home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / cud / cud406.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  48.2 KB  |  973 lines
  1.  
  2. Computer underground Digest    Mon, Feb 10, 1992   Volume 4 : Issue 06
  3.  
  4.        Moderators: Jim Thomas and Gordon Meyer (TK0JUT2@NIU.BITNET)
  5.        Associate Moderator: Etaion Shrdlu
  6.  
  7. CONTENTS, #4.06 ( Feb 10, 1992)
  8. File 1: Bust of "NotSoHumble Babe" / USA
  9. File 2: Keystone Stormtroopers
  10. File 3: Fine for "Logic Bomber"
  11. File 4: Re: Newsbytes on the Oregon BBS Rates Case
  12. File 5: Calif. "Privacy [& Computer Crime] Act of 1992"
  13. File 6: DIAC-92 Workshop Call for Paraticipation and Workshop Guidelines
  14.  
  15. Issues of CuD can be found in the Usenet alt.society.cu-digest news
  16. group, on CompuServe in DL0 and DL4 of the IBMBBS SIG, DL1 of LAWSIG,
  17. and DL0 and DL12 of TELECOM, on Genie, on the PC-EXEC BBS at (414)
  18. 789-4210, and by anonymous ftp from ftp.cs.widener.edu (147.31.254.132),
  19. chsun1.spc.uchicago.edu, and ftp.ee.mu.oz.au.  To use the U. of
  20. Chicago email server, send mail with the subject "help" (without the
  21. quotes) to archive-server@chsun1.spc.uchicago.edu.
  22. NOTE: THE WIDENER SITE IS TEMPORARILY RE-ORGANIZING AND IS CURRENTLY
  23. DIFFICULT TO ACCESS. FTP-ERS SHOULD USE THE ALTERNATE FTP SITES UNTIL
  24. FURTHER NOTICE.
  25.  
  26. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  27. information among computerists and to the presentation and debate of
  28. diverse views.  CuD material may  be reprinted as long as the source
  29. is cited.  Some authors do copyright their material, and they should
  30. be contacted for reprint permission.  It is assumed that non-personal
  31. mail to the moderators may be reprinted unless otherwise specified.
  32. Readers are encouraged to submit reasoned articles relating to the
  33. Computer Underground.  Articles are preferred to short responses.
  34. Please avoid quoting previous posts unless absolutely necessary.
  35.  
  36. DISCLAIMER: The views represented herein do not necessarily represent
  37.             the views of the moderators. Digest contributors assume all
  38.             responsibility for ensuring that articles submitted do not
  39.             violate copyright protections.
  40.  
  41. ----------------------------------------------------------------------
  42.  
  43. Date: 8 Feb 92 17:31: 39 CST
  44. From: Moderators (tk0jut2@mvs.niu.edu)
  45. Subject: File 1--Bust of "NotSoHumble Babe" / USA
  46.  
  47. The recent busts of three persons in the Detroit and Los Angeles areas
  48. for alleged carding, theft, software copyright violations and fraud
  49. raise a number of issues of CU relevance. Because of misinformation
  50. circulating on the nature of the case, we summarize what we know of it
  51. below.  "Amy" (handle: "NotSoHumble Babe") was busted on her birthday,
  52. and is not untypical of many CU types, so we focus on her.
  53.  
  54. 1. "Amy" was busted on Jan 30, in Farmington Hills (Mi), by local,
  55.     state, and federal agents. There were reportedly up to 20 agents.
  56.     The large number was because there were several from each
  57.     department, including the FBI, SecServ, Mi State police, and
  58.     others. They reportedly showed no warrant, but knocked on the door
  59.     and asked if they could come in. When "Amy" said "yes," they burst
  60.     (rather than calmly entered) with weapons, including
  61.     "semi-automatics." Her boyfriend was reportedly asleep, and the
  62.     agents awakened him with a gun to his head.  The agent in charge
  63.     was Tony Alvarez of the Detroit SecServ.
  64.  
  65. 2. There has been no indictment, but the agents indicated that charges
  66.    would include theft, fraud, and copyright violations.  (software
  67.    piracy and carding). The initial figure given was a combined $20,00
  68.    for the three ("Amy," "Tom," and Mike").
  69.  
  70. 3. All equipment was confiscated, included "every scrap of paper in
  71.    the house. She was informed that, whatever the outcome of the case,
  72.    she would not receive the equipment back and that it would be kept
  73.    for "internal use."
  74.  
  75. The above account differs dramatically from one given by "anonymous"
  76. in "Phantasy #6," which was a diatribe against the three for
  77. "ratting." However, the above account seems fairly reliable, judging
  78. from a news account and a source close to the incident.
  79.  
  80. "Amy" is 27, and reported to be the head of USA (United Software
  81. Alliance), which  is considered by some to be the current top
  82. "cracking" group in the country. If memory serves, "ENTERPRISE BBS"
  83. was the USA homeboard.  She was questioned for about 10 hours, and
  84. "cooperated." She has, as of Saturday (Feb 9) *not* yet talked to an
  85. attorney, although she was put in contact with one late Saturday. The
  86. prosecutor in Oakland County is the same one who is prosecuting Dr.
  87. Kavorkian (of "suicide machine" fame). He has a reputation as
  88. excessively harsh, and his demeanor in television interviews does not
  89. contradict this.
  90.  
  91. The other two defendants, "Mike/The Grim Reaper," and "Tom/Genesis"
  92. are from the Detroit and Los Angeles areas.
  93.  
  94. What are the issues relevant for us?
  95.  
  96. My own radiclib concern is with over-criminalization created by
  97. imposing a label onto a variety of disparate behaviors and then
  98. invoking the full weight of the system against the label instead of
  99. the behaviors. It is fully possible to oppose the behaviors while
  100. recognizing that the current method of labelling, processing, and
  101. punishment may not be wise. Len Rose provides an example of how
  102. unacceptable but relatively benign behaviors lead to excessive
  103. punishment. This, however, is a broader social issue of which
  104. computer-related crimes is simply a symptom.
  105.  
  106. Of more direct relevance:
  107.  
