home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / cud / cud330.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  42.0 KB  |  832 lines
  1. Computer Underground Digest--Fri Aug 16, 1991 (Vol #3.30)
  2.  
  3.        Moderators: Jim Thomas and Gordon Meyer (TK0JUT2@NIU.BITNET)
  4.  
  5. CONTENTS, #3.30 (AUGUST 16, 1991)
  6. Subject: File 1--Review: PRACTICAL UNIX SECURITY (Garfinkel and Spafford)
  7. Subject: File 2--Review of "Practical Unix Security" (Garfinkel & Spafford).
  8. Subject: File 3--Cyberspace and the Legal Matrix: Laws or Confusion? (Reprint)
  9. Subject:  File 4--Mystery Lurks In The Death of INSLAW Reporter
  10.  
  11.            ARCHIVIST: BRENDAN KEHOE
  12.            RESIDENT CONVALESCENT: BOB KUSUMOTO
  13.            ULTRA-SCANMEISTER: BOB KRAUSE
  14.  
  15. CuD is available via electronic mail at no cost. Printed copies are
  16. available by subscription.  Single copies are available for the costs
  17. of reproduction and mailing.
  18.  
  19. Issues of CuD can be found in the Usenet alt.society.cu-digest news
  20. group, on CompuServe in DL0 and DL4 of the IBMBBS SIG, DL1 of LAWSIG,
  21. and DL0 and DL12 of TELECOM, on Genie, on the PC-EXEC BBS at (414)
  22. 789-4210, and by anonymous ftp from ftp.cs.widener.edu,
  23. chsun1.spc.uchicago.edu, and dagon.acc.stolaf.edu.  To use the U. of
  24. Chicago email server, send mail with the subject "help" (without the
  25. quotes) to archive-server@chsun1.spc.uchicago.edu.
  26.  
  27. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  28. information among computerists and to the presentation and debate of
  29. diverse views.  CuD material may  be reprinted as long as the source
  30. is cited.  Some authors do copyright their material, and they should
  31. be contacted for reprint permission.  It is assumed that non-personal
  32. mail to the moderators may be reprinted unless otherwise specified.
  33. Readers are encouraged to submit reasoned articles relating to the
  34. Computer Underground.  Articles are preferred to short responses.
  35. Please avoid quoting previous posts unless absolutely necessary.
  36.  
  37. DISCLAIMER: The views represented herein do not necessarily represent
  38.             the views of the moderators. Digest contributors assume all
  39.             responsibility for ensuring that articles submitted do not
  40.             violate copyright protections.
  41.  
  42. ----------------------------------------------------------------------
  43.  
  44. Date: Wed, 14 Aug 1991 11:22:00 CDT
  45. From: "Jim Thomas" <tk0jut2@mvs.cso.niu.edu>
  46. Subject: File 1--Review: PRACTICAL UNIX SECURITY (Garfinkel and Spafford)
  47.  
  48. Review of: _Practical UNIX Security_, by Simson Garfinkel and
  49. Gene Spafford. Sebastopol, (Calif): O'Reilly & Associates, Inc.
  50. 481 pp. $29.95 pb.
  51.  
  52. Because I know virtually nothing about UNIX, I am eminently qualified
  53. to comment on the Garfinkel/Spafford (G&S) volume. If I can understand
  54. and learn from it, anybody can. I have no idea whether UNIX Whizzes
  55. will find the tome worthwhile, but as a UNIX beginner, I judge the
  56. book a first-rate primer for inquisitive, but uninformed, neophytes.
  57.  
  58. To label the G&S book a "security" manual is misleading. Their
  59. introductory warning to would-be hackers who would interpret the book
  60. as in invitation to break into the authors' systems is perhaps a bit
  61. melodramatic (p. xxvii), but the book is about security as M*A*S*H is
  62. about war. I suspect system administrators, such as the following
  63. reviewer who is plagued by the screw-ups of folks like me who learn by
  64. punching in commands to see what they do--would hope users read _UNIX
  65. Security_  on the chance it would make them (the users, not the
  66. sysads) better citizens and cause them (the sysads, not the users)
  67. less hassle in answering obvious questions.
  68.  
  69. I'd guess that most users do not learn UNIX by taking classes, but
  70. rather by trial and error, pestering the pros, and maybe even
  71. purchasing a book or two.  Unlike the detailed "how to" books, such as
  72. _UNIX Made Easy_ (an oxymoronic title) that cover a wide range of UNIX
  73. uses and commands from programming to learning the intricacies of vi,
  74. _UNIX Security_ is more basic, focused, and appropriate for the UNIX
  75. newnicks.  Despite the focus on security, the book's emphasis is on
  76. responsible system use by teaching, step-by-step, those aspects of use
  77. at which security requisites arise. Such lessons obviously require an
  78. overview of the basics, which the authors provide.
  79.  
  80. They begin with an overview of the history of UNIX dating from the
  81. Mid-1960s with Multics to the rewriting and playful renaming of
  82. Multics to UNIX derived from the fact that Multics tried to to
  83. multiple things, and UNIX just one: Run programs (p. 7).  But, the
  84. openness and ease of UNIX also had a major drawback:  The early
  85. versions were not secure. Many of the original problems were the
  86. result of holes in the software itself, but--and the authors stress
  87. this throughout--the most serious security lapses are the result of
  88. human error or indifference.
