home *** CD-ROM | disk | FTP | other *** search

---

/ TAP YIPL / TAP_and_YIPL_Collection_CD.iso / PHREAK / CALLERID / CALLER.TXT

< prev

next >

Wrap

Text File  |  1991-06-05  |  23KB  |  399 lines

---

1.  
2.          Statement by Martin Winter, before the Joint Public Hearing
3.               Assembly Consumer Affairs & Protection Committe
4.           Assembly Corporations, Authorities and Comissions Committe
5.                  Assembly Task Force on Telecommunications
6.                     Senate Consumer Protection Committe
7.  
8.  
9.  
10.  
11.  
12.      I would like to thank Mr. Nadler, Mr. Siegel, Senator Levy, and
13.  Senator Brennan for allowing me the opportunity to address my concerns
14.  about the privacy of telephone subscribers to them, both as a private
15.  citizen and as the President of the New York State Systems Operator's
16.  Association ( here after known as "The Association"). Since many of my
17.  concerns as a private individual overlap those of the Association I
18.  would like to make a few general remarks concerning what is usually
19.  referred to as "Caller ID and then address the list of issues published
20.  by the Senate and Assembly committees.
21.  
22.      "Caller ID" appears to be what is known as a "trap and trace"
23.      device. Title 18, United States Code Chapters 119, 121, 201, and
24.      206, also known as the Electronic Communications Privacy act, and
25.      which I will hereafter refer to as the "ECPA" defines a "trap and
26.      trace" device as:
27.  
28.         a device which  captures the incoming  electronic
29.         or other impulses which identify  the originating  
30.         number of an instrument or device from which a
31.         wire or electronic communication was transmitted;
32.   
33. Since Caller ID has the ability to display the number of the telephone
34. from which a call originated and record that number it would certainly
35. seem to fit the ECPA's definition of a "trap and trace" device. Further
36. the ECPA limits those circumstances in which a device of this type can
37. be used. Chapter 206, section 3121 of the ECPA states:
38.  
39.     (a)  In  General.-Except as provided in this section, no 
40.          person  may install  or use a pen register or a trap
41.          and trace device without first obtaining a court order
42.          under section 3123 of this title or under  the Foreign  
43.          Intelligence Surveillance Act  of 1978  (50 U.S.C. 1801
44.          et seq.).
45.  
46.      (b)  Exception.-The prohibition of subsection (a) does not
47.           apply with respect  to the use of a pen register or a
48.           trap and trace  device by a provider of electronic or 
49.           wire communication service-
50.  
51.           (1)  relating to the operation, maintenance, and testing 
52.                of a wire or electronic communication service or to   
53.                the protection of the rights or property of such 
54.                provider, or to the  protection  of  users of that  
55.                service  from  abuse  of service or unlawful use of 
56.                service; or
57.  
58.           (2)  to  record the fact that a wire or electronic  
59.                communication was initiated or completed in order
60.                to protect such provider, another provider furnishing 
61.                service toward the completion of the wire communication,  
62.                or a user of that service, from fraudulent, unlawful  
63.                or abusive use of service; or with the consent of the 
64.                user of that service.
65.  
66.      (c)  Penalty.-Whoever knowingly violates subsection (a) shall be 
67.           fined under this title or imprisoned not more than one year, 
68.           or both.
69.  
70. With this in mind it would appear that the use of Caller ID would be
71. limited only to Police, Fire, Hospital Emergency Rooms, Poison Control
72. Centers, and other Emergency Service Providers for the purpose of
73. identifying the telephone number and address from which a telephone call
74. originates in the event that the caller is not able to provide this
75. information; residential subscribers who wish to maintain the privacy of
76. their telephone line by knowing who is calling or from what number a
77. telephone call has orig inated; those subscribers, both residential and
78. business, who have received harrassing, threatening and/or obscene
79. telephone calls and wish to identify the number from which these calls
80. are originating for the purpose of criminal and civil prosecution; and
81. those business and residential subscribers like myself and other members
82. of the Association who operate an electronic data communications service
83. or hobby type computer bulletin board for the purpose of identifying the
84. origination of telephone calls in or der to maintain the security of the
85. system and the privacy of our users.
86.  
87.    With regard to the technology involved in offering the Caller ID
88.    service, I am not an expert in the design of telecommunications
89.    systems and would prefer to leave the explanation of this technology
90.    to New York Telephone itself.
91.  
92.    With regard to the potential benefits to those customers who chose to
93.    subscribe to Caller ID, both with and without the blocking of the
94.    caller's telephone number I would like to make the following points:
95.  
96.      1: Emergency Service Providers who use Caller ID systems would 
97.         have the ability to dispatch emergency units to the scene even 
98.         if the caller was unable to provide their location. This system 
99.         is currently in place in the form of an augmented 911 emergency 
100.         telephone system in a number of cities throughout the country 
101.         and has been credited numerous times with saving lives that 
102.         might otherwise have been lost due to the callers inability to 
103.         identify their location. At the present time, many Emergency 
104.         Service Providers in New York State have no way of identifying 
105.         the location from which an emergency call originates. If the 
