home *** CD-ROM | disk | FTP | other *** search

---

/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / privacy / p03_007.txt

< prev

next >

Wrap

Text File  |  1996-09-03  |  25KB  |  521 lines

---

1. PRIVACY Forum Digest      Saturday, 26 March 1994       Volume 03 : Issue 07
2.  
3.           Moderated by Lauren Weinstein (lauren@vortex.com)
4.             Vortex Technology, Woodland Hills, CA, U.S.A.
5.     
6.                      ===== PRIVACY FORUM =====
7.  
8.          The PRIVACY Forum digest is supported in part by the 
9.           ACM Committee on Computers and Public Policy.
10.  
11.  
12. CONTENTS 
13.     Outlawing non-(goverment) approved encryption (A. Padgett Peterson)
14.     Clipper & other countries (Konrad Van Zyl)
15.     NASA "privacy" controversy on Usenet (Jonathan McDowell)
16.     New Book From IOM On Health Data Privacy (Marc Schwartz)
17.         Tonya Harding E-Mail (Erik Nilsson)
18.     Gambling (Phil Agre)
19.         Intrusion-Detection Workshop (Teresa Lunt)
20.  
21.  
22.  *** Please include a RELEVANT "Subject:" line on all submissions! ***
23.             *** Submissions without them may be ignored! ***
24.  
25. -----------------------------------------------------------------------------
26. The Internet PRIVACY Forum is a moderated digest for the discussion and
27. analysis of issues relating to the general topic of privacy (both personal
28. and collective) in the "information age" of the 1990's and beyond.  The
29. moderator will choose submissions for inclusion based on their relevance and
30. content.  Submissions will not be routinely acknowledged.
31.  
32. ALL submissions should be addressed to "privacy@vortex.com" and must have
33. RELEVANT "Subject:" lines; submissions without appropriate and relevant
34. "Subject:" lines may be ignored.  Excessive "signatures" on submissions are
35. subject to editing.  Subscriptions are by an automatic "listserv" system; for
36. subscription information, please send a message consisting of the word
37. "help" (quotes not included) in the BODY of a message to:
38. "privacy-request@vortex.com".  Mailing list problems should be reported to
39. "list-maint@vortex.com".  All submissions included in this digest represent
40. the views of the individual authors and all submissions will be considered
41. to be distributable without limitations. 
42.  
43. The PRIVACY Forum archive, including all issues of the digest and all
44. related materials, is available via anonymous FTP from site "ftp.vortex.com",
45. in the "/privacy" directory.  Use the FTP login "ftp" or "anonymous", and
46. enter your e-mail address as the password.  The typical "README" and "INDEX"
47. files are available to guide you through the files available for FTP
48. access.  PRIVACY Forum materials may also be obtained automatically via
49. e-mail through the listserv system.  Please follow the instructions above
50. for getting the listserv "help" information, which includes details
51. regarding the "index" and "get" listserv commands, which are used to access
52. the PRIVACY Forum archive.  All PRIVACY Forum materials are also
53. available through the Internet Gopher system via a gopher server on
54. site "gopher.vortex.com".
55.  
56. For information regarding the availability of this digest via FAX, please
57. send an inquiry to privacy-fax@vortex.com, call (818) 225-2800, or FAX
58. to (818) 225-7203.
59. -----------------------------------------------------------------------------
60.  
61. VOLUME 03, ISSUE 07
62.  
63.    Quote for the day:
64.  
65.     "In the not too distant future,
66.      Next Sunday A.D.
67.      There was a guy named Joel,
68.      Not too different from you or me.
69.      He worked at Gizmonic Institute,
70.      Just another face in a red jumpsuit.
71.      He did a good job cleaning up the place,
72.      But his bosses didn't like him,
73.      So they shot him into space..."
74.  
75.         -- From original theme of "Mystery Science Theater 3000" ("MST3K")
76.          (Local Minneapolis television and cable's "Comedy Central")
77.  
78. ----------------------------------------------------------------------
79.  
80. Date:    Mon, 7 Mar 94 08:32:33 -0500
81. From:    padgett@tccslr.dnet.mmc.com 
82.      (A. Padgett Peterson, P.E. Information Security)
83. Subject: Outlawing non-(goverment) approved encryption.
84.  
