home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / cud / cud448.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  41.7 KB  |  916 lines
  1. Computer underground Digest    Sun Oct 4, 1992   Volume 4 : Issue 48
  2.  
  3.        Editors: Jim Thomas and Gordon Meyer (TK0JUT2@NIU.BITNET)
  4.        Archivist: Brendan Kehoe
  5.        Shadow-Archivist: Dan Carosone
  6.        Copy Editor: Etaion Shrdleax, Esq.
  7.  
  8. CONTENTS, #4.48 (Oct 4, 1992)
  9. File 1--Wes Morgan's on J Davis & Piracy (Re: CuD 4.46)
  10. File 2--"Whose Internet Is It Anyway?" (Online! Reprint)
  11. File 3--Implementing System Security
  12.  
  13. Cu-Digest is a weekly electronic journal/newsletter. Subscriptions are
  14. available at no cost from tk0jut2@mvs.cso.niu.edu. The editors may be
  15. contacted by voice (815-753-6430), fax (815-753-6302) or U.S. mail at:
  16. Jim Thomas, Department of Sociology, NIU, DeKalb, IL 60115.
  17.  
  18. Issues of CuD can also be found in the Usenet comp.society.cu-digest
  19. news group; on CompuServe in DL0 and DL4 of the IBMBBS SIG, DL1 of
  20. LAWSIG, and DL0 and DL12 of TELECOM; on Genie in the PF*NPC RT
  21. libraries; from America Online in the PC Telecom forum under
  22. "computing newsletters;" on the PC-EXEC BBS at (414) 789-4210; and by
  23. anonymous ftp from ftp.eff.org (192.88.144.4) and ftp.ee.mu.oz.au
  24. Back issues also may be obtained from the mail server at
  25. mailserv@batpad.lgb.ca.us
  26. European distributor: ComNet in Luxembourg BBS (++352) 466893.
  27.  
  28. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  29. information among computerists and to the presentation and debate of
  30. diverse views.  CuD material may  be reprinted for non-profit as long
  31. as the source is cited.  Some authors do copyright their material, and
  32. they should be contacted for reprint permission.  It is assumed that
  33. non-personal mail to the moderators may be reprinted unless otherwise
  34. specified.  Readers are encouraged to submit reasoned articles
  35. relating to computer culture and communication.  Articles are
  36. preferred to short responses.  Please avoid quoting previous posts
  37. unless absolutely necessary.
  38.  
  39. DISCLAIMER: The views represented herein do not necessarily represent
  40.             the views of the moderators. Digest contributors assume all
  41.             responsibility for ensuring that articles submitted do not
  42.             violate copyright protections.
  43.  
  44. ----------------------------------------------------------------------
  45.  
  46. Date: Mon, 28 Sep 92 10:10:41 EDT
  47. From: morgan@ENGR.UKY.EDU(Wes Morgan)
  48. Subject: File 1--Wes Morgan's on J Davis & Piracy (Re: CuD 4.46)
  49.  
  50. In CuD #4.46, Jim Davis writes:
  51.  
  52. >First, the reality of software production in the late 20th century is
  53. >much different than this image. Most software production is NOT a
  54. >cottage industry.
  55.  
  56. Agreed, but that doesn't really change my arguments very much.
  57.  
  58. >The industry has quickly matured in the past few
  59. >years into a typical monopolized industry. Most patent filings are by
  60. >corporations. Most software is not purchased from the individuals who
  61. >create the software, it is purchased from companies who have required
  62. >their engineers to sign away any rights to whatever they come up with,
  63. >AS A CONDITION OF EMPLOYMENT. So IN MOST CASES, the creator has been
  64. >separated from the results of his or her creativity.
  65.  
  66. Isn't this true of almost any commercial concern?  Toyota engineers
  67. sign away their rights to the design of the 1993 Camry, and contribu-
  68. ting editors sign away their rights to their editorials in the Lexington
  69. Herald-Leader (if printed, unsigned, as the opinion of the paper).  Yet,
  70. these individuals still profit from their work; the engineers will receive
  71. raises/bonuses if their designs are commercially successful, and the editors
  72. of the Herald-Leader receive greater compensation if the paper's subscrip-
  73. tions increase.  What's the difference?
  74.  
  75. >But the image of
  76. >the sole-proprietor hacker is raised up as a shield by the software
  77. >industry -- the public can take pity on the "defenseless" hacker;
  78. >people don't take pity on a Microsoft or an IBM.
  79.  
  80. It isn't a question of "pity", nor have I advanced it as such.
  81.  
  82. My argument is very simple.  You do not have the moral, ethical, or legal
  83. right to take someone else's explicit design (be it computer software, a
  84. piece of sculpture, or a 1993 Camry), duplicate it, and give the copies away.
  85.  
  86. >Here we get
  87. >to the heart of the matter -- we're really talking about the "rights"
  88. >of software corporations here; not the hacker, not the consumer, and
  89. >not society.
  90.  
  91. So, the people who constitute a corporation are now in a separate class?
  92.  
  93. >Nowhere do I argue that the people who write software should not be
  94. >compensated for their effort. Of course people should be compensated!
  95.  
  96. You say that people should be compensated, yet you wish to remove their
  97. largest/best-protected source of compensation -- contract royalties from
  98. legitimate purchases.
  99.  
  100. >The question is how, and how much.
  101.  
  102. "how much"?  This almost sounds like a thinly disguised slam on software
  103. prices........
