home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / internet / pripart1 < prev    next >
Text File  |  1995-01-03  |  60KB  |  1,230 lines

  1.  
  2. Archive-name: net-privacy/part1
  3. Last-modified: 1994/5/7
  4. Version: 3.0
  5.  
  6.  
  7.  
  8. IDENTITY, PRIVACY, and ANONYMITY on the INTERNET
  9. ================================================
  10.  
  11. (c) Copyright 1994 L. Detweiler.  Not for commercial use except by
  12.   permission from author, otherwise may be freely copied.  Not to be
  13.   altered.  Please credit if quoted.
  14.  
  15. SUMMARY
  16. =======
  17.  
  18. Information on email and account privacy, anonymous mailing and 
  19. posting, encryption, and other privacy and rights issues associated
  20. with use of the Internet and global networks in general.
  21.  
  22. (Search for <#.#> for exact section. Search for '_' (underline) for
  23. next section.)
  24.  
  25. PART 1
  26. ====== (this file)
  27.  
  28.  
  29. Identity
  30. --------
  31. <1.1> What is `identity' on the internet?
  32. <1.2> Why is identity (un)important on the internet?
  33. <1.3> How does my email address (not) identify me and my background?
  34. <1.4> How can I find out more about somebody from their email address?
  35. <1.5> Why is identification (un)stable on the internet? 
  36. <1.6> What is the future of identification on the internet?
  37.  
  38. Privacy
  39. -------
  40. <2.1> What is `privacy' on the internet?
  41. <2.2> Why is privacy (un)important on the internet?
  42. <2.3> How (in)secure are internet networks?
  43. <2.4> How (in)secure is my account?
  44. <2.5> How (in)secure are my files and directories?
  45. <2.6> How (in)secure is X Windows?
  46. <2.7> How (in)secure is my email?
  47. <2.8> How am I (not) liable for my email and postings?
  48. <2.9> How do I provide more/less information to others on my identity?
  49. <2.10> Who is my sysadmin?  What does s/he know about me?
  50. <2.11> Why is privacy (un)stable on the internet?
  51. <2.12> What is the future of privacy on the internet?
  52.  
  53. Anonymity
  54. ---------
  55. <3.1> What is `anonymity' on the internet?
  56. <3.2> Why is `anonymity' (un)important on the internet?
  57. <3.3> How can anonymity be protected on the internet?
  58. <3.4> What is `anonymous mail'?
  59. <3.5> What is `anonymous posting'?
  60. <3.6> Why is anonymity (un)stable on the internet?
  61. <3.7> What is the future of anonymity on the internet?
  62.  
  63. PART 2
  64. ====== (next file)
  65.  
  66. Issues
  67. ------
  68.  
  69. <4.1> What is the Electronic Frontier Foundation (EFF)?
  70. <4.2> Who are Computer Professionals for Social Responsibility (CPSR)?
  71. <4.3> What was `Operation Sundevil' and the Steve Jackson Game case?
  72. <4.4> What is Integrated Services Digital Network (ISDN)?
  73. <4.5> What is the National Research and Education Network (NREN)?
  74. <4.6> What is the FBI's proposed Digital Telephony Act?
  75. <4.7> What is U.S. policy on freedom/restriction of strong encryption?
  76. <4.8> What other U.S. legislation is related to privacy?
  77. <4.9> What are references on rights in cyberspace?
  78. <4.10> What is the Computers and Academic Freedom (CAF) archive?
  79.  
  80. Clipper
  81. -------
  82.  
  83. <5.1> What is the Clipper Chip Initiative?
  84. <5.2> How does Clipper blunt `cryptography's dual-edge sword'?
  85. <5.3> Why are technical details of the Clipper chip being kept secret?
  86. <5.4> Who was consulted in the development of the Clipper chip?
  87. <5.5> How is commerical use/export of Clipper chips regulated?
  88. <5.6> What are references on the Clipper Chip?
  89. <5.7> What are compliments/criticisms of the Clipper chip?
  90. <5.8> What are compliments/criticisms of the Clipper Initiative?
  91. <5.9> What are compliments/criticisms of the Clipper announcement?
  92. <5.10> Where does Clipper fit in U.S. cryptographic technology policy?
  93.  
  94. PART 3
  95. ====== (last file)
  96.  
  97. Resources
  98. ---------
  99.  
  100. <6.1> What UNIX programs are related to privacy?
  101. <6.2> How can I learn about or use cryptography?
  102. <6.3> What is the cypherpunks mailing list?
  103. <6.4> What are some privacy-related newsgroups?  FAQs?
  104. <6.5> What is internet Privacy Enhanced Mail (PEM)?
  105. <6.6> What are other Request For Comments (RFCs) related to privacy?
  106. <6.7> How can I run an anonymous remailer?
  107. <6.8> What are references on privacy in email?
  108. <6.9> What are some email, Usenet, and internet use policies?
  109.  
  110. Miscellaneous
  111. -------------
  112.  
  113. <7.1> What is ``digital cash''?
  114. <7.2> What is a ``hacker'' or ``cracker''?
  115. <7.3> What is a ``cypherpunk''?
  116. <7.4> What is `steganography' and anonymous pools?
  117. <7.5> What is `security through obscurity'?
  118. <7.6> What are `identity daemons'?
  119. <7.7> What standards are needed to guard electronic privacy?
  120.  
  121. Footnotes
  122. ---------
  123.  
  124. <8.1> What is the background behind the Internet?
  125. <8.2> How is Internet `anarchy' like the English language?
  126. <8.3> Most Wanted list
  127. <8.4> Change history
  128.  
  129. * * *
  130.  
  131.  
  132. IDENTITY
  133. ========
  134.  
  135. _____
  136. <1.1> What is `identity' on the internet?
  137.  
  138.   Generally, today people's `identity' on the internet is primarily
  139.   determined by their email address in the sense that this is their
  140.   most unchanging 'face' in the electronic realm.   This is your
  141.   login name qualified by the complete address domain information,
  142.   for example ``ld231782@longs.lance.colostate.edu''.  People see
  143.   this address when receiving mail or reading USENET posts from you
  144.   and in other situations where programs record usage.  Some obsolete
  145.   forms of addresses (such as BITNET) still persist.
  146.  
  147.   In email messages, additional information on the path that a message
  148.   takes is prepended to the message received by the recipient.  This
  149.   information identifies the chain of hosts involved in the
  150.   transmission and is a very accurate trace of its origination.  This
  151.   type of identify-and-forward protocol is also used in the USENET
  152.   protocol to a lesser extent.  Forging these fields requires
  153.   corrupted mailing software at sites involved in the forwarding and
  154.   is very uncommon.  Not so uncommon is forging the chain at the
  155.   origination point, so that all initial sites in the list are faked
  156.   at the time the message is created.  Tracing these messages can be
  157.   difficult or impossible when the initial faked fields are names of
  158.   real machines and represent real transfer routes.
  159.  
  160. _____
  161. <1.2> Why is identity (un)important on the internet?
  162.  
  163.   The concept of identity is closely intertwined with communication,
  164.   privacy, and security, which in turn are all critical aspects of
  165.   computer networks. For example, the convenience of communication
  166.   afforded by email would be impossible without conventions for
  167.   identification.  But there are many potential abuses of identity
  168.   possible that can have very severe consequences, with massive
  169.   computer networks at the forefront of the issue, which can
  170.   potentially either exacerbate or solve these problems.
