home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / privacy / p02_002.txt < prev    next >
Text File  |  1996-09-03  |  25KB  |  556 lines
  1. PRIVACY Forum Digest     Friday, 8 January 1993     Volume 02 : Issue 02
  2.  
  3.          Moderated by Lauren Weinstein (lauren@cv.vortex.com)
  4.                 Vortex Technology, Topanga, CA, U.S.A.
  5.     
  6.                      ===== PRIVACY FORUM =====
  7.  
  8.          The PRIVACY Forum digest is supported in part by the 
  9.           ACM Committee on Computers and Public Policy.
  10.  
  11.  
  12. CONTENTS
  13.     OECD Security Guidelines (Marc Rotenberg)
  14.     On expectations of privacy (Jerry Leichter)
  15.     Utility bills going to law enforcement (KitchenRN@ssd0.laafb.af.mil)
  16.     Car Searches Require Probable Cause - Well Maybe Not in Florida
  17.            (A. Padgett Peterson)
  18.     Perot campaign raiding credit data? (KitchenRN@ssd0.laafb.af.mil)
  19.     Car searches (Lynn R. Grant)
  20.     Caller ID Integrity (Lynn R. Grant)
  21.     CFP'93 Electronic Brochure (Bruce R. Koball)
  22.  
  23.  
  24.  *** Please include a RELEVANT "Subject:" line on all submissions! ***
  25.             *** Submissions without them may be ignored! ***
  26.  
  27. -----------------------------------------------------------------------------
  28. The PRIVACY Forum is a moderated digest for the discussion and analysis of
  29. issues relating to the general topic of privacy (both personal and
  30. collective) in the "information age" of the 1990's and beyond.  The
  31. moderator will choose submissions for inclusion based on their relevance and
  32. content.  Submissions will not be routinely acknowledged.
  33.  
  34. ALL submissions should be addressed to "privacy@cv.vortex.com" and must have
  35. RELEVANT "Subject:" lines.  Submissions without appropriate and relevant
  36. "Subject:" lines may be ignored.  Subscriptions are by an automatic
  37. "listserv" system; for subscription information, please send a message
  38. consisting of the word "help" (quotes not included) in the BODY of a message
  39. to: "privacy-request@cv.vortex.com".  Mailing list problems should be
  40. reported to "list-maint@cv.vortex.com".  All submissions included in this
  41. digest represent the views of the individual authors and all submissions
  42. will be considered to be distributable without limitations. 
  43.  
  44. The PRIVACY Forum archive, including all issues of the digest and all
  45. related materials, is available via anonymous FTP from site "cv.vortex.com",
  46. in the "/privacy" directory.  Use the FTP login "ftp" or "anonymous", and
  47. enter your e-mail address as the password.  The typical "README" and "INDEX"
  48. files are available to guide you through the files available for FTP
  49. access.  PRIVACY Forum materials may also be obtained automatically via
  50. e-mail through the listserv system.  Please follow the instructions above
  51. for getting the listserv "help" information, which includes details
  52. regarding the "index" and "get" listserv commands, which are used to access
  53. the PRIVACY Forum archive.
  54.  
  55. For information regarding the availability of this digest via FAX, please
  56. send an inquiry to privacy-fax@cv.vortex.com, call (310) 455-9300, or FAX
  57. to (310) 455-2364.
  58. -----------------------------------------------------------------------------
  59.  
  60. VOLUME 02, ISSUE 02
  61.  
  62.    Quote for the day:
  63.  
  64.     "Seven and a half cents, 
  65.      Doesn't buy a heck of a lot.
  66.      Seven and a half cents,
  67.      Doesn't mean a thing.
  68.      But give it to me every hour,
  69.      Forty hours every week,
  70.      That's enough for me to be,
  71.      Living like a king!"
  72.  
  73.             -- Chorus from "The Pajama Game" (1957)
  74.  
  75. ----------------------------------------------------------------------
  76.  
  77. Date:    Tue, 22 Dec 1992 14:19:51 EDT
  78. >From:    Marc Rotenberg <Marc_Rotenberg@washofc.cpsr.org>
  79. Subject: OECD Security Guidelines
  80.  
  81.   OECD SECURITY GUIDELINES
  82.  
