3  Origin Authentication
  2043.  
  2044.       We mostly take it on faith that the header of an electronic mail
  2045.       message truly indicates the originator of a message.  However, it
  2046.       iseasy to "spoof", or forge the source of a mail message.  Origin
  2047.       authentication provides a means to be certain of the originator of
  2048.       a message or other object in the same way that a Notary Public
  2049.       assures a signature on a legal document.  This is done by means of
  2050.       a "Public Key" cryptosystem.
  2051.  
  2052.       A public key cryptosystem differs from a private key cryptosystem
  2053.       in several ways.  First, a public key system uses two keys, a
  2054.       Public Key that anyone can use (hence the name) and a Private Key
  2055.       that only the originator of a message uses.  The originator uses
  2056.       the private key to encrypt the message (as in DES).  The receiver,
  2057.       who has obtained the public key for the originator, may then
  2058.       decrypt the message.
  2059.  
  2060.       In this scheme, the public key is used to authenticate the
  2061.       originator's use of his or her private key, and hence the identity
  2062.       of the originator is more rigorously proven.  The most widely
  2063.       known implementation of a public key cryptosystem is the RSA
  2064.       system [26].  The Internet standard for privacy enhanced mail
  2065.       makes use of the RSA system.
  2066.  
  2067.    3.9.4  Information Integrity
  2068.  
  2069.       Information integrity refers to the state of information such that
  2070.       it is complete, correct, and unchanged from the last time in which
  2071.  
  2072.  
  2073.  
  2074. Site Security Policy Handbook Working Group                    [Page 37]
  2075.  
  2076. RFC 1244                 Site Security Handbook                July 1991
  2077.  
  2078.  
  2079.       it was verified to be in an "integral" state.  The value of
  2080.       information integrity to a site will vary.  For example, it is
  2081.       more important for military and government installations to
  2082.       prevent the "disclosure" of classified information, whether it is
  2083.       right or wrong.  A bank, on the other hand, is far more concerned
  2084.       with whether the account information maintained for its customers
  2085.       is complete and accurate.
  2086.  
  2087.       Numerous computer system mechanisms, as well as procedural
  2088.       controls, have an influence on the integrity of system
  2089.       information.  Traditional access control mechanisms maintain
  2090.       controls over who can access system information.  These mechanisms
  2091.       alone are not sufficient in some cases to provide the degree of
  2092.       integrity required.  Some other mechanisms are briefly discussed
  2093.       below.
  2094.  
  2095.       It should be noted that there are other aspects to maintaining
  2096.       system integrity besides these mechanisms, such as two-person
  2097.       controls, and integrity validation procedures.  These are beyond
  2098.       the scope of this document.
  2099.  
  2100.       3.9.4.1  Checksums
  2101.  
  2102.          Easily the simplest mechanism, a simple checksum routine can
  2103.          compute a value for a system file and compare it with the last
  2104.          known value.  If the two are equal, the file is probably
  2105.          unchanged.  If not, the file has been changed by some unknown
  2106.          means.
  2107.  
  2108.          Though it is the easiest to implement, the checksum scheme
  2109.          suffers from a serious failing in that it is not very
  2110.          sophisticated and a determined attacker could easily add enough
  2111.          characters to the file to eventually obtain the correct value.
  2112.  
  2113.          A specific type of checksum, called a CRC checksum, is
  2114.          considerably more robust than a simple checksum.  It is only
  2115.          slightly more difficult to implement and provides a better
  2116.          degree of catching errors.  It too, however, suffers from the
  2117.          possibility of compromise by an attacker.
  2118.  
  2119.          Checksums may be used to detect the altering of information.
  2120.          However, they do not actively guard against changes being made.
  2121.          For this, other mechanisms such as access controls and
  2122.          encryption should be used.
  2123.  
  2124.  
  2125.  
  2126.  
  2127.  
  2128.  
  2129.  
  2130. Site Security Policy Handbook Working Group                    [Page 38]
  2131.  
  2132. RFC 1244                 Site Security Handbook                July 1991
  2133.  
  2134.  
  2135.       3.9.4.2  Cryptographic Checksums
  2136.  
  2137.          Cryptographic checksums (also called cryptosealing) involve
  2138.          breaking a file up into smaller chunks, calculating a (CRC)
  2139.          checksum for each chunk, and adding the CRCs together.
  2140.          Depending upon the exact algorithm used, this can result in a
  2141.          nearly unbreakable method of determining whether a file has
  2142.          been changed.  This mechanism suffers from the fact that it is
  2143.          sometimes computationally intensive and may be prohibitive
  2144.          except in cases where the utmost integrity protection is
  2145.          desired.
  2146.  
  2147.          Another related mechanism, called a one-way hash function (or a
  2148.          Manipulation Detection Code (MDC)) can also be used to uniquely
  2149.          identify a file.  The idea behind these functions is that no
  2150.          two inputs can produce the same output, thus a modified file
  2151.          will not have the same hash value.  One-way hash functions can
  2152.          be implemented efficiently on a wide variety of systems, making
  2153.          unbreakable integrity checks possible.  (Snefru, a one-way hash
  2154.          function available via USENET as well as the Internet is just
  2155.          one example of an efficient one-way hash function.) [10]
  2156.  
  2157.    3.9.5  Limiting Network Access
  2158.  
  2159.       The dominant network protocols in use on the Internet, IP (RFC
  2160.       791) [11], TCP (RFC 793) [12], and UDP (RFC 768) [13], carry
  2161.       certain control information which can be used to restrict access
  2162.       to certain hosts or networks within an organization.
  2163.  
  2164.       The IP packet header contains the network addresses of both the
  2165.       sender and recipient of the packet.  Further, the TCP and UDP
  2166.       protocols provide the notion of a "port", which identifies the
  2167.       endpoint (usually a network server) of a communications path.  In
  2168.       some instances, it may be desirable to deny access to a specific
  2169.       TCP or UDP port, or even to certain hosts and networks altogether.
  2170.  
  2171.       3.9.5.1  Gateway Routing Tables
  2172.  
  2173.          One of the simplest approaches to preventing unwanted network
  2174.          connections is to simply remove certain networks from a
  2175.          gateway's routing tables.  This makes it "impossible" for a
  2176.          host to send packets to these networks.  (Most protocols
  2177.          require bidirectional packet flow even for unidirectional data
  2178.          flow, thus breaking one side of the route is usually
  2179.          sufficient.)
  2180.  
  2181.          This approach is commonly taken in "firewall" systems by
  2182.          preventing the firewall from advertising local routes to the
  2183.  
  2184.  
  2185.  
  2186. Site Security Policy Handbook Working Group                    [Page 39]
  2187.  
  2188. RFC 1244                 Site Security Handbook                July 1991
  2189.  
  2190.  
  2191.          outside world.  The approach is deficient in that it often
  2192.          prevents "too much" (e.g., in order to prevent access to one
  2193.          system on the network, access to all systems on the network is
  2194.          disabled).
  2195.  
  2196.       3.9.5.2  Router Packet Filtering
  2197.  
  2198.          Many commercially available gateway systems (more correctly
  2199.          called routers) provide the ability to filter packets based not
  2200.          only on sources or destinations, but also on source-destination
  2201.          combinations.  This mechanism can be used to deny access to a
  2202.          specific host, network, or subnet from any other host, network,
  2203.          or subnet.
  2204.  
  2205.          Gateway systems from some vendors (e.g., cisco Systems) support
  2206.          an even more complex scheme, allowing finer control over source
  2207.          and destination addresses.  Via the use of address masks, one
  2208.          can deny access to all but one host on a particular network.
  2209.          The cisco Systems also allow packet screening based on IP
  2210.          protocol type and TCP or UDP port numbers [14].
  2211.  
  2212.          This can also be circumvented by "source routing" packets
  2213.          destined for the "secret" network.  Source routed packets may
  2214.          be filtered out by gateways, but this may restrict other
  2215.          legitimate activities, such as diagnosing routing problems.
  2216.  
  2217.    3.9.6  Authentication Systems
  2218.  
  2219.       Authentication refers to the process of proving a claimed identity
  2220.       to the satisfaction of some permission-granting authority.
  2221.       Authentication systems are hardware, software, or procedural
  2222.       mechanisms that enable a user to obtain access to computing
  2223.       resources.  At the simplest level, the system administrator who
  2224.       adds new user accounts to the system is part of the system
  2225.       authentication mechanism.  At the other end of the spectrum,
  2226.       fingerprint readers or retinal scanners provide a very high-tech
  2227.       solution to establishing a potential user's identity.  Without
  2228.       establishing and proving a user's identity prior to establishing a
  2229.       session, your site's computers are vulnerable to any sort of
  2230.       attack.
  2231.  
  2232.       Typically, a user authenticates himself or herself to the system
  2233.       by entering a password in response to a prompt.
  2234.       Challenge/Response mechanisms improve upon passwords by prompting
  2235.       the user for some piece of information shared by both the computer
  2236.       and the user (such as mother's maiden name, etc.).
  2237.  
  2238.  
  2239.  
  2240.  
  2241.  
  2242. Site Security Policy Handbook Working Group                    [Page 40]
  2243.  
  2244. RFC 1244                 Site Security Handbook                July 1991
  2245.  
  2246.  
  2247.       3.9.6.1  Kerberos
  2248.  
  2249.          Kerberos, named after the dog who in mythology is said to stand
  2250.          at the gates of Hades, is a collection of software used in a
  2251.          large network to establish a user's claimed identity.
  2252.          Developed at the Massachusetts Institute of Technology (MIT),
  2253.          it uses a combination of encryption and distributed databases
  2254.          so that a user at a campus facility can login and start a
  2255.          session from any computer located on the campus.  This has
  2256.          clear advantages in certain environments where there are a
  2257.          large number of potential users who may establish a connection
  2258.          from any one of a large number of workstations.  Some vendors
  2259.          are now incorporating Kerberos into their systems.
  2260.  
  2261.          It should be noted that while Kerberos makes several advances
  2262.          in the area of authentication, some security weaknesses in the
  2263.          protocol still remain [15].
  2264.  
  2265.       3.9.6.2  Smart Cards
  2266.  
  2267.          Several systems use "smart cards" (a small calculator-like
  2268.          device) to help authenticate users.  These systems depend on
  2269.          the user having an object in their possession.  One such system
  2270.          involves a new password procedure that require a user to enter
  2271.          a value obtained from a "smart card" when asked for a password
  2272.          by the computer.  Typically, the host machine will give the
  2273.          user some piece of information that is entered into the
  2274.          keyboard of the smart card.  The smart card will display a
  2275.          response which must then be entered into the computer before
  2276.          the session will be established.  Another such system involves
  2277.          a smart card which displays a number which changes over time,
  2278.          but which is synchronized with the authentication software on
  2279.          the computer.
  2280.  
  2281.          This is a better way of dealing with authentication than with
  2282.          the traditional password approach.  On the other hand, some say
  2283.          it's inconvenient to carry the smart card.  Start-up costs are
  2284.          likely to be high as well.
  2285.  
  2286.    3.9.7  Books, Lists, and Informational Sources
  2287.  
  2288.       There are many good sources for information regarding computer
  2289.       security.  The annotated bibliography at the end of this document
  2290.       can provide you with a good start.  In addition, information can
  2291.       be obtained from a variety of other sources, some of which are
  2292.       described in this section.
  2293.  
  2294.  
  2295.  
  2296.  
  2297.  
  2298. Site Security Policy Handbook Working Group                    [Page 41]
  2299.  
  2300. RFC 1244                 Site Security Handbook                July 1991
  2301.  
  2302.  
  2303.       3.9.7.1  Security Mailing Lists
  2304.  
  2305.          The UNIX Security mailing list exists to notify system
  2306.          administrators of security problems before they become common
  2307.          knowledge, and to provide security enhancement information.  It
  2308.          is a restricted-access list, open only to people who can be
  2309.          verified as being principal systems people at a site.  Requests
  2310.          to join the list must be sent by either the site contact listed
  2311.          in the Defense Data Network's Network Information Center's (DDN
  2312.          NIC) WHOIS database, or from the "root" account on one of the
  2313.          major site machines.  You must include the destination address
  2314.          you want on the list, an indication of whether you want to be
  2315.          on the mail reflector list or receive weekly digests, the
  2316.          electronic mail address and voice telephone number of the site
  2317.          contact if it isn't you, and the name, address, and telephone
  2318.          number of your organization.  This information should be sent
  2319.          to SECURITY-REQUEST@CPD.COM.
  2320.  
  2321.          The RISKS digest is a component of the ACM Committee on
  2322.          Computers and Public Policy, moderated by Peter G. Neumann.  It
  2323.          is a discussion forum on risks to the public in computers and
  2324.          related systems, and along with discussing computer security
  2325.          and privacy issues, has discussed such subjects as the Stark
  2326.          incident, the shooting down of the Iranian airliner in the
  2327.          Persian Gulf (as it relates to the computerized weapons
  2328.          systems), problems in air and railroad traffic control systems,
  2329.          software engineering, and so on.  To join the mailing list,
  2330.          send a message to RISKS-REQUEST@CSL.SRI.COM.  This list is also
  2331.          available in the USENET newsgroup "comp.risks".
  2332.  
  2333.          The VIRUS-L list is a forum for the discussion of computer
  2334.          virus experiences, protection software, and related topics.
  2335.          The list is open to the public, and is implemented as a
  2336.          moderated digest.  Most of the information is related to
  2337.          personal computers, although some of it may be applicable to
  2338.          larger systems.  To subscribe, send the line:
  2339.  
  2340.             SUB VIRUS-L your full name
  2341.  
  2342.          to the address LISTSERV%LEHIIBM1.BITNET@MITVMA.MIT.EDU.  This
  2343.          list is also available via the USENET newsgroup "comp.virus".
  2344.  
  2345.          The Computer Underground Digest "is an open forum dedicated to
  2346.          sharing information among computerists and to the presentation
  2347.          and debate of diverse views."  While not directly a security
  2348.          list, it does contain discussions about privacy and other
  2349.          security related topics.  The list can be read on USENET as
  2350.          alt.society.cu-digest, or to join the mailing list, send mail
  2351.  
  2352.  
  2353.  
  2354. Site Security Policy Handbook Working Group                    [Page 42]
  2355.  
  2356. RFC 1244                 Site Security Handbook                July 1991
  2357.  
  2358.  
  2359.          to Gordon Myer (TK0JUT2%NIU.bitnet@mitvma.mit.edu).
  2360.          Submissions may be mailed to: cud@chinacat.unicom.com.
  2361.  
  2362.       3.9.7.2  Networking Mailing Lists
  2363.  
  2364.          The TCP-IP mailing list is intended to act as a discussion
  2365.          forum for developers and maintainers of implementations of the
  2366.          TCP/IP protocol suite.  It also discusses network-related
  2367.          security problems when they involve programs providing network
  2368.          services, such as "Sendmail".  To join the TCP-IP list, send a
  2369.          message to TCP-IP-REQUEST@NISC.SRI.COM.  This list is also
  2370.          available in the USENET newsgroup "comp.protocols.tcp-ip".
  2371.  
  2372.          SUN-NETS is a discussion list for items pertaining to
  2373.          networking on Sun systems.  Much of the discussion is related
  2374.          to NFS, NIS (formally Yellow Pages), and name servers.  To
  2375.          subscribe, send a message to SUN-NETS-REQUEST@UMIACS.UMD.EDU.
  2376.  
  2377.          The USENET groups misc.security and alt.security also discuss
  2378.          security issues.  misc.security is a moderated group and also
  2379.          includes discussions of physical security and locks.
  2380.          alt.security is unmoderated.
  2381.  
  2382.       3.9.7.3  Response Teams
  2383.  
  2384.          Several organizations have formed special groups of people to
  2385.          deal with computer security problems.  These teams collect
  2386.          information about possible security holes and disseminate it to
  2387.          the proper people, track intruders, and assist in recovery from
  2388.          security violations.  The teams typically have both electronic
  2389.          mail distribution lists as well as a special telephone number
  2390.          which can be called for information or to report a problem.
  2391.          Many of these teams are members of the CERT System, which is
  2392.          coordinated by the National Institute of Standards and
  2393.          Technology (NIST), and exists to facilitate the exchange of
  2394.          information between the various teams.
  2395.  
  2396.          3.9.7.3.1  DARPA Computer Emergency Response Team
  2397.  
  2398.             The Computer Emergency Response Team/Coordination Center
  2399.             (CERT/CC) was established in December 1988 by the Defense
  2400.             Advanced Research Projects Agency (DARPA) to address
  2401.             computer security concerns of research users of the
  2402.             Internet.  It is operated by the Software Engineering
  2403.             Institute (SEI) at Carnegie-Mellon University (CMU).  The
  2404.             CERT can immediately confer with experts to diagnose and
  2405.             solve security problems, and also establish and maintain
  2406.             communications with the affected computer users and
  2407.  
  2408.  
  2409.  
  2410. Site Security Policy Handbook Working Group                    [Page 43]
  2411.  
  2412. RFC 1244                 Site Security Handbook                July 1991
  2413.  
  2414.  
  2415.             government authorities as appropriate.
  2416.  
  2417.             The CERT/CC serves as a clearing house for the
  2418.             identification and repair of security vulnerabilities,
  2419.             informal assessments of existing systems, improvement of
  2420.             emergency response capability, and both vendor and user
  2421.             security awareness.  In addition, the team works with
  2422.             vendors of various systems in order to coordinate the fixes
  2423.             for security problems.
  2424.  
  2425.             The CERT/CC sends out security advisories to the CERT-
  2426.             ADVISORY mailing list whenever appropriate.  They also
  2427.             operate a 24-hour hotline that can be called to report
  2428.             security problems (e.g., someone breaking into your system),
  2429.             as well as to obtain current (and accurate) information
  2430.             about rumored security problems.
  2431.  
  2432.             To join the CERT-ADVISORY mailing list, send a message to
  2433.             CERT@CERT.SEI.CMU.EDU and ask to be added to the mailing
  2434.             list.  The material sent to this list also appears in the
  2435.             USENET newsgroup "comp.security.announce".  Past advisories
  2436.             are available for anonymous FTP from the host
  2437.             CERT.SEI.CMU.EDU.  The 24-hour hotline number is (412) 268-
  2438.             7090.
  2439.  
  2440.             The CERT/CC also maintains a CERT-TOOLS list to encourage
  2441.             the exchange of information on tools and techniques that
  2442.             increase the secure operation of Internet systems.  The
  2443.             CERT/CC does not review or endorse the tools described on
  2444.             the list.  To subscribe, send a message to CERT-TOOLS-
  2445.             REQUEST@CERT.SEI.CMU.EDU and ask to be added to the mailing
  2446.             list.
  2447.  
  2448.             The CERT/CC maintains other generally useful security
  2449.             information for anonymous FTP from CERT.SEI.CMU.EDU.  Get
  2450.             the README file for a list of what is available.
  2451.  
  2452.             For more information, contact:
  2453.  
  2454.                CERT
  2455.                Software Engineering Institute
  2456.                Carnegie Mellon University
  2457.                Pittsburgh, PA  15213-3890
  2458.  
  2459.                (412) 268-7090
  2460.                cert@cert.sei.cmu.edu.
  2461.  
  2462.  
  2463.  
  2464.  
  2465.  
  2466. Site Security Policy Handbook Working Group                    [Page 44]
  2467.  
  2468. RFC 1244                 Site Security Handbook                July 1991
  2469.  
  2470.  
  2471.          3.9.7.3.2  DDN Security Coordination Center
  2472.  
  2473.             For DDN users, the Security Coordination Center (SCC) serves
  2474.             a function similar to CERT.  The SCC is the DDN's clearing-
  2475.             house for host/user security problems and fixes, and works
  2476.             with the DDN Network Security Officer.  The SCC also
  2477.             distributes the DDN Security Bulletin, which communicates
  2478.             information on network and host security exposures, fixes,
  2479.             and concerns to security and management personnel at DDN
  2480.             facilities.  It is available online, via kermit or anonymous
  2481.             FTP, from the host NIC.DDN.MIL, in SCC:DDN-SECURITY-yy-
  2482.             nn.TXT (where "yy" is the year and "nn" is the bulletin
  2483.             number).  The SCC provides immediate assistance with DDN-
  2484.             related host security problems; call (800) 235-3155 (6:00
  2485.             a.m. to 5:00 p.m. Pacific Time) or send email to
  2486.             SCC@NIC.DDN.MIL.  For 24 hour coverage, call the MILNET
  2487.             Trouble Desk (800) 451-7413 or AUTOVON 231-1713.
  2488.  
