home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / etc / misc / caller.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  22.9 KB  |  399 lines
  1.  
  2.          Statement by Martin Winter, before the Joint Public Hearing
  3.               Assembly Consumer Affairs & Protection Committe
  4.           Assembly Corporations, Authorities and Comissions Committe
  5.                  Assembly Task Force on Telecommunications
  6.                     Senate Consumer Protection Committe
  7.  
  8.  
  9.  
  10.  
  11.  
  12.      I would like to thank Mr. Nadler, Mr. Siegel, Senator Levy, and
  13.  Senator Brennan for allowing me the opportunity to address my concerns
  14.  about the privacy of telephone subscribers to them, both as a private
  15.  citizen and as the President of the New York State Systems Operator's
  16.  Association ( here after known as "The Association"). Since many of my
  17.  concerns as a private individual overlap those of the Association I
  18.  would like to make a few general remarks concerning what is usually
  19.  referred to as "Caller ID and then address the list of issues published
  20.  by the Senate and Assembly committees.
  21.  
  22.      "Caller ID" appears to be what is known as a "trap and trace"
  23.      device. Title 18, United States Code Chapters 119, 121, 201, and
  24.      206, also known as the Electronic Communications Privacy act, and
  25.      which I will hereafter refer to as the "ECPA" defines a "trap and
  26.      trace" device as:
  27.  
  28.         a device which  captures the incoming  electronic
  29.         or other impulses which identify  the originating  
  30.         number of an instrument or device from which a
  31.         wire or electronic communication was transmitted;
  32.   
  33. Since Caller ID has the ability to display the number of the telephone
  34. from which a call originated and record that number it would certainly
  35. seem to fit the ECPA's definition of a "trap and trace" device. Further
  36. the ECPA limits those circumstances in which a device of this type can
  37. be used. Chapter 206, section 3121 of the ECPA states:
  38.  
  39.     (a)  In  General.-Except as provided in this section, no 
  40.          person  may install  or use a pen register or a trap
  41.          and trace device without first obtaining a court order
  42.          under section 3123 of this title or under  the Foreign  
  43.          Intelligence Surveillance Act  of 1978  (50 U.S.C. 1801
  44.          et seq.).
  45.  
  46.      (b)  Exception.-The prohibition of subsection (a) does not
  47.           apply with respect  to the use of a pen register or a
  48.           trap and trace  device by a provider of electronic or 
  49.           wire communication service-
  50.  
  51.           (1)  relating to the operation, maintenance, and testing 
  52.                of a wire or electronic communication service or to   
  53.                the protection of the rights or property of such 
  54.                provider, or to the  protection  of  users of that  
  55.                service  from  abuse  of service or unlawful use of 
  56.                service; or
  57.  
  58.           (2)  to  record the fact that a wire or electronic  
  59.                communication was initiated or completed in order
  60.                to protect such provider, another provider furnishing 
  61.                service toward the completion of the wire communication,  
  62.                or a user of that service, from fraudulent, unlawful  
  63.                or abusive use of service; or with the consent of the 
  64.                user of that service.
  65.  
  66.      (c)  Penalty.-Whoever knowingly violates subsection (a) shall be 
  67.           fined under this title or imprisoned not more than one year, 
  68.           or both.
  69.  
  70. With this in mind it would appear that the use of Caller ID would be
  71. limited only to Police, Fire, Hospital Emergency Rooms, Poison Control
  72. Centers, and other Emergency Service Providers for the purpose of
  73. identifying the telephone number and address from which a telephone call
  74. originates in the event that the caller is not able to provide this
  75. information; residential subscribers who wish to maintain the privacy of
  76. their telephone line by knowing who is calling or from what number a
  77. telephone call has orig inated; those subscribers, both residential and
  78. business, who have received harrassing, threatening and/or obscene
  79. telephone calls and wish to identify the number from which these calls
  80. are originating for the purpose of criminal and civil prosecution; and
  81. those business and residential subscribers like myself and other members
  82. of the Association who operate an electronic data communications service
  83. or hobby type computer bulletin board for the purpose of identifying the
  84. origination of telephone calls in or der to maintain the security of the
  85. system and the privacy of our users.
