home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / virusl1 / virusl1.10 < prev    next >
Encoding:
Text File  |  1995-01-03  |  10.8 KB  |  248 lines
  1. VIRUS-L Digest            Wednesday, 16 Nov 1988        Volume 1 : Issue 10
  2.  
  3. Today's Topics:
  4. Cryptoviruses
  5. Viruses in VM/CMS
  6. Re: Security@Aim.Rutgers.Edu -- has anyone seen it?
  7. hiring virus writers and evil hackers
  8. ramifications
  9. Viruses in Military Computers
  10.  
  11. ---------------------------------------------------------------------------
  12.  
  13. Date:  Tue, 15 Nov 88 19:22 EST
  14. From:  Lynn R Grant <Grant@DOCKMASTER.ARPA>
  15. Subject:  Cryptoviruses
  16.  
  17. There are several crypto packages on the market that implement the DES
  18. algorithm on PCs.  A couple that come to mind are "Codename: Password"
  19. and I believe Sidekick (I may have the name wrong).  I have been
  20. thinking (and worrying) lately about how a virus could exploit these
  21. packages to make itself very painful to remove.  Here is how it would
  22. work:
  23.  
  24. The virus would go along, propagating itself in the normal way, but it
  25. would recognize when it had attached itself to the crypto program.  It
  26. would then modify the encryption tables slightly in a reversable way,
  27. so that encrypted things could be decrypted (in DES, the IP and IP-1
  28. tables would probably be the most appropriate targets).  It would then
  29. have to know if files were encrypted the old (good) or new (bad) way.
  30. If there is some kind of a crypto header in the file, it could stuff
  31. the information in an unused bit; or maybe it could do it based on
  32. date.
  33.  
  34. Anyway, if you decrypted an old file, it would work fine, and if you
  35. encrypted a new file then decrypted it, it would work fine.  But
  36. suppose you discovered the virus, and re-installed all your software
  37. to ensure that your system was clean.  Suddenly all the files you had
  38. encrypted after the initial attack of the virus would be garbage.  If
  39. you put back the virus-laden version of the crypto package, you could
  40. get at your files, but the virus could continue to spread.
  41.  
  42. Of course, on a system where gurus were available, it would be
  43. possible to compare the infected and uninfected versions of the crypto
  44. package, disassemble the changes, and come up with the necessary zaps
  45. to make a crypto package that would decrypt the damaged files without
  46. propagating the virus.  A system with only non-technoid users would
  47. not have this option.  (And if the virus chose its modifications to
  48. the crypto tables randomly when it first infected the crypto package,
  49. it would make it hard for a central support organization, or the
  50. VIRUS-L forum, or whatever, to provide all the crypto users with
  51. patches to decrypt the damaged files.)
  52.  
  53. I must admit that most of my experience with computers and DES has
  54. been on large mainframes (IBM MVS and VM), so I may have overlooked
  55. something that would make this attack less of a concern, but if I
  56. have, I don't see it.  (I guess that's what overlooking's all about.)
  57.  
  58.     Lynn Grant
  59.     Technical Consultant
  60.     Computer Associates International, Inc.
  61.  
  62. Disclaimer:  These are my opinions, not those of my employer.
  63.  
  64. ------------------------------
  65.  
  66. Date: 16 November 1988, 01:00:06 ECT
  67. From: Stig Hemmer                                    HEMMER   at NORUNIT
  68. Subject: Viruses in VM/CMS
  69.  
  70. This discussion started in ETHICS-L, but I think it should be
  71. continued in VIRUS-L.
  72.  
  73. Somebody mentioned the Christmas Card 'virus'. I would just like to
  74. mention the really BIG security hole in VM/CMS. The CCv did not use
  75. this hole, but if it had it would have been MUCH worse.
  76.  
  77. VM/CMS has a 'feature' that when a program returns to toplevel
  78. anything left on the program stack will be parsed as commands. Pretty
  79. useful sometimes but it makes possible some hideous bugs and security
  80. holes.
  81.  
