$! ------------------ CUT HERE -----------------------
$ v='f$verify(f$trnlnm("SHARE_UNPACK_VERIFY"))'
$!
$! This archive created:
$!  Name : CHALLENGE_RESPONSE
$!  By   : mark.berryman@MVB.SAIC.COM
$!  Date : 14-FEB-1994 14:37:16.54
$!  Using: VMS_SHARE 8.4, (C) 1993 Andy Harper, Kings College London UK
$!
$! Credit is due to these people for their original ideas:
$!    James Gray, Michael Bednarek 
$!
$!+ THIS PACKAGE DISTRIBUTED IN 3 PARTS, TO KEEP EACH PART
$!  BELOW 100 BLOCKS
$!
$! TO UNPACK THIS SHARE FILE, CONCATENATE ALL PARTS IN ORDER
$! AND EXECUTE AS A COMMAND PROCEDURE  (  @name  )
$!
$! THE FOLLOWING FILE(S) WILL BE CREATED AFTER UNPACKING:
$!       1. 000README.TXT;1
$!       2. AAAREADME.TXT;1
$!       3. BUILD_CR_KIT.COM;1
$!       4. CERT_CA-94.01;1
$!       5. CHALLENGE_RESPONSE.BAS;1
$!       6. CHALRSP_BAS.MFT;1
$!       7. CR-INCLUDE.INC;1
$!       8. CR_MAINT.BAS;1
$!       9. CR_POLICY.BAS;1
$!      10. PBYDRIVER.FDL;1
$!      11. PRVDEF.MAR;1
$!      12. TRMDEF.MAR;1
$!
$ set="set"
$ set symbol/scope=(nolocal,noglobal)
$ f=f$parse("SHARE_UNPACK_TEMP","SYS$SCRATCH:."+f$getjpi("","PID"))
$ e="write sys$error  ""%UNPACK"", "
$ w="write sys$output ""%UNPACK"", "
$ if .not. f$trnlnm("SHARE_UNPACK_LOG") then $ w = "!"
$ if f$getsyi("CPU") .gt. 127 then $ goto start
$ ve=f$getsyi("version")
$ if ve-f$extract(0,1,ve) .ges. "4.4" then $ goto start
$ e "-E-OLDVER, Must run at least VMS 4.4"
$ v=f$verify(v)
$ exit 44
$unpack: subroutine ! P1=filename, P2=checksum, P3=attributes,P4=size
$ if f$parse(P1) .nes. "" then $ goto dirok
$ dn=f$parse(P1,,,"DIRECTORY")
$ w "-I-CREDIR, Creating directory ''dn'"
$ create/dir 'dn'
$ if $status then $ goto dirok
$ e "-E-CREDIRFAIL, Unable to create ''dn' File skipped"
$ delete 'f'*
$ exit
$dirok:
$ x=f$search(P1)
$ if x .eqs. "" then $ goto file_absent
$ e "-W-EXISTS, File ''P1' exists. Skipped"
$ delete 'f'*
$ exit
$file_absent:
$ w "-I-UNPACK, Unpacking ", P5, " of ", P6, " - ", P1, " - ", P4, " Blocks"
$ n=P1
$ if P3 .nes. "" then $ n=f
$ if .not. f$verify() then $ define/user sys$output nl:
$ EDIT/TPU/NOSEC/NODIS/COM=SYS$INPUT/NOJOURNAL 'f'/OUT='n'
PROCEDURE GetHex(s,p)LOCAL x1,x2;x1:=INDEX(t,SUBSTR(s,p,1))-1;x2:=INDEX(t,
SUBSTR(s,p+1,1))-1;RETURN 16*x1+x2;ENDPROCEDURE;PROCEDURE SkipPartsep LOCAL m;
LOOP m:=MARK(NONE);EXITIF m=END_OF(b);DELETE(m);EXITIF INDEX(ERASE_LINE,
"-+-+-+-+-+-+-+-+")=1;ENDLOOP;ENDPROCEDURE;PROCEDURE ProcessLine LOCAL c,s,l,b,
n,p;c := ERASE_CHARACTER(1);s := ERASE_LINE;IF c = "X" THEN SPLIT_LINE; ENDIF;
MOVE_HORIZONTAL(-1);l := LENGTH(s);p := 1;LOOP EXITIF p > l;c := SUBSTR(s,p,1);
p := p+1;CASE c FROM ' ' TO '`' ['`']: COPY_TEXT(ASCII(GetHex(s,p))); p:=p+2;[
' ']: p:=p+1;[INRANGE,OUTRANGE]: COPY_TEXT(c);ENDCASE;ENDLOOP;ENDPROCEDURE;
PROCEDURE Decode LOCAL m;POSITION(BEGINNING_OF(b));LOOP m:=MARK(NONE);EXITIF m=
END_OF(b);DELETE(m);IF INDEX(CURRENT_LINE,"+-+-+-+-+-+-+-+-")=
1 THEN SkipPartSep;ELSE ProcessLine;MOVE_HORIZONTAL(1);ENDIF;ENDLOOP;
ENDPROCEDURE;SET(FACILITY_NAME,"UNPACK");SET(SUCCESS,OFF);SET(INFORMATIONAL,
OFF);t:="0123456789ABCDEF";f:=GET_INFO(COMMAND_LINE,"file_name");b:=
CREATE_BUFFER(f,f);Decode;WRITE_FILE(b,GET_INFO(COMMAND_LINE,"output_file"));
QUIT;
$ if p3 .eqs. "" then $ goto dl
$ open/write fdl &f
$ write fdl "RECORD"
$ write fdl P3
$ close fdl
$ w "-I-CONVRFM, Converting record format to ", P3
$ convert/fdl=&f &f-1 &P1
$dl: delete 'f'*
$ checksum 'P1'
$ if checksum$checksum .nes. P2 then $ -
  e "-E-CHKSMFAIL, Checksum of ''P1' failed."
$ exit
$ endsubroutine
$start:
$!
$ create 'f'
XSpecial`20note`20for`20VMS_SHARE`20users:
X
XI`20have`20included`20an`20MFTU`20PACK`20archive`20of`20the`20OBJect`20files
V`20for`20the`20BASIC
Xsource`20modules`20in`20this`20package.`20If`20you`20have`20no`20BASIC`20compi
Vler,`20you`20can
Xextract`20them`20with`20the`20commands:
X
X`09$`20MFTU`20DECODE`20CHALRSP_BAS`20/LOG
X`09$`20MFTU`20UNPACK`20CHALRSP_BAS.PCK`20/LOG
X
Xand`20then`20use`20the`20resulting`20.OBJ`20files`20as`20inputs`20to`20the`20L
VINK`20commands.
X
X
XPeter`20Smode
X7-Feb-1994
$ call unpack 000README.TXT;1 1514607052 "" 1 1 12 
$!
$ create 'f'
X`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20
V`20CHALLENGE_RESPONSE
X`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20
V`20`20`20`20`20`20`20`20`20by
X`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20
V`20`20`20`20`20Peter`20Smode
X`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20(ps
Vmode@jeslacs.bc.ca)
X
X
X`20`20`20`20This`20package`20implements`20a`20Simple-Simon`20challenge/respons
Ve`20password
X`20`20`20`20mechanism`20for`20interactive`20logins.`20While`20it`20is`20missin
Vg`20a`20few`20bells
X`20`20`20`20and`20whistles,`20it`20does`20seem`20to`20do`20the`20job`20despite
V`20the`20fact`20that`20it
X`20`20`20`20was`20cobbled`20together`20rather`20quickly.
X
X`20`20`20`20This`20package`20was`20written`20to`20help`20combat`20the`20ongoin
Vg`20network
X`20`20`20`20monitoring`20attacks`20as`20reported`20by`20CERT`20(see`20CERT`20a
Vdvisory`20dated
X`20`20`20`203-Feb-1994).`20System`20and`20security`20managers`20of`20sites`20r
Vunning`20TCP/IP
X`20`20`20`20(especially`20Internet`20sites)`20are`20advised`20to`20examine`20t
Vhis`20report.
