home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / cud / cud448c.txt < prev    next >
Text File  |  1995-01-03  |  11KB  |  204 lines
  1. Date: 25 Sep 1992 11:07:31 -0700 (MST)
  2. From: RayK <KAPLAN%UAMIS@ARIZVMS.BITNET>
  3. Subject: File 3--Implementing System Security
  4.  
  5.   Toward the Implementation of a System and Network Security-Related
  6.         Incident Tracking and Vulnerability Reporting Database
  7.                             by Ray Kaplan
  8.  
  9. Consider the need for a system and network security-related incident
  10. tracking and vulnerability reporting database (herein referred to as
  11. ITVRD for convenience).
  12.  
  13. Such a database might be a relational combination of reported
  14. vulnerabilities and incidents that could answer queries such as "show
  15. me recorded instances of compromise for version xxx of operating
  16. system yyy on zzz hardware" or "show me a list of known
  17. vulnerabilities of the login sequence for version xxx of operating
  18. system yyy on zzz hardware" or even, "show me a list of reported
  19. compromises of version AAA of third party product BBB  running under
  20. version xxx of operating system yyy on zzz hardware".  We might even
  21. be able to ask "show me known instances of password guessing attacks
  22. on version xxx of operating system yyy on zzz hardware at banks."
  23.  
  24. It is widely known that the flow of security-related information is
  25. carefully controlled and that such information is not readily or
  26. widely available to those who need it to protect their systems and
  27. networks.  There is plenty of information available - but, its
  28. availability seems limited to the underground.  While this apparently
  29. serves those who know and control this information, but it does little
  30. to help those who are trying to protect their systems and networks.
  31. Security by obscurity is widely known to be a flawed concept.  My
  32. argument would be that this game of security incident/vulnerability
  33. tracking is a lot like dealing with the AIDs crisis.  If we don't
  34. start talking openly about it, we are all in trouble(1).
  35.  
  36. While some of the various computer incident handling capabilities do
  37. an excellent job of distributing SOME significant vulnerability and
  38. incident information publicly(2), VERY LITTLE detailed information
  39. gets disseminated in comparison to the number of known vulnerabilities
  40. and known incidents.  In addition, those who are not connected to the
  41. Internet have a difficult time staying abreast of those incidents that
  42. are reported.  Worse yet, I speculate that the majority of systems and
  43. private networks that exist in the world today are simply not even
  44. tapped into the meager flow of security-related information that does
  45. exist.
  46.  
  47. I believe that this sad situation is due to the politics of security
  48. vulnerability information between vendors in the market(3), and an
  49. inherent desire to control the distribution of this information by the
  50. portion of the security community that has placed themselves in charge
  51. of it.  As proof of this, consider that prototypes of system and
  52. network security-related ITVRDs are known to have been funded by the
  53. government, but were stopped when the funding agency wanted to
  54. classify the effort making it publicly inaccessible(4).  What we - as
  55. a community - are left with is an odd situation where the best
  56. collections of vulnerability information are to be found only on the
  57. clandestine sources of the world's underground computer community.
  58.  
  59. At this writing, the Defense Advanced Research Projects Agency's
  60. (DARPA) Computer Emergency Response Team (CERT) is reporting on the
  61. order of 3 incidents per day, but we - as a community - hear very
  62. little about the exact nature of these problems, how they can be used
  63. against our systems or their fixes. While the relatively new Forum of
  64. Incident Response and Security Teams (FIRST) is working on the
  65. problems associated with the design and implementation of a ITVRD,
  66. their discussions are carefully restricted to their members and this
  67. topic has been under discussion for quite a long time with no
  68. apparent movement.  In addition, most of us are not members of FIRST,
  69. so we can't contribute to the discussions even if we wanted to do so.
  70.  
  71. Since I know that the formation of a widely available ITVRD is a very,
  72. very emotional issue in the security community and since I am not
  73. willing to suggest that I have the best design and implementation plan
  74. for it in mind - I'm simply throwing the question out into the
  75. community for an open, vigorous debate: how can a system and network
  76. security-related ITVRD be implemented - or should it even be
  77. implemented?  Based on my recent, unsuccessful experiences in trying
  78. to get members of the legitimate security community at large to talk
  79. to members of the world's computer underground, I have decided that it
  80. is not prudent for me to proceed with the design and implementation of
  81. a ITVRD until some consensus in the community is reached about how -
  82. or even if - such a thing should be done.
  83.  
  84. As a seed for the debate, here are some of the questions surrounding
  85. the implementation of a ITVRD that I think need vigorous discussion by
  86. the community.  Please consider them carefully and offer us your
  87. thoughts.  Post your reply to this channel or send it to me at any of
  88. the addresses below and I will collect it, combine it with others that
  89. I receive and report it in some regular manner which is yet to be
  90. determined.
  91.  
  92. A Myriad of hard questions:
  93.  
