home *** CD-ROM | disk | FTP | other *** search

---

/ Forum of Incident Response & Security Teams / Forum_of_Incident_Response_and_Security_Teams_FIRST_October_1994.iso / ethics / seasatuc.txt

< prev

next >

Wrap

Text File  |  1994-07-08  |  12KB  |  291 lines

---

1. Chapter 1-SEASnet General Information 10/23/90
2.  
3. 1.5. USER RESPONSIBILITIES AND SYSTEM SECURITY
4. 1.5.1 General User Responsibilities
5.     When you have an account on a multi-user computer system
6. like SEASnet, you must be especially considerate of your fellow
7. users; on a multi-user system, unlike single-user systems, you
8. are a member of a community, and your actions affect other
9. people. You must not annoy people by sending things to their
10. terminal screen or disrupting their work. And of course you may
11. not attempt to capture or use other users' passwords or accounts,
12. not even for fun or as a joke.
13.  
14. *    Account Privacy
15.     SEASnet accounts are issued solely for the use of the
16.     individual to whom they have been assigned. Use of any
17.     other user's account or loaning account privileges to
18.     another is prohibited and will result in loss of
19.     privileges with SEASnet.
20.  
21.     Report unauthorized use of your account immediately to a
22.     SEASnet staff member.
23.  
24. *    Illegal Copying
25.     SEASnet operates its software under various licenses and
26.     copyrights. Unless explicitly stated in the
27.     documentation (for example, see the online Kermit
28.     documentation), users are not permitted to make copies
29.     of the software for use on non-SEASnet machines.
30.     Conversely, SEASnet does not permit illegally copied
31.     software to be used on its machines.
32.  
33. *    Use of SEASnet's Computing Facilities
34.     Use of SEASnet's computing facilities, including
35.     hardware, software, and networks is restricted to the
36.     purposes for which SEASnet accounts are assigned. These
37.     uses are limited to research and educational purposes.
38.     Any personal or commercial use of SEASnet equipment is
39.     prohibited.
40.  
41. *    Password Security
42.     Guessed passwords still form the most common method by
43.     which outsiders penetrate an account. The following
44.     guidelines will help minimize the possibility of anyone
45.     discovering your password and gaining access to your
46.     account privileges.
47.         a.Do not give your password to any other
48.         individual.
49.         b.Do not type your password while someone is
50.         watching you work.
51.         c.Change your password frequently by using the
52.         command passwd. It will ask for your existing
53.         password and then the new one (Note:this command
54.         is only available when using UNIX
55.         interactively--AADU users should login to UNIX to
56.         use this and Macintosh users should use the
57.         Command Shell mentioned in the chapter called
58.         Using the SEASnet Macintoshes).
59. Note:the password files on the Macintoshes, RTs and AIX machines
60. are completely different files from each other. If you have
61. accounts on all three operating systems, you will need to change
62. your password on each of the different systems.
63.         d.Avoid passwords that reference personal data
64.         for you, your friends or your family (names,
65.         birthdates, etc).
66.         e.Avoid using words that are contained in the
67.         dictionary or that are popular in this
68.         environment (i.e., UCLA or bruins).
69.         f.Use passwords that have lower and upper case
70.         letters, as well as numbers or other special
71.         characters.
72.         h.(sic) Here are some examples of some easy to
73.         remember but hard to guess passwords [Note:do
74.         not use these because printing them in this
75.         document has made them easy to guess]:
76.             1)asits9    (abbr. for the phrase a
77.                      stitch in time saves
78.                      nine)
79.             2)girLfriend    (capitalize 1 letter)
80.             3)bi!ker    (add strange punctuation
81.                          to a word)
82.  
83.     *    Cooperation With System Administrator
84.         Cooperate with the system administrator's
85.         request for information about computing
86.         activities (see SEASnet System Administrator
87.         Responsibilities section below).
88.  
89.     *    Report Security Flaws
90.         All multi-user computer systems have security
91.         flaws. Of course you may not exploit such flaws
92.         in any way. The acceptable, ethical course of
93.         action when you notice such a flaw is to report
94.         it to the system management (by sending email to
95.         bugs). Trying to explore the flaw on your own,
96.         testing it out to see its extent or effect, is
97.         unethical and unacceptable because the system
98.         management has no way to distinguish curious
99.         exploration from malicious exploitation. If you
100.         wish to help the system management track down
101.         bugs, contact them and volunteer your services.
102.  
103.     *    Game Playing
104.         Various games are available on the system.
105.         however, you must not play games when other
106.         users need a terminal for any other activity. If
107.         you are playing games, you must log out whenever
108.         users are waiting, and offer them your terminal.
109.         it is not ethical or polite to stay logged in
110.         until the person waiting asks you to log out, or
111.         to expect a waiting user to wait for you to
112.         finish playing.
113.  
114. 1.5.2 Misuse of Computing Resources and Privileges
115.     Misuse of computing resources and privileges includes,
116.     but is not restricted to, the following:
117.  
118.     *    attempting to modify or remove computer
119.         equipment, software, or peripherals without proper
120.         authorization
121.  
122.     *    accessing computers, computer software, computer
123.         data or information, or networks without proper
124.         authorization, regardless of whether the
125.         computer, software, data, information, or
126.         network in question is owned by the University
127.         (That is, if you abuse the networks to which the
128.         University belongs or the computers at other
129.         sites connected to those networks, the
130.         University will treat this matter as an abuse of
131.         your SEASnet computing privileges.)
132.  
133.     *    sending fraudulent computer mail or breaking
134.         into another user's electronic mailbox.
135.  
136.     *    violating any software license agreement or
137.         copyright, including copying or redistributing
138.         copyrighted computer software, data, or reports
139.         without proper, recorded authorization
140.  
141.     *    harassing or threatening other users or
142.         interfering with their access to the University's
