home *** CD-ROM | disk | FTP | other *** search

---

/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / privacy / p01_026.txt

< prev

next >

Wrap

Text File  |  1996-09-03  |  11KB  |  289 lines

---

1. PRIVACY Forum Digest     Friday, 20 November 1992     Volume 01 : Issue 26
2.  
3.          Moderated by Lauren Weinstein (lauren@cv.vortex.com)
4.                 Vortex Technology, Topanga, CA, U.S.A.
5.     
6.                      ===== PRIVACY FORUM =====
7.  
8.          The PRIVACY Forum digest is supported in part by the 
9.           ACM Committee on Computers and Public Policy.
10.  
11.  
12. CONTENTS
13.     Re: Wire Taps, Key Management, and Privacy (Dorothy Denning)
14.     SURVEY RESULTS: Is Big Brother Watching You? (Lorrayne Schaefer)
15.  
16.  
17.  *** Please include a RELEVANT "Subject:" line on all submissions! ***
18.             *** Submissions without them may be ignored! ***
19.  
20. -----------------------------------------------------------------------------
21. The PRIVACY Forum is a moderated digest for the discussion and analysis of
22. issues relating to the general topic of privacy (both personal and
23. collective) in the "information age" of the 1990's and beyond.  The
24. moderator will choose submissions for inclusion based on their relevance and
25. content.  Submissions will not be routinely acknowledged.
26.  
27. ALL submissions should be addressed to "privacy@cv.vortex.com" and must have
28. RELEVANT "Subject:" lines.  Submissions without appropriate and relevant
29. "Subject:" lines may be ignored.  Subscriptions are by an automatic
30. "listserv" system; for subscription information, please send a message
31. consisting of the word "help" (quotes not included) in the BODY of a message
32. to: "privacy-request@cv.vortex.com".  Mailing list problems should be
33. reported to "list-maint@cv.vortex.com".  All submissions included in this
34. digest represent the views of the individual authors and all submissions
35. will be considered to be distributable without limitations. 
36.  
37. The PRIVACY Forum archive, including all issues of the digest and all
38. related materials, is available via anonymous FTP from site "cv.vortex.com",
39. in the "/privacy" directory.  Use the FTP login "ftp" or "anonymous", and
40. enter your e-mail address as the password.  The typical "README" and "INDEX"
41. files are available to guide you through the files available for FTP
42. access.  PRIVACY Forum materials may also be obtained automatically via
43. e-mail through the listserv system.  Please follow the instructions above
44. for getting the listserv "help" information, which includes details
45. regarding the "index" and "get" listserv commands, which are used to access
46. the PRIVACY Forum archive.
47.  
48. For information regarding the availability of this digest via FAX, please
49. send an inquiry to privacy-fax@cv.vortex.com, call (310) 455-9300, or FAX
50. to (310) 455-2364.
51. -----------------------------------------------------------------------------
52.  
53. VOLUME 01, ISSUE 26
54.  
55.    Quote for the day:
56.  
57.     Psychiatrist: "Tell me Harold, what do you do for fun?
58.                   What activity gives you a different sense of 
59.                enjoyment from the others?
60.                What do you find fulfilling?
61.                What gives you that special satisfaction?"
62.  
63.     Harold:           "I go to funerals."
64.         
65.                     -- G. Wood and Bud Cort
66.                        "Harold and Maude" (1972)
67.            
68. ----------------------------------------------------------------------
69.  
70. Date:    Thu, 19 Nov 92 17:57:01 EST
71. From:    denning@cs.georgetown.edu (Dorothy Denning )
72. Subject: Re: Wire Taps, Key Management, and Privacy
73.  
74. In PRIVACY Forum Digest V01 #25, Brinton Cooper writes:
75.  
76.   In RISKS DIGEST 13.87, Dorothy Denning .. spoke of the high costs of lawful
77.   surveillance and asserted, "Much of this is related to organized crime,"
78.   perhaps a scare tactic?
79.  
80. Actually the majority of taps goes to narcotics investigations. After
81. that comes racketeering and gambling.  According to the FBI, the
82. hierarchy of Organized Crime has been neutralized or destabilized
83. through the use of electronic surveillance, and thirty odd years of
84. successes would be reversed if the ability to conduct court-authorized
