home *** CD-ROM | disk | FTP | other *** search

---

/ Current Shareware 1994 January / SHAR194.ISO / articles / cud575.zip / CUD575.TXT

Wrap

Text File  |  1993-09-26  |  43KB  |  857 lines

---

1.  
2.  
3. Computer underground Digest    Sun  Sep 26 1993   Volume 5 : Issue 75
4.                            ISSN  1004-042X
5.  
6.        Editors: Jim Thomas and Gordon Meyer (TK0JUT2@NIU.BITNET)
7.        Archivist: Brendan Kehoe
8.        Shadow-Archivists: Dan Carosone / Paul Southworth
9.                           Ralph Sims / Jyrki Kuoppala
10.                           Ian Dickinson
11.     Copie Editor: Etaoin Shrdlu, III
12.  
13. CONTENTS, #5.75 (Sep 26 1993)
14. File 1--THE ANARCHISTS AMONGST US: Is PBS One of *THEM?*
15. File 2--Elansky/Hartford BBS Update, 25 Sept '93
16. File 3--Raising the Issue of Copyright on the Nets
17. File 4--Ethics of reposting
18. File 5--Number of CuD Articles
19. File 6--CuD Posting Policies and Processes (A Response)
20. File 7--September 29 BBLISA meeting]
21. File 8--The State of Security of Cyberspace (SRI Research Summary)
22.  
23. Cu-Digest is a weekly electronic journal/newsletter. Subscriptions are
24. available at no cost electronically from tk0jut2@mvs.cso.niu.edu. The
25. editors may be contacted by voice (815-753-0303), fax (815-753-6302)
26. or U.S. mail at:  Jim Thomas, Department of Sociology, NIU, DeKalb, IL
27. 60115.
28.  
29. Issues of CuD can also be found in the Usenet comp.society.cu-digest
30. news group; on CompuServe in DL0 and DL4 of the IBMBBS SIG, DL1 of
31. LAWSIG, and DL1 of TELECOM; on GEnie in the PF*NPC RT
32. libraries and in the VIRUS/SECURITY library; from America Online in
33. the PC Telecom forum under "computing newsletters;"
34. On Delphi in the General Discussion database of the Internet SIG;
35. on the PC-EXEC BBS at (414) 789-4210; and on: Rune Stone BBS (IIRG
36. WHQ) (203) 832-8441 NUP:Conspiracy; RIPCO BBS (312) 528-5020
37. CuD is also available via Fidonet File Request from 1:11/70; unlisted
38. nodes and points welcome.
39. EUROPE:   from the ComNet in LUXEMBOURG BBS (++352) 466893;
40.           In ITALY: Bits against the Empire BBS: +39-461-980493
41.  
42. ANONYMOUS FTP SITES:
43.   AUSTRALIA:      ftp.ee.mu.oz.au (128.250.77.2) in /pub/text/CuD.
44.   EUROPE:         nic.funet.fi in pub/doc/cud. (Finland)
45.   UNITED STATES:
46.                   aql.gatech.edu (128.61.10.53) in /pub/eff/cud
47.                   etext.archive.umich.edu (141.211.164.18)  in /pub/CuD/cud
48.                   ftp.eff.org (192.88.144.4) in /pub/cud
49.                   halcyon.com( 202.135.191.2) in /pub/mirror/cud
50.                   ftp.warwick.ac.uk in pub/cud (United Kingdom)
51.  
52. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
53. information among computerists and to the presentation and debate of
54. diverse views.  CuD material may  be reprinted for non-profit as long
55. as the source is cited. Authors hold a presumptive copyright, and
56. they should be contacted for reprint permission.  It is assumed that
57. non-personal mail to the moderators may be reprinted unless otherwise
58. specified.  Readers are encouraged to submit reasoned articles
59. relating to computer culture and communication.  Articles are
60. preferred to short responses.  Please avoid quoting previous posts
61. unless absolutely necessary.
62.  
63. DISCLAIMER: The views represented herein do not necessarily represent
64.             the views of the moderators. Digest contributors assume all
65.             responsibility for ensuring that articles submitted do not
66.             violate copyright protections.
67.  
68. ----------------------------------------------------------------------
69.  
70. Date: Thu, 23 Sep 1993 14:18:00 -0400 (EDT)
71. From: soneill@NETAXS.COM
72. Subject: File 1--THE ANARCHISTS AMONGST US: Is PBS One of *THEM?*
73.  
74. Since, as far as anyone can tell, the crux of the Elansky case lies in
75. the "anarchy" file found on his BBS, the following information may be
76. of interest to the West Hartford prosecutor and judge in the case, and
77. may be of special interest to Elansky's defense lawyer.
78.  
79. Last week, on Sept. 15, to be exact, the local PBS outlet here in
80. Philadelphia showed a program called "Your Toxic Trash", narrated by
81. Ed Begley, Jr, and produced by station KERA of Dallas/Ft. Worth. The
82. theme of this program was how much of our trash is composed of
83. dangerous chemicals and how we should properly dispose of them. To
84. demonstrate how dangerous the accidental combination of substances
85. could be, the producers had a Professor of Chemistry at U.C. Berkeley,
86. Prof. William Lester, show what happens when you mix powdered pool
87. chlorine and brake fluid. The combination resulted in an immediate and
88. intense flame which reduced the pool chlorine to a charred black lump
89. in seconds. He also showed that when pool chlorine is mixed with an
90. ordinary soda, like Coca-Cola, free chlorine is released in great
91. quantity.