85. >    The Clinton administration has adopted the chip, which would allow
86. > law enforcement agencies with court warrants to read the Clipper codes
87. > and eavesdrop on terrorists and criminals.  But opponents say that, if
88. > this happens, the privacy of law-abiding individuals will be a risk.
89. > They want people to be able to use their own scramblers, which the
90. > government would not be able to decode.
91.  
92. Lately I have been seeing too much of what IMNSHO ammounts to hype and
93. distortion over Clipper & Company.
94.  
95. "The Clinton Administration has adopted the chip" - for communications with
96. the govenment of information that is considered "sensitive but unclassified",
97. i.e. that information covered by the Privacy Act - public law 93-579.
98.  
99. Currently much of this information (such as IRS forms) is currently being 
100. sent in the clear since no practical alternative exists. Since the information
101. is being sent to-from the gov, who cares if the gov can tap it ?
102.  
103. No-one has said that consenting adults cannot communicate in any form they
104. want nor that the gov has to able to listen in easily other than in a 
105. technical sense. Book codes are still the easiest to generate and the hardest
106. to break (unless you know what book to use). If the gov tried to it would
107. be trivial to make anything decode to the Congressional Record and what
108. court will be able to say that wasn't what you sent ?
109.  
110. Point is that to outlaw general encryption is like King Canute ordering the
111. sun to rise in the West - the sun will ignore the order and there is not
112. much the king can do about it.
113.  
114. For that matter, no-one claims to have broken triple-DES and that is still 
115. a gov standard.
116.  
117. Again IMHO the amount of encryption available to the average American today
118. is limited to whatever is on their ATM card. Clipper is not perfect but
119. is *more* and is *good enough for government work*.
120.  
121. Seems to me that the detractors are just trying to limit *my* choices before
122. I get a chance to exercise then and *that* smacks of censorship.
123.  
124.                     Hotly,
125.                         Padgett
126.  
127. ------------------------------
128.  
129. Date:    Tue, 8 Mar 1994 16:18:17 GMT+2
130. From:    "VAN ZYL KE" <9381945@info.up.ac.za>
131. Subject: Clipper & other countries
132.  
133. Hallo.
134.  
135. Following two issues of comments regarding Clipper, FBI wire tapping 
136. etc. i wish to ask the following question :
137.  
138. Have anyone considered the effect of Clipper and other
139. such proposals and their possible implementation on other countries ?
140.  
141. Asking that, i refer specifically to less stable countries 
142. where stable refers to politics and human rights. 
143.  
144. These countries will increasingly be using their own 
145. versions of a "digital highway" and Internet. Following the example 
146. that can be set by your goverment, it bodes ill for the privacy of 
147. citizens in less developed countries.
148.  
149. I do not for one moment expect the U.S. to be held responsible for 
150. the abuse of I.T. in other countries or any other problems, but only 
151. raised the question from a worried citizens point of view.
152.  
153. Thank you
154.  
155. Konrad Van Zyl
156.  
157. ------------------------------
158.  
159. Date:    Sun, 13 Mar 94 13:46:02 EST
160. From:    jcm@urania.harvard.edu (Jonathan McDowell)
161. Subject: NASA "privacy" controversy on Usenet [Subject chosen by MODERATOR]
162.  
163.     [ I requested a summary of this rather loud ongoing Usenet controversy.
164.       Mr. McDowell graciously provided the following.  -- MODERATOR ]
165.  
166. OK.  Here's a very brief summary. Ken Hollis is one of several people
167. within NASA who have responded to technical questions about the space program
168. on the internet. He also would post various interesting things like
169. the Houston space center house newsletter and his own compilation
170. of future Shuttle launches (the 'manifest'), which has become 
171. particularly useful since the last official manifest was well
172. over a year ago and is sadly out of date. The posting appended
173. below appeared on the Internet group sci.space.shuttle and immediately
174. produced lots of responses from Ken's readers and correspondents along
175. the lines of 'this is awful, censorship, let's sue NASA'. 
176.  
177.     - Jonathan
178.  