  83.         The Organization for Economic Cooperation and
  84. Development (OECD) has adopted international Guidelines for
  85. the Security of Information Systems.  The Guidelines are
  86. intended to raise awareness of the risks in the use of
  87. information systems and to establish a policy framework to
  88. address public concerns.
  89.  
  90.         A copy of the press release and an excerpt from the
  91. Guidelines follows.  For additional information or for a copy
  92. of the guidelines, contact Ms. Deborah Hurley, OECD, 2, rue
  93. Andre-Pascal, 75775 Paris Cedex 16, 33-1-45-24-93-71 (fax)
  94. 33-1-45-24-93-32 (fax).
  95.  
  96. Marc Rotenberg, Director
  97. CPSR Washington office and Member,
  98. OECD Expert Group on Information System Security
  99. rotenberg@washoc.cpsr.org
  100.  
  101. =============================================================
  102.  
  103. "OECD ADOPTS GUIDELINES FOR THE SECURITY OF INFORMATION SYSTEMS
  104.  
  105.         "The 24 OECD Member countries on 26th November 1992
  106. adopted Guidelines for the Security of Information Systems,
  107. culminating almost two years' work by an OECD expert group
  108. composed of governmental delegates, scholars in the fields of
  109. law, mathematics and computer science, and representatives of
  110. the private sector, including computer and communication
  111. goods and services providers and users.
  112.  
  113.         "The term information systems includes computers,
  114. communication facilities, computer and communication networks
  115. and the information that they process.  These systems play an
  116. increasingly significant and pervasive role in a multitude of
  117. activities, including national economies, international
  118. trade, government and business operation, health care,
  119. energy, transport, communications and education.
  120.  
  121.         "Security of information systems means the protection of
  122. the availability, integrity, and confidentiality of
  123. information systems.  It is an international issue because
  124. information systems frequently cross national boundaries.
  125.  
  126.         "While growing use of information systems has generated
  127. many benefits, it has also shown up a widening gap between
  128. the need to protect systems and the degree of protection
  129. currently in place.  Society has become very dependent on
  130. technologies that are not yet sufficiently dependable.  All
  131. individuals and organizations have a need for proper
  132. information system operations (e.g. in hospitals, air traffic
  133. control and nuclear power plants).
  134.  
  135.         "Users must have confidence that information systems
  136. will be available and operate as expected without
  137. unanticipated failures or problems.  Otherwise, the systems
  138. and their underlying technologies may not be used to their
  139. full potential and further growth and innovation may be
  140. prohibited.
  141.  
  142.         "The Guidelines for the Security of Information Systems
  143. will provide the required foundation on which to construct a
  144. framework for security of information systems.  They are
  145. addressed to the public and private sectors and apply to all
  146. information systems.  The framework will include policies,
  147. laws, codes of conduct, technical measures, management and
  148. user practices, ad public education and awareness activities
  149. at both national and international levels.
  150.  
  151.         "Several OECD Member countries have been forerunners in
  152. the field of security of information systems.  Certain laws
  153. and organizational and technical rules are already in place.
  154. Most other countries are much farther behind in their
  155. efforts.  The Guidelines will play a normative role and
  156. assist governments and the private sector in meeting the
  157. challenges of these worldwide systems.  The Guidelines bring
  158. guidance and a  real value-added to work in this area, from a
  159. national and international perspective."
  160.  
  161.  
  162. PRINCIPLES
  163.  
  164. "1. Accountability Principle
  165.  
  166.         The responsibilities and accountability of owners,
  167. providers and users of information systems and other parties
  168. concerned with the security of information systems should be
  169. explicit.
  170.  
  171. "2.  Awareness Principle
  172.  
  173.         "In order to foster confidence in information systems,
  174. owners, providers and users of information systems and other
  175. parties should readily be able, consistent with maintaining
  176. security, to gain appropriate knowledge of and be informed
  177. about the existence and general extent of measures, practices
  178. and procedures for the security of information systems.
  179.  
  180. "3. Ethics Principle
  181.  
  182.         "Information systems and the security of information
  183. systems should be provided and used in such a  manner that
  184. the rights and legitimate interests of others are respected.
  185.  
  186. "4. Multidisciplinary Principle
  187.  
