home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / cud / cud316.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  41.6 KB  |  875 lines
  1. CS-ID: #46.comm/cu.digest@pro-harvest 41445 chars
  2. Date:    Fri, 10 May 91 00:33 CDT
  3. From: TK0JUT2%MVS.CSO.NIU.EDU@UICVM.uic.edu (Unknown User)
  4. Subject: Cu Digest, #3.16
  5.  
  6.   ****************************************************************************
  7.                   >C O M P U T E R   U N D E R G R O U N D<
  8.                                 >D I G E S T<
  9.               ***  Volume 3, Issue #3.16 (May 9, 1991)   **
  10.   ****************************************************************************
  11.  
  12. MODERATORS:   Jim Thomas / Gordon Meyer  (TK0JUT2@NIU.bitnet)
  13. ARCHIVISTS:   Bob Krause / Alex Smith / Bob Kusumoto
  14. GAELIC GURU: Brendan Kehoe
  15.  
  16.             +++++     +++++     +++++     +++++     +++++
  17.  
  18. CONTENTS THIS ISSUE:
  19. File 1: Moderator's Corner
  20. File 2: Is Prodigy snooping thru your hard disk?
  21. File 3: Prodigy under Fire
  22. File 4: Comp.Org.Eff.Talk. comments on Prodigy FYI
  23. File 5: Prodigy's Response to Stage.dat File
  24. File 6: A Few Observation on Prodigy
  25. +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  26.  
  27. USENET readers can currently receive CuD as alt.society.cu-digest.
  28. Back issues are also available on Compuserve (in: DL0 of the IBMBBS sig),
  29. PC-EXEC BBS (414-789-4210), and at 1:100/345 for those on FIDOnet.
  30. Anonymous ftp sites: (1) ftp.cs.widener.edu (192.55.239.132);
  31.                      (2) cudarch@chsun1.uchicago.edu;
  32.                      (3) dagon.acc.stolaf.edu (130.71.192.18).
  33. E-mail server: archive-server@chsun1.uchicago.edu.
  34.  
  35. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  36. information among computerists and to the presentation and debate of
  37. diverse views.  CuD material may be reprinted as long as the source is
  38. cited.  Some authors, however, do copyright their material, and those
  39. authors should be contacted for reprint permission.  It is assumed
  40. that non-personal mail to the moderators may be reprinted unless
  41. otherwise specified. Readers are encouraged to submit reasoned
  42. articles relating to the Computer Underground.  Articles are preferred
  43. to short responses.  Please avoid quoting previous posts unless
  44. absolutely necessary.
  45. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  46. DISCLAIMER: The views represented herein do not necessarily represent
  47.             the views of the moderators. Contributors assume all
  48.             responsibility for assuring that articles submitted do not
  49.             violate copyright protections.
  50.  
  51. ********************************************************************
  52.                            >> END OF THIS FILE <<
  53. ***************************************************************************
  54.  
  55. ------------------------------
  56.  
  57. From: Moderators
  58. Subject: Moderator's Corner
  59. Date: May 9, 1991
  60.  
  61. ********************************************************************
  62. ***  CuD #3.16: File 1 of 6: Moderators Corner                   ***
  63. ********************************************************************
  64.  
  65. ++++++++++++
  66. Newmail Problems
  67. ++++++++++++
  68.  
  69. There appear to be mailer problems somewhere along the lines.  CuD
  70. 3.13 was re-sent because of some garbling problems; CuD 3.14 went out
  71. of NIU with no problem and we received few bounces, but apparently
  72. that issue was gobbled up and only a few received it.  A significant
  73. number of 3.15s were returned because they could not sneak through a
  74. particular gateway. If you are not receiving CuD within a few days of
  75. the pub date in the header, let us know.
  76.  
  77. +++++++++++++
  78. CuD's Old News
  79. +++++++++++++
  80.  
  81. We are occasionally asked why we print "old news" that has been
  82. circulated on the nets for awhile.  A recent Usenet survey of all
  83. newsgroup use estimates that CuD reaches about 9,300 through usenet.
  84. Relatively few sites (210) make CuD available to their users, so the
  85. readers-per-site matches that of more-established on-line journals
  86. such as RISKS and our progenitor TELECOM-DIGEST. In addition to a
  87. mailing list of about 700, we immediately reach about 10,000 with each
  88. posting.  However, we have about 30 additional non-usenet feeds, and
  89. other readers obtain CuD from GEnie, Compuserve, and hundreds of BBSs,
  90. including two of the largest in the country (PC-EXEC and AV-SYNC).  We
  91. also send out various back issues to about a dozen people each month
  92. who do not subscribe but simply want specific information.  This means
  93. that, for perhaps one third of the readers, CuD may be the only source
  94. of news, so what is "old" to most of us fills in gaps for others. We
  95. try to assure that those without net access are provided with the
  96. basics of stories covered in other digests (thus our policy of
  97. reprinting old material) and hard-copy media.  Further, some of the
  98. posts we print are sent to several other outlets simultaneously, and
  99. sometimes hold these for a week or two prior to publishing.  For those
  100. who find these stories stale, we apologize, but the feedback from
  101. those who are, believe it or not, only now hearing about Sun Devil
  102. indicates that, for better or worse, some dated coverage is necessary.
  103. So, thanks for not complaining too much.
  104.  
  105. +++++++++++
  106. Prodigy
  107. +++++++++++
  108.  