  104.  
  105. >Paycheck dollars from a
  106. >corporation, a university, a cooperative or the government all spend
  107. >equally as well.
  108.  
  109. Of course, one's paycheck is usually proportional to the success of
  110. one's efforts.  I can't imagine anyone increasing an employee's pay
  111. for "good societal benefits" of their work (with the exception of
  112. the fine people in the social work careers, of course....).
  113.  
  114. >But the social benefits from the programmer's efforts
  115. >are constrained by forcing them through the legal contortions of
  116. >intellectual property rights and private ownership.
  117.  
  118. If the programmer (or corporation) wants to reap social benefits, they'll
  119. place the program in the public domain (or provide 'student editions', or
  120. educational pricing, etc.).  It's *their* choice, not yours.
  121.  
  122. >The model that we
  123. >have been using is private speculation for private gain, made possible
  124. >via exclusive monopolies granted by the government, enforced by law. I
  125. >am saying that other successful models exist and have generated useful
  126. >products.
  127.  
  128. Many such models exist; however, you would force everyone into the same
  129. model.  Neither of us can dictate models to the developer.
  130.  
  131. >The subtext in the "I deserve a reward" argument is that
  132. >someone who comes up with a really useful idea should get a special
  133. >reward. Fine. I have no problem with public recognition of significant
  134. >contribution, even including a cash award. Again, this doesn't
  135. >_require_ intellectual property rights.
  136.  
  137. I can see it now -- "You've written a wonderful program!  Here's a one-
  138. time cash award of $XXXX, and we're going to spread your program around
  139. the world, let other people use it to make more money, and you won't reap
  140. any further benefit from it."
  141.  
  142. >Morgan says that
  143. >"*companies* create for financial gain" (which I certainly agree
  144. >with), but puts this forward as if the protection of *their* financial
  145. >gain somehow justifies the rest of us having to suffer under
  146. >intellectual property rights.
  147.  
  148. Let's try a parallel (this usually degenerates into a flamefest, but...):
  149.  
  150.     - You (Mr. Davis) write a book entitled "Intellectual Property in the
  151.       Information Age"
  152.     - Prentice-Hall, in their wisdom, deems it worthy; a First Edition is
  153.       prepared, published, and placed on sale.
  154.     - I purchase one copy, duplicate it 500 times, and distribute it to
  155.       a conference *without your permission*.
  156.     - Your book is included in the conference Proceedings, and is made
  157.       available to the public; again, neither you nor PH recognize any
  158.       compensation.
  159.  
  160. Can you honestly say that neither you nor Prentice-Hall will be concerned?
  161.  
  162. I have found that many people (NOT, necessarily, Mr. Davis) who argue against
  163. intellectual property rights have never been in a position to earn compensation
  164. from their personal work(s).  I have been in such a position, and it definitely
  165. changes one's opinions.  (While my experience in this area does not lie within
  166. the realm of computer software, I believe that my experience is valid.)
  167.  
  168. >Corporations are not necessary for the
  169. >generation of the software we need.
  170.  
  171. That's well and good; you (and anyone else) is quite free to design,
  172. implement, test, debug, document, and distribute any software you wish.
  173.  
  174. >Harlan Cleveland, .....wrote.....:
  175. >"Is the doctrine that information is owned by its
  176. >originator (or compiler) necessary to make sure that Americans remain
  177. >intellectually creative?" He answers in the negative, citing the
  178. >healthy public sector R&D efforts in space exploration, environmental
  179. >protection, weather forecasting and the control of infectious diseases
  180. >as counter examples.
  181.  
  182. Hmmm....."space exploration" == "NASA"
  183.          "environmental protection" == "EPA"
  184.      "weather forecasting" == "NOAA"
  185.      "infectious diseases" == "PHS/HHS/CDC"
  186.  
  187. "public sector" seems to melt into "government agencies".  If you (or
  188. Mr. Cleveland) can provide examples of such work which are outside the
  189. governmental realm, I'd like to know about it.  Of course, a great deal
  190. of university research takes place under government grants; we might
  191. even argue that universities are another arm of the government in this
  192. respect.
  193.  
  194. I'm not familiar with any large-scale research which is truly in the
  195. "public sector".
  196.  
  197. >Fourth, the notion of a solitary inventor is a popular falsehood.  No
  198. >one creates in a vacuum.
  199.  
  200. Agreed.
  201.  
  202. >The programmer's skills and creativity rest
  203. >upon past inventions and discoveries;
  204.  
  205. This is true of almost any invention, discovery, or creation; would you
  206. apply your arguments to cars, calculators, or novels?  Heck, most musical
  207. compositions are based on the ancient notions of scales, keys, and modes;
  208. would you throw *all* music into the public domain, too?
  209.  
  210. >publicly supported education;
  211.  
  212. It is quite possible to complete one's education without setting foot
  213. in a "publicly supported" school.
  214.  
  215. >the other people who produced the hardware, the manuals and textbooks
  216. >and the development tools; as well as the artists and accompanying
  217. >infrastructure who may have inspired or influenced the programmer.
  218.  
  219. You're absolutely correct, but it's still the programmer's invention
  220. that made it possible.
  221.  
  222. >In
  223. >this sense, the developer's product is a social product, and
  224. >consequently should redound to the benefit of all of society.
  225.  