  188.         "Measures practices and procedures for the security of
  189. information systems should take into account of and address
  190. all relevant consideration and viewpoints, including
  191. technical, administrative, organizational, operational,
  192. commercial, educational and legal.
  193.  
  194. "5.  Proportionality Principle
  195.  
  196.         "Security levels, costs, measures, practices and
  197. procedures should be appropriate and proportionate to the
  198. value of and degree of reliance on the information systems
  199. and to the severity, probability and extent of potential
  200. harm, as the requirements for security vary depending upon
  201. the particular information systems.
  202.  
  203. "6. Integration Principle
  204.  
  205.         "Measures, practices and procedures for the security of
  206. information systems should be co-ordinated and integrated
  207. with each other and with other measures, practices and
  208. procedures of the organization so as to create a coherent
  209. system of security.
  210.  
  211. "7. Timeliness Principle
  212.  
  213.         "Public and private parties, at both national and
  214. international levels, should act in a timely co-ordinated
  215. manner to prevent and to respond to breaches of information
  216. systems."
  217.  
  218. "8.  Reassessment Principle
  219.  
  220.         "The security information systems should be reassessed
  221. periodically, as information systems and the requirements for
  222. their security vary over time.
  223.  
  224. "9. Democracy Principle
  225.  
  226.         "The security of information systems should be
  227. compatible with the legitimate use and flow of data ad
  228. information in a democratic society."
  229.  
  230. [Source: OECD Guidelines for the Security of Information
  231. Systems (1992)]
  232.  
  233. ------------------------------
  234.  
  235. Date:    Tue, 29 Dec 92 08:53:44 EDT
  236. >From:    Jerry Leichter <leichter@lrw.com>
  237. Subject: On expectations of privacy
  238.  
  239. Banks today are required to report large cash transactions.  One hears talk of
  240. using either specific computer-readable markers on new currency, or just OCR
  241. to read the serial numbers on old currency, as a near-future mechanism that
  242. will make it possible to track what happens to money.  This is viewed with
  243. universal shock and horror as a new intrusion on our obvious traditional right
  244. to complete anonymity in cash transactions.
  245.  
  246. But is there really any such traditional right?  Anyone who studies a bit of
  247. history quickly discovers that for something to be widely believed to be
  248. inevitable, it really need only have been widespread for a relatively short
  249. period.
  250.  
  251. I recently read "Natural Death", a Dorothy Sayers "Lord Peter Wimsy" mystery
  252. written, and set, in mid-1920's England.  A woman is found murdered; on her
  253. person is a (new?) five-pound note.  The police are able to use the serial
  254. number of the note to locate the bank that issued it, the bank finds the
  255. appropriate teller, and the teller recalls the person to whom she issued that
  256. note (along with two other fivers).  A bit of a stretch of memory perhaps, but
  257. Sayers's writing was intended to be realistic and essentially believable.
  258. Clearly, neither Sayers nor her readers found this particular bit of police
  259. work unreasonable - or disturbing.
  260.  
  261. It's easy to forget how much of what we think of as "privacy" is simply the
  262. annonymity of large-scale civilization.  Sayers's bank teller could remember
  263. her customer because she didn't deal with hundreds of people she didn't know
  264. every day; in the 1920's, banks were used by the wealthy.
  265.  
  266. BTW, my guess is that in modern terms that five-pound note would be worth
  267. somewhere around $100 or so.  I doubt Sayers would have expected a one-pound
  268. note to be so easily traceable.
  269.                             -- Jerry
  270.  
  271. ------------------------------
  272.  
  273. Date:    Tue, 29 Dec 92 11:28:00
  274. >From:    <KitchenRN@ssd0.laafb.af.mil>
  275. Subject: Utility bills going to law enforcement
  276.  
  277. >Reports out of the San Jose, California area are expressing concern over the
  278. >apparent practice of some utility companies of routinely turning over
  279. >"unusual" utility bills to law enforcement agencies.  It seems that above
  280. >average (that is, above the norm for the customer class) use of water and/or
  281. >power may be considered to be a possible indication of illegal drug
  282. >activities.  At least some utility companies apparently consider consumer
  283. >utility bills to be public information and not subject to privacy
  284. >considerations.
  286.  