  2489.          3.9.7.3.3  NIST Computer Security Resource and Response Center
  2490.  
  2491.             The National Institute of Standards and Technology (NIST)
  2492.             has responsibility within the U.S. Federal Government for
  2493.             computer science and technology activities.  NIST has played
  2494.             a strong role in organizing the CERT System and is now
  2495.             serving as the CERT System Secretariat.  NIST also operates
  2496.             a Computer Security Resource and Response Center (CSRC) to
  2497.             provide help and information regarding computer security
  2498.             events and incidents, as well as to raise awareness about
  2499.             computer security vulnerabilities.
  2500.  
  2501.             The CSRC team operates a 24-hour hotline, at (301) 975-5200.
  2502.             For individuals with access to the Internet, on-line
  2503.             publications and computer security information can be
  2504.             obtained via anonymous FTP from the host CSRC.NCSL.NIST.GOV
  2505.             (129.6.48.87).  NIST also operates a personal computer
  2506.             bulletin board that contains information regarding computer
  2507.             viruses as well as other aspects of computer security.  To
  2508.             access this board, set your modem to 300/1200/2400 BPS, 1
  2509.             stop bit, no parity, and 8-bit characters, and call (301)
  2510.             948-5717.  All users are given full access to the board
  2511.             immediately upon registering.
  2512.  
  2513.             NIST has produced several special publications related to
  2514.             computer security and computer viruses in particular; some
  2515.             of these publications are downloadable.  For further
  2516.             information, contact NIST at the following address:
  2517.  
  2518.  
  2519.  
  2520.  
  2521.  
  2522. Site Security Policy Handbook Working Group                    [Page 45]
  2523.  
  2524. RFC 1244                 Site Security Handbook                July 1991
  2525.  
  2526.  
  2527.                Computer Security Resource and Response Center
  2528.                A-216 Technology
  2529.                Gaithersburg, MD 20899
  2530.                Telephone: (301) 975-3359
  2531.                Electronic Mail: CSRC@nist.gov
  2532.  
  2533.          3.9.7.3.4  DOE Computer Incident Advisory Capability (CIAC)
  2534.  
  2535.             CIAC is the Department of Energy's (DOE's) Computer Incident
  2536.             Advisory Capability.  CIAC is a four-person team of computer
  2537.             scientists from Lawrence Livermore National Laboratory
  2538.             (LLNL) charged with the primary responsibility of assisting
  2539.             DOE sites faced with computer security incidents (e.g.,
  2540.             intruder attacks, virus infections, worm attacks, etc.).
  2541.             This capability is available to DOE sites on a 24-hour-a-day
  2542.             basis.
  2543.  
  2544.             CIAC was formed to provide a centralized response capability
  2545.             (including technical assistance), to keep sites informed of
  2546.             current events, to deal proactively with computer security
  2547.             issues, and to maintain liaisons with other response teams
  2548.             and agencies.  CIAC's charter is to assist sites (through
  2549.             direct technical assistance, providing information, or
  2550.             referring inquiries to other technical experts), serve as a
  2551.             clearinghouse for information about threats/known
  2552.             incidents/vulnerabilities, develop guidelines for incident
  2553.             handling, develop software for responding to
  2554.             events/incidents, analyze events and trends, conduct
  2555.             training and awareness activities, and alert and advise
  2556.             sites about vulnerabilities and potential attacks.
  2557.  
  2558.             CIAC's business hours phone number is (415) 422-8193 or FTS
  2559.             532-8193.  CIAC's e-mail address is CIAC@TIGER.LLNL.GOV.
  2560.  
  2561.          3.9.7.3.5  NASA Ames Computer Network Security Response Team
  2562.  
  2563.             The Computer Network Security Response Team (CNSRT) is NASA
  2564.             Ames Research Center's local version of the DARPA CERT.
  2565.             Formed in August of 1989, the team has a constituency that
  2566.             is primarily Ames users, but it is also involved in
  2567.             assisting other NASA Centers and federal agencies.  CNSRT
  2568.             maintains liaisons with the DOE's CIAC team and the DARPA
  2569.             CERT.  It is also a charter member of the CERT System.  The
  2570.             team may be reached by 24 hour pager at (415) 694-0571, or
  2571.             by electronic mail to CNSRT@AMES.ARC.NASA.GOV.
  2572.  
  2573.  
  2574.  
  2575.  
  2576.  
  2577.  
  2578. Site Security Policy Handbook Working Group                    [Page 46]
  2579.  
  2580. RFC 1244                 Site Security Handbook                July 1991
  2581.  
  2582.  
  2583.       3.9.7.4  DDN Management Bulletins
  2584.  
  2585.          The DDN Management Bulletin is distributed electronically by
  2586.          the DDN NIC under contract to the Defense Communications Agency
  2587.          (DCA).  It is a means of communicating official policy,
  2588.          procedures, and other information of concern to management
  2589.          personnel at DDN facilities.
  2590.  
  2591.          The DDN Security Bulletin is distributed electronically by the
  2592.          DDN SCC, also under contract to DCA, as a means of
  2593.          communicating information on network and host security
  2594.          exposures, fixes, and concerns to security and management
  2595.          personnel at DDN facilities.
  2596.  
  2597.          Anyone may join the mailing lists for these two bulletins by
  2598.          sending a message to NIC@NIC.DDN.MIL and asking to be placed on
  2599.          the mailing lists.  These messages are also posted to the
  2600.          USENET newsgroup "ddn.mgt-bulletin".  For additional
  2601.          information, see section 8.7.
  2602.  
  2603.       3.9.7.5  System Administration List
  2604.  
  2605.          The SYSADM-LIST is a list pertaining exclusively to UNIX system
  2606.          administration.  Mail requests to be added to the list to
  2607.          SYSADM-LIST-REQUEST@SYSADMIN.COM.
  2608.  
  2609.       3.9.7.6  Vendor Specific System Lists
  2610.  
  2611.          The SUN-SPOTS and SUN-MANAGERS lists are discussion groups for
  2612.          users and administrators of systems supplied by Sun
  2613.          Microsystems.  SUN-SPOTS is a fairly general list, discussing
  2614.          everything from hardware configurations to simple UNIX
  2615.          questions.  To subscribe, send a message to SUN-SPOTS-
  2616.          REQUEST@RICE.EDU.  This list is also available in the USENET
  2617.          newsgroup "comp.sys.sun".  SUN-MANAGERS is a discussion list
  2618.          for Sun system administrators and covers all aspects of Sun
  2619.          system administration.  To subscribe, send a message to SUN-
  2620.          MANAGERS-REQUEST@EECS.NWU.EDU.
  2621.  
  2622.          The APOLLO list discusses the HP/Apollo system and its
  2623.          software.  To subscribe, send a message to APOLLO-
  2624.          REQUEST@UMIX.CC.UMICH.EDU.  APOLLO-L is a similar list which
  2625.          can be subscribed to by sending
  2626.  
  2627.             SUB APOLLO-L your full name
  2628.  
  2629.          to LISTSERV%UMRVMB.BITNET@VM1.NODAK.EDU.
  2630.  
  2631.  
  2632.  
  2633.  
  2634. Site Security Policy Handbook Working Group                    [Page 47]
  2635.  
  2636. RFC 1244                 Site Security Handbook                July 1991
  2637.  
  2638.  
  2639.          HPMINI-L pertains to the Hewlett-Packard 9000 series and HP/UX
  2640.          operating system.  To subscribe, send
  2641.  
  2642.             SUB HPMINI-L your full name
  2643.  
  2644.          to LISTSERV%UAFSYSB.BITNET@VM1.NODAK.EDU.
  2645.  
  2646.          INFO-IBMPC discusses IBM PCs and compatibles, as well as MS-
  2647.          DOS.  To subscribe, send a note to INFO-IBMPC-REQUEST@WSMR-
  2648.          SIMTEL20.ARMY.MIL.
  2649.  
  2650.          There are numerous other mailing lists for nearly every popular
  2651.          computer or workstation in use today.  For a complete list,
  2652.          obtain the file "netinfo/interest-groups" via anonymous FTP
  2653.          from the host FTP.NISC.SRI.COM.
  2654.  
  2655.       3.9.7.7  Professional Societies and Journals
  2656.  
  2657.          The IEEE Technical Committee on Security & Privacy publishes a
  2658.          quarterly magazine, "CIPHER".
  2659.  
  2660.             IEEE Computer Society,
  2661.             1730 Massachusetts Ave. N.W.
  2662.             Washington, DC  2036-1903
  2663.  
  2664.          The ACM SigSAC (Special Interest Group on Security, Audit, and
  2665.          Controls) publishes a quarterly magazine, "SIGSAC Review".
  2666.  
  2667.             Association for Computing Machinery
  2668.             11 West 42nd St.
  2669.             New York, N.Y.  10036
  2670.  
  2671.          The Information Systems Security Association publishes a
  2672.          quarterly magazine called "ISSA Access".
  2673.  
  2674.             Information Systems Security Association
  2675.             P.O. Box 9457
  2676.             Newport Beach, CA  92658
  2677.  
  2678.          "Computers and Security" is an "international journal for the
  2679.          professional involved with computer security, audit and
  2680.          control, and data integrity."
  2681.  
  2682.  
  2683.  
  2684.  
  2685.  
  2686.  
  2687.  
  2688.  
  2689.  
  2690. Site Security Policy Handbook Working Group                    [Page 48]
  2691.  
  2692. RFC 1244                 Site Security Handbook                July 1991
  2693.  
  2694.  
  2695.             $266/year, 8 issues (1990)
  2696.  
  2697.             Elsevier Advanced Technology
  2698.             Journal Information Center
  2699.             655 Avenue of the Americas
  2700.             New York, NY 10010
  2701.  
  2702.          The "Data Security Letter" is published "to help data security
  2703.          professionals by providing inside information and knowledgable
  2704.          analysis of developments in computer and communications
  2705.          security."
  2706.  
  2707.             $690/year, 9 issues (1990)
  2708.  
  2709.             Data Security Letter
  2710.             P.O. Box 1593
  2711.             Palo Alto, CA 94302
  2712.  
  2713.    3.9.8  Problem Reporting Tools
  2714.  
  2715.       3.9.8.1  Auditing
  2716.  
  2717.          Auditing is an important tool that can be used to enhance the
  2718.          security of your installation.  Not only does it give you a
  2719.          means of identifying who has accessed your system (and may have
  2720.          done something to it) but it also gives you an indication of
  2721.          how your system is being used (or abused) by authorized users
  2722.          and attackers alike.  In addition, the audit trail
  2723.          traditionally kept by computer systems can become an invaluable
  2724.          piece of evidence should your system be penetrated.
  2725.  
  2726.          3.9.8.1.1  Verify Security
  2727.  
  2728.             An audit trail shows how the system is being used from day
  2729.             to day.  Depending upon how your site audit log is
  2730.             configured, your log files should show a range of access
  2731.             attempts that can show what normal system usage should look
  2732.             like.  Deviation from that normal usage could be the result
  2733.             of penetration from an outside source using an old or stale
  2734.             user account.  Observing a deviation in logins, for example,
  2735.             could be your first indication that something unusual is
  2736.             happening.
  2737.  
  2738.          3.9.8.1.2  Verify Software Configurations
  2739.  
  2740.             One of the ruses used by attackers to gain access to a
  2741.             system is by the insertion of a so-called Trojan Horse
  2742.             program.  A Trojan Horse program can be a program that does
  2743.  
  2744.  
  2745.  
  2746. Site Security Policy Handbook Working Group                    [Page 49]
  2747.  
  2748. RFC 1244                 Site Security Handbook                July 1991
  2749.  
  2750.  
  2751.             something useful, or merely something interesting.  It
  2752.             always does something unexpected, like steal passwords or
  2753.             copy files without your knowledge [25].  Imagine a Trojan
  2754.             login program that prompts for username and password in the
  2755.             usual way, but also writes that information to a special
  2756.             file that the attacker can come back and read at will.
  2757.             Imagine a Trojan Editor program that, despite the file
  2758.             permissions you have given your files, makes copies of
  2759.             everything in your directory space without you knowing about
  2760.             it.
  2761.  
  2762.             This points out the need for configuration management of the
  2763.             software that runs on a system, not as it is being
  2764.             developed, but as it is in actual operation.  Techniques for
  2765.             doing this range from checking each command every time it is
  2766.             executed against some criterion (such as a cryptoseal,
  2767.             described above) or merely checking the date and time stamp
  2768.             of the executable.  Another technique might be to check each
  2769.             command in batch mode at midnight.
  2770.  
  2771.       3.9.8.2  Tools
  2772.  
  2773.          COPS is a security tool for system administrators that checks
  2774.          for numerous common security problems on UNIX systems [27].
  2775.          COPS is a collection of shell scripts and C programs that can
  2776.          easily be run on almost any UNIX variant.  Among other things,
  2777.          it checks the following items and sends the results to the
  2778.          system administrator:
  2779.  
  2780.             - Checks "/dev/kmem" and other devices for world
  2781.               read/writability.
  2782.  
  2783.             - Checks special or important files and directories for
  2784.               "bad" modes (world writable, etc.).
  2785.  
  2786.             - Checks for easily-guessed passwords.
  2787.  
  2788.             - Checks for duplicate user ids, invalid fields in the
  2789.               password file, etc..
  2790.  
  2791.             - Checks for duplicate group ids, invalid fields in the
  2792.               group file, etc..
  2793.  
  2794.             - Checks all users' home directories and their ".cshrc",
  2795.               ".login", ".profile", and ".rhosts" files for security
  2796.               problems.
  2797.  
  2798.             - Checks all commands in the "/etc/rc" files and "cron"
  2799.  
  2800.  
  2801.  
  2802. Site Security Policy Handbook Working Group                    [Page 50]
  2803.  
  2804. RFC 1244                 Site Security Handbook                July 1991
  2805.  
  2806.  
  2807.               files for world writability.
  2808.  
  2809.             - Checks for bad "root" paths, NFS file systems exported
  2810.               to the world, etc..
  2811.  
  2812.             - Includes an expert system that checks to see if a given
  2813.               user (usually "root") can be compromised, given that
  2814.               certain rules are true.
  2815.  
  2816.             - Checks for changes in the setuid status of programs on the
  2817.               system.
  2818.  
  2819.          The COPS package is available from the "comp.sources.unix"
  2820.          archive on "ftp.uu.net", and also from the UNIX-SW repository
  2821.          on the MILNET host "wsmr-simtel20.army.mil".
  2822.  
  2823.    3.9.9  Communication Among Administrators
  2824.  
  2825.       3.9.9.1  Secure Operating Systems
  2826.  
  2827.          The following list of products and vendors is adapted from the
  2828.          National Computer Security Center's (NCSC) Evaluated Products
  2829.          List.  They represent those companies who have either received
  2830.          an evaluation from the NCSC or are in the process of a product
  2831.          evaluation.  This list is not complete, but it is
  2832.          representative of those operating systems and add on components
  2833.          available in the commercial marketplace.
  2834.  
  2835.          For a more detailed listing of the current products appearing
  2836.          in the NCSC EPL, contact the NCSC at:
  2837.  
  2838.             National Computer Security Center
  2839.             9800 Savage Road
  2840.             Fort George G. Meade, MD  20755-6000
  2841.             (301) 859-4458
  2842.  
  2843.  
  2844.  
  2845.  
  2846.  
  2847.  
  2848.  
  2849.  
  2850.  
  2851.  
  2852.  
  2853.  
  2854.  
  2855.  
  2856.  
  2857.  
  2858. Site Security Policy Handbook Working Group                    [Page 51]
  2859.  
  2860. RFC 1244                 Site Security Handbook                July 1991
  2861.  
  2862.  
  2863.                                                   Version    Evaluation
  2864. Evaluated Product               Vendor            Evaluated  Class
  2865. -----------------------------------------------------------------------
  2866. Secure Communications           Honeywell Information    2.1         A1
  2867. Processor (SCOMP)               Systems, Inc.
  2868.  
  2869. Multics                         Honeywell Information    MR11.0      B2
  2870.                                 Systems, Inc.
  2871.  
  2872. System V/MLS 1.1.2 on UNIX      AT&T                     1.1.2       B1
  2873. System V 3.1.1 on AT&T 3B2/500and 3B2/600
  2874.  
  2875. OS 1100                         Unisys Corp.             Security    B1
  2876.                                                          Release 1
  2877.  
  2878. MPE V/E                         Hewlett-Packard Computer G.03.04     C2
  2879.                                 Systems Division
  2880.  
  2881. AOS/VS on MV/ECLIPSE series     Data General Corp.        7.60       C2
  2882.  
  2883. VM/SP or VM/SP HPO with CMS,    IBM Corp.                    5       C2
  2884. RACF, DIRMAINT, VMTAPE-MS,
  2885. ISPF
  2886.  
  2887. MVS/XA with RACF                IBM Corp.                 2.2,2.3    C2
  2888.  
  2889. AX/VMS                          Digital Equipment Corp.      4.3     C2
  2890.  
  2891. NOS                             Control Data Corp.         NOS
  2892.                                                            Security  C2
  2893.                                                        Eval Product
  2894.  
  2895. TOP SECRET                      CGA Software Products       3.0/163  C2
  2896.                                 Group, Inc.
  2897.  
  2898. Access Control Facility 2       SKK, Inc.                    3.1.3   C2
  2899.  
  2900. UTX/32S                         Gould, Inc. Computer          1.0    C2
  2901.                                 Systems Division
  2902.  
  2903. A Series MCP/AS with            Unisys Corp.                  3.7    C2
  2904. InfoGuard Security
  2905. Enhancements
  2906.  
  2907. Primos                          Prime Computer, Inc.    21.0.1DODC2A C2
  2908. Resource Access Control         IBM Corp.                     1.5    C1
  2909. Facility (RACF)
  2910.  
  2911.  
  2912.  
  2913.  
  2914. Site Security Policy Handbook Working Group                    [Page 52]
  2915.  
  2916. RFC 1244                 Site Security Handbook                July 1991
  2917.  
  2918.  
  2919.                                                   Version      Candidate
  2920. Candidate Product            Vendor               Evaluated    Class
  2921. -----------------------------------------------------------------------
  2922. Boeing MLS LAN                  Boeing Aerospace                  A1 M1
  2923.  
  2924. Trusted XENIX                   Trusted Information
  2925.                                 Systems, Inc.                     B2
  2926.  
  2927. VSLAN                           VERDIX Corp.                      B2
  2928.  
  2929. System V/MLS                    AT&T                              B1
  2930.  
  2931. VM/SP with RACF                 IBM Corp.              5/1.8.2    C2
  2932. Wang SVS/OS with CAP            Wang Laboratories, Inc.  1.0      C2
  2933.  
  2934.  
  2935.       3.9.9.2  Obtaining Fixes for Known Problems
  2936.  
  2937.          It goes without saying that computer systems have bugs.  Even
  2938.          operating systems, upon which we depend for protection of our
  2939.          data, have bugs.  And since there are bugs, things can be
  2940.          broken, both maliciously and accidentally.  It is important
  2941.          that whenever bugs are discovered, a should fix be identified
  2942.          and implemented as soon as possible.  This should minimize any
  2943.          exposure caused by the bug in the first place.
  2944.  
  2945.          A corollary to the bug problem is: from whom do I obtain the
  2946.          fixes?  Most systems have some support from the manufacturer or
  2947.          supplier.  Fixes coming from that source tend to be implemented
  2948.          quickly after receipt.  Fixes for some problems are often
  2949.          posted on the network and are left to the system administrators
  2950.          to incorporate as they can.  The problem is that one wants to
  2951.          have faith that the fix will close the hole and not introduce
  2952.          any others.  We will tend to trust that the manufacturer's
  2953.          fixes are better than those that are posted on the net.
  2954.  
  2955.       3.9.9.3  Sun Customer Warning System
  2956.  
