home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / ietf / ssh / ssh-minutes-96dec.txt < prev    next >
Text File  |  1997-01-30  |  5KB  |  174 lines
  1. Editor's note:  These minutes have not been edited.
  2.  
  3. The meeting started off with Phil Nesser briefing us on what will 
  4. go into the Executive Summary of the SSH and USH (which Erik Huizer 
  5. suggested during the last meeting).
  6.  
  7. - Purpose of the summary: to give people reasons to read the
  8.   documents
  9. - This will go into the Overview of the documents
  10. - Phil Nesser will do the write-up
  11.  
  12.  
  13. - Barbara will put in the final draft of the SSH next week
  14.  
  15. - Gary will do the index
  16.  
  17. - SSH should be released as RFC by the next IETF
  18.  
  19.  
  20. The rest of the meeting concentrated on the USH.
  21.  
  22. Section 1:
  23.  
  24. - Is Section 1.1 (Why was This Written?) necessary?
  25.   It was decided that the heading for this section be removed and the text
  26.   to go under Sect. 1 itself (Who Cares?)
  27.  
  28.  
  29. Section 2:
  30.  
  31. - "Commandments" to be one-line summaries of points which are expanded 
  32.   on later in the document
  33.  
  34. - Here are the ones we came up with at the meeting... suggestions for new
  35.   ones and improvements are welcome:
  36.  
  37.     o  Know your policy and who/what supports it.
  38.     o  Remember yor password and keep it secret.
  39.     o  Know who to call for help.
  40.     o  Everything on the Internet is accessible.
  41.     o  Don't ask, don't tell.
  42.     o  If in doubt, don't.
  43.     o  Know the risks, balance the benefits.
  44.     o  Logout before you leave.
  45.  
  46.  
  47.  
  48. Section 4:
  49.  
  50. - Add "Beware of leaving modem in auto-answer mode"
  51.  
  52. - Java scripts section to be added possibly to scetion 4's Viruses and 
  53.   Other Illnesses  (by Erik Guttman)
  54.  
  55. - Add section on fake terminal session logins
  56.  
  57. - Chris Lewis <> will do write-up
  58.  
  59.  
  60. Section 5:
  61.  
  62. - Index has divided Section 5 into various parts... index not updated
  63.   as it was decided at the last meeting to do away with parts
  64.   Gary will update the index for Section 5
  65.  
  66. - Section is lengthy... Wilfred Erinbar <> will try to shorten it
  67.  
  68. - Last paragraph is too general for this section, so it will be moved
  69.   to Section 1 (probably 1.4)
  70.  
  71. - Currently, this section touches only on users revealing secrets to
  72.   to "social engineers"
  73.   Lorna <lorna@staff.singnet.com.sg> will add stuff on how users may 
  74.   be used by attackers as "remote controllers" .... to include an
  75. analogous
  76.   example of how no one should help someone else carry their bags through
  77.   Customs
  78.  
  79.  
  80. Section 6:
  81.  
  82. - Main message to send across to users is that all information on their
  83.   account IS important even though they may not think so
  84.  
  85. - Also, to TELL users is that "computer networks are easier to snoop 
  86.   and sniff than telephone networks"
  87.   
  88. - Users should bear in mind that any information sent over the Internet 
  89.   is as good as public information ..... include examples of what sort
  90.   of information users may not want to reveal to simply anyone
  91.   Erik Guttman (I think) is doing this
  92.    
  93. - Stuff on credit card details sent over the Internet to be moved from
  94.   Section 8 to Section 6.
  95.  
  96.  
  97. Section 7:
  98.  
  99. - "Someone is using your system and you don't know it. Know the normal
  100.   behaviour of your system, and be suspicious if it changes."
  101.  
  102. - "Be familiar with modem activity"
  103.  
  104. - "Upgrade networking software" --- this should not include only
  105.   "networking" software but all other software.
  106.  
  107. - Point out the "dangers" of upgrading shared system software...
  108.  
  109. - "Do not take advice simply from anyone."
  110.  
  111. - Add warning that even though USH may suggestion some things, the user
  112.   should be aware of his site's policy as the policy may say "no" to
  113. certain
  114.   things
  115.  
  116. - "Dangers" of auditing tools...
  117.  
  118.  
  119. Section 8:
  120.  
  121. - Should this section cater more to users who use the Internet through
  122.   their ISP connection?
  123.   
  124. - Point out clearly that "There are environments where services are run 
  125.   an ISP's (Unix) system, and others in which the user's own PC runs the
  126.   jobs."
  127.  
  128. - Point out that "Users should not connect up to their ISP at the same
  129. time
  130.   they are connected to their LAN (and vice versa)."
  131.  
  132. - "Beware of what anyone with physical access to your machine may do."
  133.  
  134. - What about "Beware pf security software on public terminals."
  135.  
  136. - Erik Guttman to touch up on this section.
  137.  
  138.  
  139.  
  140. Misc:
  141.  
  142. - We are looking for more urban legends to fit into the beginning of 
  143.   each section (as appropriate). Currently, there is the "Final Year
  144.   Student" urban legend in Section 1.... try to keep other legends only
  145.   as long as this one (not too long)
  146.  
  147. - Add one part to say something along the lines of "by no means is this
  148.   document exhausive" at the beginning of the document
  149.  
  150. - "Some USH info is for you but not others..." Point out that not all
  151.   information in the document will be relevant to all users, and that
  152.   users should be aware of their own site's policy too
  153.  
  154. - Throughout the document, there are parts catered to Unix account users
  155.   and to PC users, but it is not clearly spelt out which is for which...
  156.   Suggestion to have:
  157.  
  158.     "On a personal computer, <blah, blah, blah>"
  159.     "On a Unix system, <blah, blah, blah>"
  160.  
  161. - Throughout the document, we shold mention that "we offer suggestions but 
  162.   you should see your appropriate support staff for further information"
  163.  
  164. - When most sections have been written, we will get people to look
  165.   through the entire document for grammar, spelling mistakes, and to
  166.   make improvements for clarity. In the meantime, any editorial comments 
  167.   may be sent to Gary Malkin <gmalkin@baynetworks.com>
  168.  
  169.  
  170.  
  171.  
  172. ----- End Included Message -----
  173.  
  174.