home *** CD-ROM | disk | FTP | other *** search

---

/ Danny Amor's Online Library / Danny Amor's Online Library - Volume 1.iso / bbs / society / society.lha / PUB / TESTIMONY / cocker-security.txt

Wrap

Text File  |  1995-07-21  |  29KB  |  537 lines

---

1. =======================================================================
2.  
3.       Testimony before the House Subcommittee on Science
4.            Concerning the Security of the Internet
5.                    
6.                 March 22, 1994
7.                    
8.                    
9.               Stephen D. Crocker
10.              Trusted Information Systems
11.              3060 Washington Road
12.               Glenwood, MD 21738
13.                    
14.                    
15.                  301-854-6889
16.                crocker@tis.com
17.                    
18.  
19. INTRODUCTION
20.  
21. My name is Stephen Crocker.  I am a vice president of Trusted
22. Information Systems, a small company in Maryland with branch offices
23. in California and the United Kingdom which specializes in computer and
24. network security research, consulting and products.  For the past four
25. years I have served as the Area Director for Security in the Internet
26. Engineering Task Force (IETF), and it is in this capacity that I
27. appear here today.
28.  
29. The IETF is the technical group developing and standardizing the
30. protocols used on the Internet.  Protocols are agreements on the
31. format and sequencing of messages sent over the network.  As Area
32. Director for Security, I oversee the work on security protocols and on
33. the security aspects of the other IETF standards activities.  Next
34. week I will complete my term, and begin a two year term on the
35. Internet Architecture Board (IAB).  Jeff Schiller of MIT will be the
36. next Area Director for Security, and I have shared these remarks with
37. him.
38.  
39. Your subcommittee is investigating the causes of the recent security
40. incidents on the Internet and seeking to understand what might be done
41. to prevent similar incidents in the future.  This is important in its
42. own right since there are an estimated ten to twenty million people
43. using the Internet around the world, but it is even more important
44. because the Internet is both a model for and a key building block of the
45. National Information Infrastructure (NII).
46.  
47. Before addressing these questions directly, I'd like to review the
48. history of the Internet with particular attention to the design of the
49. security protection.
50.  
51. HISTORY, PART I: THE ARPANET
52.  
53. The current Internet grew out of the original Arpanet, which was
54. initiated in 1969.  Vinton Cerf, who's also testifying today, and I
55. had the honor of connecting the first host computer to the first
56. Interface Message Processor (IMP) at UCLA, the first site on the
57. Arpanet.  At that time, ARPA planned to build a network consisting of
58. four nodes and then to expand it if the experiment was successful.
59. The original design permitted about sixty sites to be part of the
60. network, with no more than four computers per site.  Although that
61. seems small today, it was far larger than any previous attempt to
62. connect distant computers together.
63.  
64. ARPA had planned in detail how to connect the computers together and
65. how to move information between them.  What they did not plan very
66. completely was what the computers should say to each other.  They did,
67. however, have the foresight to install the Arpanet into the sites they
68. were supporting for advanced research and development in information
69. processing.  As might be expected, the research community went right
70. to work to figure out what to do with this new capability.
71.  
72. An ad hoc Network Working Group was formed by the network sites, and its
73. job was to define the protocols of what the computers should say to each
74. other.  We drew from the analogies of how we used individual computers. 
75. In those days, the computers in common use in the research community
76. were time-shared systems.  Between a dozen and several dozen people
77. would use a computer at the same time.  Personal computers and
78. workstations had not yet been invented.
79.  
80. The intensive use of time-shared computers had already introduced us to
81. computer security problems.  Quite a lot of research and development had
82. already taken place, and there were controls in place on almost all
83. computers to protect one user from being interfered with by another
84. user.  The first part of that protection was based on passwords.  Each
85. user had to identify himself and then type a secret password before he
86. was able to use the computer.  Once a user was "logged in," there were
87. additional controls internally on what each user could do.
88.  
89. These controls were not perfect, but they were moderately satisfactory. 
90. If a user chose a poor password, another user might try to guess it and
91. thereby impersonate him.  Abuses of this form occurred, but they usually
92. occurred within limited communities.
93.  