  171.  
  172.   Verifying that an identity is correct is called `authentication',
  173.   and one classic example of the problems associated with it is
  174.   H.G. Well's ``War of the Worlds'' science fiction story adapted to a
  175. radio broadcast that fooled
  176.   segments of the population into thinking that an alien invasion was
  177.   in progress.  Hoaxes of this order are not uncommon on Usenet and
  178.   forged identities makes them more insidious.  People and their
  179.   reputations can be assaulted by forgery.
  180.  
  181.   However, the fluidity of identity on the internet is for some one of
  182.   its most attractive features. Identity is just as useful as it is
  183.   harmful.  A professor might carefully explain a topic until he
  184.   finds he is talking to an undergraduate. A person of a particular
  185.   occupation may be able to converse with others who might normally
  186.   shun him.  Some prejudices are erased, but, on the other hand, many
  187.   prejudices are useful!  A scientist might argue he can better
  188.   evaluate the findings of a paper as a reviewer if he knows more
  189.   about the authors.  Likewise, he may be more likely to reject it
  190.   based on unfair or irrelevant criteria.  On the other side of the
  191.   connection,  the author may find identities of reviewers useful in
  192.   exerting pressure for acceptance.
  193.  
  194.   Identity is especially crucial in establishing and regulating
  195.   `credit' (not necessarily financial) and `ownership' and `usage'. 
  196.   Many functions in society demand reliable and accurate techniques
  197.   for identification. Heavy reliance will be placed on digital
  198.   authentication as global economies become increasingly electronic. 
  199.   Many government functions and services are based on identification,
  200.   and law enforcement frequently hinges on it.  Hence, employees of
  201.   many government organizations push toward stronger identification
  202.   structures.  But when does identification invade privacy?
  203.  
  204.   The growth of the internet is provoking social forces of massive
  205.   proportions. Decisions made now on issues of identity will affect
  206.   many future users, especially as the network becomes increasingly
  207.   global, universal, widespread, and entrenched; and the positive or
  208.   adverse affects of these actions, intended and inadvertent,  will
  209.   literally be magnified exponentially.
  210.  
  211. _____
  212. <1.3> How does my email address (not) identify me and my background?
  213.  
  214.   Your email address may contain information that influences people's
  215.   perceptions of your background.  The address may `identify' you as
  216.   from a department at a particular university, an employee at a
  217.   company, or a government worker.  It may contain your last name,
  218.   initials, or cryptic identification codes independent of both.  In
  219.   the US some are based on parts of social security numbers.  Others
  220.   are in the form 'u2338' where the number is incremented in the
  221.   order that new users are added to the system.
  222.  
  223.   Standard internet addresses  also can contain information  on your
  224.   broad geographical location or nationhood.  However, none of this
  225.   information is guaranteed to be correct or be there at all.  The
  226.   fields in the domain qualification of the username are based on
  227.   rather arbitrary organization, such as (mostly invisible) network
  228.   cabling distributions.  The only point to make is that early fields
  229.   in the address are more specific (such as specific computer names
  230.   or local networks) and the later ones the most general (such as
  231.   continental domains).  Typically the first field is the name of the
  232.   computer receiving mail.
  233.  
  234.   Gleaning information from the email address alone is sometimes an
  235.   inspired art or an inconsistent and futile exercise.  (For more
  236.   information, see the FAQs on email  addresses and known
  237.   geographical distributions below.)  However, UNIX utilities exist
  238.   to aid in the quest (see the question on this).
  239.  
  240.   Common Suffixes
  241.   ---------------
  242.  
  243.   .us    United States
  244.   .uk    United Kingdom
  245.   .ca    Canada
  246.   .fi    Finland
  247.   .au    Australia
  248.  
  249.   .edu   university or college
  250.   .com   commercial organization
  251.   .org   'other' (e.g. nonprofit organization)
  252.   .gov   government
  253.   .mil   military site
  254.  
  255. _____
  256. <1.4> How can I find out more about somebody with a given email address?
  257.  
  258.   One simple way is to send email to that address, asking.  Another
  259.   way is to send mail to the postmaster at that address (i.e.
  260.   postmaster@address), although the postmaster's job is more to help
  261.   find user ID's of particular people given their real name and solve
  262.   mail routing problems.  The sysadmin (i.e. `root@address') may also
  263.   be able to supply information.  Users with related email address
  264.   may have information.  However, all of these methods rely on the
  265.   time and patience of others so use them minimally.
  266.  
  267.   One of the most basic tools for determining identity over the
  268.   internet is the UNIX utility 'finger'.  The basic syntax is:
  269.  
  270.     finger user@here.there.everywhere
  271.  
  272.   This utility uses communication protocols to query the computer
  273.   named in the address for information on the user named.  The
  274.   response is generated completely by the receiving computer and may
  275.   be in any format.  Possible responses are as follows:
  276.  
  277.   - A message `unknown host' meaning some aspect of the address is
  278.     incorrect, two lines with no information and '???'.
  279.   
  280.   - A message 'In real life: ???' in which case the receiving computer
  281.     could not find any kind of a match on the username. The finger
  282.     utility may return this response in other situations.
  283.   
  284.   - A listing of information associated with multiple users. Some
  285.     computers will search only for matching user IDs, others will
  286.     attempt to find the username you specified as a substring of all
  287.     actual full names of users kept in a local database.
  288.   
  289.   At some sites 'finger' can be used to get a list of all users on the
  290.   system with a `finger @address'.  In general this is often
  291.   considered weak security, however, because `attackers' know valid
  292.   user ID's to `crack' passwords.
  293.  
  294.         More information on the fields returned by `finger' is given below. 
  295.         More information on `finger' and locating people's email addresses
  296.         is given in the email FAQ (such as the WHOIS lookup utility).  Just
  297.         as you can use these means to find out about others, they can use
  298.         them to find out about you.  You can `finger' yourself to find out
  299.         what is publicly reported by your UNIX system about you.  Be
  300.         careful when modifying `finger' data; virtually anyone with
  301.         internet access worldwide can query this information.  In one
  302.         famous case, the New York Times writer J. Markoff uncovered the
  303.         identity of R. Morris, author of the Internet Worm,  through the
  304.         use of `finger' after an anonymous caller slipped by revealing his
  305.         initials which were also his login ID.  See the book Cyberpunk by
  306.         K. Hafner and J. Markoff.
  307.  
  308. _____
  309. <1.5> Why is identification (un)stable on the internet?
  310.  
  311.   Generally, identity is an amorphous and almost nonexistent concept
  312.   on the Internet for a variety of reasons.  One is the inherent
  313.   fluidity of `cyberspace' where people emerge and submerge
  314.   frequently, and absences are not readily noted in the `community'. 
  315.   Most people remember faces and voices, the primary means of casual
  316.   identification in the 'real world'.  The arbitary and cryptic 
  317.   sequences of letters and digits comprising most email addresses are
  318.   not particularly noticeable or memorable and far from a unique
  319.   identification of an individual, who may use multiple accounts on
  320.   multiple machines anywhere in the world.
  321.  
  322.   Currently internet users do not really have any great assurances
  323.   that the messages in email and USENET are from who they appear to
  324.   be. A person's mailing address is far from an identification of an
  325.   individual.  