  109. This issue focuses on the problems of Prodigy. As most know by now,
  110. Prodigy was criticized last year for apparent censorship and what some
  111. felt was high-handed treatment of customers complaining first about
  112. Prodigy's billing practices, and next about Prodigy's response to
  113. those who complained to other Prodigy users through E-mail. Another
  114. problem has arisen. It seems that Prodigy's user-interface, Stage.dat,
  115. appears to include bits of private data from users' other files.
  116. Thanks to all those who have sent us material. We have selected the
  117. most comprehensive to summarize the current brouhaha.
  118.  
  119. ********************************************************************
  120.                            >> END OF THIS FILE <<
  121. ***************************************************************************
  122.  
  123. ------------------------------
  124.  
  125. From: The Moderators' <72307.1502@COMPUSERVE.COM>
  126. Subject: Is Prodigy snooping thru your hard disk?
  127. Date: 02 May 91 20:49:57 EDT
  128.  
  129. ********************************************************************
  130. ***  CuD #3.16: File 2 of 6: Is Prodigy Snooping?                ***
  131. ********************************************************************
  132.  
  133. We recently received the following summary of an article that appeared
  134. in the May 1, 1991 issue of the Wall Street Journal.  No further
  135. citation was given.  As automated access programs become more popular
  136. (eg: Compuserve's CIM and GEnie's Aladdin) this issue will become even
  137. more worrisome.   Not only could your email be compromised, but it is
  138. possible that such programs could inventory your hard drive, reporting
  139. which applications you have installed, and their serial numbers.
  140. Would an organization, such as the SPA, sponsor such a program?  Alas
  141. there appears to be little (if anything) that would prevent them from
  142. doing so.
  143. ++++++++++++++++++++++++++++++++++++++
  144.  
  145. Subscribers to the popular Prodigy computer service are discovering an
  146. unsettling quirk about the system:  It offers Prodigy's headquarters a
  147. peek into users' own private computer files.  The quirk sends copies
  148. of random snippets of a PC's contents into some special files in the
  149. software Prodigy subscribers use to access the system.  Those files
  150. are also accessible to Prodigy's central computers, which connect to
  151. users' PCs via phone lines.  The service's officials say they're aware
  152. of the software fluke. [ We'd use a stronger word than 'fluke' here,
  153. but we don't write for the WSJ - CuD ]  They also confirm that it
  154. could conceivably allow Prodigy employees to view those stray snippets
  155. of private files that creep into the Prodigy software.  But they
  156. insist that Prodigy has never looked at those snippets and hasn't any
  157. intention of ever doing so.  "We couldn't get to that information
  158. without a lot of work, and we haven't any interest in getting there,"
  159. says Brian Ek, a Prodigy spokesman. Nevertheless, news of the odd
  160. security breach has been stirring alarm among Prodigy users.  Many
  161. have been nervously checking their Prodigy software to see what
  162. snippets have crept into it, finding such sensitive data as
  163. lawyer-client notes, private phone-lists, and accountants' tax files.
  164. Even though Prodigy users' privacy doesn't appear to have been
  165. invaded, the software problem points up the security risks that can
  166. arise as the nation races to build vast networks linking PCs via
  167. telephone lines.
  168.  
  169. ********************************************************************
  170.                            >> END OF THIS FILE <<
  171. ***************************************************************************
  172.  
  173. ------------------------------
  174.  
  175. From:   Anonymous
  176. Subject: Prodigy under Fire
  177. Date:  Thu, 9 May 91 01:22:52 CDT
  178.  
  179. ********************************************************************
  180. ***  CuD #3.16: File 3 of 6: Prodigy under Fire                  ***
  181. ********************************************************************
  182.  
  183. ********************************************************************
  184. ********************************************************************
  185.  
  186.      News of the Earth           Global news and information
  187.                            *     from electronic and print sources
  188.            supplements   *   *   edited by
  189.                            *     Regina P Knight, Geert K Marien
  190.         ISSN 1052-2239           and John B Harlan
  191.  
  192. ********************************************************************
  193.  
  194.        Subject:   Prodigy
  195. Contributed by:   Donna B Harlan
  196.                   Harlan@IUBACS / Harlan@UCS.Indiana.Edu
  197.  
  198.    News source:  Help-Net (BITNET/CREN/Internet Help Resource)
  199.                    on ListServ@TempleVM
  200.           Date:  Thu, 2 May 91 12:31:52 CST
  201. Original title:  Prodigy
  202.     and author:  Suzana Lisanti <LISANTI@MITVMA.BITNET>
  203.          Notes:  This was forwarded from Help-Net to Roots-L
  204.                    (Genealogy List) on ListServ@NDSUVM1
  205.  
  206.  
  207.               *****  Start of forwarded material  *****
  208.  
  209. ----------------------------Original message------------------------
  210. I'm forwarding this message regarding Prodigy... I have no idea
  211. if it's true or not...
  212. ------------------ Beginning of forwarded message -----------------
  213.         The L. A. County District Attorney is formally investigating
  214. PRODIGY for deceptive trade practices.  I have spoken with the
  215. investigator assigned (who called me just this morning, February 22,
  216. 1991).
  217.  
  218. We are free to announce the fact of the investigation.  Anyone can
  219. file a complaint.  From anywhere.
  220.  
  221. The address is:
  222.  
  223. District Attorney's Office
  224. Department of Consumer Protection
  225. Attn: RICH GOLDSTEIN, Investigator
  226. Hall of Records   Room 540
  227. 320 West Temple Street
  228. Los Angeles, CA 90012
  229.  
