home *** CD-ROM | disk | FTP | other *** search

---

/ DP Tool Club 17 / CD_ASCQ_17_101194.iso / vrac / risk1636.zip / RISKS-16.36

< prev

Wrap

Text File  |  1994-09-14  |  30KB  |  657 lines

---

1. Subject: RISKS DIGEST 16.36
2. REPLY-TO: risks@csl.sri.com
3.  
4. RISKS-LIST: RISKS-FORUM Digest  Monday 29 August 1994  Volume 16 : Issue 36
5.  
6.          FORUM ON RISKS TO THE PUBLIC IN COMPUTERS AND RELATED SYSTEMS 
7.    ACM Committee on Computers and Public Policy, Peter G. Neumann, moderator
8.  
9. ***** See last item for information on RISKS (comp.risks) *****
10.  
11.   Contents:
12. Vandals Cut Cable, Slow MCI Service (Mich Kabay)
13. Mexican election computers (John Sullivan)
14. Attack of the killer spellcheckers... (Valdis Kletnieks)
15. U.S. Mail causes ZIP-code problem (Al Stangenberger)
16. Re: Bug in Microsoft Word (Dave Moore)
17. Salt in wounds (Re: New Cray and Unix Passwords...) (Peter Wayner)
18. Re: Fraud and Identity -- SCI-FI (Andrew Marchant-Shapiro)
19. Politicians Join the Internet (Mich Kabay)
20. Re: pi = 3 (Mark Stalzer, Rob Boudrie)
21. System makes bank check forgery easy (Christopher Klaus)
22. CFP: 2nd ACM Conference on Computer and Communications Security (Li Gong)
23. Info on RISKS (comp.risks), contributions, subscriptions, FTP, etc.  
24.  
25. ----------------------------------------------------------------------
26.  
27. Date: 28 Aug 94 13:12:43 EDT
28. From: "Mich Kabay [NCSA Sys_Op]" <75300.3232@compuserve.com>
29. Subject: Vandals Cut Cable, Slow MCI Service
30.  
31. >From the Washington Post newswire (94.08.27):
32.  
33. VANDALS CUT CABLE, SLOW MCI SERVICE
34.  
35.  By Elizabeth Corcoran 
36.  Washington Post Staff Writer 
37.  
38.     "Telephone calls between New York City and Washington on the MCI network
39. encountered traffic jams yesterday afternoon after vandals removed a segment of
40. cable in Newark. The problems began just before 2 p.m. and lasted until 5:45
41. p.m. 
42.     "MCI Communications Corp. spokesman Jim Collins said vandals `neatly cut'
43. out a 20-foot segment of fiber-optic cable that ran along a railroad overpass
44. above a street in Newark. The cable, which was wrapped in a thin plastic
45. casing, was not easy to reach."
46.  
47. The article continues with the following key points:
48.  
49. o    Repairs took about an hour after the break was located.
50.  
51. o    NJ residents, in particular, got many busy signals when alternative
52. routes were saturated.
53.  
54. o    Brokers on the NASDAQ exchange, including Dow Jones, were affected.
55.  
56. o    Motives for the theft of 20 feet of fiber optic cable are unknown.
57.  
58. [Comments by MK:  could this be a dry run for a class-3 (international)
59. information warfare attack?  "Let's see what happens when we deliberately
60. interfere with one of the major carriers...."]
61.  
62. M.E.Kabay,Ph.D./DirEd/Natl Computer Security Assn
63.  
64. ------------------------------
65.  
66. Date: Fri, 26 Aug 94 13:21:42 -0500
67. From: sullivan@geom.umn.edu
68. Subject: Mexican election computers
69.  
70. RISKS readers will recall that six years ago, the Mexican ruling party PRI
71. evidently stole the presidential election through tricks with the
72. vote-counting computer.
73.  
74. Last month, the Economist had an article about preparations for the elections
75. this year in Mexico.  Their reporter interviewed a government official in
76. charge of elections; when he asked about the computer irregularities six years
77. ago, the interview was abruptly ended.
78.  