179. [ Apparently Ken Hollis actually works for a major NASA
180.   contractor, and the contractor, after being contacted
181.   by NASA, ordered him to cease those postings.  -- MODERATOR ]
182.  
183.    >From cfanews!hsdndev!wupost!cs.utexas.edu!utnut!utzoo!henry 
184.     Sun Mar 13 13:40:08 1994
185.     Newsgroups: sci.space.shuttle
186.     Path: cfanews!hsdndev!wupost!cs.utexas.edu!utnut!utzoo!henry
187.     From: henry@zoo.toronto.edu (Henry Spencer)
188.     Subject: Ken Hollis won't be posting any more
189.     Message-ID: <CMGGqv.8H7@zoo.toronto.edu>
190.     Date: Thu, 10 Mar 1994 15:37:41 GMT
191.     Organization: U of Toronto Zoology
192.     Lines: 54
193.  
194.     I got the following from Ken Hollis, with a request that I post it here:
195.  
196.                -----------------
197.  
198.     Greetings and Salutations:
199.  
200.     This will most likely be my last post to the Internet group
201.     sci.space.shuttle until such time as I leave my current company and work
202.     for a different company.
203.  
204.     Shortly after I posted the most recent manifest and launch pass info,
205.     some MSFC (Marshall Space Flight Center) PAO (Public Affairs Office)
206.     personnel sent copies of these documents (or parts thereof) to the KSC
207.     (Kennedy Space Center) NASA PAO office, questioning whether or not the
208.     information in these documents should be publicly distributed.  They did
209.     not understand that the launch pass and manifest files that I had put
210.     together on my own time were my (apparently misguided) attempts to create
211.     some enthusiasm about shuttle launches and get information out the
212.     Internet.  One more small joy in my life gone... (of the very few left...)
213.  
214.     After talking to the NASA PAO at KSC, I asked them to make whatever
215.     changes / deletions to the documents they liked in order to allay their
216.     concerns, and I awaited the changes (and I am still awaiting changes).  I
217.     was also informed that my disclaimers at the end of the document (i.e., my
218.     .sig) were not considered valid--it still "looked" official.
219.  
220.     The next contact I received was from the public affairs office in my
221.     company who had been contacted by the KSC PAO (subsequent to my
222.     conversation with KSC PAO).  Bringing this to the attention of my
223.     company changed the focus of the problem from an issue of the customer
224.     to a company issue.  Per my company's management directives, all
225.     questions to which I want to respond
226.     (whether these are questions posed to me personally or to "the net" at
227.     large, and whether on the net or in person) are to be cleared through my
228.     company's public affairs office, and I am to exercise good judgment while on
229.     *or* off duty in my responses.  *ANY* postings from me about the shuttle
230.     must first be approved by my manager or supervisor and then by the company
231.     public affairs.  I agreed to no longer reply to any sci.space.shuttle
232.     postings, with my assumption that if I fought them on this, I would have an
233.     increased chance of a layoff / job termination.
234.  
235.     I was also informed that since MSFC now has access to the Internet, they
236.     were "considering" officially answering all questions concerning NASA /
237.     shuttle.
238.  
239.     My help is not required...
240.     ------------------------------------------------------------------------
241.     Official disclaimer : I don't talk officially for NASA, and they
242.     don't make any commitments for me.  Seemed like a fair deal.
243.     Ken Hollis
244.     INTERNET: HOLLIS@TITAN.KSC.NASA.GOV          SPAN/HEPnet: KSCP00::HOLLIS
245.     Dizzyclaimer:  If you believe this is in any way, shape, or form actual
246.     official information or opinion,then you are probably as confused if not
247.     more so than I am...I think...
248.               -----------------
249.  
250. ------------------------------
251.  
252. Date:    Tue, 22 Mar 94 10:54 EST
253. From:    SchwartzM@DOCKMASTER.NCSC.MIL
254. Subject: New Book From IOM On Health Data Privacy
255.  