106.         caller is a young child who cannot tell them where he is, a 
107.         person who speaks little or no English, or a person who is 
108.         incapacitated or so upset or excited that they cannot identify 
109.         their location this can and has lead to delays in the arrival 
110.         of emergency personnel that has resulted in loss of life and 
111.         property that could have been avoided had the Emergency Service 
112.         Provider been able to identify the location of the caller. 
113.  
114.      2: Without "blocking" residential customers would have the ability 
115.         to screen incoming telephone calls by looking at the 
116.         originating number before  they answer the call. This would 
117.         allow them to know before hand if the incoming caller is 
118.         someone with whom they wish to speak. 
119.  
120.       3: Without "blocking" residential and business customers who have 
121.          received telephone calls of a harrassing, threatening and/or 
122.          obscene nature would have the ability immediately provide law 
123.          enforcement agencies with the number of the telephone from 
124.          which the calls originated. In those area where Caller ID is 
125.          now offered the number of calls of this nature has been 
126.          reduced.
127.  
128.       4: A group of teenagers uses a home computer to break into a 
129.          banks computer and obtains several credit card numbers which 
130.          they then use to go on a spending spree. A college student 
131.          majoring in Computer Science writes a program that, when 
132.          inserted in a computer network using a specific software 
133.          program, replicated itself to the point where the network can 
134.          no longer be used. A group of computer users in West Germany 
135.          manages to infiltrate a highly sensitive computer network and 
136.          then proceeds to gather as much classified information as 
137.          possible, then makes that information public in an effort to 
138.          show how easy it was to get it. All of these incidents have 
139.          been in the news in recent times.  Those customers who operate 
140.          electronic data services, or hobby type computer bulletin 
141.          board services are very sensitive to the issues these 
142.          incidents raise with regard to the security of the information 
143.          on their systems. Caller ID would make it Possible for 
144.          electronic data services and hobby bbs systems to immediately 
145.          know if their security system had been breached or bypassed. 
146.          Most of the systems that I have used or operated allow the 
147.          System Operator (or SYSOP), to see information about the 
148.          caller displayed on his computer terminal as the user logs on 
149.          to the system. This information usually includes the callers 
150.          name, or the name by which he is known on the system, the 
151.          callers password and the caller's telephone number. A SYSOP 
152.          who is monitoring a caller's activity would be able to see 
153.          immediately if the call is originating from the location 
154.          initially given by the caller. Those calls which are 
155.          originating from the caller's listed location would require no 
156.          further monitoring as it is fairly certain the the caller is 
157.          who he claims to be. Those calls which come from a location 
158.          the does not match the listed location could then be monitored 
159.          to determine if the caller is who he claims to be and for any 
160.          activity which would compromise the security of the system or 
161.          the privacy of the users. 
162.  
163.             I cannot emphasize how important this feature would be to 
164.          those customers who operate an electronic data transfer 
165.          system. Recently my own BBS almost fell victim to what I 
166.          would term a "computer delinquent". This person uploaded a 
167.          program to my system that was designed to destroy a section of 
168.          my computer's memory when used. Prosecuting this individual is 
169.          going to be difficult because, even though I have a complete 
170.          log of the activities of all the users on the day he 
171.          transferred the program to my system, I do NOT, however,  have 
172.          absolute proof that the call originated from the number that 
173.          owner of the account used in the transfer of this program gave 
174.          me when he requested access to my BBS. The ability to identify 
175.          the location of an incoming call would be invaluable to 
176.          maintaining the security of electronic Banking systems and 
177.          information clearing houses. With this system in place and 
178.          properly used it would substantially reduce the number of 
179.          incidents of unauthorized persons gaining access to 
180.          information on a multitude of electronic data systems. 
181.          Incidents such as I have just described would be reduced or 
182.          eliminated entirely. 
183.  
184.  
185.    All of the advantages I have outlined above would be available to the
186.    consumer only if the blocking of calls were not allowed. While I do
187.    believe that we all have the right to privacy as it regards our
188.    telephone number, and I also feel that those people who are currently
189.    paying for an "unlisted" or "non-published number" should have the
190.    right to maintain the privacy of that number, I also feel that there
191.    are some circumstances where blocking should NOT be allowed.
192.    Specifically those instances are:
193.           
194.           1: Calls made to an Emergency Service Provider. I think that 
195.              most people would agree that the ability to respond to an 
196.              emergency call, and the potential for loss of life or 
197.              property out weighs the callers need or desire for 
198.              privacy. 
199.  
200.           2: Calls which are made to residential or business 