  89.  
  90. Cracking into any system in most cases requires access to an account
  91. and then using that account to penetrate deeper by using various
  92. tricks to obtain root privileges.  As a consequence, the first line of
  93. defense, argue the authors, is to assure that unauthorized logins are
  94. prevented. There is little new for sysads in the book's first
  95. substantive chapter, "Users, Groups, and the Superuser." But the new
  96. user will find this explanation, along with the various charts
  97. clarifying what all those symbols mean when we list the /etc/group
  98. file, quite helpful.  Subsequent chapters explaining files, defending
  99. accounts, and securing data provide useful examples that can serve as
  100. exercises for the beginner in ferreting out the complexity of UNIX as
  101. well as for protecting one's own account against intruders. What for
  102. experienced users might seem mundane serves newer users with ways to
  103. develop and test knowledge of *one's own* account. The periodic
  104. distinctions between legitimate curious use and inappropriate abuse
  105. provide guidelines that encourage exploration while reminding the user
  106. of the courtesies owed to the sysads and others.
  107.  
  108. For those active on the nets, a five chapter section on modems, UUCP,
  109. Networks and Security, Sun's NFS, and other topics condenses much of
  110. Quarterman's $50 _The Matrix_ into a few comprehensible chapters.
  111. Although intended more for those setting up systems than using them,
  112. the discussion illustrates what occurs when we dial into a UNIX system
  113. and summarizes various operations of remote systems, including sending
  114. mail and file transfer. I found that the general discussion helped
  115. clarify the occasional error message and helps to use other systems
  116. more efficiently, ranging from moving around within them to using ftp
  117. and telnet.
  118.  
  119. Sysads may find little new in the discussion of what to do when a
  120. breakin occurs, but the step-by step procedures might serve as a
  121. mindful checklist. The cardinal rules--"don't panic" and "document"
  122. are sound for all computer users when they suspect intrusion, and
  123. inexperienced users should find the discussion helpful in reviewing
  124. how systems track and identify other users.
  125.  
  126. Although most users do not encrypt files and know nothing about the
  127. process, the early discussion of the process (pp 29-31) provides an
  128. understandable overview of what encryption is and how it works.  With
  129. increasing emphasis on secure systems, discussions of encryption also
  130. increase, and even for those of us who are functionally illiterate, it
  131. helps to know what salt is and what it does to our password. Chapter
  132. 18 is devoted to a more detailed summary of encryption systems,
  133. including ROT13 and crypt.
  134.  
  135. The chapter on "Computer Security and U.S. Law" is too brief.  G&S
  136. explain the legal options for prosecution and remind readers of the
  137. hazards of criminal prosecution, which include law enforcement
  138. illiteracy, the problems of search warrants, and the dangers of
  139. equipment seized as evidence. Alluding to the experience of Steve
  140. Jackson Games, where law enforcement seizure of equipment and a
  141. pre-publication version of a new game had led to a suit against
  142. Federal and private sector personnel, G&S warn employeers whose
  143. employees--or they themselves--may have equipment taken by law
  144. enforcement of their right to receipts and of the need to discuss the
  145. conditions of return.
  146.  
  147. The section on law (p. 349) lists the laws likely to be used in
  148. prosecuting computer intrustion along with a few word summary of the
  149. violation each law represents. Because even the most recent laws tend
  150. to be overly-broad and vague, the section on "Federal computer crime
  151. laws" could have been expanded to include a discussion of the problems
  152. of legal language and give a better summary of the relevant language
  153. of each.  It is also a bit disturbing that the chapters seems to
  154. advocate (despite the caveats) prosecution in favor of other, less
  155. punitive but equally effective, actions. My bias as an advocate of
  156. decriminalization of many types of crimes and as a believer in
  157. reducing, rather than increasing, the burden of the criminal justice
  158. system led to me quibble, perhaps unduly, with what is otherwise a
  159. well-summarized chapter. But, especially for students (who constitute
  160. the bulk of the "hacker" population), there are numerous non-legal
  161. options available, and to my mind there should have been greater
  162. emphasis on elaborating the non-legal responses available and even
  163. suggesting some new ones.
  164.  
  165. There is one irony in the G&S volume. Take the various chapters,
  166. retitle them as "how to break into..." or "UNIX cryptography" and
  167. rewrite the text in cyberese, then publish them in PHRACK or LoD/TJ,
  168. and add at the end of each the caution "Don't get caught with this,"
  169. and you might have law enforcement breathing down your neck. G&S have
  170. written--albeit more articulately and with more detail and insight--on
  171. the kinds of topics with similar examples to those found in some of
  172. the better p/h newsletters. Proving, perhaps, that form can be more
  173. important as content.
  174.  
  175. My goal here has been to suggest for the non-UNIX expert why they wold
  176. find _Practical UNIX Security_ worth reading. Despite the title and
  177. the authors' professed goal, is crammed with information on all phases
  178. of UNIX use and with tips for utilizing the system's power. Those who
  179. read and experiment with the volume are likely to become better system
  180. and net citizens, both because of their knowledge and proficiency and
  181. because of the socialization process entailed by practicing what the
  182. authors teach us. It is well worth the price.
