home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / cud / cud438.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  40.5 KB  |  831 lines
  1. Computer underground Digest    Sun Aug 23, 1992   Volume 4 : Issue 38
  2.  
  3.        Editors: Jim Thomas and Gordon Meyer (TK0JUT2@NIU.BITNET)
  4.        Copy Editor: Etaion Shrdlu, III
  5.        Archivist: Brendan Kehoe
  6.        Shadow-Archivist: Dan Carosone
  7.  
  8. CONTENTS, #4.38 (Aug 23, 1992)
  9. File 1--Retraction & apology to Ripco
  10. File 2--THE GARBAGE DUMP BBS Purges Adult Gifs
  11. File 3--Canada busts Pirate
  12. File 4--Lotus NYT As against Borland
  13. File 5--Secret Service -- the TV show
  14. File 6--"The Hacker Files" Comic Book
  15. File 7--ZEN AND THE ART OF THE INTERNET (Review 1)
  16. File 8--ZEN AND THE ART OF THE INTERNET (Review 2)
  17. File 9--CPSR Letter on Crypto Policy
  18.  
  19. Cu-Digest is a weekly electronic journal/newsletter. Subscriptions are
  20. available at no cost from tk0jut2@mvs.cso.niu.edu. The editors may be
  21. contacted by voice (815-753-6430), fax (815-753-6302) or U.S. mail at:
  22. Jim Thomas, Department of Sociology, NIU, DeKalb, IL 60115.
  23. Issues of CuD can also be found in the Usenet comp.society.cu-digest
  24. news group; on CompuServe in DL0 and DL4 of the IBMBBS SIG, DL1 of
  25. LAWSIG, and DL0 and DL12 of TELECOM; on Genie in the PF*NPC RT
  26. libraries; from America Online in the PC Telecom forum under
  27. "computing newsletters;" on the PC-EXEC BBS at (414) 789-4210; and by
  28. anonymous ftp from ftp.eff.org (192.88.144.4) and ftp.ee.mu.oz.au
  29. European distributor: ComNet in Luxembourg BBS (++352) 466893.
  30.  
  31. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  32. information among computerists and to the presentation and debate of
  33. diverse views.  CuD material may  be reprinted as long as the source
  34. is cited.  Some authors do copyright their material, and they should
  35. be contacted for reprint permission.  It is assumed that non-personal
  36. mail to the moderators may be reprinted unless otherwise specified.
  37. Readers are encouraged to submit reasoned articles relating to
  38. computer culture and communication.  Articles are preferred to short
  39. responses.  Please avoid quoting previous posts unless absolutely
  40. necessary.
  41.  
  42. DISCLAIMER: The views represented herein do not necessarily represent
  43.             the views of the moderators. Digest contributors assume all
  44.             responsibility for ensuring that articles submitted do not
  45.             violate copyright protections.
  46.  
  47. ----------------------------------------------------------------------
  48. Date: Fri, 21 Aug 1992 11:41:44 -0600
  49. From: Evan.Hendricks@EFF.ORG(hendricks@washofc.cpsr.org)
  50. Subject: File 1--Retraction & apology to Ripco
  51.  
  52. ((MODERATORS' NOTE: CuD #4.37 reported an inadvertent, but
  53. unfortunate, phrasing of a reference to Ripco BBS, in an article in
  54. Privacy Times. We contacted the editor, Evan Hendricks, who shared our
  55. concern. He indicated that, if CuD's version of events were correct,
  56. he would rectify the mistake. His response is below may be one reason
  57. why Privacy Times is judged by many as as a first-rate and reputable
  58. resource. His response should also be an example of integrity for
  59. other journalists.))
  60.  
  61. The following retraction was printed in the Aug. 21, 1992 issue of
  62. Privacy Times
  63.  
  64.  ++++++++++++++++++++++++++++
  65.  
  66. RETRACTION
  67.  
  68. In the previous issue, Privacy Times reported incorrectly that a
  69. manual for breaking into TRW's credit bureau database was published on
  70. the Ripco bulletin board.  In fact, Ripco officials refused to publish
  71. it.  Our mistake was made worse by the fact that Ripco had been the
  72. previous victim of unwarranted government persecution after
  73. controversial matters were published on the board, sources said.
  74.  
  75. Privacy Times apologizes for this mistake. We regret any misconceptions
  76. that this may have caused.
  77.  
  78. ------------------------------
  79.  
  80. Date: Thu, 20 Aug 92 15:46:13 MDT
  81. From: bbx!yenta!weenie@UNMVAX.CS.UNM.EDU(Dean Kerl)
  82. Subject: File 2--THE GARBAGE DUMP BBS Purges Adult Gifs
  83.  
  84.                      FOR RELEASE AUGUST 17, 1992
  85.  
  86.              GARBAGE DUMP BBS PURGES ADULT GRAPHIC FILES
  87.  
  88. DataSafe, owners and operators of The Garbage Dump Bulletin Board
  89. Service (BBS) in Albuquerque, NM and Denver, CO announce the immediate
  90. removal of all adult graphic files from its online service. This
  91. action was taken to free up system and personnel resources which will
  92. be used to enhance and expand current services such as DOS, Windows
  93. and OS/2 shareware downloadable files. Shareware files will be
  94. promoted as a primary product along with interactive chat, message
  95. areas and online multiplayer games.
