home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #27 / NN_1992_27.iso / spool / comp / sys / next / misc / 22070 < prev    next >
Encoding:
Text File  |  1992-11-17  |  2.6 KB  |  61 lines
  1. Newsgroups: comp.sys.next.misc
  2. Path: sparky!uunet!europa.asd.contel.com!emory!gatech!concert!mattcube!matt
  3. From: matt%mattcube@concert.net (Matthew M. Stecker)
  4. Subject: Re: Stolen NeXT Station Color
  5. Message-ID: <1992Nov17.144353.3583@mattcube>
  6. Sender: matt@mattcube
  7. Reply-To: matt%mattcube@concert.net
  8. Organization: UNC School of Law, CC for NeXT Computer, Inc.
  9. References: <FISCHER.92Nov17014523@steinhaus.iesd.auc.dk>
  10. Date: Tue, 17 Nov 1992 14:43:53 GMT
  11. Lines: 48
  12.  
  13.  
  14. [ response to all of the talk about what a security breach it is that
  15.   someone who steals a machine can, given the right knowledge get
  16.   access to the system's data ]
  17.  
  18. All of this discussion boils down to one simple truth - namely that
  19. once a culprit has physical access to the machine, they can 
  20. reset the ROM, get access to root, and get at the system's data.
  21.  
  22. Even if the system were structured in such a way that this were
  23. impossible, (say a hardwired ROM password that was unchangeable), 
  24. the culprit can always remove the SCSI drive and mount it up on 
  25. a machine that he does control, thereby getting at the system's data.
  26.  
  27. I was just wondering if this 'fault' (and it's not necessarily a fault -
  28. consider that for every thief that uses this process, probably hundreds
  29. of folks legitimately forget their passwords and need these procedures)
  30. could be alleviated by some sort of password lock built into the 
  31. hardware of the drive itself - that is, the drive itself would not
  32. become active, no matter what system it was attached to, unless it 
  33. received a password at boot time.  The password would be hard-wired
  34. into the drive (so you couldn't reset it by killing the battery), and
  35. could be retrieved only by calling the drive manufacturer who would
  36. give it away in the same manner that banks give out PIN numbers - they
  37. would only mail it to the address on file.
  38.  
  39. The system would be set up to prompt for this at boot time, so that 
  40. it couldn't be discovered by poking around the system.  I suppose that
  41. this would work like the security code on my car radio - if the system
  42. loses power, it needs an id code to be useful again.  
  43.  
  44. I realize that this would be a minor inconvenience, but considering that
  45. most (many? I have no real data on this) people keep their machines
  46. running continuously, it shouldn't pose too much of a problem - it also
  47. doesn't seem like it'd be very difficult to implement.
  48.  
  49. This might not make sense for many sites, but for those who hold extremely
  50. sensitive data, it could provide some peace of mind.
  51.  
  52. Just an idea,
  53.  
  54. matthew
  55.  
  56. -- 
  57. matt stecker            |    This is my NeXT Computer
  58. NeXT Campus Consultant,        |    There are many like it,
  59. UNC School of Law        |    but this one is mine.
  60.  
  61.