home *** CD-ROM | disk | FTP | other *** search
/ Black Box 4 / BlackBox.cdr / textinfo / risks8a.arj / RISKS820.TXT < prev    next >
Encoding:
Text File  |  1989-02-07  |  21.0 KB  |  402 lines
  1. RISKS-LIST: RISKS-FORUM Digest  Sunday 5 February 1989   Volume 8 : Issue 20
  2.  
  3.         FORUM ON RISKS TO THE PUBLIC IN COMPUTERS AND RELATED SYSTEMS
  4.    ACM Committee on Computers and Public Policy, Peter G. Neumann, moderator
  5.  
  6. Contents:
  7.   FAA and flying under pressure in Alaska (PGN)
  8.   New use for Credit Cards (?) (Leslie Chalmers)
  9.   Computer Chaos in Burnaby (Stuart Lynne)
  10.   Swedish fighter plane crash (Otto J. Makela)
  11.   Re: Massachusetts limits disclosure of driver's license database.
  12.     (Jerome H Saltzer)
  13.   "Computer Literacy Education" Report Available (Ronni Rosenberg)
  14.   Engineering vs. Programming (Lynn R Grant)
  15.   Re: Structured Programming (Al Arsenault, Allen Gordon, Dan Franklin)
  16.  
  17. ----------------------------------------------------------------------
  18.  
  19. Date: Fri, 3 Feb 1989 16:42:10 PST
  20. From: Peter G. Neumann <neumann@csl.sri.com>
  21. Subject: FAA and flying under pressure in Alaska
  22.  
  23. Barometric pressure reached 31.85 inches at Northway, Alaska, on 1 Feb 89, the
  24. highest ever recorded in North America, and the third highest in the world.
  25. (This followed temperatures that unofficially reached -82 F; the official
  26. weather bureau thermometer conked out at -80.)  Because most aircraft
  27. altimeters could not provide accurate readings, the FAA grounded all air
  28. traffic that would require requiring instrument approaches.  [Source:  San
  29. Francisco Chronicle, 2 Feb 89, p. A2]
  30.  
  31. ------------------------------
  32.  
  33. Date:  Sat, 4 Feb 89 15:47 EST
  34. From: Chalmers@DOCKMASTER.ARPA
  35. Subject: New use for Credit Cards (?)
  36.  
  37. The following appeared in a newsletter from my company's travel
  38. agency that came with an airline ticket I received recently.
  39.  
  40.   The phrase 'one card does it all' is taking on new meaning.  This month,
  41.   Hyatt Hotels Corp. is testing a system that will allow a credit card to be
  42.   used as a hotel room key.  When the guest checks in by presenting a credit
  43.   card, the hotel's system will alert its in-house system to allow entry to the
  44.   guest's assigned room when the guest's credit card is inserted.
  45.  
  46.   The new feature, to be tested at the Hyatt Regency in San Francisco, is just
  47.   one element in the major hotel chains' efforts to increasingly cater to
  48.   business travelers.
  49.  
  50.   Automated check-in and check-out systems - with 800 numbers and videos - are
  51.   already in place in some hotels.  Watch for other chains to join the
  52.   automation revolution.  Ramada Hotels is evaluating a similar program that
  53.   allows check-in, room key use and check-out all using a cellular machine.
  54.   Guests will be able to slip the card through a machine for automatic
  55.   check-in, and the machine will assign the guest a room and encode that room
  56.   to accept the guest's card.
  57.  
  58.   At check-out, a similar procedure is followed.  When more than one guest is
  59.   staying in a room, the hotel can make a blank card that will allow room
  60.   entry.
  61.  
  62. I would say their are many risks associated with this (but not obvious enough
  63. for the hotels to notice), but the sentence that really stopped me was the last
  64. one.  One interpretation of this is that the hotels will be equipped with
  65. credit card duplicating machines, some of which won't even be restricted to
  66. hotel employees! Granted, these duplicate cards won't *look* like real cards,
  67. but they will probably be good enough to fake out any machine which reads the
  68. mag stripe on cards.  (Telephones which take credit cards come to mind
  69. immediately.)
  70.  
  71. An alternative interpretation is that the extra cards will be coded to contain
  72. values that are recognized by the hotel security system but which are not
  73. exact replications of the credit card mag stripe.  I sure hope this is right,
  74. but somehow I doubt it.