  82. RECEIVE EXEC has such a bug, if a spoolfile is of incorrect format
  83. RECEIVE may leave part of it on the stack upon exit. SENDFILE or NOTE
  84. will never make such a file of course, but more low level commands
  85. make it possible. I don't know any more details (and wouldn't publish
  86. them anyway), but the cure is simple:
  87.  
  88. Insert a MAKEBUF in the start and a DROFBUF in the end(s) of RECEIVE.
  89. (Be careful though not to change the effekt of the STack option.)
  90. Everybody should use M/D in their programs as it makes them infinitely
  91. more robust.
  92.                                   -Tortoise
  93.  
  94. PS: DISCARD uses RECEIVE but I think (and hope!) that it is more
  95. robust.
  96.  
  97. ------------------------------
  98.  
  99. Date: Tue, 15 Nov 88 21:16:19 EST
  100. From: msmith@topaz.rutgers.edu (Mark Robert Smith)
  101. In-Reply-To: "shafferj@amethyst.bucknell.edu"'s message of Mon,
  102.    14 Nov 88 23:16:30 est
  103. Subject: Re: Security@Aim.Rutgers.Edu -- has anyone seen it?
  104.  
  105. Hobbit, who moderates that list, has been busy working on the big move
  106. from the vax AIM.RUTGERS.EDU to a Sun PYRITE.RUTGERS.EDU, which is now
  107. aliased to AIM.  He says that the list will re-awaken when he gets
  108. done with the move.  Mark
  109.  
  110. - ----
  111.  
  112. Mark Smith (alias Smitty) "Be careful when looking into the distance,
  113. RPO 1604; P.O. Box 5063  that you do not miss what is right under your nose."
  114. New Brunswick, NJ 08903-5063    {backbone}!rutgers!topaz.rutgers.edu!msmith
  115. msmith@topaz.rutgers.edu          R.I.P. Individual Freedoms - 11/8/88
  116.  
  117. [Ed. Thanks for the update!]
  118.  
  119. ------------------------------
  120.  
  121. Date:     Tue, 15 Nov 88 15:17:10 EST
  122. From:     Jefferson Ogata (me!) <OGATA@UMDD>
  123. Subject:  hiring virus writers and evil hackers
  124.  
  125. Not all evil hackers are meet for hiring.  Morris at any rate would
  126. not be a prime candidate, despite his successful attack, because the
  127. attack mode was not the result of his own research, nor was his code
  128. particularly excellent.  Apparently the debug hole was revealed to him
  129. by other sources, so there is no evidence he is a wonderfully clever
  130. hacker.  Burleson also is not a candidate; he simply planted an evil
  131. program in his former employer's computers.  Once again, no evidence
  132. of extreme cleverness.
  133.  
  134. Evil hackers can be hired by major companies if the following two
  135. constraints are met: the hacker has, through his own initiative and
  136. intellect, explored security holes or bugs that were not widely known;
  137. the hacker himself has not become famous.
  138.  
  139. The first constraint simply means that there is no practical reason
  140. for a company to take any risk with someone who ain't that smart.
  141.  
  142. The second constraint is very important, and is the reason why you
  143. won't see publicly known hackers getting great security jobs.
  144. Ignoring this constraint would promote the image that anyone could get
  145. a great job by being an evil hacker.  There is apparently enough
  146. incentive for this kind of behavior already; if employers increased
  147. the incentive, they would merely be complicating their own hiring
  148. process.
  149.  
  150. One other reason why Morris hasn't got a chance at getting hired is
  151. that the media has portrayed him essentially as a wimp.  Everything
  152. they've described about him implies that he's a man with no balls.
  153. Real evil hackers have got to have balls.
  154.  
  155. I wish people would stop trying to inject morality and ethics into the
  156. question of whether hackers should get good jobs.  The question is not
  157. 'should'; it is 'will', and morality has nothing to do with it; it's
  158. called economics.  Part of being a successful business is knowing when
  159. to take a risk.  Ethics are only an issue when the public finds out
  160. about it.