  183.  
  184. ((Jim Thomas is CuD co-editor and trying to learn UNIX after
  185. 9 years on an IBM mainframe))
  186.  
  187.  
  188. ------------------------------
  189.  
  190. Date: Wed, 14 Aug 1991 11:22:00 CDT
  191. From: Neil Rickert <rickert@CS.NIU.EDU>
  192. Subject: File 2--Review of "Practical Unix Security" (Garfinkel & Spafford).
  193.  
  194. Following on the heals of the development of the microprocesor, the
  195. last decade has seen an explosion of computers.  However the expertise
  196. to administer these computers has not grown at anything like the same
  197. pace.  The result is that there are large numbers of computers
  198. administered by people who are seriously short of experience.  Worse
  199. still many of these computers are connected to Internet, readily
  200. exposing them to would be electronic intruders.
  201.  
  202. Unix systems have particularly flexible networking facilities, but
  203. while these provide great benefits to the Unix user, they also provide
  204. portholes through which breakins can be attempted.
  205.  
  206. In the circumstances "Practical Unix Security" is a very timely
  207. publication.
  208.  
  209. This is a book for all Unix admins, not just those concerned about
  210. security.  If you have a Unix work station on your desktop, and if you
  211. are the sole user, and it not connected to any networks, you perhaps
  212. have little to worry about in terms of security.  But you can still
  213. benefit greatly from reading "Practical Unix Security".  For this is
  214. not just a book about security.  It also covers many aspects of
  215. administering Unix systems.  Indeed, it fills in many of the gaps left
  216. by the system administration books that you will find in the Unix
  217. section of your bookstore.
  218.  
  219. Doubtless the book will also be of interest to Unix detractors who
  220. will welcome the opportunity to gloat at some of the security problems
  221. in Unix.  But while they are gloating, they should perhaps look more
  222. closely at their own systems for problems which may be lurking just
  223. below the surface, less well known perhaps, because their systems lack
  224. the openness of Unix.
  225.  
  226. If you are looking for a specific list of steps to break into a Unix
  227. system, this is not the book for you.  The author's are quite careful
  228. on this point.  They do, however, give a guided tour through the
  229. system indicating the points of weakness, and suggesting how to
  230. configure your system to minimize the security problems.  The book
  231. covers passwords, file permissions and the use of umask, the risk of
  232. trojan horses and selecting a PATH which reduces the risk, SUID and
  233. SGID programs, logging activity, configuring UUCP to minimize security
  234. problems, networking cautions including cautions on the use of NFS and
  235. NIS services. It discusses Kerberos, SunOS secure rpc, and firewall
  236. arrangements, as ways of enhancing security.
  237.  
  238. Some time is spent on discussing good system backup plans.  A good
  239. backup strategy can be important if your system security is broken,
  240. for it allows you to recover any damaged files.  But, more important,
  241. it also provides recovery from the acts of incredible stupidity to
  242. which even the most experienced computer administrators are
  243. occasionally prone.
  244.  
  245. Security is not a technical problem, and the authors are careful to
  246. point this out.  It is a people problem.  Technological fixes by
  247. themselves don't work.  If, for example, you impose a system of
  248. machine generated passwords, this may create passwords that users can
  249. not remember, causing them to write the passwords down on paper with a
  250. net loss in security.  There is always a tradeoff between security and
  251. convenience.  Some of the stricter security measures may generate
  252. sufficient inconvenience that users will unthinkingly develop ways of
  253. subverting the security mechanisms.  Still, there is no excuse for
  254. vendors favoring convenience to the extent that they sell systems with
  255. virtually no security.  Perhaps one of the most serious of these is
  256. distribution of default configurations with a '+' in /etc/hosts.equiv
  257. .  The authors do not mince words on page 238, where they state "This
  258. is a major security hole" and on the next page "If you have a plus
  259. sign in your host.equiv (sic) file, REMOVE IT."
  260.  
  261. Any book this length is bound to contain a few mistakes.  "Practical
  262. Unix Security" is no exception.  Here are some examples:
  263.  
  264. p. 54   The su command only changes your process's effective UID; the real
  265.         UID remains the same.
  266.  
  267. That sounds to me like a badly broken implementation of su.
  268.  
  269. p. 92   Letting a user run the Berkeley mail(1) program without logging in is
  270.         dangerous, because the mail program allows the user to run any command
  271.         by preceding a line of the mail message with a tilde and an
  272.         exclamation mark.
  273.  
  274.  While I agree with the authors that it would be unwise, the risk is
  275. not as obvious as they assert.  When a user attempts such a shell
  276. escape, 'mail' implements it by invoking the user's login shell.  If,
  277. as in this example, the login shell is 'mail', then the tilde escape
  278. to execute say 'csh' would result in 'mail' attempting to execute
  279. '/usr/ucb/mail -c csh', and that would not get you very far.
  280.  
  281. p. 218  Your mail system should not allow mail to be sent directly to a file.
