home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / cud / cud432.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  36.4 KB  |  868 lines
  1. Computer underground Digest    Tue July 21, 1992   Volume 4 : Issue 32
  2.  
  3.        Editors: Jim Thomas and Gordon Meyer (TK0JUT2@NIU.BITNET)
  4.        Copy Editor: Etaion Shrdlu, Jr.
  5.        Archivist: Brendan Kehoe
  6.        Archivist in spirit: Bob Kusumoto
  7.        Shadow-Archivist: Dan Carosone
  8.  
  9. CONTENTS, #4.32 (July 21, 1992)
  10. File 1--The NSA Papers
  11. File 2--CPSR Challenges Virginia SS
  12. File 3--EFF hires Cliff Figallo as director of Cambridge office
  13. File 4--New York Hackers Plead Not Guilty (NEWSBYTES REPRINT)
  14. File 5--Time Magazine Computer Analyst Arrested for Alleged Faud
  15.  
  16. Cu-Digest is a weekly electronic journal/newsletter. Subscriptions are
  17. available at no cost at tk0jut2@mvs.cso.niu.edu. The editors may be
  18. contacted by voice (815-753-6430), fax (815-753-6302) or U.S. mail to:
  19. Jim Thomas, Department of Sociology, NIU, DeKalb, IL 60115.
  20. Issues of CuD can also be found in the Usenet alt.society.cu-digest
  21. news group; on CompuServe in DL0 and DL4 of the IBMBBS SIG, DL1 of
  22. LAWSIG, and DL0 and DL12 of TELECOM; on Genie in the PF*NPC RT
  23. libraries; from American Online in the PC Telecom forum under
  24. "computing newsletters;" on the PC-EXEC BBS at (414) 789-4210; and by
  25. anonymous ftp from ftp.eff.org (192.88.144.4) and ftp.ee.mu.oz.au
  26. European distributor: ComNet in Luxembourg BBS (++352) 466893.
  27.  
  28. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  29. information among computerists and to the presentation and debate of
  30. diverse views.  CuD material may  be reprinted as long as the source
  31. is cited.  Some authors do copyright their material, and they should
  32. be contacted for reprint permission.  It is assumed that non-personal
  33. mail to the moderators may be reprinted unless otherwise specified.
  34. Readers are encouraged to submit reasoned articles relating to
  35. computer culture and communication.  Articles are preferred to short
  36. responses.  Please avoid quoting previous posts unless absolutely
  37. necessary.
  38.  
  39. DISCLAIMER: The views represented herein do not necessarily represent
  40.             the views of the moderators. Digest contributors assume all
  41.             responsibility for ensuring that articles submitted do not
  42.             violate copyright protections.
  43.  
  44. ----------------------------------------------------------------------
  45.  
  46. Date: Wed, 24 Jun 92 18:10:02 CDT
  47. From: Joe.Abernathy@HOUSTON.CHRON.COM(Joe Abernathy)
  48. Subject: File 1--The NSA Papers
  49.  
  50.   The following is the written response to my request for an intereview
  51. with the NSA. To the best of my knowledge, and according to their
  52. claims, it is the government's first complete answer to the many
  53. questions and allegations that have been made in regards to the matter
  54. of cryptography.
  55.  
  56.    I would like to invite reaction from any qualified readers who care
  57. to address any of the issues raised herein. Please mail to
  58. edtjda@chron.com (713) 220-6845.
  59.  
  60.  
  61.  
  62.    NATIONAL SECURITY AGENCY
  63.    CENTRAL SECURITY SERVICE
  64.    Serial: Q43-11-92 9
  65.  
  66.  
  67. 10 June 1992
  68. Mr. Joe Abernathy
  69. Houston Chronicle
  70. P.O. Box 4260
  71. Houston, TX 77210
  72.  
  73.  
  74.  Dear Mr. Abernathy:
  75.  
  76.  
  77.    Thank you for your inquiry of 3 June 1992 on the
  78.  
  79. subject of cryptography. Attached please find answers
  80.  
  81. to the questions that you provided our Agency. If
  82.  
  83. any further assistance is needed, please feel free
  84.  
  85. to contact me or Mr. Jerry Volker of my staff on (xxx)
  86.  
  87. xxx-xxxx.
  88.  
  89.  
  90.    Sincerely,
  91.  
  92.  
  93.    MICHAEL S.CONN
  94.  
  95.    Chief
  96.    Information Policy
  97.  
  98. ENCL:
  99.  
  100.  
  101.    1. Has the NSA ever imposed or attempted to impose
  102. a weakness on any cryptographic code to see if it
  103. can thus be broken?
  104.  
  105.    One of NSA's missions is to provide the means for
  106. protecting U.S. government and military communications
  107. and information systems related to national security.