  108. 1) It appears that the continued use of massive force and weaponry
  109.    continues. We've discussed this before in alluding to cases in New
  110.    York, Illinois, Texas, and California. The video tape of the bust
  111.    of the "Hollywood Hacker" resembles a Miami Vice episode: A
  112.    middle-aged guy is confronted with an army of yelling weapons with
  113.    guns drawn charging through the door.  Others on the board have
  114.    reported incidences of being met with a shotgun while stepping out
  115.    of the shower, a gun to the head while in bed, and (my favorite) a
  116.    15 year old kid busted while working on his computer and the
  117.    agent-in-charge put her gun to his head and reportedly said, "touch
  118.    that keyboard and die." The use of such force in this type of bust
  119.    is simply unacceptable because of the potential danger (especially
  120.    in multi-jurisdictional busts, which reduces the precision of
  121.    coordination) of accidental violence.
  122.  
  123. 2.  Until indictments and supporting evidence are made public, we
  124.     cannot be sure what the occured. But, it seems clear that, for
  125.     "Amy" at least, we are not dealing with a major felon.  Carding is
  126.     obviously wrong, but I doubt that, in situations such as this,
  127.     heavy-duty felony charges are required to "teach a lesson," "set
  128.     an example," and re-channel behavior into more productive outlets.
  129.  
  130.  3. We can continue to debate the legal and ethical implications of
  131.     software piracy. There is a continuum from useful and fully
  132.     justifiable "creative sharing" to heavy-duty predatory rip-off for
  133.     profit. This case seems to be the former rather than the latter.
  134.     There is no sound reason for treating extreme cases alike.
  135.  
  136. 3. We should all be concerned about how LE frames and dramatizes such
  137.    cases for public consumption. The Farmington newspaper gave it
  138.    major coverage as a national crime of immense proportions. We
  139.    should all be concerned about how piracy cases are handled, because
  140.    even extreme cases have implications for minor ones. Does
  141.    possession of an unauthorized copy of Aldus Pagemaker and Harvard
  142.    Graphics, collective worth more than $1,000, really constitute a
  143.    major "theft"? We have seen from the cases of Len and Craig how
  144.    evaluation of a product is inflated to justify indictments that
  145.    look serious but in fact are not.
  146.  
  147. I'm not sure what purpose it serves to simply assert that people--even
  148. if guilty of carding or piracy--should "get what's coming to them"
  149. without reflecting on what it is they get and why.  The issue isn't
  150. one of coddling or protecting "criminals," but to examine more
  151. carefully what kinds of computer-related crimes should be
  152. criminalized, which should be torts, and which should be accepted as
  153. minor nuisances and--if not ignored--at least not criminalized.
  154.  
  155. To give the dead horse one last kick: I am not arguing that we condone
  156. behaviors. I am only suggesting that we reflect more carefully on how
  157. we respond to such behaviors. I do not know the circumstances of "Tom"
  158. and "Mike," but "Amy's" case raises many issues we can address without
  159. condoning the behavior.
  160.  
  161. ------------------------------
  162.  
  163. Date: Mon, 20 Jan 92 07:56 EST
  164. From: "Michael E. Marotta" <MERCURY@LCC.EDU>
  165. Subject: File 2--Keystone Stormtroopers
  166.  
  167.     GRID News. ISSN 1054-9315. vol 3 nu 3            January 19, 1992.
  168.     World GRID Association, P. O. Box 15061, Lansing, MI     48901 USA
  169.     ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  170.     (74 lines)  SPA: Jackboot Fascists or Keystone Kops?
  171.                (C) 1992 by Michael E. Marotta
  172.  
  173.     Suddenly the doors burst open! US marshals take the Acme Inc.,
  174.     employees by surprise!! "Nobody move! Keep your hands away from
  175.     those keyboards!" yells the copper.  "Oh my gosh! It's the SPA!!"
  176.     "Quick stash the disks!!"  This 50s cartoon is the cover story of
  177.     the June 17, 1991 issue of Information Week, "The Software
  178.     Police."  Inside is the story of the Software Publishers Associa-
  179.     tion. There is nothing laughable about the $90,000 paid to SPA by
  180.     IPL, the $100,000 paid by Entrix, the $17,500 paid by Healthline,
  181.     the $350,000 paid by Parametrix. At SnapOn Tools, three US
  182.     Marshals and an SPAer spent two days going through every one of
  183.     280 PCs with their special audit package. Then the burden of proof
  184.     shifted to SnapOn to produce purchase orders, manuals, invoices
  185.     and asset tags.
  186.  
  187.     "GOVERN-MENTALITY"    The SPA claims a staff of 18 to 23 and a
  188.     budget of $3.8 million. I had to call three times to get the free
  189.     audit program, SPAudit.  They also offer to sell a video "It's
  190.     Just Not Worth the Risk" for $10 but my three voicemail requests
  191.     (Nov, Dec 91 & Jan 92) for this tape were not answered.
  192.       +  People with govern-mentality are below norm and the program
  193.     SP+Audit underscores this fact.
  194.       +  First of all, the README file was created with WordPerfect 5.
  195.     Using LIST or TYPE gets you ascii garbage and uneven formating
  196.     am+id the text.  If you want to view the README file, the
  197.     instructions tell you:
  198.       +       A) To display on screen type TYPE A:README:MORE
  199.     which is bad documentation and doesn't work.  Hardcopy reveals the
  200.     same problems and when you get to the bottom of the page, you find
  201.     that the last few lines print over each other.  Apparently, the
  202.     typist used the cursor keys to position the text, because it lacks
  203.     some necessary LFs (ascii 0A).
  204.       +  I created four dummy files 123.EXE, MSDOS.SYS, PROCOMM.EXE and
  205.     SK+.COM which are found in the PIF.TXT file of over 600 software
  206.     names.  The files I created said:
  207.     "The problem of copyright looks somewhat different the moment one
  208.     accepts copying technology as uncontrollable." Michael Crichton.
  209.       +  Then I made more copies at lower directory levels.  SPAudit
  210.     was indeed able to search down eight directory sublevels to find
  211.     copies. However, when I went to print these, the program produced
  212.     ascii garbage.  It failed on
  213.     C:+\123\MIKE\ANOTHER\DEEPER\NEMO\PLUTO\CHIRON\DANTE\ORPHEUS being
  214.     unable to print beyond \NEMO.
  215.       +  Overall, the SPA proves itself unable to manage PC technology.