  96.  
  97. Simon Clement, VP of Marketing said, "These graphic files have never
  98. been an integral part of our business and this action will allow us to
  99. market to a much wider audience. We feel that this new market strategy
  100. will position us to serve more customers with better and more valuable
  101. services. We would like to encourage our customers to continue using
  102. our expanding services. Any customer who is dissatisfied with our
  103. market emphasis will be given a full refund, on request, for any time
  104. remaining on their account."
  105.  
  106. The Garbage Dump BBS will continue to offer and promote uncensored
  107. Chat, E-mail, and Message Areas. This uncensored format allows for
  108. open discussion of a wide range of controversial topics including
  109. politics, consumer issues, freedom of speech, alternative lifestyles
  110. and current events.
  111.  
  112. The Garbage Dump BBS can be reached via modem in Albuquerque, NM at
  113. (505)-294-5675 and in Denver, CO at (303)-457-1111. If you have any
  114. questions about our new policy or would like further information about
  115. our services, please contact Dean Kerl at (505)-294-4980 Voice.
  116.  
  117. ------------------------------
  118.  
  119. Date: 20 Aug 92 21:41:18 EDT
  120. From: Gordon Meyer <72307.1502@COMPUSERVE.COM>
  121. Subject: File 3--Canada busts Pirate
  122.  
  123.  Centre d'ordinateurs Microbec, a chain of four computer stores, has
  124.  been handed the largest software-copyright fine in the province's
  125.  history.  The company was fined C$63,000 for selling computers loaded
  126.  with illegal copies of the MS-DOS operating system.
  127.  
  128.  The fine is not the worst of it for Microbec. When the Royal Canadian
  129.  Mounted Police raided the company last October, they seized about 140
  130.  computers carrying the illegal software as evidence. Since the
  131.  company was convicted, the seized hardware will not be returned, said
  132.  Allan Reynolds, manager of the Canadian Alliance Against Software
  133.  Theft (CAAST), a Toronto-based group of major software vendors set up
  134.  to fight software piracy. Reynolds said the value of the seized
  135.  computers is "more than double the fine amount in terms of revenue
  136.  value." (Reprinted from ST Report 8.33 with permission)
  137.  
  138. ------------------------------
  139.  
  140. Date: Thu, 20 Aug 92 11:49:51 PDT
  141. From: name_withheld@by.request
  142. Subject: File 4--Lotus NYT As against Borland
  143.  
  144. In case you missed it, there was a full page ad by Lotus in the August
  145. 20 issue of the New York Times (Business section, p. 3) about their
  146. lawsuit against Borland.  With a banner headline saying "There's
  147. nothing innovative about copying, parts of it read:
  148.  
  149.      On Friday, July 31, 1992, a U.S. District Court ruled that
  150.      Borland's Quattro(r) and Quattro Pro(r) spreadsheets infringe the
  151.      copyrights of Lotus(r) 1-2-3.
  152.  
  153.      In its ruling, the court concluded tht "...the Quattro programs
  154.      derive from illicit copying," holding that "Lotus has sued" and
  155.      "Borland is liable."
  156.  
  157. Lotus goes for the jugular in the ad. In a large-print subhead, it
  158. announces: "_Lotus innovated. Borland copied," and another says: "Who
  159. should you trust?" The ad concludes:
  160.  
  161.      But perhaps most importantly, Borland lost what matters most to
  162.      customers: credibility. For instance, Borland told the Court they
  163.      needed to copy our menus to achieve macro compatibility with
  164.      1-2-3. Now they tell their customers that the 1-2-3 menus aren't
  165.      critical to compatibility.
  166.  
  167.      So ask yourself: To what extent can you trust a company that
  168.      values what is expedient over what is legal? And to what extent
  169.      can you rely on the product it wants you to buy?
  170.  
  171.      Here's our advice: Choose the product, and the company, you can
  172.      trust. Choose Lotus. After all, we're the best in the business at
  173.      building innovative spreadsheets. Always hae been, always will
  174.      be.
  175.  
  176.      Case closed.
  177.                                     Lotus
  178.  
  179.  
  180. ------------------------------
  181.  
  182. Date: 17 Aug 1992 12:24:24 -0400 (EDT)
  183. From: Stephen Tihor 212 998 3052 <TIHOR@ACFcluster.NYU.EDU>
  184. Subject: File 5--Secret Service -- the TV show
  185.  
  186. Last night NBC broadcast an episode of "Secret Service" in NY at least
  187. that featured a straightforwards nut who wants to kill the President
  188. plot and then a rather confusing account of their high technology
  189. defense of a fuzzy city power system against sabotage by a fired
  190. employee.
  191.  
  192. I hope someone taped it and caught the exact wording of the disclaimer
  193. at the end because it was hard to follow the logic and determine what
  194. was the original incident and what was Hollywoodisms.
  195.  
  196. The piece was prefaced with a brief discussion some of the risks of
  197. power outages.
  198.  