  108. In fulfilling this mission we design cryptologic codes
  109. based on an exhaustive evaluation process to ensure
  110. to the maximum extent possible that information systems
  111. security products that we endorse are free from any
  112. weaknesses. Were we to intentionally impose weaknesses
  113. on cryptologic codes for use by the U.S. government,
  114. we would not be fulfilling our mission to provide
  115. the means to protect sensitive U.S. government and
  116. military communications and our professional integrity
  117. would be at risk.
  118.  
  119.    2. Has the NSA ever imposed or attempted
  120. to impose a weakness on the DES or DSS?
  121.  
  122.    Regarding the Data Encryption Standard (DES), we
  123. believe that the public record from the Senate Committee
  124. for Intelligence's investigation in 1978 into NSA's
  125. role in the development of the DES is responsive to
  126. your question. That committee report indicated that
  127. NSA did not tamper with the design of the algorithm
  128. in any way and that the security afforded by the
  129. DES was more than adequate for at least a 5-10 year
  130. time span for the unclassified data for which it was
  131. intended. In short, NSA did not impose or attempt
  132. to impose any weakness on the DES.
  133.  
  134.    Regarding the draft Digital Signature Standard
  135. (DSS), NSA never imposed any weakness or attempted
  136. to impose any weakness on the DSS.
  137.  
  138.     3. Is the NSA aware of any weaknesses in the
  139. DES or the DSS? The RSA?
  140.  
  141.    We are unaware of any weaknesses in the DES or
  142. the DSS when properly implemented and used for the
  143. purposes for which they both are designed. We do not
  144. comment on nongovernment systems.
  145.  
  146.    Regarding the alleged trapdoor in the DSS. We
  147. find the term trapdoor somewhat misleading since
  148. it implies that the messages sent by the DSS are encrypted
  149. and with access via a trapdoor one could somehow decrypt
  150. (read) the message without the sender's knowledge.
  151. The DSS does not encrypt any data. The real issue
  152. is whether the DSS is susceptible to someone forging
  153. a signature and therefore discrediting the entire
  154. system. We state categorically that the chances of
  155. anyone - including NSA - forging a signature with
  156. the DSS when it is properly used and implemented is
  157. infinitesimally small.
  158.  
  159.    Furthermore, the alleged trapdoor vulnerability
  160. is true for ANY public key-based authentication system,
  161. including RSA. To imply somehow that this only affects
  162. the DSS (a popular argument in the press) is totally
  163. misleading. The issue is one of implementation and
  164. how one goes about selecting prime numbers. We call
  165. your attention to a recent EUROCRYPT conference which
  166. had a panel discussion on the issue of trapdoors in
  167. the DSS. Included on the panel was one of the Bellcore
  168. researchers who initially raised the trapdoor allegation,
  169. and our understanding is that the panel - including
  170. the person from Bellcore - concluded that the alleged
  171. trapdoor was not an issue for the DSS. Furthermore,
  172. the general consensus appeared to be that the trapdoor
  173. issue was trivial and had been overblown in the press.
  174. However, to try to respond to the trapdoor allegation,
  175. at NIST's request, we have designed a prime generation
  176. process which will ensure that one can avoid selection
  177. of the relatively few weak primes which could lead
  178. to weakness in using the DSS. Additionally, NIST intends
  179. to allow for larger modulus sizes up to 1024 which
  180. effectively negates the need to even use the prime
  181. generation process to avoid weak primes. An additional
  182. very important point that is often overlooked is that
  183. with the DSS the primes are PUBLIC and therefore can
  184. be subject to public examination. Not all public key
  185. systems provide for this same type of examination.
  186.  
  187.    The integrity of any information security system
  188. requires attention to proper implementation. With
  189. the myriad of vulnerabilities possible given the differences
  190. among users, NSA has traditionally insisted on centralized
  191. trusted centers as a way to minimize risk to the system.
  192. While we have designed technical modifications to
  193. the DSS to meet NIST's requests for a more decentralized
  194. approach, we still would emphasize that portion of
  195. the Federal Register notice for the DSS which states:
  196. While it is the intent of this standard to specify
  197. general security requirements for generating digital
  198. signatures, conformance to this standard does not assure
  199. that a particular implementation is secure. The responsible
  200. authority in each agency or department shall assure
  201. that an overall implementation provides an acceptable
  202. level of security. NIST will be working with government
  203. users to ensure appropriate implementations.
  204.  
  205.    Finally, we have read all the arguments purporting
  206. insecurities with the DSS, and we remain unconvinced
  207. of their validity. The DSS has been subjected to intense
  208. evaluation within NSA which led to its being endorsed
  209. by our Director of Information Systems Security for
  210. use in signing unclassified data processed in certain
  211. intelligence systems and even for signing classified
  212. data in selected systems. We believe that this approval
  213. speaks to the lack of any credible attack on the
  214. integrity provided by the DSS given proper use and
  215. implementation. Based on the technical and security
  216. requirements of the U.S. government for digital signatures,
  217. we believe the DSS is the best choice. In fact, the
  218. DSS is being used in a pilot project for the Defense
  219. Message System to assure the authenticity of electronic
  220. messages of vital command and control information.