  2957.          Sun Microsystems has established a Customer Warning System
  2958.          (CWS) for handling security incidents.  This is a formal
  2959.          process which includes:
  2960.  
  2961.             - Having a well advertised point of contact in Sun
  2962.               for reporting security problems.
  2963.             - Pro-actively alerting customers of worms, viruses,
  2964.               or other security holes that could affect their systems.
  2965.             - Distributing the patch (or work-around) as quickly
  2966.               as possible.
  2967.  
  2968.  
  2969.  
  2970. Site Security Policy Handbook Working Group                    [Page 53]
  2971.  
  2972. RFC 1244                 Site Security Handbook                July 1991
  2973.  
  2974.  
  2975.          They have created an electronic mail address, SECURITY-
  2976.          ALERT@SUN.COM, which will enable customers to report security
  2977.          problems.  A voice-mail backup is available at (415) 688-9081.
  2978.          A "Security Contact" can be designated by each customer site;
  2979.          this person will be contacted by Sun in case of any new
  2980.          security problems.  For more information, contact your Sun
  2981.          representative.
  2982.  
  2983.       3.9.9.4  Trusted Archive Servers
  2984.  
  2985.          Several sites on the Internet maintain large repositories of
  2986.          public-domain and freely distributable software, and make this
  2987.          material available for anonymous FTP.  This section describes
  2988.          some of the larger repositories.  Note that none of these
  2989.          servers implements secure checksums or anything else
  2990.          guaranteeing the integrity of their data.  Thus, the notion of
  2991.          "trust" should be taken as a somewhat limited definition.
  2992.  
  2993.          3.9.9.4.1  Sun Fixes on UUNET
  2994.  
  2995.             Sun Microsystems has contracted with UUNET Communications
  2996.             Services, Inc., to make fixes for bugs in Sun software
  2997.             available via anonymous FTP.  You can access these fixes by
  2998.             using the "ftp" command to connect to the host FTP.UU.NET.
  2999.             Then change into the directory "sun-dist/security", and
  3000.             obtain a directory listing.  The file "README" contains a
  3001.             brief description of what each file in this directory
  3002.             contains, and what is required to install the fix.
  3003.  
  3004.          3.9.9.4.2  Berkeley Fixes
  3005.  
  3006.             The University of California at Berkeley also makes fixes
  3007.             available via anonymous FTP; these fixes pertain primarily
  3008.             to the current release of BSD UNIX (currently, release 4.3).
  3009.             However, even if you are not running their software, these
  3010.             fixes are still important, since many vendors (Sun, DEC,
  3011.             Sequent, etc.) base their software on the Berkeley releases.
  3012.  
  3013.             The Berkeley fixes are available for anonymous FTP from the
  3014.             host UCBARPA.BERKELEY.EDU in the directory "4.3/ucb-fixes".
  3015.             The file "INDEX" in this directory describes what each file
  3016.             contains.  They are also available from UUNET (see section
  3017.             3.9.9.4.3).
  3018.  
  3019.             Berkeley also distributes new versions of "sendmail" and
  3020.             "named" from this machine.  New versions of these commands
  3021.             are stored in the "4.3" directory, usually in the files
  3022.             "sendmail.tar.Z" and "bind.tar.Z", respectively.
  3023.  
  3024.  
  3025.  
  3026. Site Security Policy Handbook Working Group                    [Page 54]
  3027.  
  3028. RFC 1244                 Site Security Handbook                July 1991
  3029.  
  3030.  
  3031.          3.9.9.4.3  Simtel-20 and UUNET
  3032.  
  3033.             The two largest general-purpose software repositories on the
  3034.             Internet are the hosts WSMR-SIMTEL20.ARMY.MIL and
  3035.             FTP.UU.NET.
  3036.  
  3037.             WSMR-SIMTEL20.ARMY.MIL is a TOPS-20 machine operated by the
  3038.             U.S. Army at White Sands Missile Range (WSMR), New Mexico.
  3039.             The directory "pd2:<unix-c>" contains a large amount of UNIX
  3040.             software, primarily taken from the "comp.sources"
  3041.             newsgroups.  The directories "pd1:<msdos>" and
  3042.             "pd2:<msdos2>" contains software for IBM PC systems, and
  3043.             "pd3:<macintosh>" contains software for the Apple Macintosh.
  3044.  
  3045.             FTP.UU.NET is operated by UUNET Communications Services,
  3046.             Inc. in Falls Church, Virginia.  This company sells Internet
  3047.             and USENET access to sites all over the country (and
  3048.             internationally).  The software posted to the following
  3049.             USENET source newsgroups is stored here, in directories of
  3050.             the same name:
  3051.  
  3052.                comp.sources.games
  3053.                comp.sources.misc
  3054.                comp.sources.sun
  3055.                comp.sources.unix
  3056.                comp.sources.x
  3057.  
  3058.             Numerous other distributions, such as all the freely
  3059.             distributable Berkeley UNIX source code, Internet Request
  3060.             for Comments (RFCs), and so on are also stored on this
  3061.             system.
  3062.  
  3063.          3.9.9.4.4  Vendors
  3064.  
  3065.             Many vendors make fixes for bugs in their software available
  3066.             electronically, either via mailing lists or via anonymous
  3067.             FTP.  You should contact your vendor to find out if they
  3068.             offer this service, and if so, how to access it.  Some
  3069.             vendors that offer these services include Sun Microsystems
  3070.             (see above), Digital Equipment Corporation (DEC), the
  3071.             University of California at Berkeley (see above), and Apple
  3072.             Computer [5, CURRY].
  3073.  
  3074.  
  3075.  
  3076.  
  3077.  
  3078.  
  3079.  
  3080.  
  3081.  
  3082. Site Security Policy Handbook Working Group                    [Page 55]
  3083.  
  3084. RFC 1244                 Site Security Handbook                July 1991
  3085.  
  3086.  
  3087. 4.  Types of Security Procedures
  3088.  
  3089. 4.1  System Security Audits
  3090.  
  3091.    Most businesses undergo some sort of annual financial auditing as a
  3092.    regular part of their business life.  Security audits are an
  3093.    important part of running any computing environment.  Part of the
  3094.    security audit should be a review of any policies that concern system
  3095.    security, as well as the mechanisms that are put in place to enforce
  3096.    them.
  3097.  
  3098.    4.1.1   Organize Scheduled Drills
  3099.  
  3100.       Although not something that would be done each day or week,
  3101.       scheduled drills may be conducted to determine if the procedures
  3102.       defined are adequate for the threat to be countered.  If your
  3103.       major threat is one of natural disaster, then a drill would be
  3104.       conducted to verify your backup and recovery mechanisms.  On the
  3105.       other hand, if your greatest threat is from external intruders
  3106.       attempting to penetrate your system, a drill might be conducted to
  3107.       actually try a penetration to observe the effect of the policies.
  3108.  
  3109.       Drills are a valuable way to test that your policies and
  3110.       procedures are effective.  On the other hand, drills can be time-
  3111.       consuming and disruptive to normal operations.  It is important to
  3112.       weigh the benefits of the drills against the possible time loss
  3113.       which may be associated with them.
  3114.  
  3115.    4.1.2  Test Procedures
  3116.  
  3117.       If the choice is made to not to use scheduled drills to examine
  3118.       your entire security procedure at one time, it is important to
  3119.       test individual procedures frequently.  Examine your backup
  3120.       procedure to make sure you can recover data from the tapes.  Check
  3121.       log files to be sure that information which is supposed to be
  3122.       logged to them is being logged to them, etc..
  3123.  
  3124.       When a security audit is mandated, great care should be used in
  3125.       devising tests of the security policy.  It is important to clearly
  3126.       identify what is being tested, how the test will be conducted, and
  3127.       results expected from the test.  This should all be documented and
  3128.       included in or as an adjunct to the security policy document
  3129.       itself.
  3130.  
  3131.       It is important to test all aspects of the security policy, both
  3132.       procedural and automated, with a particular emphasis on the
  3133.       automated mechanisms used to enforce the policy.  Tests should be
  3134.       defined to ensure a comprehensive examination of policy features,
  3135.  
  3136.  
  3137.  
  3138. Site Security Policy Handbook Working Group                    [Page 56]
  3139.  
  3140. RFC 1244                 Site Security Handbook                July 1991
  3141.  
  3142.  
  3143.       that is, if a test is defined to examine the user logon process,
  3144.       it should be explicitly stated that both valid and invalid user
  3145.       names and passwords will be used to demonstrate proper operation
  3146.       of the logon program.
  3147.  
  3148.       Keep in mind that there is a limit to the reasonableness of tests.
  3149.       The purpose of testing is to ensure confidence that the security
  3150.       policy is being correctly enforced, and not to "prove" the
  3151.       absoluteness of the system or policy.  The goal should be to
  3152.       obtain some assurance that the reasonable and credible controls
  3153.       imposed by your security policy are adequate.
  3154.  
  3155. 4.2  Account Management Procedures
  3156.  
  3157.    Procedures to manage accounts are important in preventing
  3158.    unauthorized access to your system.  It is necessary to decide
  3159.    several things: Who may have an account on the system?  How long may
  3160.    someone have an account without renewing his or her request?  How do
  3161.    old accounts get removed from the system?  The answers to all these
  3162.    questions should be explicitly set out in the policy.
  3163.  
  3164.    In addition to deciding who may use a system, it may be important to
  3165.    determine what each user may use the system for (is personal use
  3166.    allowed, for example).  If you are connected to an outside network,
  3167.    your site or the network management may have rules about what the
  3168.    network may be used for.  Therefore, it is important for any security
  3169.    policy to define an adequate account management procedure for both
  3170.    administrators and users.  Typically, the system administrator would
  3171.    be responsible for creating and deleting user accounts and generally
  3172.    maintaining overall control of system use.  To some degree, account
  3173.    management is also the responsibility of each system user in the
  3174.    sense that the user should observe any system messages and events
  3175.    that may be indicative of a policy violation.  For example, a message
  3176.    at logon that indicates the date and time of the last logon should be
  3177.    reported by the user if it indicates an unreasonable time of last
  3178.    logon.
  3179.  
  3180. 4.3  Password Management Procedures
  3181.  
  3182.    A policy on password management may be important if your site wishes
  3183.    to enforce secure passwords.  These procedures may range from asking
  3184.    or forcing users to change their passwords occasionally to actively
  3185.    attempting to break users' passwords and then informing the user of
  3186.    how easy it was to do.  Another part of password management policy
  3187.    covers who may distribute passwords - can users give their passwords
  3188.    to other users?
  3189.  
  3190.    Section 2.3 discusses some of the policy issues that need to be
  3191.  
  3192.  
  3193.  
  3194. Site Security Policy Handbook Working Group                    [Page 57]
  3195.  
  3196. RFC 1244                 Site Security Handbook                July 1991
  3197.  
  3198.  
  3199.    decided for proper password management.  Regardless of the policies,
  3200.    password management procedures need to be carefully setup to avoid
  3201.    disclosing passwords.  The choice of initial passwords for accounts
  3202.    is critical.  In some cases, users may never login to activate an
  3203.    account; thus, the choice of the initial password should not be
  3204.    easily guessed.  Default passwords should never be assigned to
  3205.    accounts: always create new passwords for each user.  If there are
  3206.    any printed lists of passwords, these should be kept off-line in
  3207.    secure locations; better yet, don't list passwords.
  3208.  
  3209.    4.3.1  Password Selection
  3210.  
  3211.       Perhaps the most vulnerable part of any computer system is the
  3212.       account password.  Any computer system, no matter how secure it is
  3213.       from network or dial-up attack, Trojan horse programs, and so on,
  3214.       can be fully exploited by an intruder if he or she can gain access
  3215.       via a poorly chosen password.  It is important to define a good
  3216.       set of rules for password selection, and distribute these rules to
  3217.       all users.  If possible, the software which sets user passwords
  3218.       should be modified to enforce as many of the rules as possible.
  3219.  
  3220.       A sample set of guidelines for password selection is shown below:
  3221.  
  3222.          - DON'T use your login name in any form (as-is,
  3223.            reversed, capitalized, doubled, etc.).
  3224.  
  3225.          - DON'T use your first, middle, or last name in any form.
  3226.  
  3227.          - DON'T use your spouse's or child's name.
  3228.  
  3229.          - DON'T use other information easily obtained about you.
  3230.            This includes license plate numbers, telephone numbers,
  3231.            social security numbers, the make of your automobile,
  3232.            the name of the street you live on, etc..
  3233.  
  3234.          - DON'T use a password of all digits, or all the same
  3235.            letter.
  3236.  
  3237.          - DON'T use a word contained in English or foreign
  3238.            language dictionaries, spelling lists, or other
  3239.            lists of words.
  3240.  
  3241.          - DON'T use a password shorter than six characters.
  3242.  
  3243.          - DO use a password with mixed-case alphabetics.
  3244.  
  3245.          - DO use a password with non-alphabetic characters (digits
  3246.            or punctuation).
  3247.  
  3248.  
  3249.  
  3250. Site Security Policy Handbook Working Group                    [Page 58]
  3251.  
  3252. RFC 1244                 Site Security Handbook                July 1991
  3253.  
  3254.  
  3255.          - DO use a password that is easy to remember, so you don't
  3256.            have to write it down.
  3257.  
  3258.          - DO use a password that you can type quickly, without
  3259.            having to look at the keyboard.
  3260.  
  3261.       Methods of selecting a password which adheres to these guidelines
  3262.       include:
  3263.  
  3264.          - Choose a line or two from a song or poem, and use the
  3265.            first letter of each word.
  3266.  
  3267.          - Alternate between one consonant and one or two vowels, up
  3268.            to seven or eight characters.  This provides nonsense
  3269.            words which are usually pronounceable, and thus easily
  3270.            remembered.
  3271.  
  3272.          - Choose two short words and concatenate them together with
  3273.            a punctuation character between them.
  3274.  
  3275.       Users should also be told to change their password periodically,
  3276.       usually every three to six months.  This makes sure that an
  3277.       intruder who has guessed a password will eventually lose access,
  3278.       as well as invalidating any list of passwords he/she may have
  3279.       obtained.  Many systems enable the system administrator to force
  3280.       users to change their passwords after an expiration period; this
  3281.       software should be enabled if your system supports it [5, CURRY].
  3282.  
  3283.       Some systems provide software which forces users to change their
  3284.       passwords on a regular basis.  Many of these systems also include
  3285.       password generators which provide the user with a set of passwords
  3286.       to choose from.  The user is not permitted to make up his or her
  3287.       own password.  There are arguments both for and against systems
  3288.       such as these.  On the one hand, by using generated passwords,
  3289.       users are prevented from selecting insecure passwords.  On the
  3290.       other hand, unless the generator is good at making up easy to
  3291.       remember passwords, users will begin writing them down in order to
  3292.       remember them.
  3293.  
  3294.    4.3.2  Procedures for Changing Passwords
  3295.  
  3296.       How password changes are handled is important to keeping passwords
  3297.       secure.  Ideally, users should be able to change their own
  3298.       passwords on-line.  (Note that password changing programs are a
  3299.       favorite target of intruders.  See section 4.4 on configuration
  3300.       management for further information.)
  3301.  
  3302.       However, there are exception cases which must be handled
  3303.  
  3304.  
  3305.  
  3306. Site Security Policy Handbook Working Group                    [Page 59]
  3307.  
  3308. RFC 1244                 Site Security Handbook                July 1991
  3309.  
  3310.  
  3311.       carefully.  Users may forget passwords and not be able to get onto
  3312.       the system.  The standard procedure is to assign the user a new
  3313.       password.  Care should be taken to make sure that the real person
  3314.       is requesting the change and gets the new password.  One common
  3315.       trick used by intruders is to call or message to a system
  3316.       administrator and request a new password. Some external form of
  3317.       verification should be used before the password is assigned.  At
  3318.       some sites, users are required to show up in person with ID.
  3319.  
  3320.       There may also be times when many passwords need to be changed.
  3321.       If a system is compromised by an intruder, the intruder may be
  3322.       able to steal a password file and take it off the system.  Under
  3323.       these circumstances, one course of action is to change all
  3324.       passwords on the system.  Your site should have procedures for how
  3325.       this can be done quickly and efficiently.  What course you choose
  3326.       may depend on the urgency of the problem.  In the case of a known
  3327.       attack with damage, you may choose to forcibly disable all
  3328.       accounts and assign users new passwords before they come back onto
  3329.       the system.  In some places, users are sent a message telling them
  3330.       that they should change their passwords, perhaps within a certain
  3331.       time period.  If the password isn't changed before the time period
  3332.       expires, the account is locked.
  3333.  
  3334.       Users should be aware of what the standard procedure is for
  3335.       passwords when a security event has occurred.  One well-known
  3336.       spoof reported by the Computer Emergency Response Team (CERT)
  3337.       involved messages sent to users, supposedly from local system
  3338.       administrators, requesting them to immediately change their
  3339.       password to a new value provided in the message [24].  These
  3340.       messages were not from the administrators, but from intruders
  3341.       trying to steal accounts.  Users should be warned to immediately
  3342.       report any suspicious requests such as this to site
  3343.       administrators.
  3344.  
  3345. 4.4  Configuration Management Procedures
  3346.  
  3347.    Configuration management is generally applied to the software
  3348.    development process.  However, it is certainly applicable in a
  3349.    operational sense as well.  Consider that the since many of the
  3350.    system level programs are intended to enforce the security policy, it
  3351.    is important that these be "known" as correct.  That is, one should
  3352.    not allow system level programs (such as the operating system, etc.)
  3353.    to be changed arbitrarily.  At very least, the procedures should
  3354.    state who is authorized to make changes to systems, under what
  3355.    circumstances, and how the changes should be documented.
  3356.  
  3357.    In some environments, configuration management is also desirable as
  3358.    applied to physical configuration of equipment.  Maintaining valid
  3359.  
  3360.  
  3361.  
  3362. Site Security Policy Handbook Working Group                    [Page 60]
  3363.  
  3364. RFC 1244                 Site Security Handbook                July 1991
  3365.  
  3366.  
  3367.    and authorized hardware configuration should be given due
  3368.    consideration in your security policy.
  3369.  
  3370.    4.4.1  Non-Standard Configurations
  3371.  
  3372.       Occasionally, it may be beneficial to have a slightly non-standard
  3373.       configuration in order to thwart the "standard" attacks used by
  3374.       some intruders.  The non-standard parts of the configuration might
  3375.       include different password encryption algorithms, different
  3376.       configuration file locations, and rewritten or functionally
  3377.       limited system commands.
  3378.  
  3379.       Non-standard configurations, however, also have their drawbacks.
  3380.       By changing the "standard" system, these modifications make
  3381.       software maintenance more difficult by requiring extra
  3382.       documentation to be written, software modification after operating
  3383.       system upgrades, and, usually, someone with special knowledge of
  3384.       the changes.
  3385.  
  3386.       Because of the drawbacks of non-standard configurations, they are
  3387.       often only used in environments with a "firewall" machine (see
  3388.       section 3.9.1).  The firewall machine is modified in non-standard
  3389.       ways since it is susceptible to attack, while internal systems
  3390.       behind the firewall are left in their standard configurations.
  3391.  
  3392. 5.  Incident Handling
  3393.  
  3394. 5.1  Overview
  3395.  
  3396.    This section of the document will supply some guidance to be applied
  3397.    when a computer security event is in progress on a machine, network,
  3398.    site, or multi-site environment.  The operative philosophy in the
  3399.    event of a breach of computer security, whether it be an external
  3400.    intruder attack or a disgruntled employee, is to plan for adverse
  3401.    events in advance.  There is no substitute for creating contingency
  3402.    plans for the types of events described above.
  3403.  
  3404.    Traditional computer security, while quite important in the overall
  3405.    site security plan, usually falls heavily on protecting systems from
  3406.    attack, and perhaps monitoring systems to detect attacks.  Little
  3407.    attention is usually paid for how to actually handle the attack when
  3408.    it occurs.  The result is that when an attack is in progress, many
  3409.    decisions are made in haste and can be damaging to tracking down the
  3410.    source of the incident, collecting evidence to be used in prosecution
  3411.    efforts, preparing for the recovery of the system, and protecting the
  3412.    valuable data contained on the system.
  3413.  
  3414.  
  3415.  
  3416.  
  3417.  
