home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / privacy / p01_027.txt < prev    next >
Text File  |  1996-09-03  |  16KB  |  311 lines
  1. PRIVACY Forum Digest     Tuesday, 8 December 1992     Volume 01 : Issue 27
  2.  
  3.          Moderated by Lauren Weinstein (lauren@cv.vortex.com)
  4.                 Vortex Technology, Topanga, CA, U.S.A.
  5.     
  6.                      ===== PRIVACY FORUM =====
  7.  
  8.          The PRIVACY Forum digest is supported in part by the 
  9.           ACM Committee on Computers and Public Policy.
  10.  
  11.  
  12. CONTENTS
  13.     PRIVACY Brief (Lauren Weinstein; PRIVACY Forum Moderator)
  14.     Reminder: Privacy is YOU! (Lauren Weinstein; PRIVACY Forum Moderator)
  15.     DOJ Authorizes Keystroke Monitoring (Dave Banisar)
  16.     Errors in Large Databases and their Social Implications
  17.            (Bob Anderson)
  18.  
  19.  
  20.  *** Please include a RELEVANT "Subject:" line on all submissions! ***
  21.             *** Submissions without them may be ignored! ***
  22.  
  23. -----------------------------------------------------------------------------
  24. The PRIVACY Forum is a moderated digest for the discussion and analysis of
  25. issues relating to the general topic of privacy (both personal and
  26. collective) in the "information age" of the 1990's and beyond.  The
  27. moderator will choose submissions for inclusion based on their relevance and
  28. content.  Submissions will not be routinely acknowledged.
  29.  
  30. ALL submissions should be addressed to "privacy@cv.vortex.com" and must have
  31. RELEVANT "Subject:" lines.  Submissions without appropriate and relevant
  32. "Subject:" lines may be ignored.  Subscriptions are by an automatic
  33. "listserv" system; for subscription information, please send a message
  34. consisting of the word "help" (quotes not included) in the BODY of a message
  35. to: "privacy-request@cv.vortex.com".  Mailing list problems should be
  36. reported to "list-maint@cv.vortex.com".  All submissions included in this
  37. digest represent the views of the individual authors and all submissions
  38. will be considered to be distributable without limitations. 
  39.  
  40. The PRIVACY Forum archive, including all issues of the digest and all
  41. related materials, is available via anonymous FTP from site "cv.vortex.com",
  42. in the "/privacy" directory.  Use the FTP login "ftp" or "anonymous", and
  43. enter your e-mail address as the password.  The typical "README" and "INDEX"
  44. files are available to guide you through the files available for FTP
  45. access.  PRIVACY Forum materials may also be obtained automatically via
  46. e-mail through the listserv system.  Please follow the instructions above
  47. for getting the listserv "help" information, which includes details
  48. regarding the "index" and "get" listserv commands, which are used to access
  49. the PRIVACY Forum archive.
  50.  
  51. For information regarding the availability of this digest via FAX, please
  52. send an inquiry to privacy-fax@cv.vortex.com, call (310) 455-9300, or FAX
  53. to (310) 455-2364.
  54. -----------------------------------------------------------------------------
  55.  
  56. VOLUME 01, ISSUE 27
  57.  
  58.    Quote for the day:
  59.  
  60.     "Never trust a rich spy!"
  61.  
  62.         -- Vesper Lynd "007" (Ursula Andress)
  63.            "Casino Royale" (1967)
  64.            
  65. ----------------------------------------------------------------------
  66.  
  67. PRIVACY Brief (from the Moderator)
  68.  
  69. ---
  70.  
  71. In a unanimous decision today, the Supreme Court ruled that the U.S.
  72. Constitution's protection against unreasonable police searches and seizures
  73. can apply to the taking of property, even when the owner's specific privacy
  74. rights were not violated.
  75.  