X
X`20`20`20`20This`20package`20does`20not`20make`20your`20system`20invulnerable
V`20to`20network
X`20`20`20`20monitoring`20attacks;`20however,`20it`20can`20make`20the`20hackers
V`20job`20much`20more
X`20`20`20`20difficult.
X
X`20`20`20`20Challenge/response`20passwords`20help`20in`20situations`20where
X`20`20`20`20username/password`20combinations`20must`20be`20sent`20over`20netwo
Vrk`20links`20in
X`20`20`20`20plain`20text.`20This`20mechanism`20depends`20upon`20a`20long`20key
V`20phrase.`20This
X`20`20`20`20phrase`20may`20be`20unique`20to`20the`20user,`20his`20group,`20the
V`20system,`20etc.,
X`20`20`20`20depending`20upon`20the`20policy`20implemented.`20Key`20phrases`20a
Vre`20usually
X`20`20`20`20long,`20and`20thirty`20character`20phrases`20are`20not`20uncommon.
V
X
X`20`20`20`20When`20a`20user`20logs`20in,`20the`20system`20will`20identify`20th
Ve`20key`20phrase
X`20`20`20`20appropriate`20to`20the`20user`20(according`20to`20site`20policy),
V`20and`20will
X`20`20`20`20randomly`20select`20a`20number`20of`20offsets`20to`20the`20text`20
Vof`20the`20key`20phrase.
X`20`20`20`20The`20number`20of`20offsets`20selected`20will`20be`20a`20small`20n
Vumber`20relative`20to
X`20`20`20`20the`20length`20of`20the`20key`20phrase.
X
X`20`20`20`20The`20user`20is`20then`20shown`20the`20offsets,`20and`20must`20res
Vpond`20with`20the
X`20`20`20`20characters`20from`20the`20key`20phrase`20at`20those`20offsets.
X
X`20`20`20`20The`20idea`20is`20that`20the`20exposure`20of`20the`20system`20is
V`20limited`20by`20virtue
X`20`20`20`20of`20the`20fact`20that`20so`20few`20of`20the`20characters`20from
V`20the`20key`20phrase`20are
X`20`20`20`20demanded`20at`20any`20one`20time.`20To`20futher`20confound`20netwo
Vrk`20monitors,`20the
X`20`20`20`20user`20is`20given`20a`20number`20(say`20three)`20input`20lines`20t
Vo`20enter`20the
X`20`20`20`20correct`20response;`20the`20user`20may`20enter`20the`20correct`20r
Vesponse`20on`20any
X`20`20`20`20one`20of`20those`20input`20lines.`20For`20the`20network`20monitor,
V`20this
X`20`20`20`20complicates`20their`20task`20since`20they`20don't`20even`20know`20
Vwhich`20line
X`20`20`20`20contained`20the`20correct`20response.
X
X
X
X`20`20`20`20INSTALLATION`20AND`20USE:
X`20`20`20`20---------------------
X`20`20`20`20The`20following`20files`20are`20included`20in`20this`20package:
X`20`20`20`20`09AAAREADME.TXT`09`09-`20This`20file
X`20`20`20`20`09CERT_CA-94.01`09`09-`20CERT`20advisory`20"Ongoing`20Network`20M
Vonitoring
X`20`20`20`20`09`09`09`09Attacks"`20(3-Feb-1994)
X`20`20`20`20`09CHALLENGE_RESPONSE.BAS`09-`20Program`20that`20implements`20C/R
V
X`20`20`20`20`09CR-INCLUDE.INC`09`09-`20common`20declarations
X`20`20`20`20`09CR_MAINT.BAS`09`09-`20Key`20phrase`20maintenance`20program
X`20`20`20`20`09CR_POLICY.BAS`09`09-`20Sample`20policy`20module
X`20`20`20`20`09BUILD_CR_KIT.COM`09-`20Command`20procedure`20to`20compile`20`26
V`20link
X`20`20`20`20`09PBYDRIVER.FDL`09`09-`20FDL`20to`20create`20the`20inital`20key
V`20phrase
X`20`20`20`20`09`09`09`09data`20file`20in`20SYS$SYSTEM
X`20`20`20`20`09PRVDEF.MAR`09`09-`20MACRO`20defs`20for`20PRV$_xxxxxx`20constant
Vs
X`20`20`20`20`09TRMDEF.MAR`09`09-`20MACRO`20defs`20for`20TRM$_xxxxxx`20constant
Vs
X
X
X`20`20`20`20Examine`20the`20CR_POLICY`20module`20to`20see`20if`20it`20meets`20
Vyour`20needs.`20Make
X`20`20`20`20any`20changes`20required,`20or`20replace`20it`20completely.`20If
V`20you`20write`20your
X`20`20`20`20own`20module`20in`20something`20other`20than`20BASIC,`20you`20will
V`20need`20to`20modify
X`20`20`20`20the`20BUILD_CR_KIT`20command`20procedure.
X
X`20`20`20`20Run`20the`20BUILD_CR_KIT`20to`20compile`20and`20link`20the`20works
V.`20The`20two
X`20`20`20`20executeables`20(CHALLENGE_RESPONSE`20and`20CR_MAINT),`20should`20b
Ve`20copied
X`20`20`20`20to`20SYS$SYSTEM.`20Only`20CHALLENEGE_REPONSE`20should`20be`20marke
Vd`20W:RE`20and
X`20`20`20`20installed`20with`20SYSPRV.
X
X`20`20`20`20Next,`20execute`20the`20following`20command`20to`20create`20the`20
Vempty`20key`20phrase
X`20`20`20`20data`20file:
X`20`20`20`20`09$`20CREATE`20/FDL=PBYDRIVER
X`20`20`20`20The`20file`20name`20is`20intentionally`20misleading`20to`20try`20t
Vo`20hide`20if`20from
X`20`20`20`20mallicious`20users.
X
X`20`20`20`20The`20CR_MAINT`20program`20should`20be`20run`20next`20to`20enter
V`20a`20default`20key
X`20`20`20`20phrase.`20This`20key`20phrase`20will`20be`20used`20during`20login
V`20attempts`20if`20the
X`20`20`20`20CR_POLICY`20module`20dictates`20the`20use`20of`20a`20key`20phrase
V`20that`20has`20not
X`20`20`20`20been`20entered`20yet`20(eg.`20a`20username`20specific`20policy`20h
Vas`20been`20defined
X`20`20`20`20and`20no`20key`20phrase`20has`20been`20entered`20for`20that`20user
V`20yet).`20If`20no
X`20`20`20`20default`20key`20phrase`20exists,`20users`20with`20no`20valid`20key
V`20phrase`20will`20be
X`20`20`20`20logged`20off`20immediately.
X
X`20`20`20`20CR_MAINT`20prompts`20for`20a`20username`20and`20then`20the`20key
V`20phrase.`20If`20a`20key
X`20`20`20`20phrase`20exists,`20it`20is`20displayed`20and`20may`20be`20edited.
V`20If`20the`20key
X`20`20`20`20phrase`20record`20is`20to`20be`20deleted,`20erase`20the`20contents
V`20of`20the`20line.`20If
X`20`20`20`20no`20changes`20are`20desired,`20just`20press`20return`20or`20Contr
Vol-Z.`20To`20exit
X`20`20`20`20from`20the`20program,`20press`20Control-Z`20at`20the`20Username`20
Vprompt.`20For`20more
X`20`20`20`20information`20on`20this`20program,`20please`20read`20the`20source.
V
X
X`20`20`20`20To`20test`20it,`20try`20adding`20the`20line`20$RUN`20SYS$SYSTEM:CH
VALLENGE_RESPONSE
X`20`20`20`20to`20a`20couple`20accounts'`20LOGIN.COM`20procedures`20and`20try
V`20accessing`20them
X`20`20`20`20in`20different`20modes`20and`20locations`20(SUBMIT,`20SET`20HOST,
V`20TELNET,`20ETC.)