  199. The expert quickly diagnosed the problem as a VIRUS.  Persistent
  200. references to virus in the context of a electric power control system
  201. seemed odd. Since they appeared to be running pre-existing VIRUS
  202. checking software on the system one might suspect the "main frame" was
  203. an IBM PC or Apple Macintosh running standard software rather than a
  204. real time control system or perhaps something larger and safer.
  205. Interesting references were made to viruses lurking WITHIN modems.
  206. Then they identified the source of the attacking codes as the local
  207. font storage in what appeared to be a old DECwriter dot matrix
  208. printer.
  209.  
  210. With some external clues the agents attempt to confront the criminal
  211. in house, which is wired with many falling metal screen, sounds
  212. effects, and gas but which lacks reinforced walls.  The culprit is
  213. classic middle aged computer geek who appears uncaring about possible
  214. loss of life although the agents do not mention to him the risk of a
  215. life sentence of death penalty of others die as a result of his
  216. sabotage.  He refuses to help them disarm the problem.
  217.  
  218. The expert has announced that this is a logic bomb and eventually
  219. realizes that since the bug code is not in the copy of the system on
  220. disk as long as they shutdown without writing memory to disk they can
  221. reboot bug free.  So a brief deliberate blackout is used to save the
  222. city.
  223.  
  224. I am obvious very curious about the TRUE FACTs of this can if the show
  225. plans to show such other SS triumphs in the war on electronic crime as
  226. almost destroying Steve Jackson Games.
  227.  
  228. ------------------------------
  229.  
  230. Date: Fri, 21 Aug 92 09:18:22 MDT
  231. From: gambit@unijak.label.com(queen's gambit)
  232. Subject: File 6--"The Hacker Files" Comic Book
  233.  
  234. _The Hacker Files_, if you've missed them, is the name of a new DC
  235. comic book. At $1.95 each, I plunked down my six bucks and took the
  236. first three of the 24 page monthly back to my digs and zap through
  237. them between hacks.  Reading took a lot less time than I thought.  I
  238. should have watched a double showing of Ishtar instead.
  239.  
  240. The premise of the story, which is continued in serial form from one
  241. issue to the next, is that a virus has invaded Arpanet and threatens
  242. the Pentagon's computer system and could trigger a nuclear set-to. No
  243. matter that the collapse of Russia stretches the credibility of the
  244. Dr. Strangelove plot.  The hacker-not-cracker hero is Jack Marshall, a
  245. scruffy looking peacenik who dresses in a t-shirt with a prominent
  246. peace sign, jeans, and an army shirt-as-jacket. He's been dismissed
  247. from his last company, Digitronix, under mysterious circumstances and
  248. was black-balled from the industry.  Digitronix, coincidentally,
  249. installed the Pentagon's computers, and Jack Marshall, coincidentally,
  250. wrote the operating system for it before his dismissal. Not
  251. coincidentally, there's friction between Marshall and the Digitronix
  252. crowd when he pops on the scene.  Not coincidentally, this friction
  253. may or may not have something to do with the plot in coming issues.
  254.  Marshall, handle of "Hacker," calls a few of his younger hacker
  255. friends (Sue Denim and Dr. Zen) to help track down the virus planter.
  256. Was it some curious kids? Was it Digitronix? Was it some nasty foreign
  257. government? Do we really care?
  258.  
  259. I'm not sure who _The Hacker Files- is aimed at. It presents a rather
  260. sympathetic view of hackers, so it's probably aimed at a younger,
  261. techno-sophisticated audience. The unfolding of the plot is too slow
  262. and twisted to hold the attention of the MTV generation, and pre-teens
  263. would probably find the story line incomprehensible. The dialogue in
  264. the book is R-rated, with "bullshits" and "goddamns" liberally
  265. sprinkled in.  The graphics include unnecessary snapshot scenes of
  266. houses and neighborhoods that probably are intended for a touch of
  267. realism, but do nothing but take up space. At 12 cents a page, the
  268. space could be better used.  The ads every few pages are distracting.
  269. Simulated computer screens showing what the characters see on the
  270. screen abound, but they don't add anything except maybe some vicarious
  271. thrill for kids. The story line needs a stronger set of ideas
  272. describing hackers and their activities and some coherent purpose in
  273. using a hacker as hero or villain.  The characters, except for the
  274. youngest hackers, aren't either exciting or sympathetic, and like
  275. Gertrude Stein said about Oakland, after three issues there just ain't
  276. no there there.
  277.  
  278. As I see it, the "to be continued" format is just a device to entice
  279. readers to get the next issue, but it's is as lame and drawn out as
  280. the first three, the promised "conclusion" in the fourth issue will be
  281. the last.
  282.  
  283. ------------------------------
  284.  
  285. Date: 20 Aug 1992 09:46:11 U
  286. From: "Anne" <harwell@SMTPGATE.TECHRSCS.PANAM.EDU>
  287. Subject: File 7--ZEN AND THE ART OF THE INTERNET (Review 1)
  288.  
  289. ((MODERATORS' NOTE: The following two posts review ZEN AND THE ART OF
  290. THE INTERNET: A BEGINNER'S GUIDE, by Brendan P. Kehoe.  Englewood
  291. Cliffs (N.J.): Prentice-Hall. 122 pp. $22 (paper).))
  292.  
