home *** CD-ROM | disk | FTP | other *** search
/ Hackers Underworld 2: Forbidden Knowledge / Hackers Underworld 2: Forbidden Knowledge.iso / HACKING / GCS.TXT < prev    next >
Text File  |  1994-07-17  |  8KB  |  191 lines

  1. Parts 1-3
  2.  
  3.  
  4.  
  5. *=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=
  6. *=*=*        Government Computer Security Techniques        *=*=
  7. *=*=*=*=*=*=*      Written By: The Line Breaker     *=*=*=*=*=*=
  8. *=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=
  9. As most of you know (those who have been around for over 1 year),
  10. I am a computer security consultant by trade.  I do work for most
  11. large companies and sometimes the government.  Well I am here now
  12. going to explain in great detail the fundamentals of government
  13. computer security.  There are going to be roughly 25 sections to
  14. this g-phile, so open your buffers and let them rip.
  15.  
  16. Each file is broken into several parts starting with the control
  17. title and ending with the principles of note.  I help design most
  18. of the systems that you are about to read about, and most of the
  19. problems that you run across in your every day hacking should be
  20. solved here.  The secret to the philes is to read them carefully
  21. and then reverse the process in some cases, otherwise they will
  22. help you understand in greater detail the workings of computer
  23. security.
  24.  
  25. *=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=
  26. *=*=*            C.S.T. Volume One -- G-phile One           *=*=
  27. *=*=*=*=*=*        Written By: The Line Breaker     *=*=*=*=*=*=
  28. *=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=
  29. Control Title: Low Building Profile
  30. -----------------------------------
  31. Description -> buildings housing computer systems and the computer
  32. facilities should be unobtrusive and give minimum indication of
  33. their purpose.  There should be no obvious signs identifying
  34. computing activities outside or inside buildings.  Buildings
  35. should look unimpressive and ordinary relative to nearby
  36. buildings.  Building lobby directories and company telephone books
  37. should not identify locations of computer activities except for
  38. offices and reception areas that serve outsiders and are located
  39. separately from operational areas.  Physical access barriers,
  40. including access control signs, should be reasonably visible,
  41. however.
  42.  
  43. Strengths -> a low profile reduces the likelihood of attention by
  44. destruction-minded outsiders.  Such attention tends to be directed
  45. away to other more visible targets.
  46.  
  47. Weaknesses -> a low profile may reduce business promotion values
  48. and inconvenience visitors, vendors, delivery people, and others
  49. who have a legitimate need to find computing facilities.
  50.  
  51. Purpose -> deterrence
  52.  
  53. Control Area -> computer center
  54.  
  55. Mode -> manual procedure
  56.  
  57. Area of Responsibility -> management, security
  58.  
  59. Cost - low
  60.  
  61. Principles of Note -> avoidance of need for design secrecy,
  62. completeness and consistency, least privileged
  63. *=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=
  64.  
  65.  
  66.  
  67. *=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=
  68. *=*=*             C.S.T. Volume One -- Phile Two            *=*=
  69. *=*=*=*=*=*=*      Written By: The Line Breaker     *=*=*=*=*=*=
  70. *=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=
  71.  
  72. Control Title -> telephone access
  73.  
  74. Objective -> avoid computer access exposure
  75.  
  76. Description -> limiting access to a computer and data files can be
  77. an important means of security.  Several means of accomplishing
  78. this are possible.  It may be possible and important to eliminate
  79. dial-up access to a computer.  A computer interfaced to the
  80. dial-up public telephone network is exposed to access from any
  81. telephone in the world.  There may be a trade-off in computer
  82. security by giving up or limiting the benefits of dial-up access.