  226. Again, are you willing to apply this notion to *every* invention,
  227. development, or creation?  I still don't believe that computer
  228. software is inherently different from any other medium.
  229.  
  230. >The
  231. >practical problem of compensation for effort and reward for
  232. >outstanding achievement can be addressed outside of "intellectual
  233. >property rights."
  234.  
  235. I'd like to see some concrete ideas about the implementation of this
  236. "compensation....and reward".  You've mentioned it several times, but
  237. you haven't presented any practical implementations.
  238.  
  239. >The public
  240. >is already heavily involved in software production, but as is too
  241. >often the case, the public finances something, and then turns it over
  242. >to private corporations to reap all of the profits from it.
  243.  
  244. 1) The "public" doesn't have to "turn it over" to the private sector.
  245.  
  246. 2) Most programmers who develop something on their own (as opposed to
  247.    "staff programmers" at a software company) usually recognize compen-
  248.    sation in either lump-sum payment(s), increased salaries, or royalties.
  249.  
  250. 3) If I decide to market my own software product, haven't I just become
  251.    one of your much-villified "private corporations"?
  252.  
  253. >Re: my point that intellectual property rights prevent intellectual
  254. >effort, including software development, from maximizing its social
  255. >benefit: If a copy of Lotus 1-2-3 does have use for people, and people
  256. >are prevented from using it (e.g., because of the price barrier), then
  257. >its potential benefit is constricted.
  258.  
  259. You didn't address my mention of "public access" computing sites, such
  260. as those found in many schools and public libraries.  It would seem that
  261. this growing "public access" facility would render your "price barrier"
  262. irrelevant.
  263.  
  264. >Mr. Woodhead says that no companies specialize in educational
  265. >software. If this in fact is the case, then this only reinforces the
  266. >argument for the necessity of some sort of social or public or
  267. >community (or whatever you want to call it) funding of educational
  268. >software development.
  269.  
  270. Just go ahead and say "government funding"; you've been hinting around
  271. the phrase for several paragraphs.
  272.  
  273. >Re: Mr. Morgan's notion of more aggressively extending patents to
  274. >software: it's already taking place.
  275.  
  276. Good; I'll look at the references you mentioned.
  277.  
  278. >17 years (typical for
  279. >patents) is an eternity in the evolution of software (as is 10 or 20
  280. >years, as suggested by Mr. Morgan).
  281.  
  282. OK, let's change it to 5; we're speaking rhetorically, right?  8)
  283.  
  284. >As a sidenote, even the SPA has
  285. >opposed software patents.
  286.  
  287. Of course they oppose it!  It cuts into their profits!  I've never
  288. said that current pricing is fair.......
  289.  
  290. >Re: fair use -- the point I was trying to make is that the concept of
  291. >"fair use" has EVOLVED and EXPANDED with increasing ability to easily
  292. >duplicate various media.
  293.  
  294. How, exactly, has it "evolved and expanded"?
  295.  
  296. >"Taping of television programs for personal
  297. >use appears to have become accepted as fair use of copyright material.
  298.  
  299. "appears to have"?  It was explicitly affirmed in several court decisions.
  300.  
  301. >The
  302. >rationale of the court must have been the unlikely efficacy of trying
  303. >to put Pandora back into the box and the fact that no commercial use
  304. >of the tapes was either alleged or documented."
  305.  
  306. Bingo!  The "personal use" factor was a determinant in each decision.
  307. You'll notice that the courts did NOT affirm any redistribution rights,
  308. either for-profit or for free.....
  309.  
  310. >The point is that legal constructs like "fair
  311. >use" are not brought to us by Moses -- they are determined by the
  312. >balance of social forces through legal, political, economic and other
  313. >forms of struggle. And therefore they are something which we can
  314. >affect.
  315.  
  316. Agreed!
  317.  
  318. I would enthusiastically support a "free for educational purposes" waiver of
  319. licensing.  I'm the Systems Administrator for the UK College of Engineering;
  320. we spend a great deal of money on licenses, and some vendors have my undying
  321. gratitude (Swanson Analysis, MathWorks, and CADKEY, are you listening?).
  322.  
  323. Let me ask you a simple question:
  324.  
  325. You have championed (and rightfully so) the cause of "educational computing";
  326. you've used education as a bulwark of your arguments.  However, would you
  327. voluntarily restrict your use of "free software" to educational purposes?
  328. If WordPerfect gave you 10 copies for your class, would you use it to write
  329. your next book?  Would you sell that book?
  330.  
  331. >From: peter@FICC.FERRANTI.COM(Peter da Silva)
  332. >Subject--File 2--Response to Davis/Piracy (1)
  333. >
  334. >Re: Wes Morgan's article in CuD #4.43
  335. >
  336. >I largely agree with most of his arguments, but I would like to point
  337. >out one mistake... he says:
  338. >
  339. >    "The whole concept of copyrights ... is based on the notion
  340. >     that the creator ... is entitled to some compensation for his
  341. >     effort"
  342. >
  343. >This is just not true. The whole concept of copyrights and patents in
  344. >the United States is based on the notion that by making intellectual
  345. >property a salable commodity subject to market forces, more and better
  346. >intellectual property will be created and it will be distributed more
  347. >freely.
  348.  
  349. Absolutely!  I think we said the same thing; I just didn't extend my
  350. statement far enough.  (My statement was based on my experience in
  351. more "artistic" fields, namely music; the market forces Peter mentions
  352. are less dominant in that field.)