  287. There was an AP article in yesterday's newspaper (the Torrance, CA "Daily 
  288. Breeze") which addressed this subject, quoting the "San Jose Mercury News".  
  289. The article mentioned that the utilities were not only giving out usage 
  290. information about water and electricity, but were also including Social 
  291. Security number, place of employment, and driver's license number.  In 
  292. addition, the utilities were also giving out information about *the 
  293. neighbors* of the people under surveillance, "for comparative purposes."
  294.  
  295. A spokesdrone for Pacific Gas & Electric (PG&E), the Northern California 
  296. utility, said that the practice was just their way of being "a good corporate 
  297. citizen and caring about the community.  Nobody regarded it as a particular 
  298. problem."
  299.  
  300. The article also quoted a PG&E memo which stated corporate policy of honoring 
  301. all requests from law enforcement personnel, whether they have a search 
  302. warrant or not.
  303.  
  304. ------------------------------
  305.  
  306. Date:    Tue, 29 Dec 92 22:13:34 -0500
  307. >From:    padgett@tccslr.dnet.mmc.com (A. Padgett Peterson)
  308. Subject: "Car Searches Require Probable Cause" - Well Maybe Not in Florida
  309.  
  310. >From:    mbeckman@mbeckman.mbeckman.com (Mel Beckman)
  311.  
  312. >I'm certain many will respond to this. The answer is that no, the officer
  313. >may not search your car without a warrant, and he can't get a warrant
  314. >unless he has probable cause. Probable cause has been specifically determined
  315. >to exclude such logic as "anyone who won't consent is hiding something"
  316. >or "he looks guilty". It requires specific evidence that a crime may have
  317. >been committed (e.g. bullet holes in the trunk). 
  318.  
  319. Well I live less than 50 miles from Volusia County (Daytona) where this
  320. seems to have had some interesting interpretations. According to the 
  321. Orlando Sentinel (newspaper), on stops of "suspected couriers" a request
  322. was made to search the vehicle. If refused a "drug sniffing" dog was summoned
  323. who often seems to bark or wag his tail or whatever. Apparently this
  324. constitutes "probable cause" and a search was then performed.
  325.  
  326. Interestingly, one of the courier "profiles" mentioned as suspect was driving
  327. *under* the speed limit (65 mph on I-95 in most places).
  328.  
  329.                         Warmly,
  330.                             Padgett
  331. ------------------------------
  332.  
  333. Date:    Mon, 04 Jan 93 10:11:00
  334. >From:    <KitchenRN@ssd0.laafb.af.mil>
  335. Subject: Perot campaign raiding credit data?
  336.  
  337. Over the weekend, several news reports announced that the FBI is 
  338. investigating the Ross Perot campaign for illegally using stolen computer 
  339. codes to obtain credit reports on campaign workers.  Former Perot workers, 
  340. Equifax (the credit reporting company), and Orix Consumer Leasing in 
  341. Secaucus, NJ have admitted to reporters' questions that they have spoken to 
  342. the FBI, but the FBI refuses to discuss the matter.  There are also reports 
  343. that the Secret Service and the Federal Trade Commission are also involved in 
  344. the investigation.
  345.  
  346. Equifax said that at least seventeen credit files of former Perot campaign 
  347. workers may have been accessed, using the security code of Orix Consumer 
  348. Leasing.  Orix says that they never requested the reports, and they believe 
  349. that their security codes had been stolen.
  350.  
  351. ------------------------------
  352.  
  353. Date:    Mon, 4 Jan 93 12:41 EST
  354. >From:    Lynn R Grant <Grant@DOCKMASTER.NCSC.MIL>
  355. Subject: Car searches
  356.  
  357. The other day I got stopped by a State Trooper (for very mildly speeding),
  358. and he asked me if I would open my briefcase, which was lying on the
  359. seat next to me.  I asked him what he was looking for.  He said, "I just
  360. want to make sure you don't have a gun in there, so you don't shoot me
  361. while I'm walking back to my car."
  362.  
  363. Although he may not have been able to force me to open it without a
  364. warrent. I did not feel too bad about opening it
  365. for him, especially considering the number
  366. of cops that have been getting shot on routine stops lately.  And anyway,
  367. a cop who isn't nervous about you shooting him is less likely to
  368. accidently shoot you.
  369.  