  230. Rich doesn't want phone calls, he wants simple written statements
  231. and copies (no originals) of any relevant documents attached.  He
  232. will call the individuals as needed, he doesn't want his phone
  233. ringing off the hook, but you may call him if it is urgent at 1-213-
  234. 974-3981.
  235.  
  236. PLEASE READ THIS SECTION EXTRA CAREFULLY.  YOU NEED NOT BE IN
  237. CALIFORNIA TO FILE!!
  238.  
  239.         If any of us "locals" want to discuss this, call me at the
  240. Office Numbers: (818) 989-2434; (213) 874-4044.  Remember, the next
  241. time you pay your property taxes, this is what you are supposed to
  242. be getting ... service.  Flat rate?  [laugh] BTW, THE COUNTY IS
  243. REPRESENTING THE STATE OF CALIFORNIA.  This ISN'T limited to L. A.
  244. County and complaints are welcome from ANYWHERE in the Country or
  245. the world. The idea is investigation of specific Code Sections and
  246. if a Nationwide Pattern is shown, all the better.
  247.  
  248. LARRY ROSENBERG, ATTY
  249.  
  250.   Prodigy: More of a Prodigy Than We Think?
  251.   By: Linda Houser Rohbough
  252.  
  253.      The stigma that haunts child prodigies is that they are
  254. difficult to get along with, mischievous and occasionally, just flat
  255. dangerous, using innocence to trick us. I wonder if that label fits
  256. Prodigy, Sears and IBM's telecommunications network?
  257.  
  258.      Those of you who read my December article know that I was
  259. tipped off at COMDEX to look at a Prodigy file, created when Prodigy
  260. is loaded STAGE.DAT. I was told I would find in that file personal
  261. information form my hard disk unrelated to Prodigy.  As you know, I
  262. did find copies of the source code to our product FastTrack, in
  263. STAGE.DAT. The fact that they were there at all gave me the same
  264. feeling of violation as the last time my home was broken into by
  265. burglars.
  266.  
  267.      I invited you to look at your own STAGE.DAT file, if you're a
  268. Prodigy user, and see if you found anything suspect. Since then I
  269. have had numerous calls with reports of similar finds, everything
  270. from private patient medical information to classified government
  271. information.
  272.  
  273.      The danger is Prodigy is uploading STAGE.DAT and taking a look
  274. at your private business. Why? My guess is marketing research, which
  275. is expensive through legitimate channels, and unwelcomed by you and
  276. I.  The question now is: Is it on purpose, or a mistake?  One caller
  277. theorizes that it is a bug. He looked at STAGE.DAT with a piece of
  278. software he wrote to look at the physical location of data on the
  279. hard disk, and found that his STAGE.DAT file allocated 950,272 bytes
  280. of disk space for storage.
  281.  
  282.      Prodigy stored information about the sections viewed frequently
  283. and the data needed to draw those screens in STAGE.DAT. Service
  284. would be faster with information stored on the PC rather then the
  285. same information being downloaded from Prodigy each time.
  286.  
  287.      That's a viable theory because ASCII evidence of those screens
  288. shots can be found in STAGE.DAT, along with AUTOEXEC.BAT and path
  289. information. I am led to belive that the path and system
  290. configuration (in RAM) are diddled with and then restored to
  291. previous settings upon exit. So the theory goes, in allocating that
  292. disk space, Prodigy accidently includes data left after an erasure
  293. (As you know, DOS does not wipe clean the space that deleted files
  294. took on the hard disk, but merely marked the space as vacant in the
  295. File Allocation Table.)
  296.  
  297.      I received a call from someone from another user group who read
  298. our newsletter and is very involved in telecommunications.  He
  299. installed and ran Prodigy on a freshly formatted 3.5 inch 1.44 meg
  300. disk. Sure enough, upon checking STAGE.DAT he discovered personal
  301. data from his hard disk that could not have been left there after an
  302. erasure. He had a very difficult time trying to get someone at
  303. Prodigy to talk to about this.
  304.  
  305.                            --------------
  306.  
  307. Excerpt of email on the above subject:
  308.  
  309. THERE'S A FILE ON THIS BOARD CALLED 'FRAUDIGY.ZIP' THAT I SUGGEST
  310. ALL WHO USE THE PRODIGY SERVICE TAKE ***VERY*** SERIOUSLY.  THE FILE
  311. DESCRIBES HOW THE PRODIGY SERVICE SEEMS TO SCAN YOUR HARD DRIVE FOR
  312. PERSONAL INFORMATION, DUMPS IT INTO A FILE IN THE PRODIGY
  313. SUB-DIRECTORY CALLED 'STAGE.DAT' AND WHILE YOU'RE WAITING AND
  314. WAITING FOR THAT NEXT MENU COME UP, THEY'RE UPLOADING YOUR STUFF AND
  315. LOOKING AT IT.
  316.  
  317.      TODAY I WAS IN BABBAGES'S, ECHELON TALKING TO TIM WHEN A
  318. GENTLEMAN WALKED IN, HEARD OUR DISCUSSION, AND PIPED IN THAT HE WAS
  319. A COLUMNIST ON PRODIGY. HE SAID THAT THE INFO FOUND IN
  320. 'FRAUDIGY.ZIP' WAS INDEED TRUE AND THAT IF YOU READ YOUR ON-LINE
  321. AGREEMENT CLOSELY, IT SAYS THAT YOU SIGN ALL RIGHTS TO YOUR COMPUTER
  322. AND ITS CONTENTS TO PRODIGY, IBM & SEARS WHEN YOU AGREE TO THE
  323. SERVICE.
  324.  