  76. The decision reinstated a civil rights lawsuit that had been brought by an
  77. Elk Grove, Illinois family after their mobile home was hauled away from a
  78. trailer park (by trailer park employees accompanied by Cook County
  79. sheriff's deputies) before the required eviction notice had been obtained.
  80.  
  81. Lower courts had ruled that since the trailer had not been searched prior to
  82. removal, the deputies had not interfered with either the privacy rights
  83. or liberties of the family, saying that "a pure deprivation of property"
  84. doesn't trigger the Fourth Amendment's unreasonable seizures provisions.
  85.  
  86. "As a result of the state action in this case, the Soldals' domicile was not
  87. only seized, it literally was carried away, giving new meaning to the term
  88. `mobile home,"' Justice Byron R. White wrote for the Supreme Court.
  89.  
  90. The Supreme Court decision leaves it to a federal trial judge to make
  91. further rulings on the merits of the reinstated suit itself.
  92.  
  93. ------------------------------
  94.  
  95. Date:     Mon, 7 Dec 92 21:10 PST
  96. From:    lauren@cv.vortex.com (Lauren Weinstein; PRIVACY Forum Moderator)
  97. Subject: Reminder: Privacy is YOU!
  98.  
  99. Greetings.  The PRIVACY Forum digest readership has been growing by leaps
  100. and bounds lately, and now includes subscribers in nearly every corner of
  101. the planet (and judging from the complexity of some e-mail addresses,
  102. possibly on some other planets as well...)
  103.  
  104. However, *input* to the digest has been running quite slow--apparently
  105. everyone wants to be a reader, but few want to actually submit items.
  106.  
  107. This is a gentle reminder that *you* make the digest by what you
  108. contribute.  Don't feel that a submission must be of a grammatic quality to
  109. get an "A" from your old "English 1" professor!  Nor must it be a stylistic
  110. gem that will call down praises from the ether.  If it's thoughtful, edited
  111. properly, and appropriate for presentation to a very large audience of
  112. persons interested in privacy-related topics, it has a high probability
  113. of appearing in the digest.  Questions, concerns, personal anecdotes--
  114. any of these formats, and many more, can form the basis of an excellent
  115. digest submission.
  116.  
  117. The digest really is YOU.
  118.  
  119. --Lauren--
  120.  
  121. ------------------------------
  122.  
  123. Date:    Mon,  7 Dec 1992 22:48:06 +0000
  124. From:    Dave Banisar <banisar@washofc.cpsr.org>
  125. Subject: DOJ Authorizes Keystroke Monitoring
  126.  
  127.  CA-92:19                         CERT Advisory
  128.                                  December 7, 1992
  129.                              Keystroke Logging Banner
  130.  
  131.  -----------------------------------------------------------------
  132.  
  133.  The CERT Coordination Center has received information from the United States
  134.  Department of Justice, General Litigation and Legal Advice Section, Criminal
  135.  Division, regarding keystroke monitoring by computer systems administrators,
  136.  as a method of protecting computer systems from unauthorized access.
  137.  
  138.  The information that follows is based on the Justice Department's advice
  139.  to all federal agencies.  CERT strongly suggests adding a notice banner
  140.  such as the one included below to all systems.  Sites not covered by U.S.
  141.  law should consult their legal counsel.
  142.  
  143.  ------------------------------------------------------------------
  144.  
  145.      The legality of such monitoring is governed by 18 U.S.C. section 2510
  146.      et seq.  That statute was last amended in 1986, years before the words
  147.      "virus" and "worm" became part of our everyday vocabulary.  Therefore,
  148.      not surprisingly, the statute does not directly address the propriety
  149.      of keystroke monitoring by system administrators.
  150.  
  151.      Attorneys for the Department have engaged in a review of the statute
  152.      and its legislative history.  We believe that such keystroke monitoring
  153.      of intruders may be defensible under the statute.  However, the statute
  154.      does not expressly authorize such monitoring.  Moreover, no court has
  155.      yet had an opportunity to rule on this issue.  If the courts were to
  156.      decide that such monitoring is improper, it would potentially give rise
  157.      to both criminal and civil liability for system administrators.