  326.   
  327.   - Anyone with access to the account, e.g. they know the password,
  328.     either legitimately or otherwise, can send mail with that address
  329.     in the From: line.
  330.   
  331.   - Email addresses for an individual tend to change frequently as
  332.     they switch jobs or make moves inside their organizations. 
  333.  
  334.   - As part of current mailing protocol standards, forging the From:
  335.     line in mail messages is a fairly trivial operation for many
  336.     hackers.
  337.     
  338.   The status and path information prepended to messages by
  339.   intermediate hosts is generally unforgeable. In general, while
  340.   possible, forgeries are fairly rare on most newsgroups and in
  341.   email.  Besides these pathological cases abve there are many basic
  342.   problems with today's internet protocols affecting identification
  343.   on the internet:
  344.  
  345.   - Internet mail standards, described in RFC-822, are still evolving
  346.     rapidly and not entirely orderly.  For example, standards for
  347.     mail address `munging' or `parsing' tend to vary slightly between
  348.     sites and frequently mean the difference between finding
  349.     addresses and bouncing mail.
  350.   
  351.   - Domain names and computer names are frequently changed at sites,
  352.     and there are delays in the propagation of this data.
  353.   
  354.   - Addresses cannot be resolved when certain critical computers
  355.     crash, such as the receiving computer or other computers involved
  356.     in resolving names into addresses called `nameservers'. 
  357.   
  358.   - A whole slew of problems is associated with  `nameservers'; if
  359.     they are not updated they will not find name addresses, and even
  360.     the operation of what constitutes `updating' has different
  361.     interpretations at different sites.
  362.   
  363.   The current internet mailing and addressing protocols are slightly
  364.   anachronistic in that they were created when the network was
  365.   somewhat obscure and not widespread, with only a fraction of the
  366.   traffic it now sees.  Today a large proportion of internet traffic
  367.   is email, comprising  millions of messages.
  368.  
  369. _____
  370. <1.6> What is the future of identification on the internet?
  371.  
  372.   Some new technologies and standards are introducing facial images
  373.   and voice messages  into mail and these will improve the sense of
  374.   community that comes from the familiarity of identification.
  375.   However, they are not currently widespread, require large amounts
  376.   of data transfer, standardized software, and make some compromises
  377.   in privacy.
  378.  
  379.   Promising new cryptographic techniques may make 'digital signatures'
  380.   and 'digital authentication' common (see below).  Also, the trend
  381.   in USENET standards is toward greater authentication of posted
  382.   information.  On the other hand, advances in ensuring anonymity
  383.   (such as remailers) are forthcoming.  See below.
  384.  
  385.  
  386. PRIVACY
  387. =======
  388.  
  389. _____
  390. <2.1> What is `privacy' on the internet?
  391.  
  392.   Generally, while `privacy' has multiple connotations in society and
  393.   perhaps even more on the internet, in cyberspace most take it to
  394.   mean that you have exclusive use and access to your account and the
  395.   data stored on and and directed to it (such as email), and you do
  396.   not encounter arbitrary restrictions or searches.  In other words, 
  397.   others may obtain data associated with your account, but not
  398.   without your permission.  These ideas are probably both fairly
  399.   limiting and liberal in their scope in what most internet users
  400.   consider their private domains.  Some users don't expect or want
  401.   any privacy, some expect and demand it.
  402.  
  403. _____
  404. <2.2> Why is privacy (un)important on the internet?
  405.  
  406.   This is a somewhat debatable and inflammatory topic, arousing
  407.   passionate opinions.  On the internet, some take privacy for
  408.   granted and are rudely surprised to find it tenuous or nonexistent.
  409.   Most governments have rules that protect privacy (such as the
  410.   illegal search and seizure clause of the U.S. constitution, adopted
  411.   by others) but have many that are antithetical to it (such as laws
  412.   prohibiting secret communications or allowing wiretapping). These
  413.   rules generally carry over to the internet with few specific rules
  414.   governing it.  However, the legal repercussions of the global
  415.   internet are still largely unknown and untested (i.e. no strong
  416.   legal precedents and court cases).  The fact that internet traffic
  417.   frequently passes past international boundaries, and is not
  418.   centrally managed, significantly complicates and strongly
  419.   discourages its regulation.
  420.  
  421. _____
  422. <2.3> How (in)secure are internet networks?
  423.  
  424.   - `Theoretically' people at any site in the chain of sites with
  425.     access to hardware and network media that transmits data over the
  426.     Internet  could potentially monitor or archive it. However, the
  427.     sheer volume and general 'noise' inherent to this data makes
  428.     these scenarios highly improbable, even by government agencies
  429.     with supposedly vast funding and resources.
  430.   
  431.   - Technologies exist to `tap' magnetic fields given off by
  432.     electrical wires without detection.  Less obscurely, any machine
  433.     with a network connection is a potential station for traffic
  434.     detection, but this scenario requires knowledge and access to
  435.     very low-level hardware (the network card) to pursue, if even
  436.     possible.
  437.   
  438.   - A company Network General Inc. is one of many that manufactures
  439.     and markets sophisticated network monitoring tools that can
  440.     'filter' and read packets by arbitrary criteria for
  441.     troubleshooting purposes, but the cost of this type of device is
  442.     prohibitive for casual use.
  443.  
  444.   Known instances of the above types of security  breaches at a major
  445.   scale (such as at network hubs) are very rare. The greatest risks
  446.   tend to emerge locally.  Note that all these approaches are almost
  447.   completely defused with the use of cryptography.
  448.     
  449. _____
  450. <2.4> How (in)secure is my account?
  451.  
  452.   By default, not very.  There are a multitude of factors that may
  453.   reinforce or compromise aspects of your privacy on the internet. 
  454.   First, your account must be secure from other users. The universal
  455.   system is to use a password, but if it is `weak' (i.e. easy to
  456.   guess) this security is significantly diminished.  Somewhat
  457.   surprisingly and frighteningly to some, certain  users of the
  458.   system, particularly the administrator, generally have unlimited
  459.   access regardless of passwords, and may grant that access to
  460.   others.  This means that they may read any file in your account
  461.   without detection.
  462.  
  463.   Furthermore, not universally known, most UNIX systems keep fairly
  464.   extensive accounting records of when and where you logged in, what
  465.   commands you execute, and when they are executed (in fact, login
  466.   information is usually public). Most features of this `auditing' or
  467.    `process accounting' information are enabled by default after the
  468.   initial installation and the system administrator may customize it
  469.   to strengthen or weaken it to satisfy performance or privacy aims. 
  470.   This information is frequently consulted for troubleshooting
  471.   purposes and may otherwise be ignored.  This data tracks
  472.   unsuccessful login attempts and other 'suspicious' activities on
  473.   the system. A traditional part of the UNIX system that tracks user
  474.   commands is easily circumvented by the user with the use of
  475.   symbolic links (described  in 'man ln').
  476.   
  477.         UNIX implementations vary widely particularly in tracking features
  478.         and new sophisticated mechanisms are introduced by companies
  479.         regularly. Typically system adminstrators augment the basic UNIX
  480.         functionality with public-domain programs and locally-developed
  481.         tools for monitoring, and use them only to isolate `suspicious'
  482.         activity as it arises (e.g. remote accesses to the 'passwd' file,
  483.         incorrect login attempts, remote connection attempts, etc.).
