home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / etc / privacy / priv_411.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  32.1 KB  |  680 lines
  1. PRIVACY Forum Digest     Friday, 19 May 1995     Volume 04 : Issue 11
  2.  
  3.             Moderated by Lauren Weinstein (lauren@vortex.com)         
  4.               Vortex Technology, Woodland Hills, CA, U.S.A.
  5.     
  6.                        ===== PRIVACY FORUM =====              
  7.  
  8.          The PRIVACY Forum digest is supported in part by the 
  9.           ACM Committee on Computers and Public Policy,
  10.                   and the Data Services Division 
  11.                of MCI Communications Corporation.
  12.  
  13.  
  14. CONTENTS 
  15.     FCC Press Release regarding CNID
  16.        (Lauren Weinstein; PRIVACY Forum Moderator)
  17.     Privacy, cellular telephones, and 911 (Les Earnest)
  18.     Enhanced 911 and Cellular Telephones (Henry Unger)
  19.     Re: Privacy, cellular telephones, and 911 (Marc Horowitz)
  20.     Re: Privacy, cellular telephones, and 911 (Jerry Leichter)
  21.     Thermal Imagers Used To Search Homes (hingson@teleport.com)
  22.     Digital Signature legislation-in-process (Jim Warren)
  23.     Privacy Rights Clearinghouse Annual Report 
  24.        (Privacy Rights Clearinghouse)
  25.     Family Protection Act of 1995 (Faye Hsini Ku)
  26.     Telecom Post (CWHITCOM@bentley.edu)
  27.     New book on cryptographic policy (Lance J. Hoffman)
  28.     Microsoft plans corporate espionage (Chris Norloff) [from RISKS]
  29.     RISKS in Microsoft's Windows95 (Identity Withheld) [from RISKS]
  30.  
  31.  
  32.  *** Please include a RELEVANT "Subject:" line on all submissions! ***
  33.             *** Submissions without them may be ignored! ***
  34.  
  35. -----------------------------------------------------------------------------
  36. The Internet PRIVACY Forum is a moderated digest for the discussion and
  37. analysis of issues relating to the general topic of privacy (both personal
  38. and collective) in the "information age" of the 1990's and beyond.  The
  39. moderator will choose submissions for inclusion based on their relevance and
  40. content.  Submissions will not be routinely acknowledged.
  41.  
  42. All submissions should be addressed to "privacy@vortex.com" and must have
  43. RELEVANT "Subject:" lines; submissions without appropriate and relevant
  44. "Subject:" lines may be ignored.  Excessive "signatures" on submissions are
  45. subject to editing.  Subscriptions are by an automatic "listserv" system; for
  46. subscription information, please send a message consisting of the word
  47. "help" (quotes not included) in the BODY of a message to:
  48. "privacy-request@vortex.com".  Mailing list problems should be reported to
  49. "list-maint@vortex.com". 
  50.  
  51. All messages included in this digest represent the views of their
  52. individual authors and all messages submitted must be appropriate to be
  53. distributable without limitations. 
  54.  
  55. The PRIVACY Forum archive, including all issues of the digest and all
  56. related materials, is available via anonymous FTP from site "ftp.vortex.com",
  57. in the "/privacy" directory.  Use the FTP login "ftp" or "anonymous", and
  58. enter your e-mail address as the password.  The typical "README" and "INDEX"
  59. files are available to guide you through the files available for FTP
  60. access.  PRIVACY Forum materials may also be obtained automatically via
  61. e-mail through the listserv system.  Please follow the instructions above
  62. for getting the listserv "help" information, which includes details
  63. regarding the "index" and "get" listserv commands, which are used to access
  64. the PRIVACY Forum archive.  All PRIVACY Forum materials are available
  65. through the Internet Gopher system via a gopher server on site
  66. "gopher.vortex.com".  Access to PRIVACY Forum materials is also available
  67. through the Internet World Wide Web (WWW) via the Vortex Technology WWW 
  68. server at the URL: "http://www.vortex.com".
  69. -----------------------------------------------------------------------------
  70.  
  71. VOLUME 04, ISSUE 11
  72.  
  73.    Quote for the day:
  74.  
  75.     "... Run when he takes out his dental floss!