  221. This initial demonstration includes participation from
  222. the Joint Chiefs of Staff, the military services,
  223. and Defense Agencies and is being done in cooperation
  224. with NIST.
  225.  
  226.       4. Has the NSA ever taken advantage of
  227. any weaknesses in the DES or the DSS?
  228.  
  229.    We are unaware of any weaknesses in the DSS or
  230. in the DES when properly implemented and used for the
  231. purposes for which they both are designed.
  232.  
  233.  5. Did the NSA play a role in designing the DSS? Why, in the
  234. NSA's analysis, was it seen as desirable to create
  235. the DSS when the apparently more robust RSA already
  236. stood as a de facto standard?
  237.  
  238.    Under the Computer Security Act of 1987, NIST is
  239. to draw upon computer systems technical security guidelines
  240. of NSA where appropriate and to coordinate closely
  241. with other agencies, including NSA, to assure:
  242.  
  243.    a. maximum use of all existing and planned programs,
  244. materials, and reports relating to computer systems
  245. security and privacy, in order to avoid unnecessary
  246. and costly duplication of effort; and
  247.  
  248.    b. that standards developed by NIST are consistent
  249. and compatible with standards and procedures developed
  250. for the protection of classified systems.
  251.  
  252.    Consistent with that law and based on a subsequent
  253. Memorandum of Understanding (MOU) between NSA and NIST,
  254. NSA's role is to be responsive to NIST's requests
  255. for assistance in developing, evaluating, or researching
  256. cryptographic algorithms and techniques. (See note
  257. at end). In 19??, NIST requested that NSA evaluate
  258. candidate algorithms proposed by NIST for a digital
  259. signature standard and that NSA provide new algorithms
  260. when existing algorithms did not meet U.S. government
  261. requirements. In the two-year process of developing
  262. a digital signature for U.S. government use, NIST
  263. and NSA examined various publicly-known algorithms
  264. and their variants, including RSA. A number of techniques
  265. were deemed to provide appropriate protection for
  266. Federal systems. The one selected by NIST as the draft
  267. Digital Signature Standard was determined to be the
  268. most suitable for reasons that were set forth in the
  269. Federal Register announcement. One such reason was
  270. to avoid issuance of a DSS that would result in users
  271. outside the government having to pay royalties. Even
  272. though the DSS is targeted for government use, eliminating
  273. potential barriers for commercial applications is
  274. useful to achieve economies of scale. Additionally,
  275. there are features of the DSS which make it more attractive
  276. for federal systems that need to have a digital signature
  277. capability for large numbers of users. Chief mong
  278. them are the number of trusted operation points and
  279. system management overhead that are minimized with
  280. the NIST proposed technique.
  281.  
  282.  6. What national interests are served by limiting the
  283. power of cyptographic schemes used by the public?
  284.  
  285.    We call your attention to the House Judiciary committee
  286. hearing of 29 April 1992. The Director of the FBI
  287. expressed his concerns that law enforcement interests
  288. in meeting responsibilities given to them by Congress
  289. could be affected unless they had access to communications,
  290. as was given to them by statute in 1968 (court monitored,
  291. court sponsored, court reviewed and subject to Congressional
  292. oversight).
  293.  
  294.    The National Security Agency has no role in limiting
  295. the power of cryptographic schemes used by the public
  296. within the U.S. We have always been in favor of the
  297. use of information security technologies by U.S. businesses
  298. to protect their proprietary information, and when
  299. we had an information security role with private industry
  300. (prior to the Computer Security Act of 1987), we actively
  301. advocated use of such technologies.
  302.  
  303.     7. What national interests are served by limiting the
  304. export of cryptographic technology?
  305.  
  306.    Cryptographic technology is deemed vital to national
  307. security interests. This includes economic, military,
  308. and foreign policy interests.
  309.  
  310.    We do not agree with the implications from the
  311. House Judiciary Committee hearing of 7 May 1992 and
  312. recent news articles that allege that U.S. export
  313. laws prevent U.S. firms' manufacture and use of top
  314. encryption equipment. We are unaware of any case where
  315. a U.S. firm has been prevented from manufacturing
  316. and using encryption equipment within this country
  317. or for use by the U.S. firm or its subsidiaries in
  318. locations outside the U.S. because of U.S. export restrictions.
  319. In fact, NSA has always supported the use of encryption
  320. by U.S. businesses operating domestically and overseas
  321. to protect sensitive information.
  322.  