94. During the early stages of the Arpanet, we took these time-shared
95. computers and connected them to each other.  We of course recognized
96. that security was important, but we envisioned the threat to be the same
97. as on individual time-shared computers.  Accordingly, our first
98. protocols provided the equivalent of a dial-up connection from one
99. computer to another.  When a user connected over the Arpanet from her
100. local machine to a remote machine, the user had to identify herself to
101. the remote computer.  This meant the user had to have an account on the
102. remote computer and she had to type her password for that account.
103.  
104. This scheme worked reasonably well for a while, but gradually the
105. network grew very large, and with that growth came new problems.
106.  
107.  
108. HISTORY, PART II: THE INTERNET
109.  
110. During the 1970s, several events caused the network to become much,
111. much larger.  First, the Ethernet was invented.  This made it possible
112. to connect dozens of computers together in a building or on a campus.
113. The Ethernet was an example of what is now called a "local area
114. network" or LAN.  Other technologies were also developed for LANs, but
115. the Ethernet was by far the most successful and caused networking to
116. explode.
117.  
118. Local networks would have no place in our story except that they were
119. also connected to the Arpanet.  Where previously only four computers
120. at one site could be part of the Arpanet, it was now possible to
121. connect several dozen computers at one site to the national network.
122.  
123. It also became clear that one common wide area network would not
124. suffice.  The Arpanet could accommodate only 63 sites, and there was a
125. need to connect hundreds or thousands of sites.  Many new networks
126. were built.  The appearance of the Arpanet in the U.S. also triggered
127. an urgency in other countries to build their own networks.  Canada,
128. the United Kingdom and France were among the first.  Also, different
129. organizations built their own networks.  Some of these were private
130. networks inside corporations, universities or government agencies, and
131. others were built to serve a broader research community.  The National
132. Science Foundation, The Department of Energy and NASA all moved
133. aggressively into this arena to the benefit of their communities and
134. the country as a whole.
135.  
136. Almost all of these networks, local and national, needed to be
137. connected together.  The purpose of a network is to provide
138. connectivity for a large number of sites.  Separate, disconnected
139. networks were as awkward as the separate telephone networks in the
140. early part of this century.
141.  
142. Out of this need emerged a vision of how multiple networks could be
143. connected together without requiring any single network to be in
144. control.  Robert Kahn and Vinton Cerf designed a new set of protocols,
145. TCP and IP.  These protocols make it possible for a wide range of
146. networks to be connected to each other, and for a computer on one
147. network to communicate with a computer on any other network.
148.  
149. Thus was born the Internet, which is not a single network, but an
150. open- ended cross connection of local area networks and wide area
151. networks, each separately administered, but all adhering to the same
152. basic protocols.  Today, the Internet consists of thousands of
153. networks, hundreds of thousands of computers, and an estimated ten to
154. twenty million users.  The Internet is operational in a majority of
155. countries.  In the U.S., the Internet connects virtually all research
156. universities, many Fortune 500 companies, and almost all of the
157. information processing industry, and the Internet is now spreading to
158. the K through 12 community.
159.  
160.  
161. SECURITY IN THE EARLY INTERNET -- THE RISE IN BREAKINS
162.  
163. With this rapid increase in the size of the Internet, the security
164. issues also changed.  A small percentage of the users explored the
165. Internet with the aim of breaking into systems.  For the most part,
166. these were youngsters, their interest was thrill seeking, and they
167. rarely caused any damage.  Occasionally the purpose was more sinister,
168. for example to do harm for revenge or to exploit a system for personal
169. gain.
170.  
171. Another consequence of the very rapid increase in the size of the
172. network is a very uneven level of security awareness.  The two most
173. common weaknesses in computers connected to the Internet are
174. configuration errors and poorly chosen passwords.  A typical
175. configuration error is for a computer to have an account which does
176. not require a password.  Examples of poorly chosen passwords are
177. someone's name or an English word.
178.  
179. The mixture of idle youngsters looking for thrills and thousands of
180. poorly administered computers was the perfect chemistry for trouble.
181. Breakins occurred at numerous sites.  Most of these were innocuous,
182. but nonetheless disturbing, and occasionally these skills were used
183. for more troublesome purposes.  It was not uncommon for the
184. penetrators to attempt to erase evidence of their penetrations, and it
185. was also not uncommon for penetrators to leave behind trap doors to
186. facilitate surreptitious access at a later time.