79. It seems that the elections this year were more open and fair than those six
80. years ago.  But there have been some questions raised again about the computer
81. system.  The IFE (Federal Electoral Institute) has delayed releasing the final
82. vote totals.  PRI representatives say the delay is because the PRD (opposition
83. party) is demanding recounts of each ballot box.  But, according to Reuters,
84. PRD representatives to the IFE claim instead that the delays were "due to
85. suspicious problems with the official computer system".  The Reuters report
86. continues to say that:
87.  
88.        IFE officials denied Thursday there were any problems with
89.     the computer system but said an investigation was continuing
90.     into an apparent effort by unknown individuals to infiltrate a
91.     computer virus into the main electoral computer.
92.        Interior Minister Jorge Carpizo said Wednesday that
93.     investigators had found some clues indicating who might have
94.     been responsible for the effort but did not say who they were or
95.     whether the effort was politically motivated or not.
96.  
97. John Sullivan     sullivan@geom.umn.edu
98.  
99. ------------------------------
100.  
101. Date: 26 Aug 1994 18:53:21 GMT
102. From: valdis@black-ice.cc.vt.edu (Valdis Kletnieks)
103. Subject: Attack of the killer spellcheckers...
104.  
105. Seen on page 2 of the New River Valley Current section of the
106. Roanoke Times & World-News, Aug 24, 1994:
107.  
108. Corrections:
109.  
110.    Because of an overzealous computer spellchecker, a number of names in a
111. story on Radford University sports in the Welcome Students section appeared
112. incorrectly and were not caught by a sports-ignorant editor.
113.  
114.    Phil Leftwich is the former Highlander now in the pros.  Chris Connolly
115. plays ball in WIlmington, Del., not Laminating, Del., and there's no such
116. place as Educator, Ga. -- Eric Parker is from Decatur.  Chibi Johnson is not
117. in the least bit Chubby, and Done Staley is legendary, not Don Stellae.
118. Meanwhile, Paul Beckwith, who is no relation to Paul Backwash, departed for
119. Cornell.
120.  
121.    Because of a reporter's error, a story in Saturday's New River Current
122. incorrectly reported a July 20 vote by the Montgomery County Planning
123. Commission on a Price Mountain tower proposal.  The vote only recommended the
124. proposal for a public hearing.  But by a 5-4 vote, the commission recommended
125. approval of the tower Monday.  The Board of Supervisors will consider it next
126. month.
127.  
128. .....
129.  
130. The obvious first-order RISK is of course not keeping your spellchecker in
131. line.  However, the following should also be noted:
132.  
133. 1) The correction contained the WIlmington with an upper-case 'I' - there's
134. nothing like having a typo in an apology for an errant spellchecker.
135.  
136. 2) The first 2 paragraphs have an unusual amount of levity - the third is
137. reprinted as a sample of their usual correction style.  One almost needs to
138. wonder if in fact, the original error never happened, and that the retraction
139. is itself a creation of an AI gone amuck... ;)
140.  
141. Valdis Kletnieks, Computer Systems Engineer
142.  
143. ------------------------------
144.  
145. Date: Sat, 27 Aug 1994 13:37:23 -0700
146. From: Al Stangenberger <forags@nature.Berkeley.EDU>
147. Subject: U.S. Mail causes ZIP-code problem
148.  
149. Residents of Oak Avenue in San Rafael, CA, are victims of a burgeoning mail
150. problem caused when their street was "inadvertently" deleted from the Postal
151. Service's national ZIP code database.  San Rafael has several ZIP codes for
152. various areas;  two of these (94901 and 94904) have Oak Avenues with similar
153. street numbers.  Somehow the Oak Avenue in 94901 was deleted from the master
154. database of streets, and this deletion was propagated to all commercial 
155. mailers in the USA who subscribe to the Post Office's ZIP code update service.
156. The result of the deletion was that commercial mail programs automatically
157. changed all Oak Avenue addresses in code 94901 to the Oak Avenue in 94904.
158. The resulting flood of misdirected mail has caused the usual problems 
159. associated with missing bills, mortgage statements, etc.  Further, any
160. ZIP code changes back to 94901 requested when residents discovered this
161. error were automatically "corrected" back to 94904 by the programs which
162. relied on the Post Office's bad data.  This situation will persist until the
163. next revision tapes for the national ZIP database are distributed.
164.  