  325.      I TRIED THE TESTS SUGGESTED IN 'FRAUDIGY.ZIP' WITH A VIRGIN
  326. 'PRODIGY' KIT.  I DID TWO INSTALLATIONS, ONE TO MY OFT USED HARD
  327. DRIVE PARTITION, AND ONE ONTO A 1.2MB FLOPPY.  ON THE FLOPPY
  328. VERSION, UPON INSTALLATION (WITHOUT LOGGING ON), I FOUND THAT THE
  329. FILE 'STAGE.DAT' CONTAINED A LISTING OF EVERY .BAT AND SETUP FILE
  330. CONTAINED IN MY 'C:' DRIVE BOOT DIRECTORY.  USING THE HARD DRIVE
  331. DIRECTORY OF PRODIGY THAT WAS SET UP, I PROCEDED TO LOG ON.  I
  332. LOGGED ON, CONSENTED TO THE AGREEMENT, AND LOGGED OFF. REMEMBER,
  333. THIS WAS A VIRGIN SETUP KIT.
  334.  
  335.      AFTER LOGGING OFF I LOOKED AT 'STAGE.DAT' AND 'CACHE.DAT' FOUND
  336. IN THE PRODIGY SUBDIRECTORY.  IN THOSE FILES, I FOUND POINTERS TO
  337. PERSONAL NOTES THAT WERE BURIED THREE SUB-DIRECTORIES DOWN ON MY
  338. DRIVE, AND AT THE END OF 'STAGE.DAT' WAS AN EXACT IMAGE COPY OF MY
  339. PC-DESKTOP APPOINTMENTS CALENDER.
  340.  
  341.      CHECK IT OUT FOR YOURSELF.
  342.  
  343.  ### END OF BBS FILE ###
  344.  
  345. I had my lawyer check his STAGE.DAT file and he found none other
  346. than CONFIDENTIAL CLIENT INFO in it.
  347.  
  348. Needless to say he is no longer a Prodigy user.
  349.  
  350.  
  351. Mark A. Emanuele   V.P. Engineering  Overleaf, Inc.
  352. 218 Summit Ave   Fords, NJ 08863   (908) 738-8486
  353. emanuele@overlf.UUCP
  354.  
  355.  
  356.                *****  End of forwarded material  *****
  357.  
  358.  
  359. ********************************************************************
  360.                      Think globally, act locally
  361. ********************************************************************
  362.  
  363.    News of the Earth (ISSN 1052-2239) consists of three components
  364.  
  365.              NewsE-D  Distribution
  366.                         Global news and information
  367.                         from shortwave radio broadcasts
  368.              NewsE-L  Letters
  369.                         News and reaction from readers
  370.              NewsE-S  Supplements
  371.                         Global news and information
  372.                         from electronic and print sources
  373.  
  374.            available separately by free subscription from
  375.                       ListServ@IndyCMS  (CREN)
  376.                ListServ@IndyCMS.IUPUI.Edu  (Internet)
  377.  
  378. ********************************************************************
  379.  
  380.              News of the Earth supplements are edited by
  381.  
  382.       Regina P Knight:  RPKnight@USMCP6  (CREN)
  383.        Geert K Marien:  GKMXU@CUNYVM  (CREN)
  384.                         GKMXU@CUNYVM.CUNY.Edu  (Internet)
  385.         John B Harlan:  IJBH200@IndyVAX  (CREN)
  386.                         IJBH200@IndyVAX.IUPUI.Edu  (Internet)
  387.  
  388. ********************************************************************
  389.                            >> END OF THIS FILE <<
  390. ***************************************************************************
  391.  
  392. ------------------------------
  393.  
  394. From:  "D.Baswell@adacp.com"
  395. Subject: Comp.Org.Eff.Talk. comments on Prodigy FYI
  396. Date:  Sat, $ May 91 09:01:08 GMT
  397.  
  398. ********************************************************************
  399. ***  CuD #3.16: File 4 of 6: Assorted Comments on Prodigy        ***
  400. ********************************************************************
  401.  
  402. I find these posts from comp.org.eff.talk interesting. Hope you do
  403. too.
  404.  
  405. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  406. (Begin Posts):
  407.  
  408. Subject: Re: Prodigy charged with invading users' privacy
  409. Date: 1 May 91 05:17:34 GMT
  410. Sender: usenet@pcserver2.naitc.com (News Poster for NNTP)
  411.  
  412. in article <1991Apr30.225133.8165@craycos.com> jrbd@craycos.com (James
  413. Davies) writes:
  414. >>     I received a call from someone from another user group who read
  415. >>our newsletter and is very involved in telecommunications.  He
  416. >>installed and ran Prodigy on a freshly formatted 3.5 inch 1.44 meg
  417. >>disk. Sure enough, upon checking STAGE.DAT he discovered personal data
  418. >>from his hard disk that could not have been left there after an
  419. >>erasure.
  420. >
  421. >Question: was he using an unused disk, or did he just reformat an old
  422. >one, assuming that it would be wiped clean?
  423. >
  424. >Could some Prodigy user out there try this experiment again, this
  425. >time using a verifiably empty disk?  I get the feeling that this hasn't
  426. >exactly been a controlled experiment so far...
  427.  
  428. Note one thing well:
  429.  
  430. All formats on a floppy disk ARE LOW LEVEL FORMATS.  That is, all data is
  431. physically erased, sector marks are rewritten, the whole works.
  432.  
  433. It is not possible on a DOS machine to issue a "FORMAT A:" and have any data
  434. retained on the diskette from prior use.