143.         computing facilities
144.  
145.     *    taking advantage of another user's naivete or
146.         negligence to gain access to any computer
147.         account, data, software, or file other than your
148.         own
149.  
150.     *    encroaching on others' use of the University's
151.         computers (e.g., sending frivolous or excessive
152.         messages, either locally or off-campus; printing
153.         excess copies of documents, files, data, or
154.         programs; running grossly inefficient programs
155.         when efficient alternatives are available;
156.         modifying system facilities, operating systems,
157.         or disk partitions; attempting to crash or tie
158.         up a University computer; damaging or
159.         vandalizing University computing facilities,
160.         equipment, software, or computer files)
161.  
162.     *    disclosing or removing proprietary information,
163.         software, printed output or magnetic media
164.         without the explicit permission of the owner
165.  
166.     *    reading other users' data, information, files,
167.         or programs on a display screen, as printed
168.         output, or via electronic means, without the
169.         owner's explicit permission.
170.  
171.     In addition, some of the above actions may constitute
172.     criminal computer abuse, which is a crime in the state
173.     of California. Individuals who abuse University
174.     computing resources may be subject to prosecution under
175.     California Penal Code Section 502.
176.  
177.         Unless specifically authorized by a class
178.     instructor, all of the follwoing uses of a computer are
179.     violations of the University's guidelines for academic
180.     honesty and are punishable as acts of plagiarism:
181.  
182.     *    copying a computer file that contains another
183.         student's assignement and submitting it as your
184.         own work
185.  
186.     *    copying a computer file that contains another
187.         student's assignment and using it as a model for
188.         your own assignment
189.  
190.     *    working together on an assignment, sharing the
191.         computer files and to submit that file, or a
192.         modification thereof, as his or her individual work.
193.  
194. 1.5.3. SEASnet System Administrator Responsibilities
195.     A SEASnet system administrator's use of the University's
196.     computing resources is governed by the same guidelines
197.     as any other user's computing acitivty. However a system
198.     administrator has additional responsibilities ot the
199.     users of the network, site, system, or systems he or she
200.     administers:
201.  
202.     *    A system administrator ensures that all users
203.         of the systems, networks, and servers that he or
204.         she administers have access to the appropriate
205.         software and hardware required for their
206.         University computing.
207.  
208.     *    A system administrator is responsible for the
209.         security of a system, network, or server.
210.  
211.     *    A system administrator must make sure that all
212.         hardware and software license agreements are faithfully
213.         executed on all systems, networks, and servers for which
214.         he or she has responsibility.
215.  
216.     *    A system administrator must take reasonable
217.         precautions to guard against corruption of data
218.         or software or damage to hardware or
219.         facilities.
220.  
221.     *    A system administrator must treat information
222.         about and information stored by the system's
223.         users as confidential.
224.  
225.         In very unusual circumstances when system
226. response, integrity or security is threatened, as outlined
227. above, a system administratoris authorized to access files and
228. information necessary to find and resolve the situation.
229.  
230. 1.5.4. Consequences of Misuse of Computing Privileges
231.     Abuse of computing privileges is subject to disciplinary
232. action. If system administrators of SEASnet have strong evidence
233. of misuse of computing resources, and if that evidence points to
234. the computing activities or the computer files of an individual,
235. they have the obligation to pursue any or all of the following
236. steps to protect the user community:
237.  
238.     *    Notify the user's instructor, department chair,
239.         or supervisor of the investigation.
240.  
241.     *    Suspend or restrict the user's computing
242.         privileges during the investigation. A user may
243.         appeal such a suspension or restriction and
244.         petition for reinstatement of computing
245.         privileges through the SEAS Associate Dean of
246.         Student Affairs or the SEAS Associate Dean of
247.         Computing.
248.  
249.     *    Inspect the user's files, diskettes, and/or
250.         tapes. System administrators must be certain that the
251.         trail of evidence leads to the user's computing
252.         activities or computing files before inspecting
253.         the user's files.
254.  
255.     *    Refere the matter for processing through the
256.         appropriate University department. This would be
257.         the Dean of Student's Office in the case of
258.         student abuse and the UCLA personnel office in
259.         the case of staff or faculty abuse.
260.  
261.         Referring a case to the Dean of Students is the
262. most common course of action. For one thing, it ensures that
263. similar offenses earn similar punishments, from quarter to
264. quarter and instructor to instructor. For another, it enables
265. the Dean to detect repeat violators and punish second offenses
266. more severely. Finally, it protects students from unfair actions
267. on the part of their instructor, since an impratial third party
268. hears the case.
269.  
270.         Disciplinary action may include the loss of
271. computing privileges and other disciplinary actions. In some
272. cases, an abuser of the University's computing resources may
273. also be liable for civil or criminal prosecution (California
274. Penal Code Section 502 makes it a crime to misuse a computer).
275.  
276.         It should be understood that these regulations
277. do not preclude enforcement under the laws and regulations of
278. the State of California, any municipality or county therein,
279. and/or the United States of America.
280.  
281. 1.5.5. Acknowledgements
282.     Many of these policies are adapted from those of the
283. Columbia University Computer Science Department, the
284. California Institute of Technology, the UCLA department of
285. Computer Science Academic Honesty Policy, the University of
286. Delaware's Guide to Responsible Computering, and comments from
287. SUNY-Albany, University of Washington, Washington University
288. (St. Louis), Indiana University, Michigan State University, the
289. University of New Mexico and the Smithsonian Institue.
290.  
291.