92.  
93. As I sat watching this, it occurred to me that anyone with an interest
94. in setting fire to things, or in poisoning people had just been given
95. the necessary information to do either or both. And this was done by
96. highly reputable people working for equally reputable organizations.
97.  
98. Therefore, if the law in West Hartford thinks that such information as
99. was found on Elansky's board is dangerous and should never be publicly
100. disseminated, what in the world are they going to make of "Your Toxic
101. Trash"? More important, this perfectly makes the point that whatever
102. was in the file is public knowledge, easily obtainable, in some cases,
103. from as unexpected a source as Public Television
104.  
105. ------------------------------
106.  
107. Date: Sat, 25 Sep 93 15:58:21 CDT
108. From: CuD Moderators <cudigest@mindvox.phantom.com>
109. Subject: File 2--Elansky/Hartford BBS Update, 25 Sept '93
110.  
111. There is little change on the status of Michael Elansky, the sysop of
112. a Hartford BBS arrested in August because of the contents of two
113. "Anarchy files" on his system (See CuD 5.69, 5.71).  We are told that
114. nothing of substance occurred at his hearing on Thursday, Sept. 24:
115.  
116. 1) As of Friday, Sept. 25, Elansky remained in jail, unable to
117.    post $500,000 bond.
118. 2) The hearing was postponed until early October
119. 3) We have been told, but have NOT YET confirmed, that no motions
120.    were filed by the defense at the hearing. This, we are told,
121.    includes no motions for bail reduction.
122.  
123. In short, Elansky seems to be languishing in jail and little seems to
124. be done about. The case gets odder and odder.....
125.  
126. ------------------------------
127.  
128. Date: Thu, 9 Sep 93 14:19:16 EDT
129. From: gray@ANTAIRE.COM(Gray Watson)
130. Subject: File 3--Raising the Issue of Copyright on the Nets
131.  
132. In CuD #5.70, File 2 ("Big time hacker from the small town"),
133. an article began:
134.  
135.   >"POLICE NAB OBSCENE CALLER" by Bill Latimer (reprinted without asking)
136.                                                 ^^^^^^^^^^^^^^^^^^^^^^^^
137.  
138. I don't think CUD should have allowed this.  I send out a standard
139. message when I see such posts and it is applicable here:
140.  
141.     >For your information, including a significant amount of text
142.     >from copyright publications in posts is a breach of
143.     >copyright law.  The publishing industry will *never* adopt
144.     >digital distribution if the net does not honor the copyright
145.     >laws.
146.     >
147.     >If possible in the future, please try to contact the author
148.     >and ask for a limited release of the document.  If this is
149.     >not unavailable, please consider posting a summary of the
150.     >work instead.
151.  
152. If the legalities of an electronic issue are ill-defined then we must
153. look to the physical world as our guide.  No publication, commercial,
154. non-profit, nor educational, republishes copyrighted works without
155. first gaining permission.
156.  
157. I believe that if we in cyberspace are ever going to achieve the same
158. rights as physical publishers, broadcasters, and speakers, we must
159. consider our electronic actions to actually _be_ the same as their
160. physical equivalents -- in terms of the legalities.  If we don't think
161. twice about duplicated works that are copyrighted, then we are asking
162. for special treatment -- and with the obvious benefits come serious
163. detriments.
164.  
165. ------------------------------
166.  
167. Date: Tue, 24 Aug 1993 23:39:05 CDT
168. From: Eric Schnoebelen <eric@cirr.com>
169. Subject: File 4--Ethics of reposting
170.  
171. CuD #5.61, file 11, contained a message by William Reeder of Sun
172. Microsystems which was in reply to a message of mine, describing a
173. successful breaking and entering of the Sun internal network.
174.  
175. These messages were originally posted to a private list for system
176. managers in the Dallas/Ft Worth area, with the expectation of
177. confidentiality.  Neither William Reeder or myself were consulted
178. before the message was sent to CuD by a third party.
179.  
180. Mr Reeder's message was posted in response to a comment of mine about
181. the happenings with texsun, a major UUCP hub in the Dallas/Ft Worth
182. region.  texsun was/is operated by the SUN Central region as a
183. community service.  The message was not intended to be distributed
184. outside the scope of the list.  It was certainly not intended for
185. general distribution.
186.  
187. This reposting does bring to the foreground the ethics and issues of
188. reposting messages.  I believe, and many on the list in question do as
189. well, that the list was private, or semi-private at worst, and that
190. the information on it is generally considered confidential.  Most also
191. believe it was impolite to repost the message to another list, or
192. any other forum with out the consent of the author(s), William Reeder
193. and myself in this case.
194.  
195. The expectation of privacy on mailing lists is another issue that
196. arises from this.  There are several forms of mailing lists on the
197. internet today.  There are lists that can be joined by invitation
198. only, usually sponsored by an existing list member.