  158.      Therefore, absent clear guidance from the courts, we believe it is
  159.      advisable for system administrators who will be engaged in such
  160.      monitoring to give notice to those who would be subject to monitoring
  161.      that, by using the system, they are expressly consenting to such
  162.      monitoring.  Since it is important that unauthorized intruders be given
  163.      notice, some form of banner notice at the time of signing on to the
  164.      system is required.  Simply providing written notice in advance to only
  165.      authorized users will not be sufficient to place outside hackers on
  166.      notice.
  167.  
  168.      An agency's banner should give clear and unequivocal notice to
  169.      intruders that by signing onto the system they are expressly consenting
  170.      to such monitoring.  The banner should also indicate to authorized
  171.      users that they may be monitored during the effort to monitor the
  172.      intruder (e.g., if a hacker is downloading a user's file, keystroke
  173.      monitoring will intercept both the hacker's download command and the
  174.      authorized user's file).  We also understand that system administrators
  175.      may in some cases monitor authorized users in the course of routine
  176.      system maintenance.  If this is the case, the banner should indicate
  177.      this fact.  An example of an appropriate banner might be as follows:
  178.  
  179.         This system is for the use of authorized users only.
  180.         Individuals using this computer system without authority, or in
  181.         excess of their authority, are subject to having all of their
  182.         activities on this system monitored and recorded by system
  183.         personnel.
  184.  
  185.         In the course of monitoring individuals improperly using this
  186.         system, or in the course of system maintenance, the activities
  187.         of authorized users may also be monitored.
  188.  
  189.         Anyone using this system expressly consents to such monitoring
  190.         and is advised that if such monitoring reveals possible
  191.         evidence of criminal activity, system personnel may provide the
  192.         evidence of such monitoring to law enforcement officials.
  193.  
  194.  -------------------------------------------------------------------
  195.  Each site using this suggested banner should tailor it to their precise
  196.  needs.  Any questions should be directed to your organization's legal
  197.  counsel.
  198.  
  199.  --------------------------------------------------------------------
  200.  The CERT Coordination Center wishes to thank Robert S. Mueller, III,
  201.  Scott Charney and Marty Stansell-Gamm from the United States Department
  202.  of Justice for their help in preparing this Advisory.
  203.  
  204.  ---------------------------------------------------------------------
  205.  If you believe that your system has been compromised, contact the CERT
  206.  Coordination Center or your representative in FIRST (Forum of Incident
  207.  Response and Security Teams).
  208.  
  209.  Internet E-mail: cert@cert.org
  210.  Telephone: 412-268-7090 (24-hour hotline)
  211.             CERT personnel answer 7:30 a.m.-6:00 p.m. EST(GMT-5)/EDT(GMT-4),
  212.             on call for emergencies during other hours.
  213.  
  214.  CERT Coordination Center
  215.  Software Engineering Institute
  216.  Carnegie Mellon University
  217.  Pittsburgh, PA 15213-3890
  218.  
  219. ------------------------------
  220.  
  221. From:    Bob Anderson <anderson@iris.rand.org>
  222. Subject: ERRORS IN LARGE DATABASES AND THEIR SOCIAL IMPLICATIONS
  223. Date:    Wed, 18 Nov 92 15:33:58 PST
  224.  
  225.    Dr. Stephen Lukasik has agreed to act as guest editor of a special
  226. issue of "The Information Society" journal addressing errors in large
  227. databases and their social implications.  Attached is a brief prospectus
  228. for this special issue.
  229.  
  230.    If anyone receiving this message is unfamiliar with the journal and its
  231. focus and interests, I would be happy to supply additional information.
  232.  
  233.         Bob Anderson
  234.  
