home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #1 / NN_1993_1.iso / spool / alt / comp / acadfre / talk / 3923 < prev    next >
Encoding:
Text File  |  1993-01-11  |  4.1 KB  |  94 lines
  1. Newsgroups: alt.comp.acad-freedom.talk
  2. Path: sparky!uunet!usc!wupost!cs.uiuc.edu!kadie
  3. From: kadie@cs.uiuc.edu (Carl M. Kadie)
  4. Subject: []  DoJ Has NOT "Authorized" Keystroke Monitoring
  5. Message-ID: <C0oL07.ow@cs.uiuc.edu>
  6. Followup-To: alt.comp.acad-freedom.talk
  7. Organization: University of Illinois, Dept. of Comp. Sci., Urbana, IL
  8. Date: Mon, 11 Jan 1993 08:31:19 GMT
  9. Lines: 83
  10.  
  11. [A repost - Carl]
  12.  
  13. Date: Fri, 18 Dec 1992 02:35:52 EDT
  14. From: Dorothy Denning <denning@CS.GEORGETOWN.EDU>
  15. Subject:  DoJ Has NOT "Authorized" Keystroke Monitoring
  16.  
  17. Dave Banisar posted a message a while back with the headline "DOJ
  18. Authorizes Keystroke Monitoring."  The following article by Dennis
  19. Steinauer of NIST clarifies just what exactly the DOJ really said.
  20.  
  21. Dorothy Denning
  22. denning@cs.georgetown.edu
  23. +++++++
  24. from PRIVACY Forum Digest, Vol. 01:Issue 28
  25.  
  26. Date--Fri, 11 Dec 92 16:14:09 EST
  27. From--dds@csmes.ncsl.nist.gov (Dennis D. Steinauer)
  28. Subject--DoJ Has NOT "Authorized" Keystroke Monitoring
  29.  
  30. The Subject line on the recent reposting by David Banisar of the 7 Dec
  31. 92 advisory from CERT/CC is highly misleading and inappropriate.  As
  32. with some newspapers, it is important that people read more than just
  33. the headlines.
  34.  
  35. The Department of Justice hasn't "authorized" anything.  Rather, they
  36. are advising system administrators that certain activities, namely the
  37. monitoring or recording of user-to-computer session transmissions
  38. (hence "keystroke monitoring") MAY be found illegal in certain
  39. circumstances and that notice should be given to users.
  40.  
  41. The CERT advisory was extracted from a letter to the National
  42. Institute of Standards and Technology (NIST) from DoJ.  Justice asked
  43. NIST in its role of providing computer security guidance to Government
  44. to circulate the letter and provide appropriate guidance.  We have
  45. made the letter available, without comment, through several government
  46. and other channels (including CERT, I4, etc.).
  47.  
  48. The letter is intended to advise system administrators of an ambiguity
  49. in U.S. law that makes it unclear whether session monitoring, often
  50. conducted by system administrators who suspect unauthorized activity,
  51. is basically the same as an unauthorized telephone wiretap.  I repeat,
  52. the law is *unclear* -- and the fact that one can argue either way on
  53. the issue does not clarify the law as currently written.  DoJ advises,
  54. therefore, that if system adminstrators are conducting session
  55. monitoring or anticipate the need for such monitoring, they should
  56. ensure that all system users be notified that such monitoring may be
  57. undertaken.
  58.  
  59. The DoJ advice, therefore, is not "authorizing" anything -- even
  60. implicitly.  They have simply observed the types of activities that
  61. diligent system managers often undertake (a la Cliff Stoll in "The
  62. Cuckoo's Egg") in an attempt to protect their systems from
  63. unauthorized users, and they have rendered some prudent legal advice.
  64.  
  65. Clearly, there are lots of issues here -- technical and otherwise --
  66. that will need to be discussed and sorted out.  Indeed, changes in
  67. agency/organizational policies and even the law are probably needed.
  68. However, none of this changes the fact that system administrators need
  69. now to be aware of the potential impact of their activities, and the
  70. DoJ advice attempts to do this.
  71.  
  72. We (NIST) are developing additional guidance for system administrators
  73. to assist them in implementing the DoJ recommendations.  I expect that
  74. others will be doing likewise.  We also hope to encourage discussion
  75. of the related technical and other issues.  In the meantime, system
  76. adminstrators are well advised to read the basic DoJ advice and
  77. examine their systems and agency policies to determine if, where, and
  78. how notices should be provided to users.  We welcome comments and
  79. suggestions, particularly regarding approaches that various
  80. organizations take in dealing with this issue.
  81.  
  82. =====
  83. Dennis D. Steinauer
  84. National Institute of Standards and Technology
  85. A-216 Technology
  86. Gaithersburg, MD 20899 USA
  87. (301) 975-3359
  88. (301) 948-0279 Facsimile
  89. DSteinauer@nist.gov (e-mail)
  90. NIST Security BBS: 301-948-5717 (cs-bbs.nist.gov)
  91. -- 
  92. Carl Kadie -- I do not represent any organization; this is just me.
  93.  = kadie@cs.uiuc.edu =
  94.