  86.  
  87.    With regard to the technology involved in offering the Caller ID
  88.    service, I am not an expert in the design of telecommunications
  89.    systems and would prefer to leave the explanation of this technology
  90.    to New York Telephone itself.
  91.  
  92.    With regard to the potential benefits to those customers who chose to
  93.    subscribe to Caller ID, both with and without the blocking of the
  94.    caller's telephone number I would like to make the following points:
  95.  
  96.      1: Emergency Service Providers who use Caller ID systems would 
  97.         have the ability to dispatch emergency units to the scene even 
  98.         if the caller was unable to provide their location. This system 
  99.         is currently in place in the form of an augmented 911 emergency 
  100.         telephone system in a number of cities throughout the country 
  101.         and has been credited numerous times with saving lives that 
  102.         might otherwise have been lost due to the callers inability to 
  103.         identify their location. At the present time, many Emergency 
  104.         Service Providers in New York State have no way of identifying 
  105.         the location from which an emergency call originates. If the 
  106.         caller is a young child who cannot tell them where he is, a 
  107.         person who speaks little or no English, or a person who is 
  108.         incapacitated or so upset or excited that they cannot identify 
  109.         their location this can and has lead to delays in the arrival 
  110.         of emergency personnel that has resulted in loss of life and 
  111.         property that could have been avoided had the Emergency Service 
  112.         Provider been able to identify the location of the caller. 
  113.  
  114.      2: Without "blocking" residential customers would have the ability 
  115.         to screen incoming telephone calls by looking at the 
  116.         originating number before  they answer the call. This would 
  117.         allow them to know before hand if the incoming caller is 
  118.         someone with whom they wish to speak. 
  119.  
  120.       3: Without "blocking" residential and business customers who have 
  121.          received telephone calls of a harrassing, threatening and/or 
  122.          obscene nature would have the ability immediately provide law 
  123.          enforcement agencies with the number of the telephone from 
  124.          which the calls originated. In those area where Caller ID is 
  125.          now offered the number of calls of this nature has been 
  126.          reduced.
  127.  
  128.       4: A group of teenagers uses a home computer to break into a 
  129.          banks computer and obtains several credit card numbers which 
  130.          they then use to go on a spending spree. A college student 
  131.          majoring in Computer Science writes a program that, when 
  132.          inserted in a computer network using a specific software 
  133.          program, replicated itself to the point where the network can 
  134.          no longer be used. A group of computer users in West Germany 
  135.          manages to infiltrate a highly sensitive computer network and 
  136.          then proceeds to gather as much classified information as 
  137.          possible, then makes that information public in an effort to 
  138.          show how easy it was to get it. All of these incidents have 
  139.          been in the news in recent times.  Those customers who operate 
  140.          electronic data services, or hobby type computer bulletin 
  141.          board services are very sensitive to the issues these 
  142.          incidents raise with regard to the security of the information 
  143.          on their systems. Caller ID would make it Possible for 
  144.          electronic data services and hobby bbs systems to immediately 
  145.          know if their security system had been breached or bypassed. 
  146.          Most of the systems that I have used or operated allow the 
  147.          System Operator (or SYSOP), to see information about the 
  148.          caller displayed on his computer terminal as the user logs on 
  149.          to the system. This information usually includes the callers 
  150.          name, or the name by which he is known on the system, the 
  151.          callers password and the caller's telephone number. A SYSOP 
  152.          who is monitoring a caller's activity would be able to see 
  153.          immediately if the call is originating from the location 
  154.          initially given by the caller. Those calls which are 
  155.          originating from the caller's listed location would require no 
  156.          further monitoring as it is fairly certain the the caller is 
  157.          who he claims to be. Those calls which come from a location 
  158.          the does not match the listed location could then be monitored 
  159.          to determine if the caller is who he claims to be and for any 
  160.          activity which would compromise the security of the system or 
  161.          the privacy of the users. 
