home *** CD-ROM | disk | FTP | other *** search

---

/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / privacy / p02_030.txt

< prev

next >

Wrap

Text File  |  1996-09-03  |  21KB  |  442 lines

---

1. PRIVACY Forum Digest       Monday, 30 August 1993       Volume 02 : Issue 30
2.  
3.           Moderated by Lauren Weinstein (lauren@vortex.com)
4.                 Vortex Technology, Topanga, CA, U.S.A.
5.     
6.                      ===== PRIVACY FORUM =====
7.  
8.          The PRIVACY Forum digest is supported in part by the 
9.           ACM Committee on Computers and Public Policy.
10.  
11.  
12. CONTENTS 
13.     Newton (David W. Crawford)
14.     Child-Prodigy or Prodigy-Child?  14-year-old triggers alarms
15.        (Dan Wing)
16.     Oh, let *us* do it for you... (Alan Wexelblat)
17.     Lapses of Consciousness in California (Henry Unger)
18.     Re: DMV vs Fainting (Mel Beckman)
19.     CheckFree's answer to SSN inquiry (Bob Stratton)
20.  
21.  
22.  *** Please include a RELEVANT "Subject:" line on all submissions! ***
23.             *** Submissions without them may be ignored! ***
24.  
25. -----------------------------------------------------------------------------
26. The Internet PRIVACY Forum is a moderated digest for the discussion and
27. analysis of issues relating to the general topic of privacy (both personal
28. and collective) in the "information age" of the 1990's and beyond.  The
29. moderator will choose submissions for inclusion based on their relevance and
30. content.  Submissions will not be routinely acknowledged.
31.  
32. ALL submissions should be addressed to "privacy@vortex.com" and must have
33. RELEVANT "Subject:" lines; submissions without appropriate and relevant
34. "Subject:" lines may be ignored.  Excessive "signatures" on submissions are
35. subject to editing.  Subscriptions are by an automatic "listserv" system; for
36. subscription information, please send a message consisting of the word
37. "help" (quotes not included) in the BODY of a message to:
38. "privacy-request@vortex.com".  Mailing list problems should be reported to
39. "list-maint@vortex.com".  All submissions included in this digest represent
40. the views of the individual authors and all submissions will be considered
41. to be distributable without limitations. 
42.  
43. The PRIVACY Forum archive, including all issues of the digest and all
44. related materials, is available via anonymous FTP from site "ftp.vortex.com",
45. in the "/privacy" directory.  Use the FTP login "ftp" or "anonymous", and
46. enter your e-mail address as the password.  The typical "README" and "INDEX"
47. files are available to guide you through the files available for FTP
48. access.  PRIVACY Forum materials may also be obtained automatically via
49. e-mail through the listserv system.  Please follow the instructions above
50. for getting the listserv "help" information, which includes details
51. regarding the "index" and "get" listserv commands, which are used to access
52. the PRIVACY Forum archive.  All PRIVACY Forum materials are also
53. available through the Internet Gopher system via a gopher server on
54. site "gopher.vortex.com".
55.  
56. For information regarding the availability of this digest via FAX, please
57. send an inquiry to privacy-fax@vortex.com, call (310) 455-9300, or FAX
58. to (310) 455-2364.
59. -----------------------------------------------------------------------------
60.  
61. VOLUME 02, ISSUE 30
62.  
63.    Quote for the day:
64.  
65.     "Six drops of the Essence of Terror,
66.      Five Drops of Sinister Sauce..."
67.  
68.      "When the stirring's done,
69.       May I lick the spoon?"
70.  
71.      "Of course!  Ah ha!  Of course!"
72.  
73.         -- Professor Weirdo and Count Kook
74.            "Milton the Monster" (1965-1968)
75.  
76. ----------------------------------------------------------------------
77.  
78. Date:    Mon, 23 Aug 1993 00:29:14 -0700 (MST)
79. From:    crawford@fido.econlab.arizona.edu (David W. Crawford)
80. Subject: Newton
81.  
82. I was wondering about the security features of the Newton.
83. For those of you reading on comp.risks or comp.privacy, the Newton is
84. Apple Computer's latest toy.  The first model is a PIM called "Message Pad".
85. Message Pad weights one pound and can communicate via modem,fax, radio,
86. pager, infared remote control beam and serial port.