X
X`20`20`20`20Once`20things`20check`20out,`20you`20are`20now`20ready`20to`20impl
Vement`20challenge
X`20`20`20`20/response`20passwords.`20All`20that`20need`20be`20done`20is`20for
V`20the`20program`20to
X`20`20`20`20be`20inserted`20into`20the`20login`20sequence`20for`20the`20accoun
Vts`20you`20wish`20to
X`20`20`20`20protect;`20SYS$SYLOGIN`20is`20probably`20the`20best`20(you`20want
V`20to`20make`20SURE
X`20`20`20`20it`20ALWAYS`20gets`20executed).
X
X
X`20`20`20`20WHAT`20NEXT?
X`20`20`20`20----------
X
X`20`20`20`20This`20package`20is`20not`20complete.`20More`20work`20needs`20to
V`20be`20done`20in`20areas
X`20`20`20`20like`20encrypting`20the`20key`20phrase`20file,`20security`20audits
V`20on`20the`20key
X`20`20`20`20phrase`20file,`20security`20audits`20on`20C/R`20failure,`20user`20
Vself-maintenance
X`20`20`20`20of`20their`20key`20phrase,`20etc.`20There`20are`20also`20a`20numbe
Vr`20of`20things`20that`20I
X`20`20`20`20missed,`20that`20I`20am`20sure`20you`20will`20all`20tell`20me`20ab
Vout.`20Please`20feel
X`20`20`20`20free`20to`20contact`20me`20with`20questions,`20criticisms`20or`20a
Vdvice.
X
X
X
X`20`20`20`20Peter`20Smode
X`20`20`20`20JES`20Library`20Automation
X`20`20`20`20(psmode@jeslacs.bc.ca)
$ call unpack AAAREADME.TXT;1 488657684 "" 11 2 12 
$!
$ create 'f'
X$`20BASIC`20CHALLENGE_RESPONSE
X$`20BASIC`20CR_POLICY
X$`20BASIC`20CR_MAINT
X$!
X$`20MACRO`20PRVDEF
X$`20MACRO`20TRMDEF
X$!
X$`20LINK`20/NOTRACEBACK`20CHALLENGE_RESPONSE,CR_POLICY,TRMDEF,PRVDEF
X$`20LINK`20/NOTRACEBACK`20CR_MAINT,CR_POLICY,TRMDEF,PRVDEF
X$!
X$`20EXIT
X$!
X$!`09
X$!`09
X$!`09`09Copyright`20(c)`201994,`20Peter`20A.`20Smode`20(Vancouver,`20BC)
X$!`09
X$!`09`09`09All`20Rights`20Reserved
X$!`09
X$!`09Permission`20`20is`20`20hereby`20`20granted`20`20`20to`20`20use,`20`20cop
Vy,`20`20modify,`20`20and
X$!`09distribute`20`20this`20software`20`20provided`20`20that`20the`20`20above
V`20`20copyright
X$!`09notice`20appears`20in`20`20all`20copies`20and`20that`20`20any`20distribut
Vion`20be`20for
X$!`09noncommercial`20purposes.
X$!
X$!`09Peter`20A.`20Smode`20disclaims`20all`20warranties`20with`20regard`20to`20
Vthis
X$!`09software.`20`20In`20no`20event`20shall`20Peter`20A.`20Smode`20be`20liable
V`20for`20any`20
X$!`09special,`20indirect,`20`20or`20consequential`20damages`20or`20any`20damag
Ves`20
X$!`09whatsoever`20`20resulting`20from`20loss`20of`20use,`20data,`20or`20profit
Vs`20arising`20
X$!`09out`20of`20or`20in`20connection`20with`20the`20use`20or`20performance`20o
Vf`20this`20software.
$ call unpack BUILD_CR_KIT.COM;1 1829574714 "" 2 3 12 
$!
$ create 'f'
XFrom:`09MX%"cert-advisory-request@cert.org"`20`203-FEB-1994`2022:28:20.79
XTo:`09PSMODE
XCC:`09
XSubj:`09CERT`20Advisory`20-`20Ongoing`20Network`20Monitoring`20Attacks
X
X=============================================================================
V
XCA-94:01`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20
V`20`20CERT`20Advisory
X`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20
V`20`20`20`20`20February`203,`201994
X`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20Ongoing`20Ne
Vtwork`20Monitoring`20Attacks
X-----------------------------------------------------------------------------
V
X`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20
V`20`20`20`20`20`20`20`20`20
XIn`20the`20past`20week,`20CERT`20has`20observed`20a`20dramatic`20increase`20in
V`20reports`20of
Xintruders`20monitoring`20network`20traffic.`20`20Systems`20of`20some`20service
V
Xproviders`20have`20been`20compromised,`20and`20all`20systems`20that`20offer`20
Vremote
Xaccess`20through`20rlogin,`20telnet,`20and`20FTP`20are`20at`20risk.`20`20Intru
Vders`20have
Xalready`20captured`20access`20information`20for`20tens`20of`20thousands`20of
V`20systems
Xacross`20the`20Internet.
X
XThe`20current`20attacks`20involve`20a`20network`20monitoring`20tool`20that`20u
Vses`20the
Xpromiscuous`20mode`20of`20a`20specific`20network`20interface,`20/dev/nit,`20to
V`20capture
Xhost`20and`20user`20authentication`20information`20on`20all`20newly`20opened
V`20FTP,
Xtelnet,`20and`20rlogin`20sessions.
X
XIn`20the`20short-term,`20CERT`20recommends`20that`20all`20users`20on`20sites
V`20that`20offer
Xremote`20access`20change`20passwords`20on`20any`20network-accessed`20account.
V`20In
Xaddition,`20all`20sites`20having`20systems`20that`20support`20the`20/dev/nit
V`20interface
Xshould`20disable`20this`20feature`20if`20it`20is`20not`20used`20and`20attempt
V`20to`20prevent
Xunauthorized`20access`20if`20the`20feature`20is`20necessary.`20A`20procedure
V`20for
Xaccomplishing`20this`20is`20described`20in`20Section`20III.B.2`20below.`20`20S
Vystems
Xknown`20to`20support`20the`20interface`20are`20SunOS`204.x`20(Sun3`20and`20Sun
V4
Xarchitectures)`20and`20Solbourne`20systems;`20there`20may`20be`20others.`20Sun
V`20Solaris
Xsystems`20do`20not`20support`20the`20/dev/nit`20interface.`20If`20you`20have
V`20a`20system
Xother`20than`20Sun`20or`20Solbourne,`20contact`20your`20vendor`20to`20find`20i
Vf`20this
Xinterface`20is`20supported.
X
XWhile`20the`20current`20attack`20is`20specific`20to`20/dev/nit,`20the`20short-
Vterm
Xworkaround`20does`20not`20constitute`20a`20solution.`20`20The`20best`20long-te
Vrm
Xsolution`20currently`20available`20for`20this`20attack`20is`20to`20reduce`20or
V`20eliminate
Xthe`20transmission`20of`20reusable`20passwords`20in`20clear-text`20over`20the
V`20network.
X
X
X-----------------------------------------------------------------------------
V
X
XI.`20`20`20Description
X
X`20`20`20`20`20Root-compromised`20systems`20that`20support`20a`20promiscuous
V`20network
X`20`20`20`20`20interface`20are`20being`20used`20by`20intruders`20to`20collect
V`20host`20and`20user
X`20`20`20`20`20authentication`20information`20visible`20on`20the`20network.
X
X`20`20`20`20`20The`20intruders`20first`20penetrate`20a`20system`20and`20gain
V`20root`20access
X`20`20`20`20`20through`20an`20unpatched`20vulnerability`20(solutions`20and`20w
Vorkarounds`20for
X`20`20`20`20`20these`20vulnerabilities`20have`20been`20described`20in`20previo
Vus`20CERT
X`20`20`20`20`20advisories,`20which`20are`20available`20anonymous`20FTP`20from
V
X`20`20`20`20`20info.cert.org).`20`20
X
X`20`20`20`20`20The`20intruders`20then`20run`20a`20network`20monitoring`20tool
V`20that`20captures`20up
X`20`20`20`20`20to`20the`20first`20128`20keystrokes`20of`20all`20newly`20opened
V`20FTP,`20telnet,`20and
X`20`20`20`20`20rlogin`20sessions`20visible`20within`20the`20compromised`20syst
Vem's`20domain.