  216.     This lack of quality is not surprising.  No matter how much you
  217.     pay for software, you know that the seller "makes no claim of
  218.     merchantability or fitness for a particular use..." and won't be
  219.     liable for "direct, indirect, special, incidental or consequential
  220.     damages arising out of the use or inability to use the software or
  221.     documentation."  That is the disclaimer which comes with SPAudit.
  222.       +
  223.     "CATCH-22"    Following SPAudit guidelines means that you can't
  224.     have more than one copy of a program on one computer.  Also, all
  225.     oF the CARMEN SANDIEGO games run from CARMEN.EXE.  The audit
  226.     thinks it is looking for EUROPE but will also trip on WORLD, and
  227.     TI+ME, etc., meaning that you can get busted for buying more than
  228.     one CARMEN, a catch-22.
  229.       +  Also, there should be some confusion over dBase, which is no
  230.     longer an Ashton-Tate but a Borland product.  More importantly, US
  231.     District judge Terrence Hatter, Jr., ruled in late 1990 that the
  232.     copyright on dBase was voided by their not revealing that it is a
  233.     cl+one of a public domain program from JPL.
  234.       +  Again, consider the case of SnapOn Tools. The SPA used their
  235.     defective software to disrupt a business for two days -- and they
  236.     have the nerve to call other people pirates.
  237.       +
  238.      (GRID News is FREQable from 1:159/450, the Beam Rider BBS)
  239.  
  240. ------------------------------
  241.  
  242. Date: 27 Jan 92 18:48:35 EST
  243. From: Gordon Meyer <72307.1502@COMPUSERVE.COM>
  244. Subject: File 3--Fine for "Logic Bomber"
  245.  
  246. "Logic Bomb Programmer Fined"
  247. (Reprinted with permission from STReport 8.04  Jan 24, 1992)
  248.  
  249.  Michael John Lauffenburger, a 31-year-old programmer formerly with
  250.  General Dynamics, pleaded guilty Nov. 4 to attempted computer
  251.  tampering.  He has been fined $5,000, handed three years' probation
  252.  and was ordered to perform 200 hours of community service for
  253.  attempting to sabotage computers with a "logic bomb" that prosecutors
  254.  say could have erased national security data.
  255.  
  256.  According to reports, Lauffenburger set up the logic bomb, then
  257.  resigned, intending to get hired on as high-priced consultant to help
  258.  reconstruct the data lost from the billion-dollar Atlas Missile Space
  259.  Program when the virus was unleashed.  A co-worker accidentally
  260.  discovered the rogue program in early May. It had been set to go off
  261.  May 24. Investigators said at the time the bomb would have caused
  262.  about $100,000 in damage to computer systems at the Kearny Mesa
  263.  plant.
  264.  
  265. ------------------------------
  266.  
  267. Date: Fri, 07 Feb 92 06:10:49 PST
  268. From: walter@HALCYON.COM(Walter Scott)
  269. Subject: File 4--Re: Newsbytes on the Oregon BBS Rates Case
  270.  
  271. On 2-5-92, reporter Dana Blankenhorn released a copyrighted exclusive
  272. story for Wendy Wood's Newsbytes covering the Oregon BBS rates case.
  273. What follows is an abstract of that story.
  274.  
  275. Blankenhorn writes: "US West has launched a campaign before the Oregon
  276. Public Utility Commission which would force all bulletin board systems
  277. (BBSs) in that state to pay business rates on their phone lines." The
  278. Newsbytes exclusive also asserts that US West "wants the Oregon PUC to
  279. reinterpret its tariff so as to define any phone not answered by a
  280. human voice as a business line."
  281.  
  282. Blankenhorn quotes extensively from an apparent interview with SysOp
  283. Stewart Anthony Wagner while summarizing the chronology of events in
  284. the case. Some folks here might find the chronology and alleged facts
  285. be a bit different from what has been reported in the past.
  286.  
  287. According to Blankenhorn, Portland, Oregon SysOp Tony Wagner attempted
  288. to subscribe to extra phone lines so as to expand his BBS from 2 lines
  289. to 4, as well as make arrangements for a TDD. It was at this point
  290. Wagner was informed he would have to pay business rates on all lines
  291. by US West. According to Blankenhorn, US West relented on the voice
  292. and TDD lines while maintaining that the BBS lines would have to be
  293. classified as business lines. Wagner filed what Blankenhorn calls an
  294. "appeal" at the Oregon PUC "for the BBS".
  295.  
  296. Wagner is reported to have closed his BBS almost immediately because
  297. he "can't afford it" at business rates, which blankenhorn states to be
  298. around $50 (presumably per month) on each line. Before closing his
  299. system, Wagner says he alerted regional SysOps via FidoNet to his
  300. plight.  Wagner points out that some SysOps chipped in to pay for a
  301. lawyer. Blankenhorn quotes Wagner on a so-called "compromise proposal"
  302. that "they (US West) come up with a residential data line rate, as an
  303. alternate form of service." Wagner's proposal apparently included a
  304. guarantee of data quality at a rate that Wagner seems to assess at
  305. $5.00 above standard residential rates. Wagner asserts the proposal
  306. was rejected.
  307.  
  308. Wagner's comments on the hearing display optimism as he offers the
  309. thought that "the hearing went quite well.  The tariff says a
  310. residential line is for social or domestic purpose. They ignored the
  311. social, they talked only about domestic. The BBS is as social as you
  312. can get."
  313.  
  314. In a series of quotes from Wagner on what he believes US West is
  315. doing, a grim picture is painted for more than BBS operators. For
  316. example: Wagner states "there is no question they want to apply this
  317. to all SysOps. Their position is that if it's not answered by a human
  318. voice, it's a business. A fax machine is a business, to them. So's an
  319. answering machine."
  320.  
  321. Wagner spoke of what he might consider a silver lining in his cloudy
  322. future as a SysOp when he told Blankenhorn that publicity must be bad
  323. for US West. He reinforces this idea by noting "one thing that hurt
  324. them (US West) badly was that they picked on me. I'm very hard of
  325. hearing. Most of my users are disabled. A large percentage of our
  326. SysOps here are disabled. And Mr. Holmes (US West's attorney in the
  327. Wagner case) was unprepared for that."
  328.  