  282.         Mailers that deliver directly to files can be used to corrupt system
  283.         databases or application programs.  You can test whether or not your
  284.         system allows mail to be sent to a file with the command sequence:
  285.  
  286.                 mail /tmp/mailbug
  287.                 this is a mailbug file test
  288.                 ^D
  289.  
  290.         If the file mailbug appears in the /tmp directory, then your mailer is
  291.         insecure.
  292.  
  293. This is not a good test to try.  If 'mail /tmp/mailbug < message-file'
  294. happens to work, it doesn't do anything more dangerous than say
  295. 'cat >> /tmp/mailbug < message-file'.  There is only a problem if you can
  296. persuade 'mail' to write to a file you would not otherwise be able to
  297. write to, or to create a file with permissions and ownership you could
  298. not normally use.  If, for example, your 'mail' program were to
  299. directly handle mail to files, and pass all other mail off to
  300. 'sendmail', this would not be a security problem at all unless your
  301. mail program runs suid or sgid.
  302.  
  303.      +++++
  304.  
  305. These examples are really only minor failings.  But they do have the
  306. effect of making the inexperienced reader believe that Unix security
  307. is much weaker than in reality it is.  This will tend to make
  308. inexperienced admins unnecessarily paranoid, and perhaps afraid to do
  309. anything useful with their system.
  310.  
  311. My major criticism of this book, in fact, is that it seems to present
  312. an excessively paranoid view of the subject.  The authors make an
  313. attempt to avoid this very early, when they discuss risk assessment,
  314. and point at that you need not go overboard, but should provide
  315. sufficient security for the likely risk given the nature of the data
  316. on your computer and the way it is used.
  317.  
  318. Unfortunately, the author's seem to lose sight of this later on when
  319. they are busily pointing out the likely weaknesses, and how to protect
  320. against them.  Experienced administrators will have no trouble
  321. deciding how much security they need, and balancing this with the
  322. convenience they wish to provide to their users.  But I worry that
  323. novice administrators will not be able to make this judgement.  They
  324. may either overreact, and be so restrictive that their system is not
  325. as useful as it should be, or they may decide that achieving
  326. reasonable security is hopeless, and not even take the simplest steps
  327. which are often the most important.
  328.  
  329. In summary, I recommend this book for every Unix administrator and
  330. would-be administrator, not just for the security information, but for
  331. the insight it gives into the workings of Unix.  But I hope the reader
  332. will keep in mind that the authors have made things sound scarier than
  333. they really are.
  334.  
  335. ((Neil Rickert, a professor of computer science, is the sysad of
  336. the UNIX system at Northern Illinois University)).
  337.  
  338. ------------------------------
  339.  
  340. Date: Mon, 28 Jul 1991 10:15:13 CDT
  341. From: elrose@well.sf.ca.us
  342. Subject: File 3--Cyberspace and the Legal Matrix: Laws or Confusion? (Reprint)
  343.  
  344. ((Moderator's note: The following first appeared in Boardwatch, and
  345. later was sent across the nets by the author. We reprint it as part
  346. of the on-going discussion about life in cyberspace)).
  347.  
  348.          Cyberspace and the Legal Matrix: Laws or Confusion?
  349.                           ((By Lance Rose))
  350.  
  351. Cyberspace, the "digital world", is emerging as a global arena of
  352. social, commercial and political relations.  By "Cyberspace", I mean
  353. the sum total of all electronic messaging and information systems,
  354. including BBS's, commercial data services, research data networks,
  355. electronic publishing, networks and network nodes, e-mail systems,
  356. electronic data interchange systems, and electronic funds transfer
  357. systems.
  358.  
  359. Many like to view life in the electronic networks as a "new frontier",
  360. and in certain ways that remains true.  Nonetheless, people remain
  361. people, even behind the high tech shimmer.  Not surprisingly, a vast
  362. matrix of laws and regulations has trailed people right into
  363. cyberspace.
  364.  
  365. Most of these laws are still under construction for the new electronic
  366. environment.  Nobody is quite sure of exactly how they actually apply
  367. to electronic network situations.  Nonetheless, the major subjects of
  368. legal concern can now be mapped out fairly well, which we will do in
  369. this section of the article.  In the second section, we will look at
  370. some of the ways in which the old laws have trouble fitting together
  371. in cyberspace, and suggest general directions for improvement.
  372.  
  373. LAWS ON PARADE
  374.  
  375. -  Privacy laws.  These include the federal Electronic Communications
  376. Privacy Act ("ECPA"), originally enacted in response to Watergate, and
  377. which now prohibits many electronic variations on wiretapping by both
  378. government and private parties.  There are also many other federal and
  379. state privacy laws and, of course, Constitutional protections against
  380. unreasonable search and seizure.
  381.  
  382. -  1st Amendment.  The Constitutional rights to freedom of speech and
  383. freedom of the press apply fully to electronic messaging operations of
  384. all kinds.
  385.  
  386. -  Criminal laws.  There are two major kinds of criminal laws.  First,
  387. the "substantive" laws that define and outlaw certain activities.