X`20`20`20`20`20These`20keystrokes`20usually`20contain`20host,`20account,`20and
V`20password
X`20`20`20`20`20information`20for`20user`20accounts`20on`20other`20systems;`20t
Vhe`20intruders`20log
X`20`20`20`20`20these`20for`20later`20retrieval.`20`20The`20intruders`20typical
Vly`20install
X`20`20`20`20`20Trojan`20horse`20programs`20to`20support`20subsequent`20access
V`20to`20the
X`20`20`20`20`20compromised`20system`20and`20to`20hide`20their`20network`20moni
Vtoring`20process.
X
XII.`20`20Impact
X
X`20`20`20`20`20All`20connected`20network`20sites`20that`20use`20the`20network
V`20to`20access`20remote
X`20`20`20`20`20systems`20are`20at`20risk`20from`20this`20attack.
X`20`20`20`20`20
X`20`20`20`20`20All`20user`20account`20and`20password`20information`20derived
V`20from`20FTP,
X`20`20`20`20`20telnet,`20and`20rlogin`20sessions`20and`20passing`20through`20t
Vhe`20same`20network
X`20`20`20`20`20as`20the`20compromised`20host`20could`20be`20disclosed.
X
X
XIII.`20Approach
X
X`20`20`20`20`20There`20are`20three`20steps`20in`20CERT's`20recommended`20appro
Vach`20to`20the
X`20`20`20`20`20problem:
X
X`20`20`20`20`20-`20Detect`20if`20the`20network`20monitoring`20tool`20is`20runn
Ving`20on`20any`20of`20your
X`20`20`20`20`20`20`20hosts`20that`20support`20a`20promiscuous`20network`20inte
Vrface.
X
X`20`20`20`20`20-`20Protect`20against`20this`20attack`20either`20by`20disabling
V`20the`20network
X`20`20`20`20`20`20`20interface`20for`20those`20systems`20that`20do`20not`20use
V`20this`20feature`20or`20by
X`20`20`20`20`20`20`20attempting`20to`20prevent`20unauthorized`20use`20of`20the
V`20feature`20on`20systems
X`20`20`20`20`20`20`20where`20this`20interface`20is`20necessary.
X
X`20`20`20`20`20-`20Scope`20the`20extent`20of`20the`20attack`20and`20recover`20
Vin`20the`20event`20that
X`20`20`20`20`20`20`20the`20network`20monitoring`20tool`20is`20discovered.
X
X
X`20`20`20`20`20A.`20`20Detection
X
X`20`20`20`20`20`20`20`20`20The`20network`20monitoring`20tool`20can`20be`20run
V`20under`20a`20variety`20of
X`20`20`20`20`20`20`20`20`20process`20names`20and`20log`20to`20a`20variety`20of
V`20filenames.`20`20Thus,`20the
X`20`20`20`20`20`20`20`20`20best`20method`20for`20detecting`20the`20tool`20is
V`20to`20look`20for`201)`20Trojan
X`20`20`20`20`20`20`20`20`20horse`20programs`20commonly`20used`20in`20conjuncti
Von`20with`20this`20attack,
X`20`20`20`20`20`20`20`20`202)`20any`20suspect`20processes`20running`20on`20the
V`20system,`20and`203)`20the
X`20`20`20`20`20`20`20`20`20unauthorized`20use`20of`20/dev/nit.
X
X`20`20`20`20`20`20`20`20`201)`20Trojan`20horse`20programs:`20
X
X`20`20`20`20`20`20`20`20`20The`20intruders`20have`20been`20found`20to`20replac
Ve`20one`20or`20more`20of`20the
X`20`20`20`20`20`20`20`20`20following`20programs`20with`20a`20Trojan`20horse`20
Vversion`20in`20conjunction
X`20`20`20`20`20`20`20`20`20with`20this`20attack:
X
X`20`20`20`20`20`20`20`20`20`20`20/usr/etc/in.telnetd`20
X`20`20`20`20`20`20`20`20`20`20`20and`20/bin/login`20-`20`20Used`20to`20provide
V`20back-door`20access`20for`20the
X`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20
V`20`20`20intruders`20to`20retrieve`20information
X`20`20`20`20`20`20`20`20`20`20`20/bin/ps`20`20-`20Used`20to`20disguise`20the
V`20network`20monitoring`20process
X`20`20`20`20`20`20`20`20`20`20`20
X`20`20`20`20`20`20`20`20`20Because`20the`20intruders`20install`20Trojan`20hors
Ve`20variations`20of
X`20`20`20`20`20`20`20`20`20standard`20UNIX`20commands,`20CERT`20recommends`20n
Vot`20using`20other
X`20`20`20`20`20`20`20`20`20commands`20such`20as`20the`20standard`20UNIX`20sum(
V1)`20or`20cmp(1)`20commands
X`20`20`20`20`20`20`20`20`20to`20locate`20the`20Trojan`20horse`20programs`20on
V`20the`20system`20until`20these
X`20`20`20`20`20`20`20`20`20programs`20can`20be`20restored`20from`20distributio
Vn`20media,`20run`20from
X`20`20`20`20`20`20`20`20`20read-only`20media`20(such`20as`20a`20mounted`20CD-R
VOM),`20or`20verified`20using
X`20`20`20`20`20`20`20`20`20cryptographic`20checksum`20information.
X`20`20`20`20`20`20`20`20`20
X`20`20`20`20`20`20`20`20`20In`20addition`20to`20the`20possibility`20of`20havin
Vg`20the`20checksum
X`20`20`20`20`20`20`20`20`20programs`20replaced`20by`20the`20intruders,`20the
V`20Trojan`20horse`20programs
X`20`20`20`20`20`20`20`20`20mentioned`20above`20may`20have`20been`20engineered
V`20to`20produce`20the`20same
X`20`20`20`20`20`20`20`20`20standard`20checksum`20and`20timestamp`20as`20the`20
Vlegitimate`20version.
X`20`20`20`20`20`20`20`20`20Because`20of`20this,`20the`20standard`20UNIX`20sum(
V1)`20command`20and`20the
X`20`20`20`20`20`20`20`20`20timestamps`20associated`20with`20the`20programs`20a
Vre`20not`20sufficient`20to
X`20`20`20`20`20`20`20`20`20determine`20whether`20the`20programs`20have`20been
V`20replaced.
X
X`20`20`20`20`20`20`20`20`20CERT`20recommends`20that`20you`20use`20both`20the
V`20/usr/5bin/sum`20and
X`20`20`20`20`20`20`20`20`20/bin/sum`20commands`20to`20compare`20against`20the
V`20distribution`20media
X`20`20`20`20`20`20`20`20`20and`20assure`20that`20the`20programs`20have`20not
V`20been`20replaced.`20`20The`20use
X`20`20`20`20`20`20`20`20`20of`20cmp(1),`20MD5,`20Tripwire`20(only`20if`20the
V`20baseline`20checksums`20were
X`20`20`20`20`20`20`20`20`20created`20on`20a`20distribution`20system),`20and`20
Vother`20cryptographic
X`20`20`20`20`20`20`20`20`20checksum`20tools`20are`20also`20sufficient`20to`20d
Vetect`20these`20Trojan
X`20`20`20`20`20`20`20`20`20horse`20programs,`20provided`20these`20programs`20w
Vere`20not`20available
X`20`20`20`20`20`20`20`20`20for`20modification`20by`20the`20intruder.`20`20If
V`20the`20distribution`20is
X`20`20`20`20`20`20`20`20`20available`20on`20CD-ROM`20or`20other`20read-only`20
Vdevice,`20it`20may`20be
X`20`20`20`20`20`20`20`20`20possible`20to`20compare`20against`20these`20volumes
V`20or`20run`20programs`20off
X`20`20`20`20`20`20`20`20`20these`20media.