  76.          'Cause my ... son ... the vampire...
  77.          'Ain't collecting it for, the Red Cross..."
  78.  
  79.             -- Allan Sherman
  80.                "My Son, the Vampire" (1952)
  81.  
  82. ----------------------------------------------------------------------
  83.  
  84. Date:    Thu, 11 May 95 19:36 PDT
  85. From:    lauren@vortex.com (Lauren Weinstein; PRIVACY Forum Moderator)
  86. Subject: FCC Press Release regarding CNID
  87.  
  88. Greetings.  As you may recall from the previous digest, a new FCC order (the
  89. full text of which still doesn't seem to have appeared on their gopher) has
  90. enhanced privacy protection for callers relating to calling number ID
  91. systems, primarily through permitting the use of per-line ID blocking
  92. systems.  It's particularly important that the Commission clearly addressed
  93. the important issue of ID unblocking (the new *82 code) and the issue of
  94. call-return.
  95.  
  96. Below is the full text of the press release announcing this order.  It is
  97. worth noting however, that litigation regarding this matter may continue.
  98. Some states are petitioning for reconsideration on the basis that the FCC
  99. didn't go far enough in providing protections to subscribers with
  100. non-published numbers (among other matters).  Similarly, some major telcos
  101. are petitioning with the claim that the FCC went too far in the direction of
  102. privacy by allowing per-line ID blocking at all (not unexpected, since
  103. per-line ID blocking is a major blow to the desirability of CNID systems for
  104. marketing and other purposes).
  105.  
  106. --Lauren--
  107.  
  108.              -------------------------------
  109.  
  110. Report No. DC 95-71        ACTION IN DOCKET CASE      May 4, 1995
  111.  
  112. FCC FINALIZES RULES FOR CALLER ID; ALLOWS PER LINE BLOCKING WHERE
  113. STATES PERMIT; PBX CALLER ID RULES PROPOSED
  114.          (CC DOCKET 91-281)
  115.  
  116. The Commission today voted to approve national Caller ID rules that
  117. will protect the privacy of the called and the calling party by
  118. mandating that carriers make available a free, simple and consistent,
  119. per call blocking and unblocking mechanism. Under the rules adopted
  120. today, callers dialing *67 before dialing a particular call will, for
  121. interstate calls, block calling party information for any interstate
  122. calls and those callers using a blocked line can unblock the line and
  123. release that information by dialing *82.  The Order permits carriers
  124. to provide privacy on all calls dialed from a particular line, where
  125. state policies provide, and the customer selects, that option.
  126.  
  127. Today's action came as the Commission reconsidered its original Caller
  128. ID nationwide Caller ID system is in the public interest.  It found
  129. that passage of the calling party's number, or CPN, could benefit
  130. consumers by encouraging the introduction of new technologies and
  131. services to the public, enabling service providers and consumers to
  132. conduct transactions more efficiently.
  133.  
  134. The rules adopted today will take effect December 1, 1995.  Public pay 
  135. phones and partylines will be required to be in compliance by January 1, 
  136. 1997.  The Commission also issued a rulemaking proposal concerning PBX 
  137. and private payphone obligations under the Caller ID rules.
  138.  
  139. In March 1994, the Commission adopted a Report and Order that concluded
  140. that a nationwide Caller ID system was in the public interest and stated
  141. that the potential benefits of a Caller ID system -- efficiency and
  142. productivity gains, infrastructure development and network utilization,
  143. and new service and employment opportunities -- would only be possible if
  144. CPN is passed among carrier networks.  It noted two areas of concern
  145. however -- compensation issues related to passage of CPN for interstate
  146. calls and varying state requirements intended to protect the privacy
  147. rights of calling and called parties on interstate calls. 
  148.  
  149. In today's action the Commission affirmed its finding that common
  150. carriers, including Commercial Mobile Radio Service providers, with
  151. Signaling System 7 (SS7)call set up capability, must transport CPN
  152. without charge to interstate connecting carriers.  The Commission
  153. clarified that carriers without SS7 call set upcapability do not have
  154. to upgrade their networks just to transport CPN to connecting
  155. carriers.  The Commission noted that local exchange carriers are
  156. required to resell interstate access for Caller ID to other carriers
  157. wishing to compete for end-user business in this market.