  353.  
  354. Thanks for clarifying, Peter.
  355.  
  356. >And, you know what, it works. There's no better refutation, nor need
  357. >there be a better refutation, of the argument that piracy promotes
  358. >openness. It doesn't. It promotes encrypted software, dongles, and
  359. >trade secrets. It discourages publication. It reduces the incentive to
  360. >create viable products of commercial quality. These are not the result
  361. >of intellectual property laws, they're the result of the failure to
  362. >enforce intellectual property laws.
  363.  
  364. Breakaway!  Shot!  Goal!
  365.  
  366. Well said.
  367.  
  368. >From: "Michael Stack" <stack@STARNINE.COM>
  369. >Subject--File 3--Response to Davis/Piracy (2)
  370. >
  371. >They both seem to view copyright and
  372. >patents as a system guaranteeing a right to profit overlooking the
  373. >original constitutional intent to "promote the progress of Science and
  374. >the useful Arts."
  375.  
  376. Here's the relevant citation:
  377.  
  378. [Article I, Section 8, US Constitution]
  379.  
  380. ...To promote the progress of science and useful arts, by securing for
  381.    limited times to authors and inventors the exclusive right to their
  382.    respective writings and discoveries;
  383.  
  384. We may argue that the current implementation of copyrights and patents
  385. is in need of overhaul/modification, but you cannot evade the Constitutional
  386. "exclusive right" for inventors and authors.
  387.  
  388. I'd also argue that the very presence of hundreds of software companies
  389. validates the "progress of science and useful arts"; I receive informa-
  390. tion on new software releases on an almost-daily basis.
  391.  
  392. >To be able to accuse someone of stealing or to claim something
  393. >as property (and to subsequently grant licenses on how this property
  394. >is to be used) implies there exists rights of ownership in the first
  395. >place.   The crux of Mr. Davis's article questions this right.  The
  396. >respondents by-pass this altogether.
  397.  
  398. I didn't bypass it at all; in fact, my entire argument is based on
  399. the premise of "I made it, and it's mine!".  8)
  400.  
  401. >Their articles are but
  402. >explanations of the existing order in case we didn't already
  403. >understand.
  404.  
  405. The "existing order" is entirely Constitutional.  Mr. Davis' questions
  406. bypass the Constitutional provisions of "exclusive rights" for creations
  407. and inventions.  Would you support a Constitutional amendment to revoke
  408. those "exclusive rights"?
  409.  
  410. Keep in mind that any such action would invalidate *all* trademarks,
  411. copyrights, and patents.  None of the parties in this discussion have
  412. provided justification for applying different standards to computer
  413. software, so it's in the same boat as any other "writings and discoveries".
  414.  
  415. >The fact that "alls not well in the state of Denmark"
  416. >in itself punches large holes in the system the two respondents
  417. >defend.
  418.  
  419. >Both belittle the spectre of "police state" raised by Mr. Davis.
  420. >Amazingly, this is done within the pages of a publication which has
  421. >spotlighted many instances of "police-state" behavior: doors
  422. >kicked-in in the early hours of morning, guns drawn, threats,
  423. >equipment confiscated (permanently?), "guilty till proved innocent,"
  424. >etc.
  425.  
  426. I didn't "belittle" the police-state notion at all!
  427.  
  428. Of course, those are matters of criminal law, not copyright infringement.
  429. I have yet to hear mention of such a "police state" approach to copyrights.
  430.  
  431. >--On the one hand you argue "If I pour 4 years of my life into the
  432. >development of SnarkleFlex, I DESERVE to profit from it"  but then you
  433. >append a caveat which undoes this assertion "(assuming that people
  434. >want to purchase/use it)."  Doesn't this condition make your
  435. >capitalized assertion self-destruct?
  436.  
  437. How about "I deserve the OPPORTUNITY to profit from it"?
  438.  
  439. >Do you deserve to be rewarded
  440. >for your work, yes or no,  or is it to be let dependent on market
  441. >caprice?
  442.  
  443. Market caprice, absolutely!  That's the basis for ANYONE's living; one
  444. must provide a service (or goods) which people need or want.  If there
  445. is no market for your skills, you get to find another job.  That's self-
  446. determination.
  447.  
  448. >--You ask "Would you make a copy of Webster's Dictionary and give it
  449. >to a friend?" and you sport(!) "Xerox(tm)[ing] your entire printed
  450. >library for me..." "...would be just fine, right?"  Yes, it would --
  451. >if the library and dictionary were in a readily distributable form and
  452. >the copy cost me near nothing i.e. in digital form.  I'd be happy to
  453. >give you a copy.   I could give it to anyone.  As to how I'd have a
  454. >library in the first place we can discuss (perhaps outside of this
  455. >forum).
  456.  
  457. "how I'd have a library......we can discuss.....outside of this forum"?
  458.  
  459. Oh, my!  Let's translate this a bit.....
  460.  
  461.     "Sure, I'll give you a copy; just don't ask where I got it."
  462.  
  463. >Michael Goldhaber in his book Reinventing Technology states "Since new
  464. >information technology includes easy ways of reproducing information,
  465. >the existence of these [intellectual property] laws effectively
  466. >curtail the widest possible spread of this new form of wealth."
  467.  
  468. Your alternative is anarchic, is it not?  I'll ask you a simple question,
  469. one for which no one has provided a suitable answer:
  470.  
