home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / cud / cud437d.txt < prev    next >
Text File  |  1995-01-03  |  8KB  |  145 lines
  1. Date: Wed, 12 Aug 92 15:57:02 EDT
  2. From: Kim Clancy <clancy@CSRC.NCSL.NIST.GOV>
  3. Subject: File 4--Re: Quick reality check.....
  4.  
  5. ((MODERATORS' NOTE: We heard about the AIS BBS from several readers,
  6. and checked it out. We we impressed by the collection of text files,
  7. the attempt to bring different groups together for the common purposes
  8. of security and civilizing the cyber frontier, and the professionalism
  9. with which the board is run. AIS BBS is a first-rate resource for
  10. security personnel who are concerned with protecting their systems)).
  11.  
  12. 1. What is this Board? (name, number, who runs it (dept & sysop).
  13. What kind of software are you using?  When did the Board go on-line?
  14.  
  15. The Bulletin Board System (BBS) is run by the Bureau of the Public
  16. Debt's, Office of Automated Information System's Security Branch.  The
  17. mission of the Bureau is to administer Treasury's debt finance
  18. operations and account for the resulting debt.  The OAIS security
  19. branch is responsible for managing Public Debt's computer systems
  20. security.  The AIS BBS is open to the public and the phone number for
  21. the Board is (304) 420-6083.  There are three sysops, who manage the
  22. Remote Access software.  The BBS operates on a stand-alone pc and is
  23. not connected to any of other Public Debt systems.  The Board is not
  24. used to disseminate sensitive information, and has been up operating
  25. for the past 15 months.
  26.  
  27. 2. What are the goals and purposes of the Board?
  28.  
  29. The BBS was established to help manage Public Debt's security program.
  30. Security managers are located throughout Public Debt's offices in
  31. Parkersburg, WV and Washington DC.  The security programmers saw a
  32. need to disseminate large amounts of information and provide for
  33. communication between program participants in different locations.
  34. Because the Board was established for internal purposes, the phone
  35. number was not published.  However, the number was provided to others
  36. in the computer security community who could provide information and
  37. make suggestions to help improve the bureau's security program.
  38. Gradually, others became aware of the Board's existence.
  39.  
  40. 3. What kinds of files and/or programs do you have on the Board?
  41. Why/how do you choose the files you have on-line?
  42.  
  43. There is a wide variety of files posted.  In the beginning, we posted
  44. policy documents, newsletter articles from our internal security
  45. newsletter, bulletins issued by CERT, such as virus warnings, and
  46. others for internal use.  I located some "underground" files that
  47. described techniques for circumventing security on one of the systems
  48. we manage.  The information, from Phrack magazine, was posted for our
  49. security managers to use to strengthen security.  When we were called
  50. by others with the same systems, we would direct them to those files
  51. as well.  Unexpectedly, the "hacker" that had written the file
  52. contacted me through our BBS.  In his article he mentioned several
  53. automated tools that had helped him take advantage of the system.  I
  54. requested that he pass on copies of the programs for our use.  He
  55. agreed.  This is how our "hacker file areas" came to be.  Other
  56. hackers have done the same, and have we also received many files that
  57. may be useful.  It is, indeed, an unusual situation when hackers and
  58. security professionals work together to help secure systems.  However,
  59. this communication has been beneficial in strengthening an already
  60. secure system.
  61.  
  62. 4. Since you and the Secret Service are both part of the U.S.
  63. Treasury, was the Board set up to catch "hackers?"
  64.  
  65. No, the BBS was designed to manage our internal security program.  We
  66. do not allow individuals to sign on with "handles."  We do not know if
  67. people are hackers when they sign on unless they identify themselves.
  68.  
  69. 5. How did you get the idea to set it up?
  70.  
  71. The security branch accesses many BBSs on a daily basis for research
  72. purposes, information retrieval and to communicate with others.  Since
  73. our security program is decentralized, the BBS seemed to be an
  74. effective way of communicating with program participants in diverse
  75. locations.
  76.  
  77. 6. What distinguishes your board from sources like CERT, or from
  78. "underground" BBSes?
  79.  
  80. First, there is a wide diversity to our files, ranging from CERT
  81. advisories to the 40Hex newsletters. Also, many of the files on our
  82. system are posted as a resource we use for the implementation of our
  83. security program.  For example, the Board lists computer based
  84. training modules that we have developed, policy documents, and
  85. position descriptions.  These are files that other security programs
  86. can use to implement or help start their programs.  On the message
  87. side of the BBS, what distinguishes it would have to be the open
  88. interaction between hackers, virus writers, phone phreaks and the
  89. security community.
  90.  
  91. 7.  What kinds of difficulties or problems have you encountered,
  92. either from superiors or from users, in operating the Board?
  93.  
  94. I can recall few, if any, difficulties from anyone, users or
  95. superiors.  Upper management understands the value of the technology
  96. and has been extremely supportive.  All users have been courteous,
  97. professional, and supportive.  Security professionals constantly thank
  98. us for providing "underground" information for them.  It allows others
  99. in the field to gain access to valuable information without having to
  100. access "underground" systems.  Users appreciate the opportunity to
  101. share their knowledge with others and seem grateful to have an avenue
  102. to communicate with security professionals who will listen to
  103. "hackers" experiences.
  104.  
  105. 8. Can you describe any unusual or humorous experiences you have had
  106. with users while running the Board?
  107.  
  108. It is unusual for "hackers" and security professionals to work
  109. together to help secure systems, but that is what is occurring on our
  110. system.  I have had requests from other government agencies asking for
  111. resumes of "hackers" that may assist them.   I have been contacted by
  112. numerous government and private agencies asking for our "contacts."  I
  113. just direct them to the BBS and advise that they post messages
  114. regarding the questions they need answered.  If anyone is interested
  115. in helping, they will respond.  It is an unusual situation, but, in my
  116. opinion, I can attest that the information we have received has been
  117. very useful to our security program.
  118.  
  119. 9.  What future plans do you have for improving the hardware, such as
  120. upgrading modem, number of lines, or storage capacity, or for
  121. developing the services of the Board?
  122.  
  123. Starting July 13th, the Board will be down periodically for system
  124. upgrades.  We are adding an additional phone line, and a 315 mb hard
  125. drive.  Also, we are going to make a few changes to reorganize files.
  126. It is hoped that group information will be more efficient in this
  127. manner.  We are also adding RIME relay net conferences and will carry
  128. topics such as Data Protection.
  129.  
  130. 10. What should potential users know about the Board or your policies
  131. before attempting to receive access?
  132.  
  133. Users must be aware that we do not allow handles on the BBS.  If they
  134. sign on with a handle it will be deleted.  We also reserve the right
  135. to review all E-mail, public and private.  All users have access to
  136. the BBS upon sign on.  If a user wants access to the "hacker" file
  137. area, they need to send a message to the sysop requesting access.
  138. Potential users should know they are welcome to call in and
  139. communicate with us and others.
  140.  
  141. ------------------------------
  142.  
  143.  
  144. Downloaded From P-80 International Information Systems 304-744-2253
  145.