home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / etc / hacklaw / civlib.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  24.0 KB  |  485 lines
  1. Civil Liberties in Cyberspace:
  2. When does hacking turn from an exercise 
  3. of civil liberties into crime?
  4.  
  5. by Mitchell Kapor
  6.  
  7. published in Scientific American, 
  8. September, 1991.
  9.  
  10.  
  11. On March 1, 1990, the U.S. Secret Service raided the offices of Steve
  12. Jackson, an entrepreneurial publisher in Austin, Tex. Carrying a
  13. search warrant, the authorities confiscated computer hardware and
  14. software, the drafts of his about-to-be-released book and many business
  15. records of his company, Steve Jackson Games. They also seized the
  16. electronic bulletin-board system used by the publisher to communicate
  17. with customers and writers, thereby seizing all the private electronic
  18. mail on the system.
  19.  
  20.  
  21. The Secret Service held some of the equipment and material for months,
  22. refusing to discuss their reasons for the raid. The publisher was forced
  23. to reconstruct his book from old manuscripts, to delay filling orders
  24. for it and to lay off half his staff. When the warrant application was
  25. finally unsealed months later, it confirmed that the publisher was
  26. never suspected of any crime.
  27.  
  28.  
  29. Steve Jackson's legal difficulties are symptomatic of a widespread
  30. problem.  During the past several years, dozens of individuals have been
  31. the subject of similar searches and seizures. In any other context, this
  32. warrant might never have been issued. By many interpretations, it
  33. disregarded the First and Fourth Amendments to the U. S. Constitution,
  34. as well as several existing privacy laws. But the government proceeded
  35. as if civil liberties did not apply. In this case, the government was
  36. investigating a new kind of crime -- computer crime.
  37.  
  38.  
  39. The circumstances vary, but a disproportionate number of cases share a
  40. common thread: the serious misunderstanding of computer-based communi-
  41. cation and its implications for civil liberties. We now face the task
  42. of adapting our legal institutions and societal expectations to the
  43. cultural phenomena that even now are springing up from communications
  44. technology.
  45.  
  46.  
  47. Our society has made a commitment to openness and to free
  48. communication. But if our legal and social institutions fail to adapt
  49. to new technology, basic access to the global electronic media could be
  50. seen as a privilege, granted to those who play by the strictest rules,
  51. rather than as a right held by anyone who needs to communicate. To
  52. assure that these freedoms are not compromised, a group of computer
  53. experts, including myself, founded the Electronic Frontier Foundation
  54. (EFF) in 1990.
  55.  
  56.  
  57. In many respects, it was odd that Steve Jackson Games got caught up in a
  58. computer crime investigation at all. The company publishes a popular,
  59. award-winning series of fantasy roleplaying games, produced in the
  60. form of elaborate rule books. The raid took place only because law
  61. enforcement officials misunderstood the technologies -- computer
  62. bulletin-board systems (BBSs) and on-line forums -- and misread the
  63. cultural phenomena that those technologies engender.
  64.  
  65.  
  66. Like a growing number of businesses, Steve Jackson Games operated an
  67. electronic bulletin board to facilitate contact between players of its
  68. games and their authors. Users of this bulletin-board system dialed in
  69. via modem from their personal computers to swap strategy tips, learn
  70. about game upgrades, exchange electronic mail and discuss games and
  71. other topics.
  72.  
  73.  
  74. Law enforcement officers apparently became suspicious when a Steve
  75. Jackson Games employee -- on his own time and on a BBS he ran from his
  76. house -- made an innocuous comment about a public domain protocol for
  77. transferring computer files called Kermit. In addition, officials
  78. claimed that at one time the employee had had on an electronic
  79. bulletin board a copy of Phrack, a widely disseminated electronic publi-
  80. cation, that included information they believed to have been stolen from
  81. a BellSouth computer.
  82.  
  83.  
  84. The law enforcement officials interpreted these facts as unusual
  85. enough to justify not only a search and seizure at the employee's
  86. residence but also the search of Steve Jackson Games and the seizure of
  87. enough equipment to disrupt the business seriously. Among the items
  88. confiscated were all the hard copies and electronically stored copies of
  89. the manuscript of a rule book for a role-playing game called GURPS
  90. Cyberpunk, in which inhabitants of so-called cyberspace invade
  91. corporate and government computer systems and steal sensitive data.
  92. Law enforcement agents regarded the book, in the words of one, as "a
  93. handbook for computer crime."
  94.  
  95.  