  323.    For export to foreign countries, NSA as a component
  324. of the Department of Defense (along with the Department
  325. of State and the Department of Commerce) reviews export
  326. licenses for information security technologies controlled
  327. by the Export Administration Regulations or the international
  328. Traffic in Arms Regulations. Similar export control
  329. systems are in effect in all the Coordinating Committee
  330. for Multilateral Export Controls (CoCom) countries
  331. as well as many non-CoCom countries as these technologies
  332. are universally considered as sensitive. Such technologies
  333. are not banned from export and are reviewed on a case-by-case
  334. basis. As part of the export review process, licenses
  335. may be required for these systems and are reviewed
  336. to determine the effect such export could have on
  337. national security interests - including economic,
  338. military, and political security interests. Export
  339. licenses are approved or denied based upon the type
  340. of equipment involved, the proposed end-use and the
  341. end-user.
  342.  
  343.    Our analysis indicates that the U.S. leads the
  344. world in the manufacture and export of information
  345. security technologies. Of those cryptologic products
  346. referred to NSA by the Department of State for export
  347. licenses, we consistently approve over 90%. Export
  348. licenses for information security products under the
  349. jurisdiction of the Department of Commerce are processed
  350. and approved without referral to NSA or DoD. This includes
  351. products using such techniques as the DSS and RSA
  352. which provide authentication and access control to
  353. computers or networks. In fact, in the past NSA has
  354. played a major role in successfully advocating the
  355. relaxation of export controls on RSA and related technologies
  356. for authentication purposes. Such techniques are extremely
  357. valuable against the hacker problem and unauthorized
  358. use of resources.
  359.  
  360.       8. What national interests are at
  361. risk, if any, if secure cryptography is widely available?
  362.  
  363.    Secure cryptography widely available outside the
  364. United States clearly has an impact on national security
  365. interests including economic, military, and political.
  366.  
  367.    Secure cryptography within the United States may
  368. impact law enforcement interests.
  369.  
  370.     9. What does the NSA see as its legitimate interests in
  371. the area of cryptography?  Public cryptography?
  372.  
  373.    Clearly one of our interests is to protect U.S.
  374. government and military communications and information systems
  375. related to national security. As part of that mission,
  376. we stay abreast of activities in public cryptography.
  377.  
  378.    10. How did NSA enter into negotiations with the Software
  379. Publishers Association regarding the export of products
  380. utilizing cryptographic techniques? How was this group
  381. chosen, and to what purpose? What statute or elected
  382. representative authorized the NSA to engage in the
  383. discussions?
  384.  
  385.    The Software Publishers Association (SPA) went
  386. to the National Security Advisor to the President
  387. to seek help from the Administration to bring predictability,
  388. clarity, and speed to the process for exporting mass
  389. market software with encryption. The National Security
  390. Advisor directed NSA to work wth the mass market software
  391. representatives on their request.
  392.  
  393.  ii. What is the status of these negotiations?
  394.  
  395.    These negotiations are ongoing.
  396.  
  397.  12. What is the status of export controls on products using
  398. cryptographic techniques? How would you respond to those who
  399. point to the fact that the expot of RSA from the U.S. is
  400. controlled, but that its import into the U.S. is not?
  401.  
  402.    To the best of our knowledge, most countries who
  403. manufacture cryptographic products regulate the export
  404. of such products from their countries by procedures
  405. similar to those existing within the U.S. Some even
  406. control the import into their countries. The U.S.
  407. complies with the guidelines established by CoCom
  408. for these products.
  409.  
  410.    Regarding the export of RSA from the U.S., we are
  411. unaware of any restrictions that have been placed
  412. on the export of RSA for authentication purposes.
  413.  
  414. 13. What issues would you like to discuss that I have
  415. not addressed?
  416.  
  417.    None.
  418.  
  419.  14. What question or questions would you
  420. like to pose of your critics?
  421.  
  422.    None.
  423.  
  424.  NOTE: To clarify misunderstandings regarding
  425. this Memorandum of Understanding (MOU); this MOU does
  426. not provide NSA any veto power over NIST proposals.
  427. As was discussed publicly in 1989, the MOU provides
  428. that if there is an issue that can not be resolved
  429. between the two agencies, then such an issue may be
  430. referred to the President for resolution. Enclosed
  431. please find a copy of subject MOU which has been made
  432. freely available in the past by both NSA and NIST
  433. to all requestors. At the House Judiciary Committee
  434. hearings on 7 May 1992, the Director of NIST responded
  435. that he had never referred an issue to the White House
  436. since his assumption of Directorship in 1990.
  437.  
  438.    MEMORANDUM OF UNDERSTANDING
  439.  
  440.    BETWEEN
  441.  
  442.    THE DIRECTOR OF THE NATIONAL INSTITUTE OF STANDARDS
  443. AND TECHNOLOGY
  444.  
  445.    AND
  446.  
  447.    THE DIRECTOR OF THE NATIONAL SECURITY AGENCY
  448.  
  449.    CONCERNING
  450.  
  451.    THE IMPLEMENTATION OF PUBLIC LAW 100-235 Recognizing
  452. that:
  453.  
  454.    A. Under Section 2 of the Computer Security Act
  455. of 1987 (Public Law 100-235), (the Act), the National
  456. Institute of Standards and Technology (NIST) has the
  457. responsibility within the Federal Government for:
  458.  