X
X`20`20`20`20`20`20`20`20`202)`20Suspect`20processes:`20
X
X`20`20`20`20`20`20`20`20`20Although`20the`20name`20of`20the`20network`20monito
Vring`20tool`20can`20vary
X`20`20`20`20`20`20`20`20`20from`20attack`20to`20attack,`20it`20is`20possible
V`20to`20detect`20a`20suspect
X`20`20`20`20`20`20`20`20`20process`20running`20as`20root`20using`20ps(1)`20or
V`20other`20process-listing
X`20`20`20`20`20`20`20`20`20commands.`20`20Until`20the`20ps(1)`20command`20has
V`20been`20verified`20against
X`20`20`20`20`20`20`20`20`20distribution`20media,`20it`20should`20not`20be`20re
Vlied`20upon--a`20Trojan
X`20`20`20`20`20`20`20`20`20horse`20version`20is`20being`20used`20by`20the`20in
Vtruders`20to`20hide`20the
X`20`20`20`20`20`20`20`20`20monitoring`20process.`20`20Some`20process`20names
V`20that`20have`20been
X`20`20`20`20`20`20`20`20`20observed`20are`20sendmail,`20es,`20and`20in.netd.
V`20`20The`20arguments`20to`20the
X`20`20`20`20`20`20`20`20`20process`20also`20provide`20an`20indication`20of`20w
Vhere`20the`20log`20file`20is
X`20`20`20`20`20`20`20`20`20located.`20`20If`20the`20"-F"`20flag`20is`20set`20o
Vn`20the`20process,`20the
X`20`20`20`20`20`20`20`20`20filename`20following`20indicates`20the`20location
V`20of`20the`20log`20file
X`20`20`20`20`20`20`20`20`20used`20for`20the`20collection`20of`20authentication
V`20information`20for
X`20`20`20`20`20`20`20`20`20later`20retrieval`20by`20the`20intruders.
X
X`20`20`20`20`20`20`20`20`203)`20Unauthorized`20use`20of`20/dev/nit:
X
X`20`20`20`20`20`20`20`20`20If`20the`20network`20monitoring`20tool`20is`20curre
Vntly`20running`20on`20your
X`20`20`20`20`20`20`20`20`20system,`20it`20is`20possible`20to`20detect`20this
V`20by`20checking`20for
X`20`20`20`20`20`20`20`20`20unauthorized`20use`20of`20the`20/dev/nit`20interfac
Ve.`20`20CERT`20has`20created
X`20`20`20`20`20`20`20`20`20a`20minimal`20tool`20for`20this`20purpose.`20`20The
V`20source`20code`20for`20this
X`20`20`20`20`20`20`20`20`20tool`20is`20available`20via`20anonymous`20FTP`20on
V`20info.cert.org`20in`20the
X`20`20`20`20`20`20`20`20`20/pub/tools/cpm`20directory`20or`20on`20ftp.uu.net
V`20in`20the`20
X`20`20`20`20`20`20`20`20`20/pub/security/cpm`20directory`20as`20cpm.1.0.tar.Z.
V`20`20The`20checksum
X`20`20`20`20`20`20`20`20`20information`20is:
X
X`20`20`20`20`20`20`20`20`20Filename`20`20`20`20`20`20`20`20`20`20`20`20`20`20
V`20`20Standard`20UNIX`20Sum`20`20`20`20`20`20`20`20`20System`20V`20Sum
X`20`20`20`20`20`20`20`20--------------`20`20`20`20`20`20`20`20`20`20`20-------
V----------`20`20`20`20`20`20`20`20`20------------
X`20`20`20`20`20`20`20`20`20cpm.1.0.tar.Z:`20`20`20`20`20`20`20`20`20`20`20`20
V`20`20`2011097`206`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`2024453`201
V2`20
X
X`20`20`20`20`20`20`20`20`20MD5`20Checksum
X`20`20`20`20`20`20`20`20`20MD5`20(cpm.1.0.tar.Z)`20=`20e29d43f3a86e647f7ff2aa4
V53329a155
X
X`20`20`20`20`20`20`20`20`20This`20archive`20contains`20a`20readme`20file,`20al
Vso`20included`20as
X`20`20`20`20`20`20`20`20`20Appendix`20C`20of`20this`20advisory,`20containing
V`20instructions`20on
X`20`20`20`20`20`20`20`20`20installing`20and`20using`20this`20detection`20tool.
V
X
X`20`20`20`20`20B.`20`20Prevention
X
X`20`20`20`20`20`20`20`20`20There`20are`20two`20actions`20that`20are`20effectiv
Ve`20in`20preventing`20this
X`20`20`20`20`20`20`20`20`20attack.`20`20A`20long-term`20solution`20requires`20
Veliminating
X`20`20`20`20`20`20`20`20`20transmission`20of`20clear-text`20passwords`20on`20t
Vhe`20network.`20`20For
X`20`20`20`20`20`20`20`20`20this`20specific`20attack,`20however,`20a`20short-te
Vrm`20workaround
X`20`20`20`20`20`20`20`20`20exists.`20`20Both`20of`20these`20are`20described`20
Vbelow.
X
X`20`20`20`20`20`20`20`20`201)`20Long-term`20prevention:
X
X`20`20`20`20`20`20`20`20`20CERT`20recognizes`20that`20the`20only`20effective
V`20long-term`20solution`20to
X`20`20`20`20`20`20`20`20`20prevent`20these`20attacks`20is`20by`20not`20transmi
Vtting`20reusable
X`20`20`20`20`20`20`20`20`20clear-text`20passwords`20on`20the`20network.`20`20C
VERT`20has`20collected`20some
X`20`20`20`20`20`20`20`20`20information`20on`20relevant`20technologies.`20`20Th
Vis`20information`20is
X`20`20`20`20`20`20`20`20`20included`20as`20Appendix`20B`20in`20this`20advisory
V.`20`20Note:`20These
X`20`20`20`20`20`20`20`20`20solutions`20will`20not`20protect`20against`20transi
Vent`20or`20remote`20access
X`20`20`20`20`20`20`20`20`20transmission`20of`20clear-text`20passwords`20throug
Vh`20the`20network.
X
X`20`20`20`20`20`20`20`20`20Until`20everyone`20connected`20to`20your`20network
V`20is`20using`20the`20above
X`20`20`20`20`20`20`20`20`20technologies,`20your`20policy`20should`20allow`20on
Vly`20authorized`20users
X`20`20`20`20`20`20`20`20`20and`20programs`20access`20to`20promiscuous`20networ
Vk`20interfaces.`20`20The
X`20`20`20`20`20`20`20`20`20tool`20described`20in`20Section`20III.A.3`20above
V`20may`20be`20helpful`20in
X`20`20`20`20`20`20`20`20`20verifying`20this`20restricted`20access.
X
X`20`20`20`20`20`20`20`20`202)`20Short-term`20workaround:
X
X`20`20`20`20`20`20`20`20`20Regardless`20of`20whether`20the`20network`20monitor
Ving`20software`20is
X`20`20`20`20`20`20`20`20`20detected`20on`20your`20system,`20CERT`20recommends
V`20that`20ALL`20SITES`20take
X`20`20`20`20`20`20`20`20`20action`20to`20prevent`20unauthorized`20network`20mo
Vnitoring`20on`20their
X`20`20`20`20`20`20`20`20`20systems.`20You`20can`20do`20this`20either`20by`20re
Vmoving`20the`20interface,`20if
X`20`20`20`20`20`20`20`20`20it`20is`20not`20used`20on`20the`20system`20or`20by
V`20attempting`20to`20prevent`20the
X`20`20`20`20`20`20`20`20`20misuse`20of`20this`20interface.