  75.                                              Leslie
  76. (The usual disclaimers apply.)
  77.  
  78. ------------------------------
  79.  
  80. Date: 4 Feb 89 08:01:59 GMT
  81. From: sl@van-bc.UUCP (pri=-10 Stuart Lynne)
  82. Subject: Computer Chaos in Burnaby
  83. Organization: Public Access Network, Vancouver, BC.
  84.  
  85. Yet another example of a very poorly executed computer system!
  86.  
  87. From the Vancouver Sun, Thursday, February 2, 1989
  88.   Burnaby's computer chaos started with obsolete system
  89.   Jeff Lee - Sun Regional Affairs Reporter
  90.  
  91. A computer system Burnaby bought three years ago for $200,000 that ended up
  92. costing more than $1.2 million to make operational was obsolete when it was
  93. chosen, a report on the purchase indicates.  The report released this week,
  94. also cited in-fighting among the muncipal departments, a flawed tendering
  95. process and lack of detailed plan as key reasons why the project "ran out of
  96. control."
  97.  
  98. Burnaby Mayor Bill Copeland said the report also shows council was not kept
  99. informed of the problems encountered in trying to make a prepared database
  100. system work effectively.  "It was not flagged for council. Even though some of
  101. us (on council) were questioning the high cost of the system, at no time until
  102. it was too late did our staff come forward and say the had problems," he said.
  103. Copeland called the computer system "a money-eating monstrosity" and promised
  104. to find out why staff never told council, and why they never caught on to the
  105. fact the system was designed in 1965.  He said it is too early to tell if staff
  106. will be disciplined, but council "is disappointed in our manager and director
  107. of administration. It appears our staff did not advise us when they should have.
  108.  
  109. Rumours circulated
  110.  
  111. Copeland said rumors had been circulating for some time about the systems's
  112. cost overruns, but no formal report was prepared until manager Mel Shelley
  113. ordered an independant audit in mid-1988.  The report, prepared by consultant
  114. Brian Mullen, not only showed the system was obsolete, but said the decision to
  115. make "enhancements" to it to make it fit Burnaby's needs was unwise.  The
  116. system failed an average of twice a week in 1988. It "is unreliable," Mullen
  117. said.
  118.  
  119. The municipality chose New York-based Information Associates Ltd. to provide
  120. the software after it received only two other bids, one of which was
  121. disqualified at an early stage.  A staff report at the time said the system
  122. would cost $118, plus an additional $70,000 to modify the software to Burnaby's
  123. needs,.  Mullen said many computer companies would have bid on the project had
  124. the system of tendering been relaxed. He said the terms of the bidding process
  125. were so retrictive that companies would have had to spend up to $10,000
  126. preparing for a $100,000 bid.  He also pointed the finger at infighting between
  127. the information services department and other agencies over the choice of the
  128. system.  Nearly $450,000 was spent on a computer consultancy firm that worked
  129. for 2 1/2 years trying to make the system work.
  130.  
  131. Municipal manager Shelley said he is preparing a report for council for Monday,
  132. and did not want to comment publicly before then.  A spokesman for Information
  133. Associates' Canadian offices in Toronto could not be reached.
  134.  
  135. --- end of article ---
  136.  
  137. Comments:
  138.     - note politician trying to CYA by claiming that he wasn't informed.
  139.     - no overall plan
  140.     - over restrictive tendering policies limited competitive bidding
  141.     - office politics
  142.  
  143. Not noted in this article but mentioned in a smaller article last week was
  144. the fact that the requirements where changed frequently.
  145.  
  146. I'm going to try and track down some more info next week. But it seems that
  147. this is a clear case of incompentence on the part of the people in charge of
  148. the project. They don't seem to have handled *anything* correctly.
  149.  
  150. Stuart.Lynne@wimsey.bc.ca {ubc-cs,uunet}!van-bc!sl    Vancouver,BC,604-937-7532
  151.  
  152. ------------------------------
  153.  
  154. Date: Fri, 3 Feb 89 13:18:49 +0200
  155. From: makela@tukki.jyu.fi
  156. Subject:  Swedish fighter plane crash
  157.  
  158.   The only existing prototype of the Swedish fighter plane JAS was destroyed
  159. in a crash at Linkoping on Thursday.  The plane was making a landing after it's
  160. 7th test flight, when for reasons unknown the plane rolled sharply to it's
  161. left, causing the left wingtip to hit the ground.  The plane then rolled wildly
  162. to the left side of the runway, losing it's wings and landing gear.
