home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / cud / cud436e.txt < prev    next >
Text File  |  1995-01-03  |  2KB  |  48 lines
  1. Date: Wed, 12 Aug 92 14:13 PDT
  2. From: john@ZYGOT.ATI.COM(John Higdon)
  3. Subject: File 5--Bell System Policies (John's Response 2)
  4.  
  5. jmcarli@SRV.PACBELL.COM(Jerry M. Carlin) responds:
  6.  
  7. > It's neither easy nor quick to plug all the holes in 'swiss cheese'. The
  8. > point I'm trying to make is that we've been working on it for a number
  9. > of years and are continuing to work on it and that we've made good progress.
  10.  
  11. Yes, and it is important to separate "inherent insecurity" from
  12. "sloppiness". The matter of inband signaling (from which the
  13. publication "2600" derives its name) involved an imbedded, virtually
  14. uncorrectable security hole. Most of these, thank heaven, are becoming
  15. history.
  16.  
  17. But Pac*Bell, among others, is still just a wee bit sloppy on the
  18. administrative level. Just one example:
  19.  
  20. After having eight of my residence phone numbers changed, I suddenly
  21. realized that my Pac*Bell Calling Card was invalid. I called the
  22. business office and explained that I wanted a new card. No problem. In
  23. fact, I could select my own PIN. And if I did so, the card would
  24. become usable almost immediately.
  25.  
  26. Do you see where I am going with this? No effort was made to verify
  27. that I was who I claimed to be, even though my accounts are all
  28. flagged with a password. (When I reminded the rep that she forgot to
  29. ask for my password, she was highly embarrassed.) If I had been Joe
  30. Crook, I would have a nice new Calling Card, complete with PIN, of
  31. which the bill-paying sucker (me) would not have had any knowledge. By
  32. the time the smoke cleared, how many calls to the Dominican Republic
  33. could have been made?
  34.  
  35. When will Pac*Bell do something about this wide, gaping security hole?
  36. I will tell you: when losses become significant, and/or the press gets
  37. wind of it and some notable, visible cases go to court. So, you want
  38. to go into the "Call Back to your Homeland Cheap" business? Call the
  39. Pac*Bell business office, tell the rep you want a calling card for a
  40. particular number (perferably one you do not get the bill for) and
  41. select your own PIN (one that you can easily remember :-).
  42.  
  43. So, Pac*Bell, do you want to sue me for publishing "sensitive"
  44. information? Or do you want to plug the hole and fix the problem? I
  45. think by now you get the point.
  46.  
  47. Downloaded From P-80 International Information Systems 304-744-2253
  48.