  158.  
  159. The Commission modified its previous decision that only per-call
  160. blocking would be allowed.  Today's action permits per-line blocking
  161. for interstate calls instates where it is permitted for intrastate
  162. calls, provided the customer elects per line blocking. The Commission's 
  163. original rules required a caller to dial *67 before each call in order
  164. to block the called party from knowing the caller's number. The
  165. Commission has now modified its rules to permit carriers to provide
  166. privacy on all calls dialed from a particular line, where state
  167. policies provide, and the customer selects, that option, provided
  168. carriers permit callers to unblock calls from that line by dialing
  169. *82.  Where state policies do not require or permit at the customer's
  170. election per line blocking, carriers are bound by the federal privacy
  171. protection model to provide privacy only where *67 is dialed.
  172.  
  173. The Commission noted that it continues to exempt calls to emergency lines
  174. from its rules; that is, a carrier's obligation to honor caller privacy
  175. requests to emergency numbers will be governed by state policies. 
  176.  
  177. As an additional privacy measure, the Commission requires that when a
  178. caller requests that the calling party number be concealed, a carrier may
  179. not reveal the name of the subscriber to that line and callers requesting
  180. that their number not be revealed should be able to block an automatic
  181. call return feature.  The Commission continues to require that carriers
  182. with call set up capability that pass CPN or transmit Automatic Number
  183. Identification (ANI) educate customers regarding the passage and usage of
  184. this information. 
  185.  
  186. Finally, the Commission issued a Notice of Proposed Rulemaking proposing
  187. that Private Branch Exchange (PBX) systems and private payphones capable
  188. of delivering CPN to the public switched telephone network also be capable
  189. of delivering a privacy indicator when users dial *67 and be capable of
  190. unblocking the line by dialing *82. 
  191.  
  192. Action by the Commission May 4, 1995, by MO&O on Reconsideration, Second
  193. R&O and Third NPRM (FCC 95 - 187). Chairman Hundt, Commissioners Quello,
  194. Barrett, Ness and Chong. 
  195.  
  196. -FCC-
  197.  
  198. News Media contact: Susan Lewis Sallet at (202) 418-1500.
  199. Common Carrier Bureau contacts: Marian Gordon at (202) 634-4215.
  200.  
  201. ------------------------------
  202.  
  203. Date:    Thu, 11 May 1995 12:18:41 -0700
  204. From:    Les Earnest <les@SAIL.Stanford.EDU>
  205. Subject: Privacy, cellular telephones, and 911
  206.  
  207. Regarding Jerry Leichter's report on the proposal to locate cellular
  208. phones that make 911 calls, I believe that I pointed out in this forum
  209. several years ago that cellular phone systems already track individual
  210. phones by comparing signal strengths at various antennas.  The
  211. available positional accuracy depends on the antenna configuations (I
  212. understand that up to six directional antennas are typically used at
  213. each site) and the distance from the nearest site.
  214.  
  215. More important, there is no legal requirement for a court order or
  216. other official review to track individual phones.  As reported
  217. earlier, these phones can be tracked as long as they are "on" whether
  218. or not there is a call in progress.
  219.  
  220.     -Les Earnest
  221.  
  222. ------------------------------
  223.  
  224. Date:    Sat, 6 May 95 10:46:03 -0700
  225. From:    Henry Unger <hunger@hitech.com>
  226. Subject: Enhanced 911 and Cellular Telephones
  227.  
  228. Jerry Leichter's (or is it Phil Agre's?) article of 4/22
  229. discussed the fact that Enhanced 911 systems do not provide any
  230. useful information about the location of a cellular phone user
  231. calling 911, and the privacy concerns relating to providing
  232. location information.
  233.  
  234. An alternative to the 150 meter accuracy goal could be the following:
  235.  
  236. The telephone companies could easily relay the location of the
  237. current cell site with which the cellular phone is communicating
  238. to the PSAP (Public Safety Answering Point) with no change in the
  239. cellular telephones in use today and no hardware changes to the
  240. cell sites, thereby localizing the cell phone caller at least to
  241. the sphere of that cell site. For some reason, the telephone
  242. companies are dragging their heels on providing such service.
  243.  
