home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / privacy / p03_016.txt < prev    next >
Text File  |  1996-09-03  |  25KB  |  521 lines
  1. PRIVACY Forum Digest      Saturday, 3 September 1994      Volume 03 : Issue 16
  2.  
  3.           Moderated by Lauren Weinstein (lauren@vortex.com)
  4.             Vortex Technology, Woodland Hills, CA, U.S.A.
  5.     
  6.                      ===== PRIVACY FORUM =====
  7.  
  8.          The PRIVACY Forum digest is supported in part by the 
  9.           ACM Committee on Computers and Public Policy.
  10.  
  11.  
  12. CONTENTS 
  13.     Sprint's phone-card stupidity (Alan Wexelblat)
  14.     More problems with Sprint Voice FonCard (Bob Stratton)
  15.     Re: Medical Privacy Dilemma (Joan Eslinger)
  16.     Re: Medical Privacy Dilemma (Chris Hibbert)
  17.     Re: Medical Privacy Dilemma (a_rubin@dsg4.dse.beckman.com)
  18.     EPIC Statement on FBI Wiretap Bill (Dave Banisar)
  19.     New indecency rules proposed for all online services 
  20.        (Daniel J. Weitzner)
  21.  
  22.  
  23.  *** Please include a RELEVANT "Subject:" line on all submissions! ***
  24.             *** Submissions without them may be ignored! ***
  25.  
  26. -----------------------------------------------------------------------------
  27. The Internet PRIVACY Forum is a moderated digest for the discussion and
  28. analysis of issues relating to the general topic of privacy (both personal
  29. and collective) in the "information age" of the 1990's and beyond.  The
  30. moderator will choose submissions for inclusion based on their relevance and
  31. content.  Submissions will not be routinely acknowledged.
  32.  
  33. ALL submissions should be addressed to "privacy@vortex.com" and must have
  34. RELEVANT "Subject:" lines; submissions without appropriate and relevant
  35. "Subject:" lines may be ignored.  Excessive "signatures" on submissions are
  36. subject to editing.  Subscriptions are by an automatic "listserv" system; for
  37. subscription information, please send a message consisting of the word
  38. "help" (quotes not included) in the BODY of a message to:
  39. "privacy-request@vortex.com".  Mailing list problems should be reported to
  40. "list-maint@vortex.com".  All submissions included in this digest represent
  41. the views of the individual authors and all submissions will be considered
  42. to be distributable without limitations. 
  43.  
  44. The PRIVACY Forum archive, including all issues of the digest and all
  45. related materials, is available via anonymous FTP from site "ftp.vortex.com",
  46. in the "/privacy" directory.  Use the FTP login "ftp" or "anonymous", and
  47. enter your e-mail address as the password.  The typical "README" and "INDEX"
  48. files are available to guide you through the files available for FTP
  49. access.  PRIVACY Forum materials may also be obtained automatically via
  50. e-mail through the listserv system.  Please follow the instructions above
  51. for getting the listserv "help" information, which includes details
  52. regarding the "index" and "get" listserv commands, which are used to access
  53. the PRIVACY Forum archive.  All PRIVACY Forum materials are also
  54. available through the Internet Gopher system via a gopher server on
  55. site "gopher.vortex.com".
  56.  
  57. For information regarding the availability of this digest via FAX, please
  58. send an inquiry to privacy-fax@vortex.com, call (818) 225-2800, or FAX
  59. to (818) 225-7203.
  60. -----------------------------------------------------------------------------
  61.  
  62. VOLUME 03, ISSUE 16
  63.  
  64.    Quote for the day:
  65.  
  66.     "Hey!  You can't bring a frozen guru into California!"
  67.  
  68.         -- California agricultural inspector
  69.            "Candy" (1968)
  70.  
  71. ----------------------------------------------------------------------
  72.  
  73. Date:    Mon, 15 Aug 94 10:37:40 -0400
  74. From:    "Alan (Miburi-san) Wexelblat" <wex@media.mit.edu>
  75. Subject: Sprint's phone-card stupidity
  76.  
  77. Sigh.  I used to post about this anonymously, but I figure since TI has
  78. declared me persona non grata anyway I may as well tell the story in the
  79. clear:
  80.  
