home *** CD-ROM | disk | FTP | other *** search

---

/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / privacy / p01_004.txt

< prev

next >

Wrap

Text File  |  1996-09-03  |  13KB  |  274 lines

---

1. PRIVACY Forum Digest        Friday 12 June 1992        Volume 01 : Issue 04
2.  
3.          Moderated by Lauren Weinstein (lauren@cv.vortex.com)
4.                 Vortex Technology, Topanga, CA, U.S.A.
5.         
6.                      ===== PRIVACY FORUM =====
7.  
8. CONTENTS
9.         PRIVACY Briefs (Moderator--Lauren Weinstein)
10.         Re: Encryption to make government monitoring more expensive
11.             (Jerry Leichter)
12.         Re: FBI Wiretap Proposal (Mark D. Rasch)
13.         Privacy Act Information (Mark D. Rasch)
14.         Random Encryption (John R. Levine)
15.         Bank Account Security (John R. Levine)
16.  
17. *** Please include a MEANINGFUL "Subject:" line on all submissions! ***
18.  
19. ----------------------------------------------------------------------------
20. -The PRIVACY Forum is a moderated digest for the discussion and analysis of
21. issues relating to the general topic of privacy (both personal and
22. collective) in the "information age" of the 1990's and beyond.  The
23. moderator will choose submissions for inclusion based on their relevance and
24. content.  Submissions will not be routinely acknowledged.
25.  
26. ALL submissions should be addressed to "privacy@cv.vortex.com" and must have
27. MEANINGFUL "Subject:" lines.  Subscriptions are by an automatic "listserv"
28. system; for subscription information, please send a message consisting of
29. the word "help" (quotes not included) in the BODY of a message to:
30. "privacy-request@cv.vortex.com".  Mailing list problems should be reported
31. to "list-maint@cv.vortex.com".  Mechanisms for obtaining back issues will be
32. announced when available.  All submissions included in this digest represent
33. the views of the individual authors and all submissions will be considered
34. to be distributable without limitations. 
35.  
36. For information regarding the availability of this digest via FAX, please
37. send an inquiry to privacy-fax@cv.vortex.com, call (310) 455-9300, or FAX
38. to (310) 455-2364.
39. ----------------------------------------------------------------------------
40. -
41. VOLUME 01, ISSUE 04
42.  
43.     Quote for the day:
44.  
45.         "Pay no attention to that man behind the curtain!"
46.         
47.                                 -- The Wizard
48.                               "The Wizard of Oz" (1939)
49.  
50. ----------------------------------------------------------------------
51.  
52. PRIVACY Briefs (from the Moderator)
53.  
54. ---
55.  
56. At the recent Cryptography and Privacy Conference sponsored by CPSR
57. (Computer Professionals for Social Responsibility), the possibility was
58. raised by the NYNEX Legislative Counsel that the proposed FBI "wiretapping"
59. legislation might force telephone companies to withdraw such services as
60. "call forwarding", which can be viewed as impeding authorized wiretaps.  The
61. FBI feels that such service withdrawals should be unnecessary.
62.  
63. ---
64.  
65. Privacy advocates in Vermont are concerned that their new, tough law
66. controlling abuses of credit records may be rendered ineffective by weaker,
67. pending federal legislation that could preempt state laws.
68.  
69. ---
70.  
71. In South Africa, protests are beginning over a new draft law for internal
72. security that would permit security forces to tap telephones or open mail
73. whenever they suspect a "serious crime" has been committed.  This would be a
74. change from current law which allows such activities only when "state
75. security" is threatened.
76.  
77. ---
78.  
79. A variety of sources now indicate that the California PUC is about to hand
80. down its decision (perhaps in the next week or two) regarding Calling Number
81. ID services within the state.  Bets are that the services will be approved,
82. but that some form of optional per-line ID blocking may well be required to
83. be available (but whether or not such blocking will have a "premium" price
84. is another matter).  Free per-call ID blocking has already been mandated by
85. the state legislature.  Telephone companies in the state have previously
86. been quoted as saying that it might not even be worthwhile to offer
87. Calling Number ID if per-line blocking were allowed.  This has generally
88. been considered to be a bluff by most observers.
89.  
90. ---
91.  
92. The 6-month old "Computer Ethics Institute" has drawn up what