  96. A basic knowledge of the kinds of computer intrusion that are
  97. technically possible would have enabled the agents to see that GURPS
  98. Cyberpunk was nothing more than a science fiction creation and that
  99. Kermit was simply a legal, frequently used computer program.
  100. Unfortunately, the agents assigned to investigate computer crime did not
  101. know what -- if anything -- was evidence of criminal activity.
  102. Therefore, they intruded on a small business without a reasonable
  103. basis for believing that a crime had been committed and conducted a
  104. search and seizure without looking for "particular" evidence, in vi-
  105. olation of the Fourth Amendment of the Constitution.
  106.  
  107.  
  108. Searches and seizures of such computer systems affect the rights of
  109. not only their owners and operators but also the users of those systems.
  110. Although most BBS users have never been in the same room with the
  111. actual computer that carries their postings, they legitimately expect
  112. their electronic mail to be private and their lawful associations to
  113. be protected.
  114.  
  115.  
  116. The community of bulletin-board users and computer networkers may be
  117. small, but precedents must be understood in a greater context. As
  118. forums for debate and information exchange, computer-based bulletin
  119. boards and conferencing systems support some of the most vigorous
  120. exercise of the First Amendment freedoms of expression and association
  121. that this country has ever seen. Moreover, they are evolving rapidly
  122. into large-scale public information and communications utilities.
  123.  
  124.  
  125. These utilities will probably converge into a digital national public
  126. network that will connect nearly all homes and businesses in the U.S.
  127. This network will serve as a main conduit for commerce, learning,
  128. education and entertainment in our society, distributing images and
  129. video signals as well as text and voice.  Much of the content of this
  130. network will be private messages serving as "virtual" town halls,
  131. village greens and coffeehouses, where people post their ideas in public
  132. or semipublic forums.
  133.  
  134.  
  135. Yet there is a common perception that a defense of electronic civil
  136. liberties is somehow opposed to legitimate concerns about the
  137. prevention of computer crime. The conflict arises, in part, because
  138. the popular hysteria about the technically sophisticated youths known as
  139. hackers has drowned out reasonable discussion.
  140.  
  141.  
  142. Perhaps inspired by the popular movie _WarGames_, the general public
  143. began in the 1980s to perceive computer hackers as threats to the
  144. safety of this country's vital computer systems. But the image of
  145. hackers as malevolent is purchased at the price of ignoring the
  146. underlying reality -- the typical teenage hacker is simply tempted by
  147. the prospect of exploring forbidden territory. Some are among our best
  148. and brightest technological talents: hackers of the 1960s and 1970s,
  149. for example, were so driven by their desire to master, understand and
  150. produce new hardware and software that they went on to start companies
  151. called Apple, Microsoft and Lotus.
  152.  
  153.  
  154. How do we resolve this conflict? One solution is ensure that our scheme
  155. of civil and criminal laws provides sanctions in proportion to the
  156. offenses. A system in which an exploratory hacker receives more time in
  157. jail than a defendant convicted of assault violates our sense of
  158. justice. Our legal tradition historically has shown itself capable of
  159. making subtle and not-so-subtle distinctions among criminal offenses.
  160.  
  161.  
  162. There are, of course, real threats to network and system security. The
  163. qualities that make the ideal network valuableQits popularity, its
  164. uniform commands, its ability to handle financial transactions and its
  165. international access -- also make it vulnerable to a variety of
  166. abuses and accidents. It is certainly proper to hold hackers
  167. accountable for their offenses, but that accountability should never
  168. entail denying defendants the safeguards of the Bill of Rights,
  169. including the rights to free expression and association and to free-
  170. dom from unreasonable searches and seizures.
  171.  
  172.  
  173. We need statutory schemes that address the acts of true computer crim-
  174. inals (such as those who have created the growing problem of toll and
  175. credit-card fraud) while distinguishing between those criminals and
  176. hackers whose acts are most analogous to noncriminal trespass. And we
  177. need educated law enforcement officials who will be able to recognize
  178. and focus their efforts on the real threats.
  179.  
  180.  
  181. The question then arises: How do we help our institutions, and
  182. perceptions, adapt? The first step is to articulate the kinds of values
  183. we want to see protected in the electronic society we are now shaping
  184. and to make an agenda for preserving the civil liberties that are
  185. central to that society. Then we can draw on the appropriate legal
  186. traditions that guide other media. The late Ithiel de Sola Pool argued
  187. in his influential book Technologies of Freedom that the medium of
  188. digital communications is heir to several traditions of control: the
  189. press, the common carrier and the broadcast media.
  190.  
  191.  