  370. I don't know what I would have done if I had been carrying something
  371. illegal in my bag.
  372.  
  373. Lynn Grant
  374.  
  375. ------------------------------
  376.  
  377. Date:    Mon, 4 Jan 93 13:22 EST
  378. >From:    Lynn R Grant <Grant@DOCKMASTER.NCSC.MIL>
  379. Subject: Caller ID Integrity
  380.  
  381. Much has been written about the pros and cons of the loss of privacy
  382. caused by caller ID, but I haven't seen anything about how much you
  383. can trust the information provided by caller ID.
  384.  
  385. This could be important when billing systems are connected with caller ID.
  386. For example, my local cable TV system connects the two for requesting
  387. pay-per-view movies.  If you want to see the movie that is showing
  388. on channel 51, you dial a special 800 number that ends in -5151.  The
  389. system gets your phone number from caller ID and uses it to look up
  390. your account.  It then sends something over the TV cable to unlock your
  391. descrambler for that channel, and adds $4.95 to your cable TV bill (not
  392. your phone bill).
  393.  
  394. If it were possible to send out a fake phone number, it would be possible
  395. to harrass someone by charging a bunch of movies to his bill.  If this
  396. scheme was used for billings for larger-ticket items, the consequenses
  397. could be much greater.
  398.  
  399. My understanding is that caller ID sends the number information as a
  400. burst of 1200 baud information between the first and second rings.
  401. I also understand that caller and callee are connected between rings,
  402. though I don't know if they are connected during the data burst.
  403. (I base this second assumption on an article I saw in a 1983 phone
  404. phreak newsletter about avoiding toll charges by not answering the
  405. phone and talking between the rings.)
  406.  
  407. Would it be possible for a caller to send his own 1200 baud data burst,
  408. which would garble the phone company's data so that no number was
  409. recognized?  Or could he send a burst right after the phone company's,
  410. so that the number changed before it was read by the callee?
  411.  
  412. Lynn Grant
  413. Grant @ dockmaster.ncsc.mil
  414.  
  415.   [ Since technical followups to the above message would tend to move
  416.     outside the charter of this digest, your moderator will insert himself
  417.     into the flow at this point with some brief answers to the questions
  418.     posed above, in hopes of making such followups unnecessary!
  419.  
  420.     As a practical matter, "spoofing" of caller ID (CNID) systems should not
  421.     be a significant problem in modern, properly implemented systems.  The ID
  422.     information is indeed transmitted between the first and second rings
  423.     (using standard Bell 202 modem tones at 1200 bps).  However, modern
  424.     switching systems (e.g. ESS/digital) do not normally establish a voice
  425.     path from the caller to the callee until the callee has gone
  426.     "off-hook"--that is, answered the phone.  Prior to such systems, (e.g.
  427.     "step-by-step" and "crossbar" switching) there were indeed situations
  428.     where 2-way voice paths were in place before the call was answered.  It
  429.     was such situations that made the infamous "black box" toll fraud device
  430.     possible when used in conjunction with those pre-ESS/digital
  431.     switches--but normally not usable with modern switching systems.
  432.  
  433.     Most CNID decoders are based on ICs which are implemented with circuits
  434.     that specifically look for data between the appropriate rings.  The
  435.     ring signal is a particular voltage reference, not just an audio tone
  436.     that could be easily spoofed, even if a voice path *did* exist prior
  437.     to call answer, so a properly designed CNID box will not pay any attention
  438.     to audio on the line after the call has been answered.
  439.  
  440.     The bottom line is that CNID boxes should be safe from remote spoofing
  441.     of the sort you discuss when connected to modern, properly designed
  442.     switching equipment--assuming that a spoofer didn't have direct
  443.     *physical* access to the actual wire pairs leading to the customer (if
  444.     they did have such access, they could not only wreak havoc with CNID
  445.     but also monitor and intercept communications, of course).
  446.  
  447.     Finally, it's worth noting that most billing systems based on caller
  448.     number (e.g. cable company ordering, pizza delivery, etc.) do *not* use
  449.     the CNID system at all, but rather rely on a different system called ANI
  450.     (Automatic Number Identification) which almost always involves passing
  451.     the caller number over a special dedicated circuit--not "in-band" with
  452.     the voice call setup in the manner of CNID.
