home *** CD-ROM | disk | FTP | other *** search
/ Hackers Underworld 2: Forbidden Knowledge / Hackers Underworld 2: Forbidden Knowledge.iso / UNDERGRD / VOL_3 / CUD330.TXT < prev    next >
Internet Message Format  |  1994-11-01  |  43KB
  1. Received: from UICVM.UIC.EDU by vax2.cstp.umkc.edu; Fri, 16 Aug 91 18:20 CDT
  2. Received: from NIU.BITNET by UICVM.uic.edu (IBM VM SMTP R1.2.2MX) with BSMTP id
  3.  2455; Fri, 16 Aug 91 18:20:04 CDT
  4. Date: Fri, 16 Aug 91 15:49 CDT
  5. From: TK0JUT2%NIU.BITNET@UICVM.uic.edu
  6. Subject: Cu Digest, #3.30
  7. To: TK0JUT1@NIU.BITNET
  8. Message-id: <2C8198434061E032A3@vax2.cstp.umkc.edu>
  9.  
  10.  
  11. Computer Underground Digest--Fri Aug 16, 1991 (Vol #3.30)
  12.  
  13.        Moderators: Jim Thomas and Gordon Meyer (TK0JUT2@NIU.BITNET)
  14.  
  15. CONTENTS, #3.30 (AUGUST 16, 1991)
  16. Subject: File 1--Review: PRACTICAL UNIX SECURITY (Garfinkel and Spafford)
  17. Subject: File 2--Review of "Practical Unix Security" (Garfinkel & Spafford).
  18. Subject: File 3--Cyberspace and the Legal Matrix: Laws or Confusion? (Reprint)
  19. Subject:  File 4--Mystery Lurks In The Death of INSLAW Reporter
  20.  
  21.            ARCHIVIST: BRENDAN KEHOE
  22.            RESIDENT CONVALESCENT: BOB KUSUMOTO
  23.            ULTRA-SCANMEISTER: BOB KRAUSE
  24.  
  25. CuD is available via electronic mail at no cost. Printed copies are
  26. available by subscription.  Single copies are available for the costs
  27. of reproduction and mailing.
  28.  
  29. Issues of CuD can be found in the Usenet alt.society.cu-digest news
  30. group, on CompuServe in DL0 and DL4 of the IBMBBS SIG, DL1 of LAWSIG,
  31. and DL0 and DL12 of TELECOM, on Genie, on the PC-EXEC BBS at (414)
  32. 789-4210, and by anonymous ftp from ftp.cs.widener.edu,
  33. chsun1.spc.uchicago.edu, and dagon.acc.stolaf.edu.  To use the U. of
  34. Chicago email server, send mail with the subject "help" (without the
  35. quotes) to archive-server@chsun1.spc.uchicago.edu.
  36.  
  37. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  38. information among computerists and to the presentation and debate of
  39. diverse views.  CuD material may  be reprinted as long as the source
  40. is cited.  Some authors do copyright their material, and they should
  41. be contacted for reprint permission.  It is assumed that non-personal
  42. mail to the moderators may be reprinted unless otherwise specified.
  43. Readers are encouraged to submit reasoned articles relating to the
  44. Computer Underground.  Articles are preferred to short responses.
  45. Please avoid quoting previous posts unless absolutely necessary.
  46.  
  47. DISCLAIMER: The views represented herein do not necessarily represent
  48.             the views of the moderators. Digest contributors assume all
  49.             responsibility for ensuring that articles submitted do not
  50.             violate copyright protections.
  51.  
  52. ----------------------------------------------------------------------
  53.  
  54. Date: Wed, 14 Aug 1991 11:22:00 CDT
  55. From: "Jim Thomas" <tk0jut2@mvs.cso.niu.edu>
  56. Subject: File 1--Review: PRACTICAL UNIX SECURITY (Garfinkel and Spafford)
  57.  
  58. Review of: _Practical UNIX Security_, by Simson Garfinkel and
  59. Gene Spafford. Sebastopol, (Calif): O'Reilly & Associates, Inc.
  60. 481 pp. $29.95 pb.
  61.  
  62. Because I know virtually nothing about UNIX, I am eminently qualified
  63. to comment on the Garfinkel/Spafford (G&S) volume. If I can understand
  64. and learn from it, anybody can. I have no idea whether UNIX Whizzes
  65. will find the tome worthwhile, but as a UNIX beginner, I judge the
  66. book a first-rate primer for inquisitive, but uninformed, neophytes.
  67.  