165. The article I saw (Marin Independent-Journal, 12 August 1994) did not explain
166. how a record was "inadvertently" deleted from the national database. I 
167. checked a printed ZIP code directory for San Rafael, and saw at least four
168. other pairs of streets which could also have fallen victim to the problem.
169. Fortunately, they did not.
170.  
171. Until the problem is fixed, Oak Avenue mail is being manually sorted.
172.  
173. Al Stangenberger  Univ. of Calif Berkeley Dept. of Env. Sci., Policy, & Mgt.
174. forags@nature.berkeley.edu            
175.  
176. ------------------------------
177.  
178. Date: Thu, 25 Aug 1994 14:20:37 -0400 (EDT)
179. From: Dave Moore <davem@garnet.spawar.navy.mil>
180. Subject: Re: Bug in Microsoft Word
181.  
182. >>Word has a summary info area, for each document, that cannot be turned off.
183.  
184. I wasn't aware of this specifically, but there is a much more substantial but
185. similar feature that I encountered in version 4.x & 5.x of Word for the Mac.
186. I suspect that it exists in the PC versions as well but have not checked.
187. Fortunately, it's easy to test it yourself.  Just create a Word file.  Save it
188. with "Fast Save".  Re-open the file, delete something and save again with
189. fast-save.  Now use any external file viewer and look for your deleted text.
190.  
191. The following is an internal memo I sent out a couple of years ago:
192.  
193.                     --------------------------
194.  
195. Do you send WORD files via e-mail ?  If so, be aware that you may be
196. accidentally sending out your underwear along with your intended message.
197.  
198.         <Dramatic pause for puzzlement and underwear checking>
199.  
200. The default configuration in WORD for file saving is "Fast Save".  The way
201. this works is it only saves a list of edits and appends them to the existing
202. file.  When this file is opened, only the end result is displayed. However
203. when you send this file via e-mail, the entire file is sent.
204.  
205. So what does this mean ?  It means that if you use Word to delete stuff that
206. you change or that you don't intend to send or be seen; the supposedly deleted
207. stuff may still be present in the file.  The recipient of that file may be
208. able to recover some or all of the deleted information.
209.  
210. Under ordinary usage, this is not a problem.  Recovery of deleted text by the
211. recipient requires some specific knowledge and time.  For obvious reasons, I
212. won't explain the method.
213.  
214. If you have some specific reason to be sure that no deleted text can be
215. recovered, turn off Fast Save prior to saving for transmittal.  Otherwise,
216. your underwear may be visible.
217.  
218.                           ---------------
219.  
220. Actually recovery is not difficult at all, but the above was intended for 
221. a non-technical audience.
222.  
223. ------------------------------
224.  
225. Date: Fri, 26 Aug 1994 09:54:31 -0400
226. From: pcw@access.digex.net (Peter Wayner)
227. Subject: Salt in wounds (Followup to new Cray and Unix Passwords...)
228.  
229. One should be careful pushing the envelope while calculating on the back of
230. it. I made one misstep in my piece in RISKS-16.34 when I stated that 1000
231. passwords could be attacked as easily as one. I neglected to take account of
232. the Salt, which is a neat part of the UNIX password system that effectively
233. increases the size of the password space by a factor of 1024.
234.  
235. If you are attacking one password, then the time limits from the earlier
236. piece still hold if you're able to guess the salt ahead of time. This
237. may not be possible and it certainly isn't possible if you're trying
238. to use the "neat" trick of compare 1000 passwords in one swell FLOP. 
239.  
240. There are additional weaknesses that should be pointed out. If people only use
241. lower-case characters and numbers, then the size of the key space is even
242. smaller. This is only 36^8 possible choices which is about 1/76th the size of
243. the space made up of {A-Z,a-z,0-9}.
244.  
245. But who uses digits? Many don't. The number of 8 character passwords made
246. up of just lower-case letters can be searched about 1026 times faster. That's
247. less than an hour given the rough estimates. This pretty close to the 
248. size of the salt so the two cancel each other out and the running times
249. from the previous post would apply here. This emphasizes the need for
250. using different cases, numbers and punctuation in the password. 
251.  
252. When people use DES manually, they often just type in the key like a password.
253. (Many of the automatic systems choose keys randomly from the entire key
254. space.)  If this is the case, then all of the estimates from the earlier piece
255. in 16.34 also apply to this case without having to worry about the salt.