  3418. Site Security Policy Handbook Working Group                    [Page 61]
  3419.  
  3420. RFC 1244                 Site Security Handbook                July 1991
  3421.  
  3422.  
  3423.    5.1.1  Have a Plan to Follow in Case of an Incident
  3424.  
  3425.       Part of handling an incident is being prepared to respond before
  3426.       the incident occurs.  This includes establishing a suitable level
  3427.       of protections, so that if the incident becomes severe, the damage
  3428.       which can occur is limited.  Protection includes preparing
  3429.       incident handling guidelines or a contingency response plan for
  3430.       your organization or site.  Having written plans eliminates much
  3431.       of the ambiguity which occurs during an incident, and will lead to
  3432.       a more appropriate and thorough set of responses.  Second, part of
  3433.       protection is preparing a method of notification, so you will know
  3434.       who to call and the relevant phone numbers.  It is important, for
  3435.       example, to conduct "dry runs," in which your computer security
  3436.       personnel, system administrators, and managers simulate handling
  3437.       an incident.
  3438.  
  3439.       Learning to respond efficiently to an incident is important for
  3440.       numerous reasons.  The most important benefit is directly to human
  3441.       beings--preventing loss of human life.  Some computing systems are
  3442.       life critical systems, systems on which human life depends (e.g.,
  3443.       by controlling some aspect of life-support in a hospital or
  3444.       assisting air traffic controllers).
  3445.  
  3446.       An important but often overlooked benefit is an economic one.
  3447.       Having both technical and managerial personnel respond to an
  3448.       incident requires considerable resources, resources which could be
  3449.       utilized more profitably if an incident did not require their
  3450.       services.  If these personnel are trained to handle an incident
  3451.       efficiently, less of their time is required to deal with that
  3452.       incident.
  3453.  
  3454.       A third benefit is protecting classified, sensitive, or
  3455.       proprietary information.  One of the major dangers of a computer
  3456.       security incident is that information may be irrecoverable.
  3457.       Efficient incident handling minimizes this danger.  When
  3458.       classified information is involved, other government regulations
  3459.       may apply and must be integrated into any plan for incident
  3460.       handling.
  3461.  
  3462.       A fourth benefit is related to public relations.  News about
  3463.       computer security incidents tends to be damaging to an
  3464.       organization's stature among current or potential clients.
  3465.       Efficient incident handling minimizes the potential for negative
  3466.       exposure.
  3467.  
  3468.       A final benefit of efficient incident handling is related to legal
  3469.       issues.  It is possible that in the near future organizations may
  3470.       be sued because one of their nodes was used to launch a network
  3471.  
  3472.  
  3473.  
  3474. Site Security Policy Handbook Working Group                    [Page 62]
  3475.  
  3476. RFC 1244                 Site Security Handbook                July 1991
  3477.  
  3478.  
  3479.       attack.  In a similar vein, people who develop patches or
  3480.       workarounds may be sued if the patches or workarounds are
  3481.       ineffective, resulting in damage to systems, or if the patches or
  3482.       workarounds themselves damage systems.  Knowing about operating
  3483.       system vulnerabilities and patterns of attacks and then taking
  3484.       appropriate measures is critical to circumventing possible legal
  3485.       problems.
  3486.  
  3487.    5.1.2  Order of Discussion in this Session Suggests an Order for
  3488.           a Plan
  3489.  
  3490.       This chapter is arranged such that a list may be generated from
  3491.       the Table of Contents to provide a starting point for creating a
  3492.       policy for handling ongoing incidents.  The main points to be
  3493.       included in a policy for handling incidents are:
  3494.  
  3495.          o Overview (what are the goals and objectives in handling the
  3496.            incident).
  3497.          o Evaluation (how serious is the incident).
  3498.          o Notification (who should be notified about the incident).
  3499.          o Response (what should the response to the incident be).
  3500.          o Legal/Investigative (what are the legal and prosecutorial
  3501.            implications of the incident).
  3502.          o Documentation Logs (what records should be kept from before,
  3503.            during, and after the incident).
  3504.  
  3505.       Each of these points is important in an overall plan for handling
  3506.       incidents.  The remainder of this chapter will detail the issues
  3507.       involved in each of these topics, and provide some guidance as to
  3508.       what should be included in a site policy for handling incidents.
  3509.  
  3510.       5.1.3  Possible Goals and Incentives for Efficient Incident
  3511.              Handling
  3512.  
  3513.       As in any set of pre-planned procedures, attention must be placed
  3514.       on a set of goals to be obtained in handling an incident.  These
  3515.       goals will be placed in order of importance depending on the site,
  3516.       but one such set of goals might be:
  3517.  
  3518.          Assure integrity of (life) critical systems.
  3519.          Maintain and restore data.
  3520.          Maintain and restore service.
  3521.          Figure out how it happened.
  3522.          Avoid escalation and further incidents.
  3523.          Avoid negative publicity.
  3524.          Find out who did it.
  3525.          Punish the attackers.
  3526.  
  3527.  
  3528.  
  3529.  
  3530. Site Security Policy Handbook Working Group                    [Page 63]
  3531.  
  3532. RFC 1244                 Site Security Handbook                July 1991
  3533.  
  3534.  
  3535.       It is important to prioritize actions to be taken during an
  3536.       incident well in advance of the time an incident occurs.
  3537.       Sometimes an incident may be so complex that it is impossible to
  3538.       do everything at once to respond to it; priorities are essential.
  3539.       Although priorities will vary from institution-to-institution, the
  3540.       following suggested priorities serve as a starting point for
  3541.       defining an organization's response:
  3542.  
  3543.          o Priority one -- protect human life and people's
  3544.            safety; human life always has precedence over all
  3545.            other considerations.
  3546.  
  3547.          o Priority two -- protect classified and/or sensitive
  3548.            data (as regulated by your site or by government
  3549.            regulations).
  3550.  
  3551.          o Priority three -- protect other data, including
  3552.            proprietary, scientific, managerial and other data,
  3553.            because loss of data is costly in terms of resources.
  3554.  
  3555.          o Priority four -- prevent damage to systems (e.g., loss
  3556.            or alteration of system files, damage to disk drives,
  3557.            etc.); damage to systems can result in costly down
  3558.            time and recovery.
  3559.  
  3560.          o Priority five -- minimize disruption of computing
  3561.            resources; it is better in many cases to shut a system
  3562.            down or disconnect from a network than to risk damage
  3563.            to data or systems.
  3564.  
  3565.       An important implication for defining priorities is that once
  3566.       human life and national security considerations have been
  3567.       addressed, it is generally more important to save data than system
  3568.       software and hardware.  Although it is undesirable to have any
  3569.       damage or loss during an incident, systems can be replaced; the
  3570.       loss or compromise of data (especially classified data), however,
  3571.       is usually not an acceptable outcome under any circumstances.
  3572.  
  3573.       Part of handling an incident is being prepared to respond before
  3574.       the incident occurs.  This includes establishing a suitable level
  3575.       of protections so that if the incident becomes severe, the damage
  3576.       which can occur is limited.  Protection includes preparing
  3577.       incident handling guidelines or a contingency response plan for
  3578.       your organization or site.  Written plans eliminate much of the
  3579.       ambiguity which occurs during an incident, and will lead to a more
  3580.       appropriate and thorough set of responses.  Second, part of
  3581.       protection is preparing a method of notification so you will know
  3582.       who to call and how to contact them.  For example, every member of
  3583.  
  3584.  
  3585.  
  3586. Site Security Policy Handbook Working Group                    [Page 64]
  3587.  
  3588. RFC 1244                 Site Security Handbook                July 1991
  3589.  
  3590.  
  3591.       the Department of Energy's CIAC Team carries a card with every
  3592.       other team member's work and home phone numbers, as well as pager
  3593.       numbers.  Third, your organization or site should establish backup
  3594.       procedures for every machine and system.  Having backups
  3595.       eliminates much of the threat of even a severe incident, since
  3596.       backups preclude serious data loss.  Fourth, you should set up
  3597.       secure systems.  This involves eliminating vulnerabilities,
  3598.       establishing an effective password policy, and other procedures,
  3599.       all of which will be explained later in this document.  Finally,
  3600.       conducting training activities is part of protection.  It is
  3601.       important, for example, to conduct "dry runs," in which your
  3602.       computer security personnel, system administrators, and managers
  3603.       simulate handling an incident.
  3604.  
  3605.    5.1.4  Local Policies and Regulations Providing Guidance
  3606.  
  3607.       Any plan for responding to security incidents should be guided by
  3608.       local policies and regulations.  Government and private sites that
  3609.       deal with classified material have specific rules that they must
  3610.       follow.
  3611.  
  3612.       The policies your site makes about how it responds to incidents
  3613.       (as discussed in sections 2.4 and 2.5) will shape your response.
  3614.       For example, it may make little sense to create mechanisms to
  3615.       monitor and trace intruders if your site does not plan to take
  3616.       action against the intruders if they are caught.  Other
  3617.       organizations may have policies that affect your plans.  Telephone
  3618.       companies often release information about telephone traces only to
  3619.       law enforcement agencies.
  3620.  
  3621.       Section 5.5 also notes that if any legal action is planned, there
  3622.       are specific guidelines that must be followed to make sure that
  3623.       any information collected can be used as evidence.
  3624.  
  3625. 5.2  Evaluation
  3626.  
  3627.    5.2.1  Is It Real?
  3628.  
  3629.       This stage involves determining the exact problem.  Of course
  3630.       many, if not most, signs often associated with virus infections,
  3631.       system intrusions, etc., are simply anomalies such as hardware
  3632.       failures.  To assist in identifying whether there really is an
  3633.       incident, it is usually helpful to obtain and use any detection
  3634.       software which may be available.  For example, widely available
  3635.       software packages can greatly assist someone who thinks there may
  3636.       be a virus in a Macintosh computer.  Audit information is also
  3637.       extremely useful, especially in determining whether there is a
  3638.       network attack.  It is extremely important to obtain a system
  3639.  
  3640.  
  3641.  
  3642. Site Security Policy Handbook Working Group                    [Page 65]
  3643.  
  3644. RFC 1244                 Site Security Handbook                July 1991
  3645.  
  3646.  
  3647.       snapshot as soon as one suspects that something is wrong.  Many
  3648.       incidents cause a dynamic chain of events to occur, and an initial
  3649.       system snapshot may do more good in identifying the problem and
  3650.       any source of attack than most other actions which can be taken at
  3651.       this stage.  Finally, it is important to start a log book.
  3652.       Recording system events, telephone conversations, time stamps,
  3653.       etc., can lead to a more rapid and systematic identification of
  3654.       the problem, and is the basis for subsequent stages of incident
  3655.       handling.
  3656.  
  3657.       There are certain indications or "symptoms" of an incident which
  3658.       deserve special attention:
  3659.  
  3660.          o System crashes.
  3661.          o New user accounts (e.g., the account RUMPLESTILTSKIN
  3662.            has unexplainedly been created), or high activity on
  3663.            an account that has had virtually no activity for
  3664.            months.
  3665.          o New files (usually with novel or strange file names,
  3666.            such as data.xx or k).
  3667.          o Accounting discrepancies (e.g., in a UNIX system you
  3668.            might notice that the accounting file called
  3669.            /usr/admin/lastlog has shrunk, something that should
  3670.            make you very suspicious that there may be an
  3671.            intruder).
  3672.          o Changes in file lengths or dates (e.g., a user should
  3673.            be suspicious if he/she observes that the .EXE files in
  3674.            an MS DOS computer have unexplainedly grown
  3675.            by over 1800 bytes).
  3676.          o Attempts to write to system (e.g., a system manager
  3677.            notices that a privileged user in a VMS system is
  3678.            attempting to alter RIGHTSLIST.DAT).
  3679.          o Data modification or deletion (e.g., files start to
  3680.            disappear).
  3681.          o Denial of service (e.g., a system manager and all
  3682.            other users become locked out of a UNIX system, which
  3683.            has been changed to single user mode).
  3684.          o Unexplained, poor system performance (e.g., system
  3685.            response time becomes unusually slow).
  3686.          o Anomalies (e.g., "GOTCHA" is displayed on a display
  3687.            terminal or there are frequent unexplained "beeps").
  3688.          o Suspicious probes (e.g., there are numerous
  3689.            unsuccessful login attempts from another node).
  3690.          o Suspicious browsing (e.g., someone becomes a root user
  3691.            on a UNIX system and accesses file after file in one
  3692.            user's account, then another's).
  3693.  
  3694.       None of these indications is absolute "proof" that an incident is
  3695.  
  3696.  
  3697.  
  3698. Site Security Policy Handbook Working Group                    [Page 66]
  3699.  
  3700. RFC 1244                 Site Security Handbook                July 1991
  3701.  
  3702.  
  3703.       occurring, nor are all of these indications normally observed when
  3704.       an incident occurs.  If you observe any of these indications,
  3705.       however, it is important to suspect that an incident might be
  3706.       occurring, and act accordingly.  There is no formula for
  3707.       determining with 100 percent accuracy that an incident is
  3708.       occurring (possible exception: when a virus detection package
  3709.       indicates that your machine has the nVIR virus and you confirm
  3710.       this by examining contents of the nVIR resource in your Macintosh
  3711.       computer, you can be very certain that your machine is infected).
  3712.       It is best at this point to collaborate with other technical and
  3713.       computer security personnel to make a decision as a group about
  3714.       whether an incident is occurring.
  3715.  
  3716.    5.2.2  Scope
  3717.  
  3718.       Along with the identification of the incident is the evaluation of
  3719.       the scope and impact of the problem.  It is important to correctly
  3720.       identify the boundaries of the incident in order to effectively
  3721.       deal with it.  In addition, the impact of an incident will
  3722.       determine its priority in allocating resources to deal with the
  3723.       event.  Without an indication of the scope and impact of the
  3724.       event, it is difficult to determine a correct response.
  3725.  
  3726.       In order to identify the scope and impact, a set of criteria
  3727.       should be defined which is appropriate to the site and to the type
  3728.       of connections available.  Some of the issues are:
  3729.  
  3730.          o Is this a multi-site incident?
  3731.          o Are many computers at your site effected by this
  3732.            incident?
  3733.          o Is sensitive information involved?
  3734.          o What is the entry point of the incident (network,
  3735.            phone line, local terminal, etc.)?
  3736.          o Is the press involved?
  3737.          o What is the potential damage of the incident?
  3738.          o What is the estimated time to close out the incident?
  3739.          o What resources could be required
  3740.            to handle the incident?
  3741.  
  3742. 5.3  Possible Types of Notification
  3743.  
  3744.    When you have confirmed that an incident is occurring, the
  3745.    appropriate personnel must be notified.  Who and how this
  3746.    notification is achieved is very important in keeping the event under
  3747.    control both from a technical and emotional standpoint.
  3748.  
  3749.  
  3750.  
  3751.  
  3752.  
  3753.  
  3754. Site Security Policy Handbook Working Group                    [Page 67]
  3755.  
  3756. RFC 1244                 Site Security Handbook                July 1991
  3757.  
  3758.  
  3759.    5.3.1  Explicit
  3760.  
  3761.       First of all, any notification to either local or off-site
  3762.       personnel must be explicit.  This requires that any statement (be
  3763.       it an electronic mail message, phone call, or fax) provides
  3764.       information about the incident that is clear, concise, and fully
  3765.       qualified.  When you are notifying others that will help you to
  3766.       handle an event, a "smoke screen" will only divide the effort and
  3767.       create confusion.  If a division of labor is suggested, it is
  3768.       helpful to provide information to each section about what is being
  3769.       accomplished in other efforts.  This will not only reduce
  3770.       duplication of effort, but allow people working on parts of the
  3771.       problem to know where to obtain other information that would help
  3772.       them resolve a part of the incident.
  3773.  
  3774.    5.3.2  Factual
  3775.  
  3776.       Another important consideration when communicating about the
  3777.       incident is to be factual.  Attempting to hide aspects of the
  3778.       incident by providing false or incomplete information may not only
  3779.       prevent a successful resolution to the incident, but may even
  3780.       worsen the situation.  This is especially true when the press is
  3781.       involved.  When an incident severe enough to gain press attention
  3782.       is ongoing, it is likely that any false information you provide
  3783.       will not be substantiated by other sources.  This will reflect
  3784.       badly on the site and may create enough ill-will between the site
  3785.       and the press to damage the site's public relations.
  3786.  
  3787.    5.3.3  Choice of Language
  3788.  
  3789.       The choice of language used when notifying people about the
  3790.       incident can have a profound effect on the way that information is
  3791.       received.  When you use emotional or inflammatory terms, you raise
  3792.       the expectations of damage and negative outcomes of the incident.
  3793.       It is important to remain calm both in written and spoken
  3794.       notifications.
  3795.  
  3796.       Another issue associated with the choice of language is the
  3797.       notification to non-technical or off-site personnel.  It is
  3798.       important to accurately describe the incident without undue alarm
  3799.       or confusing messages.  While it is more difficult to describe the
  3800.       incident to a non-technical audience, it is often more important.
  3801.       A non-technical description may be required for upper-level
  3802.       management, the press, or law enforcement liaisons.  The
  3803.       importance of these notifications cannot be underestimated and may
  3804.       make the difference between handling the incident properly and
  3805.       escalating to some higher level of damage.
  3806.  
  3807.  
  3808.  
  3809.  
  3810. Site Security Policy Handbook Working Group                    [Page 68]
  3811.  
  3812. RFC 1244                 Site Security Handbook                July 1991
  3813.  
  3814.  
  3815.    5.3.4  Notification of Individuals
  3816.  
  3817.          o Point of Contact (POC) people (Technical, Administrative,
  3818.            Response Teams, Investigative, Legal, Vendors, Service
  3819.            providers), and which POCs are visible to whom.
  3820.          o Wider community (users).
  3821.          o Other sites that might be affected.
  3822.  
  3823.       Finally, there is the question of who should be notified during
  3824.       and after the incident.  There are several classes of individuals
  3825.       that need to be considered for notification.  These are the
  3826.       technical personnel, administration, appropriate response teams
  3827.       (such as CERT or CIAC), law enforcement, vendors, and other
  3828.       service providers.  These issues are important for the central
  3829.       point of contact, since that is the person responsible for the
  3830.       actual notification of others (see section 5.3.6 for further
  3831.       information).  A list of people in each of these categories is an
  3832.       important time saver for the POC during an incident.  It is much
  3833.       more difficult to find an appropriate person during an incident
  3834.       when many urgent events are ongoing.
  3835.  
  3836.       In addition to the people responsible for handling part of the
  3837.       incident, there may be other sites affected by the incident (or
  3838.       perhaps simply at risk from the incident).  A wider community of
  3839.       users may also benefit from knowledge of the incident.  Often, a
  3840.       report of the incident once it is closed out is appropriate for
  3841.       publication to the wider user community.
  3842.  
  3843.    5.3.5  Public Relations - Press Releases
  3844.  
  3845.       One of the most important issues to consider is when, who, and how
  3846.       much to release to the general public through the press.  There
  3847.       are many issues to consider when deciding this particular issue.
  3848.       First and foremost, if a public relations office exists for the
  3849.       site, it is important to use this office as liaison to the press.
  3850.       The public relations office is trained in the type and wording of
  3851.       information released, and will help to assure that the image of
  3852.       the site is protected during and after the incident (if possible).
  3853.       A public relations office has the advantage that you can
  3854.       communicate candidly with them, and provide a buffer between the
  3855.       constant press attention and the need of the POC to maintain
  3856.       control over the incident.
  3857.  
  3858.       If a public relations office is not available, the information
  3859.       released to the press must be carefully considered.  If the
  3860.       information is sensitive, it may be advantageous to provide only
  3861.       minimal or overview information to the press.  It is quite
  3862.       possible that any information provided to the press will be
  3863.  
  3864.  
  3865.  
  3866. Site Security Policy Handbook Working Group                    [Page 69]
  3867.  
  3868. RFC 1244                 Site Security Handbook                July 1991
  3869.  
  3870.  
  3871.       quickly reviewed by the perpetrator of the incident.  As a
  3872.       contrast to this consideration, it was discussed above that
  3873.       misleading the press can often backfire and cause more damage than
  3874.       releasing sensitive information.
  3875.  