199.  
200. There are lists that are can only be joined by folks meeting a certain
201. set of criteria, such as being a female computer
202. scientist/researcher/developer, or being gay/bisexual.
203.  
204. There are lists which are well known in an (geographic or technical)
205. area, but are not well know out side of that area.  Prospective new
206. list members are usually told about the list by current members, but
207. it up to the new folks to actually do something about subscribing.
208. Lists like this are frequently used for discussion and dissemination of
209. information amongst system managers, etc.
210.  
211. Then there are lists that are well know, and there are no restrictions
212. on membership.  CuD is an example of such a list.
213.  
214. And beyond that, there are USENET newsgroups.
215.  
216. Of course, there are other types of lists as well.
217.  
218. The last two types, wide open lists, and USENET groups are pretty much
219. broadcast mediums, with corresponding expectations upon readership and
220. privacy.
221.  
222. The first three types of lists have a higher expectation of privacy
223. and confidentiality.  People on these lists believe that what they say
224. will not be taken out of context, where perhaps it may cause problems
225. for the poster, or others.  Reposting something from such a list,
226. without permission of the original poster is somewhat analogous to
227. submitting a personal letter from a third party to a news paper for
228. publication in the letters to the editor column.
229.  
230. It boils down to this:  Just because something is easy to
231. re-distribute does not mean that it is ethical to do so.  If we of
232. cyberspace cannot handle this responsibility with our own intellectual
233. property, it will be impossible to convince (non-cyber) institutions
234. that we can respect their copyrights and other intellectual property.
235.  
236. Another issue is that of copyright violation.  Since the United States
237. adopted the Bern Convention Copyright Treaty in 1986 (I believe),
238. everything written is copyrighted from the moment it looks like text.
239. (aka, this message is implicitly copyright, 1993, Eric Schnoebelen)
240. Most of the rest of the developed nations have been a signer of the
241. Bern Convention longer than the US, so the same rules apply.
242.  
243. Solutions? Courtesy.  Before reposting anything, it is polite to ask
244. the original author(s) if reposting is acceptable. The original author
245. may wish that his words not be redistributed, or at least may wish the
246. chance to edit them.
247.  
248. ------------------------------
249.  
250. Date: Sun, 5 Sep 1993 06:59:57 -0800 (PDT)
251. From: ygoland@HURRICANE.SEAS.UCLA.EDU
252. Subject: File 5--Number of CuD Articles
253.  
254. I like CuD very much and have contributed to the overloading of your
255. mail programs by turning many people on to it. I'v even submitted
256. several news pieces that you later included in CuD. So please
257. understand my comments in context:I LIKE CuD.
258.  
259. When I first started reading CuD it was basically a 'news magazine' which
260. included many short articles on a variety of topics, occasional
261. 'theme' issues, and some good editorial content. Lately I've noticed
262. that it's character is changing. It has gone from a pre-processed
263. information source to a news clipping service. Every time something of
264. interest happens it is immediately sent out to CuD (usually the
265. original document announcing the occurrence is just re-posted). This is
266. not necessarily bad, I never liked anyone volunteering their opinion
267. anyway. =) However I think if this is the trend that CuD is going to
268. follow that you might want to consider a different format for your
269. articles. Instead of sending them out why not put them on a gopher (or
270. better yet) WWW server? That way one can not only quickly get to
271. useful information but that information will stick around after the
272. article is autodeleted (I read CuD through usenet) a week or so after
273. it's posted. Using gopher or WWW formats is also much easier to deal
274. with than ftp.
275.  
276. I hope CuD decides to develop a split personality. I like having a
277. 'human' going through the net and pulling out interesting information
278. but I also liked the articles, commentary, etc. that used to the
279. mainstay of CuD. And of course, being a big believer in putting your
280. money where your mouth is, I would be willing to help set up (i.e.
281. learn how to) and maintain (i.e. donate time) a gopher or WWW server.
282.  
283. Never the less CuD is doing a great job and is a definite must read
284. for anyone who wants to understand the legal aspects of the computer
285. world.
286.  
287. ------------------------------
288.  
289. Date: Thu, 23 Sep 1993 17:31:01 CDT
290. From: CuD Moderators <tk0jut2@mvs.cso.niu.edu>
291. Subject: File 6--CuD Posting Policies and Processes (A Response)
292.  
293. Eric Schnoebelen, Yaron Goland, and Gray Watson provide us with the
294. opportunity to address several issues with which we constantly
295. grapple, often without successful resolution.  Their concerns raise
296. issues of the rights, responsibilities, and other problems facing
297. electronic media.  We have tried to frame our answers in three ways.
298. First, we attempt to address the concerns raised by Eric, Gray, and
299. Yaron. Second, we attempt to place them in a context that provides
300. insights into putting out CuD. Finally, we expand our responses to
301. include similar questions and concerns expressed by readers.
302.  
303. What follows may be excessively self indulgent for some, but we feel
304. it necessary in part to address some of the concerns raised, but also
305. to provide a clearer sense of the backstage CuD region.
306.  
307.                            RESPONSE TO GRAY
308.  