  388. These include computer-specific laws, like the Computer Fraud and
  389. Abuse Act and Counterfeit Access Device Act on the federal level, and
  390. many computer crime laws on the state level.  Many criminal laws not
  391. specific to "computer crime" can also apply in a network context,
  392. including laws against stealing credit card codes, laws against
  393. obscenity, wire fraud laws, RICO, drug laws, gambling laws, etc.
  394.  
  395. The other major set of legal rules, "procedural" rules, puts limits on
  396. law enforcement activities.  These are found both in statutes, and in
  397. rulings of the Supreme Court and other high courts on the permissible
  398. conduct of government agents.  Such rules include the ECPA, which
  399. prohibits wiretapping without a proper warrant; and federal and state
  400. rules and laws spelling out warrant requirements, arrest requirements,
  401. and evidence seizure and retention requirements.
  402.  
  403. -  Copyrights.  Much of the material found in on-line systems and in
  404. networks is copyrightable, including text files, image files, audio
  405. files, and software.
  406.  
  407. -  Moral Rights.  Closely related to copyrights, they include the
  408. rights of paternity (choosing to have your name associated or not
  409. associated with your "work") and integrity (the right not to have your
  410. "work" altered or mutilated).  These rights are brand new in U.S. law
  411. (they originated in Europe), and their shape in electronic networks
  412. will not be settled for quite a while.
  413.  
  414. -  Trademarks.  Anything used as a "brand name" in a network context
  415. can be a trademark.  This includes all BBS names, and names for
  416. on-line services of all kinds.  Materials other than names might also
  417. be protected under trademark law as "trade dress": distinctive sign-on
  418. screen displays for BBS's, the recurring visual motifs used throughout
  419. videotext services, etc.
  420.  
  421. -  Right of Publicity.  Similar to trademarks, it gives people the
  422. right to stop others from using their name to make money.  Someone
  423. with a famous on-line name or handle has a property right in that
  424. name.
  425.  
  426. -  Confidential Information.  Information that is held in secrecy by
  427. the owner, transferred only under non-disclosure agreements, and
  428. preferably handled only in encrypted form, can be owned as a trade
  429. secret or other confidential property.  This type of legal protection
  430. is used as a means of asserting ownership in confidential databases,
  431. >from mailing lists to industrial research.
  432.  
  433. -  Contracts.  Contracts account for as much of the regulation of
  434. network operations as all of the other laws put together.
  435.  
  436. The contract between an on-line service user and the service provider
  437. is the basic source of rights between them.  You can use contracts to
  438. create new rights, and to alter or surrender your existing rights
  439. under state and federal laws.
  440.  
  441. For example, if a bulletin board system operator "censors" a user by
  442. removing a public posting, that user will have a hard time showing his
  443. freedom of speech was violated.  Private system operators are not
  444. subject to the First Amendment (which is focused on government, not
  445. private, action).  However, the user may have rights to prevent
  446. censorship under his direct contract with the BBS or system operators.
  447.  
  448. You can use contracts to create entire on-line legal regimes.  For
  449. example, banks use contracts to create private electronic funds
  450. transfer networks, with sets of rules that apply only within those
  451. networks.  These rules specify on a global level which activities are
  452. permitted and which are not, the terms of access to nearby systems and
  453. (sometimes) to remote systems, and how to resolve problems between
  454. network members.
  455.  
  456. Beyond the basic contract between system and user, there are many
  457. other contracts made on-line.  These include the services you find in
  458. a CompuServe, GEnie or Prodigy, such as stock quote services, airline
  459. reservation services, trademark search services, and on-line stores.
  460. They also include user-to-user contracts formed through e-mail.  In
  461. fact, there is a billion-dollar "industry" referred to as "EDI" (for
  462. Electronic Data Interchange), in which companies exchange purchase
  463. orders for goods and services directly via computers and computer
  464. networks.
  465.  
  466. -  Peoples' Rights Not to be Injured.  People have the right not to be
  467. injured when they venture into cyberspace.  These rights include the
  468. right not to be libelled or defamed by others on-line, rights against
  469. having your on-line materials stolen or damaged, rights against having
  470. your computer damaged by intentionally harmful files that you have
  471. downloaded (such as files containing computer "viruses"), and so on.
  472.  
  473. There is no question these rights exist and can be enforced against
  474. other users who cause such injuries.  Currently, it is uncertain
  475. whether system operators who oversee the systems can also be held
  476. responsible for such user injuries.
  477.  
  478. -  Financial Laws.  These include laws like Regulations E & Z of the
  479. Federal Reserve Board, which are consumer protection laws that apply
  480. to credit cards, cash cards, and all other forms of electronic
  481. banking.
  482.  
  483. -  Securities Laws.  The federal and state securities laws apply to
  484. various kinds of on-line investment related activities, such as
  485. trading in securities and other investment vehicles, investment
  486. advisory services, market information services and investment
  487. management services.
  488.  
  489. -  Education Laws.  Some organizations are starting to offer on-line
  490. degree programs.  State education laws and regulations come into play
  491. on all aspects of such services.
  492.  
  493. The list goes on, but we have to end it somewhere.  As it stands, this
  494. list should give the reader a good idea of just how regulated
  495. cyberspace already is.
  496.  
  497.  
  498. LAWS OR CONFUSION?
  499.  