85. electronic surveillance was lost.  I believe this represents an honest
86. assessment of what they see would happen. 
87.  
88.    Her solution involves nongovernmental "key centers" which,
89.    presumably, would not give out keys to anyone without a properly
90.    executed court order.
91.  
92. By way of context, I'm looking for a way to balance our national
93. interests for privacy and security with those for effective law
94. enforcement.  This is one idea I proposed.  I am not pushing it as "the
95. solution".  In any case, the idea was for users to register their keys
96. with a trustee (key center).  Or, using a technique invented by Silvio
97. Micali, you could split your key into parts and register each part with
98. a different trustee.  Law enforcement would have to take a court order
99. to each trustee in order to get the pieces and reconstruct the key.
100.  
101.    She cites that the "...phone companies are so fussy about court
102.    orders that they send them back if the semicolons aren't right...,"
103.    apparently believing that the rights of the citizens are thereby
104.    protected.  For the following reasons, this is a politically naive
105.    position.
106.  
107.    1. It provides that our right to protection from illegal governmental
108.    search and seizure and/or illegal eavesdropping rests on the good will
109.    and integrity of a phone company!
110.  
111. Your statement does not follow from what I said.  I said the phone
112. companies are fussy.  I know of no cases where the phone companies
113. assisted with unauthorized taps.  If you do, please cite.  They could
114. go out of business if they didn't respect the rights of their
115. customers.  Even so, your right to protection does not rest entirely on
116. the phone company.  Title 18 makes tapping without a court order
117. illegal.
118.  
119. Crypto will make it much more difficult for anyone to tap illegally. If
120. the keys are registered with a trustee other than the phone company, someone
121. would have to subvert both the trustee and the phone company (to get the
122. bits).
123.  
124.    3. Court orders, search warrants, and the like protect citizens only
125.    when the information or evidence gathered is to be used in court against
126.    a suspect.  If information is being gathered for political purposes,
127.    blackmail, or other subversion of law (Watergate, Iran-Contra, the
128.    Italian bank scandal, etc), the purloined information will never see a
129.    public forum but can still do great harm to innocent persons.  Thus, the
130.    constraints of court orders are obviated.
131.  
132. I expect that most of this information is not being obtained by wiretapping.
133. It is popular to suggest it is and difficult to refute.  If someone
134. in law enforcement is found to be tapping without a court order, they
135. could be convicted of violating Title 18.  
136.  
137. But in any case, it will be very difficult for LE to intercept without a
138. court order with the new digital technologies and crypto.
139.  
140.   The FBI needs to fund its own R&D from its own budget, just as the
141.   rest of the government at all levels must do.  There is talent that can
142.   "red team" modern telecommunications and find trapdoors when necessary.
143.  
144. Are you suggesting that it would be better for the FBI to break the
145. cryptosystems than go through a trustee with a court order?
146.  
147. Dorothy Denning 
148.  
149. ------------------------------
150.  
151. Date:    Fri, 13 Nov 92 09:16:56 EST
152. From:    lorrayne@smiley.mitre.org
153. Subject: SURVEY RESULTS:  Is Big Brother Watching You?
154.  
155.    [ These results refer to a survey originally seen here in the 
156.      PRIVACY Forum on Monday, 6 July 1992 (Volume 01 : Issue 07).
157.      The survey size was reported as 100 people.  The original
158.      survey introduction is included below. -- MODERATOR ]
159.  
160. ---
161.  
162. The purpose of this survey is to collect data for a presentation that I
163. will give at this year's National Computer Security Conference in October.
164. I would like to thank you for taking the time to fill out this survey.  If
165. you have any questions, you can call me at 703-883-5301 or send me email at
166. lorrayne@smiley.mitre.org.  Please send your completed survey to:
167.  
168. Lorrayne Schaefer
169. The MITRE Corporation
170. M/S Z213
171. 7525 Colshire Drive
172. McLean, VA 22102