  471.     If I choose to make my living as a software author (either "on
  472.     my own" or as part of a company/corporation), how will your
  473.     proposed "freedom of information" help me earn a living?  Will
  474.     it, in fact, hinder me in earning a living?
  475.  
  476. --Wes
  477.  
  478. ------------------------------
  479.  
  480. Date: Thu,  1 Oct 92 08:58:29 EDT
  481. From: Rich=Gautier%SETA%DRC@S1.DRC.COM
  482. Subject: File 2--"Whose Internet Is It Anyway?" (Online! Reprint)
  483.  
  484. This entire article was re-typed by Richard A. Gautier
  485. (RG%SETA%DRC@S1.DRC.COM).  If there are any SPELLING errors, they are
  486. probably his.  If there are grammar errors, they are Dr. Grundners, or
  487. the editors.  Mr. Gautier HAS obtained permission to electronically
  488. disseminate this article from ngarman@tso.uc.edu who represents ONLINE
  489. magazine.  Her comment was that this article really does belong in the
  490. electronic (Internet) forum, and that it was really a shame that I had
  491. to ask with an article like this.
  492.  
  493.             "WHOSE INTERNET IS IT ANYWAY? -- A CHALLENGE"
  494.                           By Dr. Tom Grunder
  495.            From--Online! Magazine, July 1992, pp. 6-7, 10.
  496.  
  497.     It began innocently enough.  I was rummaging around the Internet
  498. looking for some NREN information to include in a proposal I was
  499. writing, when I came across a rather one-sided "debate."
  500.  
  501.     It was a string of messages written mostly by people from academic
  502. computing centers bemoaning the fact that NREN _might_ be made
  503. available to K-12 schools, businesses, libraries, and (horror of
  504. horrors) even to the general public.  They were beside themselves.
  505. "The Internet and the NREN are supposed to be for academic and
  506. research purposes," they said.  "What's going to happen if we allow
  507. all these other people on?  There's not going to be enough bandwidth.
  508. Transmission time will suffer.  Before you know it, the NREN is going
  509. to be just as bad as the Internet is now."
  510.  
  511.     As the messages came in, their outrage seemed to build.  So did
  512. mine.
  513.  
  514.     Finally I came across a message that simply read: "Why should we
  515. let them use it at all???" and suddenly the terrible mistake we've
  516. been making became clear.  We in the non-university networking
  517. community have been framing the wrong issue.
  518.  
  519.     Until now, the issue has been whether K-12 schools and community
  520. users are going to have access to the NREN.  It should have been
  521. whether K-12 and community users are going to
  522. _allow_the_academic_centers_ to access the NREN.  Somehow we had
  523. gotten our priorities crossed.
  524.  
  525.     Who do they think is _paying_ for all this?  When the NREN comes
  526. online, the money to build it will be coming from that apparently
  527. forgotten group of people called "taxpayers."  Who do they think is
  528. paying for the current Internet backbone?  The National Science
  529. Foundation?  Wrong!  It's the taxpayers.  Who do they think is paying
  530. for those mid-level networks, and for the high-speed data lines to
  531. connect their colleges to those networks, and for the nice
  532. high-powered servers that makes the connection so easy?  Do they think
  533. that money is coming from good ole Siwash State U.?  If so, then who,
  534. pray tell, is funding Siwash State?  Right again.  Taxpayers!
  535.  
  536.     So now we come along, with hat in hand, begging for permission to
  537. have minimal access to the Internet and to be a part of NREN.  Why?
  538. So we can set-up K-12 networks that will allow the _taxpayers'_ kids
  539. to learn the information age skills they will need to be competitive
  540. in the 21st century.  So we can provide the _taxpayers_ access to
  541. electronic mail, government information, and other resources via
  542. libraries and community computer systems.  So we can provide some
  543. piece of the information age to the people who paid for it in the
  544. first place!  And the academics treat us like beggars in a subway
  545. station.
  546.  
  547.     _Absurd!_ Absurd, but not surprising.
  548.  
  549.     To understand this attitude, you have to keep in mind that, in
  550. most locations, these university computing centers are designed for
  551. the people who work there plus 35 of their buddies.  No one else -
  552. including the other students and faculty on their own campuses - need
  553. apply.  In most locations, students or faculty members seeking to use
  554. the Internet are given a blinking cursor that dares them to come up
  555. with some combination of nonsense syllables to make it do something.
  556. That's it.  No help.  No training.  No assistance.  Nothing.  It is
  557. not surprising that the idea of letting the community have access to
  558. this preciously guarded resource would send chills up their spines.
  559.  
  560.     But, in many ways, we in the non-academic computing circles have
  561. made our share of mistakes as well.  Not only have we been apologetic
  562. in our claims to this national resource, but we have engaged in what I
  563. call the "Balkanization" of the information age - the fragmentation of
  564. our efforts into dozens of competing networks and special interest
  565. systems.  We should be working toward a common framework with enough
  566. "conceptual bandwidth" to include everyone.
  567.  
  568.     As a function of developing my organization, the National Public
  569. Telecomputing Network, I am asked to speak at a lot of conventions and
  570. conferences; and what I find at those meetings has become quite
  571. predictable.  Everyone is excited about computer networking.  When I
  572. go to a K-12 convention; everyone is talking about K-12 networks.
  573. When I go to a library conference; everyone is talking about library
  574. networks, and so on - all in direct competition with each other.
  575.  