87.  
88. I don't expect the standard issue message pad makes it up 
89. to C2 snuff (Mitre Orange Book), has  or Kerberotic file 
90. synchronization, but ...
91.  
92. What security features does Apple build in ?
93. What have security hardware or software have third parties announced ?  
94.  
95. I'm quite satisfied with the security of my powerbook using third party 
96. software.
97. I'm looking for the same capability in a Newton before I depend on one.
98.  
99. I have a notebook Apple Macintosh (PowerBook 165c) and use a program
100. called Citadel made by Datawatch.  Citadel offers:
101.  
102.    *   Encryption by up to full DES on a file by file basis. The password
103.        to unencrypt a file is used as a basis for the encryption key,
104.        and must be a string of 8 to 12 case sensitive characters.
105.  
106.    *   A Shredder program that writes over deleted files at the time of 
107.        deletion to prevent file recovery using a program like Norton Unerase 
108.        or Datawatch Complete Undelete.
109.  
110.    *   A Disk Cleaner program that writes over all unused disk space at 
111.        any time to prevent file recovery of deleted but unshredded files.
112.  
113. How I use Citadel:
114.  
115. I keep a PIM generated database document with my bank account numbers on my 
116. PowerBook's hard drive.  I keep this data file encrypted unless I need 
117. immediate access to this database.  When I need it, I unencrypt the datafile
118. and load it into Aldus TouchBase, look up what I need, close the data file, 
119. and re-encrypt the data file and shred the unencypted data file.  
120.  
121. Is there a similarly secure way to maintain access to sensitive data 
122. on a Newton ?
123.  
124. Citadel also
125.  
126.    *   Locks any harddisk or partition thereof, and also locks floppy drives
127.    *   Provides both a user and administrator password feature so that 
128.        I can grant access to other users by telling them the user password.
129.        But to change the user password, the administrator password is needed.
130.        This administrator / user differentiation prevents me from being 
131.        locked out of my machine by some who either knows the user password 
132.        or finds the machine in an unlocked state.   The lack of permission 
133.        layers is a major weakness of the security offered by Norton Essentials
134.        for Powerbook.  If someone finds you PB unlocked they can make up a 
135.        password and lock it and walk away. Citadel builds in a master 
136.        administrator's password at the time of installation.
137.  
138.    *   A "screenlocking option which is really a keyboard locking feature 
139.        which can be invoked by a programmable idle time cue or by hot key.  
140.        Screenlocking optionally erases the screen before running an AfterDark
141.        compatible module.
142.    
143.  
144. Citadel's shortcoming: there's no efficient way to protect the system folder
145. [directory] while allowing multiple users.   Encrypting the system I need to 
146. boot up with won't work.   I need to assign user partitions and duplicate the
147. system so there's one copy of my 17 megabyte system folder in each user's 
148. partition.  FolderBold by Kent Marsh offers such a feature.
149.  
150. Is there a way to lock a Newton so nobody else can use it ?
151. Is there a way to hide sensitive files ?
152. Is there a way to allow read access but not allow write access to files ?
153.  
154. Well, there's something to think about before you put your calling card
155. numbers into autodial.
156.  
157. David Crawford
158. crawford@fido.econlab.Arizona.EDU
159.  
160. ------------------------------
161.  
162. Date:    Mon, 23 Aug 1993 14:38:44 MDT
163. From:    Dan Wing <dwing@uh01.Colorado.EDU>
164. Subject: Child-Prodigy or Prodigy-Child?  14-year-old triggers alarms
165.  
166. Something from RISKS 14.85 that might be interesting to readers of PRIVACY
167. digest -- Prodigy's censorship taken further than normal.
168.  
169.    -----
170.  
171.    Date: Fri, 20 Aug 93 12:49:36 -0700
172.    From: harrison@cs.ubc.ca
173.    Subject: Child-Prodigy or Prodigy-Child?  14-year-old triggers alarms
174.  