  329. Blankenhorn talked with Judith Legg in the hearings section at the
  330. Oregon Public Utility Commission concerning the Wagner Case. He
  331. reports Legg told him "a hearing was held on the case in January, and
  332. US West has already submitted a 17-page brief supporting its
  333. position." Hearings Officer Simon Fitch was attributed as informing
  334. Newsbytes that Wagner "has until March 3 to file his own brief, after
  335. which reply briefs will be sought from both sides." Fitch is also
  336. reported to have said a decision in the case is due in late March or
  337. early April with final oversight from the Commissioners.
  338.  
  339. Attempts, by Blankenhorn, to contact attorney Steven Holmes at US West
  340. were unsuccessful. Apparently, no one else in the company was
  341. available for comment. Thus, the Newsbytes article contained no
  342. synopsis of US West's side of the issues in the Wagner case.
  343. Blankenhorn left the door open to a future update by noting
  344. information requested from US West would be reported as soon as that
  345. information is made available to Newsbytes.
  346.  
  347. So much for the abstract...
  348.  
  349. A FEW OBSERVATIONS: It seems that Blankenhorn must not have been able
  350. to obtain a copy of US West's brief before going to press. Otherwise,
  351. Blankenhorn would realize, and could have noted, that US West's
  352. comments have no impact on FAX or answering machines. BBS operation in
  353. general, and Wagner's BBS in specific, are the myopic focus of the
  354. brief. Blankenhorn also could have asked about and cleared up what
  355. appears to be a discrepancy between Wagner's apparent indication that
  356. he was running his BBS on 2 phone lines at the time he requested new
  357. lines, and the repeated references in the US West brief to Wagner's
  358. "3" BBS phone lines. Finally, I called Judith Legg myself on 2-6-92
  359. and asked her about the actual timing of the hearing. She informed me
  360. that the hearing was indeed in December. In Blankenhorn's defense,
  361. Legg admits that she was under the mistaken impression that the
  362. hearing took place in January, and that this is probably what she told
  363. Blankenhorn. A check of the Oregon PUC's computerized schedules was
  364. necessary to clarify the actual hearing date.
  365.  
  366.           Walter Scott
  367.  
  368. **
  369. The 23:00 News and Mail Service - +1 206 292 9048 - Seattle, WA USA
  370.                 PEP, V.32, V.42bis
  371.         +++ A Waffle Iron, Model 1.64 +++
  372.  
  373. ------------------------------
  374.  
  375. Date: 22 Jan 92 19:12:22 CST
  376. From: Jim Warren (jwarren@well.sf.ca.us)
  377. Subject: File 5--Calif. "Privacy [& Computer Crime] Act of 1992"
  378.  
  379.  The Chair of the California State Senate, Bill Lockyer, is
  380.  introducing what he calls "The Privacy Act of 1992."  It addresses
  381.  computer *crime* in a robust manner, but appears to be less concerned
  382.  with some of the more major privacy issues (e.g. personal
  383.  data/profiles built & used by government and private corporations)
  384.  posed during public testimony in December.  I scanned it in, OCRed
  385.  it, proofed it, and believe this is an accurate copy of the original
  386.  cover letter and content.  The latter has already been sent to
  387.  Legislative Counsel (on 1/8/92).
  388.  
  389.  Please upload it and circulate it to all others who might be
  390.  interested.  Note:  Many consider that computer legislation at the
  391.  state level in major, "bellweather" states may/can/will provide
  392.  models for other states and for eventual federal legislation.  Thus,
  393.  this deserves *early* and widespread circulation, review and *public
  394.  comment*.
  395.  
  396.  jim warren  [chair, First Conference on Computers, Freedom & Privacy, 1991]
  397.  
  398.     **********************************************************************
  399.  
  400.         ====== TEXT OF COVER-LETTER, RECEIVED JAN. 17, 1992 =====
  401.  
  402.                      California State Senate
  403.           Bill Lockyer, Tenth [California] Senatorial District
  404.          [Chairman, California State Senate Judiciary Committee]
  405.                      Southern Alameda County
  406.  
  407.  January 15, 1992
  408.  
  409.  TO: Interested Parties
  410.  
  411.  FROM: Ben Firschein, Senator Lockyer's Office
  412.  
  413.  RE: Privacy legislation emerging from the interim hearing
  414.  
  415.  We have drafted language reflecting some of the suggestions made at
  416.  the privacy hearing on December 10 [1991] and have sent it to
  417.  Legislative Counsel.  It is likely that Senator Lockyer will
  418.  introduce the language as a bill when it comes back from Legislative
  419.  Counsel.
  420.  
  421.   We welcome and encourage your suggestions, comments and proposed
  422.  amendments.  This language should be viewed as an initial proposal,
  423.  and it is likely that it will be amended as it proceeds through the
  424.  legislature.
  425.  
  426.   The bill as submitted to Legislative Counsel does the following:
  427.  
  428.    1. Information obtained from driver's licenses: prohibit businesses
  429.  from selling or using for advertising purposes information obtained
  430.  from driver's licenses without the written consent of the consumer.
  431.  
  432.    2. Automatic vehicle identification [AVI]: Require Caltrans to
  433.  provide an opportunity to pre-pay tolls and use the facility
  434.  anonymously.
  435.  
  436.    3. Violation of privacy of employees: language has been drafted
  437.  based on the Connecticut statute that Justice Grodin discussed at the
  438.  hearing. The proposed language goes further than the Connecticut
  439.  statute in that it also extends to prospective employees.
  440.  
  441.    4. Amend Penal Code Section 502 (computer crime statute) as
  442. follows:
  443.  
  444.       a) Extend existing law to allow recovery by any injured party,
  445.  not just the owner or lessee of the computer.
  446.  
  447.       b) Allow recovery for any consequential or incidental damages,
  448.  not just for expenditures necessary to verify that a computer system
  449.  was or was not damaged.
  450.  
  451.      c) Create civil penalty of $ 10,000 per injured party up to a
  452.  maximum of fifty thousand dollars for recklessly storing data in a
  453.  manner which enables a person to commit acts leading to a felony
  454.  conviction.  Failure to report to law enforcement a previous
  455.  violation under the statute would be deemed to be possible evidence
  456.  of recklessness
  457.  
  458.      d) Require that owner or lessee of computer report to law
  459.  enforcement any known violations of the statute involving his/her
  460.  system.   Such reports required within 60 days after they become
  461.  known to owner or lessee.