  3876.       While it is difficult to determine in advance what level of detail
  3877.       to provide to the press, some guidelines to keep in mind are:
  3878.  
  3879.          o Keep the technical level of detail low.  Detailed
  3880.            information about the incident may provide enough
  3881.            information for copy-cat events or even damage the
  3882.            site's ability to prosecute once the event is over.
  3883.          o Keep the speculation out of press statements.
  3884.            Speculation of who is causing the incident or the
  3885.            motives are very likely to be in error and may cause
  3886.            an inflamed view of the incident.
  3887.          o Work with law enforcement professionals to assure that
  3888.            evidence is protected.  If prosecution is involved,
  3889.            assure that the evidence collected is not divulged to
  3890.            the press.
  3891.          o Try not to be forced into a press interview before you are
  3892.            prepared.  The popular press is famous for the "2am"
  3893.            interview, where the hope is to catch the interviewee off
  3894.            guard and obtain information otherwise not available.
  3895.          o Do not allow the press attention to detract from the
  3896.            handling of the event.  Always remember that the successful
  3897.            closure of an incident is of primary importance.
  3898.  
  3899.    5.3.6  Who Needs to Get Involved?
  3900.  
  3901.       There now exists a number of incident response teams (IRTs) such
  3902.       as the CERT and the CIAC. (See sections 3.9.7.3.1 and 3.9.7.3.4.)
  3903.       Teams exists for many major government agencies and large
  3904.       corporations.  If such a team is available for your site, the
  3905.       notification of this team should be of primary importance during
  3906.       the early stages of an incident.  These teams are responsible for
  3907.       coordinating computer security incidents over a range of sites and
  3908.       larger entities.  Even if the incident is believed to be contained
  3909.       to a single site, it is possible that the information available
  3910.       through a response team could help in closing out the incident.
  3911.  
  3912.       In setting up a site policy for incident handling, it may be
  3913.       desirable to create an incident handling team (IHT), much like
  3914.       those teams that already exist, that will be responsible for
  3915.       handling computer security incidents for the site (or
  3916.       organization).  If such a team is created, it is essential that
  3917.       communication lines be opened between this team and other IHTs.
  3918.       Once an incident is under way, it is difficult to open a trusted
  3919.  
  3920.  
  3921.  
  3922. Site Security Policy Handbook Working Group                    [Page 70]
  3923.  
  3924. RFC 1244                 Site Security Handbook                July 1991
  3925.  
  3926.  
  3927.       dialogue between other IHTs if none has existed before.
  3928.  
  3929. 5.4  Response
  3930.  
  3931.    A major topic still untouched here is how to actually respond to an
  3932.    event.  The response to an event will fall into the general
  3933.    categories of containment, eradication, recovery, and follow-up.
  3934.  
  3935.    Containment
  3936.  
  3937.       The purpose of containment is to limit the extent of an attack.
  3938.       For example, it is important to limit the spread of a worm attack
  3939.       on a network as quickly as possible.  An essential part of
  3940.       containment is decision making (i.e., determining whether to shut
  3941.       a system down, to disconnect from a network, to monitor system or
  3942.       network activity, to set traps, to disable functions such as
  3943.       remote file transfer on a UNIX system, etc.).  Sometimes this
  3944.       decision is trivial; shut the system down if the system is
  3945.       classified or sensitive, or if proprietary information is at risk!
  3946.       In other cases, it is worthwhile to risk having some damage to the
  3947.       system if keeping the system up might enable you to identify an
  3948.       intruder.
  3949.  
  3950.       The third stage, containment, should involve carrying out
  3951.       predetermined procedures.  Your organization or site should, for
  3952.       example, define acceptable risks in dealing with an incident, and
  3953.       should prescribe specific actions and strategies accordingly.
  3954.       Finally, notification of cognizant authorities should occur during
  3955.       this stage.
  3956.  
  3957.    Eradication
  3958.  
  3959.       Once an incident has been detected, it is important to first think
  3960.       about containing the incident.  Once the incident has been
  3961.       contained, it is now time to eradicate the cause.  Software may be
  3962.       available to help you in this effort.  For example, eradication
  3963.       software is available to eliminate most viruses which infect small
  3964.       systems.  If any bogus files have been created, it is time to
  3965.       delete them at this point.  In the case of virus infections, it is
  3966.       important to clean and reformat any disks containing infected
  3967.       files.  Finally, ensure that all backups are clean.  Many systems
  3968.       infected with viruses become periodically reinfected simply
  3969.       because people do not systematically eradicate the virus from
  3970.       backups.
  3971.  
  3972.    Recovery
  3973.  
  3974.       Once the cause of an incident has been eradicated, the recovery
  3975.  
  3976.  
  3977.  
  3978. Site Security Policy Handbook Working Group                    [Page 71]
  3979.  
  3980. RFC 1244                 Site Security Handbook                July 1991
  3981.  
  3982.  
  3983.       phase defines the next stage of action.  The goal of recovery is
  3984.       to return the system to normal.  In the case of a network-based
  3985.       attack, it is important to install patches for any operating
  3986.       system vulnerability which was exploited.
  3987.  
  3988.    Follow-up
  3989.  
  3990.       One of the most important stages of responding to incidents is
  3991.       also the most often omitted---the follow-up stage.  This stage is
  3992.       important because it helps those involved in handling the incident
  3993.       develop a set of "lessons learned" (see section 6.3) to improve
  3994.       future performance in such situations.  This stage also provides
  3995.       information which justifies an organization's computer security
  3996.       effort to management, and yields information which may be
  3997.       essential in legal proceedings.
  3998.  
  3999.       The most important element of the follow-up stage is performing a
  4000.       postmortem analysis.  Exactly what happened, and at what times?
  4001.       How well did the staff involved with the incident perform?  What
  4002.       kind of information did the staff need quickly, and how could they
  4003.       have gotten that information as soon as possible?  What would the
  4004.       staff do differently next time?  A follow-up report is valuable
  4005.       because it provides a reference to be used in case of other
  4006.       similar incidents.  Creating a formal chronology of events
  4007.       (including time stamps) is also important for legal reasons.
  4008.       Similarly, it is also important to as quickly obtain a monetary
  4009.       estimate of the amount of damage the incident caused in terms of
  4010.       any loss of software and files, hardware damage, and manpower
  4011.       costs to restore altered files, reconfigure affected systems, and
  4012.       so forth.  This estimate may become the basis for subsequent
  4013.       prosecution activity by the FBI, the U.S. Attorney General's
  4014.       Office, etc..
  4015.  
  4016.    5.4.1  What Will You Do?
  4017.  
  4018.       o Restore control.
  4019.       o Relation to policy.
  4020.       o Which level of service is needed?
  4021.       o Monitor activity.
  4022.       o Constrain or shut down system.
  4023.  
  4024.    5.4.2  Consider Designating a "Single Point of Contact"
  4025.  
  4026.       When an incident is under way, a major issue is deciding who is in
  4027.       charge of coordinating the activity of the multitude of players.
  4028.       A major mistake that can be made is to have a number of "points of
  4029.       contact" (POC) that are not pulling their efforts together.  This
  4030.       will only add to the confusion of the event, and will probably
  4031.  
  4032.  
  4033.  
  4034. Site Security Policy Handbook Working Group                    [Page 72]
  4035.  
  4036. RFC 1244                 Site Security Handbook                July 1991
  4037.  
  4038.  
  4039.       lead to additional confusion and wasted or ineffective effort.
  4040.  
  4041.       The single point of contact may or may not be the person "in
  4042.       charge" of the incident.  There are two distinct rolls to fill
  4043.       when deciding who shall be the point of contact and the person in
  4044.       charge of the incident.  The person in charge will make decisions
  4045.       as to the interpretation of policy applied to the event.  The
  4046.       responsibility for the handling of the event falls onto this
  4047.       person.  In contrast, the point of contact must coordinate the
  4048.       effort of all the parties involved with handling the event.
  4049.  
  4050.       The point of contact must be a person with the technical expertise
  4051.       to successfully coordinate the effort of the system managers and
  4052.       users involved in monitoring and reacting to the attack.  Often
  4053.       the management structure of a site is such that the administrator
  4054.       of a set of resources is not a technically competent person with
  4055.       regard to handling the details of the operations of the computers,
  4056.       but is ultimately responsible for the use of these resources.
  4057.  
  4058.       Another important function of the POC is to maintain contact with
  4059.       law enforcement and other external agencies (such as the CIA, DoD,
  4060.       U.S.  Army, or others) to assure that multi-agency involvement
  4061.       occurs.
  4062.  
  4063.       Finally, if legal action in the form of prosecution is involved,
  4064.       the POC may be able to speak for the site in court.  The
  4065.       alternative is to have multiple witnesses that will be hard to
  4066.       coordinate in a legal sense, and will weaken any case against the
  4067.       attackers.  A single POC may also be the single person in charge
  4068.       of evidence collected, which will keep the number of people
  4069.       accounting for evidence to a minimum.  As a rule of thumb, the
  4070.       more people that touch a potential piece of evidence, the greater
  4071.       the possibility that it will be inadmissible in court.  The
  4072.       section below (Legal/Investigative) will provide more details for
  4073.       consideration on this topic.
  4074.  
  4075. 5.5  Legal/Investigative
  4076.  
  4077.    5.5.1  Establishing Contacts with Investigative Agencies
  4078.  
  4079.       It is important to establish contacts with personnel from
  4080.       investigative agencies such as the FBI and Secret Service as soon
  4081.       as possible, for several reasons.  Local law enforcement and local
  4082.       security offices or campus police organizations should also be
  4083.       informed when appropriate.  A primary reason is that once a major
  4084.       attack is in progress, there is little time to call various
  4085.       personnel in these agencies to determine exactly who the correct
  4086.       point of contact is.  Another reason is that it is important to
  4087.  
  4088.  
  4089.  
  4090. Site Security Policy Handbook Working Group                    [Page 73]
  4091.  
  4092. RFC 1244                 Site Security Handbook                July 1991
  4093.  
  4094.  
  4095.       cooperate with these agencies in a manner that will foster a good
  4096.       working relationship, and that will be in accordance with the
  4097.       working procedures of these agencies.  Knowing the working
  4098.       procedures in advance and the expectations of your point of
  4099.       contact is a big step in this direction.  For example, it is
  4100.       important to gather evidence that will be admissible in a court of
  4101.       law.  If you don't know in advance how to gather admissible
  4102.       evidence, your efforts to collect evidence during an incident are
  4103.       likely to be of no value to the investigative agency with which
  4104.       you deal.  A final reason for establishing contacts as soon as
  4105.       possible is that it is impossible to know the particular agency
  4106.       that will assume jurisdiction in any given incident.  Making
  4107.       contacts and finding the proper channels early will make
  4108.       responding to an incident go considerably more smoothly.
  4109.  
  4110.       If your organization or site has a legal counsel, you need to
  4111.       notify this office soon after you learn that an incident is in
  4112.       progress.  At a minimum, your legal counsel needs to be involved
  4113.       to protect the legal and financial interests of your site or
  4114.       organization.  There are many legal and practical issues, a few of
  4115.       which are:
  4116.  
  4117.          1. Whether your site or organization is willing to risk
  4118.             negative publicity or exposure to cooperate with legal
  4119.             prosecution efforts.
  4120.  
  4121.          2. Downstream liability--if you leave a compromised system
  4122.             as is so it can be monitored and another computer is damaged
  4123.             because the attack originated from your system, your site or
  4124.             organization may be liable for damages incurred.
  4125.  
  4126.          3. Distribution of information--if your site or organization
  4127.             distributes information about an attack in which another
  4128.             site or organization may be involved or the vulnerability
  4129.             in a product that may affect ability to market that
  4130.             product, your site or organization may again be liable
  4131.             for any damages (including damage of reputation).
  4132.  
  4133.          4. Liabilities due to monitoring--your site or organization
  4134.             may be sued if users at your site or elsewhere discover
  4135.             that your site is monitoring account activity without
  4136.             informing users.
  4137.  
  4138.       Unfortunately, there are no clear precedents yet on the
  4139.       liabilities or responsibilities of organizations involved in a
  4140.       security incident or who might be involved in supporting an
  4141.       investigative effort.  Investigators will often encourage
  4142.       organizations to help trace and monitor intruders -- indeed, most
  4143.  
  4144.  
  4145.  
  4146. Site Security Policy Handbook Working Group                    [Page 74]
  4147.  
  4148. RFC 1244                 Site Security Handbook                July 1991
  4149.  
  4150.  
  4151.       investigators cannot pursue computer intrusions without extensive
  4152.       support from the organizations involved.  However, investigators
  4153.       cannot provide protection from liability claims, and these kinds
  4154.       of efforts may drag out for months and may take lots of effort.
  4155.  
  4156.       On the other side, an organization's legal council may advise
  4157.       extreme caution and suggest that tracing activities be halted and
  4158.       an intruder shut out of the system.  This in itself may not
  4159.       provide protection from liability, and may prevent investigators
  4160.       from identifying anyone.
  4161.  
  4162.       The balance between supporting investigative activity and limiting
  4163.       liability is tricky; you'll need to consider the advice of your
  4164.       council and the damage the intruder is causing (if any) in making
  4165.       your decision about what to do during any particular incident.
  4166.  
  4167.       Your legal counsel should also be involved in any decision to
  4168.       contact investigative agencies when an incident occurs at your
  4169.       site.  The decision to coordinate efforts with investigative
  4170.       agencies is most properly that of your site or organization.
  4171.       Involving your legal counsel will also foster the multi-level
  4172.       coordination between your site and the particular investigative
  4173.       agency involved which in turn results in an efficient division of
  4174.       labor.  Another result is that you are likely to obtain guidance
  4175.       that will help you avoid future legal mistakes.
  4176.  
  4177.       Finally, your legal counsel should evaluate your site's written
  4178.       procedures for responding to incidents.  It is essential to obtain
  4179.       a "clean bill of health" from a legal perspective before you
  4180.       actually carry out these procedures.
  4181.  
  4182.    5.5.2  Formal and Informal Legal Procedures
  4183.  
  4184.       One of the most important considerations in dealing with
  4185.       investigative agencies is verifying that the person who calls
  4186.       asking for information is a legitimate representative from the
  4187.       agency in question.  Unfortunately, many well intentioned people
  4188.       have unknowingly leaked sensitive information about incidents,
  4189.       allowed unauthorized people into their systems, etc., because a
  4190.       caller has masqueraded as an FBI or Secret Service agent.  A
  4191.       similar consideration is using a secure means of communication.
  4192.       Because many network attackers can easily reroute electronic mail,
  4193.       avoid using electronic mail to communicate with other agencies (as
  4194.       well as others dealing with the incident at hand).  Non-secured
  4195.       phone lines (e.g., the phones normally used in the business world)
  4196.       are also frequent targets for tapping by network intruders, so be
  4197.       careful!
  4198.  
  4199.  
  4200.  
  4201.  
  4202. Site Security Policy Handbook Working Group                    [Page 75]
  4203.  
  4204. RFC 1244                 Site Security Handbook                July 1991
  4205.  
  4206.  
  4207.       There is no established set of rules for responding to an incident
  4208.       when the U.S. Federal Government becomes involved.  Except by
  4209.       court order, no agency can force you to monitor, to disconnect
  4210.       from the network, to avoid telephone contact with the suspected
  4211.       attackers, etc..  As discussed in section 5.5.1, you should
  4212.       consult the matter with your legal counsel, especially before
  4213.       taking an action that your organization has never taken.  The
  4214.       particular agency involved may ask you to leave an attacked
  4215.       machine on and to monitor activity on this machine, for example.
  4216.       Your complying with this request will ensure continued cooperation
  4217.       of the agency--usually the best route towards finding the source
  4218.       of the network attacks and, ultimately, terminating these attacks.
  4219.       Additionally, you may need some information or a favor from the
  4220.       agency involved in the incident.  You are likely to get what you
  4221.       need only if you have been cooperative.  Of particular importance
  4222.       is avoiding unnecessary or unauthorized disclosure of information
  4223.       about the incident, including any information furnished by the
  4224.       agency involved.  The trust between your site and the agency
  4225.       hinges upon your ability to avoid compromising the case the agency
  4226.       will build; keeping "tight lipped" is imperative.
  4227.  
  4228.       Sometimes your needs and the needs of an investigative agency will
  4229.       differ.  Your site may want to get back to normal business by
  4230.       closing an attack route, but the investigative agency may want you
  4231.       to keep this route open.  Similarly, your site may want to close a
  4232.       compromised system down to avoid the possibility of negative
  4233.       publicity, but again the investigative agency may want you to
  4234.       continue monitoring.  When there is such a conflict, there may be
  4235.       a complex set of tradeoffs (e.g., interests of your site's
  4236.       management, amount of resources you can devote to the problem,
  4237.       jurisdictional boundaries, etc.).  An important guiding principle
  4238.       is related to what might be called "Internet citizenship" [22,
  4239.       IAB89, 23] and its responsibilities.  Your site can shut a system
  4240.       down, and this will relieve you of the stress, resource demands,
  4241.       and danger of negative exposure.  The attacker, however, is likely
  4242.       to simply move on to another system, temporarily leaving others
  4243.       blind to the attacker's intention and actions until another path
  4244.       of attack can be detected.  Providing that there is no damage to
  4245.       your systems and others, the most responsible course of action is
  4246.       to cooperate with the participating agency by leaving your
  4247.       compromised system on.  This will allow monitoring (and,
  4248.       ultimately, the possibility of terminating the source of the
  4249.       threat to systems just like yours).  On the other hand, if there
  4250.       is damage to computers illegally accessed through your system, the
  4251.       choice is more complicated: shutting down the intruder may prevent
  4252.       further damage to systems, but might make it impossible to track
  4253.       down the intruder.  If there has been damage, the decision about
  4254.       whether it is important to leave systems up to catch the intruder
  4255.  
  4256.  
  4257.  
  4258. Site Security Policy Handbook Working Group                    [Page 76]
  4259.  
  4260. RFC 1244                 Site Security Handbook                July 1991
  4261.  
  4262.  
  4263.       should involve all the organizations effected.  Further
  4264.       complicating the issue of network responsibility is the
  4265.       consideration that if you do not cooperate with the agency
  4266.       involved, you will be less likely to receive help from that agency
  4267.       in the future.
  4268.  
  4269. 5.6  Documentation Logs
  4270.  
  4271.    When you respond to an incident, document all details related to the
  4272.    incident.  This will provide valuable information to yourself and
  4273.    others as you try to unravel the course of events.  Documenting all
  4274.    details will ultimately save you time.  If you don't document every
  4275.    relevant phone call, for example, you are likely to forget a good
  4276.    portion of information you obtain, requiring you to contact the
  4277.    source of information once again.  This wastes yours and others'
  4278.    time, something you can ill afford.  At the same time, recording
  4279.    details will provide evidence for prosecution efforts, providing the
  4280.    case moves in this direction.  Documenting an incident also will help
  4281.    you perform a final assessment of damage (something your management
  4282.    as well as law enforcement officers will want to know), and will
  4283.    provide the basis for a follow-up analysis in which you can engage in
  4284.    a valuable "lessons learned" exercise.
  4285.  
  4286.    During the initial stages of an incident, it is often infeasible to
  4287.    determine whether prosecution is viable, so you should document as if
  4288.    you are gathering evidence for a court case.  At a minimum, you
  4289.    should record:
  4290.  
  4291.       o All system events (audit records).
  4292.       o All actions you take (time tagged).
  4293.       o All phone conversations (including the person with whom
  4294.         you talked, the date and time, and the content of the
  4295.         conversation).
  4296.  
  4297.    The most straightforward way to maintain documentation is keeping a
  4298.    log book.  This allows you to go to a centralized, chronological
  4299.    source of information when you need it, instead of requiring you to
  4300.    page through individual sheets of paper.  Much of this information is
  4301.    potential evidence in a court of law.  Thus, when you initially
  4302.    suspect that an incident will result in prosecution or when an
  4303.    investigative agency becomes involved, you need to regularly (e.g.,
  4304.    every day) turn in photocopied, signed copies of your logbook (as
  4305.    well as media you use to record system events) to a document
  4306.    custodian who can store these copied pages in a secure place (e.g., a
  4307.    safe).  When you submit information for storage, you should in return
  4308.    receive a signed, dated receipt from the document custodian.  Failure
  4309.    to observe these procedures can result in invalidation of any
  4310.    evidence you obtain in a court of law.