X
X`20`20`20`20`20`20`20`20`20For`20systems`20other`20than`20Sun`20and`20Solbourn
Ve,`20contact`20your`20vendor
X`20`20`20`20`20`20`20`20`20to`20find`20out`20if`20promiscuous`20mode`20network
V`20access`20is`20supported
X`20`20`20`20`20`20`20`20`20and,`20if`20so,`20what`20is`20the`20recommended`20m
Vethod`20to`20disable`20or
X`20`20`20`20`20`20`20`20`20monitor`20this`20feature.
X
X`20`20`20`20`20`20`20`20`20For`20SunOS`204.x`20and`20Solbourne`20systems,`20th
Ve`20promiscuous
X`20`20`20`20`20`20`20`20`20interface`20to`20the`20network`20can`20be`20elimina
Vted`20by`20removing`20the
X`20`20`20`20`20`20`20`20`20/dev/nit`20capability`20from`20the`20kernel.`20`20T
Vhe`20procedure`20for`20doing
X`20`20`20`20`20`20`20`20`20so`20is`20outlined`20below`20(see`20your`20system
V`20manuals`20for`20more
X`20`20`20`20`20`20`20`20`20details).`20`20Once`20the`20procedure`20is`20comple
Vte,`20you`20may`20remove`20the
X`20`20`20`20`20`20`20`20`20device`20file`20/dev/nit`20since`20it`20is`20no`20l
Vonger`20functional.
X
X`20`20`20`20`20`20`20`20`20Procedure`20for`20removing`20/dev/nit`20from`20the
V`20kernel:
X
X`20`20`20`20`20`20`20`20`201.`20Become`20root`20on`20the`20system.`20
X
X`20`20`20`20`20`20`20`20`202.`20Apply`20"method`201"`20as`20outlined`20in`20th
Ve`20System`20and`20Network
X`20`20`20`20`20`20`20`20`20Administration`20manual,`20in`20the`20section,`20"S
Vun`20System
X`20`20`20`20`20`20`20`20`20Administration`20Procedures,"`20Chapter`209,`20"Rec
Vonfiguring`20the
X`20`20`20`20`20`20`20`20`20System`20Kernel."`20`20Excerpts`20from`20the`20meth
Vod`20are`20reproduced
X`20`20`20`20`20`20`20`20`20below:
X
X`20`20`20`20`20`20`20`20`20#`20cd`20/usr/kvm/sys/sun`5B3,3x,4,4c`5D/conf
X`20`20`20`20`20`20`20`20`20#`20cp`20CONFIG_FILE`20SYS_NAME`20`20
X
X`20`20`20`20`20`20`20`20`20`5BNote`20that`20at`20this`20step,`20you`20should
V`20replace`20the`20CONFIG_FILE
X`20`20`20`20`20`20`20`20`20with`20your`20system`20specific`20configuration`20f
Vile`20if`20one`20exists.`5D
X
X`20`20`20`20`20`20`20`20`20#`20chmod`20+w`20SYS_NAME
X`20`20`20`20`20`20`20`20`20#`20vi`20SYS_NAME
X
X`20`20`20`20`20`20`20`20`20`20`20`20#
X`20`20`20`20`20`20`20`20`20`20`20`20#`20The`20following`20are`20for`20streams
V`20NIT`20support.`20`20NIT`20is`20used`20by
X`20`20`20`20`20`20`20`20`20`20`20`20#`20etherfind,`20traffic,`20rarpd,`20and
V`20ndbootd.`20`20As`20a`20rule`20of`20thumb,
X`20`20`20`20`20`20`20`20`20`20`20`20#`20NIT`20is`20almost`20always`20needed`20
Von`20a`20server`20and`20almost`20never
X`20`20`20`20`20`20`20`20`20`20`20`20#`20needed`20on`20a`20diskless`20client.
X`20`20`20`20`20`20`20`20`20`20`20`20#
X`20`20`20`20`20`20`20`20`20`20`20`20pseudo-device`20`20`20snit`20`20`20`20`20
V`20`20`20`20`20`20`20#`20streams`20NIT
X`20`20`20`20`20`20`20`20`20`20`20`20pseudo-device`20`20`20pf`20`20`20`20`20`20
V`20`20`20`20`20`20`20`20#`20packet`20filter
X`20`20`20`20`20`20`20`20`20`20`20`20pseudo-device`20`20`20nbuf`20`20`20`20`20
V`20`20`20`20`20`20`20#`20NIT`20buffering`20module
X`20`20`20`20`20`20`20`20`20
X`20`20`20`20`20`20`20`20`20`5BComment`20out`20the`20preceding`20three`20lines;
V`20save`20and`20exit`20the
X`20`20`20`20`20`20`20`20`20editor`20before`20proceeding.`5D
X
X`20`20`20`20`20`20`20`20`20#`20config`20SYS_NAME
X`20`20`20`20`20`20`20`20`20#`20cd`20../SYS_NAME
X`20`20`20`20`20`20`20`20`20#`20make
X
X`20`20`20`20`20`20`20`20`20#`20mv`20/vmunix`20/vmunix.old
X`20`20`20`20`20`20`20`20`20#`20cp`20vmunix`20/vmunix
X
X`20`20`20`20`20`20`20`20`20#`20/etc/halt
X`20`20`20`20`20`20`20`20`20>`20b
X
X`20`20`20`20`20`20`20`20`20`5BThis`20step`20will`20reboot`20the`20system`20wit
Vh`20the`20new`20kernel.`5D
X
X`20`20`20`20`20`20`20`20`20`5BNOTE`20that`20even`20after`20the`20new`20kernel
V`20is`20installed,`20you`20need
X`20`20`20`20`20`20`20`20`20to`20take`20care`20to`20ensure`20that`20the`20previ
Vous`20vmunix.old`20,`20or
X`20`20`20`20`20`20`20`20`20other`20kernel,`20is`20not`20used`20to`20reboot`20t
Vhe`20system.`5D
X
X
X`20`20`20`20`20C.`20`20Scope`20and`20recovery
X
X`20`20`20`20`20`20`20`20`20If`20you`20detect`20the`20network`20monitoring`20so
Vftware`20at`20your`20site,
X`20`20`20`20`20`20`20`20`20CERT`20recommends`20following`20three`20steps`20to
V`20successfully
X`20`20`20`20`20`20`20`20`20determine`20the`20scope`20of`20the`20problem`20and
V`20to`20recover`20from`20this
X`20`20`20`20`20`20`20`20`20attack.
X
X`20`20`20`20`20`20`20`20`201.`20Restore`20the`20system`20that`20was`20subjecte
Vd`20to`20the`20network
X`20`20`20`20`20`20`20`20`20monitoring`20software.
X
X`20`20`20`20`20`20`20`20`20The`20systems`20on`20which`20the`20network`20monito
Vring`20and/or`20Trojan
X`20`20`20`20`20`20`20`20`20horse`20programs`20are`20found`20have`20been`20comp
Vromised`20at`20the`20root
X`20`20`20`20`20`20`20`20`20level;`20your`20system`20configuration`20may`20have
V`20been`20altered.`20`20See
X`20`20`20`20`20`20`20`20`20Appendix`20A`20of`20this`20advisory`20for`20help`20
Vwith`20recovery.
X
X`20`20`20`20`20`20`20`20`202.`20Consider`20changing`20router,`20server,`20and
V`20privileged`20account
X`20`20`20`20`20`20`20`20`20passwords`20due`20to`20the`20wide-spread`20nature
V`20of`20these`20attacks.
X`20`20`20`20`20`20`20`20`20
X`20`20`20`20`20`20`20`20`20Since`20this`20threat`20involves`20monitoring`20rem
Vote`20connections,
X`20`20`20`20`20`20`20`20`20take`20care`20to`20change`20these`20passwords`20usi
Vng`20some`20mechanism
X`20`20`20`20`20`20`20`20`20other`20than`20remote`20telnet,`20rlogin,`20or`20FT
VP`20access.
X
X`20`20`20`20`20`20`20`20`203.`20Urge`20users`20to`20change`20passwords`20on`20
Vlocal`20and`20remote
X`20`20`20`20`20`20`20`20`20accounts.