  163. Suprisingly enough, the main airframe was left relatively intact, and the
  164. pilot escaped with a broken arm.
  165.   According to specialists, the most probable cause of the accident was a
  166. technical failure.  As the plane in question is designed for supersonic speeds,
  167. it is non-stable at subsonics.  This would probably mean computer failure.
  168.   The whole accident happened before the cameras of the TV-Aktuellt crew.
  169. The fighter project has already been criticized severely, since is already 7
  170. billion Swedish kronor (the American usage, ie 7000 million; around one billion
  171. US$) over budget and 1 1/2 years late.  The Saab-Scania military airplane
  172. section has contract for 30 JAS fighters at a fixed price, with an option for
  173. 150 planes more if there is an agreement on pricing.  The Swedish air force
  174. has an estimated need for 300-400 planes after the year 2000.  Also the Finnish
  175. air force has been interested in the plane.
  176.  
  177. Otto J. Makela (with poetic license to kill), University of Jyvaskyla
  178.  
  179. InterNet: makela@tukki.jyu.fi, BitNet: MAKELA_OTTO_@FINJYU.BITNET
  180. BBS: +358 41 211 562 (V.22bis/V.22/V.21, 24h/d), Phone: +358 41 613 847
  181. Mail: Kauppakatu 1 B 18, SF-40100 Jyvaskyla, Finland, EUROPE
  182.  
  183. ------------------------------
  184.  
  185. Date: Thu, 2 Feb 89 14:05:09 gmt
  186. From: Jerome H Saltzer <jhs%computer-lab.cambridge.ac.uk@NSS.Cs.Ucl.AC.UK>
  187. Subject: Re: Massachusetts limits disclosure of driver's license database.
  188.          (RISKS-8.19 )
  189. [ From:  <Saltzer@Athena.MIT.EDU> ]
  190.  
  191. Jon Jacky comments,
  192.  
  193.   What I find notable about this story is the linkage between selling
  194.   personal information in government databases to anyone who asks and
  195.   legitimate law enforcement activities.  It seems in this case it is
  196.   felt you cannot limit the first without hampering the other.  I can't
  197.   tell from this account whether that is a technical consequence of the
  198.   way the database works, follows from the legalities somehow, or is
  199.   just a misconception.
  200.  
  201. The answer lies somewhere in between; it has little to do with computers or
  202. online databases, and civil libertarians in Massachusetts have fought a running
  203. battle on the subject for many years.  The Registrar of Motor Vehicles has
  204. taken a position from time immemorial that your driver's license and your
  205. vehicle registration are matters of public record, and it has always made all
  206. the information in its files available to anyone who requests.  With the
  207. automation of the Registry databases, the Registrar balanced the possibility of
  208. increased invasion of privacy against the possibility of increased revenue to
  209. the Registry (from selling the entire database on tape) and sprang for the
  210. revenue.  Those of us who register their new car in Massachusetts are
  211. accustomed to receiving computer-generated letters from rustproofing companies
  212. that start out "Dear Mr. Smith: I'll bet you want to protect your investment in
  213. your new Toyota. . ."
  214.  
  215. Occasionally someone makes some progress against this particular problem; a few
  216. years ago the Registry grudgingly began to allow people to request that their
  217. social security number not be used as their driver's license identification
  218. number.  But this flexibility is not publicized, and only those with enough
  219. interest in privacy to ask discover it.  As a result you can construct a list
  220. of what some people would consider Massachusetts "troublemakers" by purchasing
  221. the Registry database and going through it to look for identification numbers
  222. that don't pass social security number validity tests.
  223.  
  224. The legal maneuvering that Jacky reported should be viewed in the light of the
  225. traditional Registry position.  The first bid was to simply cut off all access
  226. to the information; I doubt that anyone expected that position to hold, but it
  227. had the entirely reasonable effect of forcing the Registry to make explicit
  228. arguments about who really needed to share the information and why.  From a
  229. strategic point of view, the procedure may have been close to optimum--it took
  230. only two steps, and the result is certainly a big improvement.  It remains to
  231. be seen whether or not the Registry finds some way to wriggle around the new
  232. rulings.