187.  
188. Local administrators struggled with these breakins.  When the network
189. was small, most of the administrators knew each other and could
190. cooperate easily.  As the network grew larger, it was not as easy to
191. maintain such contact.  Also, it was difficult to gain much attention
192. from law enforcement agencies because they had little experience with
193. network technology, the laws were not completely clear on the status of
194. various acts, and the jurisdictions were sometimes undefined.
195.  
196. The most readable and vivid account of the interplay of these
197. different effects was given by Clifford Stoll in his book "The
198. Cuckoo's Egg."  Clifford Stoll, an astronomer and computer scientist
199. at Lawrence Berkeley Laboratory (LBL), was pressed into service as a
200. computer administrator.  He discovered a small discrepancy in the
201. accounting system reports.  What ensued was a remarkable tale of
202. persistence on both his part and the part of the penetrators.  He
203. discovered that the discrepancies had come from the not quite perfect
204. attempt of a penetrator to cover his tracks by erasing all evidence
205. that an unauthorized user had consumed computer time.  Unbeknownst to
206. the penetrator, LBL was using two accounting systems, one provided by
207. the vendor, and one the LBL staff had built and installed themselves.
208. The penetrator was unaware of the LBL accounting system, and thus left
209. behind one small clue.
210.  
211. One of the fruits of Dr. Stoll's work was much better rapport with the
212. law enforcement community.  I doubt anyone would suggest the FBI,
213. Secret Service and various local police agencies are yet completely
214. equipped to deal with network penetrations, but their skill and
215. experience and, perhaps more importantly, their attention to this type
216. of problem, is certainly improving.
217.  
218. THE MORRIS WORM INCIDENT
219.  
220. Most of the breakins across the Internet were carried out by people
221. with modest skill and much patience.  They often wrote programs to
222. help them break into computers, but the programs tended to be
223. relatively simple.
224.  
225. However, in 1988, Robert Morris Jr., then a graduate student at
226. Cornell University, demonstrated that one could break into a large
227. number of computers in an automated way.  He wrote a program which
228. exploited poorly chosen passwords and configuration errors, and which
229. also exploited flaws in the software delivered by the vendor.  The
230. most striking feature of Morris' software is that once it broke into
231. one computer, it would use that computer as a platform to stage
232. breakins at other computers.  Since it is common for groups of
233. computers to be operated with mutual trust, it was sometimes easier to
234. break into a computer from a nearby mutually trusted computer than it
235. would have been to break into from afar.  The self-propagating nature
236. of Morris' program is known as a "worm."
237.  
238. Within hours after his software was released, it had traveled to
239. several thousand computers.  Although his intent had been for the worm
240. to exist unnoticed for a long time, it was quickly discovered and
241. eradicated.  Researchers and computer system administrators at MIT,
242. University of California, Berkeley and other sites worked around the
243. clock to understand and counter the worm, and it was brought under
244. control within a day or two.
245.  
246. The incident brought the Internet community together almost overnight,
247. and ARPA established the Computer Emergency Response Team (CERT) in
248. Pittsburgh to collect information on security incidents and to assist
249. in coordination of future incidents.  Dain Gary, the head of the CERT,
250. is also testifying today and can provide a picture of how active the
251. CERT has been since its establishment five years ago.
252.  
253. The Morris worm caused vendors to review their software for security
254. weaknesses, and to respond quickly and vigorously to reports of flaws
255. in their software.  Sun Microsystems, Digital Equipment Corporation,
256. and others set up special procedures for fixing security-relevant
257. flaws and releasing those fixes to the network community.  The CERT
258. has worked with vendors to create these channels.  These channels have
259. been helpful, but I believe there needs to be even closer cooperation
260. between the users and the vendors.
261.  
262.  
263. THE NEW THREAT: PASSWORD SNIFFING
264.  
265. The rash of incidents which is the subject of this hearing is the wide
266. spread appearance of "sniffing" programs which capture passwords while
267. they are in transit across the Internet.  These programs make use of
268. the fact that a computer on an Ethernet -- and most other kinds of
269. local area networks -- can choose to read all of the messages on that
270. network, even if they are not addressed to that particular computer.