  244. As it is the cell site that would be providing the location
  245. information, and not the cellular telephone itself, and such
  246. location information communicated via land line or microwave, and
  247. only in the case of a 911 call, I think that privacy would not
  248. be an issue in this scheme.
  249.  
  250. Henry Unger
  251. Hitech Systems, Inc.
  252.  
  253. ------------------------------
  254.  
  255. Date:    Sat, 06 May 1995 23:00:22 EDT
  256. From:    Marc Horowitz <marc@MIT.EDU>
  257. Subject: Re: Privacy, cellular telephones, and 911
  258.  
  259. >> Since 911 is supposed to be useful to people in serious trouble, who
  260. >> may not be able to take an explicit action to acknowledge a system
  261. >> request, chances are overwhelming that any such system would not
  262. >> require explicit action by the cellphone owner.  I would expect most
  263. >> phones wouldn't even provide an indication that they'd been
  264. >> interrogated.
  265.  
  266. My cellphone has an emergency button on it, which is programmed to
  267. call 911.  It works in all modes, with the phone locked, etc.  It
  268. would seem to be simple to have the phone only respond to location
  269. queries if the call was made using this feature.
  270.  
  271. Of course, you could also have the phone recognize the number "911",
  272. and have that turn on the phone's ability for reporting location.
  273.  
  274. This requires me to trust the cellphone vendor not to allow subversion
  275. of this feature, but that seems better than trusting the FCC and the
  276. telco's.
  277.  
  278.         Marc
  279.  
  280. ------------------------------
  281.  
  282. Date:    Sun,  7 May 95 09:56:45 EDT
  283. From:    Jerry Leichter <leichter@lrw.com>
  284. Subject: Re: Privacy, cellular telephones, and 911
  285.  
  286.    My cellphone has an emergency button on it, which is programmed to
  287.    call 911.  It works in all modes, with the phone locked, etc.  It
  288.    would seem to be simple to have the phone only respond to location
  289.    queries if the call was made using this feature.
  290.  
  291.    Of course, you could also have the phone recognize the number "911",
  292.    and have that turn on the phone's ability for reporting location.
  293.  
  294.    This requires me to trust the cellphone vendor not to allow subversion
  295.    of this feature, but that seems better than trusting the FCC and the
  296.    telco's.
  297.  
  298. Great theory, but it'll never happen, since it requires changing (in practice,
  299. replacing) every cellphone out there - not just at this moment, but up through
  300. the moment when a new system is agreed upon, designed, and implemented.
  301. None of the existing standards, analogue or digital, traditional cell or newer
  302. PCS microcell, have the phone do anything special to provide physical location
  303. information.  That's tens of millions of cellphone units of various kinds,
  304. with more rolling off the assembly lines every day.
  305.  
  306. To have any chance of being accepted, a location system would have to use
  307. information that can be gleaned from existing cellphones.  Certainly, changes
  308. will need to be made at the cell sites, but funding for that kind of thing has
  309. a long history (since that, of course, is how 911 and E911 were implemented).
  310. There are technical arguments about whether the FCC's proposed 150 meter
  311. resolution can be achieved without changes to cellphones - it's probably
  312. pretty easy in a microcell system - and both industry and the FCC agree that
  313. if it can't be achieved, it'll be the FCC that backs off.  (Even if the FCC
  314. *didn't* agree, there's no way Congress would let the FCC impose that kind of
  315. cost on "consumers" - or industry, which in the end would come down to the
  316. same thing.)
  317.  
  318. Once the location system makes use of information inherent in the operation
  319. of the cellular net, it makes no difference what you do at your phone, short
  320. of leaving it turned off.  I'd say that, one way or another, that's where we
  321. are going.  The old wireline technology inherently gave away your physical
  322. location, at least when you spoke on the phone; it'll turn out to be only a
  323. short passing phase of technological development that *doesn't* give this
  324. information away, though unfortunately it'll do it even when you aren't
  325. talking.
  326.                             -- Jerry
  327.  
  328. ------------------------------
  329.  
  330. Date:    Sun, 7 May 1995 10:37:51 -0700
  331. From:    hingson@teleport.com
  332. Subject: Thermal Imagers Used To Search Homes
  333.  