  233.                       Jerry Saltzer
  234.  
  235. ------------------------------
  236.  
  237. Date: Thu, 2 Feb 89 00:28:59 EST
  238. From: ronni@juicy-juice.lcs.mit.edu (Ronni Rosenberg)
  239. Subject: "Computer Literacy Education" Report Available
  240.  
  241. Many thanks to all who sent me messages about computer literacy. In about
  242. three weeks, my Ph.D. thesis will be available as a technical report from
  243. MIT's Laboratory for Computer Science (LCS-TR-433, January 1989).  If you
  244. would like a copy, you can request it from the lab or from me.
  245.  
  246. ------------------------------
  247.  
  248. Date:  Wed, 1 Feb 89 16:00 EST
  249. From: Lynn R Grant <Grant@DOCKMASTER.ARPA>
  250. Subject:  Engineering vs. Programming
  251.  
  252. Over the years I have heard many arguments about why engineering is a
  253. science and programming is not, and I have even believed some of them,
  254. since I went to engineering school before I got into the computer
  255. business.  It has finally occurred to me what the real difference is.
  256.  
  257. Engineers do a better job of design, not because they are more professional
  258. than programmers, but because they must.  When you design a radio or an
  259. automobile, there are hundreds of people wo must get involved in order to build
  260. it.  You can't sit down and discuss it with every one of them, so you must
  261. clearly document what you want in order to give them half a chance of building
  262. it right.
  263.  
  264. When you design a program, the design and the program can be one and the
  265. same, so a lower level of design documentation is possible.
  266.  
  267. As evidence of the fact that engineers design better because they must, not
  268. because they are by nature more professional, I submit the fact that
  269. microprocessors are being put into all sorts of formerly hardware driven
  270. devices, and hardware is being microprogrammed, for the most part, I believe,
  271. to get around the great overhead of engineering documentation.  And we are now
  272. getting hardware that has the same sort of failures caused by insufficient
  273. design that we have always experienced in programming projects.
  274.  
  275. Lynn R. Grant,    Consultant,    Computer Associates International, Inc.
  276.                   The opinions here are, of course, my own.
  277.  
  278. ------------------------------
  279.  
  280. Date:  Thu, 2 Feb 89 13:02 EST
  281. From: Al Arsenault <AArsenault@DOCKMASTER.ARPA>
  282. Subject:  Re: Structured Programming
  283.  
  284. I learned a couple of years ago that one can teach students some very valuable
  285. lessons about what 'structured programming' really is and why it's useful while
  286. they're at a relatively impressionable stage of their careers (I moonlight as
  287. an instructor of computer science at a local university.)
  288.  
  289. I noticed that many students had as an overriding goal getting the programs
  290. they write for class to work right - "style" and "structure" took a back seat
  291. to generating the right output.  So, I assigned two projects, which were
  292. identical except that a particular data structure had to be implemented one way
  293. in the first assignment and a different way in the second one.  Then, I gave
  294. the students approximately three weeks to complete the first assignment, but
  295. only about one week to do the second.  (This was a second programming class for
  296. most students, and the assignment took about 1,000 lines of Pascal code, so it
  297. was a major undertaking for most student.)
  298.  
  299. The result was that those who had written the first program "properly" (i.e.,
  300. lots of modularity, information hiding, and other buzzwords) had to make only a
  301. few modifications to complete the second assignment, while those who had
  302. programmed without any sense of structure got to write the entire thing over
  303. from scratch.
  304.  
  305. Several former students have since told me that it taught them a very valuable
  306. lesson, which they have carried with them into their professional careers.
  307.  
  308. It's something like spilling a drink on your keyboard:  once you've been burned
  309. by something once, you usually learn not to do it again.
  310.                                                              Al Arsenault
  311.  
  312. ------------------------------
  313.  
  314. Date: Thu, 2 Feb 89 11:52 MST
  315. From: GORDON_A%CUBLDR%VAXF.COLORADO.EDU@CUNYVM.CUNY.EDU
  316. Subject: RE: Structured Programming (RISKS-8.19)
  317.  
