home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #16 / NN_1992_16.iso / spool / comp / security / misc / 776 < prev    next >
Encoding:
Text File  |  1992-07-22  |  2.4 KB  |  59 lines
  1. Newsgroups: comp.security.misc
  2. Path: sparky!uunet!das.wang.com!wang!news
  3. From: Tom Fitzgerald    <fitz@wang.com>
  4. Subject: Re: unhappy about overloading finger
  5. Organization: Mail to News Gateway at Wang Labs
  6. Date: Wed, 22 Jul 92 21:40:48 EDT
  7. Message-ID: <199207230140.AA18677@fnord.wang.com>
  8. References: <ggm.711690458@brolga>
  9. Sender: news@wang.com
  10. Lines: 47
  11.  
  12. ggm@brolga.cc.uq.oz.au (George Michaelson) writes:
  13.  
  14. >     (1) automated s/w is flooding the net with fingers
  15. >     (2) paranoia-calls are responding with fingers
  16. >     (3) loops are likely.
  17.  
  18. Anybody that does back-fingers has to worry about loops, for sure.  The
  19. best thing to do might be to keep a log of recent backfingers and not
  20. refinger anybody that's been hit in the last minute.
  21.  
  22. >     (4) meantime, crackers are "hidden" by legitimate finger usage.
  23.  
  24. Make finger useless to crackers, and this won't be a problem.
  25.  
  26. The advantages of finger to crackers is it lets them find login names,
  27. identify accounts that haven't been used for a while, and get the human
  28. name for the account so they can try looking up spousal names and such in
  29. the phone book, as potential passwords.  The best way to counteract these
  30. is 1) have finger look up substrings of the mailing address, not the login
  31. name, and don't report the login name, 2) don't report the time of last
  32. login, and 3) make sure nobody is using a spouse name as a password.
  33.  
  34. The finger daemon here reports a user's human name, mailing address,
  35. whether they're currently logged on (so you can try a talk (but you already
  36. have to know the user's login name)), and the .plan file.  A finger without
  37. a user name prints a polite message to contact me.  I like this scheme.
  38.  
  39. > I would prefer
  40. > to see an explicit 'distributed information' protocol to replace finger
  41. > being used for:
  42. >
  43. >     email address lookup
  44. >     directory service call
  45. >     generalised information checks
  46.  
  47. whois does this, but too few people have whois clients.  Most name-brand
  48. DOS TCP/IP packages, and all Unixes that I know of, have finger.  Many
  49. Unixes, and most (nearly all?) DOS packages are missing whois.  And nobody
  50. has a client for any alternative protocol....
  51.  
  52. I'm wondering what to do about the person who ran "finger \*@das.wang.com"
  53. from an outside site today.  Anybody know if there are finger daemons that
  54. screw up on user "*"?
  55.  
  56. -- 
  57. Tom Fitzgerald   Wang Labs       fitz@wang.com   "I went to the universe today;
  58. 1-508-967-5278   Lowell MA, USA                   It was closed...."
  59.