  293. Brendan Kehoe's _Zen and the Art of the Internet: A Beginner's Guide_
  294. is an eminently usable handbook of information and tips for navigating
  295. the Internet.  Despite its title, beginners aren't the only ones who
  296. can benefit from it. The novice will enjoy it as a guided tour of the
  297. net; more experienced netters will find it a valuable resource as an
  298. all-in-one-place source for tips and tricks.
  299.  
  300. Although some of his examples do betray an excessive fondness for
  301. Unix, Kehoe stays for the most part platform-neutral, so anyone can
  302. benefit from this book.  All the basics are covered: email, FTP,
  303. Usenet and Telnet; plus some of everybody's favorite fun things, such
  304. as Finger, Ping, Talk and WHOIS.
  305.  
  306. One of the more interesting sections is Chapter 4, which is given over
  307. entirely to explaining Usenet. Besides describing what Usenet is ("a
  308. set of machines that exchange articles"), it also tells what Usenet is
  309. not ("an organization," "the Internet," "fair"). Here the author
  310. really seems to swing into his own; he's obviously very comfortable in
  311. the world of newsgroups and this is some of his best writing. Although
  312. the entire book is readable and easy to comprehend, it's fun in the
  313. Usenet chapter. Perhaps echoing the anarchy of Usenet itself, Kehoe's
  314. prose takes on a slightly more freewheeling bent, and his advice,
  315. never heavy-handed, becomes more lively.
  316.  
  317. _Zen_ is also crammed with factoids that are great to know, but
  318. sometimes hard to remember, such as directions for telnetting into the
  319. Naval Observatory Automated Data Service and listings of email
  320. gateways to. For the beginner, these are great guideposts for learning
  321. what's what; the veteran will appreciate having a ready reference to
  322. favorite services.
  323.  
  324. Like most people, I had to learn net behavior the hard way, but maybe
  325. future generations will be spared this trauma by reading the section
  326. on netiquette.  Although having a more aware crop of newbies entering
  327. the net may not be as amusing to the old timers, it has the potential
  328. for freeing up substantial chunks of bandwidth that were previously
  329. occupied by flames sent to the clueless ones.
  330.  
  331. One feature of the book that could still stand some improvement is the
  332. appearance of the printed text itself. According to Kehoe, it was
  333. output on a 300 dpi laser. In the mid-1980's that was a great "taking
  334. control of our own property" kind of statement, but now it's easy to
  335. get much higher-quality text out of  felt that a book of this quality
  336. deserved more attractive typefaces and higher-res output, such as what
  337. could have easily been obtained from a Linotronic imagesetter.
  338.  
  339. However, this is a minor qualm and no reason for missing _Zen and the
  340. Art of the Internet_. It's a book to keep handy by the computer,
  341. whether you are a hardened veteran or a net.virgin. Although clearly
  342. slanted towards the novice, there's lots here for everyone. I wish I'd
  343. had it by my side when I first got on the net; it would have saved
  344. asking a million clueless FAQs.
  345.  
  346. Anne Harwell
  347. harwell@panam.edu
  348.  
  349. ------------------------------
  350.  
  351. Date: Wed, 20 Aug 92 18:01:31 CDT
  352. From: Jim Thomas <tk0jut2@mvs.cso.niu.edu)
  353. Subject: File 8--ZEN AND THE ART OF THE INTERNET (Review 2)
  354.  
  355. _Zen and the Art of the Internet: A Beginner's Guide_ (ZAI) is a
  356. deceptively subtle title. As Anne Harwell observes in her review in
  357. the previous post, Kehoe has taken the most common problems and needs
  358. of new internet riders and organized them in nine chapters, five
  359. appendixes, a helpful glossary and a (all to brief) bibliography. Ms.
  360. Harwell is an experienced cyber-surfer, administrator, and postmaster,
  361. and not readily pleased. That she finds the book helpful is a
  362. compelling endorsement.
  363.  
  364. Kehoe's title is more than a cute wordplay on the similarly titled
  365. "Zen and the Art of Motorcycle Maintenance." It evokes an imagery and
  366. analogue between the art of Zen, a belief that we fulfill ourselves
  367. and understand the universe through self-mastery and mediation, and
  368. the passion and mastery required to function in the Internet. The
  369. Internet (or "net") is a system of interlinked computer systems
  370. connected into a packet switching (data block transfer) network. It
  371. enables users in different locations to communicate with each other by
  372. connecting to a host computer, such as a university mainframe or
  373. public access system, by addressing their "mail" with a unique address
  374. to a recipient on the other end. Uses of the Internet include sending
  375. and receiving electronic mail, ftp file transfers, telnet services
  376. allowing access to remote systems, and inter-relay chat (IRC). The
  377. increase in computer access at universities and the proliferation
  378. especially of Unix-based public access systems such as The Well or
  379. Mindvox have dramatically increased public access to The Net.
  380. Internet's popularity and accessability make Kehoe's volume both
  381. timely and important both for new users and even for experienced
  382. net-travellers.
  383.  
  384. ZAI offers not only the basics for roaming around Internet, but
  385. provides a helpful reference source of tips and addresses for others.