  459.    1. Developing technical, management, physical,
  460. and administrative standards and guidelines for the
  461. cost-effective security ad privacy of sensitive information
  462. in Federal computer systems as defined in the Act;
  463. and,
  464.  
  465.    2. Drawing on the computer system technical security
  466. guidelines of the National Security Agency (NSA) in
  467. this regard where appropriate.
  468.  
  469.    B. Under Section 3 of the Act, the NIST is to coordinate
  470. closely with other agencies and offices, including
  471. the NSA, to assure:
  472.  
  473.    1. Maximum use of all existing and planned programs,
  474. materials, studies, and reports relating to computer
  475. systems security and privacy, in order to avoid unnecessary
  476. and costly duplication of effort; and, - 2. To the
  477. maximum extent feasible, that standards developed
  478. by the NIST under the Act are consistent and compatible
  479. with standards and procedures developed for the protection
  480. of classified information in Federal computer systems.
  481.  
  482.    C. Under the Act, the Secretary of Commerce has
  483. the responsibility, which he has delegated to the
  484. Director of NIST, for appointing the members of the
  485. Computer System Security and Privacy Advisory Board,
  486. at least one of whom shall be from the NSA. Therefore,
  487. in furtherance of the purposes of this MOU, the Director
  488. of the NIST and the Director of the NSA hereby agree
  489. as follows:
  490.  
  491.    The NIST will:
  492.  
  493.    1. Appoint to the Computer Security and Privacy
  494. Advisory Board at least one representative nominated by
  495. the Director of the NSA.
  496.  
  497.    2. Draw upon computer system technical security
  498. guidelines developed by the NSA to the extent that the NIST
  499. determines that such guidelines are consistent with the requirements
  500. tor protecting sensitive information in Federal computer
  501. systems.
  502.  
  503.    3. Recognize the NSA-certified rating of evaluated
  504. trusted systems under the Trusted Computer Security Evaluation
  505. Criteria Program without requiring additional evaluation.
  506.  
  507.    4. Develop telecommunications security standards
  508. for protecting sensitive unclassified computer data, drawing
  509. upon the expertise and products of the National Security
  510. Agency, to the ratest extent possible, in meeting
  511. these responsibilities in a timely and cost effective manner
  512.  
  513.    5. Avoid duplication where possible in entering
  514. into mutually agreeable arrangements with the NSA for
  515. the NSA support.
  516.  
  517.    6. Request the NSA's assistance on all matters
  518. related to cryptographic algorithms and cryptographic techniques
  519. including but not limited to research, development valuation,
  520. or endorsement. . - I
  521.  
  522.    II. The NSA will:
  523.  
  524.    1. Provide the NIST with technical guidelines in
  525. trusted technology, telecommunications security, and personal
  526. -identification that may be used in cost-effective
  527. systems for protecting sensitive computer data.
  528.  
  529.    2. Conduct or initiate research and development
  530. programs in trusted technology, telecommunications security,
  531. cryptographic techniques and personal identification methods.
  532.  
  533.    3. Be responsive to the NIST's requests for assistance
  534. in respect to all matters related to cryptographic
  535. algorithms and cryptographic techniques including but not limited
  536. to research, development, evaluation, or endorsement.
  537.  
  538.    4. Establish the standards and endorse products
  539. for application to secure systems covered in 10 USC
  540. Section 2315 (the  Warner Amendment).
  541.  
  542.    5 Upon request by Federal agencies5 their contractors
  543. and other government-sponsored entities, conduct assessments
  544. of the hostile intelligence threat to federal information
  545. systems, and provide technical assistance and recommend endorsed
  546. products for application to secure systems against that threat.
  547.  
  548.    iii. The NIST and the NSA shall:
  549.  
  550.    1. Jointly review agency plans for the security and
  551. -privacy of computer systems submitted to NIST and NSA pursuant
  552. to section 6(b) of the Act.'
  553.  
  554.    2. Exchange technical standards and guidelines
  555. as necessary to achieve the purposes of the Act.
  556.  
  557.    3. Work together to achieve the purposes of this
  558. memorandum with the greatest efficiency possible, avoiding
  559. unnecessary duplication of effort.
  560.  
  561.    4. Maintain an ongoing, open dialogue to ensure
  562. that each organization remains abreast of emerging technologies
  563. and issues effecting automated information system security
  564. in computer-based systems.
  565.  
  566.    5. Establish a Technical Working Group to review
  567. and analyze issues of mutual interes pertinent to protection
  568. of systems that process sensitive or other unclassified-information.
  569. The Group shall be composed of six federal employees, three
  570. each selected by NIST and NSA and to be augmented as necessary by
  571. representatives of other agencies. Issues may be referred to the
  572. group by either  the NSA Deputy Director for Information Security
  573. or the NIST Deputy Director or may be generated -and addressed
  574. by the group upon approval by the NSA DDI or NIST Deputy Director.