X
X`20`20`20`20`20`20`20`20`20Users`20who`20access`20accounts`20using`20telnet,
V`20rlogin,`20or`20FTP`20either
X`20`20`20`20`20`20`20`20`20to`20or`20from`20systems`20within`20the`20compromis
Ved`20domain`20should
X`20`20`20`20`20`20`20`20`20change`20their`20passwords`20after`20the`20intruder
V's`20network`20monitor
X`20`20`20`20`20`20`20`20`20has`20been`20disabled.
X`20`20`20`20`20`20`20`20`20
X`20`20`20`20`20`20`20`20`204.`20Notify`20remote`20sites`20connected`20from`20o
Vr`20through`20the`20local
X`20`20`20`20`20`20`20`20`20domain`20of`20the`20network`20compromise.
X
X`20`20`20`20`20`20`20`20`20Encourage`20the`20remote`20sites`20to`20check`20the
Vir`20systems`20for
X`20`20`20`20`20`20`20`20`20unauthorized`20activity.`20`20Be`20aware`20that`20i
Vf`20your`20site`20routes
X`20`20`20`20`20`20`20`20`20network`20traffic`20between`20external`20domains,
V`20both`20of`20these
X`20`20`20`20`20`20`20`20`20domains`20may`20have`20been`20compromised`20by`20th
Ve`20network`20monitoring
X`20`20`20`20`20`20`20`20`20software.
X
X
X---------------------------------------------------------------------------
XThe`20CERT`20Coordination`20Center`20thanks`20the`20members`20of`20the`20FIRST
V`20community
Xas`20well`20as`20the`20many`20technical`20experts`20around`20the`20Internet`20
Vwho
Xparticipated`20in`20creating`20this`20advisory.`20`20Special`20thanks`20to`20E
Vugene
XSpafford`20of`20Purdue`20University`20for`20his`20contributions.
X---------------------------------------------------------------------------
X
X`20If`20you`20believe`20that`20your`20system`20has`20been`20compromised,`20con
Vtact`20the`20CERT
X`20Coordination`20Center`20or`20your`20representative`20in`20Forum`20of`20Inci
Vdent
X`20Response`20and`20Security`20Teams`20(FIRST).
X
X`20Internet`20E-mail:`20cert@cert.org
X`20Telephone:`20412-268-7090`20(24-hour`20hotline)
X`20`20`20`20`20`20`20`20`20`20`20`20CERT`20personnel`20answer`208:30`20a.m.-5:
V00`20p.m.`20EST(GMT-5)/EDT(GMT-4),
X`20`20`20`20`20`20`20`20`20`20`20`20and`20are`20on`20call`20for`20emergencies
V`20during`20other`20hours.
X
X`20CERT`20Coordination`20Center
X`20Software`20Engineering`20Institute
X`20Carnegie`20Mellon`20University
X`20Pittsburgh,`20PA`2015213-3890
X
X`20Past`20advisories,`20information`20about`20FIRST`20representatives,`20and
V`20other
X`20information`20related`20to`20computer`20security`20are`20available`20for`20
Vanonymous`20
X`20FTP`20from`20info.cert.org.
X
X`20`0C------------------------------------------------------------------------
V---
X`20Appendix`20A:`20`20
X`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20RECOVERING`20FROM
V`20A`20UNIX`20ROOT`20COMPROMISE
X
XA.`20`20`20Immediate`20recovery`20technique
X
X`20`20`20`20`20`20`20`201)`20Disconnect`20from`20the`20network`20or`20operate
V`20the`20system`20in
X`20`20`20`20`20`20`20`20`20`20`20single-`20user`20mode`20during`20the`20recove
Vry.`20`20This`20will`20keep`20users
X`20`20`20`20`20`20`20`20`20`20`20and`20intruders`20from`20accessing`20the`20sy
Vstem.
X
X`20`20`20`20`20`20`20`202)`20Verify`20system`20binaries`20and`20configuration
V`20files`20against`20the
X`20`20`20`20`20`20`20`20`20`20`20vendor's`20media`20(do`20not`20rely`20on`20ti
Vmestamp`20information`20to
X`20`20`20`20`20`20`20`20`20`20`20provide`20an`20indication`20of`20modification
V).`20`20Do`20not`20trust`20any
X`20`20`20`20`20`20`20`20`20`20`20verification`20tool`20such`20as`20cmp(1)`20lo
Vcated`20on`20the`20compromised
X`20`20`20`20`20`20`20`20`20`20`20system`20as`20it,`20too,`20may`20have`20been
V`20modified`20by`20the`20intruder.
X`20`20`20`20`20`20`20`20`20`20`20In`20addition,`20do`20not`20trust`20the`20res
Vults`20of`20the`20standard`20UNIX
X`20`20`20`20`20`20`20`20`20`20`20sum(1)`20program`20as`20we`20have`20seen`20in
Vtruders`20modify`20system
X`20`20`20`20`20`20`20`20`20`20`20files`20in`20such`20a`20way`20that`20the`20ch
Vecksums`20remain`20the`20same.
X`20`20`20`20`20`20`20`20`20`20`20Replace`20any`20modified`20files`20from`20the
V`20vendor's`20media,`20not
X`20`20`20`20`20`20`20`20`20`20`20from`20backups.
X
X`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20
V`20`20`20`20`20`20--`20or`20--
X
X`20`20`20`20`20`20`20`20`20`20`20Reload`20your`20system`20from`20the`20vendor'
Vs`20media.
X
X`20`20`20`20`20`20`20`203)`20Search`20the`20system`20for`20new`20or`20modified
V`20setuid`20root`20files.
X
X`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20find`20/`20-user`20root`20-per
Vm`20-4000`20-print
X
X`20`20`20`20`20`20`20`20`20`20`20If`20you`20are`20using`20NFS`20or`20AFS`20fil
Ve`20systems,`20use`20ncheck`20to
X`20`20`20`20`20`20`20`20`20`20`20search`20the`20local`20file`20systems.
X
X`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20ncheck`20-s`20/dev/sd0a
X
X`20`20`20`20`20`20`20`204)`20Change`20the`20password`20on`20all`20accounts.
X
X`20`20`20`20`20`20`20`205)`20Don't`20trust`20your`20backups`20for`20reloading
V`20any`20file`20used`20by
X`20`20`20`20`20`20`20`20`20`20`20root.`20`20You`20do`20not`20want`20to`20re-in
Vtroduce`20files`20altered`20by`20an
X`20`20`20`20`20`20`20`20`20`20`20intruder.
X
X
XB.`20`20`20Improving`20the`20security`20of`20your`20system
X
X`20`20`20`20`20`20`20`201)`20CERT`20Security`20Checklist
X`20`20`20`20`20`20`20`20`20`20`20Using`20the`20checklist`20will`20help`20you
V`20identify`20security
X`20`20`20`20`20`20`20`20`20`20`20weaknesses`20or`20modifications`20to`20your
V`20systems.`20`20The`20CERT
X`20`20`20`20`20`20`20`20`20`20`20Security`20Checklist`20is`20based`20on`20info
Vrmation`20gained`20from
X`20`20`20`20`20`20`20`20`20`20`20computer`20security`20incidents`20reported`20
Vto`20CERT.`20It`20is
X`20`20`20`20`20`20`20`20`20`20`20available`20via`20anonymous`20FTP`20from`20in
Vfo.cert.org`20in`20the`20file
X`20`20`20`20`20`20`20`20`20`20`20pub/tech_tips/security_info.