  484.   
  485.   Generally, you should expect little privacy on your account for
  486.   various reasons:
  487.   
  488.   - Potentially, every keystroke you type could be intercepted by
  489.     someone else. 
  490.  
  491.   - System administrators make extensive backups that are completely
  492.     invisible to users which may record the states of an account over
  493.     many weeks. 
  494.  
  495.   - Erased files can, under many operating systems, be undeleted. 
  496.  
  497.   - Most automated services keep logs of use for troubleshooting or
  498.     otherwise; for example FTP sites usually log the commands and
  499.     record the domain originations of users, including anonymous
  500.     ones.
  501.  
  502.   - Some software exacerbates these problems.  See the section on
  503.     ``X Windows (in)security''.
  504.  
  505.   Indepedent of malevolent administrators are fellow users, a much
  506.   more commonly harmful threat. There are multiple ways to help
  507.   ensure that your account will not be accessed by others, and
  508.   compromises can often be traced to failures in these guidelines:
  509.  
  510.   - Choose a secure password.  Change it periodically.
  511.   - Make sure to logout always.
  512.   - Do not leave a machine unattended for long.
  513.   - Make sure no one watches you when you type your password.
  514.   - Avoid password references in email.
  515.   - Be conservative in the use of the .rhost file.
  516.   - Use utilities like `xlock' to protect a station, but be
  517.     considerate.
  518.  
  519.   Be wary of situations where you think you should supply your
  520.   password.  There are only several basic situations where UNIX
  521.   prompts you for a password: when you are logging in to a system or
  522.   changing your password.  Situations can arise in which prompts for
  523.   passwords are forged by other users, especially in cases where you
  524.   are talking to them (such as Internet Relay Chat).  Also, be  aware
  525.   that forged login screens are one method to illegitimately obtain 
  526.   passwords.
  527.  
  528.  
  529.   (Thanks to Jim Mattson <mattson@cs.ucsd.edu> for contributions
  530.   here.)
  531.  
  532. _____
  533. <2.5> How (in)secure are my files and directories?
  534.  
  535.   The most important privacy considerations are related to file
  536.   rights, and many lapses can be traced to their misunderstood nature
  537.   or haphazard maintenance. Be aware of the rights associated with
  538.   your files and directories in UNIX. If the `x' (`execute') right on
  539.   your parent directory is off for users, groups, and other, these
  540.   users cannot gain information on anything in your directories. 
  541.   Anything less may allow others to read, change, or even delete
  542.   files in your home directory. The rights on a directory supersede
  543.   the rights associated with files in that directory. For a
  544.   directory, 'x' means that access to the files (or subdirectories)
  545.   in the directory is possible -- if you know their names.  To list
  546.   the contents of the directory, however, requires the 'r' right.
  547.  
  548.   By default most accounts are accessable only to the owner, but the
  549.   initial configuration varies between sites based on administrator
  550.   preference.  The default file mode specifies the initial rights
  551.   associated with newly created files, and can be set in the shell
  552.   with `umask'.  The details of rights implementations tend to vary
  553.   between versions of UNIX.  Consult man pages on `chmod' and `ls'.
  554.  
  555.   Examples
  556.   --------
  557.  
  558.     traver.lance % ls -ld ~
  559.     drwx------ 15 ld231782     1536 Jan 31 21:22 /users/ld231782/
  560.  
  561.   Here is a listing of the rights associated with a user's home
  562.   directory, denoted by `~'.  The columns at the left identify what
  563.   rights are available. The first column identifies the entry as a
  564.   directory, and the next three columns mean that read, write, and
  565.   execute rights, respectively, are permitted for that user.  For
  566.   directories, the `x' right means that contents (file and
  567.   subdirectory names) within that directory can be listed. The
  568.   subsequent columns indicate that no other users have any rights to
  569.   anything in the directory tree originating at that point.  They
  570.   can't even `see' any lower files or subdirectories; the hierarchy
  571.   is completely invisible to them.
  572.  
  573.     traver.lance % ls -l msg
  574.     -rw-r--r--  1 ld231782   35661 Jan 29 23:13 msg
  575.     traver.lance % chmod u=rw,g=,o= msg
  576.     traver.lance % ls -l msg
  577.     -rw-------  1 ld231782   35661 Jan 29 23:13 msg
  578.  
  579.   Here the modes on the file `msg' were changed to take away rights
  580.   from `group' and `other'. 
  581.   
  582.   Note that `ls -l <file>' requires both the 'r' right to get the list
  583.   of files and subdirectories, and the 'x' right to access the files
  584.   and subdirectories in order to get their size, etc. For example,
  585.   suppose the directory `foo' has rights dr--r--r--,  the following
  586.   is possible:
  587.  
  588.     ls foo
  589.  
  590.   These commands would fail independent of file rights:
  591.   
  592.     ls -l foo
  593.     ls -l foo/file
  594.     cat foo/file
  595.     cd foo
  596.  
  597.   If the directory `foo' has rights d--x--x--x, the following are
  598.   possible if it is known beforehand that `foo' contains an 'r'
  599.   readable file named `file':
  600.   
  601.     ls -l foo/file
  602.     cat foo/file
  603.     cd foo
  604.   
  605.   The following commands fail:
  606.   
  607.     ls foo
  608.     ls -l foo
  609.   
  610.  
  611.   (Thanks to Uwe Waldmann <uwe@mpi-sb.mpg.de> for contributions here.)
  612.  
  613. _____
  614. <2.6> How (in)secure is X Windows?
  615.  
  616.   X Windows is the primary software developed by the MIT Athena
  617.   project (1983-1991) which was funded by commercial grants 
  618.   primarily from DEC and IBM to develop
  619.   applications to harness the power of networks in enhancing
  620.   computational tasks, particularly the human-computer interface. 
  621.   The software implements a client-server interface to a computer via
  622.   graphical windows. In this case the `client' is the application
  623.   requesting or utilizing  graphical resources (such as windows or a
  624.   mouse) and the `server' is the machine that provides them.  In many
  625.   situations the client is an application program running on the same
  626.   machine as the server.
  627.  
  628.   The great utility of X Windows comes from its complete dissociation
  629.   of the client and server so that windows may be `broadcast' to a
  630.   server at a remote location from the  client. Unfortunately this
  631.   dynamic power also introduces many deep, intricate, and complicated
  632.   security considerations.  The primary security and privacy issue
  633.   associated with X Windows is that much more sensitive data may be
  634.   sent over a network, and over wider regions, than in the case where
  635.   the human is situated near the host computer.  Currently there is
  636.   no encryption of data such as screen updates and keystrokes in X
  637.   Windows.
  638.  
  639.         Due to either intentional design decisions or unintentional design
  640.         flaws,  early versions of the X Window system are extremely
  641.         insecure (the decision may have been made not to attempt to
  642.         overcome existing vulnerabiliies in the Unix system). Anyone with
  643.         an account on the server machine can disrupt that display or read
  644.         it electronically based on access to the device unix:0.0 by any
  645.         regular user.   There are no protections from this type of access
  646.         in these versions.   The problem arises because the security is
  647.         completely based on machine addresses rather than users, such that
  648.         any user at a `trusted' machine is himself trusted. Quoting from X
  649.         documentation (man Xsecurity):
  650.   