309. Gray observes that we re-published a lengthy news article without
310. permission and even included the original line indicating that
311. permission was not obtained. He finds this troubling. So do we.
312.  
313. We assume that readers have obtained permission to reprint articles
314. UNLESS OTHERWISE STATED. If it's clear that permission has not been
315. obtained, if the article warrants publishing, we will edit down to
316. fair-use limitations.  Sometimes we judge it necessary to reprint an
317. entire article because either editing would distort the meaning,
318. or--when doing a media critique--the entire article is necessary to
319. avoid risk of seeming to take isolated quotes out of context.
320. Although "fair-use" remains ambiguously broad, CuD is in that category
321. of publications in which fair-use is flexible: We are non-profit and
322. educational.  Despite the latitude, we do our best to err on the side
323. of caution.
324.  
325. In the case of the article that Gray cites, we simply goofed.  The
326. article was in the "to-edit" pile, and somehow it simply slipped into
327. the "go" pile when the posts for the issue were assembled.  Although
328. time and other constraints do not excuse us, we hope they at least
329. explain it, as we indicate below in our response to Yaron.  Sometimes
330. mistakes happen, and while we're pleased that they seem to happen
331. relatively infrequently, we remain red-faced when they occur.  For
332. this reason, we continually urge readers to do one of three things
333. when sending reprints: 1) Obtain permission for long articles (fair
334. use applies for short articles); or 2) Edit the article with a series
335. of quotes and summaries; or 3) Indicate that permission was *not*
336. obtained, and we will try to edit.  Unfortunately, time is scarce, so
337. especially long pieces may not be printed. Nonetheless, all articles
338. are appreciated, because they keep us abreast of the news, and we add
339. them to our own files.
340.  
341.                            RESPONSE TO ERIC
342.  
343. Eric raises a few serious issues that, despite passionate debate on
344. all sides, remain unresolved. He notes that we ran a post from a
345. semi-private discussion list without first obtaining permission.  We
346. resolved the case to which Eric alludes in private e-mail.  The
347. persons directly affected were reasonable, understanding, and helpful.
348. We apologized privately, and we apologize again for any inconvenience
349. we may have caused them. We did not understand the context of the post
350. and assumed it was a public announcement.  This was our
351. misunderstanding and *not* the fault of the person who sent the
352. original post to us or anybody else. But, this raises other issues.
353.  
354. 1) CuD POLICY ON RE-PRINTING POSTS
355.  
356. When we intend to reprint a piece posted elsewhere, we try to assure
357. in writing that we have permission. Some frequent contributors provide
358. blanket permission.  Others we write to obtain permission.  Sometimes
359. we receive posts that are for our information and not to be reprinted.
360. However, we assume that any article that is obviously not personal
361. mail that does not indicate NOT FOR PUBLICATION is sent for
362. consideration. Generally, there are few slips, either by CuD or by
363. contributors. Sometimes there is a gray area. Sometimes what we or a
364. contributor find acceptable is not deemed so by original authors.
365.  
366. 2) MAY PUBLIC POSTS BE REPRINTED WITHOUT PERMISSION?
367.  
368. Eric's concerns raise a fundamental question for electronic
369. communication.  The status of public electronic posts remains unclear.
370. In our view, a public e-post is fair game in the same sense as a
371. public speech or other public behavior.  We often receive relevant
372. informational posts cross-posted on Usenet newsgroups. In these cases,
373. we assume that wide distribution was intended by the original poster
374. and that reprint permission is assumed.  If we receive articles that
375. include one or more posts from elsewhere, we assume that publication
376. of the enclosed comments are acceptable. It is simply impossible to
377. track down every poster or check every fact in articles. Nor do we
378. avoid publishing a piece that we judge to be proper simply because
379. somebody may criticize us for running it.  But, we do our best to
380. follow Internet norms, and those norms generally hold that permissions
381. to reprint ought be obtained when possible.
382.  
383. There is another issue, however, one relevant especially for
384. researchers. Should PUBLIC posting areas be a research ground for
385. graduate students and others? Is it proper to use public posts in
386. research? Is it proper to do statistical analyses of public posts
387. without obtaining permission from those on the list?  In our own view,
388. the nature of most research and the pre/proscriptions of professional
389. codes of ethics cover this:  Research in public places is fully
390. permissible without notifying those being observed. Therefore,
391. counting flames on alt.feminism, or using snippets from a given
392. newsgroup to display social processes of, for example,
393. computer-mediated communication, is neither illegal nor unethical if
394. done in accordance with existing professional standards of conduct.
395.  
396. We take Eric's concerns sufficiently seriously that we intend to
397. address them soon in a future conference paper.  We do not see any
398. easy answers, and certainly none likely to generate consensus.  But, a
399. healthy debate helps clarify what's at stake and hopefully minimizes
400. abuse and increases responsibility, and Eric's comments are helpful
401. for this.
402.  
403.                           RESPONSE TO YARON
404.  
405. Yaron Goland is probably  correct in noting the changes in CuD over
406. the years.  We think there are several reasons for this:
407.  
408.  1) The "cyberworld" has changed from our early days, and we reflect
409. the climate.
410.  