  334. I am a criminal defense lawyer.  I am litigating the issue of whether the
  335. use of a thermal imaging device on a home to detect heat emissions
  336. constitutes a "search" under the Fourth Amendment.  If there are any
  337. articles or knowledeable individuals out there who can help me, I would
  338. be most appreciative.  Thanks.
  339.  
  340. ------------------------------
  341.  
  342. Date:    Mon, 8 May 1995 18:07:07 +0800
  343. From:    jwarren@well.sf.ca.us (Jim Warren)
  344. Subject: Digital Signature legislation-in-process
  345.  
  346. Please circulate this freely.  Although this concerns California
  347. legislation, for better or worse, California statutes often prompt similar
  348. action in other states and even at the federal level.
  349.  
  350. California state Assembly Bill 1577 (Bowen) would mandate and/or permit
  351. certain things regarding legal status and use of digital signatures - at
  352. least as used in doing business with the state.  Its first 8-page version
  353. was originally copied from similar Utah legislation; also similar to bills
  354. in Washington State and Oregon.
  355.  
  356. A later 1-page version of AB 1577 radically changed things - and
  357. bill-author Debra Bowen has committed to giving full and careful
  358. consideration to all *timely* input and suggestions regarding this issue
  359. before she moves the bill to any final legislative vote.
  360.  
  361. Bowen's aide handling the bill is Bob Alexander, alexanrb@assembly.ca.gov .
  362.  
  363. I suggest that those interested emphasize the word, *TIMELY*.
  364.  
  365. With Bowen's knowledge and with aide Alexander as one of its recipients, an
  366. open listserv for public discussion of this issue has been set up by the
  367. nonprofit CommerceNet, and extensive comments have already begun
  368. circulating.
  369.  
  370. If you are interested in these issues - and legislation impacting this
  371. evolving technology - you may wish to [1] subscribe to ca-digsig (below)
  372. and [2] check the bill-text, available from sen.ca.gov or from the new
  373. Assembly web-page that may or may not be up-n-running yet
  374. (http://www.assembly.ca.gov/).
  375.  
  376. The archived mailing list has been established on the CommerceNet WWW server.
  377. You may reach the archives at:
  378.         http://www.commerce.net/archives/ca-digsig/
  379.  
  380. To subscribe or unsubscribe, simply mail to:
  381.         ca-digsig-request@commerce.net
  382.  
  383. To send a message to the mailing list, simply mail to:
  384.         ca-digsig@commerce.net
  385.  
  386. Since most calgovinfo folks aren't gonna be interested in the arcane
  387. techno-haggles re digital signatures, personally, I would suggest that most
  388. discussion of this might oughta be conducted in that listserv, rather than
  389. here in calgovinfo - at least until/unless grassroots political
  390. action/advocacy/rabble-rousing is needed/desired.
  391.  
  392. --jim
  393.  
  394. ------------------------------
  395.  
  396. Date:    Mon, 24 Apr 1995 13:43:35 -0700 (PDT)
  397. From:    Privacy Rights Clearinghouse <prc@teetot.acusd.edu>
  398. Subject: Privacy Rights Clearinghouse Annual Report 
  399.  
  400. The Second Annual Report of the Privacy Rights Clearinghouse is now
  401. available. The 68-page report covers the time frame from October
  402. 1993 through September 1994, our second full year of hotline
  403. operation. We discuss project usage statistics and accomplishments
  404. as well as what we consider to be the most significant privacy
  405. issues affecting California consumers. 
  406.  
  407. This year we have reported privacy issues a little differently,
  408. selecting some of the more troubling privacy abuses from hotline
  409. calls and discussing them in a separate section of the report. The
  410. Second Annual Report highlights nearly 50 such case studies. We
  411. have made particular note of what we call invisible information
  412. gathering; we also focus on the growing crime of identity theft. In
  413. addition, we revisit some of the topics discussed last year, such
  414. as "junk" mail, unwanted telemarketing sales calls, medical records
  415. privacy and workplace monitoring.
  416.  
  417. A 15-page Executive Summary of the Annual Report can be found on
  418. the PRC's gopher site. The Executive Summary includes all of the
  419. case studies featured in the full report. Gopher to
  420. gopher.acusd.edu. Go into the menu item "USD Campuswide Information
  421. Services" to find the PRC's materials.  The report can be found under 
  422. "Issue Papers" in the Privacy Rights Clearinghouse directory. 