  435.  
  436. Try it.  You'll see that this is the case.
  437.  
  438. To do a controlled test, do the following:
  439.  
  440. 1) Bulk erase and then format a floppy diskette.  NO CHANCE of any
  441.    residual data on the disk surface after this.
  442.  
  443. 2) Run a "cleandisk" program to write ZEROS to all unallocated areas of
  444.    the fixed disk in the machine.  This will guarantee that all
  445.    unallocated areas, which may be used for scratch buffers, have no
  446.    data on them.  The tail end of files are irrelevant -- that's an
  447.    ALLOCATED area and should not be touched by the software if it's
  448.    being "honest".
  449.  
  450. 3) Install Prodigy on the floppy disk.  Do not touch the hard drive,
  451.    or run any software from it.  Work >only< on the floppy disk.
  452.  
  453. 4) Call Prodigy.  Spend an hour or two online.  Give 'em plenty of time
  454.    to hose you if they're going to.
  455.  
  456. 5) Sign off and look at STAGE.DAT on the floppy disk.
  457.  
  458. Alternately, after cleaning the disk, install the Prodigy software on the
  459. fixed disk.  DO NOT ACCESS ANY OTHER PROGRAMS OR DATA.  Immediately run
  460. Prodigy, dial in, and use it for a couple of hours.
  461.  
  462. Then check STAGE.DAT on the fixed disk.
  463.  
  464. Since you zeroed all unallocated areas on the drive before you began, there
  465. is no way the STAGE.DAT file could have gotten private data in it unless the
  466. software is scanning your fixed disk drive.
  467.  
  468. This should provide rather conclusive proof one way or the other.
  469.  
  470. I'm not a Prodigy subscriber, or I'd try this...
  471.  
  472. Subject: Re: Prodigy charged with invading users' privacy (was Re:
  473. Date: 1 May 91 21:07:40 GMT
  474.  
  475. > zane@ddsw1.MCS.COM (Sameer Parekh) writes:
  476. >
  477. >  Thank you for posting that.  I had previously thought that Prodigy
  478. >was simply a dumb service.  Now I am committed to the education of people to
  479. >stop using Prodigy.  I will be writing an 'information sheet' which I will
  480. >distribute so that we can educate those who are not on the net.  I will post
  481. >it here first so that I may get feedback on how it is.
  482. >  (I didn't hear about it from this post, a friend who obviously read
  483. >this post told me about it.)
  484.  
  485. The evidence presented so far has been in a word "SHODDY". Before you go making
  486. statements about this matter I would advise you to investigate more fully.
  487. Telling people not to use this service because of a supposely found problem
  488. that later turns out to be false opens the possibility of being sued for LIBEL.
  489. You could be sued for loss of revenue for each and every user you convince to
  490. discontinue or not use the service. This includes lost advertising revenue.
  491.  
  492. The "litmus" tests I have seen so far are invalid. They show a lack of
  493. understanding of all the possible ways for this to happen (and there are many!)
  494.  
  495. The proper test should be:
  496.  wipe the hard disk clean -- i.e. low level reformat or wipedisk etc.
  497.     Note: This should be done to any and all disks, partitions, etc on the
  498.           system. (Or remove them)
  499. 2: insure all disks are clean!!
  500. 3: install test files to look for(if needed).
  501.     Do not delete anything. Do not use any disk compressor.
  502.     Just copy the files onto the disk.
  503. 4: POWER OFF the machine. Wait 10 min. (Yes, 10 MIN!)
  504. 5: Turn machine on and verify memory is clear.
  505.     Don't do anything except what is listed here. Especially don't go looking
  506.     at files. Don't do anything that might bring a file into memory or a disk
  507.     buffer.
  508. 6: install prodigy
  509. 7: run prodigy for a period of time (1 hour or so)
  510. 8: NOW check the STAGE.DAT file.
  511.  
  512. An even better test would to be to monitor the data being sent back to Prodigy.
  513.  
  514. Subject: Re: Prodigy charged with invading users' privacy
  515. Date: 2 May 91 16:03:52 GMT
  516.  
  517. Now that there is some more reliable data on the STAGE.DAT "controversy",
  518. I hope that everyone will settle down and stop accusing Prodigy of
  519. spying on them.  It appears that the "stolen personal data" in the
  520. file was, as several people have speculated, just leftover pieces of
  521. deleted files.
  522.  
  523. However, what nobody seemed to notice in all of this hysteria is that
  524. Prodigy doesn't need to move data into STAGE.DAT in order to "steal" it.
  525. They could just as easily have just directly snatched your client lists
  526. and accounting records without buffering it to another file first (in fact,
  527. a truly sneaky system would have done just that, I would say).
  528.  
  529. There is a lot of trust necessary to use any network software -- for all I
  530. know, "rn" could be browsing through my files right this minute.  However,
  531. there is no reason for me to suspect this, and if it did happen and I
  532. discovered it, I'm sure there would be hell to pay for the person responsible.
  533.  
  534. Prodigy is in a position to lose quite a bit if they were found to be
  535. illegally spying on their users (can you say "deep pockets"? -- IBM is
  536. the Grand Canyon of deep pockets...)  It's inconceivable to me that they would
  537. be pursuing such a risky policy.
  538.  
  539.                   jrbd
  540. ++++++++++++++++++++++++
  541.  
  542. Dear Dr. Pangloss
  543.  