411. 2) the basic issues that we addressed (eg, Sundevil, Bill Cook, etc)
412. have receded into the background, and the conflicts have generally
413. taken more genteel forms low on drama but high on import, such as
414. legislative lobbying for California's electronic access bill,
415. lobbying efforts opposing encryption control, or the backstage efforts
416. of groups such as CPSR or EFF that quietly file FOIA requests and
417. adapt slow-moving legal tactics.
418.  
419. 3) Our readership has grown dramatically---our first issue had less
420. than 200 readers in March, 1990--all on a mailing list.  Today, we
421. have over 80,000 from usenet, the mailing list, BBSes, public access
422. systems, ftp/etc, and the diversity means we try to match our articles
423. to the broader-based interests.  We are not sure that this is good,
424. but on the other hand, we decided to let things just take their
425. course;
426.  
427. 4) The readers themselves change---and their interests follow.
428.  
429. 5) There are simply more issues and much more information available.
430.  
431.              THE GENESIS OF CuD -- Maturity or Senility?
432.  
433. At the heart of Yaron's comment lies a broader issue: What are the
434. crucial issues affecting cyberspace and what is the best way to
435. disseminate information and encourage discussion amongst those who do
436. not have easy access to a forum to express their views?  What is the
437. role of Cu Digest, RISKS, TELECOM Digest, and others in providing such
438. a forum? What obligations do such digests have to readers, and how can
439. editors or moderators assure that they reflect crucial issues and
440. diverse points of view without becoming a self-indulgent platform for
441. idiosyncratic opinions?
442.  
443. CuD has changed: Some have complimented (or criticized) us for
444. "mellowing out" and refining (or dulling) the gadfly edge.  The
445. observation does have some merit. CuD originated as a temporary
446. mailing list to handle posts related to the Phrack and Len Rose cases
447. and to generate related discussion that TELECOM Digest could not
448. publish. As a consequence, the CuD editors had no long-range goals
449. or unifying vision.  The early style of posters and editors reflected
450. passion and urgency--not always wisely expressed in the immediacy and
451. heat of the moment--to rectify perceived injustice.  We saw little
452. reason at the time for caution, because we did not believe we would be
453. pursuing the issues for very long.  Then came Sun Devil and a new
454. round of discussions. Chip Rosenthal's initiative in making CuD a
455. Usenet group expanded the readership, Bob Krause set up a mail
456. archive, Brendan Kehoe set up the ftp archives, and we became
457. "establishment." With the expanded sites and growing readership, we
458. were no longer speaking to a small audience, but to a group with
459. dramatic diversity in perspectives, interests, and background.  The
460. posters comments and articles reflected this diversity, and we try to
461. reflect it in the posts we publish.
462.  
463. Both CuD editors are academics at heart, so the tenor of the posts
464. perhaps over-represents conferences, reviews, research, and other
465. material of fairly specialized interest. On the other hand, the
466. overwhelming bulk of CuDs Net readers come from academia as scholars,
467. programmers, or students, or from an areas sharing similar interests
468. (media personnel, attorneys).  BBS readers, by contrast, are more
469. varied, and from them we often receive suggestions to expand the range
470. of articles even further to cover the BBS world more thoroughly.
471.  
472. Unfortunately, putting out CuD is time consuming. We say this without
473. complaint, and note it as a simple fact of life that significantly
474. shapes what we do. Managing the mailing list, writing our own
475. comments, formatting posts, responding to considerable mail, digging
476. up any information for news notes that we ourselves write, trying to
477. edit news stories to fit within "fair use" restrictions, and other
478. small tasks take, in the aggregate, on average of 25-30 hours a week.
479. Both editors have "real jobs" unrelated to CuD that require at least
480. 50 hours a week.  With no resources, no staff, and no other incentive
481. than a naive passion for information, we often cannot put the effort
482. into obtaining, writing, or editing news that we would like.
483. Sometimes we goof, as Gray and Eric noted above.  On the other hand,
484. the initiative of readers in sending us information, of posters who
485. provide not-for-publication thought-provoking comments, and the
486. networking aspect of putting out a 'Zine is rewarding because of the
487. people we meet face-to-face and electronically and the intellectual
488. rewards that accrue.
489.  
490. Our intent here is not simply self-indulgence.  Rather, by laying out
491. the genesis and structure of what happens behind the scenes, we hope
492. that readers will have a better understanding of the editorial
493. processes and, if they have suggestions for changes in direction or
494. content, make them within the context of these processes.
495.  
496.                         How are CuDs Put Out?
497.  