  423.  
  424. For a complete paper copy of the 68-page report, call the PRC at
  425. 800-773-7748 (Calif. only) or 619-298-3396.
  426.  
  427. The PRC is a nonprofit consumer education program administered by
  428. the University of San Diego Center for Public Interest Law. It is
  429. funded in part by the Telecommunications Education Trust, a program
  430. of the California Public Utilities Commission.
  431.  
  432. ====================================================================
  433.    Barry D. Fraser                      fraser@acusd.edu
  434.  
  435. ------------------------------
  436.  
  437. Date:    Tue, 9 May 1995 09:11:04 -0700 (PDT)
  438. From:    Faye Hsini Ku <fayeku@uclink3.berkeley.edu>
  439. Subject: Family Protection Act of 1995
  440.  
  441. It seems to me that the Family Protection Act of 1995 (H.R. 1271) would 
  442. limit any type of counseling or guidance that is offered outside of the 
  443. family setting to teens that are becoming sexually active.  That would be 
  444. a grave mistake, because we would be restricting our ability to take 
  445. preventative measures and thus have to rely on correctional ones.  Why 
  446. should we wait until a problem has happened to deal with it?
  447.  
  448. - Faye -
  449.  
  450. ------------------------------
  451.  
  452. Date:    Thu, 11 May 1995 19:54:43 -0700
  453. From:    CWHITCOM@bentley.edu
  454. Subject: Telecom Post
  455.  
  456.           **********Announcing the Telecom Post*********
  457.  
  458. This spring and early summer will witness the design and passage
  459. of legislation that will shape our communication infrastructure
  460. for many years to come.  In an effort to keep the Internet
  461. community abreast of legislative events, Free Speech Media, LLC
  462. intends to publish a weekly bulletin, The Telecom Post, with
  463. brief updates on the DC action.  This alert will cover the issues
  464. and concerns of the public interest community and point to
  465. actions that can be taken on behalf of these issues. Material
  466. will be collected from Internet postings, newsletters, and
  467. interviews.  It will consist of summarizations, paraphrased
  468. articles, and excerpts. There will be at least 8 weekly editions
  469. of the Post.  It will continue for the duration of the
  470. legislative activity. A background piece will sent following this message.
  471.  
  472. A directory of pointers to more in-depth information will be kept
  473. in the online archives and Home page of Computer Professionals
  474. for Social Responsibility. The directory is currently under
  475. construction and will be announced separately.
  476.  
  477. Attention list owner:
  478. We can send the Telecom Post either to the entire list or offer it to
  479. individuals on a listserv basis.  If you would prefer that it not be
  480. sent to the list as a whole, please contact Coralee Whitcomb at
  481. cwhitcom@bentley.edu.
  482.  
  483. To subscribe to the Telecom Post as an individual please send the message
  484. SUBSCRIBE TELECOM-POST your name
  485. to
  486. LISTSERV@CPSR.ORG
  487.  
  488. ------------------------------
  489.  
  490. Date:    Thu, 18 May 1995 04:48:10 -0400 (EDT)
  491. From:    "Lance J. Hoffman" <hoffman@seas.gwu.edu>
  492. Subject: New book on cryptographic policy
  493.  
  494. BUILDING IN BIG BROTHER: The Cryptographic Policy Debate
  495.  
  496. a collection of readings with commentary by Prof. Lance J. Hoffman
  497. of The George Washington University
  498.  
  499. has now been published by Springer Verlag.
  500.  
  501. >From a publisher's blurb:
  502.  
  503. "...This book presents the best readings on cryptographic
  504. policy and current cryptography trends.  ... Detailed technological
  505. descriptions of promising new software schemes are included as well
  506. as analysis of the constitutional issues by legal scholars.  Important
  507. government cost analyses appear here for the first time in any book.
  508. Other highlights include the text of the new US digital telephony law
  509. and the pending encryption regulation bill and a list of hundreds of
  510. cryptographic products available around the world.  There is even a
  511. paper on how to commit the perfect crime electronically, using
  512. public key encryption.
  513.  
  514. Much more detailed information and a table of contents is available
  515. by pointing your Web browser to
  516.  