X`20`20`20`20`20`20`20`20
X`20`20`20`20`20`20`20`202)`20Security`20Tools
X`20`20`20`20`20`20`20`20`20`20`20Use`20security`20tools`20such`20as`20COPS`20a
Vnd`20Tripwire`20to`20check`20for
X`20`20`20`20`20`20`20`20`20`20`20security`20configuration`20weaknesses`20and
V`20for`20modifications
X`20`20`20`20`20`20`20`20`20`20`20made`20by`20intruders.`20`20We`20suggest`20st
Voring`20these`20security
X`20`20`20`20`20`20`20`20`20`20`20tools,`20their`20configuration`20files,`20and
V`20databases`20offline`20or
X`20`20`20`20`20`20`20`20`20`20`20encrypted.`20`20TCP`20daemon`20wrapper`20prog
Vrams`20provide`20additional
X`20`20`20`20`20`20`20`20`20`20`20logging`20and`20access`20control.`20`20These
V`20tools`20are`20available`20via
X`20`20`20`20`20`20`20`20`20`20`20anonymous`20FTP`20from`20info.cert.org`20in
V`20the`20pub/tools
X`20`20`20`20`20`20`20`20`20`20`20directory.
X
X`20`20`20`20`20`20`20`203)`20CERT`20Advisories
X`20`20`20`20`20`20`20`20`20`20`20Review`20past`20CERT`20advisories`20(both`20v
Vendor-specific`20and
X`20`20`20`20`20`20`20`20`20`20`20generic)`20and`20install`20all`20appropriate
V`20patches`20or`20workarounds
X`20`20`20`20`20`20`20`20`20`20`20as`20described`20in`20the`20advisories.`20`20
VCERT`20advisories`20and`20other
X`20`20`20`20`20`20`20`20`20`20`20security-related`20information`20are`20availa
Vble`20via`20anonymous
X`20`20`20`20`20`20`20`20`20`20`20FTP`20from`20info.cert.org`20in`20the`20pub/c
Vert_advisories
X`20`20`20`20`20`20`20`20`20`20`20directory.
X
X`20`20`20`20`20`20`20`20`20`20`20To`20join`20the`20CERT`20Advisory`20mailing
V`20list,`20send`20a`20request`20to:
X
X`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20cert-a
Vdvisory-request@cert.org
X
X`20`20`20`20`20`20`20`20`20`20`20Please`20include`20contact`20information,`20i
Vncluding`20a`20telephone`20number.
X
X`20`20`20`20`20`20`20`20
X
XCERT`20Coordination`20Center
XSoftware`20Engineering`20Institute
XCarnegie`20Mellon`20University
XPittsburgh,`20PA`2015213-3890
X
XCopyright`20(c)`20Carnegie`20Mellon`20University`201994
X
X
X
X
X`0C---------------------------------------------------------------------------
V
XAppendix`20B:`20`20
X`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20ONE
V-TIME`20PASSWORDS
X
XGiven`20today's`20networked`20environments,`20CERT`20recommends`20that`20sites
V
Xconcerned`20about`20the`20security`20and`20integrity`20of`20their`20systems`20
Vand
Xnetworks`20consider`20moving`20away`20from`20standard,`20reusable`20passwords.
V`20CERT
Xhas`20seen`20many`20incidents`20involving`20Trojan`20network`20programs`20(e.g
V.,
Xtelnet`20and`20rlogin)`20and`20network`20packet`20sniffing`20programs.`20`20Th
Vese
Xprograms`20capture`20clear-text`20hostname,`20account`20name,`20password`20tri
Vplets.
XIntruders`20can`20use`20the`20captured`20information`20for`20subsequent`20acce
Vss`20to
Xthose`20hosts`20and`20accounts.`20`20This`20is`20possible`20because`201)`20the
V`20password`20is
Xused`20over`20and`20over`20(hence`20the`20term`20"reusable"),`20and`202)`20the
V`20password
Xpasses`20across`20the`20network`20in`20clear`20text.
X
XSeveral`20authentication`20techniques`20have`20been`20developed`20that`20addre
Vss
Xthis`20problem.`20Among`20these`20techniques`20are`20challenge-response
Xtechnologies`20that`20provide`20passwords`20that`20are`20only`20used`20once`20
V(commonly
Xcalled`20one-time`20passwords).`20This`20document`20provides`20a`20list`20of
V`20sources
Xfor`20products`20that`20provide`20this`20capability.`20The`20decision`20to`20u
Vse`20a
Xproduct`20is`20the`20responsibility`20of`20each`20organization,`20and`20each
Xorganization`20should`20perform`20its`20own`20evaluation`20and`20selection.
X
XI.`20`20Public`20Domain`20packages
X
XS/KEY(TM)
X`20`20`20`20`20`20`20`20The`20S/KEY`20package`20is`20publicly`20available`20(n
Vo`20fee)`20via
X`20`20`20`20`20`20`20`20anonymous`20FTP`20from:
X
X`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20thumper.bellcore.com`20`20`20
V`20`20`20`20`20`20`20`20`20/pub/nmh`20directory
X
X`20`20`20`20`20`20`20`20There`20are`20three`20subdirectories:
X
X`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20skey`20`20`20`20`20`20`20`20
V`20`20`20`20UNIX`20code`20and`20documents`20on`20S/KEY.
X`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20
V`20`20`20`20`20`20Includes`20the`20change`20needed`20to`20login,
X`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20
V`20`20`20`20`20`20and`20stand-alone`20commands`20(such`20as`20"key"),
X`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20
V`20`20`20`20`20`20that`20computes`20the`20one-time`20password`20for
X`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20
V`20`20`20`20`20`20the`20user,`20given`20the`20secret`20password`20and
X`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20
V`20`20`20`20`20`20the`20S/KEY`20command.
X
X`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20dos`20`20`20`20`20`20`20`20`20
V`20`20`20`20DOS`20or`20DOS/WINDOWS`20S/KEY`20programs.`20`20Includes
X`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20
V`20`20`20`20`20`20DOS`20version`20of`20"key"`20and`20"termkey"`20which`20is
X`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20
V`20`20`20`20`20`20a`20TSR`20program.
X`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20
X`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20mac`20`20`20`20`20`20`20`20`20
V`20`20`20`20One-time`20password`20calculation`20utility`20for`20
X`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20
V`20`20`20`20`20`20the`20Mac.
X
X
XII.`20`20Commercial`20Products
X
XSecure`20Net`20Key`20(SNK)`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20
V`20`20`20`20`20`20`20`20`20`20`20(Do-it-yourself`20project)
X`20`20`20`20`20`20`20`20Digital`20Pathways,`20Inc.
X`20`20`20`20`20`20`20`20201`20Ravendale`20Dr.
X`20`20`20`20`20`20`20`20Mountainview,`20Ca.`2094043-5216
X`20`20`20`20`20`20`20`20USA
X`20`20`20`20`20`20`20`20Phone:`20415-964-0707`20
X`20`20`20`20`20`20`20`20Fax:`20(415)`20961-7487
X
X`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20Products:
X`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20handhe
Vld`20authentication`20calculators`20`20(SNK004)
X`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20serial
V`20line`20auth`20interruptors`20(guardian)
X
X`20`20`20`20`20`20`20`20Note:`20Secure`20Net`20Key`20(SNK)`20is`20des-based,
V`20and`20therefore`20restricted
X`20`20`20`20`20`20`20`20from`20US`20export.
X
XSecure`20ID`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20
V`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20(complete`20turnkey`20syste
Vms)
X`20`20`20`20`20`20`20`20Security`20Dynamics
X`20`20`20`20`20`20`20`20One`20Alewife`20Center
X`20`20`20`20`20`20`20`20Cambridge,`20MA`20`20`2002140-2312
X`20`20`20`20`20`20`20`20USA
X`20`20`20`20`20`20`20`20Phone:`20617-547-7820
X`20`20`20`20`20`20`20`20Fax:`20(617)`20354-8836
X
X`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20Products:
X`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20SecurI
VD`20changing`20number`20authentication`20card
X`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20`20ACE`20
Vserver`20software
X
X`20`20`20`20`20`20`20`20SecureID`20is`20time-synchronized`20using`20a`20'propr
Vietary'`20number`20
X`20`20`20`20`20`20`20`20generation`20algorithm
X
+-+-+-+-+-+-+-+-  END  OF PART 1 +-+-+-+-+-+-+-+-