  4311.  
  4312.  
  4313.  
  4314. Site Security Policy Handbook Working Group                    [Page 77]
  4315.  
  4316. RFC 1244                 Site Security Handbook                July 1991
  4317.  
  4318.  
  4319. 6.  Establishing Post-Incident Procedures
  4320.  
  4321. 6.1  Overview
  4322.  
  4323.    In the wake of an incident, several actions should take place.  These
  4324.    actions can be summarized as follows:
  4325.  
  4326.       1. An inventory should be taken of the systems' assets,
  4327.          i.e., a careful examination should determine how the
  4328.          system was affected by the incident,
  4329.  
  4330.       2. The lessons learned as a result of the incident
  4331.          should be included in revised security plan to
  4332.          prevent the incident from re-occurring,
  4333.  
  4334.       3. A new risk analysis should be developed in light of the
  4335.          incident,
  4336.  
  4337.       4. An investigation and prosecution of the individuals
  4338.          who caused the incident should commence, if it is
  4339.          deemed desirable.
  4340.  
  4341.    All four steps should provide feedback to the site security policy
  4342.    committee, leading to prompt re-evaluation and amendment of the
  4343.    current policy.
  4344.  
  4345. 6.2  Removing Vulnerabilities
  4346.  
  4347.    Removing all vulnerabilities once an incident has occurred is
  4348.    difficult.  The key to removing vulnerabilities is knowledge and
  4349.    understanding of the breach.  In some cases, it is prudent to remove
  4350.    all access or functionality as soon as possible, and then restore
  4351.    normal operation in limited stages.  Bear in mind that removing all
  4352.    access while an incident is in progress will obviously notify all
  4353.    users, including the alleged problem users, that the administrators
  4354.    are aware of a problem; this may have a deleterious effect on an
  4355.    investigation.  However, allowing an incident to continue may also
  4356.    open the likelihood of greater damage, loss, aggravation, or
  4357.    liability (civil or criminal).
  4358.  
  4359.    If it is determined that the breach occurred due to a flaw in the
  4360.    systems' hardware or software, the vendor (or supplier) and the CERT
  4361.    should be notified as soon as possible.  Including relevant telephone
  4362.    numbers (also electronic mail addresses and fax numbers) in the site
  4363.    security policy is strongly recommended.  To aid prompt
  4364.    acknowledgment and understanding of the problem, the flaw should be
  4365.    described in as much detail as possible, including details about how
  4366.    to exploit the flaw.
  4367.  
  4368.  
  4369.  
  4370. Site Security Policy Handbook Working Group                    [Page 78]
  4371.  
  4372. RFC 1244                 Site Security Handbook                July 1991
  4373.  
  4374.  
  4375.    As soon as the breach has occurred, the entire system and all its
  4376.    components should be considered suspect.  System software is the most
  4377.    probable target.  Preparation is key to recovering from a possibly
  4378.    tainted system.  This includes checksumming all tapes from the vendor
  4379.    using a checksum algorithm which (hopefully) is resistant to
  4380.    tampering [10].  (See sections 3.9.4.1, 3.9.4.2.)  Assuming original
  4381.    vendor distribution tapes are available, an analysis of all system
  4382.    files should commence, and any irregularities should be noted and
  4383.    referred to all parties involved in handling the incident.  It can be
  4384.    very difficult, in some cases, to decide which backup tapes to
  4385.    recover from; consider that the incident may have continued for
  4386.    months or years before discovery, and that the suspect may be an
  4387.    employee of the site, or otherwise have intimate knowledge or access
  4388.    to the systems.  In all cases, the pre-incident preparation will
  4389.    determine what recovery is possible.  At worst-case, restoration from
  4390.    the original manufactures' media and a re-installation of the systems
  4391.    will be the most prudent solution.
  4392.  
  4393.    Review the lessons learned from the incident and always update the
  4394.    policy and procedures to reflect changes necessitated by the
  4395.    incident.
  4396.  
  4397.    6.2.1  Assessing Damage
  4398.  
  4399.       Before cleanup can begin, the actual system damage must be
  4400.       discerned.  This can be quite time consuming, but should lead into
  4401.       some of the insight as to the nature of the incident, and aid
  4402.       investigation and prosecution.  It is best to compare previous
  4403.       backups or original tapes when possible; advance preparation is
  4404.       the key.  If the system supports centralized logging (most do), go
  4405.       back over the logs and look for abnormalities.  If process
  4406.       accounting and connect time accounting is enabled, look for
  4407.       patterns of system usage.  To a lesser extent, disk usage may shed
  4408.       light on the incident.  Accounting can provide much helpful
  4409.       information in an analysis of an incident and subsequent
  4410.       prosecution.
  4411.  
  4412.    6.2.2  Cleanup
  4413.  
  4414.       Once the damage has been assessed, it is necessary to develop a
  4415.       plan for system cleanup.  In general, bringing up services in the
  4416.       order of demand to allow a minimum of user inconvenience is the
  4417.       best practice.  Understand that the proper recovery procedures for
  4418.       the system are extremely important and should be specific to the
  4419.       site.
  4420.  
  4421.       It may be necessary to go back to the original distributed tapes
  4422.       and recustomize the system.  To facilitate this worst case
  4423.  
  4424.  
  4425.  
  4426. Site Security Policy Handbook Working Group                    [Page 79]
  4427.  
  4428. RFC 1244                 Site Security Handbook                July 1991
  4429.  
  4430.  
  4431.       scenario, a record of the original systems setup and each
  4432.       customization change should be kept current with each change to
  4433.       the system.
  4434.  
  4435.    6.2.3  Follow up
  4436.  
  4437.       Once you believe that a system has been restored to a "safe"
  4438.       state, it is still possible that holes and even traps could be
  4439.       lurking in the system.  In the follow-up stage, the system should
  4440.       be monitored for items that may have been missed during the
  4441.       cleanup stage.  It would be prudent to utilize some of the tools
  4442.       mentioned in section 3.9.8.2 (e.g., COPS) as a start.  Remember,
  4443.       these tools don't replace continual system monitoring and good
  4444.       systems administration procedures.
  4445.  
  4446.    6.2.4  Keep a Security Log
  4447.  
  4448.       As discussed in section 5.6, a security log can be most valuable
  4449.       during this phase of removing vulnerabilities.  There are two
  4450.       considerations here; the first is to keep logs of the procedures
  4451.       that have been used to make the system secure again.  This should
  4452.       include command procedures (e.g., shell scripts) that can be run
  4453.       on a periodic basis to recheck the security.  Second, keep logs of
  4454.       important system events.  These can be referenced when trying to
  4455.       determine the extent of the damage of a given incident.
  4456.  
  4457. 6.3  Capturing Lessons Learned
  4458.  
  4459.    6.3.1  Understand the Lesson
  4460.  
  4461.       After an incident, it is prudent to write a report describing the
  4462.       incident, method of discovery, correction procedure, monitoring
  4463.       procedure, and a summary of lesson learned.  This will aid in the
  4464.       clear understanding of the problem.  Remember, it is difficult to
  4465.       learn from an incident if you don't understand the source.
  4466.  
  4467.    6.3.2  Resources
  4468.  
  4469.       6.3.2.1  Other Security Devices, Methods
  4470.  
  4471.          Security is a dynamic, not static process.  Sites are dependent
  4472.          on the nature of security available at each site, and the array
  4473.          of devices and methods that will help promote security.
  4474.          Keeping up with the security area of the computer industry and
  4475.          their methods will assure a security manager of taking
  4476.          advantage of the latest technology.
  4477.  
  4478.  
  4479.  
  4480.  
  4481.  
  4482. Site Security Policy Handbook Working Group                    [Page 80]
  4483.  
  4484. RFC 1244                 Site Security Handbook                July 1991
  4485.  
  4486.  
  4487.       6.3.2.2  Repository of Books, Lists, Information Sources
  4488.  
  4489.          Keep an on site collection of books, lists, information
  4490.          sources, etc., as guides and references for securing the
  4491.          system.  Keep this collection up to date.  Remember, as systems
  4492.          change, so do security methods and problems.
  4493.  
  4494.       6.3.2.3  Form a Subgroup
  4495.  
  4496.          Form a subgroup of system administration personnel that will be
  4497.          the core security staff.  This will allow discussions of
  4498.          security problems and multiple views of the site's security
  4499.          issues.  This subgroup can also act to develop the site
  4500.          security policy and make suggested changes as necessary to
  4501.          ensure site security.
  4502.  
  4503. 6.4  Upgrading Policies and Procedures
  4504.  
  4505.    6.4.1  Establish Mechanisms for Updating Policies, Procedures,
  4506.           and Tools
  4507.  
  4508.       If an incident is based on poor policy, and unless the policy is
  4509.       changed, then one is doomed to repeat the past.  Once a site has
  4510.       recovered from and incident, site policy and procedures should be
  4511.       reviewed to encompass changes to prevent similar incidents.  Even
  4512.       without an incident, it would be prudent to review policies and
  4513.       procedures on a regular basis.  Reviews are imperative due to
  4514.       today's changing computing environments.
  4515.  
  4516.    6.4.2  Problem Reporting Procedures
  4517.  
  4518.       A problem reporting procedure should be implemented to describe,
  4519.       in detail, the incident and the solutions to the incident.  Each
  4520.       incident should be reviewed by the site security subgroup to allow
  4521.       understanding of the incident with possible suggestions to the
  4522.       site policy and procedures.
  4523.  
  4524. 7.  References
  4525.  
  4526.    [1] Quarterman, J., "The Matrix: Computer Networks and Conferencing
  4527.        Systems Worldwide", Pg. 278, Digital Press, Bedford, MA, 1990.
  4528.  
  4529.    [2] Brand, R., "Coping with the Threat of Computer Security
  4530.        Incidents: A Primer from Prevention through Recovery", R. Brand,
  4531.        available on-line from: cert.sei.cmu.edu:/pub/info/primer, 8 June
  4532.        1990.
  4533.  
  4534.    [3] Fites, M., Kratz, P. and A. Brebner, "Control and Security of
  4535.  
  4536.  
  4537.  
  4538. Site Security Policy Handbook Working Group                    [Page 81]
  4539.  
  4540. RFC 1244                 Site Security Handbook                July 1991
  4541.  
  4542.  
  4543.        Computer Information Systems", Computer Science Press, 1989.
  4544.  
  4545.    [4] Johnson, D., and J. Podesta, "Formulating a Company Policy on
  4546.        Access to and Use and Disclosure of Electronic Mail on Company
  4547.        Computer Systems", Available from: The Electronic Mail
  4548.        Association (EMA) 1555 Wilson Blvd, Suite 555, Arlington VA
  4549.        22209, (703) 522-7111, 22 October 1990.
  4550.  
  4551.    [5] Curry, D., "Improving the Security of Your UNIX System", SRI
  4552.        International Report ITSTD-721-FR-90-21, April 1990.
  4553.  
  4554.    [6] Cheswick, B., "The Design of a Secure Internet Gateway",
  4555.        Proceedings of the Summer Usenix Conference, Anaheim, CA, June
  4556.        1990.
  4557.  
  4558.    [7] Linn, J., "Privacy Enhancement for Internet Electronic Mail: Part
  4559.        I -- Message Encipherment and Authentication Procedures", RFC
  4560.        1113, IAB Privacy Task Force, August 1989.
  4561.  
  4562.    [8] Kent, S., and J. Linn, "Privacy Enhancement for Internet
  4563.        Electronic Mail: Part II -- Certificate-Based Key Management",
  4564.        RFC 1114, IAB Privacy Task Force, August 1989.
  4565.  
  4566.    [9] Linn, J., "Privacy Enhancement for Internet Electronic Mail: Part
  4567.        III -- Algorithms, Modes, and Identifiers", RFC 1115, IAB Privacy
  4568.        Task Force, August 1989.
  4569.  
  4570.   [10] Merkle, R., "A Fast Software One Way Hash Function", Journal of
  4571.        Cryptology, Vol. 3, No. 1.
  4572.  
  4573.   [11] Postel, J., "Internet Protocol - DARPA Internet Program Protocol
  4574.        Specification", RFC 791, DARPA, September 1981.
  4575.  
  4576.   [12] Postel, J., "Transmission Control Protocol - DARPA Internet
  4577.        Program Protocol Specification", RFC 793, DARPA, September 1981.
  4578.  
  4579.   [13] Postel, J., "User Datagram Protocol", RFC 768, USC/Information
  4580.        Sciences Institute, 28 August 1980.
  4581.  
  4582.   [14] Mogul, J., "Simple and Flexible Datagram Access Controls for
  4583.        UNIX-based Gateways", Digital Western Research Laboratory
  4584.        Research Report 89/4, March 1989.
  4585.  
  4586.   [15] Bellovin, S., and M. Merritt, "Limitations of the Kerberos
  4587.        Authentication System", Computer Communications Review, October
  4588.        1990.
  4589.  
  4590.   [16] Pfleeger, C., "Security in Computing", Prentice-Hall, Englewood
  4591.  
  4592.  
  4593.  
  4594. Site Security Policy Handbook Working Group                    [Page 82]
  4595.  
  4596. RFC 1244                 Site Security Handbook                July 1991
  4597.  
  4598.  
  4599.        Cliffs, N.J., 1989.
  4600.  
  4601.   [17] Parker, D., Swope, S., and B. Baker, "Ethical Conflicts:
  4602.        Information and Computer Science, Technology and Business", QED
  4603.        Information Sciences, Inc., Wellesley, MA.
  4604.  
  4605.   [18] Forester, T., and P. Morrison, "Computer Ethics: Tales and
  4606.        Ethical Dilemmas in Computing", MIT Press, Cambridge, MA, 1990.
  4607.  
  4608.   [19] Postel, J., and J. Reynolds, "Telnet Protocol Specification", RFC
  4609.        854, USC/Information Sciences Institute, May 1983.
  4610.  
  4611.   [20] Postel, J., and J. Reynolds, "File Transfer Protocol", RFC 959,
  4612.        USC/Information Sciences Institute, October 1985.
  4613.  
  4614.   [21] Postel, J., Editor, "IAB Official Protocol Standards", RFC 1200,
  4615.        IAB, April 1991.
  4616.  
  4617.   [22] Internet Activities Board, "Ethics and the Internet", RFC 1087,
  4618.        Internet Activities Board, January 1989.
  4619.  
  4620.   [23] Pethia, R., Crocker, S., and B. Fraser, "Policy Guidelines for
  4621.        the Secure Operation of the Internet", CERT, TIS, CERT, RFC in
  4622.        preparation.
  4623.  
  4624.   [24] Computer Emergency Response Team (CERT/CC), "Unauthorized
  4625.        Password Change Requests", CERT Advisory CA-91:03, April 1991.
  4626.  
  4627.   [25] Computer Emergency Response Team (CERT/CC), "TELNET Breakin
  4628.        Warning", CERT Advisory CA-89:03, August 1989.
  4629.  
  4630.   [26] CCITT, Recommendation X.509, "The Directory: Authentication
  4631.        Framework", Annex C.
  4632.  
  4633.   [27] Farmer, D., and E. Spafford, "The COPS Security Checker System",
  4634.        Proceedings of the Summer 1990 USENIX Conference, Anaheim, CA,
  4635.        Pgs. 165-170, June 1990.
  4636.  
  4637. 8.  Annotated Bibliography
  4638.  
  4639.    The intent of this annotated bibliography is to offer a
  4640.    representative collection of resources of information that will help
  4641.    the user of this handbook.  It is meant provide a starting point for
  4642.    further research in the security area.  Included are references to
  4643.    other sources of information for those who wish to pursue issues of
  4644.    the computer security environment.
  4645.  
  4646.  
  4647.  
  4648.  
  4649.  
  4650. Site Security Policy Handbook Working Group                    [Page 83]
  4651.  
  4652. RFC 1244                 Site Security Handbook                July 1991
  4653.  
  4654.  
  4655. 8.1  Computer Law
  4656.  
  4657.    [ABA89]
  4658.            American Bar Association, Section of Science and
  4659.            Technology, "Guide to the Prosecution of Telecommunication
  4660.            Fraud by the Use of Computer Crime Statutes", American Bar
  4661.            Association, 1989.
  4662.  
  4663.    [BENDER]
  4664.            Bender, D., "Computer Law: Evidence and Procedure",
  4665.            M. Bender, New York, NY, 1978-present.
  4666.  
  4667.            Kept up to date with supplements.
  4668.            Years covering 1978-1984 focuses on: Computer law,
  4669.            evidence and procedures.  The years 1984 to the current
  4670.            focus on general computer law.  Bibliographical
  4671.            references and index included.
  4672.  
  4673.    [BLOOMBECKER]
  4674.            Bloombecker, B., "Spectacular Computer Crimes", Dow Jones-
  4675.            Irwin, Homewood, IL. 1990.
  4676.  
  4677.    [CCH]
  4678.            Commerce Clearing House, "Guide to Computer Law", (Topical
  4679.            Law Reports), Chicago, IL., 1989.
  4680.  
  4681.            Court cases and decisions rendered by federal and state
  4682.            courts throughout the United States on federal and state
  4683.            computer law.  Includes Case Table and Topical Index.
  4684.  
  4685.    [CONLY]
  4686.            Conly, C., "Organizing for Computer Crime Investigation and
  4687.            Prosecution", U.S. Dept. of Justice, Office of Justice
  4688.            Programs, Under Contract  Number OJP-86-C-002, National
  4689.            Institute of Justice, Washington, DC, July 1989.
  4690.  
  4691.    [FENWICK]
  4692.            Fenwick, W., Chair, "Computer Litigation, 1985: Trial
  4693.            Tactics and Techniques", Litigation Course Handbook
  4694.            Series No. 280, Prepared for distribution at the
  4695.            Computer Litigation, 1985: Trial Tactics and
  4696.            Techniques Program, February-March 1985.
  4697.  
  4698.    [GEMIGNANI]
  4699.            Gemignani, M., "Viruses and Criminal Law", Communications
  4700.            of the ACM, Vol. 32, No. 6, Pgs. 669-671, June 1989.
  4701.  
  4702.  
  4703.  
  4704.  
  4705.  
  4706. Site Security Policy Handbook Working Group                    [Page 84]
  4707.  
  4708. RFC 1244                 Site Security Handbook                July 1991
  4709.  
  4710.  
  4711.    [HUBAND]
  4712.            Huband, F., and R. Shelton, Editors, "Protection of
  4713.            Computer Systems and Software: New Approaches for Combating
  4714.            Theft of Software and Unauthorized Intrusion", Papers
  4715.            presented at a workshop sponsored by the National Science
  4716.            Foundation, 1986.
  4717.  
  4718.    [MCEWEN]
  4719.            McEwen, J., "Dedicated Computer Crime Units", Report
  4720.            Contributors: D. Fester and H. Nugent, Prepared for the
  4721.            National Institute of Justice, U.S. Department of Justice,
  4722.            by Institute for Law and Justice, Inc., under contract number
  4723.            OJP-85-C-006, Washington, DC, 1989.
  4724.  
  4725.    [PARKER]
  4726.            Parker, D., "Computer Crime: Criminal Justice Resource
  4727.            Manual", U.S. Dept. of Justice, National Institute of Justice,
  4728.            Office of Justice Programs, Under Contract Number
  4729.            OJP-86-C-002, Washington, D.C., August 1989.
  4730.  
  4731.    [SHAW]
  4732.            Shaw, E., Jr., "Computer Fraud and Abuse Act of 1986,
  4733.            Congressional Record (3 June 1986), Washington, D.C.,
  4734.            3 June 1986.
  4735.  
  4736.    [TRIBLE]
  4737.            Trible, P., "The Computer Fraud and Abuse Act of 1986",
  4738.            U.S. Senate Committee on the Judiciary, 1986.
  4739.  
  4740.  
  4741. 8.2  Computer Security
  4742.  
  4743.    [CAELLI]
  4744.            Caelli, W., Editor, "Computer Security in the Age of
  4745.            Information", Proceedings of the Fifth IFIP International
  4746.            Conference on Computer Security, IFIP/Sec '88.
  4747.  
