home *** CD-ROM | disk | FTP | other *** search

---

/ ftp.wwiv.com / ftp.wwiv.com.zip / ftp.wwiv.com / pub / HATCH / WWIVNEWS.ZIP / 9304_2.NWS

< prev

next >

Wrap

Text File  |  1993-04-10  |  20KB  |  374 lines

---

1. ───────────────┬─────────────────────────────────────────────┬───────────────
2.                │                 Type 0 Forum                │
3.                │         Edited by Omega Man (1@5282)        │
4.                └─────────────────────────────────────────────┘
5.  
6. The Type 0 Forum is WWIVnews' "Letters To The Editor" section. Comments,
7. criticisms, questions, and suggestions can be sent to WWIVnews c/o 1@5282.
8. WWIVnews reserves the right to edit any submissions for either clarity,
9. punctuation, or spelling, but will endeavor to maintain the content integrity
10. as close to that originally submitted as possible.
11.  
12. ─────────────────────────────────────────────────────────────────────────────
13.  
14. Dear Editor:
15.  
16. I have registered a file called NetRunner 1.02. It is distributed as 
17. NETRN102.ZIP on MegaRom ][ - Shareware Spectacular, as well as through normal 
18. shareware channels (i.e. bbs systems).
19.  
20. This game is a "Cyberpunk" styled game. The mission: Hack into systems and
21. steal credits while avoiding ICE (Intrusion-Counter Electronics). It is a fun 
22. game and many of the users at The Theatre Of Vampires (WWIVNet/ICEnet 3325) 
23. enjoyed the game immensely. 
24.  
25. Unregistered the game is fully functional. However, SYSBUILD.EXE (a utility to
26. build systems) does not work until the game is registered. Also, all NetRunners
27. are retired at 5000 experience points.
28.  
29. The game was authored by Rob Jacob, of Federal Way, WA and distributed by 
30. Seattle Cybertechnologies. 
31.  
32. I sent in the registration form and a check for $25.00 on the 9th of January, 
33. 1993. I waited for four weeks and had not received a registration number when 
34. I received a new bank statement for my checking account. The check I wrote to 
35. Seattle Cybertechnologies had cleared the 12th of January 1993, only three days
36. after I wrote and mailed it.
37.  
38. I tried to contact Rob Jacob or Seattle Cybertechnologies by telephone, to find
39. that the numbers were unlisted or disconnected. I attempted to call the two 
40. telephone numbers listed for CyberSpace BBS, both of which had been 
41. disconnected. I contacted the second SDS for NetRunner 1.02, HCS BBS, and left
42. mail with the sysop of that board, explaining to him my dilemma.
43.  
44. On 9 Feb 93, I sent a letter to Rob Jacob requesting the registration number.
45. I gave him the benefit of the doubt (lost in mail, oversight, etc) and 
46. requested a registration number be sent for this game.
47.  
48. On 23 Feb 93, I called back to HCS BBS, and had received mail back from the 
49. sysop. He informed me that this lack of support from Rob Jacob had begun in 
50. July of 1992. Several registrants, who had downloaded the game from HCS, had 
51. contacted the sysop of HCS concerning the registration numbers not being 
52. received. HCS BBS' sysop spent a relatively large sum of money attempting to 
53. contact Rob Jacob concerning NetRunner and the failure to support the product. 
54. Rob Jacob did not return his calls. After that, HCS BBS dropped the game from 
55. his download area and posted several warnings on nationwide networks such as 
56. FidoNet.
57.  
58. At that time I sent Rob Jacob the second follow-up letter. In this letter I 
59. informed him of my correspondence with HCS BBS and of my intentions should a 
60. registration number not be received. 
61.  
62. I am now (28 March 93) waiting for further correspondence and a reply from 
63. Seattle CyberTechnologies and Mr. Rob Jacob. In the meantime, is there any
64. other recourse I can take to expedite matters?
65.  
66.                               Lestat The Immortal (1@3325)
67.  
68.  
69. Editor's Reply:
70.  
71. Lestat's problem isn't unheard of. At least once a month, reports surface on 
72. the major computer networks about a particular shareware author who appears to
73. have suddenly disappeared off the face of the Earth, leaving all registered 
74. users and pending registrations in limbo. In the majority of cases this is
75. usually revealed to be a misunderstanding or miscommunication between the
76. author and his customer(s), and matters are usually settled between both
77. parties in a satisfactory manner.
78.  
79. However, in Lestat's case, the problem may be a bit different. Inquiries have
80. also surfaced in recent weeks on Usenet and Fidonet regarding the whereabouts 
81. of both Seattle CyberTechnologies and Ron Jacob. As of this writing, neither
82. company nor shareware author have been located, and Lestat's grievance has
83. not been settled.
84.  
85. Lestat is not without recourse, however. When purchasing *anything* using
86. the United States Postal Service, there are several steps that should be taken
87. so as to protect yourself from any possibilities of fraud or misconduct on the
88. part of the vendor:
89.  
90. 1) Prior to purchase, ask around to see if anyone's heard anything negative
91. about the vendor. Ask about post-sale support, positive customer relations,