256. I just received a new book published for the National Academy of Science's
257. Institute of Medicine entitled "Health Data in the Information Age:  Use,
258. Disclosure and Privacy".  The copyright is 1994 and is the result of a
259. follow-on project to their 1991 publication "The Computer Based Patient
260. Record:  An Essential Technology For Health Care".  This new book covers a
261. variety of topics including the recognition of the formation of so-called
262. Regional Health Data Networks for the purpose of tracking patient outcomes
263. and facilitating improved access to medical data on patients.  A great deal
264. of the book deals with the significant privacy issues that will need to be
265. addressed as we move toward the computerization of the medical record and
266. the use of computer networks for remote consulting, including legislative
267. approaches.  Additional work covers the issues surrounding the release of
268. health care provider specific data (hospital/physician) relative to attempts
269. to give the public an ability to make quality of care decisions in their
270. selections of providers.  This is already being done in New York,
271. Pennsylvania and other states in the realm of cardiac surgery and cardiology
272. related interventions and has come under significant fire from the health
273. care community for being, at best mis-leading to an uninformed public, at
274. worst a significant threat to patient access to health care.
275.  
276. The book may be ordered from National Academy Press at 1-800-624-6242 and
277. is priced at $39.95.  It is a major work in this area and I would strongly
278. urge its reading to anyone interested.
279.  
280. Marc Schwartz Director of Clinical Services Summit Medical Minneapolis,
281. MN 55447 Voice:  612-473-3250 Internet:  SchwartzM at dockmaster.ncsc.mil
282.  
283. ------------------------------
284.  
285. Date:    Wed, 23 Mar 1994 11:13:11 -0800
286. From:    erikn@goldfish.mitron.tek.com (Erik Nilsson)
287. Subject: Extracted [by MODERATOR] from CPSR/PDX 7 #2: Tonya Harding E-Mail
288.  
289.   [ Extracted from CPSR/PDX Vol. 7 #2; March 1994  -- MODERATOR ]
290.  
291. [b 1] TONYA HARDING'S E-MAIL WAS HACKED BY DAVE BARRY, OTHER REPORTERS
292.  
293. Accessory-after-the-fact and former skater Tonya Harding was the
294. victim of hacking by an unknown number of reporters, including
295. syndicated columnist Dave Barry, according to a variety of print and
296. net sources.
297.  
298. The Dallas Morning News reported on February 24th that Michelle
299. Kaufman of the Detroit Free Press, Ann Killion of the San Jose Mercury
300. News and Jere Longman of The New York Times read Ms. Harding's e-mail
301. access code off of her credentials from a television close-up, and
302. guessed her password.
303.  
304. Alex Johnson of the Knight-Ridder/Tribune News Service reports that
305. soon afterward, Dave Barry admitted to hacking Ms. Harding's e-mail
306. account himself.  Mr. Barry vigorously defended his actions. saying
307. that reporters do such things "... all the time."  Mr. Barry's editor
308. at the Miami Herald also defended Mr. Barry's actions, likening them
309. to watching the dismemberment of chickens on television.
310.  
311. The Mercury News backed Ms. Killion's actions. The Times had no
312. comment. 
313.  
314. Heath Meriwether, executive editor of the Detroit Free Press, took a
315. somewhat less permissive attitude.  "Obviously, it's something we
316. don't approve of," said Mr. Meriwether.  It's against our policy, and
317. Michelle [Kaufman] regrets it. It shouldn't have been done. But in my
318. opinion, Michelle is a fine reporter with great integrity. She
319. realizes she made a mistake. We're reviewing it and will be
320. apologizing to Tonya [Harding]."
321.  
322. Hacking into e-mail accounts has been sufficient to earn criminal
323. charges for US hackers in the past.  While US law may well not apply
324. to a property crime in Norway, the spectacle of reporters claiming it
325. was no big deal to do something that people are serving prison
326. sentences for in the US was disquieting to posters to groups such as
327. JOURNET and alt.2600.
328.  
329. The Detroit News provided a bizarre postscript to events when they ran
330. a story on involvement by their rival Detroit paper, the Detroit Free
331. Press.  The story included a Detroit Free Press photo of Ms. Kaufman
332. that, according to some sources, was obtained when the News hacked the
333. Free Press on-line photo archive.
334.  
335. Thanks to Marsha Woodbury, Alex Johnson, Chris Hawley, and Jeff
336. Johnson for several postings on this story.
337.  
338. ------------------------------
339.  