  4748.    [CARROLL]
  4749.            Carroll, J., "Computer Security", 2nd Edition, Butterworth
  4750.            Publishers, Stoneham, MA, 1987.
  4751.  
  4752.    [COOPER]
  4753.            Cooper, J., "Computer and Communications Security:
  4754.            Strategies for the 1990s", McGraw-Hill, 1989.
  4755.  
  4756.    [BRAND]
  4757.            Brand, R., "Coping with the Threat of Computer Security
  4758.            Incidents: A Primer from Prevention through Recovery",
  4759.  
  4760.  
  4761.  
  4762. Site Security Policy Handbook Working Group                    [Page 85]
  4763.  
  4764. RFC 1244                 Site Security Handbook                July 1991
  4765.  
  4766.  
  4767.            R. Brand, 8 June 1990.
  4768.  
  4769.            As computer security becomes a more important issue in
  4770.            modern society, it begins to warrant a systematic approach.
  4771.            The vast majority of the computer security problems and the
  4772.            costs associated with them can be prevented with simple
  4773.            inexpensive measures.  The most important and cost
  4774.            effective of these measures are available in the prevention
  4775.            and planning phases.  These methods are presented in this
  4776.            paper, followed by a simplified guide to incident
  4777.            handling and recovery.  Available on-line from:
  4778.            cert.sei.cmu.edu:/pub/info/primer.
  4779.  
  4780.    [CHESWICK]
  4781.            Cheswick, B., "The Design of a Secure Internet Gateway",
  4782.            Proceedings of the Summer Usenix Conference, Anaheim, CA,
  4783.            June 1990.
  4784.  
  4785.            Brief abstract (slight paraphrase from the original
  4786.            abstract): AT&T maintains a large internal Internet that
  4787.            needs to be protected from outside attacks, while
  4788.            providing useful services between the two.
  4789.            This paper describes AT&T's Internet gateway.  This
  4790.            gateway passes mail and many of the common Internet
  4791.            services between AT&T internal machines and the Internet.
  4792.            This is accomplished without IP connectivity using a pair
  4793.            of machines: a trusted internal machine and an untrusted
  4794.            external gateway.  These are connected by a private link.
  4795.            The internal machine provides a few carefully-guarded
  4796.            services to the external gateway.  This configuration
  4797.            helps protect the internal internet even if the external
  4798.            machine is fully compromised.
  4799.  
  4800.            This is a very useful and interesting design.  Most
  4801.            firewall gateway systems rely on a system that, if
  4802.            compromised, could allow access to the machines behind
  4803.            the firewall.  Also, most firewall systems require users
  4804.            who want access to Internet services to have accounts on
  4805.            the firewall machine.  AT&T's design allows AT&T internal
  4806.            internet users access to the standard services of TELNET and
  4807.            FTP from their own workstations without accounts on
  4808.            the firewall machine.  A very useful paper that shows
  4809.            how to maintain some of the benefits of Internet
  4810.            connectivity while still maintaining strong
  4811.            security.
  4812.  
  4813.  
  4814.  
  4815.  
  4816.  
  4817.  
  4818. Site Security Policy Handbook Working Group                    [Page 86]
  4819.  
  4820. RFC 1244                 Site Security Handbook                July 1991
  4821.  
  4822.  
  4823.    [CURRY]
  4824.            Curry, D., "Improving the Security of Your UNIX System",
  4825.            SRI International Report ITSTD-721-FR-90-21, April 1990.
  4826.  
  4827.            This paper describes measures that you, as a system
  4828.            administrator can take to make your UNIX system(s) more
  4829.            secure.  Oriented primarily at SunOS 4.x, most of the
  4830.            information covered applies equally well to any Berkeley
  4831.            UNIX system with or without NFS and/or Yellow Pages (NIS).
  4832.            Some of the information can also be applied to System V,
  4833.            although this is not a primary focus of the paper.  A very
  4834.            useful reference, this is also available on the Internet in
  4835.            various locations, including the directory
  4836.            cert.sei.cmu.edu:/pub/info.
  4837.  
  4838.    [FITES]
  4839.            Fites, M., Kratz, P. and A. Brebner, "Control and
  4840.            Security of Computer Information Systems", Computer Science
  4841.            Press, 1989.
  4842.  
  4843.            This book serves as a good guide to the issues encountered
  4844.            in forming computer security policies and procedures.  The
  4845.            book is designed as a textbook for an introductory course
  4846.            in information systems security.
  4847.  
  4848.            The book is divided into five sections: Risk Management (I),
  4849.            Safeguards: security and control measures, organizational
  4850.            and administrative (II), Safeguards: Security and Control
  4851.            Measures, Technical (III), Legal Environment and
  4852.            Professionalism (IV), and CICA Computer Control Guidelines
  4853.            (V).
  4854.  
  4855.            The book is particularly notable for its straight-forward
  4856.            approach to security, emphasizing that common sense is the
  4857.            first consideration in designing a security program.  The
  4858.            authors note that there is a tendency to look to more
  4859.            technical solutions to security problems while overlooking
  4860.            organizational controls which are often cheaper and much
  4861.            more effective.  298 pages, including references and index.
  4862.  
  4863.    [GARFINKEL]
  4864.            Garfinkel, S, and E. Spafford, "Practical Unix Security",
  4865.            O'Reilly & Associates, ISBN 0-937175-72-2, May 1991.
  4866.  
  4867.            Approx 450 pages, $29.95.  Orders: 1-800-338-6887
  4868.            (US & Canada), 1-707-829-0515 (Europe), email: nuts@ora.com
  4869.  
  4870.            This is one of the most useful books available on Unix
  4871.  
  4872.  
  4873.  
  4874. Site Security Policy Handbook Working Group                    [Page 87]
  4875.  
  4876. RFC 1244                 Site Security Handbook                July 1991
  4877.  
  4878.  
  4879.            security.  The first part of the book covers standard Unix
  4880.            and Unix security basics, with particular emphasis on
  4881.            passwords.  The second section covers enforcing security on
  4882.            the system.  Of particular interest to the Internet user are
  4883.            the sections on network security, which address many
  4884.            of the common security problems that afflict Internet Unix
  4885.            users.  Four chapters deal with handling security incidents,
  4886.            and the book concludes with discussions of encryption,
  4887.            physical security, and useful checklists and lists of
  4888.            resources.  The book lives up to its name; it is filled with
  4889.            specific references to possible security holes, files to
  4890.            check, and things to do to improve security.  This
  4891.            book is an excellent complement to this handbook.
  4892.  
  4893.    [GREENIA90]
  4894.            Greenia, M., "Computer Security Information Sourcebook",
  4895.            Lexikon Services, Sacramento, CA, 1989.
  4896.  
  4897.            A manager's guide to computer security.  Contains a
  4898.            sourcebook of key reference materials including
  4899.            access control and computer crimes bibliographies.
  4900.  
  4901.    [HOFFMAN]
  4902.            Hoffman, L., "Rogue Programs: Viruses, Worms, and
  4903.            Trojan Horses", Van Nostrand Reinhold, NY, 1990.
  4904.            (384 pages, includes bibliographical references and index.)
  4905.  
  4906.    [JOHNSON]
  4907.            Johnson, D., and J. Podesta, "Formulating A Company Policy
  4908.            on Access to and Use and Disclosure of Electronic Mail on
  4909.            Company Computer Systems".
  4910.  
  4911.            A white paper prepared for the EMA, written by two experts
  4912.            in privacy law.  Gives background on the issues, and presents
  4913.            some policy options.
  4914.  
  4915.            Available from: The Electronic Mail Association (EMA)
  4916.            1555 Wilson Blvd, Suite 555, Arlington, VA, 22209.
  4917.            (703) 522-7111.
  4918.  
  4919.    [KENT]
  4920.            Kent, Stephen, "E-Mail Privacy for the Internet: New Software
  4921.            and Strict Registration Procedures will be Implemented this
  4922.            Year", Business Communications Review, Vol. 20, No. 1,
  4923.            Pg. 55, 1 January 1990.
  4924.  
  4925.  
  4926.  
  4927.  
  4928.  
  4929.  
  4930. Site Security Policy Handbook Working Group                    [Page 88]
  4931.  
  4932. RFC 1244                 Site Security Handbook                July 1991
  4933.  
  4934.  
  4935.    [LU]
  4936.            Lu, W., and M. Sundareshan, "Secure Communication in
  4937.            Internet Environments: A Hierachical Key Management Scheme
  4938.            for End-to-End Encryption", IEEE Transactions on
  4939.            Communications, Vol. 37, No. 10, Pg. 1014, 1 October 1989.
  4940.  
  4941.    [LU1]
  4942.            Lu, W., and M. Sundareshan, "A Model for Multilevel Security
  4943.            in Computer Networks", IEEE Transactions on Software
  4944.            Engineering, Vol. 16, No. 6, Page 647, 1 June 1990.
  4945.  
  4946.    [NSA]
  4947.            National Security Agency, "Information Systems Security
  4948.            Products and Services Catalog", NSA, Quarterly Publication.
  4949.  
  4950.            NSA's catalogue contains chapter on: Endorsed Cryptographic
  4951.            Products List; NSA Endorsed Data Encryption Standard (DES)
  4952.            Products List; Protected Services List; Evaluated Products
  4953.            List; Preferred Products List; and Endorsed Tools List.
  4954.  
  4955.            The catalogue is available from the Superintendent of
  4956.            Documents, U.S. Government Printing Office, Washington,
  4957.            D.C.  One may place telephone orders by calling:
  4958.            (202) 783-3238.
  4959.  
  4960.    [OTA]
  4961.            United States Congress, Office of Technology Assessment,
  4962.            "Defending Secrets, Sharing Data: New Locks and Keys for
  4963.            Electronic Information", OTA-CIT-310, October 1987.
  4964.  
  4965.            This report, prepared for congressional committee considering
  4966.            Federal policy on the protection of electronic information, is
  4967.            interesting because of the issues it raises regarding the
  4968.            impact of technology used to protect information.  It also
  4969.            serves as a reasonable introduction to the various encryption
  4970.            and information protection mechanisms.  185 pages.  Available
  4971.            from the U.S. Government Printing Office.
  4972.  
  4973.    [PALMER]
  4974.            Palmer, I., and G. Potter, "Computer Security Risk
  4975.            Management", Van Nostrand Reinhold, NY, 1989.
  4976.  
  4977.    [PFLEEGER]
  4978.            Pfleeger, C., "Security in Computing", Prentice-Hall,
  4979.            Englewood Cliffs, NJ, 1989.
  4980.  
  4981.            A general textbook in computer security, this book provides an
  4982.            excellent and very readable introduction to classic computer
  4983.  
  4984.  
  4985.  
  4986. Site Security Policy Handbook Working Group                    [Page 89]
  4987.  
  4988. RFC 1244                 Site Security Handbook                July 1991
  4989.  
  4990.  
  4991.            security problems and solutions, with a particular emphasis on
  4992.            encryption.  The encryption coverage serves as a good
  4993.            introduction to the subject.  Other topics covered include
  4994.            building secure programs and systems, security of database,
  4995.            personal computer security, network and communications
  4996.            security, physical security, risk analysis and security
  4997.            planning, and legal and ethical issues.  538 pages including
  4998.            index and bibliography.
  4999.  
  5000.    [SHIREY]
  5001.            Shirey, R., "Defense Data Network Security Architecture",
  5002.            Computer Communication Review, Vol. 20, No. 2, Page 66,
  5003.            1 April 1990.
  5004.  
  5005.    [SPAFFORD]
  5006.            Spafford, E., Heaphy, K., and D. Ferbrache, "Computer
  5007.            Viruses: Dealing with Electronic Vandalism and Programmed
  5008.            Threats", ADAPSO, 1989. (109 pages.)
  5009.  
  5010.            This is a good general reference on computer viruses and
  5011.            related concerns.  In addition to describing viruses in
  5012.            some detail, it also covers more general security issues,
  5013.            legal recourse in case of security problems, and includes
  5014.            lists of laws, journals focused on computers security,
  5015.            and other security-related resources.
  5016.  
  5017.            Available from: ADAPSO, 1300 N. 17th St, Suite 300,
  5018.            Arlington VA 22209.  (703) 522-5055.
  5019.  
  5020.    [STOLL88]
  5021.            Stoll, C., "Stalking the Wily Hacker", Communications
  5022.            of the ACM, Vol. 31, No. 5, Pgs. 484-497, ACM,
  5023.            New York, NY, May 1988.
  5024.  
  5025.            This article describes some of the technical means used
  5026.            to trace the intruder that was later chronicled in
  5027.            "Cuckoo's Egg" (see below).
  5028.  
  5029.    [STOLL89]
  5030.            Stoll, C., "The Cuckoo's Egg", ISBN 00385-24946-2,
  5031.            Doubleday, 1989.
  5032.  
  5033.            Clifford Stoll, an astronomer turned UNIX System
  5034.            Administrator, recounts an exciting, true story of how he
  5035.            tracked a computer intruder through the maze of American
  5036.            military and research networks.  This book is easy to
  5037.            understand and can serve as an interesting introduction to
  5038.            the world of networking.  Jon Postel says in a book review,
  5039.  
  5040.  
  5041.  
  5042. Site Security Policy Handbook Working Group                    [Page 90]
  5043.  
  5044. RFC 1244                 Site Security Handbook                July 1991
  5045.  
  5046.  
  5047.            "[this book] ... is absolutely essential reading for anyone
  5048.            that uses or operates any computer connected to the Internet
  5049.            or any other computer network."
  5050.  
  5051.    [VALLA]
  5052.            Vallabhaneni, S., "Auditing Computer Security: A Manual with
  5053.            Case Studies", Wiley, New York, NY, 1989.
  5054.  
  5055.  
  5056. 8.3  Ethics
  5057.  
  5058.    [CPSR89]
  5059.            Computer Professionals for Social Responsibility, "CPSR
  5060.            Statement on the Computer Virus", CPSR, Communications of the
  5061.            ACM, Vol. 32, No. 6, Pg. 699, June 1989.
  5062.  
  5063.            This memo is a statement on the Internet Computer Virus
  5064.            by the Computer Professionals for Social Responsibility
  5065.            (CPSR).
  5066.  
  5067.    [DENNING]
  5068.            Denning, Peter J., Editor, "Computers Under Attack:
  5069.            Intruders, Worms, and Viruses",  ACM Press, 1990.
  5070.  
  5071.            A collection of 40 pieces divided into six sections: the
  5072.            emergence of worldwide computer networks, electronic breakins,
  5073.            worms, viruses, counterculture (articles examining the world
  5074.            of the "hacker"), and finally a section discussing social,
  5075.            legal, and ethical considerations.
  5076.  
  5077.            A thoughtful collection that addresses the phenomenon of
  5078.            attacks on computers.  This includes a number of previously
  5079.            published articles and some new ones.  The previously
  5080.            published ones are well chosen, and include some references
  5081.            that might be otherwise hard to obtain.  This book is a key
  5082.            reference to computer security threats that have generated
  5083.            much of the concern over computer security in recent years.
  5084.  
  5085.    [ERMANN]
  5086.            Ermann, D., Williams, M., and C. Gutierrez, Editors,
  5087.            "Computers, Ethics, and Society", Oxford University Press,
  5088.            NY, 1990.  (376 pages, includes bibliographical references).
  5089.  
  5090.    [FORESTER]
  5091.            Forester, T., and P. Morrison, "Computer Ethics: Tales and
  5092.            Ethical Dilemmas in Computing", MIT Press, Cambridge, MA,
  5093.            1990.  (192 pages including index.)
  5094.  
  5095.  
  5096.  
  5097.  
  5098. Site Security Policy Handbook Working Group                    [Page 91]
  5099.  
  5100. RFC 1244                 Site Security Handbook                July 1991
  5101.  
  5102.  
  5103.            From the preface: "The aim of this book is two-fold: (1) to
  5104.            describe some of the problems created by society by computers,
  5105.            and (2) to show how these problems present ethical dilemmas
  5106.            for computers professionals and computer users.
  5107.  
  5108.            The problems created by computers arise, in turn, from two
  5109.            main sources: from hardware and software malfunctions and
  5110.            from misuse by human beings.  We argue that computer systems
  5111.            by their very nature are insecure, unreliable, and
  5112.            unpredictable -- and that society has yet to come to terms
  5113.            with the consequences.  We also seek to show how society
  5114.            has become newly vulnerable to human misuse of computers in
  5115.            the form of computer crime, software theft, hacking, the
  5116.            creation of viruses, invasions of privacy, and so on."
  5117.  
  5118.            The eight chapters include "Computer Crime", "Software
  5119.            Theft", "Hacking and Viruses", "Unreliable Computers",
  5120.            "The Invasion of Privacy", "AI and Expert Systems",
  5121.            and "Computerizing the Workplace."  Includes extensive
  5122.            notes on sources and an index.
  5123.  
  5124.    [GOULD]
  5125.            Gould, C., Editor, "The Information Web: Ethical and Social
  5126.            Implications of Computer Networking", Westview Press,
  5127.            Boulder, CO, 1989.
  5128.  
  5129.    [IAB89]
  5130.            Internet Activities Board, "Ethics and the Internet",
  5131.            RFC 1087, IAB, January 1989.  Also appears in the
  5132.            Communications of the ACM, Vol. 32, No. 6, Pg. 710,
  5133.            June 1989.
  5134.  
  5135.            This memo is a statement of policy by the Internet
  5136.            Activities Board (IAB) concerning the proper use of
  5137.            the resources of the Internet.  Available on-line on
  5138.            host ftp.nisc.sri.com, directory rfc, filename rfc1087.txt.
  5139.            Also available on host nis.nsf.net, directory RFC,
  5140.            filename RFC1087.TXT-1.
  5141.  
  5142.    [MARTIN]
  5143.            Martin, M., and R. Schinzinger, "Ethics in Engineering",
  5144.            McGraw Hill, 2nd Edition, 1989.
  5145.  
  5146.    [MIT89]
  5147.            Massachusetts Institute of Technology, "Teaching Students
  5148.            About Responsible Use of Computers", MIT, 1985-1986.  Also
  5149.            reprinted in the Communications of the ACM, Vol. 32, No. 6,
  5150.            Pg. 704, Athena Project, MIT, June 1989.
  5151.  
  5152.  
  5153.  
  5154. Site Security Policy Handbook Working Group                    [Page 92]
  5155.  
  5156. RFC 1244                 Site Security Handbook                July 1991
  5157.  
  5158.  
  5159.            This memo is a statement of policy by the Massachusetts
  5160.            Institute of Technology (MIT) on the responsible use
  5161.            of computers.
  5162.  
  5163.    [NIST]
  5164.            National Institute of Standards and Technology, "Computer
  5165.            Viruses and Related Threats: A Management Guide", NIST
  5166.            Special Publication 500-166, August 1989.
  5167.  
  5168.    [NSF88]
  5169.            National Science Foundation, "NSF Poses Code of Networking
  5170.            Ethics", Communications of the ACM, Vol. 32, No. 6, Pg. 688,
  5171.            June 1989.  Also appears in the minutes of the regular
  5172.            meeting of the Division Advisory Panel for Networking and
  5173.            Communications Research and Infrastructure, Dave Farber,
  5174.            Chair, November 29-30, 1988.
  5175.  
  5176.            This memo is a statement of policy by the National Science
  5177.            Foundation (NSF) concerning the ethical use of the Internet.
  5178.  
  5179.    [PARKER90]
  5180.            Parker, D., Swope, S., and B. Baker, "Ethical Conflicts:
  5181.            Information and Computer Science, Technology and Business",
  5182.            QED Information Sciences, Inc., Wellesley, MA. (245 pages).
  5183.  
  5184.    Additional publications on Ethics:
  5185.  
  5186.    The University of New Mexico (UNM)
  5187.  
  5188.       The UNM has a collection of ethics documents.  Included are
  5189.       legislation from several states and policies from many
  5190.       institutions.
  5191.  
  5192.          Access is via FTP, IP address ariel.umn.edu.  Look in the
  5193.          directory /ethics.
  5194.  
  5195.  
  5196. 8.4  The Internet Worm
  5197.  
  5198.    [BROCK]
  5199.            Brock, J., "November 1988 Internet Computer Virus and the
  5200.            Vulnerability of National Telecommunications Networks to
  5201.            Computer Viruses", GAO/T-IMTEC-89-10, Washington, DC,
  5202.            20 July 1989.