  462.  
  463.  Warrants for electronically stored materials: We are interested in
  464.  working with interested parties on some of the proposals made at the
  465.  hearing, for possible inclusion in the bill as amendments.
  466.  Please direct your comments to:
  467.  
  468.  Ben Firschein
  469.  Administrative Assistant
  470.  Office of Senator Lockyer
  471.  Room 2032 State Capitol
  472.  Sacramento, CA 95814
  473.  (916) 445Q6671
  474.  
  475.                  ========== END OF JAN.17 COVER LETTER ==========
  476.  
  477.  <<BEWARE!  The entry following this one is about 5 print-pages long
  478.  -- the full text of Sen. Lockyer's draft legislation that has already
  479.  been sent to Legislative Counsel for review, apparently the final
  480.  prerequisite to formal introduction.>>
  481.  
  482.           ====== TEXT OF LEGISLATION, RECEIVED JAN. 17, 1992 =====
  483.  
  484.  [hand-written] The people of the State of California do enact as follows:
  485.  
  486.  [hand-written] Section 1.  This Act may be cited as the Privacy Act of 1992.
  487.  [hand-written] Section 2.  Section 1799.4 is added to the Civil Code to
  488.  read:
  489.  
  490.  1799.4.  A business entity that obtains information from a consumer's
  491.  driver's license or identification card for its business records or for
  492.  other purposes shall not sell the information or use it to advertise goods
  493.  or services, without the written consent of the consumer.
  494.  
  495.  [hand-written] Sent to Leg Counsel 1/8
  496.  
  497.  [hand-written] Section 3.  Section 502 of the Penal Code is amended to read:
  498.  
  499.    502. (a) It is the intent of the Legislature in enacting this section to
  500.  expand the degree of protection afforded to individuals, businesses, and
  501.  governmental agencies from tampering, interference, damage, and
  502.  unauthorized access to lawfully created computer data and computer
  503.  systems.  The Legislature finds and declares that the proliferation of
  504.  computer technology has resulted in a concomitant proliferation of computer
  505.  crime and other forms of unauthorized access to  computers, computer
  506.  systems, and computer data.
  507.  
  508.    The Legislature further finds and declares that protection of the
  509.  integrity of all types and forms of lawfully created computers, computer
  510.  systems, and computer data is vital to the protection of the privacy of
  511.  individuals as well as to the well-being of financial institutions,
  512.  business concerns, governmental agencies, and others within this state
  513.  that lawfully utilize those computers, computer systems, and data.
  514.  
  515.    (b) For the purposes of this section, the following terms have the
  516.  following meanings:
  517.  
  518.    (l) "Access" means to gain entry to, instruct, or communicate with the
  519.  logical, arithmetical, or memory function resources of a computer, computer
  520.  system, or computer network.
  521.  
  522.    (2) "Computer network" means any system which provides communications
  523.  between one or more computer systems and input/output devices including,
  524.  but not limited to, display terminals and printers connected by
  525.  telecommunication facilities.
  526.  
  527.    (3) "Computer program or software" means a set of instructions or
  528.  statements, and related data, that when executed in actual or modified
  529.  form, cause a computer, computer system, or computer network to perform
  530.  specified functions.
  531.    (4) "Computer services" includes, but is not limited to, computer time,
  532.  data processing, or storage functions, or other uses of a computer,
  533.  computer system, or computer network.
  534.  
  535.    (5) "Computer system" means a device or collection of devices, including
  536.  support devices and excluding calculators which are not programmable and
  537.  capable of being used in conjunction with external files, one or more of
  538.  which contain computer programs, electronic instructions, input data, and
  539.  output data, that performs functions including, but not limited to, logic,
  540.  arithmetic, data storage and retrieval, communication, and control.
  541.  
  542.    (6) "Data" means a representation of information, knowledge, facts,
  543.  concepts, computer software, computer programs or instructions.  Data may
  544.  be in any form, in storage media, or as stored in the memory of the
  545.  computer or in transit or presented on a display device.
  546.  
  547.    (7) "Supporting documentation" includes, but is not limited to, all
  548.  information, in any form, pertaining to the design, construction,
  549.  classification, implementation, use, or modification of a computer,
  550.  computer system, computer network, computer program, or computer software,
  551.  which information is not generally available to the public and is
  552.  necessary for the operation of a computer, computer system, computer
  553.  network, computer program, or computer software.
  554.  
  555.    (8) "Injury" means any alteration, deletion, damage, or destruction of
  556.  a computer system, computer network, computer program, or data caused by
  557.  the access.
  558.  
  559.    (9) "Victim expenditure" means any expenditure reasonably and necessarily
  560.  incurred by the owner or lessee to verify that a computer system, computer
  561.  network, computer program, or data was or was not altered, deleted,
  562.  damaged, or destroyed by the access.
  563.  
  564.    (10) "Computer contaminant" means any set of computer instructions that
  565.  are designed to modify, damage, destroy, record, or transmit information
  566.  within a computer, computer system, or computer network without the intent
  567.  or permission of the owner of the information.  They include, but are not
  568.  limited to, a group of computer instructions commonly called viruses or
  569.  worms, which are self-replicating or self-propagating and are designed to
  570.  contaminate other computer programs or computer data, consume computer
  571.  resources, modify, destroy, record, or transmit data, or in some other
  572.  fashion usurp the normal operation of the computer, computer system, or
  573.  computer network.
  574.  
  575.    (c) Except as provided in subdivision (h), any person who commits any of
  576.  the following acts is guilty of a public offense:
  577.  
  578.    (1) Knowingly accesses and without permission alters, damages, deletes,
  579.  destroys, or otherwise uses any data, computer, computer system, or
  580.  computer network in order to either (A) devise or execute any scheme or
  581.  artifice to defraud, deceive, or extort, or (B) wrongfully control or
  582.  obtain money, property, or data.
  583.  
  584.    (2) Knowingly accesses and without permission takes, copies, or makes use
  585.  of any data from a computer, computer system, or computer network, or takes
  586.  or copies any supporting documentation, whether existing or residing
  587.  internal or external to a computer, computer system, or computer network.
  588.  
  589.    (3) Knowingly and without permission uses or causes to be used computer
  590.  services.