271. Usually a computer only examines messages addressed to that computer,
272. but the penetrators can insert sniffing programs in a variety of
273. computers across the network.  Using these programs, they look for
274. passwords, and then make use of those passwords to break into other
275. computers.  It is estimated that several thousand passwords have been
276. compromised.
277.  
278. This threat is serious and needs to be countered.  It is no longer
279. appropriate to transmit passwords in the clear across the Internet, or
280. indeed across any local area network, and security measures must
281. evolve to provide stronger protection.  Let me emphasize that this
282. threat is not limited to the Internet.  The same threat exists in
283. every local area network, whether or not it is connected to the
284. Internet.
285.  
286. It should also be understood that this set of incidents tell us that
287. protecting passwords is not enough.  The same sniffer technology makes
288. it possible to simply record "interesting" messages.  Even if we
289. improve the protection of passwords, we will shortly need to protect
290. all of the traffic on networks.
291.  
292. Part of the work necessary to counter this threat has already been
293. done, but additional work is needed.  Before detailing the specific
294. measures needed to thwart this kind of attack, I want to give a little
295. bit of background on the Internet Engineering Task Force, where
296. technical developments of Internet protocols are carried out.
297.  
298. THE INTERNET ENGINEERING TASK FORCE
299.  
300. Computers on the Internet communicate using standard protocols, which
301. are agreements on the format and sequencing of messages sent over the
302. network.  I mentioned the TCP and IP protocols earlier. These are the
303. core protocols that knit the Internet together, but they are by no
304. means the only protocols.  Actually dozens of protocols are in daily
305. use on the Internet.  They govern the way electronic mail is
306. transmitted, the way a user on one computer logs in remotely to
307. another computer, the way files are transferred, the way information
308. is published through "gopher" and the World Wide Web.  There is a
309. large number of protocols, more are being created every year.  The
310. Internet is a vibrant and active system, and it is constantly evolving
311. to provide new services and to operate in new environments.
312.  
313. Each protocol represents a substantial technical effort, involving
314. groups of people across several organizations.  Once the technical
315. specification for a protocol is complete, companies and other
316. organizations implement it.  These efforts represent the investment of
317. millions of dollars of development and risk each year.
318.  
319. Because protocols govern the way computers interact with each other
320. across the Internet and affect virtually computer systems, protocols
321. must be developed in an open, fair and efficient environment.  The
322. Internet Engineering Task Force (IETF) provides that forum.  At any
323. given time there are usually sixty to eighty working groups in the
324. IETF, each developing a specific protocol.  At the present time, we
325. have working groups focused on new applications such as video
326. conferencing over the Internet, on the use of higher speed media
327. including gigabit technology, and on broadening the Internet to
328. potentially serve several billion people worldwide.
329.  
330. The IETF is open to anyone.  Its work is carried out by electronic
331. mail and through regular meetings.  Everyone is welcome to join the
332. mailing lists or to attend the working meetings.  Decisions are made
333. by consensus, and bit of care is taken to make sure that everyone has
334. an opportunity to be heard.
335.  
336. To facilitate and manage the IETF, the working groups are divided into
337. several areas.  A steering group which consists of the area directors
338. and the chair of the IETF oversees all of the working groups.  One of
339. these areas is Security, and its purpose is to develop protocols which
340. improve the security of the data networking.  As is obvious from our
341. appearance here today, there is more work to be done.
342.  
343.  
344. SECURITY PROTOCOLS
345.  
346. As I outlined above, when the Arpanet was first built, we took security
347. seriously and imposed the same controls across the network that were
348. already being employed within each computer.  It is therefore quite
349. commonplace for a user to have to identify herself when she wants to use
350. a remote computer, and for her to prove that her identity is accurate by
351. typing a password.  As we have also seen, such measures are not
352. completely adequate, partly because passwords are often poorly chosen,
353. and in light of the most recent events, it is also evident that
354. passwords may be discovered by sophisticated eavesdropping.
355.  
