home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / secpubs / hansen.txt < prev    next >
Text File  |  1995-09-15  |  15KB  |  253 lines
  1.  
  2.  
  3.  
  4.  
  5.                 Legal Issues, A Site Manager's Nightmare
  6.  
  7.                             Stephen E. Hansen
  8.  
  9.                            Stanford University
  10.  
  11.  
  12.  
  13.  
  14.  
  15.                Excerpts from the Electronic Communications
  16.                            Privacy Act of 1986
  17.  
  18.  
  19.            2511(2)(a)(i) It shall not be unlawful under this chapter for
  20.            an operator of a switchboard, or an officer, employee, or
  21.            agent of a provider of wire or electronic communication
  22.            service, whose facilities are used in the transmission of a
  23.            wire communication, to intercept, disclose, or use that
  24.            communication in the normal course of his employment while
  25.            engaged in any activity which is a necessary incident to the
  26.            rendition of his service or to the protection of the rights or
  27.            property of the provider of that service, except that a
  28.            provider of wire communication service to the public shall not
  29.            utilize service observing or random monitoring except for
  30.            mechanical or service quality control checks.
  31.  
  32.            2511(2)(h)(ii) It shall not be unlawful under this chapter
  33.            record the fact that a wire or electronic communication was
  34.            initiated or completed in order to protect such provider,
  35.            another provider furnishing service toward the completion of
  36.            the wire or electronic communication, or a user of that
  37.            service, from fraudulent, unlawful or abusive use of such
  38.            service.
  39.  
  40.  
  41. 1. Logging For Fun and Profit
  42.  
  43.            What do we mean when we talk about computer security? For most
  44. of us it means the protection against the loss of or tampering with
  45. computer based information and protection against possible denial of
  46. service. If you are a site manager, your users, clients, or employers
  47. want assurances that their files won't be read if they don't want them
  48. to be, won't be modified or deleted without their consent, and want to
  49. be able to access their files when necessary. So we take steps to provide
  50. and enforce various security mechanisms that are aimed at protecting the
  51. privacy of information and access to resources. But there are often
  52. tradeoffs between privacy and security that must be recognized and
  53. evaluated. On many systems every time you login, logout, send a mail
  54. message, print a file, or copy data to or from another system the who,
  55. what, where, and when of the transaction is logged (on some systems every
  56. command is logged). Not too long ago there was a rather spirited
  57. discussion on one of our local network bulletin boards on whether or not
  58. this logging was an invasion of privacy. If this seems silly to you,
  59. consider your reaction if you learned that the US Post Office was keeping
  60. logs of the source and destination of every piece of mail that you sent.
  61. On the other hand, the phone companies have been doing this very thing
  62. with your phone calls for years and years for billing purposes. But the
  63. fact that many systems log this information in pursuit of several
  64. admirable goals such as ensuring reliability and security is not always
  65. appreciated by the average user.
  66.  
  67.            From a legal perspective this type of service-related logging
  68. is allowed under section 2511(2)(h)(ii) of the Electronic Communications
  69. Privacy Act of 1986,
  70.  
  71.            "It shall not be unlawful under this chapter... for a provider of
  72.            electronic communication service to record the fact that a wire
  73.            or electronic communication was initiated or completed in order
  74.            to protect such provider, another provider furnishing service
  75.            toward the completion of the wire or electronic communication, or
  76.            a user of that service, from fraudulent, unlawful or abusive use
  77.            of such service."
  78.  
  79. But for the security conscious (fanatic, paranoid?) administrator the
  80. tendency is to log more and more information about more and more
  81. activities. It used to be that resource limits (i.e. limited disk space
  82. and low density tape) provided a natural governor on these activities,
  83. but for many systems these limits no longer applies. At what point does
  84. logging for the purpose of verification, fault tracing, or resource
  85. billing become service observing or random monitoring, which is
  86. prohibited under section 2511(2)(a)(i) of the Act. So here we have a
  87. federal law that provides the means to charge and prosecute people who
  88. access private data on our systems, but if we are not careful we may find
  89. ourselves in violation of the law by acting too aggressively on our own
  90. for the purpose of maintaining security.
  91.  
  92. 2. Investigator or Accomplice
  93.  
  94.            When a security breach is detected or suspected it may be
  95. necessary to override normal file protection controls and scan files
  96. belonging to system users. In most cases ethics, and in some cases the
  97. law, tells you to get permission from the users before looking at their
  98. files. This may not be practical, however, due to time constraints or due
  99. to the possibility of alerting a suspect
  100.  