  591.  
  592.    (4) Knowingly accesses and without permission adds, alters, damages,
  593.  deletes, or destroys any data, computer software, or computer programs
  594.  which reside or exist internal or external to a computer, computer system,
  595.  or computer network.
  596.  
  597.    (5) Knowingly and without permission disrupts or causes the disruption of
  598.  computer services or denies or causes the denial of computer services to an
  599.  authorized user of a computer, computer system, or computer network.
  600.  
  601.    (6) Knowingly and without permission provides or assists in providing a
  602.  means of accessing a computer, computer system, or computer network in
  603.  violation of this section.
  604.  
  605.    (7) Knowingly and without permission accesses or causes to be accessed
  606.  any computer, computer system, or computer network.
  607.  
  608.    (8) Knowingly introduces any computer contaminant into any computer,
  609.  computer system, or computer network.
  610.  
  611.    (d) (1) Any person who violates any of the provisions of paragraph (1),
  612.  (2), (4), or (5) of subdivision (c) is punishable by a fine not exceeding
  613.  ten thousand dollars ($10,000), or by imprisonment in the state prison for
  614.  16 months, or two or three years, or by both that fine and imprisonment, or
  615.  by a fine not exceeding five thousand dollars ($5,000), or by imprisonment
  616.  in the county jail not exceeding one year, or by both that fine and
  617.  imprisonment.
  618.  
  619.    (2) Any person who violates paragraph (3) of subdivision (c) is
  620.  punishable as follows:
  621.  
  622.    (A) For the first violation which does not result in injury, and where
  623.  the value of the computer services used does not exceed four hundred
  624.  dollars ($400), by a fine not exceeding five thousand dollars ($5,000), or
  625.  by imprisonment in the county jail not exceeding one year, or by both that
  626.  fine and imprisonment.
  627.  
  628.    (B) For any violation which results in a victim expenditure in an amount
  629.  greater than five thousand dollars ($5,000) or in an injury, or if the
  630.  value of the computer services used exceeds four hundred dollars ($400), or
  631.  for any second or subsequent violation, by a fine not exceeding ten
  632.  thousand dollars ($10,000), or by imprisonment in the state prison for 16
  633.  months, or two or three years, or by both that fine and imprisonment, or by
  634.  a fine not exceeding five thousand dollars ($5,000), or by imprisonment in
  635.  the county jail not exceeding one year, or by both that fine and
  636.  imprisonment.
  637.  
  638.    (3) Any person who violates paragraph (6), (7), or (8) of subdivision (c)
  639.  is punishable as follows:
  640.  
  641.    (A) For a first violation which does not result in injury an infraction
  642.  punishable by a fine not exceeding two hundred fifty dollars ($250).
  643.  
  644.    (B) For any violation which results in a victim expenditure in an amount
  645.  not greater than five thousand dollars ($5,000), or for a second or
  646.  subsequent violation, by a fine not exceeding five thousand dollars
  647.  ($5,000), or by imprisonment in the county jail not exceeding one year, or
  648.  by both that fine and imprisonment.
  649.  
  650.    (C) For any violation which results in a victim expenditure in an amount
  651.  greater than five thousand dollars ($5,000), by a fine not exceeding ten
  652.  thousand dollars ($10,000), or by imprisonment in the state prison for 16
  653.  months, or two or three years, or by both that fine and imprisonment, or
  654.  by a fine not exceeding five thousand dollars ($5,000), or by imprisonment
  655.  in the county jail not exceeding one year, or by both that fine and
  656.  imprisonment.
  657.  
  658.    (e) (1) In addition to any other civil remedy available, any injured
  659.  party. including but not limited to  the owner or lessee of the computer,
  660.  computer system, computer network, computer program, or data, may bring a
  661.  civil action against any person convicted under this section for
  662.  compensatory damages, including any consequential or incidental damages. In
  663.  the case of the owner or lessee of the computer, computer system, computer
  664.  network, computer program, or data. such damages may include. but are not
  665.  limited to. any expenditure reasonably.and necessarily incurred by the
  666.  owner or lessee to verify that a computer system, computer network,
  667.  computer program, or data was or was not altered, damaged, or deleted by
  668.  the access.
  669.  
  670.  (2) Whoever recklessly stores or maintains data in a manner which enables
  671.  a person to commit acts leading to a felony ["a felony" hand-written]
  672.  conviction under this section shall be liable for a civil penalty of ten
  673.  thousand dollars ($ 10,000) per injured party, up to a maximum of fifty
  674.  thousand dollars ($ 50.000). Failure to report to law enforcement a
  675.  previous violation under subsection (f) may constitute evidence of
  676.  recklessness.
  677.  
  678.  (3) For the purposes of actions authorized by this subdivision, the
  679.  conduct of an unemancipated minor shall be imputed to the parent or legal
  680.  guardian having control or custody of the minor, pursuant to the provisions
  681.  of Section 1714.1 of the Civil Code.
  682.  
  683.    (4) In any action brought pursuant to this subdivision the court may
  684.  award reasonable attorney's fees to a prevailing party.
  685.  
  686.    (5) A community college, state university, or academic institution
  687.  accredited in this state is required to include computer-related crimes as
  688.  a specific violation of college or university student conduct policies and
  689.  regulations that may subject a student to disciplinary sanctions up to and
  690.  including dismissal from  the academic institution.  This paragraph shall
  691.  not apply to the University of California unless the Board of Regents
  692.  adopts a resolution to that effect.
  693.  
  694.  (f) The owner or lesee of any computer, computer system, computer network,
  695.  computer program, or data shall report to law enforcement any known
  696.  violations of this section involving the owner or lesee's computer,
  697.  computer system, computer network, computer program, or data.  Such reports
  698.  shall be made within 60 days after they become known to the owner or lesee.
  699.  
  700.  (g) This section shall not be construed to preclude the applicability of
  701.  any other provision of the criminal law of this state which applies or may
  702.  apply to any transaction, nor shall it make illegal any employee labor
  703.  relations activities that are within the scope and protection of state or
  704.  federal labor laws.
  705.  