  83. This can be accomplished by using only point-to-point wire or
  84. leased-line telephone access to the computer.  An alternative is
  85. to provide dial-up access to a small computer for development or
  86. other timesharing purposes while reserving another computer for
  87. more sensitive production activity that is not interfaced to
  88. dial-up telephones.  A control computer providing access to two or
  89. more other computers can also be used as a means of protecting
  90. them from dial-up access.  An alternative method of restricting
  91. access is to provide for dial-up access at limited periods of time
  92. of day.  During periods of dial-up access, particularly sensitive
  93. files or applications would not be resident in the computer system
  94. or secondary storage.  A partial degree of protection for dial-up
  95. access systems is to maintain strict need-to-know availability of
  96. the telephone numbers and log-in protocol for accessing the
  97. computer system.  Most dial-up timesharing computer services have
  98. similar access protocols; therefore, a unique, very different
  99. initial access exchange of identifying information may be useful
  100. to limit access.  The telephone numbers should be unlisted,
  101. different in pattern of digits, and have different prefixes from
  102. voice telephone numbers for the organizations that are publicly
  103. listed.  Call back to verifying the source of telephone access is
  104. also popular.
  105.  
  106. Strengths -> avoidance of exposure is a particularly strong means
  107. of simplifying and reducing the problems of securing computer
  108. systems.  Limiting or eliminating dial-up access significantly
  109. reduces exposure.
  110.  
  111. Weakness -> an important objective for computers is to make them
  112. easily and widely accessible.  Eliminating or limiting dial-up
  113. significantly reduces this capability.
  114.  
  115. How to Audit -> access capabilities, review access logs
  116.  
  117. Purpose -> prevention
  118.  
  119. Control Area -> computer system
  120.  
  121. Mode -> hardware
  122.  
  123. Area of Responsibility -> operation
  124.  
  125. Cost -> high
  126.  
  127. Principles of Note -> least privilege, limit dependence on other
  128. mechanisms
  129.  
  130.  
  131.                                                                                 
  132.  
  133.  
  134. *=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=
  135. *=*=*            C.S.T. Volume One -- Phile Three           *=*=
  136. *=*=*=*=*=*=*      Written By: The Line Breaker     *=*=*=*=*=*=
  137. *=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=
  138.  
  139. Control Title -> limit transaction privileges from terminal
  140.  
  141. Objective -> prevent loss or destruction of assets, prevent
  142. unauthorized browsing of systems files, prevent "hacking", prevent
  143. system crashes caused by unauthorized use of certain system
  144. commands
  145.  
  146. Description -> in addition to controlling resources (files,
  147. off-line data storage volumes, etc.), the transactions that a
  148. particular user is permitted to initiate are limited.  What the
  149. system commands that a user can use or is informed of is
  150. controlled by the user's job duties.  Thus, the system's level and
  151. application command, such as reporting who is currently logged
  152. into the system, are restricted on a need-to-know basis.  Logs may
  153. be kept for all attempts to use an authorized system command; this
  154. can be used to determine who needs training or perhaps
  155. disciplinary action.
  156.  
  157. Strengths -> prevents users from performing unauthorized acts,
  158. including examination of files names of other users and other
  159. system-related commands.  Without these systems transactions,
  160. compromise of the operating system and other such abuses are made
  161. significantly harder to accomplish.  Because the system commands
  162. are monitored and controlled by the computer, they can be
  163. sustained and enforced.
  164.  
  165. Weaknesses -> may unduly restrict users' ability to perform their
  166. jobs, especially if the users are programmers.  Undue restriction
  167. may result in reduced productivity and increased levels of
  168. frustration.  Determination of what commands should be restricted
  169. may be involved and time consuming.
  170.  
  171. How to Audit -> examine system commands permitted for certain
  172. groups of users for reasonableness. Review request for changes in
  173. systems command privileges for authorization and need.  If
  174. available, examine logs for unauthorized attempts to use systems
  175. commands that certain users are not permitted to use.
  176.  
  177. Purpose -> prevention
  178.  
  179. Control Area -> computer system
  180.  
  181. Mode -> computer operating system, computer application system
  182.  
  183. Area of Responsibility -> operations management
  184.  
  185. Cost -> medium
  186.  
  187. Principles of Note -> simplicity, least privilege, independence of
  188. control and subject, substantiality
  189.  
  190. Downloaded from P-80 Systems.....
  191.