  192. The freedom of the press to print and distribute is explicitly
  193. guaranteed by the First Amendment. This freedom is somewhat limited,
  194. particularly by laws governing obscenity and defamation, but the thrust
  195. of First Amendment law, especially in this century, prevents the
  196. government from imposing "prior restraint" on publications.
  197.  
  198.  
  199. Like the railroad networks, the telephone networks follow common-car-
  200. rier principles -- they do not impose content restrictions on the
  201. "cargo" they carry. It would be unthinkable for the telephone company to
  202. monitor our calls routinely or cut off conversations because the
  203. subject matter was deemed offensive.
  204.  
  205.  
  206. Meanwhile the highly regulated broadcast media are grounded in the
  207. idea, arguably mistaken, that spectrum scarcity and the pervasiveness
  208. of the broadcast media warrant government allocation and control of
  209. access to broadcast frequencies (and some control of content). Access
  210. to this technology is open to any consumer who can purchase a radio or
  211. television set, but it is nowhere near as open for information
  212. producers.
  213.  
  214.  
  215. Networks as they now operate contain elements of publishers,
  216. broadcasters, bookstores and telephones, but no one model fits. This
  217. hybrid demands new thinking or at least a new application of the old
  218. legal principles. As hybrids, computer networks also have some features
  219. that are unique among the communications media. For example, most
  220. conversations on bulletin boards, chat lines and conferencing systems
  221. are both public and private at once. The electronic communicator speaks
  222. to a group of individuals, only some of whom are known personally, in a
  223. discussion that may last for days or months.
  224.  
  225.  
  226. But the dissemination is controlled, because the membership is limited
  227. to the handful of people who are in the virtual room, paying attention.
  228. Yet the result may also be "published" -- an archival textual or voice
  229. record can be automatically preserved, and newcomers can read the
  230. backlog. Some people tend to equate on-line discussions with party (or
  231. party-line) conversations, whereas others compare them to newspapers
  232. and still others think of citizens band radio.
  233.  
  234.  
  235. In this ambiguous context, freespeech controversies are likely to
  236. erupt. Last year an outcry went up against the popular Prodigy comput-
  237. er service, a joint venture of IBM and Sears, Roebuck and Co. The
  238. problem arose because Prodigy management regarded their service as
  239. essentially a newspaper" or "magazine," for which a hierarchy of
  240. editorial control is appropriate. Some of Prodigy's customers, in
  241. contrast, regarded the service as more of a forum or meeting place.
  242.  
  243.  
  244. When users of the system tried to protest Prodigy's policy, its editors
  245. responded by removing the discussion.  then the protestors tried to
  246. use electronic mail as a substitute for electron- assembly,
  247. communicating through huge mailing lists. Prodigy placed a limit on the
  248. number of messages each individual could send.
  249.  
  250.  
  251. The Prodigy controversy illustrates important principle that belongs on
  252. civil liberties agenda for the future: freedom-of-speech issues will not
  253. disappear simply because a service provider has tried to impose a
  254. metaphor on its service. Subscribers sense, I believe, that freedom of
  255. speech on the networks is central for individuals to use electronic
  256. communications. Science fiction writer William Gibson once remarked
  257. that "the street finds its own uses for things." Network service pro-
  258. viders will continue to discover that their customers will always find
  259. their own best uses for new media.
  260.  
  261.  
  262. Freedom of speech on networks will be promoted by limiting content-based
  263. regulations and by promoting competition among providers of network
  264. services. The first is necessary because governments will be tempted
  265. to restrict the content of any information service they subsidize or
  266. regulate. The second is necessary because market competition is the
  267. most efficient means of ensuring that needs of network users will be
  268. met.
  269.  
  270.  
  271. The underlying network should essentially be a "carrier" -- it should
  272. operate under a content-neutral regime in which access is available to
  273. any entity that can pay for it. The information and forum services would
  274. be "nodes" on this network. (Prodigy, like GEnie and CompuServe,
  275. currently maintains its own proprietary infrastructure, but a future
  276. version of Prodigy might share the same network with services like
  277. CompuServe.)
  278.  
  279.  
  280. Each service would have its own unique character and charge its own
  281. rates. If a Prodigy-like entity correctly perceives a need for an
  282. electronic "newspaper" with strong editorial control, it will draw an
  283. audience. Other less hierarchical services will share the network with
  284. that "newspaper" yet find their own market niches, varying by format and
  285. content.
  286.  
  287.  
  288. The prerequisite for this kind of competition is a carrier capable of
  289. highbandwidth traffic that is accessible to individuals in every
  290. community. Like common carriers, these network carriers should be seen
  291. as conduits for the distribution of electronic transmissions.  They
  292. should not be allowed to change the content of a message or to discrim-
  293. inate among messages.