  651.   > Any client on a host in the host access control list is allowed
  652.   > access to the X server. This system can work reasonably well in
  653.   > an environment where everyone trusts everyone, or when only a
  654.   > single person can log into a given machine...This system does not
  655.   > work well when multiple people can log in to a single machine and
  656.   > mutual trust does not exist. 
  657.   
  658.   With the access control list, the `xhost' command may prevent some
  659.   naive attempts (i.e. those other than the direct-access unix:0.0
  660.   evasion); the syntax as typed on the host machine is  ``xhost
  661.   +[name]'' where [name] is the domain name or internet address of an
  662.   authorized client machine. By default clients running nonlocal to
  663.   the host are disabled.  Public domain programs to disrupt a display
  664.   momentarily (such as 'flip' or slowly mirror the screen image, or
  665.   cause pixels to 'melt' down to the bottom) have been circulating on
  666.   the internet among hackers for several years and played as pranks
  667.   on unsuspecting or inexperienced users.  Much more serious security
  668.   breaches are conceivable from similar mechanisms exploiting this
  669.   inherent weaknesses.  (The minimal, easily-bypassed `trusted'
  670.   security mode of `xhost' has been jokingly referred to as ``X
  671.   Hanging Open, Security Terrible.''). 
  672.  
  673.   New versions of the X Window system (X11R5 and higher) by default 
  674.   make server access as secure as the file system using a .Xauthority
  675.   file and 'magic cookies'.  Remote machines must have a code in the
  676.   .Xauthority file in the home directory that matches the code
  677.   allowed by the server.  Many older programs and even new
  678.   vendor-supplied code does not support or is incompatible with
  679.   `magic cookies'. The basic magic cookie mechanism is vulnerable to
  680.   monitoring techniques described earlier because no encryption of
  681.   keys occurs in transmission.  X11R5 also includes other
  682.   sophisticated encryption mechanisms.  Try `man Xsecurity' to find
  683.   out what is supported at your site.  Even though improved security 
  684.   mechanisms have been available in X Windows since ~1990, local
  685.   sites often update this software infrequently because installation
  686.   is extremely complex.
  687.  
  688.  
  689.   (Thanks to Marc Vanheyningen <mvanheyn@whale.cs.indiana.edu>, 
  690.   Jim Mattson <mattson@cs.ucsd.edu>, and Bill Marshall
  691.   <marshall@cs.iastate.edu> for contributions here.)
  692.  
  693. _____
  694. <2.7> How (in)secure is my email?
  695.  
  696.   By default, not very.  The characters that you are reading are
  697.   almost certainly encoded in ASCII, the American Standard Code for
  698.   Information Interchange that maps alphabetic and symbolic
  699.   characters onto numeric codes and vice versa.  Virtually every
  700.   computer system uses this code, and if not, has ways of converting
  701.   to and from it.  When you write a mail message, by default it is
  702.   being sent in ASCII,  and since the standard is virtually
  703.   universal, there is no intrinsic privacy.  Despite milleniums worth
  704.   of accumulated cryptographic knowledge, cryptographic technologies
  705.   are only recently being established that afford high priority to
  706.   privacy as a primary criteria in computer and network design.  Some
  707.   potential pitfalls in privacy are as follows:
  708.  
  709.   - The most serious threats are instances of immature or unscrupulous
  710.     system operators reading private mail in the `spool files' at a
  711.     local site (i.e. at the source or destination of the message),
  712.     such as a university. 
  713.   
  714.   - System administrators may also release files to law enforcement
  715.     agencies, but conventions and protocols for warrants involving
  716.     computer searches have still not been strongly established and
  717.     tested legally.
  718.  
  719.   - Note that bounced messages go to postmasters at a given site in
  720.     their entirety.  This means that if you address mail with an
  721.     incorrect address it has a good chance of being seen by a human
  722.     other than the recipient.
  723.  
  724.   - Typically new user accounts are always set up such that the local
  725.     mail directory is private, but this is not guaranteed and can be
  726.     overridden.
  727.  
  728.   - Finally, be aware that some mailing lists (email addresses of 
  729.     everyone on a list) are actually publicly accessable via mail 
  730.     routing software mechanisms.  This `feature' can be disabled.
  731.  
  732.   Most potential compromises in email privacy can be thoroughly
  733.   avoided with the use of strong end-to-end cryptography, which has
  734.   its own set of caveats (for example, unscrupulous administrators
  735.   may still be a threat if the encryption site is shared or
  736.   nonlocal).  See the sections on ``email privacy'' and ``email
  737.   policies.''
  738.  
  739. _____
  740. <2.8> How am I (not) liable for my email and postings?
  741.  
  742.   As punishment or whatever, your system administrator can revoke
  743.   certain `privileges' such as emailing, USENET posting or reading
  744.   certain groups, file transferring, remote communications, or
  745.   generally any subset of capabilities available from your account. 
  746.   This all is completely at the discretion of the local administrator
  747.   and under the procedures followed at a particular site, which in
  748.   many cases are haphazard and crisis-oriented.  Currently there are
  749.   virtually no widespread, uniform guidelines or procedures  for
  750.   restricting use to any internet services, and local administrators
  751.   are free to make arbitrary decisions on access.
  752.  
  753.   Today punitive measures are regularly applied in various situations.
  754.   In the typical scenario complaint(s) reach a system adminstrator
  755.   regarding abuses by a user, usually but not necessarily preceded by
  756.   complaints to the user in email, regarding that person's
  757.   objectionable email or postings.  `abusive' posters to USENET are
  758.   usually first given admonitions from their system administrators as
  759.   urged by others on the `net'. (The debate persists endlessly on
  760.   many newsgroups whether this is also used  as a questionable means
  761.   of attacking or silencing `harmless crackpots' or censoring
  762.   unpopular opinions.)
  763.   
  764.   System administrators at remote sites regularly cooperate to
  765.   'squelch' severe cases of abuse.  In general, however, by tradition
  766.   Usenet readers are remarkably tolerant of diverse views and uses of
  767.   the system, but a colorful vocabularly of slang helps describe
  768.   their alternatives when this patience is sapped: the options
  769.   wielded by the individual user are to simply advance to the next
  770.   message (referred to as ``hitting the `n' key''), or to `plonk'
  771.   annoying posters (according to the Hacker's Dictionary, the sound a
  772.   jerk makes at the end of a fall to the bottom of a kill file).
  773.  
  774.   In cases where punitive actions are applied, generally system
  775.   administrators are least likely to restrict email.  USENET postings
  776.   are much more commonly restricted, either to individual users or 
  777.   entire groups (such as a university campus).  Restrictions are most
  778.   commonly associated with the following `abuses':
  779.  
  780.   - harassing or threatening notes, `email terrorism'
  781.   - illegal uses, e.g. piracy or propagation of copyrighted material
  782.   - `ad hominem' attacks, i.e. insulting the reputation of the
  783.     poster instead of citing the content of the message
  784.   - intentional or extreme vulgarity and offensiveness
  785.   - inappropriate postings, esp. binary files in regular groups
  786.     `mail-bombing': inundating mail boxes with numerous or massive
  787.     files
  788.  
