home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / security / doc / clippings / 920522-01 < prev    next >
Encoding:
Internet Message Format  |  1992-06-04  |  7.1 KB
  1. From: kaplan@violet.ccit.arizona.edu (A PR problem for DEMAX)
  2. Newsgroups: alt.security
  3. Subject: diary of a security incident
  4. Keywords: security, security incidents
  5. Message-ID: <22MAY199212464623@violet.ccit.arizona.edu>
  6. Date: 22 May 92 19:46:00 GMT
  7. Organization: University of Arizona
  8.  
  9. Cross post to various places - sorry if you have seen it already.
  10.     comp.os.vms, alt.security, DECUS bbs (DECUServe) and others
  11.  
  12. Wednesday, May 20, 1992 a VMS V5.4-1 system was discovered to have been soundly
  13. and skillfully hacked.  While this particular attack was specific to this
  14. version of VMS, it is certainly possible to do on other versions as well as
  15. other operating systems.  In addition, the case presents many classic lessons
  16. for the security management of all systems and networks.
  17.  
  18. At about 13:00, a user reported that they had made a typo at the PASSWORD:
  19. prompt of a VMS V5.4-1 system and discovered that 5 characters (which were not
  20. their password) would allow them access to their account.  Upon subsequent
  21. investigation (which took place after the system was actually lost to an
  22. attacker), it was discovered that any 5 alphanumeric characters (not special
  23. characters, interestingly enough) OR an account's real password would allow
  24. access to any account on the system.
  25.  
  26. Word or this problem leaked into the user community (this system has about 500
  27. accounts) at large very quickly and at 18:30 someone dialed into the system and
  28. took control of it by (in quick succession) turning off security auditing,
  29. changing all key passwords (SYSTEM, the System Manager's and that of the System
  30. Administrator) and stopping the processes of the System Manager and the System
  31. Administrator.  After a quick system halt, and a conversational boot, control of
  32. the system was regained by carefully making cleanup changes to the User
  33. Authorization File and installing defensive measures.
  34.  
  35. Our preliminary investigation reveals a skillfully patched version of LOGINOUT
  36. which escapes the view of the casual observer - the patch was only detected by
  37. comparing the checksum of the suspect LOGINOUT to that of one obtained from
  38. operating system distribution media.  Subsequent investigation reveals that this
  39. system had been experiencing security problems (which were not cleaned up
  40. properly) for quite some time (over a year).  In a recent episode (some months
  41. ago), an unauthorized privileged account was discovered.  The System
  42. Administrator chose to remove the privileges from the account and leave it on
  43. the system without taking any other actions.  During this most recent episode,
  44. this same account was - once again - discovered to have unauthorized privileges.
  45. Our conclusion is that this normally unprivileged user had the ability to
  46. obtain unauthorized privileges at will and knew exactly how to make use of them
  47. to patch LOGINOUT.  At this writing, it has not been able determined how
  48. privileges were obtained or if, in fact, if this particular account was
  49. responsible for the patched LOGINOUT.  It is, however,  evident that these
  50. conclusions are highly probable.
  51.  
  52. Here are some important CHECKSUMS to consider.  They were taken from images on a
  53. CDROM release of VMS V5.4-1.  Just because yours might match these, don't think
  54. that you are safe from an attack on them.  The "native" VMS CHECKSUM utility IS
  55. *NOT* robust for detecting all possible changes to a file - especially changes
  56. to an image.  Consider the checksums produced by the "native" VMS checksum
  57. utility to be a "quick indicator" that there is a problem.  It is NOT clear that
  58. the LOGINOUT images is the only one that was affected in this incident - these
  59. are just the ones that we looked at in the heat of trying to find out what
  60. happened.  First we examined the CHECKSUM utility itself to gain confidence that
  61. this tool was uncompromised, and then we examined the LOGINOUT image as the
  62. likely cause of the problem.  Note, the following checksums are from images on a
  63. CDROM release of VMS V5.4-1 - NOT the compromised utilities.
  64.  