  294.  
  295. This kind of restriction will require shielding the carriers from legal
  296. liabilities for libel, obscenity and plagiarism.  Today the ambiguous
  297. state of liability law has tempted some computer network carriers to
  298. reduce their risk by imposing content restrictions. This could be
  299. avoided by appropriate legislation. Our agenda requires both that the
  300. law shield carriers from liability based on content and that carriers
  301. not be allowed to discriminate.
  302.  
  303.  
  304. All electronic "publishers" should be allowed equal access to networks.
  305. Ultimately, there could be hundreds of thousands of these information
  306. providers, as there are hundreds of thousands of print publishers
  307. today. As "nodes," they will be considered the conveners of the
  308. environments within which on-line assembly takes place.
  309.  
  310.  
  311. None of the old definitions will suffice for this role. For example,
  312. to safeguard the potential of free and open inquiry, it is desirable
  313. to preserve each electronic publisher's control over the general flow
  314. and direction of material under his or her imprimaturQin effect, to give
  315. the "sysop," or system operator, the prerogatives and protections of a
  316. publisher.
  317.  
  318.  
  319. But it is unreasonable to expect the sysop of a node to review every
  320. message or to hold the sysop to a publish er's standard of libel.
  321. Message traffic on many individually owned services is already too
  322. great for the sysop to review.  We can only expect the trend to grow.
  323. Nor is it appropriate to compare nodes to broadcasters (an analogy
  324. likely to lead to licensing and content-based regulation). Unlike the
  325. broadcast media, nodes do not dominate the shared resource of a public
  326. community, and they are not a pervasive medium. To take part in a
  327. controversial discussion, a user must actively seek entry into the
  328. appropriate node, usually with a subscription and a password.
  329.  
  330.  
  331. Anyone who objects to the content of a node can find hundreds of other
  332. systems where they might articulate their ideas more freely. The danger
  333. is if choice is somehow restricted: if all computer networks in the
  334. country are restrained from allowing discussion on particular subjects
  335. or if a publicly sponsored computer network limits discussion.
  336.  
  337.  
  338. This is not to say that freedom-of-speech principles ought to protect
  339. all electronic communications. Exceptional cases, such as the BBS used
  340. primarily to traffic in stolen long-distance access codes or credit-card
  341. numbers, will always arise and pose problems of civil and criminal
  342. liability. We know that electronic freedom of speech, whether in public
  343. or private systems, cannot be absolute. In face-to-face conversation and
  344. printed matter today, it is commonly agreed that freedom of speech
  345. does not cover the communications inherent in criminal conspiracy,
  346. fraud, libel, incitement to lawless action and copyright infringement.
  347.  
  348.  
  349. If there are to be limits on electronic freedom of speech, what
  350. precisely should those limits be? One answer to this question is the
  351. U.S. Supreme Court's 1969 decision in Brandenburg v. Ohio.  The court
  352. ruled that no speech should be subject to prior restraint or criminal
  353. prosecution unless it is intended to incite and is likely to cause
  354. imminent lawless action.
  355.  
  356.  
  357. In general, little speech or publication falls outside of the
  358. protections of the Brandenburg case, since most people are able to
  359. reflect before acting on a written or spoken suggestion. As in
  360. traditional media, any on-line messages should not be the basis of
  361. criminal prosecution unless the Brandenburg standard is met.
  362.  
  363.  
  364. Other helpful precedents include cases relating to defamation and
  365. copyright infringement. Free speech does not mean one can damage a
  366. reputation or appropriate a copyrighted work without being called to
  367. account for it. And it probably does not mean that one can release a
  368. virus across the network in order to "send a message" to network
  369. subscribers. Although the distinction is trickier than it may first
  370. appear, the release of a destructive program, such as a virus, may be
  371. better analyzed as an act rather than as speech.
  372.  
  373.  
  374. Following freedom of speech on our action agenda is freedom from unrea-
  375. sonable searches and seizures. The Steve Jackson case was one of many
  376. cases in which computer equipment and disks were seized and held some-
  377. times for months -often without a specific charge being filed. Even when
  378. only a few files were relevant to an investigation, entire computer
  379. systems, including printers, have been removed with their hundreds of
  380. files intact.
  381.  
  382.  
  383. Such nonspecific seizures and searches of computer data allow "rummag-
  384. ing," in which officials browse through private files in search of
  385. incriminating evidence. In addition to violating the Fourth Amendment
  386. requirement that searches and seizures be "particular," these searches
  387. often run afoul of the Electronic Communications Privacy Act of 1986.