175.    As a supposed joke, a 14-year-old Seattle-area girl sent a Prodigy
176.    message to her boyfriend in New Jersey containing a phony death threat
177.    against Baltimore Orioles' shortstop Cal Ripkin, Jr., who is getting ever
178.    closer to Lou Gehrig's record for consecutive games.  Seattle and
179.    Baltimore were playing in the Kingdome in Seattle, and her boyfriend is
180.    an avid Orioles' fan.  Known for its monitoring of messages, Prodigy
181.    alerted the police --- who tightened security at the Kingdome and also
182.    camped out waiting for the girl to return home.  They apparently
183.    reprimanded the girl, but she was not charged.  Police said she was
184.    ``very embarrassed and apologetic'' and added, ``By the time her
185.    [28-year-old] sister got done chewing her out, that was enough.''
186.    [Source: A UPI item datelined Seattle, 19 Aug 93, PGN Excerpting and
187.    Extrapolating Service]
188.  
189.    [The news on 20 Aug 93 noted that Kingdome officials are planning on
190.    charging the cost of the extra security assigned to Ripkin to the
191.    girl. - Jason]
192.  
193.    ----- End of material from RISKS -----
194.  
195. [ It is worth noting that subsequent e-mail from a Prodigy engineer
196.   indicated that the offending message in question was *not* a private
197.   e-mail message, but was a message posted on a *public* Prodigy area.  This
198.   was not clear solely from the text above, and was an important
199.   clarification.  The person at Prodigy emphasized that they do not monitor
200.   private e-mail, in accordance with applicable law.  -- MODERATOR ]
201.  
202. ------------------------------
203.  
204. Date:    Mon, 23 Aug 93 17:44:55 -0400
205. From:    "Alan (Gesture Man) Wexelblat" <wex@media.mit.edu>
206. Subject: Oh, let *us* do it for you...
207.  
208. So, I called up Sprint to tell them I was moving and in addition to giving
209. me 5,000 bonus points in their buy-our-trash club for staying with them over
210. a move, they sent me a "We'll help you move" kit.  I expected the usual sort
211. of advice... "Don't forget to turn off your utilities" etc.  UHaul already
212. sent me one of those.
213.  
214. Instead I got a form that I could fill out which would empower Sprint to
215. tell all my correspondents my new address.  Credit cards, magazines, clubs,
216. services, you name it.  All I have to do is list them, and sign the form
217. saying Sprint has my permission to send them change of address forms for me.
218.  
219. What a bargain, think I.  Saves me ~$20 in stamps and postcards (I get a
220. *lot* of magazines), not to mention hours of time.  Then I start to wonder
221. what Sprint is going to do with all that lovely info I'm supposed to give
222. them.  Bet they can sell it enough times to more than recoup the cost, not
223. to mention how it would beef up *their* marketing database...
224.  
225. Bargains like this I can do without.  I am tempted to fill it out with bogus
226. info and see if anyone is dumb enough to start sending me free issues of
227. 'zines.  But I probably won't.
228.  
229. --Alan Wexelblat, Reality Hacker, Author, and Cyberspace Bard
230. Media Lab - Advanced Human Interface Group    wex@media.mit.edu
231. Voice: 617-258-9168, Pager: 617-945-1842    wexelblat.chi@xerox.com
232.  
233. ------------------------------
234.  
235. Date:    Mon, 23 Aug 93 15:02:50 -0700
236. From:    Henry Unger <hunger@hitech.com>
237. Subject: Lapses of Consciousness in California
238.  
239. The complete text (as of 1992) of the section from the California
240. Health and Safety Code relating to the recent discussion on
241. Lapses of Consciousness is as follows.  Note especially (f) below.
242.  
243. S410.  Reporting Disorders Characterized by Lapses of Consciousness.
244.  
245.      (a) Every physician and surgeon shall report immediately to
246. the local health officer in writing, the name, date of birth, and
247. address of every patient at least 14 years of age or older whom
248. the physician and surgeon has diagnosed as having a case of a
249. disorder characterized by lapses of consciousness.  However, if a
250. physician and surgeon reasonably and in good faith believes that
251. the reporting of a patient will serve the public interest, he or
252. she may report a patient's condition even if it may not be
253. required under the state department's definition of disorders
254. characterized by lapses of consciousness pursuant to subdivision
255. (d).
256.  
257.      (b) The local health officer shall report in writing to the
258. Department of Motor Vehicles the name, age, and address, of every
259. person reported to it as a case of a disorder characterized by
260. lapses of consciousness.
261.  
262.      (c) These reports shall be for the information of the
263. Department of Motor Vehicles in enforcing the Vehicle Code, and
264. shall be kept confidential and used solely for the purpose of
265. determining the eligibility of any person to operate a motor
266. vehicle on the highways of this state.