92. and integrity of financial dealings. If you cannot find anyone locally who has
93. dealt with the vendor, contact the chapter of the Better Business Bureau that
94. is local to the vendor, and inquire about any complaints pending with the
95. agency. Another option is to try using one of the computer networks to inquire 
96. as to the integrity of the vendor. If all else fails, try asking the vendor 
97. for a brief list of other consumers with whom you can correspond about their 
98. products. If the vendor refuses to grant such a list, this is generally 
99. considered to be a warning sign against that vendor.
100.  
101. 2) If you decide to purchase from the vendor, unless it is totally impossible
102. to do so, pay by a credit card. If you fail to receive what you've ordered, 
103. the credit agency behind the card can stop payment on the item until the 
104. matter is settled.
105.  
106. 3) If you cannot pay by a credit card, pay by cashier's check from your bank,
107. S&L, or credit union. Prior to purchasing, ask your financial institution
108. whether they can offer the same sort of protection for the check as they can
109. with a credit card purchase. If they cannot, ask them to suggest an alternative
110. method of purchase.
111.  
112. 4) While it's not feasible for some consumers, the best way to ensure that
113. the product you order is delivered into your hot little hands is to order via
114. COD. If the vendor refuses to ship COD, refuse to do business with them.
115.  
116. 5) Under *no* circumstances should you ever pay by cash over the mail. COD is
117. only slightly more permissible, and a check should be used when possible. This
118. is especially true in the case of large purchases.
119.  
120. If you think you're the possible victim of mail fraud, and you've taken these
121. steps, you stand a better chance of getting the matter settled with a positive
122. result. If you think something's amiss behind your purchase, take the following
123. steps:
124.  
125. 1) A good faith attempt to contact the vendor is in order. This does NOT mean
126. that one disconnected phone call constitutes a good faith attempt. Follow-up
127. the call with a second call the following day to ensure that the disconnection
128. was not a screwup on the part of either the vendor or the local phone company.
129. One report on Usenet years ago about one of Microsoft's support lines being
130. disconnected started a brief world-wide flurry of rumors regarding the 
131. impending demise of Gates' then-minor empire.
132.  
133. If you paid by credit card, you can call the agency and request a stop payment
134. on the purchase. This usually will get a quick response from the vendor.
135.  
136. If you paid by anything other than a credit card, read on.
137.  
138. 2) Send a letter of inquiry to the vendor. Have this letter sent registered
139. with the USPS. This usually costs an extra $1, and requires that the recipient
140. of the letter sign a green card of acceptance before being the letter is 
141. officially delivered. This is a sign to a vendor that you mean business right
142. off the bat, and usually expedites matters about two steps down the chain
143. quicker than a normal letter.
144.  
145. 3) If the letter is returned as undeliverable because the vendor could not
146. be located, attempt to locate through the USPS any sort of forwarding or
147. alternative addresses for the vendor. Some vendors use Post Office Boxes
148. which some local USPS sites have been known to change without notice, and
149. these changes take weeks to be reflected throughout the entire USPS system.
150.  
151. 4) If the letter is returned as refused by sender, then a complaint can be
152. filed with the USPS for possible mail fraud. This will require forms being
153. filled out, and copies made of any correspondence with the vendor prior
154. to filing the complaint. Call in advance and ask for details so that you
155. bring everything the local Postmaster will need to pursue the matter further.
156.  
157. 5) If the Postmaster determines that fraud may have occurred, the matter
158. becomes a Federal case, and is pursued accordingly. If the purchase was of 
159. a significant amount, it may be wise to pursue the advice of a local attorney
160. with regards to your next steps.
161.  
162. A word to the wise: if the matter gets this far, don't expect to get your 
163. money back any time soon, and don't expect to get it all back. In many cases,
164. such as the recent computer mail fraud situation in Southern California, the 
165. consumer who failed to pay by credit card is usually the consumer whose only 
166. satisfaction is knowing they helped prevent other consumers from being 
167. defrauded as well.
168.  
169. It should be noted that the majority of shareware authors are persons of honor
170. and integrity, and as with any business there are times when accidents happen
171. and orders fall through the cracks. Before going half-cocked and filing a
172. formal grievance at the first sign of trouble, attempt to contact the vendor
173. and try to solve the problem in a friendly, professional manner.
174.  
175.  
176. Dear Editor:
177.  
178. I just saw someone locally that pulled the neatest "trick" I've ever seen...
179. also one that unfortunately removes much of the control over a subboard from