93. it calls the "Ten Commandments of Computer Ethics."  It says it
94. is circulating these for comment within the computer industry.
95. These include:
96.    I.  Thou shalt not use a computer to harm other people.
97.   II.  Thou shalt not interfere with other people's computer work.
98.  III.  Thou shalt not snoop around in other people's computer files.
99.   IV.  Thou shalt not use a computer to steal.
100.    V.  Thou shalt not use a computer to bear false witness.
101.  
102. ... and so on.    
103.  
104. Charlton Heston has been unavailable for comment.
105.  
106. ------------------------------
107.  
108. Date:    Sun, 07 Jun 92 22:23:07 PDT
109. >From:    JERRY LEICHTER <leichter@lrw.com>
110. Subject: re: Encryption to make government monitoring more expensive
111.  
112. In a recent Privacy Digest, Bob Leone suggests that "there's a lot to be
113. said
114. in favor of widespread use of even easily-broken encryption schemes".
115. Specifically, "if the majority of e-mail traffic is routinely encrypted ...
116. then it becomes much more expensive for the govt to engage in random
117. snooping."
118.  
119. This is a new version of the stupid "NSA cookies" that people used to use:
120. Signature lines with what they thought were key words the NSA computers
121. would
122. look for.  I guess people got bored with those; I haven't seen any in a
123. while.
124.  
125. Mr. Leone seems to believe that the world consists of "us" and "them".
126.  "They"
127. are out to get "us".  OK, great conspiracy theory.  However, he seems to
128. forget that WE are the ones who pay THEIR bills.  If government sees the
129. monitoring of Internet communications as important enough, it will happen -
130. and taxes will rise to pay for it.
131.  
132. We've got to get beyond the idea that privacy can be gained only by locking
133. the government out.  The fact of the matter is that most people have nothing
134. to fear from the government when it comes to invasion of privacy - but they
135. have a great deal to fear from various private agencies, like mass marketers
136. to their neighbors.  It's only an accountable, responsible government that
137. can protect them (us) from such abuses.
138.                                                         -- Jerry
139.  
140. ------------------------------
141.  
142. Date:    Tue, 09 Jun 92 11:50:00 PDT
143. >From:    Rasch@DOCKMASTER.NCSC.MIL
144. Subject: FBI Wiretap Proposal
145.  
146. Once it becomes technologically feasible for the FBI to engage in
147. the wiretaps, it doesn't matter whether it is "difficult" or
148. "trivial" to perform them.  Ultimately, once the technological
149. barriers are removed, the only effective limitations illegal
150. wiretaps are the threat of effective sanctions.  This points out
151. the distinction between the POWER to do wiretaps (which the
152. legislation addresses) and the AUTHORITY to do them (which is
153. addressed in other legislation). Of course, a further issue is
154. the COST of the technology employed.
155.  
156. Before the advent of digital telephone communications, and after
157. the passage of Title III (the federal wiretap law), I'm not sure
158. that there was a *significant* problem with the FBI engaging in
159. illegal electronic surveillance.  There hasn't been a lot of
160. litigation about this.  However, once you are willing to
161. recognize that, in appropriate (read court authorized)
162. circumstances law enforcement are permitted to engage in
163. electronic surveillance, you ultimately put your trust in the
164. government that they won't abuse this power.  This trust may
165. prove to be misguided at some point, and the issue may need to be
166. redressed at that juncture.
167.  
168. A more vexing problem is that of other unauthorized wiretaps. 
169. Once you make it technologically possible to engage in electronic
170. surveillance by software, you practically invite phrackers to
171. abuse the system.  Already we have seen instances of individuals
172. breaking into telephone systems to reroute or retrieve telephone
173. calls.  (e.g. Poulsen, Mitnick, Doucette). 
174.  
175. Meanwhile, market forces are encouraging companies to place a
176. greater premium on computer and telecommunications security.  By
177. imposing liability on companies for inadequate security, the law
178. forces companies to seek out new encryption technologies, which
179. ultimately will frustrate some of the purposes of the proposed
180. FBI legislation.  While the more advanced criminals will use this
181. encryption technology (it is already available in the STU -III