  544. The stage.dat file is created when you install the prodigy software by
  545. pulling random bits from your computer's memory and hard disk erased
  546. space.  This methods is the fastest way to create an "empty" file.  As
  547. you use the service, reusable service information is stored in the
  548. file, overwriting random data stored there initially.  When the
  549. service can get information from your stage file, rather than from the
  550. modem, the service speed is improved. Thanks for writing
  551.  
  552. +++++++++++++++++++++++++++++++++++++++++++
  553.  
  554. Comments:
  555.  
  556. a.  The original message was in upper case.
  557.  
  558. b.  Although the basic outline is probably correct, I somehow doubt
  559.     that the setup sequence "pulls random bits from your computer's
  560.     memory.".  It's probably using what ever was in the area last.
  561.     Not quite random.  (And not a very nice way to write a program.
  562.     Me, I'd initialize everything to 0's or 1's.)
  563.  
  564. c.  The moral is clear.  Digital is forever.  When you erase a file
  565.     you don't erase anything, you just tell the system that it can
  566.     reuse the space.  Admiral Poindexter can testify to that.  (And so
  567.     can Peter Norton who's saved many a person's skin.)
  568.  
  569. ********************************************************************
  570.                            >> END OF THIS FILE <<
  571. ***************************************************************************
  572.  
  573. ------------------------------
  574.  
  575. From:  FYI
  576. Subject: Prodigy's Response to Stage.dat File
  577. Date: May 5, 1991
  578.  
  579. ********************************************************************
  580. ***  CuD #3.16: File 5 of 6: Prodigy's response to Stage.dat File***
  581. ********************************************************************
  582.  
  583. $Moderator's note: We received a number of copies of the following
  584. response by Prodigy to the Stage.dat problem.
  585.  
  586.  PRODIGY(R) interactive personal service        05/03/91       10:49 PM
  587.  
  588.               The Privacy of Member Information
  589.  
  590.  Some members have asked recently about the privacy of information
  591.  they store on their personal computers, as it relates to their use of
  592.  the PRODIGY service. I felt this subject was important enough to
  593.  inform all our membership about it.
  594.  
  595.  Privacy of a member's personal information is of primary importance
  596.  to us. We know that our members consider this kind of information
  597.  proprietary, and so do we.
  598.  
  599.  A recent, unsubstantiated and incorrect newspaper report suggested
  600.  that members' personal information--unrelated to their use of the
  601.  PRODIGY service--is being transmitted to our host computers from our
  602.  members' computers. This is simply not true. It never has been.
  603.  
  604.  We have no central computers that access private computer files. The
  605.  PRODIGY service software does not read, collect, or transmit to the
  606.  Prodigy Services Company any information or data that is not directly
  607.  connected with your use of the service.
  608.  
  609.  Member privacy has always been a top priority for Prodigy.  Your use
  610.  of the service can continue with the highest confidence that your
  611.  personal data will not be accessed by us.
  612.  
  613.  Ted Papes
  614.  President, Prodigy Services Company
  615.  May 2, 1991
  616.  
  617.  You may have recently read about data from other files appearing
  618.  inside the STAGE. This is a harmless side effect of DOS file
  619.  operations and the process by which the PRODIGY STAGE is created. On
  620.  the following screens you'll find a discussion of your STAGE.DAT
  621.  file.
  622.  
  623.  If you're interested in the details, please read on. I think you'll
  624.  be more comfortable once you've read the facts.
  625.  
  626.                               Harold Goldes (CBXH97A)
  627.                               Technical Editor, PRODIGY Star
  628.  
  629.  
  630.  used by the STAGE has prompted some to speculate that PRODIGY can gain
  631.  access to that information or other information on a member's hard
  632.  disk. Here are the facts:
  633.  
  634.     The PRODIGY software does not examine a member's hard disk as a
  635.     whole. It does not read files created by other software. It does
  636.     not read data other than its own. It does not upload files to do
  637.     this. The PRODIGY software confines its file operations to a
  638.     limited and well defined section of your disk: The PRODIGY
  639.     directory.
  640.  
  641.  When you install the PRODIGY software on your computer we create a
  642.  unique file on your floppy or hard disk:  STAGE.DAT. The STAGE (or
  643.  STAGE.DAT as it appears in your directory or folder) is a "container".
  644.  What does it hold?
  645.  
  646.  The STAGE contains frequently used information and instructions that
  647.  make up PRODIGY applications ("applications" refers to the individual
  648.  activities available to you on the service; FIND and the Movie Guide,
  649.  are examples).
  650.  
  651.  Placing portions of applications on the STAGE (and not in other more
  652.  remote parts of our network) puts them close to you. Without a storage
  653.  structure like the STAGE, key components of an application would be
  654.  sent to your computer whenever you visited the application.  This adds
  655.  transmission time. Placing them on your computer saves time. When you
  656.  install the DOS version of the PRODIGY software, you have the choice
  657.  of creating the STAGE in a range of sizes from about 160Kb to 950Kb.
  658.  For Macintosh users there is one size: 200,064 bytes.
  659.  
  660.  If a member installs to a floppy disk(s), the STAGE may vary in size.
  661.  These intermediate sizes depend on several factors including the
  662.  capacity of the disk and the version of DOS. Once it's been created,
  663.  the STAGE never changes its size. But the date and time stamp on the
  664.  STAGE does change and is updated at the end of every PRODIGY session.
  665.  This reflects the fact that during your session we read PRODIGY
  666.  content from it and write updated PRODIGY content to it.  To improve
  667.  performance during your session, certain frequently used parts of the
  668.  service are always "staged". A larger STAGE, should you choose one,
  669.  permits a growing inventory of applications to reside on your
  670.  computer.  Because our software adapts itself to you, some of the
  671.  content you use regularly can become staged.