498. We're periodically asked how we put out an issue. It's rather simple:
499. 1) posts arrive in our mailbox or by disk and we sort through them. We
500. do not run "Usenet" type posts in which a poster simply responds with
501. a few lines, but we do try to present any reasonable post that raises
502. issues or presents new information.  We do not censor content, and we
503. occasionally ask posters to revise to clarify or elaborate on their
504. points.  We're occasionally asked why we run a particular piece,
505. because it may seem offensive, unrelated to readers' interests, or
506. otherwise inappropriate. The answer is simple: We try to give
507. everybody a chance to speak, and diversity of ideas and perspectives
508. beats the opposite.  2) We select about 800 lines (40 K), give or take
509. 10 percent.  As a consequence, some posts might be delayed because of
510. space constraints and "fit." 3) We usually format to 70 characters per
511. line and edit the subject headers to try about 50 characters, and
512. remove sigs and control characters. 4) We assemble the articles, run a
513. spell check, and then add the "Administrivia" and index. 5) We sent
514. out three separate files: One to Usenet, one to the Central Michigan
515. U.  listserv, and one to the bad addresses that the listserv can't
516. read.  6) We wait for the bounces, usually about 15 each issue, of
517. which about half are "anomalies" (full mailboxes, down systems) and
518. the rest are "user not known" or "unknown domain." After three
519. consecutive bounces, a user is notified of deletion from the mailing
520. list with an explanation and instructions for resubbing (assuming the
521. notification does not bounce, which they usually do).
522.  
523. We've tried the various suggestions and mini-programs that readers
524. have send over as a way of automating each issue, but the system from
525. which we work can't accommodate most of them, so we rely on primitive
526. batch files when possible. Deletions, subscriptions, and other tasks
527. are done semi-manually.
528.  
529. Gordon lives and works in the Chicago suburbs, and Jim lives about 60
530. miles west in DeKalb. They try to coordinate as much as possible by
531. e-mail and telephone. Imperfect, but it works.
532.  
533. So, for those who've asked in the past, now ya probably know more than
534. you ever wanted.
535.  
536.                            SOME SUGGESTIONS
537.  
538. Readers have suggested a variety of things CuD could do.
539.  
540. In an unpublished section of his post, Yaron urged that we set up a
541. gopher site. An interesting idea, and we're open to suggestions.
542. Yaron also suggested recruiting readers to perform certain tasks
543. on a regular basis. For example, we could add a book review editor,
544. a media commentator, somebody willing to conduct an interview
545. with newsworthy cyberfolk once every few months, or other tasks.
546. The suggestion of periodic special issues by guest editors is also
547. a possibility.
548.  
549. Other readers have suggested that we focus more on specific issues
550. (e.g., law, BBSes, research papers, interviews with newsworthy
551. cyberpersonalities). We like all of these ideas, but they are
552. time-consuming. We especially like the idea of interviews, but a
553. one-issue interview would require at least an hour of the interview
554. itself, about 3 hours for transcribing, and another hour of editing,
555. plus incidental time of set-up and other tasks.  That's a day's work,
556. and time is scarce. Perhaps readers could conduct interviews on
557. occasion and send them over.
558.  
559. The suggestion of assembling issues into themes so they could be
560. discarded more easily if readers weren't interested in the theme is
561. tempting. For example, conference notices could be placed in one
562. issue, bibliographies in one issue, news blurbs in a single
563. issue--we'll consider it.
564.  
565. Expanding CuDs to three issues a week? Probably not wise. Two issues
566. seems about the limit of tolerance for most readers.
567.  
568. Then there are the mixed/contradictory suggestions: More writing by
569. CuD editors/Less writing by CuD editors; Some fiction and creative
570. writing/No fiction or fluff stuff; Don't stray so far from explicitly
571. cyber-issues/More straying; Don't be so leftist/Move to the right; Set
572. an example/challenge convention; Be more serious/Lighten up a
573. bit.......the list goes on.  While we may appear unresponsive to
574. suggestions/criticisms, we actually do take most of them seriously.
575.  
576. All of this is a terribly verbose way of saying that, given the growth
577. of CuD, it's time to reassess what a CuD is. If you have ideas for
578. guidance in the coming year(s), let us know.
579.  
580. For those who have read this far and haven't been hit by the MEGO ("my
581. eyes glazeth over") effect, our intent has been to explain, *not*
582. justify, how and why errors occur, and to give a sense of what goes on
583. at this end of the screen. Hopefully, it will reduce some of the
584. misunderstandings that some media and law enforcement folk have about
585. CuD. It might also provide a few paragraphs for the occasional student
586. paper inquiry we receive.  Most responses to "whither CuD" are "keep
587. up what you're doing," but we're open to suggestions and especially
588. receptive to articles of relevance.
589.  
590. Jim and Gordon
591.  
592. ------------------------------
593.  
594. Date: Fri, 24 Sep 1993 15:18:56 -0700
595. From: Brendan Kehoe <brendan@LISA.CYGNUS.COM>
596. Subject: File 7--September 29 BBLISA meeting]
597.  
598. +------ Forwarded Message
599. From--etnibsd!vsh@uunet.uu.net
600. Message-Id--<9309242000.AA02698@grumpy>
601. Subject--September 29 BBLISA meeting
602. To--sage-announce@usenix.org, nneuug@coos.dartmouth.edu
603. Date--Fri, 24 Sep 93 16:00:56 EDT
604.  
605.     [ apologies if this is a duplicate posting -- vsh ]
606.  
607.                         ANNOUNCEMENT
608.  
609.                 September 29 BBLISA meeting
610.  
611.   Topic:  Computer Crime
612.  
613. Jim Powers of the FBI and a prosecutor from the Attorney General's
614. office will be the speakers next Wednesday's Back Bay LISA meeting.