  386. Beginning with network basics, Kehoe describes the concept of
  387. networking and summarizes how connections are made.  A condensed
  388. chapter on electronic mail addresses explains how they are
  389. logically constructed, how to read domain and account names, and
  390. tricks for correcting bounced mail.  He emphasizes to readers that
  391. Usenet *is not* the same as internet (the former is a process for
  392. exchanging posts for a mass audience, the latter is the computer
  393. networking systems that carry the posts).  His explanation of Usenet
  394. hierarchies, gateways, and "netiquette" should be invaluable to
  395. newcomers.
  396.  
  397. ZAI's overview of ftp and telnet are especially helpful. One of the
  398. most common "frequent asked questions" (FAQs) received by CuD is, "how
  399. can I ftp back issues?" Kehoe explains, step-by-step, how one uses ftp
  400. and telnet. He also provides the addresses of a number of useful sites
  401. for accessing help files, security documents, and other information of
  402. use both to novices and professionals. His summary of "things you'll
  403. hear about" is a list of people, common terms, or sites that, if read
  404. and remembered, will allow a novice to appear to be a seasoned user
  405. almost immediately.
  406.  
  407. Readers should not be deceived by Kehoe's easy-going and often
  408. humorous style.  Beneath the captivating prose is a serious purpose:
  409. Kehoe successfully brings to life a primer in netology, and he
  410. collapses considerable information into a short space. When finished
  411. with the book, one will be able to distinguish between Z files and Gif
  412. files, roam around archie with confidence, and log on to anonymous
  413. ftp.
  414.  
  415. In the third edition, it would be helpful if some topics were
  416. expanded. Additional addresses could be included of those sites that
  417. have established longevity, Electronic digests such as Telecom Digest
  418. and Cu-Digest might be mentioned, and a chapter on Bitnet, a
  419. widely-used system among academics, might be included. It would also
  420. be helpful to include a separate chapter on IRC, a growing interactive
  421. communication procedure. If the publisher doesn't balk at the
  422. expansion, a longer glossary and an expanded bibliography would also
  423. be helpful (or at least explicit pointers to them).
  424.  
  425. These suggestions aside, ZAI, although a bit pricey at $22, is still a
  426. good value, and the average reader will take away far more than from
  427. books twice the size (or cost). It would make a nifty classroom aid
  428. and should be required reading for anybody before being turned loose
  429. on the nets. In fact, it should be required reading for us all.
  430.  
  431. ------------------------------
  432.  
  433. Date: Mon, 17 Aug 1992 14:48:18 EDT
  434. From: David Sobel <dsobel@WASHOFC.CPSR.ORG>
  435. Subject: File 9--CPSR Letter on Crypto Policy
  436.  
  437.                      CPSR Letter on Crypto Policy
  438.  
  439. The following is the text of a letter Computer Professionals for
  440. Social Responsibility (CPSR) recently sent to Rep. Jack Brooks,
  441. chairman of the House Judiciary Committee.  The letter raises several
  442. issues concerning computer security and cryptography policy.  For
  443. additional information on CPSR's activities in this area, contact
  444. banisar@washofc.cpsr.org.   For information concerning CPSR generally
  445. (including membership information), contact cpsr@csli.stanford.edu.
  446.  
  447. ====================================================
  448.  
  449. August 11, 1992
  450.  
  451. Representative Jack Brooks
  452. Chairman
  453. House Judiciary Committee
  454. 2138 Rayburn House Office Bldg.
  455. Washington, DC 20515-6216
  456.  
  457. Dear Mr. Chairman:
  458.  
  459.      Earlier this year, you held hearings before the Subcommittee on
  460. Economic and Commercial Law on the threat of foreign economic
  461. espionage to U.S. corporations.  Among the issues raised during the
  462. hearings were the future of computer security authority and the
  463. efforts of government agencies to restrict the use of new
  464. technologies, such as cryptography.
  465.  
  466.      As a national organization of computer professionals interested
  467. in the policies surrounding civil liberties and privacy, including
  468. computer security and cryptography, CPSR supports your efforts to
  469. encourage public dialogue of these matters.  Particularly as the
  470. United States becomes more dependent on advanced network technologies,
  471. such as cellular communications, the long-term impact of proposed
  472. restrictions on privacy-enhancing techniques should be carefully
  473. explored in a public forum.
  474.  
  475.      When we had the opportunity to testify before the Subcommittee on
  476. Legislation and National Security in May 1989 on the enforcement of
  477. the Computer Security Act of 1987, we raised a number of these issues.
  478. We write to you now to provide new information about the role of the
  479. National Security Agency in the development of the Digital Signature
  480. Standard and the recent National Security Directive on computer
  481. security authority.  The information that we have gathered suggests
  482. that further hearings are necessary to assess the activities of the
  483. National Security Agency since passage of the Computer Security Act of
  484. 1987.
  485.  
  486. The National Security Agency
  487. and the Digital Signature Standard
  488.  
  489.      Through the Freedom of Information Act, CPSR has recently learned
  490. that the NSA was the driving force behind the selection and
  491. development of the Digital Signature Standard (DSS).  We believe that
  492. the NSA's actions contravene the Computer Security Act of 1987.  We
  493. have also determined that the National Institute of Standards and
  494. Technology (NIST) attempted to shield the NSA's role in the
  495. development of the DSS from public scrutiny.