  5203.  
  5204.            Testimonial statement of Jack L. Brock, Director, U. S.
  5205.            Government Information before the Subcommittee on
  5206.            Telecommunications and Finance, Committee on Energy and
  5207.  
  5208.  
  5209.  
  5210. Site Security Policy Handbook Working Group                    [Page 93]
  5211.  
  5212. RFC 1244                 Site Security Handbook                July 1991
  5213.  
  5214.  
  5215.            Commerce, House of Representatives.
  5216.  
  5217.    [EICHIN89]
  5218.            Eichin, M., and J. Rochlis, "With Microscope and Tweezers:
  5219.            An Analysis of the Internet Virus of November 1988",
  5220.            Massachusetts Institute of Technology, February 1989.
  5221.  
  5222.            Provides a detailed dissection of the worm program.  The
  5223.            paper discusses the major points of the worm program then
  5224.            reviews strategies, chronology, lessons and open issues,
  5225.            Acknowledgments; also included are a detailed appendix
  5226.            on the worm program subroutine by subroutine, an
  5227.            appendix on the cast of characters, and a reference section.
  5228.  
  5229.    [EISENBERG89]
  5230.            Eisenberg, T., D. Gries, J. Hartmanis, D. Holcomb,
  5231.            M. Lynn, and T. Santoro, "The Computer Worm", Cornell
  5232.            University, 6 February 1989.
  5233.  
  5234.            A Cornell University Report presented to the Provost of the
  5235.            University on 6 February 1989 on the Internet Worm.
  5236.  
  5237.    [GAO]
  5238.            U.S. General Accounting Office, "Computer Security - Virus
  5239.            Highlights Need for Improved Internet Management", United
  5240.            States General Accounting Office, Washington, DC, 1989.
  5241.  
  5242.            This 36 page report (GAO/IMTEC-89-57), by the U.S.
  5243.            Government Accounting Office, describes the Internet worm
  5244.            and its effects.  It gives a good overview of the various
  5245.            U.S. agencies involved in the Internet today and their
  5246.            concerns vis-a-vis computer security and networking.
  5247.  
  5248.            Available on-line on host nnsc.nsf.net, directory
  5249.            pub, filename GAO_RPT; and on nis.nsf.net, directory nsfnet,
  5250.            filename GAO_RPT.TXT.
  5251.  
  5252.    [REYNOLDS89]
  5253.            The Helminthiasis of the Internet, RFC 1135,
  5254.            USC/Information Sciences Institute, Marina del Rey,
  5255.            CA, December 1989.
  5256.  
  5257.            This report looks back at the helminthiasis (infestation
  5258.            with, or disease caused by parasitic worms) of the
  5259.            Internet that was unleashed the evening of 2 November 1988.
  5260.            This document provides a glimpse at the infection,its
  5261.            festering, and cure.  The impact of the worm on the Internet
  5262.            community, ethics statements, the role of the news media,
  5263.  
  5264.  
  5265.  
  5266. Site Security Policy Handbook Working Group                    [Page 94]
  5267.  
  5268. RFC 1244                 Site Security Handbook                July 1991
  5269.  
  5270.  
  5271.            crime in the computer world, and future prevention is
  5272.            discussed.  A documentation review presents four publications
  5273.            that describe in detail this particular parasitic computer
  5274.            program.  Reference and bibliography sections are also
  5275.            included.  Available on-line on host ftp.nisc.sri.com
  5276.            directory rfc, filename rfc1135.txt.  Also available on
  5277.            host nis.nsf.net, directory RFC, filename RFC1135.TXT-1.
  5278.  
  5279.    [SEELEY89]
  5280.            Seeley, D., "A Tour of the Worm", Proceedings of 1989
  5281.            Winter USENIX Conference, Usenix Association, San Diego, CA,
  5282.            February 1989.
  5283.  
  5284.            Details are presented as a "walk thru" of this particular
  5285.            worm program.  The paper opened with an abstract,
  5286.            introduction, detailed chronology of events upon the
  5287.            discovery of the worm, an overview, the internals of the
  5288.            worm, personal opinions, and conclusion.
  5289.  
  5290.    [SPAFFORD88]
  5291.            Spafford, E., "The Internet Worm Program: An
  5292.            Analysis", Computer Communication Review, Vol. 19,
  5293.            No. 1, ACM SIGCOM, January 1989.  Also issued as Purdue
  5294.            CS Technical Report CSD-TR-823, 28 November 1988.
  5295.  
  5296.            Describes the infection of the Internet as a worm
  5297.            program that exploited flaws in utility programs in
  5298.            UNIX based systems.  The report gives a detailed
  5299.            description of the components of the worm program:
  5300.            data and functions.  Spafford focuses his study on two
  5301.            completely independent reverse-compilations of the
  5302.            worm and a version disassembled to VAX assembly language.
  5303.  
  5304.    [SPAFFORD89]
  5305.            Spafford, G., "An Analysis of the Internet Worm",
  5306.            Proceedings of the European Software Engineering
  5307.            Conference 1989, Warwick England, September 1989.
  5308.            Proceedings published by Springer-Verlag as: Lecture
  5309.            Notes in Computer Science #387.  Also issued
  5310.            as Purdue Technical Report #CSD-TR-933.
  5311.  
  5312.  
  5313. 8.5  National Computer Security Center (NCSC)
  5314.  
  5315.    All NCSC publications, approved for public release, are available
  5316.    from the NCSC Superintendent of Documents.
  5317.  
  5318.            NCSC = National Computer Security Center
  5319.  
  5320.  
  5321.  
  5322. Site Security Policy Handbook Working Group                    [Page 95]
  5323.  
  5324. RFC 1244                 Site Security Handbook                July 1991
  5325.  
  5326.  
  5327.            9800 Savage Road
  5328.            Ft Meade, MD 20755-6000
  5329.  
  5330.            CSC = Computer Security Center:
  5331.            an older name for the NCSC
  5332.  
  5333.            NTISS = National Telecommunications and
  5334.            Information Systems Security
  5335.            NTISS Committee, National Security Agency
  5336.            Ft Meade, MD 20755-6000
  5337.  
  5338.    [CSC]
  5339.            Department of Defense, "Password Management Guideline",
  5340.            CSC-STD-002-85, 12 April 1985, 31 pages.
  5341.  
  5342.            The security provided by a password system depends on
  5343.            the passwords being kept secret at all times.  Thus, a
  5344.            password is vulnerable to compromise whenever it is used,
  5345.            stored, or even known.  In a password-based authentication
  5346.            mechanism implemented on an ADP system, passwords are
  5347.            vulnerable to compromise due to five essential aspects
  5348.            of the password system: 1) a password must be initially
  5349.            assigned to a user when enrolled on the ADP system;
  5350.            2) a user's password must be changed periodically;
  5351.            3) the ADP system must maintain a 'password
  5352.            database'; 4) users must remember their passwords; and
  5353.            5) users must enter their passwords into the ADP system at
  5354.            authentication time.  This guideline prescribes steps to be
  5355.            taken to minimize the vulnerability of passwords in each of
  5356.            these circumstances.
  5357.  
  5358.    [NCSC1]
  5359.            NCSC, "A Guide to Understanding AUDIT in Trusted Systems",
  5360.            NCSC-TG-001, Version-2, 1 June 1988, 25 pages.
  5361.  
  5362.            Audit trails are used to detect and deter penetration of
  5363.            a computer system and to reveal usage that identifies
  5364.            misuse.  At the discretion of the auditor, audit trails
  5365.            may be limited to specific events or may encompass all of
  5366.            the activities on a system.  Although not required by
  5367.            the criteria, it should be possible for the target of the
  5368.            audit mechanism to be either a subject or an object.  That
  5369.            is to say, the audit mechanism should be capable of
  5370.            monitoring every time John accessed the system as well as
  5371.            every time the nuclear reactor file was accessed; and
  5372.            likewise every time John accessed the nuclear reactor
  5373.            file.
  5374.  
  5375.  
  5376.  
  5377.  
  5378. Site Security Policy Handbook Working Group                    [Page 96]
  5379.  
  5380. RFC 1244                 Site Security Handbook                July 1991
  5381.  
  5382.  
  5383.    [NCSC2]
  5384.            NCSC, "A Guide to Understanding DISCRETIONARY ACCESS CONTROL
  5385.            in Trusted Systems", NCSC-TG-003, Version-1, 30 September
  5386.            1987, 29 pages.
  5387.  
  5388.            Discretionary control is the most common type of access
  5389.            control mechanism implemented in computer systems today.
  5390.            The basis of this kind of security is that an individual
  5391.            user, or program operating on the user's behalf, is
  5392.            allowed to specify explicitly the types of access other
  5393.            users (or programs executing on their behalf) may have to
  5394.            information under the user's control.  [...]  Discretionary
  5395.            controls are not a replacement for mandatory controls.  In
  5396.            any environment in which information is protected,
  5397.            discretionary security provides for a finer granularity of
  5398.            control within the overall constraints of the mandatory
  5399.            policy.
  5400.  
  5401.    [NCSC3]
  5402.            NCSC, "A Guide to Understanding CONFIGURATION MANAGEMENT
  5403.            in Trusted Systems", NCSC-TG-006, Version-1, 28 March 1988,
  5404.            31 pages.
  5405.  
  5406.            Configuration management consists of four separate tasks:
  5407.            identification, control, status accounting, and auditing.
  5408.            For every change that is made to an automated data
  5409.            processing (ADP) system, the design and requirements of the
  5410.            changed version of the system should be identified.  The
  5411.            control task of configuration management is performed
  5412.            by subjecting every change to documentation, hardware, and
  5413.            software/firmware to review and approval by an authorized
  5414.            authority.  Configuration status accounting is responsible
  5415.            for recording and reporting on the configuration of the
  5416.            product throughout the change.  Finally, though the process
  5417.            of a configuration audit, the completed change can be
  5418.            verified to be functionally correct, and for trusted
  5419.            systems, consistent with the security policy of the system.
  5420.  
  5421.    [NTISS]
  5422.            NTISS, "Advisory Memorandum on Office Automation Security
  5423.            Guideline", NTISSAM CONPUSEC/1-87, 16 January 1987,
  5424.            58 pages.
  5425.  
  5426.            This document provides guidance to users, managers, security
  5427.            officers, and procurement officers of Office Automation
  5428.            Systems.  Areas addressed include: physical security,
  5429.            personnel security, procedural security, hardware/software
  5430.            security, emanations security (TEMPEST), and communications
  5431.  
  5432.  
  5433.  
  5434. Site Security Policy Handbook Working Group                    [Page 97]
  5435.  
  5436. RFC 1244                 Site Security Handbook                July 1991
  5437.  
  5438.  
  5439.            security for stand-alone OA Systems, OA Systems
  5440.            used as terminals connected to mainframe computer systems,
  5441.            and OA Systems used as hosts in a Local Area Network (LAN).
  5442.            Differentiation is made between those Office Automation
  5443.            Systems equipped with removable storage media only (e.g.,
  5444.            floppy disks, cassette tapes, removable hard disks) and
  5445.            those Office Automation Systems equipped with fixed media
  5446.            (e.g., Winchester disks).
  5447.  
  5448. Additional NCSC Publications:
  5449.  
  5450.    [NCSC4]
  5451.            National Computer Security Center, "Glossary of Computer
  5452.            Security Terms", NCSC-TG-004, NCSC, 21 October 1988.
  5453.  
  5454.    [NCSC5]
  5455.            National Computer Security Center, "Trusted
  5456.            Computer System Evaluation Criteria", DoD 5200.28-STD,
  5457.            CSC-STD-001-83, NCSC, December 1985.
  5458.  
  5459.    [NCSC7]
  5460.            National Computer Security Center, "Guidance for
  5461.            Applying the Department of Defense Trusted Computer System
  5462.            Evaluation Criteria in Specific Environments",
  5463.            CSC-STD-003-85, NCSC, 25 June 1985.
  5464.  
  5465.    [NCSC8]
  5466.            National Computer Security Center, "Technical Rationale
  5467.            Behind CSC-STD-003-85: Computer Security Requirements",
  5468.            CSC-STD-004-85, NCSC, 25 June 85.
  5469.  
  5470.    [NCSC9]
  5471.            National Computer Security Center, "Magnetic Remanence
  5472.            Security Guideline", CSC-STD-005-85, NCSC, 15 November 1985.
  5473.  
  5474.            This guideline is tagged as a "For Official Use Only"
  5475.            exemption under Section 6, Public Law 86-36 (50 U.S. Code
  5476.            402).  Distribution authorized of U.S. Government agencies
  5477.            and their contractors to protect unclassified technical,
  5478.            operational, or administrative data relating to operations
  5479.            of the National Security Agency.
  5480.  
  5481.    [NCSC10]
  5482.            National Computer Security Center, "Guidelines for Formal
  5483.            Verification Systems", Shipping list no.: 89-660-P, The
  5484.            Center, Fort George G. Meade, MD, 1 April 1990.
  5485.  
  5486.  
  5487.  
  5488.  
  5489.  
  5490. Site Security Policy Handbook Working Group                    [Page 98]
  5491.  
  5492. RFC 1244                 Site Security Handbook                July 1991
  5493.  
  5494.  
  5495.    [NCSC11]
  5496.            National Computer Security Center, "Glossary of Computer
  5497.            Security Terms", Shipping list no.: 89-254-P, The Center,
  5498.            Fort George G. Meade, MD, 21 October 1988.
  5499.  
  5500.    [NCSC12]
  5501.            National Computer Security Center, "Trusted UNIX Working
  5502.            Group (TRUSIX) rationale for selecting access control
  5503.            list features for the UNIX system", Shipping list no.:
  5504.            90-076-P, The Center, Fort George G. Meade, MD, 1990.
  5505.  
  5506.    [NCSC13]
  5507.            National Computer Security Center, "Trusted Network
  5508.            Interpretation", NCSC-TG-005, NCSC, 31 July 1987.
  5509.  
  5510.    [NCSC14]
  5511.            Tinto, M., "Computer Viruses: Prevention, Detection, and
  5512.            Treatment", National Computer Security Center C1
  5513.            Technical Report C1-001-89, June 1989.
  5514.  
  5515.    [NCSC15]
  5516.            National Computer Security Conference, "12th National
  5517.            Computer Security Conference: Baltimore Convention Center,
  5518.            Baltimore, MD, 10-13 October, 1989: Information Systems
  5519.            Security, Solutions for Today - Concepts for Tomorrow",
  5520.            National Institute of Standards and National Computer
  5521.            Security Center, 1989.
  5522.  
  5523.  
  5524. 8.6  Security Checklists
  5525.  
  5526.    [AUCOIN]
  5527.            Aucoin, R., "Computer Viruses: Checklist for Recovery",
  5528.            Computers in  Libraries, Vol. 9, No. 2, Pg. 4,
  5529.            1 February 1989.
  5530.  
  5531.    [WOOD]
  5532.            Wood, C., Banks, W., Guarro, S., Garcia, A., Hampel, V.,
  5533.            and H. Sartorio, "Computer Security:  A Comprehensive Controls
  5534.            Checklist", John Wiley and Sons, Interscience Publication,
  5535.            1987.
  5536.  
  5537.  
  5538. 8.7  Additional Publications
  5539.  
  5540.    Defense Data Network's Network Information Center (DDN NIC)
  5541.  
  5542.       The DDN NIC maintains DDN Security bulletins and DDN Management
  5543.  
  5544.  
  5545.  
  5546. Site Security Policy Handbook Working Group                    [Page 99]
  5547.  
  5548. RFC 1244                 Site Security Handbook                July 1991
  5549.  
  5550.  
  5551.       bulletins online on the machine: NIC.DDN.MIL.  They are available
  5552.       via anonymous FTP.  The DDN Security bulletins are in the
  5553.       directory: SCC, and the DDN Management bulletins are in the
  5554.       directory: DDN-NEWS.
  5555.  
  5556.       For additional information, you may send a message to:
  5557.       NIC@NIC.DDN.MIL, or call the DDN NIC at: 1-800-235-3155.
  5558.  
  5559.    [DDN88]
  5560.            Defense Data Network, "BSD 4.2 and 4.3 Software Problem
  5561.            Resolution", DDN MGT Bulletin #43, DDN Network Information
  5562.            Center, 3 November 1988.
  5563.  
  5564.            A Defense Data Network Management Bulletin announcement
  5565.            on the 4.2bsd and 4.3bsd software fixes to the Internet
  5566.            worm.
  5567.  
  5568.    [DDN89]
  5569.            DCA DDN Defense Communications System, "DDN Security
  5570.            Bulletin 03", DDN Security Coordination Center,
  5571.            17 October 1989.
  5572.  
  5573.    IEEE Proceedings
  5574.  
  5575.    [IEEE]
  5576.            "Proceedings of the IEEE Symposium on Security
  5577.            and Privacy", published annually.
  5578.  
  5579.       IEEE Proceedings are available from:
  5580.  
  5581.               Computer Society of the IEEE
  5582.               P.O. Box 80452
  5583.               Worldway Postal Center
  5584.               Los Angeles, CA  90080
  5585.  
  5586.    Other Publications:
  5587.  
  5588.       Computer Law and Tax Report
  5589.       Computers and Security
  5590.       Security Management Magazine
  5591.       Journal of Information Systems Management
  5592.       Data Processing & Communications Security
  5593.       SIG Security, Audit & Control Review
  5594.  
  5595.  
  5596.  
  5597.  
  5598.  
  5599.  
  5600.  
  5601.  
  5602. Site Security Policy Handbook Working Group                   [Page 100]
  5603.  
  5604. RFC 1244                 Site Security Handbook                July 1991
  5605.  
  5606.  
  5607. 9.  Acknowledgments
  5608.  
  5609.    Thanks to the SSPHWG's illustrious "Outline Squad", who assembled at
  5610.    USC/Information Sciences Institute on 12-June-90: Ray Bates (ISI),
  5611.    Frank Byrum (DEC), Michael A. Contino (PSU), Dave Dalva (Trusted
  5612.    Information Systems, Inc.), Jim Duncan (Penn State Math Department),
  5613.    Bruce Hamilton (Xerox), Sean Kirkpatrick (Unisys), Tom Longstaff
  5614.    (CIAC/LLNL), Fred Ostapik (SRI/NIC), Keith Pilotti (SAIC), and Bjorn
  5615.    Satdeva (/sys/admin, inc.).
  5616.  
  5617.    Many thanks to Rich Pethia and the Computer Emergency Response Team
  5618.    (CERT); much of the work by Paul Holbrook was done while he was
  5619.    working for CERT.  Rich also provided a very thorough review of this
  5620.    document.  Thanks also to Jon Postel and USC/Information Sciences
  5621.    Institute for contributing facilities and moral support to this
  5622.    effort.
  5623.  
  5624.    Last, but NOT least, we would like to thank members of the SSPHWG and
  5625.    Friends for their additional contributions: Vint Cerf (CNRI),
  5626.    Dave Grisham (UNM), Nancy Lee Kirkpatrick (Typist Extraordinaire),
  5627.    Chris McDonald (WSMR), H. Craig McKee (Mitre), Gene Spafford (Purdue),
  5628.    and Aileen Yuan (Mitre).
  5629.  
  5630. 10.  Security Considerations
  5631.  
  5632.    If security considerations had not been so widely ignored in the
  5633.    Internet, this memo would not have been possible.
  5634.  
  5635. 11.  Authors' Addresses
  5636.  
  5637.    J. Paul Holbrook
  5638.    CICNet, Inc.
  5639.    2901 Hubbard
  5640.    Ann Arbor, MI 48105
  5641.  
  5642.    Phone: (313) 998-7680
  5643.    EMail: holbrook@cic.net
  5644.  
  5645.  
  5646.    Joyce K. Reynolds
  5647.    University of Southern California
  5648.    Information Sciences Institute
  5649.    4676 Admiralty Way
  5650.    Marina del Rey, CA 90292
  5651.  
  5652.    Phone: (213) 822-1511
  5653.    EMail: JKREY@ISI.EDU
  5654.  
  5655.  
  5656.  
  5657.  
  5658. Site Security Policy Handbook Working Group                   [Page 101]
  5659.