  453.     
  454.     -- MODERATOR ]
  455.  
  456. ------------------------------
  457.  
  458. Date:    Thu, 7 Jan 1993 17:05:04 -0800
  459. >From:    Bruce R Koball <bkoball@well.sf.ca.us>
  460. Subject: CFP'93 Electronic Brochure
  461.  
  462.  
  463.                       CFP'93
  464. The Third Conference on Computers, Freedom and Privacy
  465.                  9-12 March 1993
  466.  San Francisco Airport Marriott Hotel, Burlingame, CA
  467.  
  468. The CFP'93 will assemble experts, advocates and interested 
  469. people from a broad spectrum of disciplines and backgrounds in 
  470. a balanced public forum to address the impact of computer and 
  471. telecommunications technologies on freedom and privacy in society. 
  472.  
  473. Participants will include people from the fields of computer 
  474. science, law, business, research, information, library science, 
  475. health, public policy, government, law enforcement, public 
  476. advocacy and many others. Some of the topics in the wide-ranging 
  477. CFP'93 program will include:
  478.  
  479. ELECTRONIC DEMOCRACY - looking at how computers and networks 
  480. are changing democratic institutions and processes.
  481.  
  482. ELECTRONIC VOTING - addressing the security, reliability, 
  483. practicality and legality of automated vote tallying systems 
  484. and their increasing use.
  485.  
  486. CENSORSHIP AND FREE SPEECH ON THE NET - discussing the 
  487. problems of maintaining freedom of electronic speech across 
  488. communities and cultures.
  489.  
  490. PORTRAIT OF THE ARTIST ON THE NET - probing the problems and 
  491. potential of new forms of artistic expression enabled by 
  492. computers and networks.
  493.  
  494. DIGITAL TELEPHONY AND CRYPTOGRAPHY - debating the ability of 
  495. technology to protect the privacy of personal communications 
  496. versus the needs of law enforcement and government agencies 
  497. to tap in.
  498.  
  499. HEALTH RECORDS AND CONFIDENTIALITY - examining the threats to 
  500. the privacy of medical records as health care reform moves 
  501. towards increasing automation.
  502.  
  503. THE MANY FACES OF PRIVACY - evaluating the benefits and costs 
  504. of the use of personal information by business and 
  505. government.
  506.  
  507. THE DIGITAL INDIVIDUAL - exploring the increasing 
  508. capabilities of technology to track and profile us.
  509.  
  510. GENDER ISSUES IN COMPUTING AND TELECOMMUNICATIONS - reviewing 
  511. the issues surrounding gender and online interaction.
  512.  
  513. THE HAND THAT WIELDS THE GAVEL - a moot court dealing with 
  514. legal liability, responsibility, security and ethics of 
  515. computer and network use.
  516.  
  517. THE POWER, POLITICS AND PROMISE OF INTERNETWORKING - covering 
  518. the development of networking infrastructures, domestically 
  519. and worldwide.
  520.  
  521. INTERNATIONAL DATA FLOW - analyzing the  issues in the flow 
  522. of information over the global matrix of computer networks 
  523. and attempts to regulate it.
  524.  
  525. The conference will also offer a number of in-depth tutorials 
  526. on subjects including:
  527.  
  528. * Information use in the private sector
  529. * Constitutional law and civil liberties
  530. * Investigating telecom fraud
  531. * Practical data inferencing
  532. * Privacy in the public and private workplace
  533. * Legal issues for sysops
  534. * Access to government information
  535. * Navigating the Internet 
  536.  
  537. INFORMATION
  538. For more information on the CFP'93 program and advance 
  539. registration call, write or email to:
  540.  
  541. CFP'93 INFORMATION
  542. 2210 SIXTH STREET
  543. BERKELEY, CA 94710
  544. (510) 845-1350
  545. cfp93@well.sf.ca.us 
  546.  
  547. A complete electronic version of the conference brochure
  548. with more detailed descriptions of the sessions, tutorials,
  549. and registration information is also available via anonymous
  550. ftp from  sail.stanford.edu  in the file:  pub/les/cfp-93
  551.  
  552. ------------------------------
  553.  
  554. End of PRIVACY Forum Digest 02.02
  555. ************************
  556.