home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / cud / cud466f.txt < prev    next >
Text File  |  1995-01-03  |  10KB  |  178 lines
  1. Date: 15 Dec 92 15:11:24
  2. >From: Louis Giliberto <magus@DRKTOWR.CHI.IL.US>
  3. Subject: File 6--Response to CERT advisory (Re: CuD 4.65)
  4.  
  5. In CuD #4.65 this CERT advisory appeared:
  6.  
  7. >  CA-92:19                         CERT Advisory
  8. >                                  December 7, 1992
  9. >                              Keystroke Logging Banner
  10.  
  11. There are several issues that need to be considered before
  12. implementing a system such as this, the last of which should be
  13. defensibility.  Killing in self-defense is defensible, but there are
  14. other considerations involved.  The point?  Just because someone *can*
  15. do something does not mean someone *should* do something.
  16.  
  17. Who should/could be monitored?
  18. +++++++++++++++
  19. This advisory seems to give free license to the system administrator to
  20. monitor as he/she sees fit.  What if you own a company, and your
  21. administrator logs and monitors all activity as outlined?  Then he
  22. leaves your company and joins your competitor.  He has read over every
  23. piece of information typed into your system.  Obviously this causes
  24. problems if the computer is used for proprietary information.
  25.  
  26. However, let us assume the administrator can be trusted.  Who does he
  27. decide to log?  The fairest way would be to log everyone.  However,
  28. this is near impossible since the resources required would be
  29. overwhelming.  More resources would be spent on logging than on
  30. computation.  One might suggest that he log only those accounts that
  31. have had illegal logon attempts or suspicious activity.  But this
  32. brings up two points: 1) If the logs are catching the activity, is
  33. keystroke monitoring needed to secure the system?  2) In the cases
  34. where keystroke monitoring would be most effective (i.e., determining
  35. the method of intrustion) the logs are most likely doctored in some
  36. way, so the determination of which account to monitor could not even
  37. be made.
  38.  
  39. Therefore the most effective use of keystroke logging would be 1)
  40. monitor those accounts with suspicious activity and 2) monitor at
  41. random.  In this manner, illegal entries not caught in the logs or
  42. other security measures may be picked up in the keystroke loggings.
  43.  
  44. But this brings up even more questions:
  45.  
  46. What type of notification should there be?  +++++++++++++++++++++ Is
  47. the banner enough?  Is more notification needed?  Way back when, it
  48. was determined system administrators should give notice (in the form
  49. of a banner or some such publicly visible medium) that e-mail and
  50. files are not secure on the system and are open to incidental
  51. inspection by the system administrator in the course of system
  52. maintenance.  Most people expect this and trust the system
  53. administrator enough to feel that he is not reading their mail for
  54. kicks.  The banner is enough of a notification in this instance since
  55. monitoring does not take place in real-time.  Unlike monitoring on the
  56. phone system where it happens as the voice is transmitted, e-mail and
  57. file monitoring takes place often when the user is not on so that
  58. instant notification is not possible (or even warranted in most cases
  59. when it happens in the course of system maintenance).
  60.  
  61. Keystroke logging differs in that it takes place in real-time while
  62. the user is logged on.  Is a banner enough notification?
  63.  
  64. I would argue no.  While using the phone system, if an operator comes
  65. into your call, his/her presence is announced with several tones and
  66. the name of the company.  The law requires that any taping of
  67. conversations to be accompanied by a tone every so often of a specific
  68. duration.  The logging of keystrokes is the same type of monitoring,
  69. and should be subject to the same requirements.  The user should be
  70. notified in real-time that he is being monitored in real-time.  Any
  71. type of monitoring without such a warning is usually called
  72. "wiretapping," and such monitoring is illegal except by law
  73. enforcement agencies with a court order allowing the event after cause
  74. is shown.
  75.  
  76. Many people would contend: "But this is a privately owned system, not
  77. a public utility."  Yes, but there is reasonable expectation of
  78. privacy allowed even in the workplace.  I'm too lazy to look up the
  79. court cases (and I'm not a lawyer, so I don't care either), but there
  80. are multiple instances where searches of employee desks and lockers
  81. and the like were determined to be a violation of privacy rights.  A
  82. company could clearly not monitor the voice transmissions of an
  83. employee's telephone but could log the number he called.  In the same
  84. way, a system administrator could log login attempts, but should not
  85. be given free license to monitor the actual keystrokes.  It violates
  86. the reasonable rights of the employee.  Even high school students are
  87. given reasonable rights in the expectation of privacy of the contents
  88. of their lockers and person.  Well, unless you went to Catholic high
  89. school like I did + never tell a Jesuit he can't do something (unless
  90. you like corporal punishment).