256. Clearly, any new standard encryption algorithm should include a method for
257. hashing a longer phrase down to a shorter key in such a way that the entire
258. keyspace is covered.
259.  
260. Finally, some have asked about shadow password files, a common UNIX system
261. hack that prevents ordinary users from access to the password file that used
262. to be kept open for all to read. It is unclear how common these are, but this
263. problem is really independent of the problem of attacking encrypted passwords.
264. People can get at encrypted passwords by sniffing the network as well as a
265. variety of other file system hacks. If the users could never get at encrypted
266. passwords, we wouldn't need to encrypt the passwords anymore.
267.  
268. I should point out again that my estimates of about the Cray came from thin
269. air. I have no direct knowledge of the exact architecture of the machine or
270. many of the small and medium sized details that could impose factors of 2 or 4
271. on the results.
272.  
273. There are several other details. Although most focus their paranoia on the
274. NSA, there are many others who might come to own such a machine. The Cray
275. computer eventually emerging from this project should be available on the open
276. market. It will undoubtably have many uses in many arenas. The memory
277. architecture may grow to be popular in desktop machines because it can be used
278. to do ray tracing, CAD applications and many other computational projects.
279. Other Cray innovations are now common on desktop machines. That may be well
280. into the future, but concentrating on that is one way to keep from getting
281. mired in the past.
282.  
283. ------------------------------
284.  
285. Date: 25 Aug 94 14:58:00 EST
286. From: "MARCHANT-SHAPIRO, ANDREW" <MARCHANA@gar.union.edu>
287. Subject:  Re: Fraud and Identity -- SCI-FI (Kabay, RISKS-16.35)
288.  
289. MK writes:
290. >And will such tokens become valuable
291. >commodities--valuable enough to steal and trade in the underworld?  Sounds
292. >like the subject for an interesting science fiction novel.]
293.  
294. I recall at least once SciFi story in which eyeballs are removed to trick
295. retinal scanners (that is, you remove someone ELSE's eyeball, and hold
296. it up to the scanner...not at all nice!).
297.  
298. Andrew Marchant-Shapiro, Depts of Sociology and Political Science, Union
299. College, Schenectady NY 12308   (518) 388-6225  marchana@gar.union.edu
300.  
301. ------------------------------
302.  
303. Date: 29 Aug 94 07:42:27 EDT
304. From: "Mich Kabay [NCSA Sys_Op]" <75300.3232@compuserve.com>
305. Subject: Politicians Join the Internet
306.  
307. The Washington Post newswire (94.08.29) reports on the growing use of Internet
308. services by the US Congress and Senate:
309.  
310. "E-Mail Puts Congress At Voters' Fingertips; House, Senate Venturing Onto the
311. Internet"
312.  By Elizabeth Corcoran 
313.  Washington Post Staff Writer 
314.  
315.     "When the House of Representatives was weighing an amendment to a bill on
316. education earlier this year, constituents swamped Rep. Elizabeth Furse's
317. office with questions and concerns.
318.     "The Oregon Democrat took to the information highway: Along with
319. conventional interviews, she posted soothing explanations on various computer
320. bulletin boards. The uproar died down, and the bill passed."
321.  
322. The author makes the following key points:
323.  
324. o    Growing use of Internet access throughout the US government, including
325. legislators, support staff, and government employees.
326.  
327. o    White House plans to put multimedia documents online by mid-September.
328.  
329. o    "...about 40 representatives and 30 senators have acquired Internet
330. addresses; about that many more members and committees in both houses have
331. requested access."
332.  
333. o    Enthusiasts praise the immediacy of the electronic communications
334. channel.
335.  
336. o    Voters can obtain detailed information online about legislation.
337.  
338. o    Congressional staffers are working on security measures "to protect
339. its paths onto the Internet from hackers bent on disrupting databases."
340.  
341. o    Remote voting by legislators is a possibility under discussion for the
342. long term.
343.  
344. [Comments by MK:
345.  
346. 1) Disproportionate weight
347.  
348. In social psychology, one of the observations about how people form judgements
349. about issues ("social cognition") is that _salience_ influences judgement.