201.              subscribers who have been receiving calls of a 
202.              threatening, harrassing, or obscene nature. In these cases 
203.              there should be a way to over-ride call the blocking of 
204.              the display of the incoming number, but such an over-ride 
205.              capability should be avialable only on the request of an 
206.              investigating authority. Further such a request should 
207.              only be made if it shown that the calls are originating 
208.              from a number which is blocking the display of the number, 
209.              and  the over-ride should only be allowed until such time 
210.              as the individual making these calls is caught.
211.  
212.           3: Calls made to electronic data services and computer BBS 
213.              systems. Those who provide such services should have the 
214.              ability to over-ride the blocking of an incoming number. 
215.              This is not a stand that I take lightly. While there is 
216.              the potential for abuse of this ability I feel that there 
217.              are several factors which mitigate in favor of the 
218.              over-ride of number blocking in this instance. First, many 
219.              electronic data systems contain information of a sensitive 
220.              or classified nature. Many banks now keep records of all 
221.              their accounts on computer systems. These systems both at 
222.              the local branch office, and the main headquarters can and 
223.              do communicate with each other automatically over the 
224.              telephone lines. As I have already outlined there have 
225.              been instances where unauthorized persons have managed to 
226.              gain access to these computer systems and make use of the 
227.              information contained on them. Further, those persons and 
228.              businesses which operate such systems are currently 
229.              subject to the provisions of the ECPA with regards to the 
230.              disclosure of any and all information contained on their 
231.              systems. Briefly, operators of electronic communications 
232.              systems, whether it be a national banking corporation 
233.              operating a nationwide computer banking network, or the 
234.              kid down the street who has 22 users on a BBS system that 
235.              operates for 3 hours a day, cannot divulge any of the 
236.              information on their system to anyone other than a law 
237.              enforcement agency acting under court order, or the user 
238.              of the account in question. To do so would be a violation 
239.              of the ECPA and would subject the operator to a fine of up 
240.              to $10,000 and up to five years in jail for each 
241.              violation. The potential harm that could result from an 
242.              unauthorized person gaining access to such a system is 
243.              enormous. A virus or "bomb" type program, if inserted into a 
244.              computer network, could completely destroy the ability of 
245.              that network to function, or even destroy all the data 
246.              contained on that network. If this network were that of a 
247.              bank it could effectively  leave depositors penniless until 
248.              the bank could recreate the records. 
249.  
250.  
251.    With regards to the drawbacks of Caller Id, I do agree that there may
252. be some problems associated with the technology as it affects a callers
253. privacy, but I also believe that if number blocking is allowed in all
254. but the circumstances I have already outlined then the problems
255. associated with Caller ID will be minimal. In the information that the
256. Assembly and Senate committees published concerning this hearing they
257. specifically mention banking and housing "red-lining" as one of their
258. concerns. In order to discuss this we must first understand a little bit
259. about how telephone exchange numbers are allocated to an area. In order
260. to provide service to an area the telephone company uses what they call
261. a "Central office". Each central office is set up to serve a specific
262. area and all calls going to or from this area are routed through that
263. office. In addition each office has a number of "exchanges, the first
264. three digits of a number after the area code are the exchange. How large
265. or small an area s central office serves is determined by the population
266. density of that area. In New York City, for example there are central
267. offices that serve only a few square blocks. In other areas, such as the
268. northern section of the 518 area code, a central office may serve an
269. area as large of 100 square miles or larger. In a densely populated area
270. an exchange may serve an area of only one or two blocks, while in a
271. sparse;y populated area it may serve an area as large as that which the
272. central office does. As an aid to the practice o f "red-lining" in
273. housing or banking Caller ID would only be practical in an area of high
274. population density, in an area of low or median density, such as the 518
275. area code, an exchange number could conceivably serve customers who are
276. as much as 10 miles apart making it impossible to tell exactly where the
277. call originates from without the aid of a numerical directory. Further,
278. Caller ID would also act as an aid in detecting the practice of
279. red-lining as it co uld easily be determined if calls originating fro m
280. a neighborhood or exchange are being answered. In addition, since Caller
281. ID appears to regulated by the ECPA it would subject those who use it to
282. accomplish red-lining the penalties provided by the ECPA in addition to
283. those already provided for in the Fair Housing Act and the Fair lending
284. Act.
285.  
286.    Potential does exist for the use of Caller ID as a means of
287.    identifying previously anonymous customers for the purpose of later
288.    solicitation, but again, such use is already clearly prohibited by
289.    the ECPA.