267.  
268.      (d) The state department, in cooperation with the Department
269. of Motor Vehicles, shall define disorders characterized by lapses
270. of consciousness based upon existing clinical standards for that
271. definition for purposes of this section and shall include
272. Alzheimer's disease and those related disorders which are severe
273. enough to be likely to impair a person's ability to operate a
274. motor vehicle in the definition.  The state department, in
275. cooperation with the Department of Motor Vehicles, shall list
276. those circumstances which shall not require reporting pursuant to
277. subdivision (a) because the patient is unable to ever operate a
278. motor vehicle or is otherwise unlikely to represent a danger
279. which requires reporting.  The state department shall consult
280. with professional medical organizations whose members have
281. specific expertise in the diagnosis and treatment of those
282. disorders in the development of the definition of what
283. constitutes a disorder characterized by lapses of consciousness
284. as well as definitions of functional severity to guide reporting
285. so that diagnosed cases reported pursuant to this section are
286. only those where there is reason to believe that the patients'
287. conditions are likely to impair their ability to operate a motor
288. vehicle.  The state department shall complete the definition on
289. or before January 1, 1992.
290.  
291.      (e) The Department of Motor Vehicles shall, in consultation
292. with the professional medical organizations specified in
293. subdivision (d), develop guidelines designed to enhance the
294. monitoring of patients affected with disorders specified in this
295. section in order to assist with the patients' compliance with
296. restrictions imposed by the Department of Motor Vehicles on the
297. patients' licenses to operate a motor vehicle.  The guidelines
298. shall be completed on or before January 1, 1992.
299.  
300.      (f) A physician and surgeon who reports a patient diagnosed
301. as a case of a disorder characterized by lapses of consciousness
302. pursuant to this section shall not be civilly or criminally
303. liable to any patient for making any report required or
304. authorized by this section. (Amended by Stats 1987 ch 321 S1;
305. Stats 1990 ch 911 S2, eff. 1/1/91.)
306.  
307. ------------------------------
308.  
309. Date:    Thu, 26 Aug 93 13:28:18 PST
310. From:    mbeckman@mbeckman.mbeckman.com (Mel Beckman)
311. Reply-To: mbeckman@mbeckman.com
312. Subject: Re: DMV vs Fainting
313.  
314. In a message dated 8/16 Brett Glass writes:
315. > To determine whether this was true or not, I interviewed Celeste, a
316. > physician's nurse at Kaiser Permanente's Redwood City health clinic.
317. > (Because she fills out the forms, she needs to understand exactly what the
318. > law requires.) She says that a report must be filed with the DMV "ANYTIME 
319. > a patient has a lapse of consciousness, or even a change in mental status
320. > (such as disorientation)." According to Celeste, the law makes no
321. > exceptions for lapses of consciousness whose cause is known. (Anaesthesia,
322. > incidentally, is not considered to be a "lapse" of consciousness.)
323.  
324. This doesn't show what the law is -- only one PN's interpretation of it.
325. According to the DMV she is wrong, probably due to misinterpreting the
326. phrase "disorders characterized by lapse of consciousness" as "lapse of
327. consciousness". 
328.  
329. I have reviewed the specific text of the statute (S410) with the DMV's
330. Driver Control Division. According to them, it is _unexplained_ lapse of
331. conciousness and _recurrable_ LOCs that they're interested in, not simply
332. "any" LOC. They also said that the LOC must be witnessed by a medical
333. doctor, specifically the diagnosing physician,
334.  -- not anecdotal (e.g. an EMT remarking "I think she passed out") to be
335. considered in the DMV's evaluation.
336.  
337. That's for the _unexplained_ LOCs. The law only calls for reporting
338. "disorders characterized by lapse of consciousness" -- whether or not a
339. lapse is observed by a physician. For example, EKG-detected epilepsy, or
340. test-detected diabetes. Note that this is the *only* thing the law asks for
341. -- it never requires reporting of the LOC incidents themselves, only
342. _disorders_ charactersized by LOC. So, while the DMV wants to hear about
343. unexplained LOCs, the law does not require reporting these.  Reporting is
344. only required upon diagnosis, and then only when a specific
345. LOC-characterized disorder is diagnosed.
346.  