  576.     It doesn't make sense.
  577.  
  578.     Let's say you are proposing a statewide network that will link
  579. your libraries together, complete with Internet connections - the
  580. whole bit.  And let's say you take it to your state capital and,
  581. amazingly enough, you get it funded.  Now, what happens if a month
  582. later the K-12 people (or someone else) shows up with a proposal to
  583. fund their network; or worse, what happens if they get there a month
  584. _before_ you?  Some one must lose; it is inherent in that kind of
  585. competitive process.
  586.  
  587.     But our mistakes do not end with the competition for monies.  They
  588. run deeper than that.  We have also failed to come up with a
  589. comprehensive plan to show how any of our ideas fit together.  Let me
  590. use the K-12 initiatives as an example.
  591.  
  592.     I have seen a number of proposals going around that (depending on
  593. the proposal) would provide every school in the city/state/country
  594. with a connection to the Internet - so every child will have access to
  595. the information resources to be found there.  That's fine.  In fact,
  596. on the surface, it sounds wonderful.
  597.  
  598.     But what happens _after_ the student graduates from high school or
  599. college?  Do we toss him or her out into a world where those resources
  600. are utterly unavailable?  If so,
  601. _what's_the_point_of_training_them_on_the_resources_
  602. in_the_first_place?  It's like having mandatory driver education in a
  603. world without cars!
  604.  
  605.     It doesn't make sense.  We create plan after plan, proposal after
  606. proposal, with no common conceptual framework to tie them together.
  607.  
  608.     I believe we must start developing our programs in the context of
  609. community-wide information systems.  The guy who runs the corner gas
  610. station (and who was in a K-12 class only a few years ago) should have
  611. at least as much information access as the K-12 students who are in
  612. class right now.  But we can't do that; we can't achieve it; unless we
  613. can band together somehow to speak with one voice.
  614.  
  615.     And...we need leadership.
  616.  
  617.     Where is that leadership going to come from?  One logical source
  618. is the library community.  But I don't see that happening.  What I see
  619. is a profession divided.  Half the librarians I've talked to see this
  620. network technology as exactly the kind of thing libraries should be
  621. embracing; and the other half (usually higher-level officials) see it
  622. as the work of the devil - with no detectable middle ground.
  623.  
  624.     We can't continue without leadership, without a plan, and in
  625. direct competition with each other.  Perhaps what is needed is a plot
  626. of ground that stands outside existing territory, a place where
  627. everyone can stand, and around which we can all rally.
  628.  
  629.     Let me try out an idea on you.
  630.  
  631.     Suppose a super-fund was created for the development of a
  632. nationwide network of computerized community information systems.
  633. These systems would be free to the user in the same sense that the
  634. public library is free to its patrons.  Of equal importance, each of
  635. these systems would have a place on them for the library community,
  636. the K-12 community, the medical community, government officials, and
  637. anyone else who wanted to use it.  In addition, each system would be
  638. linked by, and would provide its users with controlled access to, the
  639. Internet/NREN.  From a technological standpoint, there are no barriers
  640. to the development of these systems.  Indeed, there currently exist
  641. several pilot systems that are already accomplishing all the above and
  642. more.
  643.  
  644.     How would we fund it?  One way would be to ask every Regional Bell
  645. Operating Company to contribute, along with every high-tech
  646. corporation, the federal government, every state government, every
  647. major city, and every major foundation.  If necessary, we would
  648. approach the various state Public Utility Commissions to ask that a
  649. surtax be placed on phone company data line profits.  The fund would
  650. be charged with developing a minimum of 100 community computers
  651. covering all 50 states by the year 2000.  Initial cost would be about
  652. $30 million dollars.
  653.  
  654.     Could it be done?  Without any doubt, yes.  We've done it before.
  655.     Most people do not realize that 100 years ago there was no such
  656.     thing as the public library as we know it.  But we reached the
  657.     point in this country where literacy levels got high enough (and
  658.     the cost of producing books cheap enough) that the public library
  659.     became feasible.  People across the country began to come together
  660.     around the idea of free public access to the printed word; and the
  661.     result was a legacy from which everyone reading this article has
  662.     benefitted.
  663.  
  664.     What I am saying, is that in this century _computer_ literacy
  665. levels have gotten high enough (and the cost of computer equipment
  666. cheap enough) that it is time from a similar movement to form around
  667. the development of free public-access computerized community
  668. information systems.  It is time for us to stop being apologetic, and
  669. to stop competing wih each other.  In short, it is time for us to
  670. leave a legacy of our own.
  671.  
  672.     Do you see what I am saying?
  673.     Would you support such a plan?  I mean, would you support it
  674.     personally?
  675.     Would you work for it?
  676.     Would your company or institution support it?
  677.     Would they contribute to it?  If so, let me know.
  678.  
  679.     Send me electronic mail, send me snailmail, but let me know.  The
  680. key here is not the technology, that's already in place, it is "wil."
  681. Do we have the will to do it?
  682.  
  683.     The issue is no longer _whether_ we will enter an information age.
  684. That part has been settled.  We have.  What is at issue is whether the
  685. information age is something that happens _to_ us, or something that
  686. happens _for_ us.
  687.  
  688.     Fortunately, that decision still remains in our hands.
  689.  
  690. ++++++++++++++++
  691.  