  575. Within days of the referral of an issue to the Group by
  576. either the NSA Deputy Director for Information Security or the
  577. NIST Deputy .Director, the Group will respond with
  578. a progress report and pan for further analysis, if any.
  579.  
  580.    6. Exchange work plans on an annual basis on all
  581. research and development projects pertinent to protection
  582. of systems that process sensitive or other unclassified information,
  583. including trusted technology, technology for protecting the
  584. integrity and availability of data, telecommunications security
  585. and personal identification methods. Project updates will be
  586. exchanged quarterly, and project reviews will be provided
  587. by either party upon request of he other party.
  588.  
  589.    7. Ensure the Technical Working Group reviews prior
  590. to public disclosure all matters regarding technical_systems
  591. security techniques to be developed for use in protecting
  592. sensitive information in federal computer systems to ensure
  593. they are consistant with the national security of the
  594. United States. If NIST and NSA are unable to resolve
  595. such an issue within 60 days, either _ agency may elect
  596. to raise the issue to the Secretary of Defense and
  597. the Secretary of Commerce. It is recognized that such
  598. an issue may be referred to the President through
  599. the NSC for resolution. No action shall be taken on
  600. such an issue until it is resolved.
  601.  
  602.    8. Specify additional operational agreements in
  603. annexes to this MOU as they. are agreed to by NSA
  604. and NIST.
  605.  
  606.    IV. Either party may elect to terminate this MOU
  607. upon six months written notice. This MO& is effective
  608. upon approval of both signatories.
  609.  
  610.    RAYMOND G. KAMMER W. 0. STUDEMAN
  611.  
  612.    Acting Director Vice Admiral, U.S. Navy National
  613. Institut of Director Standards and Technology National
  614. Security Agency
  615.  
  616. ------------------------------
  617.  
  618. From: David Sobel <dsobel@WASHOFC.CPSR.ORG>
  619. Date: Tue, 30 Jun 1992 17:29:04 EDT
  620. Subject: File 2--CPSR Challenges Virginia SS
  621.  
  622. June 30, 1992
  623.  
  624.                 CPSR Challenges Virginia SSN Practice
  625. PRESS RELEASE
  626.  
  627. WASHINGTON, DC -- A  national public interest organization has filed a
  628. "friend of the court" brief in the federal court of appeals, calling
  629. into question the Commonwealth of Virginia's practice of requiring
  630. citizens to provide their Social Security numbers in order to vote.
  631. Computer Professionals for Social Responsibility (CPSR) alleges that
  632. Virginia is violating constitutional rights and creating an
  633. unnecessary privacy risk.
  634.  
  635. The case arose when a Virginia resident refused to provide his Social
  636. Security number (SSN) to a county registrar and was denied the right
  637. to register to vote.  Virginia is one of a handful of states that
  638. require voters to provide an SSN as a condition of registration.
  639. While most states that require the number impose some restrictions on
  640. its public dissemination, Virginia allows unrestricted public
  641. inspection  of voter registration data -- including the SSN.  Marc A.
  642. Greidinger, the plaintiff in the federal lawsuit, believes that the
  643. state's registration requirements violate his privacy and impose an
  644. unconstitutional burden on his exercise of the right to vote.
  645.  
  646. The CPSR brief, filed in the Fourth Circuit Court of Appeals in
  647. Richmond, supports the claims made by Mr. Greidinger.  CPSR notes the
  648. long-standing concern of the  computing community to design safe
  649. information systems, and the particular effort of Congress to control
  650. the misuse of the SSN.   The organization cites federal statistics
  651. showing that the widespread use of SSNs has led to a proliferation of
  652. fraud by criminals using the numbers to gain driver's licenses, credit
  653. and federal benefits.  The CPSR brief further describes current
  654. efforts in other countries to control the misuse of national
  655. identifiers, like the Social Security number.
  656.  
  657. Marc Rotenberg, the Director of the CPSR Washington Office said that
  658. "This is a privacy issue of constitutional dimension.  The SSN
  659. requirement is not unlike the poll taxes that were struck down as
  660. unconstitutional in the 1960s.  Instead of demanding the payment of
  661. money, Virginia is requiring citizens to relinquish their privacy
  662. rights before being allowed in the voting booth."
  663.  
  664. CPSR argues in its brief that the privacy risk created by Virginia's
  665. collection and disclosure of Social Security numbers is unnecessary.
  666. The largest states in the nation, such as California, New York and
  667. Texas, do not require SSNs for voter registration.  CPSR points out
  668. that California, with 14 million registered voters, does not need to
  669. use the SSN to administer its registration system, while Virginia,
  670. with less than 3 million voters, insists on its need to demand the
  671. number.
  672.  