350. That is, the unusual, the exceptional, the striking--these factors insensibly
351. lead us to overestimate their importance.  In experimental work over many
352. years, psychologists have found that anyone who is noticeably different in a
353. group picture is assumed unconsciously by observers to have special
354. importance.
355.  
356. Until Internet access becomes more widespread, anyone sending E-mail to a
357. Congresscritter is likely to be considered with greater interest than someone
358. sending snailmail--simply because of the novelty.
359.  
360. 2) Spoofs
361.  
362. Congresscritters naturally weigh public comments with an eye to voter
363. preferences.  If there 20,000 messages supporting a particular initiative and
364. 500 opposing it, the recipient may be influenced in favour of the proposal.
365.  
366. And how will the congressional staff judge how many people sent the 20,000
367. messages if there is no authentication of the identity of the senders?  Yes,
368. fraudsters could go to the trouble of generating thousands of printed messages
369. and mailing them from the appropriate district (so the postmark would fit).
370. Mind you, it would be quite a job, what with using different fonts, margins
371. and wording to simulate the contributions of individual voters.
372.  
373. What a contrast with E-mail!  Without public key signatures, a computer
374. program could generate thousands of E-mail messages using randomizers for the
375. text and a list of fraudulent identifiers.  Even _with_ public keys, if the
376. Bad Guys chose to certify thousands of their own pseudonyms, nobody could stop
377. them--and it is unlikely that Congresscritters would know which keys had been
378. certified by criminals.
379.  
380. 3) Representative democracy
381.  
382. Each letter and phone call to a legislative office is assumed to represent the
383. opinions of many others who have not taken the time to communicate with their
384. representatives.  The practice of allowing free mail to representatives is
385. supposed to increase the availability of such communications.
386.  
387. What assumptions will legislators make about E-mail?  And what will be the
388. demographic attributes of E-mail senders?  I think there's scope for some
389. pretty intensive research here before anyone draws conclusions about the
390. population sending political E-mail.
391.  
392. Legislators must analyze issues, not merely tally indices of popularity.  And
393. with electronic communications, they must be especially wary of taking the
394. easy path of vote-counting.  Some of those "voters" may be phantoms, and the
395. rest may be very different from "normal" voters.
396.  
397. Many commentators have suggested that access to the Internet may widen the gap
398. between the enfranchised intelligentsia and the disenfranchised masses.  As
399. E-mail links to legislators increase, it will be important to monitor the gap.
400. If it becomes intolerable, that gap will have to be closed by widening access
401. to the proposed National Information Infrastructure.]
402.  
403. M.E.Kabay,Ph.D./DirEd/Natl Computer Security Assn
404.  
405. ------------------------------
406.  
407. Date: Thu, 25 Aug 1994 12:49:39 +0800
408. From: stalzer@macaw.hrl.hac.com
409. Subject: Re: pi = 3 (RISKS-16.34,35)
410.  
411. It doesn't take a law to make pi = 3. On some old versions of Basic for
412. PDP-11s, you could assign any value to the "constant" pi.  The constant was
413. contained in a shared run-time system (with write permission!), and changing
414. it in one program changed it for all Basic programs (until the rts was
415. reloaded).
416.  
417. Mark Stalzer, mas@acm.org
418.  
419. ------------------------------
420.  
421. Date: Thu, 25 Aug 94 14:39:41 EDT
422. From: Rob Boudrie <rboudrie@chpc.org>
423. Subject: More on Pi (RISKS-16.34,35)
424.  
425. [The Indiana Pi-throwing] is covered in detail in Peter Beckmann's book "A
426. History of PI", in which he points out both the incomprehensibility of that
427. Indiana law, as well as the difficulty in finding Pi=3 in it.  That volume
428. (available in paperback) is absolute must reading for all of those who at one
429. time knew Pi to over 200 digits.
430.                                         rob boudrie
431.  
432.    [Also noted by Hal Lewis (hlewis@voodoo.physics.ucsb.edu):
433.    the book "has lots of other great stories about this remarkable
434.    number."  PGN]
435.  
436. ------------------------------
437.  
438. Date: Mon, 29 Aug 94 12:42:54 EDT
439. From: Christopher Klaus <cklaus@shadow.net>
440. Subject: system makes bank check forgery easy
441.  