  81. The Sprint phone system was designed and implemented by Texas Instruments,
  82. initially during the time I worked for them.  (I worked for a different
  83. division that was physically and managerially adjacent to the Sprint
  84. implementers.)  I knew that a "voice recognition" project was underway, but
  85. it wasn't until a big branch meeting that I saw the details of the then-
  86. prototyped project.
  87.  
  88. The project manager put up on a big screen in the cafeteria an overhead of
  89. the prototype card, with his SSN emblazoned on it and described the intended
  90. system.  Apparently, the biggest complaint that Sprint thought it had was
  91. people who couldn't/wouldn't deal with the long (14+ digit) number required
  92. to use other phone card systems.  Their solution was to use a shorter number
  93. which many people have already memorized (the SSN).
  94.  
  95. Needless to say, I was flabberghasted (a not-uncommon experience for me at
  96. TI).  I pointed out to my coworkers around the table the obvious weaknesses
  97. of the system.  They agreed.
  98.  
  99. After the meeting, I spoke to the manager personally and privately.  I
  100. pointed out that he had just displayed enough information that any person in
  101. the whole division who had a grudge against him would be able to really mess
  102. his life over.  He expressed severe disbelief that this was possible, or
  103. that anyone would do such a thing.
  104.  
  105. When I asked if there had been any review of safety or privacy concerns he
  106. noted that I was not involved with the project, that he had over 10 years
  107. with the company compared to my over-10 weeks, and that further questioning
  108. would not be tolerated.
  109.  
  110. I sat at my desk for a long time after that, wondering if it was really in
  111. me to screw up this guy's life to make a point.  Obviously it wasn't, or I
  112. would not be posting this :)
  113.  
  114. --Alan Wexelblat, Reality Hacker, Author, and Cyberspace Bard
  115. Media Lab - Intelligent Agents Group        wex@media.mit.edu
  116. Voice: 617-253-9601 Page: 617-945-1842        na53607@anon.penet.fi
  117.  
  118. ------------------------------
  119.  
  120. Date:    Tue, 16 Aug 1994 23:30:39 -0400
  121. From:    Bob Stratton <strat@uunet.uu.net>
  122. Subject: More problems with Sprint Voice FonCard
  123.  
  124. >>>>> "Willis H Ware"  <Willis_Ware@rand.org> writes:
  125.  
  126.     Willis> Sprint has thoughtlessly conceived the world's most
  127.     Willis> foolish way to expose one's SSN to illcit acquisition.
  128.     Willis> The well know schemes for stealing conventional telephone
  129.     Willis> credit card numbers is to observe a user key-in his number
  130.     Willis> on the public touch pad, or to listen to the user speak
  131.     Willis> his number.  The scam is reported to be particularly
  132.     Willis> threatening at airports, but now it will be directed at
  133.     Willis> acquiring "SSNs for sale" rather than telephone credit
  134.     Willis> card numbers.
  135.  
  136. I had planned on releasing this bit of information in a more dramatic
  137. way, as was hoping to gather more information, but in light of your
  138. comments, I'll announce my discoveries which, to thinking people,
  139. should be the nail in the coffin of this particular "service".
  140.  
  141. I signed up for a Voice FonCard (which, incidentally, requires you to
  142. sign up for the $5/month "Priority Gold" service), and gave them a
  143. number that was not my SSN. I trained the voice recognition system
  144. over several weeks, as their literature claims it becomes more attuned
  145. to your voice the more you use it. 
  146.  
  147. I then called up a friend who happens not only to be a telephony
  148. engineer, but also a pretty fair imitator of several voices, including
  149. my own. He came over to my house, I handed him the card with the
  150. number that they expect me to shout for identification, and listened
  151. while he authenticated himself as me and was WARMLY ACCEPTED by the
  152. system as the authorized user. 
  153.  
  154. This wasn't the really galling part. I then began calling around
  155. Sprint to speak to someone about this travesty. Since the Voice
  156. FonCard person wasn't in his office, I called Sprint security, knowing
  157. that Sprint has a full-time corporate security department. When I
  158. finally reached someone who would discuss this with me, I got the
  159. following:
  160.  
  161. "We never advertised that as a secure service, just a convenient one."