290.  
291.    With regard to the blocking of caller telephone numbers by Caller ID
292. I feel that blocking should be allowed in all but the cases I have
293. already outlined. Further blocking should be allowed on both a call by
294. call basis and as part of a service which will premanently block the
295. display of the number. Display of an incoming callers number should be
296. allowed for only in those instances where a significant risk to life and
297. or property is at stake. In addition I feel that certain numbers, such
298. as those of batter ed women's and children's shelter's, should be
299. blocked in all cases except where blocking the number would result in
300. significant risk to life and/or property.
301.  
302.    With regard to other technologies which would compliment Call
303.    blocking. again I would prefer to defer to those who design and
304.    market such items.
305.  
306.    With regard to the blocking or disclosure of unlisted and
307.    non-published numbers, such numbers should normally be blocked from
308.    being displayed under most circumstances. Again, in cases where a
309.    significant risk to life and/or property would result blocking should
310.    be over-ridden.
311.  
312.    WIth regard to the privacy of an individual as the receiver of a
313. telephone call I think we need to keep the following in mind. As a
314. subscriber of New York Telephone I have a telephone in my home. Since
315. that phone is in my own home the right of privacy attached to the house
316. should extend to the use of the telephone. I have the right and the
317. ability to see who is at my front door before I open that door and allow
318. entrance to my home. The same right should extend to my ability to know
319. who is calling me on m y telephone. If I do not wish to let a person in
320. my house because he refuses to identify himself to me I have that right.
321. i should also have the right to not answer my telephone if a caller does
322. not want his number identified. As a visitor to another's home the
323. homeowner has the right to refuse me entrance if I do not identify
324. myself to him, the same right should apply to his telephone.
325.  
326.    With regard to balancing the individuals right to privacy both as a
327. maker and receiver of telephone calls, I would hope that what I have
328. already said has done so. We are dealing with a new technology. It is
329. only recently that the ability to identify a caller before answering the
330. telephone has become available. The issues which I have attempted to
331. address. however, are not new, they have been in existence for as long
332. as the United States has. We have a right to privacy in our own homes,
333. and we have the ri ght to maintain that privacy be reasonable means. If
334. Caller Id is implemented in a manner that is consistent with what I have
335. just outlined then it's use should be able to insure the continuation of
336. the right to privacy without unwarranted intrusions. To sum up briefly,
337. in order to insure the telephone customer's right to privacy Caller ID
338. would have to allow for the following:
339.  
340.    1: The display of a caller's telephone number in those circumstances 
341.       where blocking the display would result in a significant risk to 
342.       life and/or property.
343.  
344.    2: The display of the number top those persons who operate 
345.       electronic data services, data clearing houses of computer 
346.       bulletin board systems, where such display is for the purpose of 
347.       insuring the security of the system, the security of the data on 
348.       the system and the privacy of the users accounts.   
349.  
350.    3: The display of a caller's number in those instances when the 
351.       making of threatening, harrassing and/or obscene telephones is 
352.       being investigated, provided that such display is requested by a 
353.       duly authorized investigative agency, that it has been shown that 
354.       the calls are originating from a number that is blocked from 
355.       display, and that such ability to use blocking will be restored 
356.       when the person making the calls is apprehended.
357.  
358.    4: Display blocking will be made available to those customers who 
359.       currently have an unlisted or non-published number as a part of 
360.       that service.
361.  
362.    5: Display blocking will be automatically disabled when calls are 
363.       placed to Emergency Service Providers or others who have a valid 
364.       need to display the number of each incoming caller.
365.  
366.    6: That the numbers of battered women's and children's shelters 
367.       shall be automatically blocked from all but Emergency Service 
368.       Providers.
369.  
370.    7: That all business customers electronic data system operators who 
371.       subscribe to Caller ID are made aware in writing that disclosing 
372.       the number of an incoming call is a violation of the ECPA and 
373.       that such disclosure may subject them to severe penalties.
374.  
375. If Caller Id is offered with these protections in place it should fairly
376. balance the privacy of both the caller and the person receiving the
377. call.
378.  
379.  
380. ***** NOTE FROM TOMMY *****
381.  
382. It is my opinion that an eighth protection should be put into place for
383. the protection of those subscribing to Caller ID:
384.  
385.    8: That the Caller-ID subscriber may, at his option, block incoming
386.    calls from callers employing Caller-ID blocking.
387.  
388. This option will protect those who wish to have *ALL* incoming calls
389. identified.  The idea is, if you won't identify yourself, I don't want
390. your call.  Tommy's Holiday Camp Remote Online Systems will subscribe to
391. this particular option should it become available in British Columbia.
392. This will ensure that users' accounts are 100% secure and eliminate
393. "spoofing" or users posing as other users, and eliminate the need for
394. Voice Validation.  Think about it.  From a hacker's point of view,
395. Caller ID is a catastrophe.  From a BBS sysop's point of view, it is his
396. salvation.
397.  
398. ***** TOMMY OUT *****
399.