442. Here's an obvious risk that I am not sure exists for all banks but here's the
443. deal:
444.  
445. I use to live in dorms and when I opened an account with a local bank,
446. they sent 3 or 4 packets of checks.  I put the extra packets in my desk.
447. Unfortunately, my roommates were less than honest and forged a check
448. for some pizza. I noticed 1 or 2 packets missing so I had the bank stop
449. payment for all the packets of checks that were missing.  More than 6 months
450. later, after I moved, I grabbed a packet of checks, and wanted to verify
451. these were good ones and not ones I had previously stopped payment on.
452.  
453. I called up the bank and the lady told me , if the checks had been stopped
454. payment for more than 6 months, it is automatically purged from the system ,
455. and are good again.  I asked her, `If I stole a few packets of blank checks
456. from someone, I could just wait 6 months for the stop payment to roll over in
457. your system, and begin forging again?'  And she said, `Yea, but not a lot of
458. people know that.'  Well, gee, that makes me feel safer.
459.  
460. I am not sure if this is true for most banks, but I wouldn't be surprised if
461. it were so.
462.  
463. Christopher William Klaus  <cklaus@shadow.net>  <iss@shadow.net>
464. Internet Security Systems, Inc.         Computer Security Consulting
465. 2209 Summit Place Drive,              Penetration Analysis of Networks
466. Atlanta,GA 30350-2430. (404)998-5871.
467.  
468. ------------------------------
469.  
470. Date: Thu, 25 Aug 94 12:18:21 -0700
471. From: Li Gong <gong@csl.sri.com>
472. Subject: CFP: 2nd ACM Conference on Computer and Communications Security
473.  
474. This is the first announcement of the upcoming ACM conference [RISKS-pruned].
475. You can access the full registration information online by E-mail to
476. acmccs2@isse.gmu.edu or by www file http://www.csl.sri.com/acm-ccs/ccs.html
477.  
478.                    Call For Participation
479.    2nd ACM Conference on Computer and Communications Security
480.                 Nov 2-4 1994, Fairfax, Virginia
481.                     Sponsored by: ACM SIGSAC
482.  
483.       Hosted by: Bell Atlantic and George Mason University
484.  
485.              In cooperation and participation from
486.         International Association of Cryptologic Research
487. IEEE Communication Society TC on Network Operations and Management
488.          IEEE Computer Society TC on Security and Privacy
489.  
490.                 Conference Highlights
491.  
492. Building on last year's highly successful inaugural conference, we are pleased
493. to invite your participation in this year's conference. The purpose of the
494. conference is to bring together researchers and practitioners of computer and
495. communications security. As evidenced by the program, the conference offers a
496. unique blend of cryptography and security, theory and practice, with emphasis
497. on the practical. The conference will be held in the Holiday Inn, Fair Oaks,
498. in Fairfax, Virginia; minutes from the Nation's Capital. We welcome you to
499. enjoy an informative and invigorating program, and Washington's pleasant
500. mid-fall sight-seeing weather.
501.  
502.                 Advance Technical Program
503.                    (Subject to Change)
504.  
505. November 2
506.  
507. 8:45 - 9:00     Welcome, D. Denning and R. Pyle
508.  
509. 9:00 - 10:30     Applications, R. Sandhu
510. - Support for the File System Security Requirements of Computational
511.   E-Mail Systems, A. Prakash and T. Jaeger
512. - Secure Wireless LANs, V. Bhargavan
513. - The Design and Implementation of Tripwire: A File System Integrity
514.   Checker, G. Kim and E. Spafford
515.  
516. 11:00 - 12:30 Emerging Areas, S. Lee
517. - Exchange of Patient Records: Prototype Implementation of a Security 
518.   Attribute Service in X.500, M. Jurecic and H. Bunz
519. - A Process-Oriented Methodology for Assessing and Improving Software
520.   Trustworthiness, E. Amoroso, C. Taylor, J.Watson and J. Weiss
521. - Panel: To be announced
522.  
523. 2:00 - 4:00 Key Escrow, C. Neuman
524. - Clipper Repair Kit - Towards Acceptable Key Escrow Systems,
525.   T. Beth, H. Knobloch, M. Otten, G. Simmons and P. Wichmann
526. - Protocol Failure in the Escrowed Encryption Standard, M. Blaze
527. - Panel: Corporate Key Escrow, R. Ganesan
528.  