180. it's Host. I do not fault the person that showed me this: he only did this to
181. show me "Hey, look at what a neat thing I can do with your sub if I wanted to."
182.  
183. ────────────────────────────────────────────────────────────────
184. This is the normal, typical setup in 4.22 to SUBSCRIBE to a sub
185. ────────────────────────────────────────────────────────────────
186. A. Name       : Drawing Down The Moon / Ritual Magick
187. B. Filename   : DRAWING
188. C. Key        : None
189. D. Read SL    : 28
190. E. Post SL    : 28
191. F. Anony      : No
192. G. Min. Age   : 0
193. H. Max Msgs   : 75
194. I. AR         : None.
195. J. Net info   :
196.       Network      Type    Host     Flags
197.    a) WWIVNet      5413    5413
198. K. Storage typ: 2
199. L. Val network: No
200. M. Req ANSI   : No
201. N. Disable tag: No
202. O. Description: Pagan/Wiccan/Ceremonialist discussions, some chatter.
203.  
204. ─────────────────────────────────────────────────────────────────────────
205. Here's a perfect example of how a SUBSCRIBER can GATE WITHOUT PERMISSION!
206. ─────────────────────────────────────────────────────────────────────────
207. A. Name       : Drawing Down The Moon / Ritual Magick
208. B. Filename   : DRAWING
209. C. Key        : None
210. D. Read SL    : 28
211. E. Post SL    : 28
212. F. Anony      : No
213. G. Min. Age   : 0
214. H. Max Msgs   : 75
215. I. AR         : None.
216. J. Net info   :
217.       Network      Type    Host     Flags
218.    a) WWIVNet      5413    5413
219.    b) WWIVLink     5413    <HERE>   Auto-Req Auto-Info
220. K. Storage typ: 2
221. L. Val network: No
222. M. Req ANSI   : No
223. N. Disable tag: No
224. O. Description: Pagan/Wiccan/Ceremonialist discussions, some chatter.
225.  
226. My concerns are of *security* and *control*, by a Host, for their subs.
227.  
228. I did not create my subs merely to allow other Sysops unrestricted reign. The
229. above two screen capture sets show that *apparently* anyone can gate a sub, at
230. least to another network, without any form of permission from the original
231. host. At the minimum this offers several problems.
232.  
233. Say I wanted to prevent someone from subscribing to a sub. I can either put
234. the sub on manual updating, or I can opt to use auto"R"equest features and put
235. that node in DISALLOW.NET.
236.  
237. PROBLEM #1: Someone decides to gate my subs to perhaps a second network. A 
238. banned system I'm disallowing to my sub has access to the second network. The 
239. banned system effectively subscribes to my sub ANYHOW because they are picking
240. it up on the second network's gating of my sub.
241.  
242. PROBLEM #2: (more convoluted) A member of second network picks up my sub on
243. WWIVNet and gates it to perhaps IceNet. An IceNet member gates my sub over
244. to WWIVLink. A Link subscriber gates it to TeensieNet. A TeensieNet member
245. gates it to StupidNet. StupidNet member gates it to PubertyNet. etc, etc.
246.  
247. PROBLEM #3: In either of the above cases, who sends what to whom? Do I suddenly
248. lose total control over the subscription process? Do people now send request
249. notices to boards other than the original Host?!
250.  
251. PROBLEM #4: I have one of the two largest subs in WWIVNet, totalling 487 
252. subscribers. Am I now being told that any one of those people can now each gate
253. my sub to have a dozen or more different networks?!
254.  
255. PROBLEM #5: And what about massive, I mean MASSIVE traffic flow problems? What
256. will happen when these gated and re-gated packets bounce several times across
257. the nation, possibly looping several times, before winding back at *MY* system?
258. (remember me, the HOST?!)
259.  
260. PROBLEM #6: Since other systems, other SUBSCRIBER systems, are now acting as 
261. Co-Hosts to *MY* subs, could THEIR having NetVal or other flags override or 
262. complicate any setting arrangements that are present on *MY* board? Could
263. THEIR having things like NetVal turned on for *MY* sub that they "poached"
264. cause outbound message from *ME* to have to be subjected to NetVal before THEY
265. allow *MY* Hosted message to pass THEIR gateway?! (remember me, the HOST?!)
266.  
267. Now these are all REASONABLE concerns in my view, and other people are going to
268. start asking the same questions once they read this message. If they haven't
269. already seen other similar pieces of seeming evidence. Frankly this scares me,
270. and drastically lowers my confidence in the way the network is changing if all
271. of this turns out to be true.
272.  
273.                                    Furry Lover (1@5413)
274.  
275.  
276. Editor's Response:
277.  
278. This incident wasn't exactly unforseen, but at the same time there's not really
279. that much that can be done about the problem software-wise with regards to the
280. network executables. There's been a few ideas battered about on the various 
281. sysop subs, but nothing comprehensive has been proposed so far.
282.  
283. Although no preventive fix currently exists for this potential abuse of gating,
284. this does not mean that the problem has simply been ignored by Wayne Bell. As 
285. this month's column from the creator of WWIV and WWIVNet explains in clear