  692.     _TOM_GRUNDNER_ is the president of the National Public
  693. Telecomputing Network, and the founder of the Cleveland Freenet.  The
  694. freenets are community information systems, located in several Ohio
  695. communities and in Peoria, Illinois.  A column in DATABASE (April
  696. 1988, pp. 97-99) by Steve Cisler describes the Cleveland Freenet in
  697. its early stages.
  698.  
  699.     Communications to the author should be addressed to Dr. Tom
  700. Grundner, National Public Telecomputing Network, Box 1987, Cleveland,
  701. OH 44106; 216/368-2733; Internet-aa001@cleveland.freenet.edu;
  702.  BITNET-aa001%cleveland.freenet.edu@cunyvm. (Editor's Note: Write to
  703. Tom Grundner, or write to ONLINE (ngarman@tso.uc.edu), to answer this
  704. challenge and comment on this controversial issue facing the library
  705. and online community.  ONLINE will publish as many notes and letters
  706. as we have room for in coming issues.  --NG)
  707.  
  708. ------------------------------
  709.  
  710. Date: 25 Sep 1992 11:07:31 -0700 (MST)
  711. From: RayK <KAPLAN%UAMIS@ARIZVMS.BITNET>
  712. Subject: File 3--Implementing System Security
  713.  
  714.   Toward the Implementation of a System and Network Security-Related
  715.         Incident Tracking and Vulnerability Reporting Database
  716.                             by Ray Kaplan
  717.  
  718. Consider the need for a system and network security-related incident
  719. tracking and vulnerability reporting database (herein referred to as
  720. ITVRD for convenience).
  721.  
  722. Such a database might be a relational combination of reported
  723. vulnerabilities and incidents that could answer queries such as "show
  724. me recorded instances of compromise for version xxx of operating
  725. system yyy on zzz hardware" or "show me a list of known
  726. vulnerabilities of the login sequence for version xxx of operating
  727. system yyy on zzz hardware" or even, "show me a list of reported
  728. compromises of version AAA of third party product BBB  running under
  729. version xxx of operating system yyy on zzz hardware".  We might even
  730. be able to ask "show me known instances of password guessing attacks
  731. on version xxx of operating system yyy on zzz hardware at banks."
  732.  
  733. It is widely known that the flow of security-related information is
  734. carefully controlled and that such information is not readily or
  735. widely available to those who need it to protect their systems and
  736. networks.  There is plenty of information available - but, its
  737. availability seems limited to the underground.  While this apparently
  738. serves those who know and control this information, but it does little
  739. to help those who are trying to protect their systems and networks.
  740. Security by obscurity is widely known to be a flawed concept.  My
  741. argument would be that this game of security incident/vulnerability
  742. tracking is a lot like dealing with the AIDs crisis.  If we don't
  743. start talking openly about it, we are all in trouble(1).
  744.  
  745. While some of the various computer incident handling capabilities do
  746. an excellent job of distributing SOME significant vulnerability and
  747. incident information publicly(2), VERY LITTLE detailed information
  748. gets disseminated in comparison to the number of known vulnerabilities
  749. and known incidents.  In addition, those who are not connected to the
  750. Internet have a difficult time staying abreast of those incidents that
  751. are reported.  Worse yet, I speculate that the majority of systems and
  752. private networks that exist in the world today are simply not even
  753. tapped into the meager flow of security-related information that does
  754. exist.
  755.  
  756. I believe that this sad situation is due to the politics of security
  757. vulnerability information between vendors in the market(3), and an
  758. inherent desire to control the distribution of this information by the
  759. portion of the security community that has placed themselves in charge
  760. of it.  As proof of this, consider that prototypes of system and
  761. network security-related ITVRDs are known to have been funded by the
  762. government, but were stopped when the funding agency wanted to
  763. classify the effort making it publicly inaccessible(4).  What we - as
  764. a community - are left with is an odd situation where the best
  765. collections of vulnerability information are to be found only on the
  766. clandestine sources of the world's underground computer community.
  767.  
  768. At this writing, the Defense Advanced Research Projects Agency's
  769. (DARPA) Computer Emergency Response Team (CERT) is reporting on the
  770. order of 3 incidents per day, but we - as a community - hear very
  771. little about the exact nature of these problems, how they can be used
  772. against our systems or their fixes. While the relatively new Forum of
  773. Incident Response and Security Teams (FIRST) is working on the
  774. problems associated with the design and implementation of a ITVRD,
  775. their discussions are carefully restricted to their members and this
  776. topic has been under discussion for quite a long time with no
  777. apparent movement.  In addition, most of us are not members of FIRST,
  778. so we can't contribute to the discussions even if we wanted to do so.
  779.  
  780. Since I know that the formation of a widely available ITVRD is a very,
  781. very emotional issue in the security community and since I am not
  782. willing to suggest that I have the best design and implementation plan
  783. for it in mind - I'm simply throwing the question out into the
  784. community for an open, vigorous debate: how can a system and network
  785. security-related ITVRD be implemented - or should it even be
  786. implemented?  Based on my recent, unsuccessful experiences in trying
  787. to get members of the legitimate security community at large to talk
  788. to members of the world's computer underground, I have decided that it
  789. is not prudent for me to proceed with the design and implementation of
  790. a ITVRD until some consensus in the community is reached about how -
  791. or even if - such a thing should be done.
  792.  