  235.         - - - - - - - - - - - - - - - - - - - - - - - - - - -
  236.  
  237.                    ERRORS IN LARGE DATABASES AND THEIR
  238.                            SOCIAL IMPLICATIONS
  239.  
  240.                       Prospectus for a special issue
  241.                     of the Information Society Journal
  242.  
  243. With the growth of information technology over time, we are becoming
  244. increasingly affected by data in electronic databases.  The social and
  245. business premise is that electronic databases improve productivity and
  246. quality of life.  The dark side of all this is that these databases
  247. contain errors, most trivial but in some cases they contain errors that by
  248. their nature impose a penalty on society.  The penalties can range from
  249. minor annoyance and modest administrative cost in having a record
  250. corrected, to more serious cases where more costly consequences ensue, to
  251. conceivably, loss of life or major loss of property.
  252.  
  253. The consequences to society of errors in electronic databases can be
  254. expected to increase, probably at an increasing rate.  Some factors
  255. contributing to this expected increase are the increasing extent, in both
  256. size and coverage, of existing databases; increasing capture of data by
  257. automated transaction systems, from text and image scanners and the like;
  258. greater coupling of databases, either by administrative agreements or by
  259. more sophisticated search processes; more "amateur" database
  260. administration with increasingly widespread use of information technology;
  261. increasing use of heuristic search techniques that lack "commonsense;" and
  262. probably other well-meaning but pernicious influences.
  263.  
  264. The purpose of the proposed issue is to accomplish the following: (a)
  265. increase recognition of, and awareness of the growing nature of the
  266. problem of errors in electronic databases that are increasingly becoming
  267. regulators of modern life; (b) encourage greater attention to the
  268. collection of error rate data and to quantitatively assessing the social
  269. and economic costs deriving from those errors; (c) foster theoretical and
  270. empirical studies of the propagation of errors through the coupling of, or
  271. joint search of, multiple databases; and (d) encourage the formulation of
  272. measures, in both technology and policy domains, designed to limit the
  273. costs accruing from the inherent growth in size and connectivity of
  274. electronic databases.
  275.  
  276. We seek papers for the issue that will focus on the following aspects of
  277. the problem addressed here: (1) an enumeration of socially relevant
  278. databases, whose errors can have important consequences, either from a
  279. large number of small unit cost consequences or a small number of high
  280. cost consequences; (2) quantitative data on errors in databases,
  281. classified by the nature of the errors and their derivative costs; (3)
  282. obstacles to a full and open discussion of the problem such as those
  283. deriving from concern over legal liability and loss of business from
  284. "owning up" to the problem; and (4) proposals for technical and policy
  285. measures that can limit the growth of the problems addressed.
  286.  
  287. The premises of the journal issue are: (1) that the problems of errors in
  288. databases can not be minimized until they are adequately recognized and
  289. fixes explored by the professionals in the field; and (2) that we must
  290. move from the anecdotal level, where horror stories abound, to a
  291. quantitative level where the economics of fixes, either in quality control
  292. at the point of data collection, or the quality control of the output of
  293. database searches, can be sensibly analyzed.
  294.  
  295. Your interest in contributing to this special issue is invited.
  296. Suggestions for possible topics, authors, or an interest in contributing
  297. should be communicated to one of:
  298.  
  299.      guest editor:                      editor-in-chief:
  300.          Dr. Stephen Lukasik                Dr. Robert H. Anderson
  301.          1714 Stone Canyon Road             RAND, P.O. Box 2138
  302.          Los Angeles CA  90077              Santa Monica CA  90407-2138
  303.          net: lukasik@rand.org              net: anderson@rand.org
  304.          tel: (310) 472-4387                tel: (310) 393-0411 x7597
  305.          fax: (310) 472-0019                fax: (310) 393-4818
  306.  
  307. ------------------------------
  308.  
  309. End of PRIVACY Forum Digest 01.27
  310. ************************
  311.