  162.  
  163.     Willis> ...  But then, the threat in this case is against the
  164.     Willis> consumer, not against the telephone company for having to
  165.     Willis> swallow the cost of fraudulent calls.
  166.  
  167. It appears to be both. Perhaps if enough customers get used as the
  168. basis for new identities and sue Sprint, they'll catch on.
  169.  
  170. Bob Stratton                    strat@uunet.uu.net
  171. UUNET Technologies, Inc.            uunet!strat
  172. 3110 Fairview Park Dr., Suite 570        Voice) +1 703 204 8000
  173. Falls Church, Va 22042                Fax)   +1 703 204 8001
  174.  
  175. ------------------------------
  176.  
  177. Date:    Fri, 12 Aug 94 22:44:21 -0700
  178. From:    Joan Eslinger <wombat@kilimanjaro.engr.sgi.com>
  179. Subject: re: Medical Privacy Dilemma
  180.  
  181. * Date:    Wed, 27 Jul 94 09:49:18
  182. * From:    [Name withheld]
  184. * Here's a hypothetical situation for you.
  186. * .....  The official then explains that, to protect
  187. * the hospital's good name, he is prepared to release some of the patient's
  188. * medical history as long as it is strictly off the record.
  190. * 2. How does the paper know that the hospital is telling the truth - obviously
  191. *    it can't check back with the patient because this would reveal that the
  192. *    hospital has disclosed the medical records.
  193.  
  194. I don't see the "obviously" here at all. The hospital has disclosed
  195. confidential patient information to a newspaper. The public and the
  196. patient have a right to know that this hospital is willing to do that.
  197.  
  198. Joan Eslinger / wombat@engr.sgi.com
  199.  
  200. ------------------------------
  201.  
  202. Date:    Sat, 13 Aug 94 10:37:34 -0700
  203. From:    Chris Hibbert <hibbert@netcom.com>
  204. Subject: Re: Medical Privacy Dilemma
  205.  
  206. [Name withheld] told of a patient complaining about mistreatment by a
  207. hospital to a newspaper.  The hospital was unable to defend itself
  208. because of patient confidentiality laws.
  209.  
  210. If I represented either the newspaper or the hospital, I would have
  211. suggested that the patient could get the newspaper to print the story
  212. if he is willing to waive his privacy rights in order to allow the
  213. paper to hear the hospital's side.  The newspaper should promise that
  214. the patient's identity would be protected.  If the patient is willing
  215. to let editors and reporters see the confidential records, then they
  216. will listen to both sides and decide what to print.  If the patient
  217. isn't willing to open his records, the paper should refuse to print
  218. unsubstantiated attacks.
  219.  
  220. Chris
  221.  
  222. ------------------------------
  223.  
  224. Date:    Mon, 15 Aug 94 07:01:06 PST 
  225. From:    a_rubin@dsg4.dse.beckman.com
  226. Subject: Re: Medical Privacy Dilemma
  227.  
  228. >Issues:
  229.  
  230. >1. Should the hospital release the information about the patient's psychiatric
  231. >   problems to prevent possible damage to its reputation.
  232.  
  233. Not without the patient's permission.
  234.  
  235. >2. How does the paper know that the hospital is telling the truth - obviously
  236. >   it can't check back with the patient because this would reveal that the
  237. >   hospital has disclosed the medical records.
  238.  
  239. Simple -- the paper should request that the patient request the hospital
  240. release the records to the newspaper.  If the patient and hospital comply,
  241. there's no problem -- the paper can do whatever further research is
  242. required.  If the patient doesn't comply, the paper should probably drop the
  243. story.  If the patient complies and the hospital does not, the paper should
  244. CLEARLY print the story.
  245.  
  246. ------------------------------
  247.  
  248. Date:    Sun, 22 Aug 1993 16:42:34 +0000
  249. From:    Dave Banisar <banisar@epic.org>
  250. Subject: EPIC Statement on FBI Wiretap Bill
  251.  
  252.  
  253.     [ The complete text of the bill discussed below is now available
  254.       in the PRIVACY Forum archive.  To access:
  255.  