  162.  
  163.             I cannot emphasize how important this feature would be to 
  164.          those customers who operate an electronic data transfer 
  165.          system. Recently my own BBS almost fell victim to what I 
  166.          would term a "computer delinquent". This person uploaded a 
  167.          program to my system that was designed to destroy a section of 
  168.          my computer's memory when used. Prosecuting this individual is 
  169.          going to be difficult because, even though I have a complete 
  170.          log of the activities of all the users on the day he 
  171.          transferred the program to my system, I do NOT, however,  have 
  172.          absolute proof that the call originated from the number that 
  173.          owner of the account used in the transfer of this program gave 
  174.          me when he requested access to my BBS. The ability to identify 
  175.          the location of an incoming call would be invaluable to 
  176.          maintaining the security of electronic Banking systems and 
  177.          information clearing houses. With this system in place and 
  178.          properly used it would substantially reduce the number of 
  179.          incidents of unauthorized persons gaining access to 
  180.          information on a multitude of electronic data systems. 
  181.          Incidents such as I have just described would be reduced or 
  182.          eliminated entirely. 
  183.  
  184.  
  185.    All of the advantages I have outlined above would be available to the
  186.    consumer only if the blocking of calls were not allowed. While I do
  187.    believe that we all have the right to privacy as it regards our
  188.    telephone number, and I also feel that those people who are currently
  189.    paying for an "unlisted" or "non-published number" should have the
  190.    right to maintain the privacy of that number, I also feel that there
  191.    are some circumstances where blocking should NOT be allowed.
  192.    Specifically those instances are:
  193.           
  194.           1: Calls made to an Emergency Service Provider. I think that 
  195.              most people would agree that the ability to respond to an 
  196.              emergency call, and the potential for loss of life or 
  197.              property out weighs the callers need or desire for 
  198.              privacy. 
  199.  
  200.           2: Calls which are made to residential or business 
  201.              subscribers who have been receiving calls of a 
  202.              threatening, harrassing, or obscene nature. In these cases 
  203.              there should be a way to over-ride call the blocking of 
  204.              the display of the incoming number, but such an over-ride 
  205.              capability should be avialable only on the request of an 
  206.              investigating authority. Further such a request should 
  207.              only be made if it shown that the calls are originating 
  208.              from a number which is blocking the display of the number, 
  209.              and  the over-ride should only be allowed until such time 
  210.              as the individual making these calls is caught.
  211.  
  212.           3: Calls made to electronic data services and computer BBS 
  213.              systems. Those who provide such services should have the 
  214.              ability to over-ride the blocking of an incoming number. 
  215.              This is not a stand that I take lightly. While there is 
  216.              the potential for abuse of this ability I feel that there 
  217.              are several factors which mitigate in favor of the 
  218.              over-ride of number blocking in this instance. First, many 
  219.              electronic data systems contain information of a sensitive 
  220.              or classified nature. Many banks now keep records of all 
  221.              their accounts on computer systems. These systems both at 
  222.              the local branch office, and the main headquarters can and 
  223.              do communicate with each other automatically over the 
  224.              telephone lines. As I have already outlined there have 
  225.              been instances where unauthorized persons have managed to 
  226.              gain access to these computer systems and make use of the 
  227.              information contained on them. Further, those persons and 
  228.              businesses which operate such systems are currently 
  229.              subject to the provisions of the ECPA with regards to the 
  230.              disclosure of any and all information contained on their 
  231.              systems. Briefly, operators of electronic communications 
  232.              systems, whether it be a national banking corporation 
  233.              operating a nationwide computer banking network, or the 
  234.              kid down the street who has 22 users on a BBS system that 
  235.              operates for 3 hours a day, cannot divulge any of the 
  236.              information on their system to anyone other than a law 
  237.              enforcement agency acting under court order, or the user 
  238.              of the account in question. To do so would be a violation 
  239.              of the ECPA and would subject the operator to a fine of up 
  240.              to $10,000 and up to five years in jail for each 
  241.              violation. The potential harm that could result from an 
  242.              unauthorized person gaining access to such a system is 
  243.              enormous. A virus or "bomb" type program, if inserted into a 
  244.              computer network, could completely destroy the ability of 
  245.              that network to function, or even destroy all the data 
  246.              contained on that network. If this network were that of a 
  247.              bank it could effectively  leave depositors penniless until 
  248.              the bank could recreate the records. 