  793. As a seed for the debate, here are some of the questions surrounding
  794. the implementation of a ITVRD that I think need vigorous discussion by
  795. the community.  Please consider them carefully and offer us your
  796. thoughts.  Post your reply to this channel or send it to me at any of
  797. the addresses below and I will collect it, combine it with others that
  798. I receive and report it in some regular manner which is yet to be
  799. determined.
  800.  
  801. A Myriad of hard questions:
  802.  
  803. What of the morals and ethics questions that surround the
  804. establishment of a widely available ITVRD?  While this is not a new
  805. idea(5), we are talking about the morals and ethics of making an ITVRD
  806. available to anyone who wants access to it.  This necessarily includes
  807. those that are not members of the legitimate security community.  Even
  808. though information such as that which an ITVRD would hold is readily
  809. available now, it takes a lot of time and energy to find it. An ITVRD
  810. would make incident and vulnerability information trivially available
  811.  
  812. to anyone who wanted it.
  813.  
  814. How should an ITVRD be accessible?  Should it be a database on the
  815. network that can be accessed by simply sending a well-formed query via
  816. electronic mail to a database server?  Should an ITVRD allow
  817. interactive access?  Should it be available via a toll-free, 1-800
  818. number?  A pay per-call, 1-900 number?
  819.  
  820. Since it has its own very well-developed channels of communication,
  821. why would the underground even care to contribute to such an ITVRD?
  822. Would a widely accessible ITVRD threaten or replace popular
  823. underground publications like Hack-Tic or 2600?  Would the underground
  824. be happy with attribution for the holes that they find?  Would the
  825. contributors to an ITVRD even want to be identified?
  826.  
  827. Should a subscriber-based ITVRD pay its contributors for their
  828. submissions? If so, on what basis and how much?  Should it be
  829. available to those that want to passively access it without
  830. contributing to it?  Should this access be on a subscription basis?
  831. If so, does such a subscription service need some sort of
  832. authentication to restrict access to only legitimate, paid
  833. subscribers?
  834.  
  835. Should the contents of an ITVRD be exactly what is submitted to it, or
  836. should submissions to it be edited and/or verified for authenticity.
  837. If editing, verification and authentication of submissions are to take
  838. place, who should do this and under what rules should it be done?  In
  839. recognition that many organizations do not currently report their
  840. security problems, should anonymous submissions be allowed?
  841.  
  842. Should such an ITVRD be in the public domain or should it be private
  843. property.
  844.  
  845. Where should an on-line ITVRD be maintained?  Should it be located
  846. outside the traditional boundaries of countries that would restrict its
  847. availability?
  848.  
  849. I am sure that I have missed many, many important questions.  Please
  850. contribute to this discussion.
  851.  
  852. Electronic mail:Internet - kaplan@mis.arizona.edu
  853. BITNET - KAPLAN@ARIZMIS
  854.  
  855. Snail mail:
  856. Ray Kaplan
  857. P.O. Box 42650
  858. Tucson, AZ  85733-2650
  859. FAX - (602) 791-3325
  860.  
  861. This has been posted to:
  862.  
  863. Some common Network Newsgroups, and the DECUS DECUServe bbs.Several of
  864. the world's underground publications: 2600 and HacK-Tic.Selected
  865. members of the security community.
  866.  
  867. Please feel free to re-post this anywhere you see fit - it is hereby
  868. released into the public domain. If you post it somewhere - please let
  869. me know where you put it so I can try and track the discussions - I'd
  870. like to do a summary of it all one of these days.
  871.  
  872. In advance, thanks for your time and consideration.  Since I know that
  873. the ire of powerful forces in the security community may be stirred up
  874. by the idea of publically discussing the design and operation of an
  875. ITVRD, I only hope that a reasoned exchange of ideas will follow.
  876.  
  877. ++++++++++
  878.  
  879. (1) I get into some interesting discussions with people who argue that
  880. secrecy is the best course of action.  For instance, while splitting
  881. hairs on the tough subject of when you begin (of if there even should
  882. BE) sex education, there is an argument that says educating very young
  883. people about their sexuality will induce them to experiment where they
  884. otherwise might not do so.  In my view, this is similar to discussions
  885. that I have with those that oppose the implementation of an ITRVD.
  886. There are those that say the mere availability of an ITRVD will cause
  887. more incidents.  In the face of this criticism, I say that while this
  888. may be true, at least system and network managers WILL have a
  889. reference for this information where currently there is none.  Just
  890. think, the formation of an ITRVD may lead to vendors actually shipping
  891. a document that describes the known vulnerabilities of their systems
  892. to their customers.  Sort of like the warning from the surgeon
  893. General's warning on alcohol and tobacco products?
  894.  
  895. (2) Of note here is the Defense Advanced Research Projects Agency's
  896. (DARPA) Computer Emergency Response Team (CERT).  While these
  897. consummate professionals do an excellent job of distributing incident
  898. and vulnerability-related information to the Internet community, not
  899. nearly enough is being done.
  900.  
  901. (3) While it is clear that there are vulnerabilities which affect many
  902. vendors, there is evidence to suggest that some vendors in the
  903. incident response community don't acknowledge those reports by other
  904. vendors which clearly affect their own systems - let alone reporting
  905. all of the vulnerabilities of their own systems.
  906.  
  907. (4) References available if you'd like them.
  908.  
  909. (5) There most certainly are ITVRDs currently being maintained in
  910. various places.
  911.  
  912. ------------------------------
  913.  
  914. End of Computer Underground Digest #4.48
  915. ************************************
  916.