  65. $ checksum loginout.exe/image
  66. file $90$DKB400:[VMS054]LOGINOUT.EXE;1
  67. image section %D'1' checksum is %X'64040716'
  68. image section %D'2' checksum is %X'30FAA60E'
  69. image section %D'3' checksum is %X'50D98C63'
  70. image section %D'4' checksum is %X'D940C862'
  71. image section %D'5' checksum is %X'DBCF1E90'
  72. image section %D'6' checksum is %X'F25B5AEB'
  73. image section %D'7' checksum is %X'000F2815'
  74. image header checksum is %X'13001A2D'
  75. checksum of all image sections is %X'F4FC8977'
  76.  
  77. $ checksum checksum.exe/image
  78. file $90$DKB400:[VMS054]CHECKSUM.EXE;1
  79. image section %D'1' checksum is %X'444E7A57'
  80. image section %D'3' checksum is %X'E0E223A0'
  81. image section %D'4' checksum is %X'6B86477E'
  82. image section %D'5' checksum is %X'42080D22'
  83. image header checksum is %X'6EF70B31'
  84. checksum of all image sections is %X'8D2213AB'
  85.  
  86. The *only way* to BE SURE that you have "unpatched" images it to DIFF them with
  87. known good ones (i.e.: from a known good distribution) or to use a "checksummer"
  88. that employs an algorithm that has cryptographic strength.  It is also helpful
  89. to have a "change detection tool" that knows enough about the structure of the
  90. files that you are checking to ensure that subtle changes have not been made to
  91. them.  A product that does both of these things (and is worthy of your
  92. consideration) is one from DEC called DECdetect.  The "native" VMS CHECKSUM
  93. utility is not robust enough to rely upon for this work, although it DID find
  94. this particular problem.
  95.  
  96. At this writing, the actual happenings with this incident are still not well
  97. understood, but it IS clear that the basic rules of good system/network security
  98. management would have worked wonders.  Take a close look at your systems -
  99. especially accounts with privs and "strange" loginout behavior.   An important
  100. lesson:   Do not let obvious security-related problems go unattended.  If you
  101. discover a security problem (i.e.: the appearance of unauthorized privileges on
  102. an account or the obvious misbehavior of a key system program such as LOGINOUT)
  103. - act *immediately* to regain control and trust of the system.  Security
  104. assessment tools used under the guidance of an enforced security policy and the
  105. discipline to institute vigorous cleanup measures after the discovery of a
  106. problem are absolute musts. 
  107.  
  108. I presented a review of the available security assessment tools for VMS in an
  109. article in ISPNews (Vol 3, Issue 2 - March/April 1992) and I wrote a review of
  110. the DECdetect tool in the March 2, 1992 issue of Digital News.  You can contact
  111. ISPNews by FAX at (508) 782-1153 and DECdetect product 
  112. information can be obtained by FAX from DEC's Peter Troxell at (513) 454-4353. 
  113. Recently, a detailed comparison of VMS security assessment tools was posted to
  114. USENET news group comp.os.vms by NASA System Administrator Greg Blumers.  Copies
  115. of Greg's review can be obtained by sending mail to
  116. uugblum@scivax.lerc.nasa.gov.  If you do not have access to the Internet, please
  117. feel free to FAX me a request for a copy of Greg's work at (602) 791-3325.  I am
  118. writing a complete chronology of this episode.  If you'd like a copy of the
  119. finished work, send me mail (paper or otherwise).
  120.  
  121. Ray Kaplan
  122. P.O. Box 42650
  123. Tucson, AZ  85733
  124. Internet: kaplan@ccit.arizona.edu
  125. BITNET: kaplan@arizvms
  126. FAX (602) 791-3325
  127.  
  128.  
  129. RayK 8-)
  130.  
  131.