  500. The legal picture in cyberspace is very confused, for several reasons.
  501.  
  502. First, the sheer number of laws in cyberspace, in itself, can create a
  503. great deal of confusion.  Second, there can be several different kinds
  504. of laws relating to a single activity, with each law pointing to a
  505. different result.
  506.  
  507. Third, conflicts can arise in networks between different laws on the
  508. same subject.  These include conflicts between federal and state laws,
  509. as in the areas of criminal laws and the right to privacy; conflicts
  510. between the laws of two or more states, which will inevitably arise
  511. for networks whose user base crosses state lines; and even conflicts
  512. between laws from the same governmental authority where two or more
  513. different laws overlap.  The last is very common, especially in laws
  514. relating to networks and computer law.
  515.  
  516. Some examples of the interactions between conflicting laws are
  517. considered below, from the viewpoint of an on-line system operator.
  518.  
  519. 1.  System operators Liability for "Criminal" Activities.
  520.  
  521. Many different activities can create criminal liabilities for service
  522. providers, including:
  523.  
  524. -  distributing viruses and other dangerous program code;
  525.  
  526. -  publishing "obscene" materials;
  527.  
  528. -  trafficking in stolen credit card numbers and other unauthorized
  529. access data;
  530.  
  531. -  trafficking in pirated software;
  532.  
  533. -  and acting as an accomplice, accessory or conspirator in these and
  534. other activities.
  535.  
  536. The acts comprising these different violations are separately defined
  537. in statutes and court cases on both the state and federal levels.
  538.  
  539. For prosecutors and law enforcers, this is a vast array of options for
  540. pursuing wrongdoers.  For service providers, it's a roulette wheel of
  541. risk.
  542.  
  543. Faced with such a huge diversity of criminal possibilities, few
  544. service providers will carefully analyze the exact laws that may
  545. apply, nor the latest case law developments for each type of criminal
  546. activity.  Who has the time?  For system operators who just want to
  547. "play it safe", there is a strong incentive to do something much
  548. simpler: Figure out ways to restrict user conduct on their systems
  549. that will minimize their risk under *any* criminal law.
  550.  
  551. The system operator that chooses this highly restrictive route may not
  552. allow any e-mail, for fear that he might be liable for the activities
  553. of some secret drug ring, kiddie porn ring or stolen credit card code
  554. ring.  The system operator may ban all sexually suggestive materials,
  555. for fear that the extreme anti-obscenity laws of some user's home town
  556. might apply to his system.  The system operator may not permit
  557. transfer of program files through his system, except for files he
  558. personally checks out, for fear that he could be accused of assisting
  559. in distributing viruses, trojans or pirated software; and so on.
  560.  
  561. In this way, the most restrictive criminal laws that might apply to a
  562. given on-line service (which could emanate, for instance, from one
  563. very conservative state within the system's service area) could end up
  564. restricting the activities of system operators all over the nation, if
  565. they happen to have a significant user base in that state.  This
  566. results in less freedom for everyone in the network environment.
  567.  
  568. 2.  Federal vs. State Rights of Privacy.
  569.  
  570. Few words have been spoken in the press about network privacy laws in
  571. each of the fifty states (as opposed to federal laws).  However, what
  572. the privacy protection of the federal Electronic Communications
  573. Privacy Act ("ECPA") does not give you, state laws may.
  574.  
  575. This was the theory of the recent Epson e-mail case.  An ex-employee
  576. claimed that Epson acted illegally in requiring her to monitor e-mail
  577. conversations of other employees.  She did not sue under the ECPA, but
  578. under the California Penal Code section prohibiting employee
  579. surveillance of employee conversations.
  580.  
  581. The trial judge denied her claim.  In his view, the California law
  582. only applied to interceptions of oral telephone discussions, and not
  583. to visual communication on video display monitors.  Essentially, he
  584. held that the California law had not caught up to modern technology -
  585. making this law apply to e-mail communications was a job for the state
  586. legislature, not local judges.
  587.  
  588. Beyond acknowledging that the California law was archaic and not
  589. applicable to e-mail, we should understand that the Epson case takes
  590. place in a special legal context - the workplace.  E-mail user rights
  591. against workplace surveillance are undeniably important, but in our
  592. legal and political system they always must be "balanced" (ie.,
  593. weakened) against the right of the employer to run his shop his own
  594. way.  Employers' rights may end up weighing more heavily against
  595. workers' rights for company e-mail systems than for voice telephone
  596. conversations, at least for employers who use intra-company e-mail
  597. systems as an essential backbone of their business.  Fortunately, this
  598. particular skewing factor does not apply to *public* communications
  599. systems.
  600.  
  601. I believe that many more attempts to establish e-mail privacy under
  602. state laws are possible, and will be made in the future.  This is good
  603. news for privacy advocates, a growing and increasingly vocal group
  604. these days.
  605.  
  606. It is mixed news, however, for operators of BBS's and other on-line
  607. services.  Most on-line service providers operate on an interstate
  608. basis - all it takes to gain this status is a few calls from other
  609. states every now and then.  If state privacy laws apply to on-line
  610. systems, then every BBS operator will be subject to the privacy laws
  611. of every state in which one or more of his users are located!  This
  612. can lead to confusion, and inability to set reasonable or predictable
  613. system privacy standards.