  161.  
  162. - - Jeff Ogata
  163.  
  164. ------------------------------
  165.  
  166. Date:         Tue, 15 Nov 88 18:39:14 EST
  167. From:         "Homer W. Smith" <CTM@CORNELLC>
  168. Subject:      ramifications
  169.  
  170.  
  171.      With all due respect, Mr Doug Hunt could not be more wrong.
  172.  
  173.      Those of us who have some small access to memories of our past
  174. lives have learned that people do to others what was done to them.
  175.  
  176.      People who fervently believe that criminals should be executed
  177. were criminals themselves in a past life and were executed.  In this
  178. life they are self righteous upstanding citizens who have 'never lived
  179. before and would NEVER have done such a thing.'
  180.  
  181.      When we incarcerate people or ruin their lives for 'crimes
  182. against the empire' we punish them and satisfy our hurts by doing so,
  183. and maybe we scare those who would follow in their footsteps, but we
  184. always fail to extract the amends from such people that they owe us
  185. and must give in order to be rehabilitated.
  186.  
  187.      I would be proud to have Mr. Morris as a security expert for our
  188. nation as long as the proper amends is allowed to take its course.
  189. Amends does not mean I break your toy because you broke my toy.  Two
  190. broken toys is two broken toys.  Then we BOTH owe amends to society.
  191.  
  192.      The road to hell is NOT paved with good intentions.  That is just
  193. Christian/Creationist double junk and they know it.  THESE people who
  194. rant and rave in such a way are a FAR GREATER danger to our national
  195. security than Mr. Morris.  They are just jealous as hell that Mr.
  196. Morris is brighter than they are and could undermine their computer
  197. defenses while scribbling on napkins over morning coffee.
  198.  
  199.      God does not approve of a society that produces criminals or can
  200. not handle them once they produce themselves.  God can handle them.
  201. Why can not we?  Have we bought the line that some people SHOULD not
  202. be handled?  Or that some people CAN NOT be handled?  Or that God does
  203. not WANT us to handle them?  Rubbish.  Especially for someone like
  204. Morris who is clearly very far from the pit.  Probably farther from
  205. the pit than the American Government themselves in their dealings with
  206. the world at large.
  207.  
  208.      Why punish when you can salvage?  Surely Morris is salvagable.
  209. (Don't tell me I am a bleeding heart Liberal.  I voted for Bush.  If
  210. you want to worry about viruses, worry about HIM.)
  211.  
  212.      Morris needs to make amends.  Not by having his toys broken
  213. because he broke ours, but by what ever means necessary so that we can
  214. feel resolved about the matter and in some sense be glad it happened
  215. with no lingering resentments or bitterness, and most importantly in a
  216. way that society can feel safe trusting Morris with the run of the
  217. land again.  [Ed. Any (hypothetical, of course) suggestions?]
  218.  
  219.      Placing Morris in jail or ruining his career may satisfy the
  220. stone cold hearts of some but it wont make a better land for any of
  221. us.  The Eternal NAME is not SHAME.
  222.  
  223.  
  224. Homer Wilson Smith
  225.  
  226. Hubbard Fractal Research Laboratory
  227. Cornell National Supercomputer Facility
  228.  
  229. ------------------------------
  230.  
  231. Date:         Tue, 15 Nov 1988 15:30:05 EST
  232. From:         Gabriel Basco <GJB100C@ODUVM>
  233. Subject:      Viruses in Military Computers
  234.  
  235. I was wondering. There might be a possiblity there is a bug in one of
  236. the fire-control programs that might just start working when a real
  237. threat appears. Is it possible and can be done against it?
  238.  
  239. [Ed. I would think that's what they do drills for.  In a (properly
  240. planned) drill, the computer (or other controlling agent) would truly
  241. believe that it is the real thing.  Comments?]
  242.  
  243. ------------------------------
  244.  
  245. End of VIRUS-L Digest
  246. *********************
  247. Downloaded From P-80 International Information Systems 304-744-2253
  248.