286. details, unauthorized gating of this sort is against WWIVNet rules, and should
287. be expected to be just as illegal on any of the other WWIVNet-based networks.
288.  
289.  
290. Dear Editor:
291.  
292. I have been getting a lot of E-mail about stopping WWIV from being hacked. I
293. made a standing offer on one of the subs about hacking that I would pay $100.00
294. to anyone that could hack my board, and that I would even give them 255 SL and
295. the system PW. No one took me up on it.
296.  
297. Anyway, I have written this short file on what I have done on my board to 
298. protect it, and thought that you might want to consider putting it in the next
299. issue of WWIVNews. If not, or if you like the idea but need more meat, let me
300. know and I will add more to it, however I don't think that there is a lot more
301. to add that could make it any better.
302. ──────────────────────────────────────────────────────────────────────────────
303.  
304. Here is what you should do if you want to make your WWIV hack-proof. I cannot
305. GUARANTEE it will stop hackers, but it should. I have offered hackers $100.00
306. if they could hack my board, and even offered to give them the system password
307. and 255 SL to help them out, but none has been able to do it successfully.
308.  
309. If you have the source, it will be VERY helpful. What you will need to do is
310. go into BBS.C and change all the // commands, especially //DOS, //EDIT, //LOAD,
311. //UEDIT, //CHAINEDIT, //REN, //MOVE, //DIREDIT, //LOG, and //CHUSER. You might
312. as well change them all. What you change them to doesn't matter, but make it
313. something completely unrelated to BBSing, for instance, change //DOS to
314. //TURTLE or something that they could never guess. This way, even if they get
315. 255 SL AND your system PW, they will not be able to do anything.
316.  
317. DON'T have a C:\WWIV\DLOADS dir. Call it something else. Make sure that you
318. identify it in INIT. Call your C:\WWIV\TEMP dir something else, again making
319. sure that you let INIT know about it.
320.  
321. Change your system PW often, and DON'T GIVE IT TO ANYONE!!!!  I cannot stress
322. this enough. Your BBS is only as secure as what you want to make it. If you
323. go giving out 255 SL's to people, you are asking for trouble. Even IF they
324. never do anything to you, someone could see them logging on sometime and get
325. their logon info, or they could copy all their script files from their term
326. program without your friend knowing it...all sorts of things can happen. I
327. cannot think of any reason to give someone 255 SL, and if you set up your //
328. commands like I have outlined above, even if they did log in as your friend,
329. they would not be able to do anything, unless of course your friend had all of
330. them written down by his computer or in a file somewhere.
331.  
332. Of course, there is not really a lot that you can do about stopping trojans and
333. viruses from being uploaded... a good upload event would help, although I'm
334. told that there is a viruses that is executed when Scan runs on it, so it
335. might be a good idea to write-protect your hard drive, and copy the file to
336. floppy and scan it. Most hackers are not out to upload viruses though. Most
337. of them want to get into your DOS somehow.
338.  
339. Common sense plays a HUGE role in BBS security. Use it.
340.  
341.  
342.                                         Sam (1@2077)
343.  
344. Editor's Response:
345.  
346.  
347. Sam's suggestions are very good ones. In fact, many of them date back to the
348. old 3.21d days of WWIV, where renaming // commands was the easiest way to
349. make Wayne's solid spaghetti code a bit more bulletproof. This solution was
350. usually combined with the "Sysop Menu" mods that still find their way onto
351. the MODNET to this very day.
352.  
353. The same basic philosophy applied to changing directory names to something
354. nonstandard so as to confuse anyone who'd managed to hack into the system
355. remotely. If your BBS was in C:\123R3\SMARTPIC instead of C:\WWIV, then
356. odds are very unlikely that a hacker would take what little time he had to
357. snoop around every directory to find where WWIV really resided. When combined
358. with a mod or two to the source to make sure the shell to DOS placed the
359. hacker in the root directory, this became a very effective means of reducing
360. a hacker's time frame from which to work with.
361.  
362. Finally, the best way period to dramatically increase your system security is
363. to frequently change your system passwords - especially at the first sign of
364. any suspected attempt upon your system's security. Again, when selecting a 
365. password, choose something that you can easily remember, but doesn't have
366. anything directly relating to you on a surface level. Some sysops use the 
367. method by which the password is determined by a serial number of a part inside
368. the system itself. A BIOS revision number, SIMM OEM number, or even the slot
369. number in which their modem resides is not easily hackable by someone who has
370. no sysop-side access to the system itself.
371.  
372. Again, a little common sense can deter even the most experienced hacker.
373.  
374.