340. Date: Sat, 19 Mar 1994 09:04:47 -0800
341. From: Phil Agre <pagre@weber.ucsd.edu>
342. Subject: Gambling
343.  
344.   [ Extracted from RISKS-FORUM Digest; Tuesday 22 March 1994;
345.     Volume 15 : Issue 68  -- MODERATOR ]
346.  
347. For those with an interest in risks, the technology supplement to Forbes
348. magazine, Forbes ASAP, is a regular smorgasbord.  The 10/25/93 issue, for
349. example, includes an article about Bally's casinos' use of customer databases
350. to optimize their investments in "comping", the practice of offering free
351. drinks, hotel rooms, plane tickets, and what-not to high rollers.  Given
352. enough information about an individual's bets (regardless of whether they
353. win), a straightforward economic calculation can decide which level of 
354. comping is optimal.  (The full reference is: David H. Freedman, Odds man in
355. [Bally's Atlantic City casino], Forbes ASAP, 25 October 1993, pages 33-35.)
356.  
357. The problem is getting the information into the computer.  The Bally's casino
358. accomplishes this in two ways.  At roulette tables and the like, they simply
359. have someone watch the game and enter bets into a portable computer.  (This
360. computer can also determine how much credit to extend to a given customer.)
361. At the slot machines, they give each player a card with a magnetic strip that
362. goes into the machine for as long as the player is playing.  (They also offer
363. a strap to keep the card attached to your wrist, so you don't walk away from
364. the machine without it.)
365.  
366. The risks, of course, are obvious.  Rational gamblers can take advantage 
367. of competition between casinos, choosing the best comping deal.  But many
368. people are addicted to gambling, and these innovations also make it easy for
369. an addict on a binge to gamble away the maximum possible sum.  Furthermore, 
370. as the article points out, "the riot of blinking lights, the clacking of
371. spinning wheels, the absence of outside views or public phones -- all of this
372. encourages the otherwise solidly grounded visitor to lose track of time and
373. space, not to mention financial common sense".  Profit margins are high, and
374. investors are pleased.
375.  
376. The analogy to data-intensive marketing of cigarettes (see Risks 15.62) is
377. strong.  What's next?  How about a frequent drinker's club for premium brands
378. of liquor?  Or individualized advice for children, based on detailed family
379. demographics, about how to shame their parents into buying them expensive
380. toys?  It wouldn't be that hard.  You could actually get a toy to do the
381. explaining.  Each product from a given toy company would contain a single chip
382. with a small microprocessor, a simple RF receiver, some memory, and a speech
383. synthesis device.  When the toy goes through the checkout, an RF device built
384. into the cash register downloads the toy with a demographic profile of the
385. family derived from credit files pulled up through the purchase transaction.
386. Then, as the child plays with the toy, the toy explains to the child the
387. virtues of various other toys from the same company, along with suggestions
388. for persuasion tactics that consumer research has shown to work well on
389. parents in that particular market segment.  If the toys can send as well as
390. receive wireless data transmissions then newer toys can reprogram the older
391. ones.  Better yet, the child's videogame system, which will surely get its
392. software over phone lines in the near future, could also download all of the
393. child's other toys with new sales pitches, based on records of whether the
394. previous pitches worked, as well as the latest market research and television
395. and movie product tie-ins.
396.  
397. Phil Agre, UCSD
398.  
399. ------------------------------
400.  
401. Date:    Thu, 10 Mar 94 11:25:41 -0800
402. From:    Teresa Lunt <lunt@csl.sri.com>
403. Subject: INTRUSION-DETECTION WORKSHOP
404.  
405.  
406.                  THIRTEENTH INTRUSION-DETECTION WORKSHOP
407.  
408.                              May 19-20, 1993
409.                             SRI International
410.                        Menlo Park, California, USA
411.  
412. You are invited to attend a two-day workshop on intrusion detection to be
413. held at SRI International in Menlo Park, California on May 19-20, 1993, which
414. are the Thursday and Friday following the 1994 IEEE Symposium on Research in
415. Security and Privacy in Oakland, California.  This will be the thirteenth in
416. a series of intrusion-detection workshops.
417.  