  673. David Sobel, CPSR Legal Counsel, said "Federal courts have generally
  674. recognized that there is a substantial privacy interest involved when
  675. Social Security numbers are disclosed.  We are optimistic that the
  676. court of appeals will require the state to develop a safer method of
  677. maintaining voting records."
  678.  
  679. CPSR has led a national campaign to control the misuse of the Social
  680. Security Number.   Earlier this year the organization testified at a
  681. hearing in Congress on the use of the  SSN as a National Identifier.
  682. CPSR urged lawmakers to respect the restriction on the SSN and to
  683. restrict its use in the private sector.   The group also participated
  684. in a federal court challenge to the Internal Revenue Service's
  685. practice of displaying taxpayers' SSNs on mailing labels.  CPSR is
  686. also undertaking a campaign to advise  individuals not to disclose
  687. their Social Security numbers unless provided with the legal reason
  688. for the request.
  689.  
  690. CPSR is a national membership organization, with 2,500 members, based
  691. in Palo Alto, CA.  For membership information contact CPSR, P.O. Box
  692. 717, Palo Alto, CA 94303, (415) 322-3778, cpsr@csli.  stanford.edu.
  693.  
  694.  
  695. For more information contact:
  696.  
  697. Marc Rotenberg, Director
  698. David Sobel, Legal Counsel
  699. CPSR Washington Office
  700. (202) 544-9240
  701. rotenberg@washofc.cpsr.org
  702. sobel@washofc.cpsr.org
  703.  
  704. Paul Wolfson, attorney for Marc A. Greidinger
  705. Public Citizen Litigation Group
  706. (202) 833-3000
  707.  
  708. ------------------------------
  709.  
  710. Date: Tue, 14 Jul 1992 21:05:54 -0400
  711. From: Christopher Davis <ckd@EFF.ORG>
  712. Subject: File 3--EFF hires Cliff Figallo as director of Cambridge office
  713.  
  714. +=========+=================================================+===========+
  715. |  F.Y.I. |Newsnote from the Electronic Frontier Foundation|July 14,1992|
  716. +=========+=================================================+===========+
  717.  
  718.    CLIFF FIGALLO OF THE WELL NAMED DIRECTOR OF EFF's CAMBRIDGE OFFICE
  719.  
  720. Cambridge, Massachusetts                                    July 14,1992
  721.  
  722. Cliff Figallo, former director of the Whole Earth 'Lectronic Link (The
  723. WELL), has accepted the position of Director of the Electronic Frontier
  724. Foundation's Cambridge office. His duties will include developing that
  725. office's outreach programs, increasing active EFF membership, and
  726. expanding overall awareness of EFF's programs in the computer-
  727. conferencing community and the world at large.
  728.  
  729. In announcing the appointment today, Mitchell Kapor, President of EFF,
  730. said: "I'm delighted that Cliff Figallo will be joining the EFF to head
  731. its Cambridge office.  Cliff brings 20 years of experience in forming
  732. both intentional and virtual communities. We know he will put these
  733. skills to excellent use in helping EFF build its ties to the online
  734. community.We're all looking forward to working with him closely."
  735.  
  736. Figallo is well-known in computer conferencing circles as the one who
  737. from 1986 to the present guided the WELL through its formative years.
  738. Working with a small staff, many volunteers and limited funding, he
  739. helped develop the WELL into one of the world's most influential
  740. computer conferencing systems. When EFF was founded it used the WELL as
  741. its primary means of online communication.
  742.  
  743. Commenting on the appointment of Figallo, Stewart Brand, creator of The
  744. Whole Earth Catalogue, one of the founders of The WELL and a member of
  745. the EFF Board of Directors, said: "As an exemplary manager of EFF's
  746. initial habitat, the WELL, Cliff brings great contextual experience to
  747. his new job.  Best of all for us on the WELL, he won't even be leaving,
  748. electronically speaking. Cambridge is only several keystrokes from
  749. Sausalito."
  750.  
  751. Contacted at his home in Mill Valley today, Figallo stated: "I'm very
  752. thankful for the opportunity to take part one of the critical missions
  753. of our time -- the opening of new channels of person-to-person
  754. communication in the world, and the protection of existing channels from
  755. naive or excessive regulation and restriction.
  756.  
  757. "Pioneers in electronic or telecommunications media are establishing new
  758. definitions and structures for education, community, and co-operation
  759. every day. They are developing tools and systems which may prove to be
  760. vital to the salvation of the planet. This work must go on.
  761.  
  762. "I look forward to helping EFF communicate the importance of events on
  763. the Electronic Frontier to current and future settlers, and to those who
  764. would, through unwise use of power, stifle the continued exploration and
  765. settling of this new realm of the mind and the human spirit."
  766.  
  767. Figallo will assume his duties in September of this year.
  768.  
  769. For more information contact:
  770. Gerard Van der Leun
  771. Electronic Frontier Foundation
  772. 155 Second Street
  773. Cambridge, MA 02141
  774. Phone: +1 617 864 0665
  775. FAX:   +1 617 864 0866
  776. Internet: van@eff.org
  777.  