  101.            The first time I had to deal with a break-in the only legal
  102. issue we considered was did, "we have enough evidence." Our main concern
  103. was getting the law enforcement groups interested in our problem. The
  104. "bad guys" were almost certainly from outside our organization. We
  105. quickly restricted access to one account on one system, and the
  106. legitimate user of that account agreed to use a different one while the
  107. investigation was in progress. We set things up so that every time the
  108. compromised account was accessed, the bit-streams in both directions were
  109. logged, both the keystrokes coming in and what was going out to their
  110. screens. This information turned out to be invaluable in quickly
  111. notifying managers all over the country that their systems had been
  112. penetrated. It gave us names, times, and places of the machines that had
  113. been accessed by these "Crackers". It was key to tracking down the source
  114. of these break-ins.
  115.  
  116.            It was only later that someone else made the comment, "What if
  117. these guys used your system to break into someone else's system: could
  118. the owners of these other systems come after you for giving the Crackers
  119. the means to do it?". Now this was a rather chilling thought. I have for
  120. some time advocated the idea that if it is possible to control and
  121. monitor a break-in, then you should do so in order to collect information
  122. and track down and arrest those responsible. There are, of course, real
  123. risks to your own system in this, but if you can stay on top of things
  124. those risks can be minimized. However, if there are need to get them out
  125. in the open and address them. Cliff Stoll's pursuit of the West German
  126. hackers is only the most well known of probably dozens of successful uses
  127. of this strategy. If we are open to civil or criminal liability by
  128. permitting the attackers to use our systems while we chase them down then
  129. we will have lost one of our most potent offensive weapons. We will be
  130. reduced to the unsatisfactory alternative of merely shutting them out and
  131. funding the alarm, with the knowledge that not everyone will hear it or
  132. heed it. It is likely that additional legislation is needed here. I have
  133. heard some prosecutors say that new laws relating to computer crimes are
  134. not necessary, that existing law on trespass, theft, trade secrets, etc.
  135. are sufficient, but I am doubtful. The art of applying existing law to
  136. computer-related activities is still an uncertain one. I am uncomfortable
  137. with the idea that someone may make the analogy between our logging and
  138. tracking operation and someone allowing a thief to use his garage as a
  139. storage place for stolen goods while he tries to follow the bad guy
  140. around to see where he lives. Sure the police can do it but they would
  141. frown on you doing it on your own. I think the analogy is a bad one, I
  142. don't think it 'maps' very well. But would an MIS VP who's had his system
  143. trashed agree? Would Bell South agree? Would a judge or jury agree? I
  144. think it's took a close look at this one.
  145.  
  146. 3. Vigilant Watchman or Peeping Tom
  147.  
  148.            The next security problem I dealt with was not a break-in from
  149. the outside, but rather it was a legitimate user, a graduate student who
  150. wasn't happy with how quickly we responded to problems. ("Steve! The
  151. print spooler's stuck again!"). This guy got root access somehow (via a
  152. trojan Is command in /tmp directory I think) and booby-trapped a module
  153. that is linked into most system utilities. He added a small code fragment
  154. to this module that looked for the presence of a uniquely named copy of
  155. the csh shell in /tmp. If it found it would change its ownership to root
  156. and turn on its setuid bit, giving him root access. What got us on to him
  157. was finding a setuid root file buried in his directories during a
  158. security scan. We went and looked at that file and found that it was a
  159. setuid root copy of csh. We went looking around and found a directory
  160. containing plain text and encrypted files. The plain text files appeared
  161. to be the source for some of the encrypted files that he'd neglected to
  162. remove. The contents of some of the plain were sufficiently worrisome
  163. that we spent the time to break the encryption and read the rest of the
  164. files.  It was all rather incriminating.
  165.  