182. encrypted telephones) the vast majority will simply use the
183. telephones as they are. 
184.  
185. All in all, the FBI proposal simply attempts to preserve the
186. technological status quo.  If you are concerned about illegal
187. activity by the government, the redress is not in technology, but
188. in other restraints against government.  (Would you deny all
189. police officers guns or nightsticks because they may abuse them?)
190.  
191. Mark D. Rasch
192. Arent Fox Kintner Plotkin & Kahn
193. 1050 Connecticut Avenue, N.W.
194. Washington, D.C. 20530
195. (202) 857-6154
196. Rasch@dockmaster.ncsc.mil
197.  
198.    [ Moderator's Note: I see no reason why *both* technological constraints
199.      *and* "other restraints" should not be applied in such delicate
200.      situations.  Even though there are laws against theft we still put
201.      locks on our doors.  Most people do this not because they assume that
202.      everyone is dishonest, nor on the (false) assumption that locks
203.      represent 100% security.  Rather, locks present an additional
204.      layer of protection that can have positive effects in many routine
205.      situations.  The same rationale would seem to apply to the
206.      issue under discussion.  --Lauren-- ]
207.  
208. ------------------------------
209.  
210. Date:    Tue, 09 Jun 92 22:02:00 PDT
211. >From:    Rasch@DOCKMASTER.NCSC.MIL
212. Subject: Privacy Act Information
213.  
214. I just got this interesting tidbit of information.  A friend of mine is
215. a physician who ordered medication from Eli Lilly corporation for a
216. patient of hers.  This was done under a special program whereby indigent
217. patients can receive free medication.  The doctor filled out all the
218. forms properly, but refused to put her own (not the patient's) social
219. security information on the form.  When the patient failed to get the
220. prescription for over a month, the doctor called to inquire why.  She was
221. told that the patient would not receive the medication unless and until
222. the DOCTOR provided the DOCTOR's SSN.  This was for internal
223. recordkeeping (e.g. marketing) purposes.
224.  
225. I believe that this is illegal, but am not sure.  Any thoughts?
226.  
227. Mark D. Rasch
228.  
229. ------------------------------
230.  
231. Date:    Wed, 10 Jun 92 12:52:03 PDT
232. >From:    johnl@iecc.cambridge.ma.us (John R. Levine)
233. Subject: random encryption
234.  
235. >Of course the entire question is academic since generating masses of random
236. >digits is one thing that computers are *really*good*at* ...
237.  
238. Actually, computers are really lousy at generating random digits unless
239. they're malfunctioning.  The pseudo-random numbers with which we are all
240. familiar are in fact 100% deterministic.  A credible urban legend reports
241. that one time some benighted PDP-11 Unix system administrator wrote a
242. program to generate "random" passwords and assigned them to all of his
243. users.  Unfortunately, the PDP-11's random number generator only had a 16
244. bit seed meaning that there were only 64K possible passwords, so it was
245. easy to break them all by exhaustive search.
246.  
247. Secure encrypted communication is expensive, and we need to figure out how
248. much we're willing to spend on it.  There are also social issues to
249. consider, e.g. messages sent through MCI Mail are considerably more secure
250. than those sent through the Internet because they use a small homogeneous
251. set of machines none of which are administered by college undergraduates.
252.  
253. ------------------------------
254.  
255. Date:    Wed, 10 Jun 92 12:52:03 PDT
256. >From:    johnl@iecc.cambridge.ma.us (John R. Levine)
257. Subject: bank account security
258.  
259. On the topic of bank account security, some banks are more with it than
260. others.  My bank has a nice touch-tone account information system.  The
261. user ID is your ATM card number, which is unrelated to any account number.
262. After you enter the card number (actually, just the last 8 digits since
263. the leading digits are the same for all of its cards) the computer voice
264. randomly asks you to enter one of the digits of your PIN, e.g. "now, enter
265. the, third, digit of your PIN."  This scheme seems to me fairly secure
266. without being overbearing.  I seem to be the only customer who ever uses
267. it because they've never advertised it.
268.  
269. ------------------------------
270.  
271. End of PRIVACY Forum Digest 01.04
272. ************************
273.  
274.