  778. +=====+===================================================+=============+
  779. | EFF |155 Second Street, Cambridge MA 02141 (617)864-0665| eff@eff.org |
  780. +=====+===================================================+=============+
  781.  
  782. ------------------------------
  783.  
  784. Date: 18 Jul 92 18:29:39 CDT
  785. From: mcmullen@well.sf.ca.us
  786. Subject: File 4--New York Hackers Plead Not Guilty (NEWSBYTES REPRINT)
  787.  
  788. NEW YORK, N.Y., U.S.A., 1992 JULY 17 (NB) --At an arraignment in New
  789. York Federal Court on Thursday, July 16th, the five New York
  790. "hackers", recently indicted on charges relating to alleged computer
  791. intrusion, all entered pleas of not guilty and were released after
  792. each signed a personal recognizance (PRB) bond of $15,000 to guarantee
  793. continued appearances in court.
  794.  
  795. The accused, Mark Abene also known as"Phiber Optik"; Julio Fernandez
  796. a/k/a "Outlaw"; Elias Ladopoulos a/k/a "Acid Phreak"; John Lee a/k/a
  797. "Corrupt"; and Paul Stira a/k/a "Scorpion", were indicted on July 8th
  798. on 11 counts alleging various computer and communications related
  799. crimes --although all five were indicted together, each in not named
  800. in all eleven counts and the maximum penalties possible under the
  801. charges vary from 5 years imprisonment and a $250,000 fine (Stira) to
  802. 40 years imprisonment and a $2 million fine (Lee).
  803.  
  804. As part of the arraignment process, United States District Judge
  805. Richard Owen was assigned as the case's presiding judge and a
  806. pre-trial meeting between the judge and the parties involved.
  807.  
  808. Charles Ross, attorney for John Lee, told Newsbytes "John Lee entered
  809. a not guilty plea and we intend to energetically and aggressively
  810. defend against the charges made against him."
  811.  
  812. Ross also explained the procedures that will be in effect in the case,
  813. saying "We will meet with the judge and he will set a schedule for
  814. discovery and the filing of motions. The defense will have to review
  815. the evidence that the government has amassed before it can file
  816. intelligent motions and the first meeting is simply a scheduling one."
  817.  
  818. Marjorie Peerce, attorney for Stira, told Newsbytes "Mr. Stira has
  819. pleaded not guilty and will continue to plead not guilty. I am sorry
  820. to see the government indict a 22 year old college student for acts
  821. that he allegedly committed as a 19 year old."
  822.  
  823. The terms of the PRB signed by the accused require them to remain
  824. within the continental United States. In requesting the bond
  825. arrangement, Assistant United States Attorney Stephen Fishbein
  826. referred to the allegations as serious and requested the $15,000 bond
  827. with the stipulation that the accused have their bonds co-signed by
  828. parents. Abene, Fernandez and Lee, through their attorneys, agreed to
  829. the bond as stipulated while the attorneys for Ladopoulos and Stira
  830. requested no bail or bond for their clients, citing the fact that
  831. their clients have been available, when requested by authorities, for
  832. over a year. After consideration by the judge, the same $15,000 bond
  833. was set for Ladopoulos and Stira but no co-signature was required.
  834.  
  835. (Barbara E. McMullen & John F. McMullen//19920717)
  836.  
  837. ------------------------------
  838.  
  839. Date: 21 Jul 92 19:21:06 EDT
  840. From: Gordon Meyer <72307.1502@COMPUSERVE.COM>
  841. Subject: File 5--Time Magazine Computer Analyst Arrested for Alleged Faud
  842.  
  843. ((A little news tidbit to take in consideration next time we hear, a la
  844. operation SunDevil, of all the 'hackers' that are active in CC fraud)).
  845.  
  846.        Time Magazine Computer Analyst Arrested for Alleged Faud
  847.  
  848. A computer analyst, Thomas Ferguson, 44, who worked at Time magazine's
  849. Tampa, Fla., customer service headquarters has been arrested after
  850. allegations he sold thousands of subscribers' credit card numbers for
  851. $1 apiece.  Ferguson has been with the magazine for 18 months, faces
  852. four counts of trafficking in credit cards, authorities said.
  853.  
  854. Police found computer disks containing the credit card numbers of
  855. about 80,000 subscribers at Ferguson's Clearwater, Fla., home.
  856. Authorities said they met Ferguson four times to buy about 3,000
  857. credit card numbers since being tipped off to the scheme in June.
  858.  
  859. Time executives say that all credit card customers should examine
  860. their credit card bills closely.  If unauthorized purchases show up,
  861. they should call the financial institution that issued the card.
  862.            (Reprinted from STReport 8.29 with permission.)
  863.  
  864. ------------------------------
  865.  
  866. End of Computer Underground Digest #4.32
  867. ************************************
  868.