615. They will be addressing what you should be aware of when administering
616. your site, what we can do to protect ourselves, and what steps you
617. should take when you suspect your system is being wrongly used.
618.  
619. Date:  Wed., Sept. 29, 7:30pm *[note the changed time]*
620.  
621. Where:  MIT
622. Room 329
623. Building E51
624. 70 Memorial Drive (entrance at corner of Wadworth and Amherst)
625. Cambridge, MA
626.  
627. Directions:
628.  
629. Car:  For folks driving, follow Memorial Drive to Wadsworth St. which
630. will take you to the rear of the building.  Entrance and parking are
631. at the rear.
632.  
633. T:    Red Line Kendall Square stop.  Head over to Au Bon Pain, take
634. a right onto Wadsworth St.  E51 is at the corner of Wadsworth and
635. Amherst.
636.  
637. Back Bay LISA (BBLISA) holds monthly meetings, on the last Wednesday
638. of each month, except November and December.  Meetings are usually at
639. a Boston-Metro location.  Meetings feature a speaker, or a panel of
640. speakers, and time for announcements and group discussion.  Topics
641. include all aspects of system administration (both large and small),
642. networking, security, privacy, etc.
643.  
644. Membership in the group is FREE.  To become a member, join one of the
645. following mailing lists.  You'll receive full details of forthcoming
646. meetings, locations, precise dates, etc.
647.  
648. BLISA information is distributed by email, only.  To join the
649. announcement mailing list, send email to the list server at
650. %bblisa-announce-request@cs.umb.edu' with a text line of %subscribe'.
651.  
652. There is also a BBLISA discussion list.  To join this list, send a
653. subscribe message to %bblisa-request@cs.umb.edu'.  All announcement
654. messages are automatically relayed to this list, so you don't need to
655. join both.
656.  
657. + --
658.  Steve Harris - Eaton Corp. - Beverly, MA - etnibsd!vsh@uunet.uu.net
659.  
660. ++++++- End of Forwarded Message
661.  
662. ------------------------------
663.  
664.  
665.    NEW HAVEN (AP)--A federal grand jury indicated a Redding (Conn)
666. man Wednesday, charging him with conspiring with others to import
667. child pornography into the United States, authorities said.
668.  
669.    The four-count indictment charging John Looney, 51, is part of
670. "Operation Longarm," a U.S. Department of Justice and Customs Service
671. effort focusing on the use of computers to import pornographic
672. materials from Denmark. Search warrants have been issued in 15 states.
673.  
674. ------------------------------
675.  
676. Date: 24 Sep 1993 11:26:49 -0800
677. From: "AJ Bate" <AJ_Bate@QM.SRI.COM>
678. Subject: File 8--The State of Security of Cyberspace (SRI Research Summary)
679.  
680.                  THE STATE OF SECURITY OF CYBERSPACE
681.  
682.                      A Summary of Recent Research
683.  
684.                                   by
685.  
686.                           SRI International
687.  
688.                               June 1993
689.  
690.  SRI International (SRI) conducted a worldwide study in 1992 of a
691. broad range of security issues in "cyberspace."  In brief, cyberspace
692. comprises all public and private communications networks in the United
693. States and elsewhere, including telephone or public switched telephone
694. networks (PSTNs), packet data networks (PDNs) of various kinds, pure
695. computer networks, including the Internet, and wireless communications
696. systems, such as the cellular telephone system.  We did not address
697. security vulnerabilities associated with classified, secure
698. communications networks used by and for governments, nor did we
699. explore toll fraud issues.
700.  
701.  The study was conducted as part of our ongoing research into the
702. vulnerabilities of various software components of cyberspace.  Our
703. approach was to conduct research through field interviews with a broad
704. range of experts, including people we characterize as "good hackers,"
705. into security issues and vulnerabilities of cyberspace and the
706. activities of the international "malicious hacker" community.
707.  
708.  While the specific results of the study are proprietary to SRI, this
709. brief report summarizes our general conclusions for the many
710. individuals who kindly participated in our field interviews.  As we
711. indicated during the interviews, the original research for this
712. project was not part of any other kind of investigation, and we have
713. not revealed the identity of any of our respondents.
714.  
715.   The study aimed to understand "malicious hackers"-that is, people
716. who have and use the technical knowledge, capability, and motivation
717. to gain unauthorized access, for various reasons, to systems in
718. cyberspace.  It is important to understand that by no means all
719. hackers are malicious, nor does most hacking involve unauthorized
720. access to cyberspace systems; indeed, only a small fraction of
721. computer hacking involves such activities but this fraction gives
722. hacking an otherwise undeserved bad reputation.  While we intended to
723. focus on technical (software) vulnerabilities, our interviews led us
724. to look more at the broader motivations for, and different approaches
725. to, cracking into various networks and networked systems.
726.  
727.  MAIN CONCLUSIONS
728.  
729.  Our main conclusion is that social, organizational, and technological
730. factors still combine in ways that make much of cyberspace relatively
731. vulnerable to unauthorized access.  The degree of vulnerability varies
732. from one type of communications system to another.  In general, the
733. PSTN is the least vulnerable system, the PDNs are somewhat more
734. vulnerable than the PSTN, the Internet is relatively insecure, and as
735. is widely known, the cellular phone system is the most vulnerable of
736. the four major areas we addressed.