173.  
174. 1.    What is your title?
175.  
176. Engineer        31%        Manager            14%
177. Computer Scientist    25%        Systems Administrator    10%
178. Administrator        4%        Student            10%
179. Not Provided        2%        Professor        3%
180. Author            1%
181.  
182.  
183. 2.    What type of work does your organization do?
184.  
185. Education        24%        Software Development    19%
186. Hardware Development    15%        Research        11%
187. Not Provided        6%        Other            8%
188. Government        6%        System Administration    2%
189. Telephone        5%        System Development    2%
190. Network Development    2%
191.  
192. 3.    Does your organization currently monitor computer activity?  (Yes/No)
193.  
194. Yes            67%
195. No            32%
196. Unknown            1%
197.  
198. If yes, what type of monitoring does your company do (e.g., electronic
199. mail, bulletin boards, telephone, system activity, network activity)?
200.  
201. All            16%        System Activity            17%
202. Bulletin Boards        4%        Network Activity & Other    12%
203. Other            3%        Telephone Usage            7%
204. E-mail            2%        System & Network Activity    5%
205. Unknown            1%        N/A                1%
206.  
207. 4.    If you are considering (or are currently) using a monitoring tool,
208.     what exactly would you monitor?  How would you protect this 
209.     information?
210.  
211. System Usage        17%        N/A                43%
212. Accounting        5%        Nothing                11%
213. Everything        4%        Network Traffic            10%
214. Don't Know        3%        Other                2%
215. Bulletin Board        1%        Security            3%
216. E-mail            1%
217.  
218. 5.    Are you for or against monitoring?  Why/why not?  Think in terms of
219.     whether it is ethical or unethical ("ethical" meaning that it is
220.     right and "unethical" meaning it is wrong) for an employer to
221.     monitor an employee's computer usage.  In your response, consider
222.     that the employee is allowed by the company to use the computer and
223.     the company currently monitors computer activity.
224.  
225. Against            52%
226. For            47%
227. N/A            1%
228.  
229. 6.    If your company monitors employees, is it clearly defined in your
230.     company policy?
231.  
232. N/A            35%
233. No            34%
234. Yes            31%
235.  
236. 7.    In your opinion, does the employee have rights in terms of being
237.     monitored?
238.  
239. Yes            90%
240. No            8%
241. Don't Know        2%
242.  
243. 8.    In your opinion, does the company have rights to protect its as
244.     sets by using a form of monitoring tool?
245.  
246. Yes            91%
247. No            6%
248. Don't Know        3%
249.  
250. 9.    If you are being monitored, do you take offense?  Managers: How do
251.     you handle situations in which the employee takes offense at being
252.     monitored?
253.  
254. No            42%
255. Yes            36%
256. N/A            22%
257.  
258. 10.     What measures does your company use to prevent misuse of monitoring in
259.         the workplace?
260.  
261. None            36%        Don't Know        17%
262. N/A            22%        Policy            6%
263. Control of Information    4%        Security        6%
264. Honor System        4%        Warnings        3%
265. Other            2%
266.  
267. 11.    If an employee is caught abusing the monitoring tool, what would
268.     happen to that individual?  If your company is not using any form of
269.     monitoring, what do you think should happen to an individual who
270.     abused the tool?
271.  
272. Reprimand        64%        Don't Know        17%
273. N/A            10%        Termination        5%
274. Nothing            4%
275.  
276. 12.    Is it unethical to monitor electronic mail to determine if the
277.     employee is not abusing this company resource (e.g., suppose the
278.     employee sends personal notes via a network to others that are not
279.     work related)?  Why or why not?
280.  
281. No            49%
282. Yes            49%
283. N/A            2%
284.  
285. ------------------------------
286.  
287. End of PRIVACY Forum Digest 01.26
288. ************************
289.