  318. I would like to add an example to the discussion of structured code etc.
  319. Several years ago I worked for a couple of years for a software house that
  320. produced a turn-key accounting system.  It ran on a POINT 4 mini (DG NOVA
  321. clone) under IRIS.  This is not a favorable environment for development! Worse
  322. the entire system consisting of over 1000 modules was written in Business
  323. Basic!.  To make the matters worse the system was written for the Leasing
  324. Industry, which has perhaps one of most nightmarish accounting schemes
  325. imaginable since there are lots of ways to structure leases.  Anyway, the
  326. design of the database was, in principle, masterful.  There were master files
  327. which contained the names and locations of virtually every file, field and
  328. program, inaddition to the records and files which contained data.  On the
  329. other hand the programs were written in a "spaghetti code", using 2-character
  330. variable names (the limit for business basic).  No attempt was ever implemented
  331. to use some of the tools available and precompilers.  Needless to say
  332. maintenance was literally a nightmare.  Implementing changes were worse.  If a
  333. field in a control or data file or record were changed, there was no way to
  334. track which of the 1000 modules were affected until after the modified software
  335. was put into use by the client and they screamed back at us.
  336.  
  337. The masterful design of the database was also one of its weaknesses.  Everytime
  338. during data entry operations, a record was written to the database, a couple of
  339. hundred disk reads had to be performed in order to get all of the locations,
  340. etc., of the files, programs, etc.  Since this was a time share system,
  341. multiplying that by 30 or 40 data entry operators in addition to other
  342. personnel doing various system operations, brought the system to its knees.
  343. The disk drives were simply overwhelmed with swapping and the necessary file
  344. read and write operations.  Fixes were implemented but it was like installing
  345. after-market items on a '56 chevy to make it go fast.  Of course even if the
  346. programs were structured, the performance problem would not have been fixed.
  347. The catch-22 was that because of the problems with maintenance we had no time
  348. to implement real fixes.
  349.                                   Allen Gordon
  350.  
  351. ------------------------------
  352.  
  353. Date:     Fri, 3 Feb 89 13:39:12 EST
  354. From: Dan Franklin <dan@WATSON.BBN.COM>
  355. Subject:  Re: Structured Programming
  356.  
  357. A recent message on this topic asked if anyone was still carrying out
  358. studies of what programming practices contribute to errors.  The
  359. answer is emphatically yes!
  360.  
  361. "Delocalized plans" are one example of a programming practice that's
  362. been demonstrated to cause errors.  This phrase refers to a procedure
  363. for performing some action -- a "plan" -- whose steps are spread
  364. through the actual code -- "delocalized".  Delocalized plans are a
  365. fruitful source of maintenance errors, because maintenance programmers
  366. generally don't (and often can't) read through an entire program
  367. before they start making what appears to be a small, localized change.
  368.  
  369. One recent article on delocalized plans appears in CACM, Vol 31 No 11 (November
  370. 1988): "Designing Documentation to Compensate for Delocalized Plans" (Soloway
  371. et al).  The article is a bit more general than the title implies; the general
  372. problem of delocalized plans is discussed as well as documentation issues.
  373. (This article is a follow-on to discussions of delocalized plans in the book
  374. "Empirical Studies of Programmers", Soloway and Iyengar, Eds, Ablex, N.J.,
  375. 1986, as well as an article in IEEE Software, May 1986, "Delocalized Plans and
  376. Program Comprehension".)
  377.  
  378. The authors discuss an experiment using a 14-module, 250-line Fortran program
  379. that performs simple database operations.  Different programmers were asked to
  380. modify the program to add an "undelete" feature, which would restore deleted
  381. records in the database.  It looks like a simple task, because deleted records
  382. are not actually removed, merely marked "deleted".  The trick is that the
  383. obvious method of calling the search routine to find the record, then clearing
  384. the deletion mark, doesn't work because the search routine skips over deleted
  385. records.  In other words, deletion itself is done by a "delocalized plan" that
  386. affects both the delete routine itself and the search routine.  Many
  387. programmers asked to make the change didn't realize that.
  388.  
  389. This simple experiment shows a language-independent source of maintenance
  390. errors and (to me, at least) indicates that to the extent practical, you should
  391. try to group together all the steps that perform some operation, rather than
  392. scattering them throughout the code.  Obvious?  Perhaps; but in a world where
  393. some people think indenting code is a bad idea, even obvious conclusions
  394. apparently need to be demonstrated.
  395.                                                    Dan Franklin
  396.  
  397. ------------------------------
  398.  
  399. End of RISKS-FORUM Digest 8.20
  400. ************************
  401. -------
  402.