  249.  
  250.  
  251.    With regards to the drawbacks of Caller Id, I do agree that there may
  252. be some problems associated with the technology as it affects a callers
  253. privacy, but I also believe that if number blocking is allowed in all
  254. but the circumstances I have already outlined then the problems
  255. associated with Caller ID will be minimal. In the information that the
  256. Assembly and Senate committees published concerning this hearing they
  257. specifically mention banking and housing "red-lining" as one of their
  258. concerns. In order to discuss this we must first understand a little bit
  259. about how telephone exchange numbers are allocated to an area. In order
  260. to provide service to an area the telephone company uses what they call
  261. a "Central office". Each central office is set up to serve a specific
  262. area and all calls going to or from this area are routed through that
  263. office. In addition each office has a number of "exchanges, the first
  264. three digits of a number after the area code are the exchange. How large
  265. or small an area s central office serves is determined by the population
  266. density of that area. In New York City, for example there are central
  267. offices that serve only a few square blocks. In other areas, such as the
  268. northern section of the 518 area code, a central office may serve an
  269. area as large of 100 square miles or larger. In a densely populated area
  270. an exchange may serve an area of only one or two blocks, while in a
  271. sparse;y populated area it may serve an area as large as that which the
  272. central office does. As an aid to the practice o f "red-lining" in
  273. housing or banking Caller ID would only be practical in an area of high
  274. population density, in an area of low or median density, such as the 518
  275. area code, an exchange number could conceivably serve customers who are
  276. as much as 10 miles apart making it impossible to tell exactly where the
  277. call originates from without the aid of a numerical directory. Further,
  278. Caller ID would also act as an aid in detecting the practice of
  279. red-lining as it co uld easily be determined if calls originating fro m
  280. a neighborhood or exchange are being answered. In addition, since Caller
  281. ID appears to regulated by the ECPA it would subject those who use it to
  282. accomplish red-lining the penalties provided by the ECPA in addition to
  283. those already provided for in the Fair Housing Act and the Fair lending
  284. Act.
  285.  
  286.    Potential does exist for the use of Caller ID as a means of
  287.    identifying previously anonymous customers for the purpose of later
  288.    solicitation, but again, such use is already clearly prohibited by
  289.    the ECPA.
  290.  
  291.    With regard to the blocking of caller telephone numbers by Caller ID
  292. I feel that blocking should be allowed in all but the cases I have
  293. already outlined. Further blocking should be allowed on both a call by
  294. call basis and as part of a service which will premanently block the
  295. display of the number. Display of an incoming callers number should be
  296. allowed for only in those instances where a significant risk to life and
  297. or property is at stake. In addition I feel that certain numbers, such
  298. as those of batter ed women's and children's shelter's, should be
  299. blocked in all cases except where blocking the number would result in
  300. significant risk to life and/or property.
  301.  
  302.    With regard to other technologies which would compliment Call
  303.    blocking. again I would prefer to defer to those who design and
  304.    market such items.
  305.  
  306.    With regard to the blocking or disclosure of unlisted and
  307.    non-published numbers, such numbers should normally be blocked from
  308.    being displayed under most circumstances. Again, in cases where a
  309.    significant risk to life and/or property would result blocking should
  310.    be over-ridden.
  311.  