  166.     At this point we went to the student's advisor who was also the owner of the
  167. system and showed him what we'd found. The professor called in the student,
  168. showed him the evidence and chew him out.  He was told that if he wanted to
  169. graduate he'd better behave. He did, got his PhD, left us on good terms, and is
  170. now on the staff of the research arm of a major telecommunications company. In
  171. this case, once we found the file that provided super user access to the system
  172. we felt justified in looking further.  Today, we would operate a bit differently,
  173. if we found a setuid root file in a user's directory we would immediately close
  174. and archive the account and get approval from the user, or, if necessary, the
  175. system's owner before looking further. There a at least a couple of reasons for
  176. this. One is a greater sensitivity toward the privacy of user files. The other
  177. is legal, the Privacy Act in section 2701 provides penalties for anyone who
  178. "obtains, alters, or prevents authorized access to a... electronic communication
  179. while it is in electronic storage...". But while it appears to give us an out by
  180. making an exception "... with respect to conduct authorized by the person or
  181. entity providing a ... electronic communication service" the Act has only been
  182. tested with respect to telephone monitoring. To me, the key words here are
  183. "conduct authorized".  What constitutes authorized conduct?
  184.  
  185.      But let's take it a step further, what if you find out that someone has
  186. compromised yo just one or more user accounts, but all the way to root, to the
  187. super user. Do you scan everyone's files? Don't you have to? Let's make it real
  188. sticky and say that you found that the slimemold who in has been hiding account
  189. and password information in old mail files of what seems to b Do you go looking
  190. in everybody's mail, including your boss's, the Provost's, the Director of the
  191. Human Resources Department, Major Filbert's? Again, don't you have to? What a
  192. mess! Our ma in, and the one least satisfying in its resolution, had a number of
  193. system administrators on looking at a lot of private, and in some cases very
  194. personal, mail, just to find a few caches of important system information hidden
  195. by one or more outside intruders. This is a very distasteful thing the people
  196. involved enjoyed it, and the anger directed at the vandals who made this
  197. necessary was considerable. But even though most of the users soon found out
  198. about the break-ins and knew we were prying intruders out of the file system I
  199. done don't think they realized just how invasive our h own private files,
  200. otherwise we may very well had a number of very outraged users on our r
  201.  
  202.      The best solution to this problem would be to state in advance of issuing any
  203. account system administrators reserve the right to review a user's files in
  204. certain situations, our duct". One of these situations is when a reasonable
  205. suspicion exists that the files cont activities that are either illegal or
  206. violate the system's or organization's rules of conduct. should be in writing and
  207. signed off by each user. It should state what you will and will no conditions,
  208. and why. Especially why. This preemptive tactic of laying out the rules in
  209. advance implemented by every site. A side benefit of implementing these
  210. guidelines is that it w administrators to think about, in advance, the way in
  211. which they will or can respond to s type. In the heat of the moment it is all too
  212. easy to rush in and do something you'll regret later.  Your staff will have pre-
  213. established procedures to follow, even if you're not immediately available to
  214. advise them. By setting up your procedures in advance you can get management to
  215. pre-approve your responses, something that you probably won't want to take the
  216. time for when the day comes. And if push and you have to go in and justify your
  217. actions you will want to be able to show that you were following well known
  218. procedures designed to protect the privacy and security of all users.
  219.  
  220.      Having an agreed-to set of rights and rules for both users and system
  221. administrators clarifies your relationship. In many or most non-educational or
  222. commercial service sites such rights and rules are likely to be rather-one sided
  223. towards the administrators, but at least you know where you stand by writing
  224. these agreements in advance. Running such an agreement and your procedures by the
  225. legal department may be useful in showing you a few hard patches of ground in the
  226. swamp of computer law.
  227.  
  228.  
  229. 4.  Conclusions
  230.  
  231.     Our logging of the various system activities are, in general, necessary for
  232. the smooth operation of the systems, but it can be taken to extremes. You risk
  233. drowning in information and possibly violating privacy laws or regulations.
  234.  
  235.  
  236.     Allowing intruders to remain on your system and use it as a base of operations
  237. while you collect evidence and attempt to track them down may have some legal
  238. liability if they subsequently break into another system. The potential for
  239. liability urgently needs evaluation by legal professionals.
  240.  
  241.     Your legal right to search a user's files without permission or prior
  242. agreement is uncertain. An agreed to set of rights, rules, and procedures between
  243. users and administration can be helpful in determining the legality of your
  244. actions in the event of unauthorized access. The existence of guidelines and
  245. procedures can be invaluable in responding quickly, legally, and ethically to
  246. real or suspected security problems.
  247.  
  248.     I've focused on the Federal Electronic Communications Privacy Act of 1986.
  249. This is certainly not the only law that will apply in the case of unauthorized
  250. access but it does cover a number of likely situations, and unlike the Computer
  251. Fraud and Abuse Act of 1986 it is not restricted to government systems. In
  252. addition, several states have very similar statues and more are likely to follow.
  253.