  517. http://www.seas.gwu.edu/seas/instctsp/docs/book
  518. *******************
  519.  
  520. There you will also find endorsements by
  521.    Marc Rotenberg, Electronic Privacy Information Center
  522.   Stewart Baker, Steptoe & Johnson (former NSA general counsel)
  523.   Phil Zimmermann, author of PGP
  524.   Peter Neumann, moderator of RISKS Forum
  525.   Michael Froomkin, law professor
  526.  
  527. 560 pages, 19 illustrations, softcover $29.95
  528. ISBN 0-387-94441-9
  529.  
  530. Call 1-800-SPRINGER to order, email orders to orders@springer-ny.com
  531. -- 
  532. Professor Lance J. Hoffman
  533. Dept of Elec Eng and Comp Sci, The Geo Washington U, 801 22nd St NW
  534. Wash DC 20052   (202) 994-4955   Fax: (202) 994-0227  hoffman@seas.gwu.edu
  535. See also:  http://www.seas.gwu.edu/seas/instctsp/ictsp.html               
  536.  
  537. ------------------------------
  538.  
  539. Date: Wed, 17 May 95 13:44:40 EDT
  540. From: cnorloff@tecnet1.jcte.jcs.mil
  541. Subject: Microsoft plans corporate espionage
  542.  
  543.        [ Extracted from RISKS Forum Digest -- Volume 17 : Issue 13 
  544.             -- PRIVACY Forum Moderator ]
  545.  
  546.   Microsoft officials confirm that beta versions of Windows 95 include a
  547.   small viral routine called Registration Wizard.  It interrogates every
  548.   system on a network gathering intelligence on what software is being run
  549.   on which machine.  It then creates a complete listing of both Microsoft's
  550.   and competitors' products by machine, which it reports to Microsoft when
  551.   customers sign up for Microsoft's Network Services, due for launch later
  552.   this year.
  553.  
  554. "In Short" column, page 88, _Information Week_ magazine, May 22, 1995
  555.  
  556. The implications of this action, and the attitude of Microsoft to plan
  557. such action, beggars the imagination.
  558.  
  559. Chris Norloff  cnorloff@tecnet1.jcte.jcs.mil
  560.  
  561.    [Also reported by jyoull@cs.bgsu.edu (Jim)" and 
  562.    herzog@uask4it.eng.sun.com (Brian Herzog 
  563.    - Sun Microsystems, Inc.). PGN (RISKS Forum Moderator)]
  564.  
  565.         [ A later response to this message in RISKS (from a person at
  566.       Microsoft) indicated that the program in question isn't a virus
  567.       and that the user is given the choice of whether or not they want
  568.       to upload their configuration information during registration (it's
  569.       apparently an all-or-nothing choice however--you can't easily
  570.       provide *some* of the config info if you provide any at all).
  571.  
  572.       This still begs the question of why Microsoft feels it needs
  573.       all that info.  Is any rationale provided to the user to
  574.       help them decide whether or not they should agree to provide
  575.       all that data to Microsoft?  Does Microsoft make any statement
  576.       about what they plan to do with that data?  One can't help
  577.       but wonder if perhaps knowledge of which applications are
  578.       loaded on a system might not be used to target users
  579.       for promotions of competing Microsoft products?
  580.  
  581.       Without a clear explanation of what is going to be done
  582.       with that data, it would appear prudent to think carefully
  583.       about agreeing to such uploads regardless of the systems involved.
  584.  
  585.                 -- PRIVACY Forum Moderator ]
  586.  
  587. ------------------------------
  588.  
  589. Date: Wed, 17 May 95 12:22 xxT
  590. From: [identity withheld at submitter's request]
  591. Subject: RISKS in Microsoft's Windows95
  592.  
  593.        [ Extracted from RISKS Forum Digest -- Volume 17 : Issue 13 
  594.             -- PRIVACY Forum Moderator ]
  595.  
  596. Sometime in the latter part of the summer, Microsoft is planning to release
  597. their Windows95 follow-on for Windows 3.1 to the masses.  Whether the effort
  598. required to keep things working after installing the release vs. the
  599. perceived benefits of Win95 makes the installation a sensible decision is
  600. quite an open question.  Reports from beta testers are indicating that even
  601. for Windows experts, getting their system running again after the upgrade
  602. can be a bad experience, given the wide variety of complex hardware,
  603. drivers, and other components that have been integrated into Windows 3.1
  604. environments over the years.