  706.  (h) Any computer, computer system, computer network, or any software or
  707.  data, owned by the defendant, which is used during the commission of any
  708.  public offense described in subdivision (c) or any computer, owned by the
  709.  defendant, which is used as a repository for the storage of software or
  710.  data illegally obtained in violation of subdivision (c) shall be subject
  711.  to forfeiture, as specified in Section 502.01.
  712.  
  713.  (i) (1) Subdivision (c) does not apply to any person who accesses his or
  714.  her employer's computer system, computer network, computer program, or
  715.  data when acting within the scope of his or her lawful employment.
  716.  
  717.      (2) Paragraph (3) of subdivision (c) does not apply to any employee who
  718.  accesses or uses his or her employer's computer system, computer network,
  719.  computer program, or data when acting outside the scope of his or her
  720.  lawful employment, so long as the employee's activities do not cause an
  721.  injury, as defined in paragraph (8) of subdivision of (b), to the employer
  722.  or another, or so long as the value of supplies and computer services, as
  723.  defined in paragraph (4) of subdivision (b), which are used do not exceed
  724.  an accumulated total of one hundred dollars ($100).
  725.  
  726.    (j) No activity exempted from prosecution under paragraph (2) of
  727.  subdivision (h) which incidentally violates paragraph (2), (4), or (7) of
  728.  subdivision (c) shall be prosecuted under those paragraphs.
  729.  
  730.    (k) For purposes of bringing a civil or a criminal action under this
  731.  section, a person who causes, by any means, the access of a computer,
  732.  computer system, or computer network in one jurisdiction from another
  733.  jurisdiction is deemed to have personally accessed the computer, computer
  734.  system, or computer network in each jurisdiction.
  735.  
  736.    (l) In determining the terms and conditions applicable to a person
  737.  convicted of a violation of this section the court shall consider the
  738.  following:
  739.  
  740.    (1) The court shall consider prohibitions on access to and use of
  741.  computers.
  742.  
  743.    (2) Except as otherwise required by law, the court shall consider
  744.  alternate sentencing, including community service, if the defendant shows
  745.  remorse and recognition of the wrongdoing, and an inclination not to repeat
  746.  the offense
  747.  
  748.  [hand-written] Section 4. Section 12940.3 is added to the Government Code
  749.  to read:
  750.  
  751.  (a) Any employer, including the state and any instrumentality or political
  752.  subdivision thereof, shall be liable to an employee or prospective
  753.  employee for damages caused by either of the following:
  754.  
  755.  (1) subjecting the employee to discipline or discharge on account of the
  756.  exercise by such employee of rights guaranteed by Section l of Article I
  757.  of the California Constitution, provided such activity does not
  758.  substantially interfere with the employee's bona fide job performance or
  759.  working relationship with the employer.
  760.  
  761.  (2) Denying employment to a prospective employee on account of the
  762.  prospective employee's exercise of rights guaranteed by Section 1 of
  763.  Article I of the California Constitution.
  764.  
  765.  
  766.  (b) The damages awarded under this Section may include punitive damages,
  767.  and reasonable attorney's fees as part of the costs of any such action for
  768.  damages.  If the court decides that such action for damages was brought
  769.  without substantial justification, the court may award costs and reasonable
  770.  attorney's fees to the employer.
  771.  
  772.  [hand-written] Section 5.  Section 27565 of the Streets and Highways Code
  773.  is amended to read:
  774.  
  775.       27565. Automatic vehicle identification systems for toll collection
  776.  (a) The Department of Transportation in cooperation with the district and
  777.  all known entities planning to implement a toll facility in this state
  778.  shall develop and adopt functional specifications and standards for an
  779.  automatic vehicle identification system, in compliance with the following
  780.  objectives:
  781.  
  782.  (1) In order to be detected, the driver shall not be required to reduce
  783.  speed below the applicable speed for the type of facility being used.
  784.  
  785.  (2) The vehicle owner shall not be required to purchase or install more
  786.  than one device to use on all toll facilities, but may be required to have
  787.  a separate account or financial arrangement for the use of these facilities.
  788.  
  789.  (3) The facility operators shall have the ability to select from different
  790.  manufacturers and vendors. The specifications and standards shall encourage
  791.  multiple bidders and shall not have the effect of limiting the facilIty
  792.  operators to choosing a system which is able to be supplied by only one or
  793.  vendor.
  794.  
  795.  (b) The vehicle owner shall have the choice of pre-paying tolls, or being
  796.  billed after using the facility.  If the vehicle owner pre-pays tolls:
  797.  
  798.  (1) The facility or the Department shall issue an account number to the
  799.  vehicle owner. The account number shall not be derived from the vehicle
  800.  owner's name, address, social security number, or driver's license number,
  801.  or the vehicle's license number, vehicle identification number, or
  802.  registration.
  803.  
  804.  (2) Once an account has been established and an account number has been
  805.  given to the vehicle owner, neither the facility nor the Department shall
  806.  keep any record of the vehicle owner's name, address, social security
  807.  number or driver's license number, or the vehicle's license number.
  808.  vehicle identification number, or registration.
  809.  
  810.  (3) The vehicle owner may make additional pre-payments by specifying the
  811.  account number and furnishing payment.
  812.  
  813.  (c) Any automatic vehicle identification system purchased or installed
  814.  after January 1, 1991, shall comply with the specifications and standards
  815.  adopted pursuant to subdivision (a).
  816.  
  817.  (d) Any automatic vehicle identification system purchased or installed
  818.  after January 1, 1993. shall comply with the specifications and standards
  819.  adopted pursuant to subdivisions (a) and (b).
  820.  
  821.                ====== END OF LEGISLATION DRAFT ======
  822.  
  823.  [Note:  The preceeding is the end-result of the draft-text.  Some of the
  824.  document had apparently-old wording with strike-thru lines; some of it was
  825.  underlined, apparently indicating newly-added wording.  Since there is no
  826.  universally-accepted protocol for representing such "exotic" text-forms in
  827.  the Barren ASCII Wasteland, the preceeding text does not reflect strike-thrus
  828.  not underlines in the original text.  Also, the preceeding reflects
  829.  the paragraph-indenting and paranthesized section-labeling, as
  830.  received.  It is left as "an exercise for the reader" to figure out
  831.  its rationale.
  832. --jim ]
  833.  
  834.  The vast majority of us would readily state that we, personally,
  835.  "store and maintain data."  To the extent that we do so on a shared
  836.  host, it seems like it could be applied to us, *as individuals*.