  672.  
  673.  Whenever and wherever you logon to the Prodigy service, we check to
  674.  see if you've got the latest versions of a variety of programs and
  675.  data that reside in the STAGE. If not we send you what you need. You
  676.  don't have to ask for new disks. And you don't have to reinstall.
  677.  
  678.  Some members use RAMdisks to improve performance. A RAMdisk is a "disk
  679.  drive" made from memory (RAM) not from mechanical parts. It's faster
  680.  than its physical counterpart but can more easily lose data.  For that
  681.  reason we don't recommend using a RAMdisk.  However here's something
  682.  to keep in mind if you're going to do it anyway. A RAMdisk is
  683.  volatile. If you turn your machine off, the information stored on the
  684.  RAMdisk evaporates. As you may be receiving an update each time you
  685.  sign on, be sure to save the updates. To do this, copy the file named
  686.  STAGE.DAT back to your PRODIGY directory before you hit that switch.
  687.  
  688.  Members often ask about the need to update the PRODIGY software on
  689.  their PRODIGY installation disks. There is no need to update the
  690.  original installation disks. Use those disks (or backup copies) to
  691.  install the software on any computer you use to sign on to the PRODIGY
  692.  Service. Then, when you sign on for the first time, the service will
  693.  automatically update the PRODIGY software.
  694.  
  695.  Suppose you have two computers and use them both to access the
  696.  service. Let's say you use one more frequently than the other.  Each
  697.  of your computers will get updates, if needed, when you use them. The
  698.  machine used most frequently will be updated steadily (almost
  699.  imperceptibly) by increments. When you use the other machine, you
  700.  might notice a delay during logon because it's receiving a greater
  701.  amount of updated information all at once.
  702.  
  703.  There's a practical limit to the kinds of changes we can make
  704.  automatically to an existing version of the software.  If you've ever
  705.  tried adding air conditioning to a car you bought without it, you'll
  706.  understand this; sometimes it's best to start over with the really
  707.  useful options built in.  So over time when we make extensive
  708.  improvements to the PRODIGY software, we may send you a new set of
  709.  disks.  From time to time members using the DOS version of the PRODIGY
  710.  software see information from "other" (non-PRODIGY) applications in
  711.  the disk space used by STAGE.DAT.
  712.  
  713.  Data from non-PRODIGY files is never actually part of STAGE.DAT. More
  714.  importantly it is never accessed or uploaded by the PRODIGY software.
  715.  There are two ways in which extraneous data can appear in the STAGE.
  716.  In the first case, the data was originally located in areas of the
  717.  hard disk once used by other software. At one point in the past, this
  718.  data was erased.
  719.  
  720.  When you erase a file, PC-DOS or MS-DOS (the operating system for
  721.  personal computers) does not remove the file's contents from your
  722.  disk. Instead it only marks the space used by the file as now
  723.  "available for use". In doing this, it gives other software permission
  724.  to reuse that space.  Until that space is used by its new owner, the
  725.  old data remains. This is why certain "unerase" software packages can
  726.  recover accidentally deleted files.  When you install the PRODIGY
  727.  software, it asks DOS to supply disk space for the STAGE.DAT file.
  728.  Depending on the size of the STAGE you choose, this is usually a
  729.  request for anywhere between 160Kb to 1 Mb.
  730.  
  731.  DOS then checks its inventory of available disk sectors, finds the
  732.  space and reserves it for its new owner:  STAGE.DAT. But DOS leaves
  733.  any old data in that space intact. Please keep in mind that DOS simply
  734.  supplies the sectors we request (as long as they are available) and
  735.  does not touch their original contents. Next, our install program
  736.  starts filling the space with blocks of PRODIGY information. The
  737.  PRODIGY install program does not erase any old data because to do so
  738.  would appreciably lengthen the install process. As a result, old
  739.  "erased" data may appear in unused space following the blocks (where
  740.  it's more noticeable) as well as in smaller areas that occur within
  741.  the blocks (for more on this see "HOW WE USE SPACE" below).  If you
  742.  chose a large STAGE (anything from 250Kb to 950Kb), chances are that
  743.  at first, a portion of it will be unused.  It is likely that some of
  744.  the space within that unused portion was used by other software at one
  745.  time. If so what you'll see if you examine that area will be
  746.  "leftovers".  Over time, the PRODIGY software will write blocks of
  747.  information to the STAGE replacing whatever is there.  Please keep in
  748.  mind that the PRODIGY software can only recognize the blocks of
  749.  information that it puts into STAGE.DAT itself. It does not read,
  750.  collect, process or transmit "non-PRODIGY data". All disk space
  751.  containing such data is treated as empty.
  752.  
  753.  Like most major software, to ensure compatibility and reliability when
  754.  creating, reading and writing files, the PRODIGY software employs
  755.  standard "services" provided by your computer's operating system. By
  756.  viewing the STAGE with certain software tools, members have observed
  757.  information from non-PRODIGY applications. However the PRODIGY
  758.  software can neither see this information nor use it. To the PRODIGY
  759.  software this space is considered "empty" and available for storing
  760.  PRODIGY data. Over time, as you use the service, this "empty" space is
  761.  covered by PRODIGY content.
  762.  