  605.  
  606. For Windows users who are less than experts, the problems risk being even
  607. more serious, with various applications (or even entire systems) effectively
  608. useless without various "tweaks", fixes, new drivers, new software, etc.  In
  609. other words, the backwards compatibility of Win95 in the real world of
  610. people's existing Windows 3.1 installations should be an issue of grave
  611. concern, especially among users concerned about prolonged downtime.
  612.  
  613. We may be reaching a stage where the sheer complexity of PC application
  614. software and hardware is making the entire concept of major operating system
  615. upgrades being installed successfully by average users extremely
  616. problematical.  It seems very likely that large numbers of Windows 3.1 users
  617. will (or at least should) be extremely cautious about being an early adopter
  618. of Win95.
  619.  
  620. Bya the way, here's a new feature announced for Win95 that carries new RISKS
  621. of its own.  Called "AutoPlay" it is apparently a feature of the Win95
  622. CD-ROM driver that allows CD-ROM authors to create a special init file on
  623. the disc that will automatically start running programs from the disc as
  624. soon as a disc is inserted into the CD-ROM drive.  From the descriptions
  625. available so far, there doesn't seem to be a system-wide way to disable such
  626. a feature, you have to remember to hold down the shift key on your keyboard
  627. while inserting the disc to disable it for that particular insertion
  628. (apparently folks with remote keyboards might just be out of luck!)
  629.  
  630. What sorts of harm could come from autoloading of CD-ROMs?  Outside of the
  631. obvious malicious applications (don't laugh, CD-ROMs are getting so cheap to
  632. produce that all manner of nasties could be planted on purpose or by
  633. accident), there's the obvious problem that most PC CD-ROM applications need
  634. considerable software and disk support, often involving significant use of
  635. disk space, changes to system-wide configuration and other driver data, etc.
  636. It is not unusual for these changes to conflict in some manner with other
  637. programs and installations, needing manual intervention.  At least when you
  638. do the installation manually you can stop, look for README files, etc.
  639. before starting the guts of the install, but if the CD-ROM fires off on its
  640. own there's no telling what might happen.
  641.  
  642. True, a reasonable CD-ROM author would query the user about this process
  643. rather than running off and starting the install without user input, but
  644. it's probable that many authors who want things to look "slick" won't bother
  645. with this.  In fact, Microsoft seems to be encouraging the "slick" attitude
  646. in their description of this feature.
  647.  
  648. Another point.  You're about to start seeing music CDs that carry CD-ROM
  649. programs and data on the initial part of the disc before music track 1.  If
  650. such discs tried to make use of the Win95 AutoPlay feature, an unsuspecting
  651. user who stuck the music disc into his or her CD-ROM player planning to hear
  652. only music (lots of PC users play music CDs on their CD-ROM drives these
  653. days) could end up getting a lot more than bargained for.
  654.  
  655.     [ A later response to this message in RISKS from a long-time
  656.       Microsoft beta tester claims that some of the installation
  657.       problems with Win95 have been resolved as the betas have continued.
  658.       However, others have noted that the computer trade press still
  659.       abounds with discussion of installation problems even with the
  660.       latest betas.  Also, it would seem likely that the ability of
  661.       experienced beta testers to deal with installation problems
  662.       would typically far exceed the ability of average users in that
  663.       regard--meaning what might be a minor problem to a beta tester
  664.       could possibly be a total disaster to a "normal" user.
  665.  
  666.       The same response message also suggested that there might be some
  667.       way to globally disable (or at least alter the behavior of) the
  668.       CD-ROM AutoPlay feature discussed above.  But this information had
  669.       to be dug out of the internal configuration files, the effect was
  670.       not definite, and clearly the intention is that AutoPlay would be
  671.       on by default and (at least as it stands now) not something
  672.       Microsoft expects most users to ever try turning off.
  673.     
  674.         -- PRIVACY Forum Moderator ]
  675.  
  676. ------------------------------
  677.  
  678. End of PRIVACY Forum Digest 04.11
  679. ************************
  680.