  496.  
  497.      The Digital Signature Standard will be used for the
  498. authentication of computer messages that travel across the public
  499. computer network.  Its development was closely watched in the computer
  500. science community.  Questions about the factors leading to the
  501. selection of the standard were raised by a Federal Register notice, 56
  502. Fed. Reg. 42, (Aug 30, 1991), in which NIST indicated that it had
  503. considered the impact of the proposed standard on "national security
  504. and law enforcement," though there was no apparent reason why these
  505. factors might be considered in the development of a technical standard
  506. for communications security.
  507.  
  508.      In August 1991, CPSR filed a FOIA request with the National
  509. Institute of Standards and Technology seeking all documentation
  510. relating to the development of the DSS.  NIST denied our request in
  511. its entirety.  The agency did not indicate that they had responsive
  512. documents from the National Security Agency in their files, as they
  513. were required to do under their own regulations.  15 C.F.R. Sec.
  514. 4.6(a)(4) (1992).  In October 1991, we filed a similar request for
  515. documents concerning the development of the DSS with the Department of
  516. Defense.  The Department replied that they were forwarding the request
  517. to the NSA, from whom we never received even an acknowledgement of our
  518. request.
  519.  
  520.      In April 1992, CPSR filed suit against NIST to force disclosure
  521. of the documents.  CPSR v. NIST, et al., Civil Action No. 92-0972-RCL
  522. (D.D.C.).  As
  523.  
  524. a result of that lawsuit, NIST released 140 out of a total of 142
  525. pages.  Among those documents is a memo from Roy Saltman to Lynn
  526. McNulty which suggests that there were better algorithms available
  527. than the one NIST eventually recommended for adoption. If that is so,
  528. why did NIST recommend a standard that its own expert believed was
  529. inferior?
  530.  
  531.      Further, NIST was required under Section 2 of the Computer
  532. Security Act to develop standards and guidelines to "assure the
  533. cost-effective security and privacy of sensitive information in
  534. federal systems." However, the algorithm selected by NIST as the DSS
  535. was purposely designed to minimize privacy protection: its use is
  536. limited to message authentication.  Other algorithms that were
  537. considered by NIST included both the ability to authenticate messages
  538. and the capability to incorporate privacy-enhancing features.  Was
  539. NSA's interest in communication surveillance one of the factors that
  540. lead to the NIST decision to select an algorithm that was useful for
  541. authentication, but not for communications privacy?
  542.  
  543.      Most significantly, NIST also disclosed that 1,138 pages on the
  544. DSS that were created by the NSA were in their files and were being
  545. sent back to the NSA for processing.  Note that only 142 pages of
  546. material were identified as originating with NIST.  In addition, it
  547. appears that the patent for the DSS is filed in the name of an NSA
  548. contractor.
  549.  
  550.      The events surrounding the development of the Digital Signature
  551. Standard warrant further Congressional investigation.  When Congress
  552. passed the Computer Security Act, it sought to return authority for
  553. technical standard-setting to the civilian sector.  It explicitly
  554. rejected the proposition that NSA should have authority for developing
  555. technical guidelines:
  556.  
  557.      Since work on technical standards represents virtually
  558.      all of the research effort being done today, NSA would
  559.      take over virtually the entire computer standards job
  560.      from the [National Institute of Standards and
  561.      Technology].  By putting the NSA in charge of developing
  562.      technical security guidelines (software, hardware,
  563.      communications), [NIST] would be left with the
  564.      responsibility for only administrative and physical
  565.      security measures -- which have generally been done
  566.      years ago.  [NIST], in effect, would on the surface be
  567.      given the responsibility for the computer standards
  568.      program with little to say about the most important part
  569.      of the program -- the technical guidelines developed by
  570.      NSA.
  571.  
  572. Government Operation Committee Report at 25-26, reprinted in 1988 U.S.
  573. Code Cong. and Admin. News at 3177-78.  See also Science Committee
  574. Report at 27, reprinted in 1988 U.S.C.A.N. 3142.
  575.  
  576.      Despite the clear mandate of the Computer Security Act, NSA does,
  577. indeed, appear to have assumed the lead role in the development of the
  578. DSS.  In a letter to MacWeek magazine last fall, NSA's Chief of
  579. Information Policy acknowledged that the Agency "evaluated and
  580. provided candidate algorithms including the one ultimately selected by
  581. NIST."  Letter from Michael S. Conn to Mitch Ratcliffe, Oct. 31, 1991.
  582. By its own admission, NSA not only urged the adoption of the DSS -- it
  583. actually "provided" the standard to NIST.
  584.  
  585.      The development of the DSS is the first real test of the
  586. effectiveness of the Computer Security Act.  If, as appears to be the
  587. case, NSA was able to develop the standard without regard to
  588. recommendations of NIST, then the intent of the Act has clearly been
  589. undermined.
  590.  
  591.      Congress' intent that the standard-setting process be open to
  592. public scrutiny has also been frustrated.  Given the role of NSA in
  593. developing the DSS, and NIST's refusal to open the process to
  594. meaningful public scrutiny, the public's ability to monitor the
  595. effectiveness of the Computer Security Act has been called into
  596. question.