  68. To label the G&S book a "security" manual is misleading. Their
  69. introductory warning to would-be hackers who would interpret the book
  70. as in invitation to break into the authors' systems is perhaps a bit
  71. melodramatic (p. xxvii), but the book is about security as M*A*S*H is
  72. about war. I suspect system administrators, such as the following
  73. reviewer who is plagued by the screw-ups of folks like me who learn by
  74. punching in commands to see what they do--would hope users read _UNIX
  75. Security_  on the chance it would make them (the users, not the
  76. sysads) better citizens and cause them (the sysads, not the users)
  77. less hassle in answering obvious questions.
  78.  
  79. I'd guess that most users do not learn UNIX by taking classes, but
  80. rather by trial and error, pestering the pros, and maybe even
  81. purchasing a book or two.  Unlike the detailed "how to" books, such as
  82. _UNIX Made Easy_ (an oxymoronic title) that cover a wide range of UNIX
  83. uses and commands from programming to learning the intricacies of vi,
  84. _UNIX Security_ is more basic, focused, and appropriate for the UNIX
  85. newnicks.  Despite the focus on security, the book's emphasis is on
  86. responsible system use by teaching, step-by-step, those aspects of use
  87. at which security requisites arise. Such lessons obviously require an
  88. overview of the basics, which the authors provide.
  89.  
  90. They begin with an overview of the history of UNIX dating from the
  91. Mid-1960s with Multics to the rewriting and playful renaming of
  92. Multics to UNIX derived from the fact that Multics tried to to
  93. multiple things, and UNIX just one: Run programs (p. 7).  But, the
  94. openness and ease of UNIX also had a major drawback:  The early
  95. versions were not secure. Many of the original problems were the
  96. result of holes in the software itself, but--and the authors stress
  97. this throughout--the most serious security lapses are the result of
  98. human error or indifference.
  99.  
  100. Cracking into any system in most cases requires access to an account
  101. and then using that account to penetrate deeper by using various
  102. tricks to obtain root privileges.  As a consequence, the first line of
  103. defense, argue the authors, is to assure that unauthorized logins are
  104. prevented. There is little new for sysads in the book's first
  105. substantive chapter, "Users, Groups, and the Superuser." But the new
  106. user will find this explanation, along with the various charts
  107. clarifying what all those symbols mean when we list the /etc/group
  108. file, quite helpful.  Subsequent chapters explaining files, defending
  109. accounts, and securing data provide useful examples that can serve as
  110. exercises for the beginner in ferreting out the complexity of UNIX as
  111. well as for protecting one's own account against intruders. What for
  112. experienced users might seem mundane serves newer users with ways to
  113. develop and test knowledge of *one's own* account. The periodic
  114. distinctions between legitimate curious use and inappropriate abuse
  115. provide guidelines that encourage exploration while reminding the user
  116. of the courtesies owed to the sysads and others.
  117.  
  118. For those active on the nets, a five chapter section on modems, UUCP,
  119. Networks and Security, Sun's NFS, and other topics condenses much of
  120. Quarterman's $50 _The Matrix_ into a few comprehensible chapters.
  121. Although intended more for those setting up systems than using them,
  122. the discussion illustrates what occurs when we dial into a UNIX system
  123. and summarizes various operations of remote systems, including sending
  124. mail and file transfer. I found that the general discussion helped
  125. clarify the occasional error message and helps to use other systems
  126. more efficiently, ranging from moving around within them to using ftp
  127. and telnet.
  128.  
  129. Sysads may find little new in the discussion of what to do when a
  130. breakin occurs, but the step-by step procedures might serve as a
  131. mindful checklist. The cardinal rules--"don't panic" and "document"
  132. are sound for all computer users when they suspect intrusion, and
  133. inexperienced users should find the discussion helpful in reviewing
  134. how systems track and identify other users.
  135.  
  136. Although most users do not encrypt files and know nothing about the
  137. process, the early discussion of the process (pp 29-31) provides an
  138. understandable overview of what encryption is and how it works.  With
  139. increasing emphasis on secure systems, discussions of encryption also
  140. increase, and even for those of us who are functionally illiterate, it
  141. helps to know what salt is and what it does to our password. Chapter
  142. 18 is devoted to a more detailed summary of encryption systems,
  143. including ROT13 and crypt.
  144.  
  145. The chapter on "Computer Security and U.S. Law" is too brief.  G&S
  146. explain the legal options for prosecution and remind readers of the
  147. hazards of criminal prosecution, which include law enforcement
  148. illiteracy, the problems of search warrants, and the dangers of
  149. equipment seized as evidence. Alluding to the experience of Steve
  150. Jackson Games, where la