529. 4:30 - 6:00     Cryptography -1, J. Feigenbaum
530. - Secure Agreement Protocols: Reliable and Atomic Group Multicast in
531.   Rampart, M. Reiter
532. - Key Distribution via True Broadcasting, M. Just, E. Kranakis, D.
533.   Krizanc, P. Van Oorschot 
534. - Conditionally Secure Secret Sharing Scheme with Disenrollment
535.   Capability, C. Charnes and J. Pieprzyk 
536. - Meta-ElGamal Signature Schemes, P. Horster, H. Petersen and M. Michels
537. - Anonymous Credit Cards, S. Low, N. Maxemchuk and S. Paul 
538.  
539. November 3
540.  
541. 9:00 -10:30     Database Security, Carl Landwehr
542. - An Efficient Multiversion Algorithm for Secure Servicing of
543.   Transaction Reads, P. Ammann and S. Jajodia
544. - A Temporal Authorization Model, E. Bertino, C. Bettini and P. Samarati
545. - Propagation of Authorizations in Distributed Database Systems, P.
546.   Samarati, P. Ammann and S. Jajodia
547.  
548. 11:00 - 12:30 Cryptography-2, J. Stern
549. - Substitution-Permutation Networks Resistant to Differential and
550.   Linear Cryptanalysis, H. Heys and S. Tavares
551. - Information Leakage of Boolean Functions and its Relationship to
552.   Other Cryptograpahic Criteria, M. Zhang, S. Tavares and L. Campbell
553. - Authentication Codes that are r-fold Secure Against Spoofing,
554.   R. Safavi-Naini
555.  
556. 2:00 - 4:00 Electronic Commerce Security - R. Ganesan
557. - The Role of Licensing, Insurance and Endorsements in Evaluating
558.   Trust of Distributed System Services,  C. Lai, G. Medvinsky and C. Neuman
559. - To be announced
560. - Panel: Security Issues in Electronic Commerce, C. Neuman
561.  
562. 4:30 - 6:00     Cryptographic Protocols, P. Van Oorschot
563. - New Protocols for Third-Party-Based Authentication and Secure Broadcast,
564.   L. Gong
565. - How to Simultaneously Exchange Secrets by General Assumptions,
566.   T. Okamoto and K. Ohta
567. - A Key Distribution Method for Object-Based Protection, W. Ford and M. Wiener
568.  
569. November 4
570.  
571. 9:00 - 10:30 Cryptanalysis, L. Gong
572. - On the difficulty of factoring, A. Lenstra
573. - How to Break Gifford's Cipher, T. Cain and A. Sherman
574. - Parallel Collision Search with Application to Hash Functions and
575.   Discrete Logarithms, P. Van Oorschot and M. Wiener
576.  
577. 11:00 - 12:30     Firewalls, S. Bellovin
578. - Application Access Control at Network Level, R. Molva and E. Rutsche 
579. - Network Security Probe , P. Rolin, L. Toutain and S. Gombault 
580. - Panel: Firewalls, S. Bellovin
581.  
582. 2:00 - 3:00     Experience, R.Graveman
583. - Security Modelling for Organizations, A. Anderson, L. Kwok and D. Longley
584. - Mainstreaming Automated Information Systems Security Engineering, 
585.   J. Coyne and N. Kluksdahl
586.  
587. 3:30 - 5: 00     Multilevel Security, V. Gligor
588. - The Compatibility of Composable Policies, H. Hinton and S. Lee
589. - An Entropy Conservation Law for Testing the Completeness of Covert 
590.   Channel Analysis, R. Browne
591. - Prerequisite Confidentiality, J. Nestor and S. Lee
592.  
593. General Chairs: Dorothy Denning (Georgetown University), Raymond Pyle
594.   (Bell Atlantic)
595. Program Chairs: Ravi Ganesan (Bell Atlantic), Ravi Sandhu (George Mason Univ.)
596. Treasurer and Local Arrangements: Richard Graveman (Bellcore)
597. Proceedings: Jacques Stern (ENS/DMI)
598. Publicity: Li Gong (SRI)
599.  