  94. What of the morals and ethics questions that surround the
  95. establishment of a widely available ITVRD?  While this is not a new
  96. idea(5), we are talking about the morals and ethics of making an ITVRD
  97. available to anyone who wants access to it.  This necessarily includes
  98. those that are not members of the legitimate security community.  Even
  99. though information such as that which an ITVRD would hold is readily
  100. available now, it takes a lot of time and energy to find it. An ITVRD
  101. would make incident and vulnerability information trivially available
  102.  
  103. to anyone who wanted it.
  104.  
  105. How should an ITVRD be accessible?  Should it be a database on the
  106. network that can be accessed by simply sending a well-formed query via
  107. electronic mail to a database server?  Should an ITVRD allow
  108. interactive access?  Should it be available via a toll-free, 1-800
  109. number?  A pay per-call, 1-900 number?
  110.  
  111. Since it has its own very well-developed channels of communication,
  112. why would the underground even care to contribute to such an ITVRD?
  113. Would a widely accessible ITVRD threaten or replace popular
  114. underground publications like Hack-Tic or 2600?  Would the underground
  115. be happy with attribution for the holes that they find?  Would the
  116. contributors to an ITVRD even want to be identified?
  117.  
  118. Should a subscriber-based ITVRD pay its contributors for their
  119. submissions? If so, on what basis and how much?  Should it be
  120. available to those that want to passively access it without
  121. contributing to it?  Should this access be on a subscription basis?
  122. If so, does such a subscription service need some sort of
  123. authentication to restrict access to only legitimate, paid
  124. subscribers?
  125.  
  126. Should the contents of an ITVRD be exactly what is submitted to it, or
  127. should submissions to it be edited and/or verified for authenticity.
  128. If editing, verification and authentication of submissions are to take
  129. place, who should do this and under what rules should it be done?  In
  130. recognition that many organizations do not currently report their
  131. security problems, should anonymous submissions be allowed?
  132.  
  133. Should such an ITVRD be in the public domain or should it be private
  134. property.
  135.  
  136. Where should an on-line ITVRD be maintained?  Should it be located
  137. outside the traditional boundaries of countries that would restrict its
  138. availability?
  139.  
  140. I am sure that I have missed many, many important questions.  Please
  141. contribute to this discussion.
  142.  
  143. Electronic mail:Internet - kaplan@mis.arizona.edu
  144. BITNET - KAPLAN@ARIZMIS
  145.  
  146. Snail mail:
  147. Ray Kaplan
  148. P.O. Box 42650
  149. Tucson, AZ  85733-2650
  150. FAX - (602) 791-3325
  151.  
  152. This has been posted to:
  153.  
  154. Some common Network Newsgroups, and the DECUS DECUServe bbs.Several of
  155. the world's underground publications: 2600 and HacK-Tic.Selected
  156. members of the security community.
  157.  
  158. Please feel free to re-post this anywhere you see fit - it is hereby
  159. released into the public domain. If you post it somewhere - please let
  160. me know where you put it so I can try and track the discussions - I'd
  161. like to do a summary of it all one of these days.
  162.  
  163. In advance, thanks for your time and consideration.  Since I know that
  164. the ire of powerful forces in the security community may be stirred up
  165. by the idea of publically discussing the design and operation of an
  166. ITVRD, I only hope that a reasoned exchange of ideas will follow.
  167.  
  168. ++++++++++
  169.  
  170. (1) I get into some interesting discussions with people who argue that
  171. secrecy is the best course of action.  For instance, while splitting
  172. hairs on the tough subject of when you begin (of if there even should
  173. BE) sex education, there is an argument that says educating very young
  174. people about their sexuality will induce them to experiment where they
  175. otherwise might not do so.  In my view, this is similar to discussions
  176. that I have with those that oppose the implementation of an ITRVD.
  177. There are those that say the mere availability of an ITRVD will cause
  178. more incidents.  In the face of this criticism, I say that while this
  179. may be true, at least system and network managers WILL have a
  180. reference for this information where currently there is none.  Just
  181. think, the formation of an ITRVD may lead to vendors actually shipping
  182. a document that describes the known vulnerabilities of their systems
  183. to their customers.  Sort of like the warning from the surgeon
  184. General's warning on alcohol and tobacco products?
  185.  
  186. (2) Of note here is the Defense Advanced Research Projects Agency's
  187. (DARPA) Computer Emergency Response Team (CERT).  While these
  188. consummate professionals do an excellent job of distributing incident
  189. and vulnerability-related information to the Internet community, not
  190. nearly enough is being done.
  191.  
  192. (3) While it is clear that there are vulnerabilities which affect many
  193. vendors, there is evidence to suggest that some vendors in the
  194. incident response community don't acknowledge those reports by other
  195. vendors which clearly affect their own systems - let alone reporting
  196. all of the vulnerabilities of their own systems.
  197.  
  198. (4) References available if you'd like them.
  199.  
  200. (5) There most certainly are ITVRDs currently being maintained in
  201. various places.
  202.  
  203. Downloaded From P-80 International Information Systems 304-744-2253
  204.