  388. This act prohibits the government from seizing or intercepting elec-
  389. tronic communications without proper authorization. They also contravene
  390. the Privacy Protection Act of 1980, which prohibits the government from
  391. searching the offices of Dublishers for documents, including
  392. materials that are electronically stored.
  393.  
  394.  
  395. We can expect that law enforcement agencies and civil libertarians
  396. will agree over time about the need to establish procedures for
  397. searches and seizures of "particular" computer data and hardware. Law
  398. enforcement officials will have to adhere to guidelines in the above
  399. statutes to achieve Fourth Amendment "particularity" while maximizing
  400. the efficiency of their searches. They also will have to be trained to
  401. make use of software tools that allow searches for particular files or
  402. particular information within files on even the most capacious hard
  403. disk or optical storage device.
  404.  
  405.  
  406. Still another part of the solution will be law enforcement's abandonment
  407. of the myth of the clever criminal hobbyist. Once law enforcement no
  408. longer assumes worst-case behavior but looks instead for real evidence
  409. of criminal activity, its agents will learn to search and seize only
  410. what they need.
  411.  
  412.  
  413. Developing and implementing a civil liberties agenda for computer net-
  414. works will require increasing participation by technically trained
  415. people. Fortunately, there are signs that this is begining to happen.
  416. The Computers, Freedom and Privacy Conference, held last spring in San
  417. Francisco, along with electronic conferences on the WELL (Whole Earth
  418. 'Lectronic Link) and other computer networks, have brought law
  419. enforcement officials, supposed hackers and interested members of the
  420. computer community together in a spirit of free and frank discussion.
  421. Such gatherings are beginning to work out the civil liberties guidelines
  422. for a networked society.
  423.  
  424.  
  425. There is general agreement, for example, that a policy on electronic
  426. crime should offer protection for security and privacy on both
  427. individual and institutional systems. Defining a measure of damages
  428. and setting proportional punishment will require further goodfaith
  429. deliberations by the community involved with electronic freedoms, in-
  430. cluding the Federal Bureau of Investigation, the Secret Service, the
  431. bar associations, technology groups, telephone companies and civil
  432. libertarians.  It will be especially important to represent the damage
  433. caused by electronic crime accurately and to leave room for the valuable
  434. side of the hacker spirit: the interest in increasing legitimate under-
  435. standing through exploration.
  436.  
  437.  
  438. We hope to see a similar emerging consensus on security issues. Network
  439. systems should be designed not only to provide technical solutions to
  440. security problems but also to allow system operators to use them
  441. without infringing unduly on the rights of users. A security system
  442. that depends on wholesale monitoring of traffic, for example, would
  443. create more problems than it would solve.
  444.  
  445.  
  446. Those parts of a system where damage would do the greatest harm --
  447. financial records, electronic mail, military data -- should be
  448. protected. This involves installing more effective computer security
  449. measures, but it also means redefining the legal interpretations of
  450. copyright, intellectual property, computer crime and privacy so that
  451. system users are protected against individual criminals and abuses by
  452. large institutions. These policies should balance the need for civil
  453. liberties against the need for a secure, orderly, protected electronic
  454. society.
  455.  
  456.  
  457. As we pursue that balance, of course, confrontations will continue to
  458. take place. In May of this year, Steve Jackson Games, with the support
  459. of the EFF, filed suit against the Secret Service, two individual Secret
  460. Service agents, an assistant U.S. attorney and others.
  461.  
  462.  
  463. The EFF is not seeking confrontation for its own sake. One of the
  464. realities of our legal system is that one often has to fight for a legal
  465. or constitutional right in the courts in order to get it recognized
  466. outside the courts. One goal of the lawsuit is to establish clear
  467. grounds under which search and seizure of electronic media is
  468. "unreasonable" and unjust. Another is to establish the clear
  469. applicability of First Amendment principles to the new medium.
  470.  
  471.  
  472. But the EFF's agenda extends far beyond liagation. Our larger agenda
  473. includes sponsoring a range of educational initiatives aimed at the
  474. public's general lack of familiarity with the technology and its
  475. potential. That is why there is an urgent need for technologically
  476. knowledgeable people to take part in the public debate over communica-
  477. tions policy and to help spread their understanding of these issues.
  478. Fortunately, the very technology at stake -- electronic conferencing
  479. -- makes it easier than ever before to get involved in the debate.
  480.  
  481.  
  482.  
  483.  
  484.  
  485.