  597.  
  598.      On a related point, we should note that the National Security
  599. Agency also exercised its influence in the development of an important
  600. standard for the digital cellular standards committee.  NSA's
  601. influence was clear in two areas.  First, the NSA ensured that the
  602. privacy features of the proposed standard would be kept secret.  This
  603. effectively prevents public review of the standard and is contrary to
  604. principles of scientific research.
  605.  
  606. The NSA was also responsible for promoting the development of a
  607. standard that is less robust than other standards that might have been
  608. selected.  This is particularly problematic as our country becomes
  609. increasingly dependent on cellular telephone services for routine
  610. business and personal communication.
  611.  
  612.      Considering the recent experience with the DSS and the digital
  613. cellular
  614.  
  615. standard, we can anticipate that future NSA involvement in the
  616. technical standards field will produce two results: (1) diminished
  617. privacy protection for users of new communications technologies, and
  618. (2) restrictions on public access to information about the selection
  619. of technical standards.  The first result will have severe
  620. consequences for the security of our advanced communications
  621. infrastructure.  The second result will restrict our ability to
  622. recognize this problem.
  623.  
  624.      However, these problems were anticipated when Congress first
  625. considered the possible impact of President Reagan's National Security
  626. Decision Directive on computer security authority, and chose to
  627. develop legislation to promote privacy and security and to reverse
  628. efforts to limit public accountability.
  629.  
  630. National Security Directive 42
  631.  
  632.       Congressional enactment of the Computer Security Act was a
  633. response to President Reagan's issuance of National Security Decision
  634. Directive ("NSDD") 145 in September 1984.  It was intended to reverse
  635. an executive policy that enlarged classification authority and
  636. permitted the intelligence community broad say over the development of
  637. technical security standards for unclassified government and
  638. non-government computer systems and networks.  As noted in the
  639. committee report, the original NSDD 145 gave the intelligence
  640. community new authority to set technical standards in the private
  641. sector:
  642.  
  643.      [u]nder this directive, the Department of Defense (DOD)
  644.      was given broad new powers to issue policies and
  645.      standards for the safeguarding of not only classified
  646.      information, but also other information in the civilian
  647.      agencies and private sector which DOD believed should be
  648.      protected.  The National Security Agency (NSA), whose
  649.      primary mission is one of monitoring foreign
  650.      communications, was given the responsibility of
  651.      managing this program on a day-to-day basis.
  652.  
  653. H. Rep. No. 153 (Part 2), 100th Cong., 1st Sess. 6 (1987).  The
  654. legislation was specifically intended to override the Presidential
  655. directive and to "greatly restrict these types of activities by the
  656. military intelligence agencies ... while at the same time providing a
  657. statutory mandate for a strong security program headed up by [NIST], a
  658. civilian agency."  Id. at 7.
  659.  
  660.      President Bush issued National Security Directive ("NSD") 42 on
  661. July 5, 1990.  On July 10, 1990, Assistant Secretary of Defense Duane
  662. P. Andrews testified before the House Subcommittee on Transportation,
  663. Aviation, and Materials on the contents of the revised NSD.  The
  664. Assistant Secretary stated that the "the new policy is fully compliant
  665. with the Computer Security Act of 1987 (and the Warner Amendment) and
  666. clearly delineates the responsibilities within the Federal Government
  667. for national security systems."
  668.  
  669.      On August 27, 1990, CPSR wrote to the Directorate for Freedom of
  670. Information of the Department of Defense and requested a copy of the
  671. revised NSD, which had been described by an administration official at
  672. the July hearing but had not actually been disclosed to the public.
  673. CPSR subsequently sent a request to the National Security Council
  674. seeking the same document.  When both agencies failed to reply in a
  675. timely fashion, CPSR filed suit seeking disclosure of the Directive.
  676. CPSR v. NSC, et al., Civil Action No. 91-0013-TPJ (D.D.C.).
  677.  
  678.      The Directive, which purports to rescind NSDD 145, was recently
  679. disclosed as a result of this litigation CPSR initiated against the
  680. National Security Council.
  681.  
  682.      The text of the Directive raises several questions concerning the
  683. Administration's compliance with the Computer Security Act:
  684.  
  685.      1. The new NSD 42 grants NSA broad authority over "national security
  686. systems."  This phrase is not defined in the Computer Security Act and
  687. raises questions given the expansive interpretation of "national security"
  688. historically employed by the military and intelligence agencies and the
  689. broad scope that such a term might have when applied to computer
  690. systems within the federal government.
  691.  
  692.      If national security now includes international economic activity, as
  693. several witnesses at your hearings suggested, does NSD 42 now grant NSA
  694. computer security authority in the economic realm?  Such a result would
  695. clearly contravene congressional intent and eviscerate the distinction
  696. between civilian and "national security" computer systems.
  697.  
  698.      More critically, the term "national security systems" is used
  699. throughout the document to provide the Director of the National
  700. Security Agency with broad new authority to set technical standards.
  701. Section 7 of NSD 42 states that the Director of the NSA, as "National
  702. Manager for National Security Telecommunications and Information
  703. Systems Security," shall
  704.  
  705.      * * *
  706.  