  614.  
  615. It can also lead to the effect described above in the discussion of
  616. criminal liability.  On-line systems might be set up "defensively", to
  617. cope with the most restrictive privacy laws that might apply to them.
  618. This could result in declarations of *absolutely no privacy* on some
  619. systems, and highly secure setups on others, depending on the
  620. individual system operator's inclinations.
  621.  
  622. 3.   Pressure on Privacy Rights Created by Risks to Service Providers.
  623.  
  624. There are two main kinds of legal risks faced by a system operator.
  625. First, the risk that the system operator himself will be found
  626. criminally guilty or civilly liable for being involved in illegal
  627. activities on his system, leading to fines, jail, money damages,
  628. confiscation of system, criminal record, etc.
  629.  
  630. Second, the risk of having his system confiscated, not because he did
  631. anything wrong, but because someone else did something suspicious on
  632. his system.  As discussed above, a lot of criminal activity can take
  633. place on a system when the system operator isn't looking.  In
  634. addition, certain non-criminal activities on the system could lead to
  635. system confiscation, such copyright or trade secret infringement.
  636.  
  637. This second kind of risk is very real.  It is exactly what happened to
  638. Steve Jackson Games last year.  Law enforcement agents seized Steve's
  639. computer (which ran a BBS), not because they thought he did anything
  640. wrong, but because they were tracking an allegedly evil computer
  641. hacker group called the "Legion of Doom".  Apparently, they thought
  642. the group "met" and conspired on his BBS.  A year later, much of the
  643. dust has cleared, and the Electronic Frontier Foundation is funding a
  644. lawsuit against the federal agents who seized the system.
  645. Unfortunately, even if he wins the case Steve can't get back the
  646. business he lost.  To this day, he still has not regained all of his
  647. possessions that were seized by the authorities.
  648.  
  649. For now, system operators do not have a great deal of control over
  650. government or legal interference with their systems.  You can be a
  651. solid citizen and report every crime you suspect may be happening
  652. using your system.  Yet the chance remains that tonight, the feds will
  653. be knocking on *your* door looking for an "evil hacker group" hiding
  654. in your BBS.
  655.  
  656. This Keystone Kops style of "law enforcement" can turn system
  657. operators into surrogate law enforcement agents.  System operators who
  658. fear random system confiscation will be tempted to monitor private
  659. activities on their systems, intruding on the privacy of their users.
  660. Such intrusion can take different forms.  Some system operators may
  661. declare that there will be no private discussions, so they can review
  662. and inspect everything.  More hauntingly, system operators may indulge
  663. in surreptitious sampling of private e-mail, just to make sure no
  664. one's doing anything that will make the cops come in and haul away
  665. their BBS computer systems (By the way, I personally don't advocate
  666. either of these things).
  667.  
  668. This situation can be viewed as a way for law enforcement agents to do
  669. an end run around the ECPA's bar on government interception of
  670. electronic messages.  What the agents can't intercept directly, they
  671. might get through fearful system operators.  Even if you don't go for
  672. such conspiracy theories, the random risk of system confiscation puts
  673. great pressure on the privacy rights of on-line system users.
  674.  
  675. 4.   Contracts Versus Other Rights.
  676.  
  677. Most, perhaps all, of the rights between system operators and system
  678. users can be modified by the basic service contract between them.  For
  679. instance, the federal ECPA gives on-line service users certain privacy
  680. rights.  It conspicuously falls short, however, by not protecting
  681. users from privacy intrusions by the system operator himself.
  682.  
  683. Through contract, the system operator and the user can in effect
  684. override the ECPA exception, and agree that the system operator will
  685. not read private e-mail.  Some system operators may go the opposite
  686. direction, and impose a contractual rule that users should not expect
  687. any privacy in their e-mail.
  688.  
  689. Another example of the power of contracts in the on-line environment
  690. occurred recently on the Well, a national system based in San
  691. Francisco (and highly recommended to all those interested in
  692. discussing on-line legal issues).  A Well user complained that a
  693. message he had posted in one Well conference area had been
  694. cross-posted by other users to a different conference area without his
  695. permission.
  696.  
  697. A lengthy, lively discussion among Well users followed, debating the
  698. problem.  One of the major benchmarks for this discussion was the
  699. basic service agreement between the Well and its users.  And a
  700. proposed resolution of the issue was to clarify the wording of that
  701. fundamental agreement.  Although "copyrights" were discussed, the
  702. agreement between the Well and its users was viewed as a more
  703. important source of the legitimate rights and expectations of Well
  704. users.
  705.  
  706. Your state and federal "rights" against other on-line players may not
  707. be worth fighting over if you can get a contract giving you the rights
  708. you want.  In the long run, the contractual solution may be the best
  709. way to set up a decent networked on-line system environment, except
  710. for the old bogeyman of government intrusion (against whom we will all
  711. still need our "rights", Constitutional and otherwise).
  712.  
  713. CONCLUSION
  714.  
  715. There are many different laws that system operators must heed in
  716. running their on-line services.  This can lead to restricting system
  717. activities under the most oppressive legal standards, and to
  718. unpredictable, system-wide interactions between the effects of the
  719. different laws.