  789.   Major problems originate from lack of distinctions in private and
  790.   official email or postings.  Most users have internet access via
  791.   accounts at businesses or universities and their activities on the
  792.   internet can be construed as representative of their parent
  793.   organizations. Many people put disclaimers in their `signatures' in
  794.   an attempt dissociate their identity and activities from parent
  795.   organizations as a precaution. A recent visible political case
  796.   involves the privacy of electronic mail  written by White House
  797.   staff members of the Bush administration.  Following are some
  798.   guidelines:
  799.  
  800.   - Acquaint yourself with your company or university policy.
  801.   - If possible, avoid use of your company email address for private
  802.     communication.
  803.   - Use a disclaimer.
  804.   - Keep a low profile (avoid `flamewars' or simply don't post).
  805.   - Avoid posting information that could be  construed to be
  806.     proprietary or `internal'.
  807.  
  808.   The following references are available from ftp.eff.com
  809.   (see also the section on ``internet use policies''):
  810.  
  811.   /pub/academic/banned.1991
  812.   /pub/academic/banned.1992
  813.   ---
  814.     Computer material that was banned/challenged in academia in 1991
  815.     and 1992 including USENET hierarchies.
  816.  
  817.   /pub/academic/cases
  818.   ---
  819.     This is an on-line collection of information about specific
  820.     computers and academic freedom cases. File README is a detailed
  821.     description of the items in the directory.
  822.  
  823.   /pub/academic/faq/netnews.liability
  824.   ---
  825.     Notes on university liability for Usenet.
  826.  
  827. _____
  828. <2.9> How do I provide more/less information to others on my identity?
  829.  
  830.   The public information of your identity and account is mostly
  831.   available though the UNIX utility `finger' described above. 
  832.   
  833.   - You have control over most of this information with the utility
  834.     `chfn', the specifics vary between sites (on some systems use
  835.     `passwd -f').
  836.    
  837.   - You can provide unlimited information in the .plan file which is
  838.     copied directly to the destination during the fingering. 
  839.     
  840.   - A technique that works at some sites allows you to find out who is
  841.     'finger'ing you and even to  vary the .plan file sent to them.
  842.     
  843.   - Your signature is determined by the environment variable SIGNATURE
  844.     
  845.   - USENET signatures are conventionally stored in the .signature file
  846.     in your home directory.
  847.     
  848.   Providing less information on your online identity is more difficult
  849.   and involved.  One approach is to ask your system adminstrator to
  850.   change or delete information about you (such as your full name). 
  851.   You may be able to obtain access on a public account or one from
  852.   someone unrelated to you personally.  You may be able to remotely
  853.   login (via modem or otherwise) to computers that you are not
  854.   physically near.  These are tactics for hiding or masking your
  855.   online activities but nothing is foolproof.  Consult man pages on
  856.   the 'chmod' command and the default file mode.  Generally, files on
  857.   a shared system have good safeguards within the user pool but very
  858.   little protection is possible from corrupt system administrators.
  859.  
  860.   To mask your identity in email or on USENET you can use different
  861.   accounts. More untraceable are new `anonymous posting' and
  862.   remailing services that are very recently being established.  See
  863.   below.
  864.  
  865. ______
  866. <2.10> Who is my sysadmin?  What does s/he know about me?
  867.  
  868.   The requirements and screening for getting a system administration
  869.   job (and thereby access to all information on a system) vary widely
  870.   between sites and are sometimes frighteningly lax, especially at
  871.   universities.  Many UNIX systems at universities are largely
  872.   managed by undergraduates with a background in computing and often
  873.   `hacking'.  In general, commercial and industrial sites are more
  874.   strict on qualifications and background, and government sites are
  875.   extremely strict.
  876.  
  877.   The system adminstrator (root user) can monitor what commands you
  878.   used and at what times.  S/he may have a record (backups) of files
  879.   on your account over a few weeks. S/he can monitor when  you send
  880.   email or post USENET messages, and potentially read either.  S/he
  881.   may have access to records indicating what hosts you are using,
  882.   both locally and elsewhere.  Administrators sometimes employ
  883.   specialized programs to  track `strange' or `unusual' activity,
  884.   which can potentially be misused.
  885.  
  886. ______
  887. <2.11> Why is privacy (un)stable on the internet?
  888.  
  889.   For the numerous reasons listed above, privacy should not be an
  890.   expectation with current use of the internet.  Furthermore, large
  891.   parts of the internet are funded by the U.S. NSF (National Science
  892.   Foundation) which places certain restrictions on its use (such as
  893.   prohibiting commercial use).  Some high-level officials in this and
  894.   other government agencies may be opposed to emerging techniques to
  895.   guarantee privacy (such as encryption and anonymous services).
  896.  
  897.   Historically the major threats to privacy on the internet have been
  898.   local. Perhaps the most common example of this are the widespread
  899.   occurrences of university administrators refusing to carry some
  900.   portion of USENET newsgroups labelled as `pornographic'. The
  901.   `alternative' hierarchy in the USENET system, which has virtually
  902.   no restrictions on propagation and new group creation, is
  903.   frequently targeted (although this material may appear anywhere).
  904.  
  905.   From the global point of view traffic is generally completely
  906.   unimpeded on the internet  and only the most egregious offenders
  907.   are pursued.  For example,  verbatim transcriptions of copyrighted
  908.   material (such as newspaper or magazine articles) are posted to
  909.   USENET with regularity without major consequences (some email
  910.   complaints may ensue).  More astonishing to some is that currently
  911.   significant portions of USENET traffic, and less so internet
  912.   traffic, is comprised of sexually-explicit digitized images almost
  913.   entirely originating from copyrighted material (newsgroups such as
  914.   `alt.sex' regularly have the  highest traffic).
  915.   
  916. ______
  917. <2.12> What is the future of privacy on the internet?
  918.  
  919.   Some argue that the internet currently has an adequate or
  920.   appropriate level of privacy.  Others will argue that as a
  921.   prototype for future global networks it has woefully inadequate
  922.   safeguards.  The internet is growing to become a completely global,
  923.   international superhighway for data, and this traffic will
  924.   inevitably entail data such as voice messages, postal mail, and
  925.   many other items of extremely personal nature. Computer items that
  926.   many people consider completely private (such as their local hard
  927.   drives) will literally be inches from global network connections.
  928.   Also, sensitive industrial and business information is exchanged
  929.   over networks currently and this volume may conceivably merge with
  930.   the internet.
  931.   
  932.   Most would agree that, for these basic but sensitive uses of the
  933.   internet, no significant mechanisms are currently in place to
  934.   ensure much privacy. New standards are calling for uniform
  935.   introduction of `privacy enhanced mail' (PEM) which uses encryption
  936.   technologies to ensure privacy, so that privacy protection is
  937.   automatic, and may significantly improve safeguards.
  938.  
  939.   The same technology that can be extremely destructive to privacy
  940.   (such as with  surreptitious surveilance) can be overwhelmingly
  941.   effective in protecting  it (e.g. with encryption). Some government
  942.   agencies are opposed to unlimited privacy in general, and believe
  943.   that it should lawfully be forfeited in cases of criminal conduct
  944.   (e.g. court-authorized wiretapping).  However, powerful new
  945.   technologies to protect privacy on computers are becoming
  946.   increasingly popular, provoking some to say that ``the cat is out
  947.   of the bag'' and the ``genie can't be put back in the bottle''.  In
  948.   less idiomatic terms, they believe that the spread of strong
  949.   cryptography is already underway will be socially and technically
  950.   unstoppable.