  312.    WIth regard to the privacy of an individual as the receiver of a
  313. telephone call I think we need to keep the following in mind. As a
  314. subscriber of New York Telephone I have a telephone in my home. Since
  315. that phone is in my own home the right of privacy attached to the house
  316. should extend to the use of the telephone. I have the right and the
  317. ability to see who is at my front door before I open that door and allow
  318. entrance to my home. The same right should extend to my ability to know
  319. who is calling me on m y telephone. If I do not wish to let a person in
  320. my house because he refuses to identify himself to me I have that right.
  321. i should also have the right to not answer my telephone if a caller does
  322. not want his number identified. As a visitor to another's home the
  323. homeowner has the right to refuse me entrance if I do not identify
  324. myself to him, the same right should apply to his telephone.
  325.  
  326.    With regard to balancing the individuals right to privacy both as a
  327. maker and receiver of telephone calls, I would hope that what I have
  328. already said has done so. We are dealing with a new technology. It is
  329. only recently that the ability to identify a caller before answering the
  330. telephone has become available. The issues which I have attempted to
  331. address. however, are not new, they have been in existence for as long
  332. as the United States has. We have a right to privacy in our own homes,
  333. and we have the ri ght to maintain that privacy be reasonable means. If
  334. Caller Id is implemented in a manner that is consistent with what I have
  335. just outlined then it's use should be able to insure the continuation of
  336. the right to privacy without unwarranted intrusions. To sum up briefly,
  337. in order to insure the telephone customer's right to privacy Caller ID
  338. would have to allow for the following:
  339.  
  340.    1: The display of a caller's telephone number in those circumstances 
  341.       where blocking the display would result in a significant risk to 
  342.       life and/or property.
  343.  
  344.    2: The display of the number top those persons who operate 
  345.       electronic data services, data clearing houses of computer 
  346.       bulletin board systems, where such display is for the purpose of 
  347.       insuring the security of the system, the security of the data on 
  348.       the system and the privacy of the users accounts.   
  349.  
  350.    3: The display of a caller's number in those instances when the 
  351.       making of threatening, harrassing and/or obscene telephones is 
  352.       being investigated, provided that such display is requested by a 
  353.       duly authorized investigative agency, that it has been shown that 
  354.       the calls are originating from a number that is blocked from 
  355.       display, and that such ability to use blocking will be restored 
  356.       when the person making the calls is apprehended.
  357.  
  358.    4: Display blocking will be made available to those customers who 
  359.       currently have an unlisted or non-published number as a part of 
  360.       that service.
  361.  
  362.    5: Display blocking will be automatically disabled when calls are 
  363.       placed to Emergency Service Providers or others who have a valid 
  364.       need to display the number of each incoming caller.
  365.  
  366.    6: That the numbers of battered women's and children's shelters 
  367.       shall be automatically blocked from all but Emergency Service 
  368.       Providers.
  369.  
  370.    7: That all business customers electronic data system operators who 
  371.       subscribe to Caller ID are made aware in writing that disclosing 
  372.       the number of an incoming call is a violation of the ECPA and 
  373.       that such disclosure may subject them to severe penalties.
  374.  
  375. If Caller Id is offered with these protections in place it should fairly
  376. balance the privacy of both the caller and the person receiving the
  377. call.
  378.  
  379.  
  380. ***** NOTE FROM TOMMY *****
  381.  
  382. It is my opinion that an eighth protection should be put into place for
  383. the protection of those subscribing to Caller ID:
  384.  
  385.    8: That the Caller-ID subscriber may, at his option, block incoming
  386.    calls from callers employing Caller-ID blocking.
  387.  
  388. This option will protect those who wish to have *ALL* incoming calls
  389. identified.  The idea is, if you won't identify yourself, I don't want
  390. your call.  Tommy's Holiday Camp Remote Online Systems will subscribe to
  391. this particular option should it become available in British Columbia.
  392. This will ensure that users' accounts are 100% secure and eliminate
  393. "spoofing" or users posing as other users, and eliminate the need for
  394. Voice Validation.  Think about it.  From a hacker's point of view,
  395. Caller ID is a catastrophe.  From a BBS sysop's point of view, it is his
  396. salvation.
  397.  
  398. ***** TOMMY OUT *****
  399.