  256.         Via Anon FTP: From site "ftp.vortex.com": /privacy/fbi-tel.2.Z
  257.                               or: /privacy/fbi-tel.2
  258.  
  259.         Via e-mail: Send mail to "listserv@vortex.com" with
  260.                     the line:
  261.  
  262.                 get privacy fbi-tel.2
  263.  
  264.                 as the first text in the BODY of your message.
  265.  
  266.         Via gopher: From the gopher server on site "gopher.vortex.com"
  267.         in the "*** PRIVACY Forum ***" area under "fbi-tel.2".
  268.  
  269.                             -- MODERATOR ]
  270.  
  271.  
  272.  
  273.  
  274.                        *DISTRIBUTE WIDELY*
  275.  
  276.            EPIC Statement on Digital Telephony Wiretap Bill 
  277.  
  278.      The digital telephony bill recently introduced in Congress is the
  279. culmination of a process that began more than two years ago, when the
  280. Federal Bureau of Investigation first sought legislation to ensure its
  281. ability to conduct electronic surveillance through mandated design
  282. changes in the nation's information infrastructure.  We have monitored
  283. that process closely and have scrutinized the FBI's claims that
  284. remedial legislation is necessary.  We have sponsored conferences at
  285. which the need for legislation was debated with the participation of
  286. the law enforcement community, the telecommunications industry and
  287. privacy advocates.  We have sought the disclosure of all relevant
  288. information through a series of requests under the Freedom of
  289. Information Act.  Having thus examined the issue, EPIC remains
  290. unconvinced of the necessity or advisability of the pending bill.
  291.  
  292.      As a threshold matter, we do not believe that a compelling case
  293. has been made that new communications technologies hamper the ability
  294. of law enforcement agencies to execute court orders for electronic
  295. surveillance. For more than two years, we have sought the public
  296. disclosure of any FBI records that might document such a problem.  To
  297. date, no such documentation has been released.  Without public scrutiny
  298. of factual information on the nature and extent of the alleged
  299. technological impediments to surveillance, the FBI's claims remain
  300. anecdotal and speculative.  Indeed, the telecommunications industry
  301. has consistently maintained that it is unaware of any instances in
  302. which a communications carrier has been unable to comply with law
  303. enforcement's requirements.  Under these circumstances, the nation
  304. should not embark upon a costly and potentially dangerous re-design of
  305. its telecommunications network solely to protect the viability of fewer
  306. than 1000 annual surveillances against wholly speculative impediments.
  307.  
  308.      We also believe that the proposed legislation would establish a
  309. dangerous precedent for the future.  While the FBI claims that the
  310. legislation would not enhance its surveillance powers beyond those
  311. contained in existing law, the pending bill represents a fundamental
  312. change in the law's approach to electronic surveillance and police
  313. powers generally.  The legislation would, for the first time, mandate
  314. that our means of communications must be designed to facilitate
  315. government interception.  While we as a society have always recognized
  316. law enforcement's need to obtain investigative information upon
  317. presentation of a judicial warrant, we have never accepted the notion
  318. that the success of such a search must be guaranteed.  By mandating the
  319. success of police searches through the re-design of the telephone
  320. network, the proposed legislation breaks troubling new ground.  The
  321. principle underlying the bill could easily be applied to all emerging
  322. information technologies and be incorporated into the design of the
  323. National Information Infrastructure.  It could also lead to the
  324. prohibition of encryption techniques other than government-designed
  325. "key escrow" or "Clipper" type systems.
  326.  
  327.      In short, EPIC believes that the proposed digital telephony bill
  328. raises substantial civil liberties and privacy concerns.  The present
  329. need for the legislation has not been established and its future
  330. implications are frightening.  We therefore call upon all concerned
  331. individuals and organizations to express their views on the legislation
  332. to their Congressional representatives.  We also urge you to contact
  333. Rep. Jack Brooks, Chairman of the House Judiciary Committee, to share
  334. your opinions:
  335.  
  336.      Rep. Jack Brooks
  337.      Chair, House Judiciary Committee
  338.      2138 Rayburn House Office Bldg.
  339.      Washington, DC 20515
  340.      (202) 225-3951 (voice)
  341.      (202) 225-1958 (fax)
  342.  