  763.  When we store data in the STAGE, we do it via DOS in blocks of a
  764.  specific size. Let's say that size is 100 bytes. If we store a 120
  765.  byte "object" then we use two blocks (or 200 bytes of storage). What
  766.  we store takes up all of the first block but only 20 bytes of the
  767.  second block. What happens to the remaining 80 bytes of the second
  768.  block? Whatever was there originally remains. If that block was built
  769.  on a previously used sector, 80 bytes of "old" data will be seen.
  770.  
  771.  There's a second way in which extraneous data may appear within the
  772.  disk space used by the STAGE. When the STAGE is being created, certain
  773.  "control" areas may incorporate information that was in your
  774.  computer's memory (RAM). These areas are used by the STAGE itself to
  775.  keep track of its own contents. This extraneous data may include
  776.  non-erased data or data from another disk. You may observe the names
  777.  of directories, your PATH, or information from the software you were
  778.  using just before you installed the PRODIGY software. To minimize the
  779.  occurrence of this data within the STAGE, just turn your PC off, wait
  780.  15 seconds then turn it on again before installing the PRODIGY
  781.  software.  In short, extraneous information can appear in the disk
  782.  space used by the STAGE and yet not actually be part of it.  The
  783.  appearance of this "non-PRODIGY data" is a side effect of DOS file
  784.  operations or the process by which the STAGE is created.  But, like a
  785.  bottle containing oil and water, this disk space STAGE can contain
  786.  both PRODIGY and non-PRODIGY data which are different and remain
  787.  separate.
  788.  
  789.  The PRODIGY software does not read information created by other
  790.  software. And it does not read data other than its own. Nevertheless
  791.  some members have tried to delete non-PRODIGY data from the STAGE by
  792.  using file editors.  Modifying the contents of the STAGE file will do
  793.  more harm than good. To maintain the integrity of the STAGE, we use
  794.  special techniques that detect alteration of its contents.  Changing
  795.  the contents of the STAGE with a software tool (like an editor) will
  796.  render the STAGE unusable. You'll have to reinstall the PRODIGY
  797.  software. For those members who are concerned by even the appearance
  798.  of extraneous data within the STAGE, we are preparing a utility to
  799.  eliminate non-PRODIGY data from the STAGE.
  800.  
  801.  No extraneous information appearing within the disk space used by
  802.  STAGE.DAT is known to or used by PRODIGY.
  803.  
  804.  The only information used by the PRODIGY software is what is needed
  805.  for the installation and operation of the software.
  806.  
  807. ********************************************************************
  808.                            >> END OF THIS FILE <<
  809. ***************************************************************************
  810.  
  811. ------------------------------
  812.  
  813. From: Moderators
  814. Subject: A Few Observations on Prodigy
  815. Date: 8 May, 1991
  816.  
  817. ********************************************************************
  818. ***  CuD #3.16: File 6 of 6: A Few Observations on Prodigy       ***
  819. ********************************************************************
  820.  
  821.  
  822. Prodigy customers can decide for themselves whether they are satisfied
  823. with the service, and the internal policies of a commercial system are
  824. normally of little direct CU interest.  Here, however, we see at least
  825. two issues that potentially touch the rest of us.
  826.  
  827. First, whatever the inadequacy of Prodigy's software or the tarnish on
  828. their public image, the stage.dat case raises the same issues that
  829. "hackers" have been raising for over a year.  The legitimate concerns
  830. of users regarding the potential danger to privacy seem over-ridden by
  831. the same hysteria and "lynch mob" mentality that has accompanied law
  832. enforcement attention to the CU. Prodigy may not be the most
  833. sympathetic of victims, but they seem to be victimized by the same
  834. excesses, this time from the private sector, as other individuals
  835. received from law enforcement.  Prodigy management may not handle its
  836. crises well, but this is not a crime, and using a flaw in a program to
  837. impute broader motives reminds us of how prosecutors distorted the
  838. significance of the E911 files, how AT&T fabricated the value of
  839. "losses," or how prosecutors creatively misconstrued facts or legal
  840. language to finagle a version of reality to their liking.
  841.  
  842. A second issue, one more chilling, was raised by Emmanuel Goldstein of
  843. 2600 Magazine. If user-interface software can access information ona
  844. hard drive, consider this scenario: A serial killer is suspected of
  845. being a computerophile. A "psychological profile" has narrowed down
  846. possible suspects who may have an account on a system (like Prodigy)
  847. that essentially takes temporary control of a system while the user is
  848. logged on.  Under existing law, can investigators use such such
  849. systems to "invade" the hard drives of suspects looking for potential
  850. evidence? And, if so, how can this evidence be used? Now, substitute
  851. "serial killer" for "hacker," "pirate," or "marijuana user."
  852.  
  853. Take another example. If the Secret Service engages in video taping of
  854. the kind it did in Summercon '88 without significant public outcry,
  855. how hard would it be to engage in comparable monitoring of "suspects"
  856. hard drives? We have seen from Sun Devil and other operations (eg,
  857. Steve Jackson Games) how easily search or seizure affidavits can
  858. distort "reality." A year ago we would have thought the possibility of
  859. hard drive snooping absurd.  But, we also would have disbelieved that
  860. the SS would poke holes in motel rooms to video tape 15 hours of
  861. people eating pizza and drinking beer.
  862.  
  863. The crucial question of Prodigy's stage.dat is not an individual
  864. company's policies, but rather the ability for such programs to be
  865. used by those with the power to abuse it.
  866.  
  867. ********************************************************************
  868.  
  869. ********************************************************************
  870.  
  871. ------------------------------
  872.  
  873.                          **END OF CuD #3.16**
  874. ********************************************************************