  951.   
  952.   To date, no feasible system that guarantees both secure
  953.   communication and government oversight has been proposed (the two
  954.   goals are largely incompatible). Proposals for ``registration'' of
  955.   secret keys (by D. Denning on sci.crypt, for example) have been met
  956.   with hot controversy at best and ridicule and derision at worst,
  957.   mainly because of concerns for the right to privacy and objections
  958.   of inherent feasibility.  Electronic privacy issues, and
  959.   particularly the proper roles of networks and the internet, will
  960.   foreseeably become highly visible and explosive over the next few
  961.   years.
  962.  
  963.  
  964. ANONYMITY
  965. =========
  966.  
  967. _____
  968. <3.1> What is `anonymity' on the internet?
  969.  
  970.   Simply stated, anonymity is the absence of identity, the
  971.   ultimate in privacy. However, there are several variations on
  972.   this simple theme.  A person may wish to be consistently
  973.   identified by a certain pseudonym or `handle' and establish a
  974.   reputation under it in some area, providing pseudo-anonymity.
  975.   A person may wish to be completely untraceable for a single
  976.   one-way message (a sort of `hit-and-run'). Or, a person may
  977.   wish to be openly anonymous but carry on a conversation with
  978.   others (with either known or anonymous identities) via an
  979.   `anonymous return address'.  A user may wish to appear as a
  980.   `regular user' but actually be untraceable.  Sometimes a user
  981.   wishes to hide who he is sending mail to (in addition to the
  982.   message itself). The anonymous item itself may be directed at
  983.   individuals or groups.  A user may wish to access some
  984.   service and hide all  signs of the association. 
  985.   
  986.   All of these uses are feasible on the internet but are currently
  987.   tricky to carry out in practice, because of all the tracking
  988.   mechanisms inherent to operating systems and network protocols. 
  989.   Officials of the NSF and other government agencies may be opposed
  990.   to any of these uses because of the potential for abuse. 
  991.   Nevertheless, the inherent facelessness of large networks will
  992.   always guarantee a certain element of anonymity.
  993.  
  994. _____
  995. <3.2> Why is `anonymity' (un)important on the internet?
  996.  
  997.   Anonymity is another powerful tool that can be beneficial or
  998.   problematic depending on its use.  Arguably absence of
  999.   identification is important as the presence of it.  It may be the
  1000.   case that many strong benefits from electronic anonymity will be
  1001.   discovered that were unforeseen and unpredicted, because true
  1002.   anonymity has been historically very difficult to establish.
  1003.  
  1004.         One can use anonymity to make personal statements to a colleague
  1005.         that would sabotage a relationship if stated openly (such as
  1006.         employer/employee scenarios).  One can use it to pass information
  1007.         and evade any threat of direct retribution.  For example,
  1008.         `whistleblowers' reporting on government abuses (economic, social,
  1009.         or  political) can bring issues to light without fear of stigma or
  1010.         retaliation. Sensitive, personal, potentially damaging information
  1011.         is often posted to some USENET groups, a risky situation where
  1012.         anonymity allows conversations to be carried on completely
  1013.         independent of the identities of the participants.  Some police
  1014.         departments run phone services that allow anonymous reporting of
  1015.         crimes; such uses would be straightforward on the network.
  1016.         Anonymity can be extremely important and potentially lifesaving
  1017.         diagnoses and discussions carried out on medical or theurapeutic
  1018.         newsgroups. Unfortunately, extortion and harassment become more
  1019.         insidious with assurances of anonymity.
  1020.  
  1021. _____
  1022. <3.3> How can anonymity be protected on the internet?
  1023.  
  1024.   The chief means, as alluded to above, are masking identities in
  1025.   email and posting. However, anonymous accounts (public accounts as
  1026.   accessable and anonymous as e.g. public telephones) may be
  1027.   effective as well, but this use is generally not officially
  1028.   supported and even discouraged by some system adminstrators and NSF
  1029.   guidelines.  The nonuniformity in the requirements of obtaining
  1030.   accounts at different sites and institutions makes anonymous
  1031.   accounts generally difficult to obtain to the public at large.
  1032.  
  1033.   Many communications protocols are inherently detrimental to
  1034.   anonymity.  Virtually every protocol in existence currently
  1035.   contains information on both sender and receiver in every packet.
  1036.   New communications protocols will likely develop that guarantee
  1037.   much higher degrees of secure anonymous communication.
  1038.  
  1039. _____
  1040. <3.4> What is `anonymous mail'?
  1041.  
  1042.   One approach to `anonymizing' mail has been to set up an `anonymous
  1043.   server' that, when activated by email to its address, responds by
  1044.   allocating and supplying an `anonymous ID' that is unique to the
  1045.   person requesting it (based on his email address).  This will vary
  1046.   for the same person for different machine address email
  1047.   originations. To send anonymous mail, the user sends email directed
  1048.   to the server containing the final destination. The server
  1049.   `anonymizes' the message by stripping of identification information
  1050.   and forwards the message, which appears to originate from the
  1051.   anonymous server only from the corresponding anonymous user id. 
  1052.   This is the `interactive' use of anonymity or pseudonymity
  1053.   mentioned above.
  1054.  
  1055.   Another more `fringe' approach is to run a `cypherpunk' remailer
  1056.   from a regular user account (no root system privileges are
  1057.   required). These are currently being pioneered by  Eric Hughes and
  1058.   Hal Finney <hal@alumni.caltech.edu>. The operator runs a process on
  1059.   a machine that anonymizes mail sent to him with certain
  1060.   characteristics that distinguish it from his regular incoming mail
  1061.   (typically fields in the header). One has been implemented as a 
  1062.   PERL script running on UNIX.  Several of these are in existence
  1063.   currently but sites and software currently are highly unstable;
  1064.   they may be in operation outside of system administrator knowledge.
  1065.   The remailers don't generally support anonymous return addresses. 
  1066.   Mail that is incorrectly addressed is received by the operator. 
  1067.   Generally the user of the remailer has to disavow any
  1068.   responsibility for the messages forwarded through his system,
  1069.   although actually may be held liable regardless.
  1070.  
  1071.   These approaches have several serious disadvantages and weaknesses:
  1072.   
  1073.   - The anonymous server approach requires maintaining a mapping of
  1074.     anonymous ID's to real addresses that must be maintained
  1075.     indefinitely.  One alternative is to allow `deallocation' of
  1076.     aliases at the request of the user, but this has not been
  1077.     implemented yet.
  1078.  
  1079.   - Although an unlikely scenario, traffic to any of these sites could
  1080.     conceivably be monitored from the `outside', necessitating the
  1081.     use of cryptography for basic protection,.
  1082.  
  1083.   - Local administrators can shut them down either out of caprice or
  1084.     under pressure from local, network, or government agencies.
  1085.   
  1086.   - Unscrupulous providers of the services can monitor the traffic
  1087.     that goes through them.
  1088.  
  1089.   - Most remailers currently keep logs that may be inspected. 
  1090.  
