home *** CD-ROM | disk | FTP | other *** search

---

/ Forum of Incident Response & Security Teams / Forum_of_Incident_Response_and_Security_Teams_FIRST_October_1994.iso / ethics / ucla.txt

< prev

next >

Wrap

Text File  |  1994-07-08  |  12KB  |  291 lines

---

1.  
2. Chapter 1-SEASnet General Information 10/23/90
3.  
4. 1.5. USER RESPONSIBILITIES AND SYSTEM SECURITY
5. 1.5.1 General User Responsibilities
6.     When you have an account on a multi-user computer system
7. like SEASnet, you must be especially considerate of your fellow
8. users; on a multi-user system, unlike single-user systems, you
9. are a member of a community, and your actions affect other
10. people. You must not annoy people by sending things to their
11. terminal screen or disrupting their work. And of course you may
12. not attempt to capture or use other users' passwords or accounts,
13. not even for fun or as a joke.
14.  
15. *    Account Privacy
16.     SEASnet accounts are issued solely for the use of the
17.     individual to whom they have been assigned. Use of any
18.     other user's account or loaning account privileges to
19.     another is prohibited and will result in loss of
20.     privileges with SEASnet.
21.  
22.     Report unauthorized use of your account immediately to a
23.     SEASnet staff member.
24.  
25. *    Illegal Copying
26.     SEASnet operates its software under various licenses and
27.     copyrights. Unless explicitly stated in the
28.     documentation (for example, see the online Kermit
29.     documentation), users are not permitted to make copies
30.     of the software for use on non-SEASnet machines.
31.     Conversely, SEASnet does not permit illegally copied
32.     software to be used on its machines.
33.  
34. *    Use of SEASnet's Computing Facilities
35.     Use of SEASnet's computing facilities, including
36.     hardware, software, and networks is restricted to the
37.     purposes for which SEASnet accounts are assigned. These
38.     uses are limited to research and educational purposes.
39.     Any personal or commercial use of SEASnet equipment is
40.     prohibited.
41.  
42. *    Password Security
43.     Guessed passwords still form the most common method by
44.     which outsiders penetrate an account. The following
45.     guidelines will help minimize the possibility of anyone
46.     discovering your password and gaining access to your
47.     account privileges.
48.         a.Do not give your password to any other
49.         individual.
50.         b.Do not type your password while someone is
51.         watching you work.
52.         c.Change your password frequently by using the
53.         command passwd. It will ask for your existing
54.         password and then the new one (Note:this command
55.         is only available when using UNIX
56.         interactively--AADU users should login to UNIX to
57.         use this and Macintosh users should use the
58.         Command Shell mentioned in the chapter called
59.         Using the SEASnet Macintoshes).
60. Note:the password files on the Macintoshes, RTs and AIX machines
61. are completely different files from each other. If you have
62. accounts on all three operating systems, you will need to change
63. your password on each of the different systems.
64.         d.Avoid passwords that reference personal data
65.         for you, your friends or your family (names,
66.         birthdates, etc).
67.         e.Avoid using words that are contained in the
68.         dictionary or that are popular in this
69.         environment (i.e., UCLA or bruins).
70.         f.Use passwords that have lower and upper case
71.         letters, as well as numbers or other special
72.         characters.
73.         h.(sic) Here are some examples of some easy to
74.         remember but hard to guess passwords [Note:do
75.         not use these because printing them in this
76.         document has made them easy to guess]:
77.             1)asits9    (abbr. for the phrase a
78.                      stitch in time saves
79.                      nine)
80.             2)girLfriend    (capitalize 1 letter)
81.             3)bi!ker    (add strange punctuation
82.                          to a word)
83.  
84.     *    Cooperation With System Administrator
85.         Cooperate with the system administrator's
86.         request for information about computing
87.         activities (see SEASnet System Administrator
88.         Responsibilities section below).
89.  
90.     *    Report Security Flaws
91.         All multi-user computer systems have security
92.         flaws. Of course you may not exploit such flaws
93.         in any way. The acceptable, ethical course of
94.         action when you notice such a flaw is to report
95.         it to the system management (by sending email to
96.         bugs). Trying to explore the flaw on your own,
97.         testing it out to see its extent or effect, is
98.         unethical and unacceptable because the system
99.         management has no way to distinguish curious
100.         exploration from malicious exploitation. If you
101.         wish to help the system management track down
102.         bugs, contact them and volunteer your services.
103.  
104.     *    Game Playing
105.         Various games are available on the system.
106.         however, you must not play games when other
107.         users need a terminal for any other activity. If
108.         you are playing games, you must log out whenever
109.         users are waiting, and offer them your terminal.
110.         it is not ethical or polite to stay logged in
111.         until the person waiting asks you to log out, or
112.         to expect a waiting user to wait for you to
113.         finish playing.
114.  
115. 1.5.2 Misuse of Computing Resources and Privileges
116.     Misuse of computing resources and privileges includes,
117.     but is not restricted to, the following:
118.  
119.     *    attempting to modify or remove computer
120.         equipment, software, or peripherals without proper
121.         authorization
122.  
123.     *    accessing computers, computer software, computer
124.         data or information, or networks without proper
125.         authorization, regardless of whether the
126.         computer, software, data, information, or
127.         network in question is owned by the University
128.         (That is, if you abuse the networks to which the
129.         University belongs or the computers at other
130.         sites connected to those networks, the
131.         University will treat this matter as an abuse of
132.         your SEASnet computing privileges.)
133.  
134.     *    sending fraudulent computer mail or breaking
135.         into another user's electronic mailbox.
136.  
137.     *    violating any software license agreement or
138.         copyright, including copying or redistributing
139.         copyrighted computer software, data, or reports
140.         without proper, recorded authorization
141.  
142.     *    harassing or threatening other users or
143.         interfering with their access to the University's