  91.  
  92. Extensions of keystroke monitoring
  93. +++++++++++++++++
  94. Given the fact that keystrokes are passed over the internet in the
  95. form of IP packets generated by telnet (and other comparable
  96. applications), does this allow keystroke monitoring at a remote site?
  97. In other words, can routing centers sniff packets at will if they
  98. inform the other sites they are going to?  According to the
  99. interpretation given by the justice department, yes, they can.  They
  100. can monitor keystrokes.  The argument would be there is a reasonable
  101. expectation for keystrokes to appear in an IP packet, so all of them
  102. are open to examination if a banner is presented or prior notification
  103. given.  Does apple.com want ibm.com to monitor its packets? Nope. Does
  104. a prof at Purdue want a prof at Champaign to monitor his? Nope.
  105. However, if a packet goes through someone's machine (possible since
  106. many machines are used for gatewaying and routing) he could argue that
  107. he had the right to sniff it.
  108.  
  109. Can pay services monitor your keystrokes legally?  Say CompuServe or
  110. America Online or Prodigy or another fine reputable <can you feel the
  111. sarcasm?> service put this measure in place.  These services are
  112. comparable to a public service such as a bookstore (which was proven
  113. in litigation with CompuServe) or a phone company.  Don't they then
  114. have the responsibility to respect the privacy of the customers?  If
  115. you walk into K-Mart they can't strip search you at their whim.  The
  116. phone company can't (legally) listen into your conversations.  Is
  117. keystroke monitoring without real time notification to be allowed on
  118. these systems as well?
  119.  
  120. An argument may be: "But security cameras are allowed to videotape
  121. customers"  Ah, yes!  But that is a different scenario: 1) The
  122. videotaping does not center on a specific individual.  As stated
  123. before, to monitor the keystrokes of everyone would be
  124. near-impossible.  2) The store is a publically accessible place, and
  125. there is no reasonable expectation of privacy except to your person.
  126. Why is there a reasonable expectation of privacy on a computer system?
  127. Well, what are file permissions for?  To keep one's files and stuff
  128. private.  Just as a lock on a desk or a closed door intimates privacy,
  129. so do file permissions.  If a system is truly public as a Sears or
  130. WalMart, there would be no file permissions.  There would be no
  131. accounts with names on them giving ownership.  Ownership implies a
  132. right to security from trespass and interference.  There are many
  133. arguments to be made for privacy expectations on computer systems that
  134. I won't go into here.  Let me just clarify "truly public" as I used it
  135. in describing Sears and WalMart.  By "truly public" I mean that they
  136. may not turn away anyone entering their property without good reason.
  137. They may not discriminate, and being employed by them is not a
  138. criteria for entering their sales area.  Customers are allowed to move
  139. unimpeded throughout the sales area, and customers do not get lockers
  140. to put stuff in on a daily basis which are provided by the store.  In
  141. other words, their is no private ownership on the part of the customer
  142. within the store except for what he carries on his person.  This is
  143. comparable to being in a public area.  The comparison I am making
  144. believes that being inside a computer system is not comparable to
  145. being in a public area if ownership of files and accounts are given.
  146.  
  147. Conclusion
  148. +++++
  149. While I realize that CERT was merely passing on the findings of the
  150. Justice Department, I have to question 1) the presentation of those
  151. findings including giving almost a "non-liability kit" in their
  152. advisory, and, 2) the findings themselves.  Anything is defensible.
  153. Charles Manson had a defense.  However, even if the act is defensible,
  154. it may still be illegal.  Defensible merely means "there is a
  155. reasonable expectation that consideration will be given to your side."
  156. I think CERT went a bit too far in suggesting a banner and not
  157. bringing up possible consequences. I tried to "balance" the situation
  158. here.  For any company, I would seriously advise you to consult an
  159. attorney before you implement this type of monitoring, and to think
  160. about what effects it could have.  It may weaken security rather than
  161. improve it.
  162.  
  163. As a system administrator (albeit a tiny system consisting of myself,
  164. 4 friends, my sister, and my girlfriend) I would not implement such a
  165. scheme since I feel that it would be illegal without real-time
  166. notification, and such real-time notification is, quite frankly, a
  167. pain to give to someone using an editor without disrupting their
  168. session or their train of thought.
  169.  
  170. In a nutshell, the point is this:  just because it's defensible does
  171. not mean it's legal, and in this case I feel that it just might be
  172. illegal.
  173.  
  174. ------------------------------
  175.  
  176.  
  177. Downloaded From P-80 International Information Systems 304-744-2253
  178.