  1091.   - The cypherpunk approach tends to be highly unstable because these
  1092.     operators are basically  network users who do not own the
  1093.     equipment and are accountable  to their own system
  1094.     administrators, who may be unaware of the use and unsympathetic
  1095.     to the philosophy of anonymity when the operation is discovered,
  1096.     regarding it as illicit use. 
  1097.  
  1098.   - In all cases, a high degree of trust is placed in the anonymous
  1099.     server operator by the user.
  1100.  
  1101.   Currently the most direct route to anonymity involves using SMTP
  1102.   protocols to submit a message directly to a server with arbitrary
  1103.   field information.  This practice, not uncommon to hackers, and the
  1104.   approach used by remailers, is generally viewed with hostility by
  1105.   most system administrators.  Information in the header routing data
  1106.   and logs of network port connection information may be retained
  1107.   that can be used to track the originating site.  In practice, this
  1108.   is generally infeasible and rarely carried out.  Some
  1109.   administrators on the network will contact local administrators to
  1110.   request a message be tracked and its writer admonished or punished
  1111.   more severely (such as revoking the account), all of this actually
  1112.   happening occasionally but infrequently.
  1113.  
  1114.   See the sections ``known anonymous mail and posting sites'' and 
  1115.   ``responsibilities associated with anonymity''.
  1116.  
  1117. _____
  1118. <3.5> What is `anonymous posting'?
  1119.  
  1120.   Anonymous servers have been established as well for anonymous Usenet
  1121.   posting with all the associated caveats above (monitored traffic,
  1122.   capricious or risky local circumstances, logging).  Make sure to
  1123.   test the system at least once by e.g. anonymous posting to
  1124.   misc.test (however some operators don't recommend this because many
  1125.   sites `autorespond' to test messages, possibly causing the
  1126.   anonymous server to allocate anonymous IDs for those machines). 
  1127.   See the ``responsibilties associated with anonymous posting''
  1128.   before proceeding.
  1129.  
  1130.   Another direct route involves using NNTP protocols to submit a
  1131.   message directly to a newserver with arbitrary field information.
  1132.   This practice, not uncommon to hackers, is also generally viewed
  1133.   with hostility by most system administrators, and similar
  1134.   consequences can ensue.
  1135.  
  1136.   See the sections ``known anonymous mail and posting sites'' and 
  1137.   ``responsibilities associated with anonymity''.
  1138.  
  1139. _____
  1140. <3.6> Why is anonymity (un)stable on the internet?
  1141.  
  1142.   As noted, many factors compromise the anonymity currently available
  1143.   to the general internet community, and these services should be
  1144.   used with great caution.  To summarize, the technology is in its
  1145.   infancy and current approaches are unrefined, unreliable, and not
  1146.   completely trustworthy.  No standards have been established and
  1147.   troubling situations of loss of anonymity and bugs in the software
  1148.   are prevalent.  Here are some encountered and potential bugs: 
  1149.   
  1150.   - One  anonymous remailer reallocated already allocated anonymous
  1151.     return addresses. 
  1152.   - Others passed signature information embedded in messages
  1153.     unaltered. 
  1154.   - Address resolution problems resulting in anonymized mail bounced
  1155.     to a remailer are common.
  1156.   - Forgeries to the anonymous server itself are a problem,  possibly
  1157.     allowing unauthorized users to potentially glean anon ID - email
  1158.     address  mappings in the alias file.  This can be remedied with
  1159.     the use of passwords.
  1160.   - Infinite mail loops are possible with chaining remailers.
  1161.   
  1162.   Source code is being distributed, tested, and refined for these
  1163.   systems, but standards are progressing slowly and weakly.  The
  1164.   field is not likely to improve considerably without  official
  1165.   endorsement and action by network agencies.  The whole idea is
  1166.   essentially still in its infancy and viewed with suspicion and
  1167.   distrust by many on the internet, seen as illegitimate or favorable
  1168.   to criminality.  The major objection to anonymity over regular
  1169.   internet use  is the perceived lack of accountability to system
  1170.   operators, i.e. invulnerability to account restrictions resulting
  1171.   from outside complaints.  System adminstrators at some sites have
  1172.   threatened to filter anonymous news postings generated by the
  1173.   prominent servers from their redistribution flows.  This may only
  1174.   have the effect of encouraging server operators to create less
  1175.   characteristically detectable headers.  Probably the least
  1176.   problematic approach, and the most traditional to Usenet, is for
  1177.   individual users to deal with anonymous mail however they prefer,
  1178.   e.g. ignoring it or filtering it with kill files.
  1179.   
  1180. _____
  1181. <3.7> What is the future of anonymity on the internet?
  1182.  
  1183.   New anonymous protocols effectively serve to significantly increase
  1184.   safeguards of anonymity.  For example, the same mechanism that
  1185.   routes email over multiple hosts, thereby threatening its privacy,
  1186.   can also be used to guarantee it. In a scheme called `chaining' an
  1187.   anonymous message is passed through multiple anonymous servers
  1188.   before reaching a destination.  In this way generally multiple
  1189.   links of the chain have to be `broken' for security to be
  1190.   compromised. Re-encryption at each link makes this scenario even
  1191.   more unlikely.  Even more significantly the anonymous remailers
  1192.   could be spread over the internet globally so that local weaknesses
  1193.   (such as corrupt governments or legal wiretapping within a nation)
  1194.   would be more unlikely to sacrifice overall security by message
  1195.   tracing. However, remailers run by corrupt operators are possible.
  1196.   
  1197.   The future of anonymous services on the internet is, at this time,
  1198.   highly uncertain and fraught with peril. While specific groups seem
  1199.   to benefit significantly from anonymous posting capabilities, many
  1200.   feel that unlimited newsgroup scope for anonymous posting is a
  1201.   disruptive and dangerous idea and detracts from discussions in
  1202.   `serious' groups.   The introduction of unlimited group anonymity
  1203.   may have fundamental repercussions on Usenet conventions and
  1204.   distribution mechanisms such as moderated and `alt' groups have had
  1205.   in the past. For example, as part of new group creation, the
  1206.   charter may specify whether `anonymous' posting is (un)welcome. 
  1207.  
  1208.   Nevertheless, the widespread introduction and use of anonymity may
  1209.   be inevitable. Based on traffic statistics, anonymous services are
  1210.   in huge demand. Pervasive and readily available anonymity could
  1211.   carry significant and unforeseen social consequences.  However, if
  1212.   its use is continued to be generally regarded as subversive it may
  1213.   be confined to the underground.  The ramifications of the
  1214.   widespread introduction of anonymity to Usenet are still largely
  1215.   unknown. It is unclear whether it will provoke signficant amounts
  1216.   of new traffic or, instead of expansion, cause a shift where a
  1217.   greater portion of existing traffic is anonymized.  Conceivably the
  1218.   services could play a role in influencing future mainstream social
  1219.   acceptance of Usenet.
  1220.  
  1221.  
  1222. * * *
  1223.  
  1224. This is Part 1 of the Privacy & Anonymity FAQ, obtained via anonymous
  1225.   FTP to pit-manager@mit.edu:/pub/usenet/news.answers/net-privacy/ or 
  1226.   newsgroups news.answers, sci.answers, alt.answers every 21 days.
  1227. Written by L. Detweiler <ld231782@longs.lance.colostate.edu>.
  1228. All rights reserved.
  1229.  
  1230.