home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #27 / NN_1992_27.iso / spool / comp / security / misc / 1804 < prev    next >
Encoding:
Internet Message Format  |  1992-11-19  |  2.7 KB
  1. Path: sparky!uunet!zaphod.mps.ohio-state.edu!pitt.edu!mgkst1
  2. From: mgkst1+@pitt.edu (Michael G Koopman)
  3. Newsgroups: comp.security.misc
  4. Subject: Re: Mail forging
  5. Summary: Informed users are your best security investment
  6. Keywords: mail, user awareness
  7. Message-ID: <9937@blue.cis.pitt.edu.UUCP>
  8. Date: 20 Nov 92 03:07:09 GMT
  9. References: <4225@bcstec.ca.boeing.com> <BxrJCL.9sC@mtholyoke.edu> <PC123.92Nov15191454@bootes.cus.cam.ac.uk>
  10. Sender: news+@pitt.edu
  11. Followup-To: poster
  12. Organization: University of Pittsburgh
  13. Lines: 42
  14.  
  15. As a user not aware of many security issues since I have real work to
  16. do and almost a life therefore not enough time to read this newsgroup
  17. - OOPS gotta go.....  
  18.  
  19. If I recall where this began correctly the original issue concerned
  20. mail forgery by a cracker requesting that a user change her password.
  21. A site at which user's will naively change passwords based on an
  22. e-mail message has not kept up on enlightenment of the users.  Any
  23. user should verify such a message in some way before acting on it.
  24.  
  25. Naive users may be a system administrators worst security risk.  By
  26. following this track it seems obvious that sys admins may consider
  27. more layers of faulty security code the right thing.  As a user at my
  28. company I feel obliged to poke my head out of the foxhole to see if
  29. someone is coming, once in a while, at least.  When "funny" things
  30. happen here the system administration is informed.  The administrators
  31. need to have the experience to recognize which curiousities show the
  32. greatest potential for revealing security holes.
  33.  
  34. There is more than one benefit to teaching users to "pester" root
  35. about unexpected occurrences.  The "funny" things users notice which
  36. are not the result of unauthorized access are likely to be the result
  37. of user errors.  Less user errors mean more productive systems which
  38. means sys admins get raises, right?  Well, in a perfect world ....
  39.  
  40. Make your users your allies.
  41.  
  42. If your users know how the box is supposed to act they can tell you
  43. when it isn't doing what it should which ~might~ help flag
  44. impropriety.  If the box (user activities included) is acting as it is
  45. supposed to act isn't the sys admin doing 90% of her job right,
  46. anyway?  That additional 10% as deputy sheriff is just to prove you
  47. hate those bad guys, anyway.  In the U.S. isn't the FBI supposed to
  48. keep the lines free from wiretaps and the like (with all of us good
  49. citizens' help, of course)?  If you have significant security risks,
  50. e.g. interpol records, what the Henry Ford are you doing on publicly
  51. accessible nets?  IMHO
  52. -- 
  53. Mike Koopman
  54. Concurrent Technologies Corporation     phone:   +1-814-269-2637
  55. 1450 Scalp Avenue                       telefax: +1-814-269-2666
  56. Johnstown, PA  15904                    e-mail:  koopman@server1.ctc.com
  57.