356. For approximately twenty years there has been active research to
357. develop stronger forms of protection in networks, and over the last
358. ten years, that work has focused on developing specific protocols to
359. enhance security in the Internet.  Protocols have been designed to add
360. privacy and authenticity to electronic mail, to facilitate remote use
361. of facilities without passing passwords, to protect control messages
362. used to manage remote devices, and others.
363.  
364. These protocols all require the use of cryptography.  In some cases the
365. cryptography is used to protect messages against tampering or to provide
366. assurance that the sender is who he says he is.  In other cases the
367. cryptography is used to protect the contents of a message from being
368. seen while it is being sent across the Internet.
369.  
370. Cryptography is not a simple subject, and it consists of a variety of
371. techniques.  The most common technique is scrambling a message
372. according to a secret code.  If the person receiving the message also
373. knows the code, then she can unscramble it. In technical parlance,
374. this is known as a symmetric key cipher because the same code, or
375. "key", is used to scramble and unscramble the message.
376.  
377. In the 1970s and 1980s, there was a remarkable breakthrough in
378. cryptography with the invention of asymmetric, or "public key"
379. cryptography.  What's different about asymmetric cryptography is that
380. the person scrambling the message and the person unscrambling the
381. message use different, but related, keys, and the person with one key
382. cannot figure out what the other key is.  This makes it possible for one
383. of the keys, say the scrambling key, to be advertised widely, without
384. disclosing what the corresponding unscrambling key is.
385.  
386. Asymmetric cryptography is important because it is extremely well
387. matched to the needs of computer networks.  It makes it possible to
388. use cryptography routinely on a very wide scale.
389.  
390. Research in cryptography has been an important stimulus for developing
391. better security protection in networks.  Several security protocols
392. have been developed for the Internet which employ cryptographic
393. techniques.  However, these protocols have not yet been very widely
394. implemented or deployed.  I think the prospects for using these
395. stronger protocols are good, but the path is not completely clear, and
396. I want to briefly examine the reasons.
397.  
398.  
399. IMPEDIMENTS
400.  
401. There are two reasons why cryptography is not more widely used in the
402. Internet today.  One is ease of use; the other is government policy.
403.  
404. Until recently, the most common form of direct interaction over the
405. Internet has been logging into a remote computer.  As noted before,
406. the same protection is employed for these remote connections as is
407. used locally, viz passwords.  Passwords are still reasonably useful in
408. a controlled environment, but they are vulnerable when exposed across
409. a network.  However, the alternative is to use some form of challenge-
410. response system.  In a challenge-response system, there is still a
411. shared secret, but it is not transmitted over the network.  Instead,
412. when the user attempts to connect to a remote computer, the remote
413. computer sends the user a randomly chosen number.  The user must
414. demonstrate that he knows the shared secret by scrambling the random
415. number in accordance with the shared secret.  If he does so correctly
416. and sends the scrambled number back to the remote computer, the remote
417. computer knows it is communicating with the real user and not some
418. imposter.  This system is secure because the remote computer chooses a
419. different random number challenge each time.  An eavesdropper cannot
420. determine the secret key from listening to the exchange, and he cannot
421. impersonate the user because the remote computer never chooses the
422. same challenge.
423.  
424. One difficulty with this scheme is the scrambling process requires
425. some computation.  (It is also possible to use a preprinted list of
426. responses.)  In the past, it has been commonplace to assume the user
427. has no computational capability because she may be using an ordinary
428. "dumb" terminal.  To use this form of challenge response system, many
429. users now carry small devices that look like calculators to compute
430. the response when presented with a challenge.  However, this is
431. somewhat burdensome and expensive, and is not used universally.
432.  
433. Fewer and fewer dumb terminals exist.  Most users have a personal
434. computer or something equivalent on their end of the connection, so
435. the computation can be carried out within the personal computer.  This
436. is particularly important for travelers and others using services
437. remotely.  The growing popularity of laptop computers sets the stage
438. for widespread use of challenge-response security in remote access
439. protocols.
440.  
441. The other factor that has limited the deployment of cryptographic
442. protection is government policy, particularly the export regulations.
443. Cryptographic products have been classified as munitions and
444. controlled under the International Traffic in Arms Regulations (ITAR).