  707.      c. Conduct, *approve*, or endorse research and
  708.      development of techniques and equipment to secure
  709.      national security systems.
  710.  
  711.      d. Review and *approve* all standards, techniques,
  712.      systems, and equipment, related to the security of
  713.      national security systems.
  714.  
  715.      * * *
  716.  
  717.      h. Operate a central technical center to evaluate and
  718.      *certify* the security of national security
  719.      telecommunications and information systems.
  720.  
  721. (Emphasis added)
  722.  
  723.      Given the recent concern about the role of the National Security
  724. Agency in the development of the Digital Signature Standard, it is our
  725. belief that any standard-setting authority created by NSD 42 should
  726. require the most careful public review.
  727.  
  728.      2. NSD 42 appears to grant the NSA new authority for  information
  729. security.  This is a new area for the agency; NSA's role has
  730. historically been limited to communications security.  Section 4 of
  731. the directive provides as follows:
  732.  
  733.      The National Security Council/Policy Coordinating
  734.      Committee (PCC) for National Security Telecommuni-
  735.      cations, chaired by the Department of Defense, under the
  736.      authority of National Security Directives 1 and 10,
  737.      assumed the responsibility for the National Security
  738.      Telecommunications NSDD 97 Steering Group.  By
  739.      authority of this directive, the PCC for National Security
  740.      Telecommunications is renamed the PCC for National
  741.      Security Telecommunications and Information Systems,
  742.      and shall expand its authority to include the
  743.      responsibilities to protect the government's national
  744.      security telecommunications and information systems.
  745.  
  746. (Emphasis added).
  747.  
  748.      Thus, by its own terms, NSD 42 "expands" DOD's authority to
  749. include "information systems."  What is the significance of this new
  750. authority?  Will it result in military control of systems previously
  751. deemed to be civilian?
  752.  
  753.      3. NSD 42 appears to consolidate NSTISSC (The National Security
  754. Telecommunications and Information Systems Security Committee)
  755. authority for both computer security policy and computer security
  756. budget determinations.
  757.  
  758.      According to section 7 of the revised directive, the National
  759. Manager for NSTISSC shall:
  760.  
  761.      j. Review and assess annually the national security
  762.      telecommunications systems security programs and
  763.      budgets of Executive department and agencies of the U.S.
  764.      Government, and recommend alternatives, where
  765.      appropriate, for the Executive Agent.
  766.  
  767.      NSTISSC has never been given budget review authority for federal
  768. agencies.  This is a power, in the executive branch, that properly
  769. resides in the Office of Management and Budget.  There is an
  770. additional concern that Congress's ability to monitor the activities
  771. of federal agencies may be significantly curtailed if this NSTISSC, an
  772. entity created by presidential directive, is permitted to review
  773. agency budgets in the name of national security.
  774.  
  775.      4. NSD 42 appears to weaken the oversight mechanism established
  776. by the Computer Security Act.  Under the Act, a Computer Systems
  777. Security and Privacy Advisory Board was established to identify
  778. emerging issues, to inform the Secretary of Commerce, and to report
  779. findings to the Congressional Oversight Committees.  Sec. 3, 15 U.S.C.
  780. Sec. 278g-4(b).
  781.  
  782.      However, according to NSD 42, NSTISSC is established "to consider
  783. technical matters and develop operating policies, procedures,
  784. guidelines, instructions, and standards as necessary to implement
  785. provisions of this Directive."  What is the impact of NSTISSC
  786. authority under NSD 42 on the review authority of the Computer Systems
  787. Security and Privacy Advisory Board created by the Computer Security
  788. Act?
  789.  
  790. Conclusion
  791.  
  792.      Five years after passage of the Computer Security Act, questions
  793. remain about the extent of military involvement in civilian and
  794. private sector computer security.  The acknowledged role of the
  795. National Security Agency in the development of the proposed Digital
  796. Signature Standard appears to violate the congressional intent that
  797. NIST, and not NSA, be responsible for developing security standards
  798. for civilian agencies.  The DSS experience suggests that one of the
  799. costs of permitting technical standard setting by the Department of
  800. Defense is a reduction in communications privacy for the public.  The
  801. recently released NSD 42 appears to expands DOD's security authority
  802. in direct contravention of the intent of the Computer Security Act,
  803. again raising questions as to the role of the military in the nation's
  804. communications network.
  805.  
  806.      There are also questions that should be pursued regarding the
  807. National Security Agency's compliance with the Freedom of Information
  808. Act.  Given the NSA's increasing presence in the civilian computing
  809. world, it is simply unacceptable that it should continue to hide its
  810. activities behind a veil of secrecy.  As an agency of the federal
  811. government, the NSA remains accountable to the public for its
  812. activities.
  813.  
  814.      We commend you for opening a public discussion of these important
  815. issues and look forward to additional hearings that might address the
  816. questions we have raised.
  817.  
  818.  
  819.                                                      Sincerely,
  820.  
  821.  
  822.  
  823.                                                      Marc Rotenberg,
  824. Director
  825.                                                      CPSR Washington Office
  826.  
  827. ------------------------------
  828.  
  829. End of Computer Underground Digest #4.38
  830. ************************************
  831.