  343. The bill number is H.R. 4922 in the House and S. 2375 in the Senate.  It can 
  344. be referred to as the "FBI Wiretap Bill" in correspondence.
  345.  
  346.  
  347. Electronic Privacy Information Center 
  348. 666 Pennsylvania Avenue, S.E. 
  349. Suite 301 Washington, DC 20003 
  350. (202) 544-9240 (voice) 
  351. (202) 547-5482 (fax) 
  352. <info@epic.org>
  353.  
  354. EPIC is a project of the Fund for Constitutional Government and Computer 
  355. Professionals for Social Responsibility.
  356.  
  357.  
  358.     [ The PRIVACY Forum also received a mailing from Voter's
  359.       Telecommunications Watch (VTW) with arguments against the
  360.       bill, their detailed suggestions for people who wish to oppose
  361.       the bill, press releases, and other data.  They can be reached at:
  362.  
  363.         Voice mail:             (718) 596-2851
  364.         General questions:      vtw@vtw.org
  365.         Mailing List Requests:  vtw-list-request@vtw.org
  366.         Press Contact:          stc@vtw.org
  367.         Gopher URL:             gopher://gopher.panix.com:70/11/vtw
  368.  
  369.       Interested readers should contact them directly for information.
  370.  
  371.                         -- MODERATOR ]
  372.     
  373.  
  374. ------------------------------
  375.  
  376. Date: Thu, 25 Aug 1994 14:32:40 -0600
  377. From: djw@eff.org (Daniel J. Weitzner)
  378. Subject: New indecency rules proposed for all online services 
  379.  
  380. (900#s in cyberspace)
  381.  
  382. I.      Overview
  383.  
  384.         During the final hours before the Senate telecommunications bill
  385. (S.1822) was marked-up by the Senate Commerce Committee, a provision was added
  386. which would expand the current FCC regulation on obscene and indecent
  387. audiotext (900 number) services to virtually all electronic information
  388. services, including commercial online service providers, the Internet, and BBS
  389. operators.  This proposal, introduced by Senator Exon, would require all
  390. information service providers and all other electronic communication service
  391. providers, to take steps to assure that minors do not have access to obscene
  392. or indecent material through the services offered by the service provider.
  393.  
  394.        Placing the onus, and criminal liability, on the carrier, as opposed to
  395. the originator of the content, threatens to limit the free flow of all kinds
  396. of information in the online world.  If carriers are operating under the
  397. threat of criminal liability for all of the content on their services, they
  398. will be forced to pre-screen all messages and limit both the privacy and free
  399. expression of the users of these services.  Senator Exon's amendment raises
  400. fundamental questions about the locus on liability for harm done from content
  401. in new digital communications media.  These questions must be discussed in a
  402. way that assures the free flow of information and holds content originators
  403. responsible for their actions.
  404.  
  405. II.     Summary of Exon Amendment
  406.  
  407.        The Exon amendment which is now part of S.1822, expands section of the
  408. Communications Act to cover anyone who "makes, transmits, or otherwise makes
  409. available" obscene or indecent communication.  It makes no distinction between
  410. those entities which transmit the communications from those which create,
  411. process, or use the communication.  This section of the Communications Act was
  412. originally intended to criminalize harassment accomplished over interstate
  413. telephone lines, and to require telephone companies that offer indecent 900
  414. number services to prevent minors from having access to such services.  The
  415. 900 number portions are known as the Helms Amendments, having been championed
  416. by Senator Jesse Helms.  These sections have been the subject of extension
  417. constitutional litigation.
  418.  
  419.        If enacted into law, these amendments would require that anyone who
  420. "makes, transmits, or otherwise makes available" indecent communication take
  421. prescribed steps to assure that minors are prevented from having access to
  422. these communications.  In the case of 900 numbers, acceptable procedures
  423. include written verification of a subscriber's age, payment by credit card, or
  424. use of a scrambling device given to the subscriber after having verified his
  425. or her age.  Failure to do so would result in up to a $100,000 fine or up to
  426. two years imprisonment.
  427.  
  428. III.    Carrier Liability and Threats to the Free Flow of Information
  429.  