  720.  
  721. The "net" result of this problem can be undue restrictions on the
  722. activities of system operators and users alike.
  723.  
  724. The answers to this problem are simple in concept, but not easy to
  725. execute.  First, enact (or re-enact) all laws regarding electronic
  726. services on a national level only, overriding individual state control
  727. of system operators activities in cyberspace.  It's time to realize
  728. that provincial state laws only hinder proper development of
  729. interstate electronic systems.
  730.  
  731. As yet, there is little movement in enacting nationally effective
  732. laws.  Isolated instances include the Electronic Communications
  733. Privacy Act and the Computer Fraud and Abuse Act, which place federal
  734. "floors" beneath privacy protection and certain types of computer
  735. crime, respectively.  On the commercial side, the new Article 4A of
  736. the Uniform Commercial Code, which normalizes on-line commercial
  737. transactions, is ready for adoption by the fifty states.
  738.  
  739. Second, all laws regulating on-line systems must be carefully designed
  740. to interact well with other such laws.  The goal is to create a
  741. well-defined, reasonable legal environment for system operators and
  742. users.
  743.  
  744. The EFF is fighting hard on this front, especially in the areas of
  745. freedom of the press, rights of privacy, and rights against search and
  746. seizure for on-line systems.  Reducing government intrusion in these
  747. areas will help free up cyberspace for bigger and better things.
  748.  
  749. However, the fight is just beginning today.
  750.  
  751. _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
  752.  
  753. Lance Rose is an attorney who works primarily in the fields of
  754. computer and high technology law and intellectual property.  His
  755. clients include on-line publishers, electronic funds transfer
  756. networks, data transmission services, individual system operators, and
  757. shareware authors and vendors.  He is currently revising SYSLAW, The
  758. Sysop's Legal Manual.  Lance is a partner in the New York City firm of
  759. Greenspoon, Srager, Gaynin, Daichman & Marino, and can be reached by
  760. voice at (212)888-6880, on the Well as "elrose", and on CompuServe at
  761. 72230,2044.
  762.  
  763. Copyright 1991 Lance Rose
  764.  
  765. The above article was originally published in Boardwatch, June, 1991
  766.  
  767. ------------------------------
  768.  
  769. Date:     Wed, 14 Aug 91 21:24 EDT
  770. From:     silicon.surfer@unixville.edu
  771. Subject:  File 4--Mystery Lurks In The Death of INSLAW Reporter
  772.  
  773. ((Moderators' note: The death of INSLAW reporter J. Daniel Casolaro by
  774. apparent suicide raises more questions about the entire affair.
  775. Former U.S. Attorney General Elliot Richardson has called for a
  776. Congressional investigation into the role of the Justice Department in
  777. the affair. The Chicago Tribune (Aug.16, 1991, p. 14) reported that a
  778. three hour autopsy this week found no evidence of anything other than
  779. suicide, but that alternatives had not been ruled out, and no cause of
  780. death has yet been given officially.))
  781.  
  782.  
  783.                 Mystery Lurks In The Death Of Reporter
  784.                          The Associated Press
  785.  
  786. Charleston, W. Va.- An investigative reporter found dead with his
  787. wrists slashed in a hotel bathtub had warned others that he was on to
  788. an explosive government scandal and might wind up dead in an
  789. "accident".
  790.  
  791. The death of free-lance journalist Joseph D. Casolaro, 44, of Fairfax,
  792. Va., initially was believed to be a suicide, but an autopsy was
  793. ordered after the family members were contacted, police said Tuesday.
  794.  
  795. "He told us if he got killed in an accident not to believe it. That
  796. was three months ago," said Casolaro's brother, Dr. M. Anthony
  797. Casolaro of Alexandria, Va.
  798.  
  799. Casolaro had been working for a year on a book on allegations made in
  800. 1983 that the U.S. government stole software from INSLAW Inc., a
  801. Washington company. The company has alleged in court that after it won
  802. a $10 million contract with the Justice Department, the department
  803. stole software designed to help law enforcement officials track cases.
  804.  
  805. Several of Casolaro's sources had warned him he would be in danger if
  806. he continued his investigation, company owner Bill Hamilton said.
  807.  
  808. "I have some sources that Danny also had, and several of them told
  809. him, 'These people will snuff you out without blinking an eye.' "
  810. Hamilton said.
  811.  
  812. Dr. James Frost, an assistant state medical examiner, said a
  813. preliminary report on the death would be completed today.
  814.  
  815. The body had been embalmed before the autopsy was held. Frost said
  816. that was because early indications were that Casolaro had killed
  817. himself.
  818.  
  819. Acquaintances said that they seen no indications of depression and
  820. that Casolaro was in West Virginia to get more information.
  821.  
  822. In an outline of his book, Casolaro described his findings to Hamilton
  823. as "an octopus, created in the 1950s and operating today with impunity
  824. because it is intertwined with domestic and foreign intelligence
  825. agencies...a criminal enterprise bent on making money.
  826.  
  827. ------------------------------
  828.  
  829. End of Computer Underground Digest #3.30
  830. ************************************
  831.  
  832.