418. The workshop will consist of several short presentations as well as
419. discussion periods.  If you have any progress to report on an
420. intrusion-detection project or some related work that would be appropriate
421. for a short presentation, please indicate the title and a paragraph
422. describing your proposed talk on the enclosed form.  You can also indicate
423. there your suggestions for discussion topics.  Please email the completed
424. form to Liz Luntzel at luntzel@csl.sri.com
425.  
426. If you and/or your colleagues wish to attend, please RSVP via email using the
427. attached form.  For other questions, please email Liz at luntzel@csl.sri.com
428. or call her at 415-859-3285.  You can also send us a fax at 415-859-2844.
429.  
430. There will be a $100 charge for the workshop.  This fee includes lunches in
431. SRI's International Dining Room.  Please sendg your check to Liz Luntzel,
432. EL248, SRI International, Computer Science Laboratory, 333 Ravenswood Avenue,
433. Menlo Park, California  94025.
434.  
435. The workshop will begin at 9am and will conclude at 5pm on Thursday,
436. and will be from 9am to 2pm on Friday.
437.  
438.  
439. --------------------------------------------------------------------------
440.  
441.                          DIRECTIONS TO SRI
442.  
443. SRI is located at 333 Ravenswood Avenue in Menlo Park.  The workshop
444. will be held in room IS109, which is in the International Building.
445. To get to SRI:
446.  
447. >From Highway 101:
448. >From I-101, take Willow Road (Menlo Park) west to Middlefield
449. Road (approx. 1 mile).  Turn right onto Middlefield Road.  Go one 
450. block and turn left onto Ravenswood Avenue.  SRI Building A (red 
451. brick building) is 1/4 mile up Ravenswood Avenue, on the left.  
452. The address is 333 Ravenswood Avenue.  
453.  
454. >From I-280:
455. >From I-280, take Sand Hill Road (east towards Menlo Park). Follow Sand
456. Hill Road to Junipero Serra and turn left.  Bear right at the next light,
457. and turn right at the stop sign onto Santa Cruz.  Take Santa Cruz to
458. El Camino and turn right.  Then take the first left, onto Ravenswood.
459. Cross the railroad tracks.  SRI is at 333 Ravenswood, on the right. If you
460. continue along Ravenswood toward Middlefield, you will come to the
461. conference parking area at the corner of Ravenswood and Middlefield.
462.  
463. >From Central Expressway:
464. >From Central Expressway, go north towards Menlo Park all the way
465. to where it merges with El Camino Real.  Continue north on El Camino, 
466. staying in the right lane, for a few blocks, and turn right onto
467. Ravenswood Ave.  Cross the railroad tracks, and after the first light
468. look for SRI on your right.  SRI is at 333 Ravenswood.
469.  
470. Visitors may park in the small visitors lot in front of Building A or in the
471. conference parking area at the corner of Ravenswood and Middlefield (where
472. there is lots of space).  The workshop will be held in the International
473. Building, the white concrete structure on Ravenswood to the East (closer to
474. Middlefield) of Building A.  Visitors should sign in at International
475. Building --- from the parking lot go up the steps and across the courtyard.
476.  
477. -----------------------------  cut here  ------------------------------------
478.  
479.                       PLEASE RSVP USING THIS FORM
480.                         to luntzel@csl.sri.com
481.  
482.                 Thirteenth Intrusion-Detection Workshop
483.                                May 19-20
484.                           SRI International
485.                             Menlo Park, CA
486.  
487. Yes! I will attend the Intrusion-Detection Workshop May 19-20 at SRI.  I am
488. sending a check for $100 to Liz Luntze, EL248, SRI International, Computer
489. Science Laboratory, 333 Ravenswood Avenue, Menlo Park, California  94025.
490.  
491. Please complete the following:
492.  
493. Name:
494.  
495. Title:
496.  
497. Affiliation:
498.  
499. Address:
500.  
501.  
502.  
503. Check one:
504.     I will present a talk.
505.     I will not present a talk.
506.  
507. Please complete the following:
508.  
509. Title of Talk:
510.  
511. Abstract:
512.  
513. Suggestions for Discussion Topics:
514.  
515. -----------------------------------------------------------------------------
516.  
517. ------------------------------
518.  
519. End of PRIVACY Forum Digest 03.07
520. ************************
521.