home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / cud / cud465a.txt < prev    next >
Text File  |  1995-01-03  |  5KB  |  104 lines
  1. Date: Mon, 7 Dec 1992 22:48:06 +0000
  2. >From: Dave Banisar <banisar@WASHOFC.CPSR.ORG>
  3. Subject: File 1--DOJ Authorizes Keystroke Monitoring
  4.  
  5.  CA-92:19                         CERT Advisory
  6.                                  December 7, 1992
  7.                              Keystroke Logging Banner
  8.  
  9.  The CERT Coordination Center has received information from the United
  10.  States Department of Justice, General Litigation and Legal Advice
  11.  Section, Criminal Division, regarding keystroke monitoring by
  12.  computer systems administrators, as a method of protecting computer
  13.  systems from unauthorized access.
  14.  
  15.  The information that follows is based on the Justice Department's
  16.  advice to all federal agencies.  CERT strongly suggests adding a
  17.  notice banner such as the one included below to all systems.  Sites
  18.  not covered by U.S. law should consult their legal counsel.
  19.  
  20. +++++++++++++++++++
  21.  
  22.      The legality of such monitoring is governed by 18 U.S.C. section
  23.      2510 et seq.  That statute was last amended in 1986, years before
  24.      the words "virus" and "worm" became part of our everyday
  25.      vocabulary.  Therefore, not surprisingly, the statute does not
  26.      directly address the propriety of keystroke monitoring by system
  27.      administrators.
  28.  
  29.      Attorneys for the Department have engaged in a review of the
  30.      statute and its legislative history.  We believe that such
  31.      keystroke monitoring of intruders may be defensible under the
  32.      statute.  However, the statute does not expressly authorize such
  33.      monitoring.  Moreover, no court has yet had an opportunity to
  34.      rule on this issue.  If the courts were to decide that such
  35.      monitoring is improper, it would potentially give rise to both
  36.      criminal and civil liability for system administrators.
  37.      Therefore, absent clear guidance from the courts, we believe it
  38.      is advisable for system administrators who will be engaged in
  39.      such monitoring to give notice to those who would be subject to
  40.      monitoring that, by using the system, they are expressly
  41.      consenting to such monitoring.  Since it is important that
  42.      unauthorized intruders be given notice, some form of banner
  43.      notice at the time of signing on to the system is required.
  44.      Simply providing written notice in advance to only authorized
  45.      users will not be sufficient to place outside hackers on notice.
  46.  
  47.      An agency's banner should give clear and unequivocal notice to
  48.      intruders that by signing onto the system they are expressly
  49.      consenting to such monitoring.  The banner should also indicate
  50.      to authorized users that they may be monitored during the effort
  51.      to monitor the intruder (e.g., if a hacker is downloading a
  52.      user's file, keystroke monitoring will intercept both the
  53.      hacker's download command and the authorized user's file).  We
  54.      also understand that system administrators may in some cases
  55.      monitor authorized users in the course of routine system
  56.      maintenance.  If this is the case, the banner should indicate
  57.      this fact.  An example of an appropriate banner might be as
  58.      follows:
  59.  
  60.         This system is for the use of authorized users only.
  61.         Individuals using this computer system without authority,
  62.         or in excess of their authority, are subject to having
  63.         all of their activities on this system monitored and
  64.         recorded by system personnel.
  65.  
  66.         In the course of monitoring individuals improperly using
  67.         this system, or in the course of system maintenance, the
  68.         activities of authorized users may also be monitored.
  69.  
  70.         Anyone using this system expressly consents to such
  71.         monitoring and is advised that if such monitoring reveals
  72.         possible evidence of criminal activity, system personnel
  73.         may provide the evidence of such monitoring to law
  74.         enforcement officials.
  75.  
  76. ++++++++++++++++++++
  77.  Each site using this suggested banner should tailor it to their
  78.  precise needs.  Any questions should be directed to your
  79.  organization's legal counsel.
  80.  
  81. ++++++++++++++++++++
  82.  The CERT Coordination Center wishes to thank Robert S. Mueller, III,
  83.  Scott Charney and Marty Stansell-Gamm from the United States
  84.  Department of Justice for their help in preparing this Advisory.
  85.  
  86.  If you believe that your system has been compromised, contact the
  87.  CERT Coordination Center or your representative in FIRST (Forum of
  88.  Incident Response and Security Teams).
  89.  
  90.  Internet E-mail: cert@cert.org
  91.  Telephone: 412-268-7090 (24-hour hotline)
  92.             CERT personnel answer 7:30 a.m.-6:00 p.m. EST(GMT-5)/EDT(GMT-4),
  93.             on call for emergencies during other hours.
  94.  
  95.  CERT Coordination Center
  96.  Software Engineering Institute
  97.  Carnegie Mellon University
  98.  Pittsburgh, PA 15213-3890
  99.  
  100. ------------------------------
  101.  
  102.  
  103. Downloaded From P-80 International Information Systems 304-744-2253
  104.