347. According to the DMV, the Department of Health Services is producing a list
348. of conditions that are reportable. As of today, the DMV emphasized that
349. unexplained losses are not required by law, but can be reported at the
350. physician's option. The DMV also pointedly stated that no reporting is EVER
351. REQUIRED OR REQUESTED for isolated episodes of LOC, such as heat
352. prostration, etc.  and that the DMV will not take any action against a
353. driver even if a physician should choose to report such episodes.
354.  
355. BTW, the DMV's official definition of LOC disorders is:
356.  
357.    "Persons subject to losses of conciousness or episodes of marked confusion
358. resulting from neurological disorders, senility, diabetes melitus,
359. cardiovascular disease, alcoholism, or excessive use of alcohol sufficient
360. to bring about blackouts." 
361.  
362. The privacy problems reported likely is due to *some* physicians going
363. overboard on reporting, just as *some* physicians go overboard on tests,
364. etc. My wife, a cardiac surgical RN, says nobody on her staff knows anything
365. about filing LOC reports with the DMV, and as virtually every patient
366. undergoing cardiac procedures goes in and out of conciousness in the days
367. postop, they'd have a tremendous burden filing the DMV paperwork! (The DMV,
368. incidentally, told me that such lapses are definitely not reportable).
369.  
370. Anytime someone makes a statement claiming "all", "every", or "any", suspect
371. the statement (including this one <g>) The DMV has a legitimate need to be
372. notified of LOC conditions, and the requirement for physicians is not
373. onerous, as implied by other's comments here. While there may be isolated
374. cases of abuse, as there are with most every law, the problem is not the law
375. but individuals who overstep their authority.
376.  
377.   -mel
378. ________________________________________________________________________
379. | Mel beckman                  |   Internet: mbeckman@mbeckman.com     |
380. | Beckman Software Engineering | Compuserve: 75226,2257                |
381. | Ventura, CA 93003            |  Voice/fax: 805/647-1641 805/647-3125 |
382. |______________________________|_______________________________________|
383.  
384. ------------------------------
385.  
386. Date:    Thu, 26 Aug 1993 18:00:25 -0500
387. From:    Bob Stratton <strat@intercon.com>
388. Subject: CheckFree's answer to SSN inquiry
389.  
390. Hello all,
391.  
392. I recently sent a note to the operators of the "CheckFree" electronic bill 
393. payment service via GEnie. In my note, I asked why they requested the SSN in 
394. their service application and whether they'd consider another choice for a 
395. unique identifier for customers. I also briefly described problems with the 
396. use of the SSN, such as the lack of a check digit mechanism, etc. 
397.  
398. Here's the reply I received. I should have learned by now, but as an engineer 
399. in the computer industry, I'm continually surprised at how complacent people 
400. are about their choices for database keys and unique identifiers.
401.  
402. >From the almost terse tone, I can't help but wonder whether more than a few 
403. people have asked this question, and they're tired of answering it. 
404.  
405. === forwarded message follows ===
406.  
407. Item    9467013                 93/07/26        12:20
408. From:   CHECKFREE                       CheckFree Mall Store
409. To:     R.STRATTON32                    Robert J. Stratton 3rd
410.  
411. Sub: Customer Inquiry
412. Reply:  Item #7307514 from R.STRATTON32 on 93/07/24 at 08:19
413.  
414. Dear Bob,
415.  
416. Thank you for your interest into the CheckFree bill payment service.
417. To answer you question about SSN#'s, we ask for the SSN#, for ID
418. purposes only.  Since this number is unique to you and you alone, no
419. one else has it, thus preventing problems on our system.
420. Also, if a court order comes down to where we are told to pull your
421. records ( IRS,etc...) the SSN# would be there.  Basically, since we
422. started this company in 1981, we have had no problem with using the
423. SSN#'s.  We do not have an alternative and are not going to develop one.
424. This works just fine.
425.  
426. thank you again, for your interest into CheckFree.
427.  
428. Sincerely,
429. Sales
430.  
431. ===forwarded message ends===
432.  
433. Bob Stratton
434. Engineer, InterCon Systems Corp.
435. <strat@intercon.com> 
436. +1 703 709 5525 (Office)
437.  
438. ------------------------------
439.  
440. End of PRIVACY Forum Digest 02.30
441. ************************
442.