445. Without going into the complete history of the regulations, the effect
446. has been to squelch the inclusion of cryptographic protection in the
447. broad range of computer and network products.  U.S. computer companies
448. compete in a world market.  Since domestic sales typically account for
449. only half of total sales, products excluded from the world market are
450. generally not worth manufacturing.  Furthermore, since a significant
451. portion of the total Internet traffic is between businesses,
452. universities and research institutions internationally, the design of
453. security systems, both on today's Internet and tomorrow's NII, needs
454. to be globally acceptable.
455.  
456. Over the past couple of years, there has been considerable attention
457. to the counter-intuitive impact of U.S. policy on the security of the
458. Internet.  The intelligence community maintains that export controls
459. are essential, even though quite strong cryptographic software is
460. available freely from foreign companies and from foreign sites on the
461. Internet.  The Commerce Department's nearly 20 year old DES symmetric
462. algorithm is published in numerous widely used textbooks dealing with
463. computer security.  In addition to freely available software
464. worldwide, hardware implementations are available around the world and
465. may be ordered for overnight delivery into the U.S. from abroad.  Last
466. fall, the president of our company, Steve Walker, demonstrated the
467. efficacy of DES software obtained from multiple countries in testimony
468. before Rep. Gejdenson's subcommittee.  He used DES software products
469. obtained from abroad to encrypt speech and music being transmitted
470. over a local area network using ordinary, unmodified workstations.
471.  
472. Export control of cryptography is part of a larger picture of government
473. policy related to cryptography in general.  Three other initiatives are
474. now visible as part of the same picture.
475.  
476.  
477.      NIST has been developing a government standard for digital
478.      signatures.  This is peculiar because industry is already using
479.      the RSA algorithm for digital signatures, and there is no reason
480.      for the government to do anything but adopt this robust and well
481.      proven technology.  However, NIST has proposed a different
482.      algorithm which has no technical advantages and is clouded with
483.      unresolved patent disputes.
484.  
485.      The only explanation for NIST's strategy is that the RSA
486.      algorithm is usable for encrypted communication as well as for
487.      digital signatures.  NIST's strategy, at the behest of the
488.      intelligence community, is to attempt to split apart digital
489.      signature technology from encryption technology, thereby
490.      forestalling the wider use of encryption.  NIST's attempt to
491.      create a government standard with a different algorithm is an
492.      expensive and diversionary course, whose sole justification and
493.      effect can only be that it may delay the wider use of the RSA
494.      algorithm.
495.  
496.      The law enforcement community also maintains that widespread use
497.      of cryptography would affect its ability to carry out its
498.      mission.  On that account, the government has proposed the use of
499.      an escrowed key encryption system known as Clipper.  Clipper
500.      requires the use of special hardware.  This initiative fails
501.      several tests, including the cost of the hardware, strong
502.      resistance from the U.S. community, and the virtual impossibility
503.      of selling such systems to the foreign market, which accounts for
504.      50% or more of the market.
505.  
506.      The FBI has asked that legislation be introduced requiring that   
507.      all telecommunication facilities be easy to wiretap.  
508.  
509.  
510. Taken together, these initiatives make it clear that the government
511. has a strong desire to be able to read the mail, both foreign and
512. domestic.  This desire takes precedence over strengthening the
513. security of the information infrastructure.  For example, there are no
514. initiatives directed towards assuring that products come "network
515. safe" so they are not vulnerable to attack when they are plugged into
516. networks.  There are no initiatives which provide protection for
517. companies which attempt to deal forthrightly with possible flaws in
518. their products.
519.  
520. This set of priorities is unfortunate.  It will retard the development
521. of the National Information Infrastructure, and it will diminish the
522. U.S. market share in the information industry, an area in which U.S.
523. has established a clear competitive lead and dominant market position.
524.  
525. Fortunately, the effects are limited.  The general requirement for
526. strong security is now widely understood in the network community.
527. Protocols which embody strong protection are being defined, developed
528. and documented.  Implementations will come into existence around the
529. world.  The export controls may retard these developments by a few
530. years, at most.  Nonetheless we can expect to see widespread
531. protection of network traffic, and correspondingly fewer penetrations
532. from both amateurs and professionals.  The only interesting question
533. is whether the software which protects us will be made in the U.S.A.
534. or imported from abroad.
535.  
536. =======================================================================
537.