  430.        These provisions raise serious First Amendment concerns.  (Note that we
  431. use the term 'carrier' here to refer to a wide range of information and
  432. communication service providers.  This does not suggest that these entities
  433. are, or should be, common carriers in the traditional sense of the term.)
  434.  
  435.        Overbroad carrier liability forces carriers to stifle the free flow of
  436. information on their systems and to act as private censors
  437.  
  438.        If carriers are responsible for the content of all information and
  439. communication on their systems, then they will be forced to attempt to screen
  440. all content before it is allowed to enter the system.  In many cases, this
  441. would be simply impossible.  But even where it is possible, such pre-screening
  442. can severely limit the diversity and free flow of information in the online
  443. world.  To be sure, some system operators will want to offer services that
  444. pre-screen content.  However, if all systems were forced to do so, the
  445. usefulness of digital media as communication and information dissemination
  446. systems would be drastically limited.  Where possible, we must avoid legal
  447. structures which force those who merely carry messages to screen their
  448. content.
  449.  
  450.        Carriers are often legally prohibited from screening messages
  451.  
  452.        In fact, under the Electronic Communications Privacy Act of 1986,
  453. electronic communication service providers are generally prohibited from
  454. examining the contents of messages or information carrier from one subscriber
  455. to another.
  456.  
  457.        Extension of the 900 number rules to all electronic information
  458. services may be unconstitutional
  459.  
  460.        The regulation of indecent 900 number programming was only accomplished
  461. after nearly a decade of constitutional litigation, with rules being
  462. overturned by the Supreme Court.  The regulations were finally found
  463. constitutional only after being substantially narrowed to meet First Amendment
  464. scrutiny.  Since the access methods offered by online service providers are
  465. significantly different than simple telephone access to 900 services, we doubt
  466. that the same constitutional justifications would support the newly expanded
  467. rules.  This issue requires considerable study and analysis.
  468.  
  469.        Content creators, or those who represent the content as their own,
  470. should be responsible for liability arising out of the content
  471.  
  472.        In sum, it should be content originators, not carriers, who are
  473. responsible for their content.  Any other approach will stifle the free flow
  474. of information in the new digital media.
  475.  
  476. IV.     Next Steps
  477.  
  478.        Having only just received the language offered by Senator Exon, EFF
  479. still needs to do further analysis, and consult with others in the online
  480. community.  We also hope to speak with Senator Exon's staff to understand
  481. their intent.  Another important hearing will be held on S.1822 in
  482. mid-September by the Senate Judiciary Committee.  By that time, we hope to
  483. have this issue resolved.  While we agree that these carrier liability
  484. problems are in need of Congressional consideration, we do not believe that
  485. the time is ripe to act.  Before any action is taken, hearings must be held
  486. and careful evaluation of all the issues, not just indecency, must be
  487. undertaken.
  488.  
  489. Daniel J. Weitzner, Deputy Policy Director, Electronic Frontier Foundation,
  490. 1001 G St. NW Suite 950 East, Washington, DC 20001 +1 202-347-5400(v)
  491.  
  492.     [ It appears that efforts to restrict electronic distribution of
  493.       information to minors is being expanded to include both
  494.       obscene/indecent materials and other information that could be
  495.       deemed to be hazardous in other ways.  This is being driven by
  496.       recent events where minors injured themselves after constructing
  497.       devices based on information from books which had been transcribed
  498.       onto BBS systems.
  499.  
  500.       There are some interesting fundamental questions in this area,
  501.       that are worthy of discussion and debate.  To what extent does the
  502.       operator of an electronic distribution system have the same or
  503.       different responsibilities from that of, for example, a mail-order
  504.       book distributor?  Can or should the models applied to control of
  505.       magazines and books (where such controls are present) be applied
  506.       to electronic information systems which may have millions of
  507.       individuals submitting information for distribution, with various
  508.       levels of editorial control ranging from none to quite significant?
  509.  
  510.       Are these issues subject to relatively "simple" legislative
  511.       fixes?  Or will the technology and topologies of these new
  512.       information systems require a more fundamental shift in 
  513.       perspective to achieve the desired balances?
  514.  
  515.       Comments?   -- MODERATOR ]
  516.     
  517. ------------------------------
  518.  
  519. End of PRIVACY Forum Digest 03.16
  520. ************************
  521.