737.  
738.  The main vulnerabilities in most communications networks involve
739. procedural, administrative, and human weaknesses, rather than purely
740. technical vulnerabilities of network management, control systems,
741. hardware, and software.
742.  There are technical vulnerabilities-poor system design and specific
743. security flaws in software-but they are exploitable mainly because of
744. the above-cited problems.
745.  
746.  Highlights of the study's conclusions include:
747.  
748. o  Malicious attacks on most networks and networked systems cannot be
749. completely prevented, now or in the future.  More than enough
750. information is publicly available to hackers and other technically
751. literate people to preclude attempts at prevention of intrusions.
752.  
753. o  It is possible that individuals or groups could bring down
754. individual systems or related groups of systems, on purpose or by
755. accident.  However, security is generally improving as a result of
756. dealing with past threats and challenges to system security.  For
757. instance, responses to the most recent serious threat to the Internet,
758. the so-called Internet Worm in 1989, included improved security at
759. sites vulnerable to this type of worm.
760.  
761. o  We found no evidence that the current generation of U.S. hackers is
762. attempting to sabotage entire networks.  On the contrary, doing so is
763. inconsistent with the stated ethics and values of the hacker
764. community, which are to explore cyberspace as a purely intellectual
765. exercise without malicious intent or behavior.  Some individuals who
766. operate outside this informal ethical framework, however, can and do
767. damage specific systems and occasionally use systems for personal gain
768. or vindictive activities.
769.  
770. o  There is some evidence that the newest generations of hackers may be
771. motivated more by personal gain than by the traditional motive of
772. sheer curiosity.  This development could mean that networks and
773. networked systems could become more likely targets for attacks by
774. hardened criminals or governments' intelligence services or their
775. contractors (i.e., employing malicious hackers).  This threat does not
776. appear to be significant today but is a possible future scenario.
777.  
778. o  The four major areas of vulnerability uncovered in our research have
779. little or nothing to do with specific software vulnerabilities per se.
780. They relate more to the ways in which hackers can gain critical
781. information they need in order to exploit vulnerabilities that exist
782. because of poor systems administration and maintenance, unpatched
783. "holes" in networks and systems, and so on.
784.  
785. -  The susceptibility of employees of businesses, public organizations,
786. schools, and other institutions to "social engineering" techniques
787.  
788. -  Lax physical and procedural controls
789.  
790. -  The widespread availability of nonproprietary and of sensitive and
791. proprietary information on paper about networks and computer systems
792.  
793. -  The existence of "moles," employees of communications and computer
794. firms and their suppliers who knowingly provide proprietary
795. information to hackers.
796.  
797. o  The vulnerabilities caused by shortcomings in software-based access
798. controls and in hardware-related issues constitute significantly lower
799. levels of risk than do the four areas discussed above on more secure
800. networks such as the PSTN and PDNs.  However, on the Internet and
801. similar systems, software-based access controls (for instance,
802. password systems) constitute significant problems because of often
803. poor system maintenance and other procedural flaws.
804.  
805.  RECOMMENDATIONS
806.  
807.  On the basis of our research, we recommend the following:
808.  
809.  1.   Protection of organizational information and communications assets
810. should be improved.  Issues here range from those involving overall
811. security systems to training employees in, and informing customers of
812. the importance of, maintenance of security on individual systems,
813. handling and disposition of sensitive printed information, and dealing
814. with social engineering.
815.  
816.  2.   Techniques used to protect physical assets should be improved.
817. For example, doors and gates should be locked properly and sensitive
818. documents and equipment guarded appropriately.
819.  
820.  3.   Organizations and their employees should be made aware of the
821. existence of moles and their role in facilitating and enabling hacker
822. intrusions, and care should be taken in hiring and motivating
823. employees with the mole problem in mind.
824.  
825.  4.   Software- and hardware-based vulnerabilities should also be
826. addressed as a matter of course in systems design, installation, and
827. maintenance.
828.  
829.  5.   Organizations concerned with information and communications
830. security should proactively promote educational programs for students
831. and parents about appropriate computer and communications use,
832. personal integrity and ethics, and legitimate career opportunities in
833. the  information industry; and they should reward exemplary skills,
834. proficiency, and achievements in programming and ethical hacking.
835.  
836.  6.   Laws against malicious hacking should be fairly and justly
837. enforced. SRI's believes that the results of this study will provide
838. useful information to both the operators and users of cyberspace,
839. including the hacker community. We plan to continue our research in
840. this area during 1993 within the same framework and conditions (i.e.,
841. anonymity of all individuals and organizations) as those that governed
842. the 1992 research.  We invite hackers and others who are interested in
843. participating in this work through face-to-face, telephone, or e-mail
844. interviews to contact the following member of the SRI project team:
845.  
846. A. J. Bate SRI International
847. Phone:415 859 2206
848. Fax:415 859 3154
849. E-mail:aj@sri.com
850.  
851. ------------------------------
852.  
853. End of Computer Underground Digest #5.75
854. ************************************
855.  
856.  
857.