144.         computing facilities
145.  
146.     *    taking advantage of another user's naivete or
147.         negligence to gain access to any computer
148.         account, data, software, or file other than your
149.         own
150.  
151.     *    encroaching on others' use of the University's
152.         computers (e.g., sending frivolous or excessive
153.         messages, either locally or off-campus; printing
154.         excess copies of documents, files, data, or
155.         programs; running grossly inefficient programs
156.         when efficient alternatives are available;
157.         modifying system facilities, operating systems,
158.         or disk partitions; attempting to crash or tie
159.         up a University computer; damaging or
160.         vandalizing University computing facilities,
161.         equipment, software, or computer files)
162.  
163.     *    disclosing or removing proprietary information,
164.         software, printed output or magnetic media
165.         without the explicit permission of the owner
166.  
167.     *    reading other users' data, information, files,
168.         or programs on a display screen, as printed
169.         output, or via electronic means, without the
170.         owner's explicit permission.
171.  
172.     In addition, some of the above actions may constitute
173.     criminal computer abuse, which is a crime in the state
174.     of California. Individuals who abuse University
175.     computing resources may be subject to prosecution under
176.     California Penal Code Section 502.
177.  
178.         Unless specifically authorized by a class
179.     instructor, all of the follwoing uses of a computer are
180.     violations of the University's guidelines for academic
181.     honesty and are punishable as acts of plagiarism:
182.  
183.     *    copying a computer file that contains another
184.         student's assignement and submitting it as your
185.         own work
186.  
187.     *    copying a computer file that contains another
188.         student's assignment and using it as a model for
189.         your own assignment
190.  
191.     *    working together on an assignment, sharing the
192.         computer files and to submit that file, or a
193.         modification thereof, as his or her individual work.
194.  
195. 1.5.3. SEASnet System Administrator Responsibilities
196.     A SEASnet system administrator's use of the University's
197.     computing resources is governed by the same guidelines
198.     as any other user's computing acitivty. However a system
199.     administrator has additional responsibilities ot the
200.     users of the network, site, system, or systems he or she
201.     administers:
202.  
203.     *    A system administrator ensures that all users
204.         of the systems, networks, and servers that he or
205.         she administers have access to the appropriate
206.         software and hardware required for their
207.         University computing.
208.  
209.     *    A system administrator is responsible for the
210.         security of a system, network, or server.
211.  
212.     *    A system administrator must make sure that all
213.         hardware and software license agreements are faithfully
214.         executed on all systems, networks, and servers for which
215.         he or she has responsibility.
216.  
217.     *    A system administrator must take reasonable
218.         precautions to guard against corruption of data
219.         or software or damage to hardware or
220.         facilities.
221.  
222.     *    A system administrator must treat information
223.         about and information stored by the system's
224.         users as confidential.
225.  
226.         In very unusual circumstances when system
227. response, integrity or security is threatened, as outlined
228. above, a system administratoris authorized to access files and
229. information necessary to find and resolve the situation.
230.  
231. 1.5.4. Consequences of Misuse of Computing Privileges
232.     Abuse of computing privileges is subject to disciplinary
233. action. If system administrators of SEASnet have strong evidence
234. of misuse of computing resources, and if that evidence points to
235. the computing activities or the computer files of an individual,
236. they have the obligation to pursue any or all of the following
237. steps to protect the user community:
238.  
239.     *    Notify the user's instructor, department chair,
240.         or supervisor of the investigation.
241.  
242.     *    Suspend or restrict the user's computing
243.         privileges during the investigation. A user may
244.         appeal such a suspension or restriction and
245.         petition for reinstatement of computing
246.         privileges through the SEAS Associate Dean of
247.         Student Affairs or the SEAS Associate Dean of
248.         Computing.
249.  
250.     *    Inspect the user's files, diskettes, and/or
251.         tapes. System administrators must be certain that the
252.         trail of evidence leads to the user's computing
253.         activities or computing files before inspecting
254.         the user's files.
255.  
256.     *    Refere the matter for processing through the
257.         appropriate University department. This would be
258.         the Dean of Student's Office in the case of
259.         student abuse and the UCLA personnel office in
260.         the case of staff or faculty abuse.
261.  
262.         Referring a case to the Dean of Students is the
263. most common course of action. For one thing, it ensures that
264. similar offenses earn similar punishments, from quarter to
265. quarter and instructor to instructor. For another, it enables
266. the Dean to detect repeat violators and punish second offenses
267. more severely. Finally, it protects students from unfair actions
268. on the part of their instructor, since an impratial third party
269. hears the case.
270.  
271.         Disciplinary action may include the loss of
272. computing privileges and other disciplinary actions. In some
273. cases, an abuser of the University's computing resources may
274. also be liable for civil or criminal prosecution (California
275. Penal Code Section 502 makes it a crime to misuse a computer).
276.  
277.         It should be understood that these regulations
278. do not preclude enforcement under the laws and regulations of
279. the State of California, any municipality or county therein,
280. and/or the United States of America.
281.  
282. 1.5.5. Acknowledgements
283.     Many of these policies are adapted from those of the
284. Columbia University Computer Science Department, the
285. California Institute of Technology, the UCLA department of
286. Computer Science Academic Honesty Policy, the University of
287. Delaware's Guide to Responsible Computering, and comments from
288. SUNY-Albany, University of Washington, Washington University
289. (St. Louis), Indiana University, Michigan State University, the
290. University of New Mexico and the Smithsonian Institue.
291.