600. [Program Committee distinguished, but deleted for space, along with
601.   registration info.  PGN]
602.  
603. ------------------------------
604.  
605. Date: 31 May 1994 (LAST-MODIFIED)
606. From: RISKS-request@csl.sri.com
607. Subject: Info on RISKS (comp.risks), contributions, subscriptions, FTP, etc.  
608.  
609.  The RISKS Forum is a moderated digest.  Its USENET equivalent is comp.risks.
610.  Undigestifiers are available throughout the Internet, but not from RISKS.  
611.  
612.  SUBSCRIPTIONS: PLEASE read RISKS as a newsgroup (comp.risks or equivalent) on
613.  your system, if possible and convenient for you.  BITNET folks may use a 
614.  LISTSERV (e.g., LISTSERV@UGA): SUBSCRIBE RISKS or UNSUBSCRIBE RISKS.  U.S.
615.  users on .mil or .gov domains should contact <risks-request@pica.army.mil> 
616.  (Dennis Rears <drears@pica.army.mil>).  UK subscribers please contact 
617.  <Lindsay.Marshall@newcastle.ac.uk>.  Local redistribution services are 
618.  provided at many other sites as well.  Check FIRST with your local system or 
619.  netnews wizards.  If that does not work, THEN please send requests to 
620.  <risks-request@csl.sri.com> (which is not automated).  
621.  
622.  CONTRIBUTIONS: to risks@csl.sri.com, with appropriate,  substantive Subject:
623.  line, otherwise they may be ignored.  Must be relevant, sound, in good taste,
624.  objective, cogent, coherent, concise, and nonrepetitious.  Diversity is 
625.  welcome, but not personal attacks.  PLEASE DO NOT INCLUDE ENTIRE PREVIOUS
626.  MESSAGES in responses to them.  Contributions will not be ACKed; the load is 
627.  too great.  **PLEASE** include your name & legitimate Internet FROM: address,
628.  especially from .UUCP and .BITNET folks.  Anonymized mail is not accepted.
629.  ALL CONTRIBUTIONS CONSIDERED AS PERSONAL COMMENTS; USUAL DISCLAIMERS APPLY.
630.  Relevant contributions may appear in the RISKS section of regular issues
631.  of ACM SIGSOFT's SOFTWARE ENGINEERING NOTES, unless you state otherwise.
632.  All other reuses of RISKS material should respect stated copyright notices,
633.  and should cite the sources explicitly; as a courtesy, publications using
634.  RISKS material should obtain permission from the contributors.  
635.  
636.  ARCHIVES: "ftp crvax.sri.com<CR>login anonymous<CR>YourName<CR> cd risks:<CR>
637.  Issue j of volume 16 is in that directory: "get risks-16.j<CR>".  For issues
638.  of earlier volumes, "get [.i]risks-i.j<CR>" (where i=1 to 15, j always TWO 
639.  digits) for Vol i Issue j.  Vol i summaries in j=00, in both main directory
640.  and [.i] subdirectory; "dir" (or "dir [.i]") lists (sub)directory; "bye<CR>" 
641.  logs out.  CRVAX.SRI.COM = [128.18.30.65]; <CR>=CarriageReturn; FTPs may 
642.  differ; UNIX prompts for username, password; bitftp@pucc.Princeton.EDU and
643.  WAIS are alternative repositories.  See risks-15.75 for WAIS info.  
644.    To search back issues with WAIS, use risks-digest.src.
645.    With Mosaic, use http://www.wais.com/wais-dbs/risks-digest.html.
646.  
647.  FAX: ONLY IF YOU CANNOT GET RISKS ON-LINE, you may be interested in receiving 
648.  it via fax; phone +1 (818) 225-2800, or fax +1 (818) 225-7203 for info
649.  regarding fax delivery.  PLEASE DO NOT USE THOSE NUMBERS FOR GENERAL 
650.  RISKS COMMUNICATIONS; as a last resort you may try phone PGN at 
651.  +1 (415) 859-2375 if you cannot E-mail risks-request@CSL.SRI.COM .
652.  
653. ------------------------------
654.  
655. End of RISKS-FORUM Digest 16.36 
656. ************************
657.