  837.  Unless, perhaps, we stored it in encrypted form or made other
  838.  provable efforts to protect it while it's stored on a shared system.
  839.  
  840.  Please note that this scenario equally applies to folks working on
  841.  LAN systems at a company.
  842.  
  843.  Is this, perhaps, "overly-broad legislation"?
  844.  
  845.  
  846. ------------------------------
  847.  
  848. Date: Wed, 22 Jan 1992 13:59:44 CST
  849. From: douglas%atc.boeing.com@UMCVMB.MISSOURI.EDU
  850. Subject: File 6--DIAC-92 Workshop Call for Paraticipation and Workshop Guideline
  851. s
  852.               Directions and Implications of Advanced Computing
  853.  
  854.                                  DIAC-92
  855.  
  856.                    Berkeley, California      May 3, 1992
  857.  
  858.                       Call for Workshop Proposals and
  859.  
  860.                        Workshop Proposal Guidelines
  861.  
  862.                             [Due Date Extended]
  863.  
  864.  
  865. DIAC-92 is a two-day symposium in which the the social implications of
  866. computing are explored.  The first day (May 2, 1992) will consist of
  867. presentations.  The second day will consist of a wide variety of
  868. workshops.  These guidelines describe the intent for the workshops and the
  869. manner in which they are proposed.  They are meant to augment and
  870. supercede the information found in the Call for Papers and Participation.
  871. The workshops are meant to be more informal than the presented papers of
  872. the previous day.  For this reason the format for the proposals is
  873. expected to vary.  Nevertheless there are some guidelines that we can
  874. offer that will help ensure a succesful workshop.
  875.  
  876. The proposal should include the title, author's name, affiliation, and
  877. electronic mail address at the beginning. All workshop proposals will be
  878. included in the proceedings.  The workshop proposal should be 1 - 8 pages
  879. in length.  The desired range of attendees (smallest number - largest
  880. number) should be included.  All workshops will be two hours in length with
  881. a short break 1/2 way through.  It is possible to schedule two related
  882. workshops back to back, say "Introduction to Something" and "Advanced
  883. Something".  If this is the case please submit two separate proposals but
  884. state that they are related.
  885.  
  886. There are four major concerns for the workshops which should be
  887. addressed in the proposal.
  888.  
  889. 1. Intellectual Content
  890.    The intellectual content of the workshop should be made clear.
  891.    What is the focus on the workshop?  What are the relevant social
  892.    issues? What relevant research exists already on the topic?  Who
  893.    is the intended audience?  The topic should have a qualitative
  894.    computing element in it.
  895.  
  896. 2. Structure
  897.    There should be some structure to the workshop.  It can be quite
  898.    loose and flexible but it shouldn't be completely open.  The
  899.    amount of structure will vary according to the topic at hand, the
  900.    intended goals, the personalities of the audience and the organizers,
  901.    etc. The proposal should describe the structure of the
  902.    workshop.
  903.  
  904. 3. Interactivity
  905.    The workshop should be interactive.  The workshop should be
  906.    designed in such a way to promote meaningful interaction between
  907.    the organizer or organizers and the attendees.  Because there is
  908.    group interaction it is hoped that more points will be raised,
  909.    more issues considered, and deeper analysis performed.  The
  910.    methods of interaction should be described in the proposal.
  911.  
  912. 4. Product or action oriented
  913.    Ideally the workshop should result in some product or plan for
  914.    action.  Although this aspect is not critical, the program
  915.    committee feels that this is quite important and we hope that
  916.    workshop organizers will think in these terms and strive to
  917.    promote an appropriate outcome.  Possible "deliverables" are
  918.    described below.
  919.  
  920.  
  921.                Possible Output From a DIAC-92 Workshop
  922.  
  923.   + Statements or press releases
  924.   + Bibliography on subject matter
  925.   + Electronic distribution list on the subject
  926.   + Ideas for a follow up meeting, workshop, or conference
  927.   + List of possible projects on the subject
  928.   + Writeup of meeting for electronic or print dissemination
  929.   + A project proposal
  930.   + A panel discussion proposal
  931.   + A grant proposal
  932.   + An experiment
  933.   + A working agreement -- e.g. to connect two networks, to share
  934.     data,  to  begin  a study, to write an article, to build software
  935.     jointly, etc.
  936.   + A videotape of some or all of a workshop
  937.   + A brainstormed list of viewpoints, a "semantic network" of  the
  938.     issues
  939.   + A list of hypotheses
  940.   + Any plan to continue discussion on the topic
  941.  
  942. Please send proposal (four copies) to Doug Schuler, 2202 N. 41st St,
  943. Seattle, WA, 98103.   Proposals are due by March 1, 1992.  Proposals
  944. will be reviewed by the program committee.  Acceptance or rejection
  945. notices will be mailed by April 1, 1992.  We plan to incorporate
  946. workshop proposals into the proceedings.  Please contact us if you
  947. have any questions or comments.
  948.  
  949. Doug Schuler, 206-865-3832 (work), 206-632-1659 (home),
  950. dschuler@june.cs.washington.edu
  951.  
  952. The program committee includes David Bellin (consultant), Eric Gutstein (U.
  953. WI), Batya Friedman (Mills College), Jonathan Jacky (U. WA), Deborah
  954. Johnson (Rensselaer Polytechnic Inst.), Richard Ladner (U. WA), Dianne
  955. Martin (George Washington U.), Judith Perrolle (Northeastern U.) Marc
  956. Rotenberg (CPSR), Douglas Schuler (Boeing Computer Services), Barbara
  957. Simons (IBM), Lucy Suchman (Xerox), Karen Wieckert (U. CA. Irvine), and
  958. Terry Winograd, (Stanford).
  959.  
  960.  
  961.    Sponsored by Computer Professionals for Social Responsibility
  962.                            P.O. Box 717
  963.                        Palo Alto, CA  94301
  964.  
  965. DIAC-92 is co-sponsored by the American Association for Artificial
  966. Intelligence, and the Boston Computer Society Social Impact Group, in
  967. cooperation with ACM SIGCHI and ACM SIGCAS.
  968.  
  969. ------------------------------
  970.  
  971. End of Computer Underground Digest #4.06
  972. ************************************
  973.