home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / cud / cud534.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  32.1 KB  |  663 lines
  1. Computer underground Digest    Sun May 9 1993   Volume 5 : Issue 34
  2.                            ISSN  1004-042X
  3.  
  4.        Editors: Jim Thomas and Gordon Meyer (TK0JUT2@NIU.BITNET)
  5.        Archivist: Brendan Kehoe
  6.        Shadow-Archivists: Dan Carosone / Paul Southworth
  7.                           Ralph Sims / Jyrki Kuoppala
  8.                           Ian Dickinson
  9.        Copy Editor: Etaoin Shrdlu, Senrio
  10.  
  11. CONTENTS, #5.34 (May 9 1993)
  12. File 1--Another response to gender issues
  13. File 2-- Response to Wes Morgan
  14. File 3--Cryptography and Mythology
  15. File 4--New NIST/NSA Revelations
  16. File 5--About the Clipper Proposal
  17. File 6--Dvorak criticizes the SPA
  18. File 7--New 'Zine (ORA.COM) by O'Reilly & Associates
  19.  
  20. Cu-Digest is a weekly electronic journal/newsletter. Subscriptions are
  21. available at no cost electronically from tk0jut2@mvs.cso.niu.edu. The
  22. editors may be contacted by voice (815-753-6430), fax (815-753-6302)
  23. or U.S. mail at:  Jim Thomas, Department of Sociology, NIU, DeKalb, IL
  24. 60115.
  25.  
  26. Issues of CuD can also be found in the Usenet comp.society.cu-digest
  27. news group; on CompuServe in DL0 and DL4 of the IBMBBS SIG, DL1 of
  28. LAWSIG, and DL0 and DL12 of TELECOM; on GEnie in the PF*NPC RT
  29. libraries and in the VIRUS/SECURITY library; from America Online in
  30. the PC Telecom forum under "computing newsletters;"
  31. On Delphi in the General Discussion database of the Internet SIG;
  32. on the PC-EXEC BBS at (414) 789-4210; and on: Rune Stone BBS (IIRG
  33. WHQ) 203-832-8441 NUP:Conspiracy
  34. CuD is also available via Fidonet File Request from 1:11/70; unlisted
  35. nodes and points welcome.
  36. EUROPE:   from the ComNet in Luxembourg BBS (++352) 466893;
  37.  
  38. ANONYMOUS FTP SITES:
  39.   UNITED STATES:  ftp.eff.org (192.88.144.4) in /pub/cud
  40.                   uglymouse.css.itd.umich.edu (141.211.182.53) in /pub/CuD/cud
  41.                   halcyon.com( 202.135.191.2) in /pub/mirror/cud
  42.   AUSTRALIA:      ftp.ee.mu.oz.au (128.250.77.2) in /pub/text/CuD.
  43.   EUROPE:         nic.funet.fi in pub/doc/cud. (Finland)
  44.                   ftp.warwick.ac.uk in pub/cud (United Kingdom)
  45.  
  46. Back issues also may be obtained through mailserver at:
  47. server@blackwlf.mese.com
  48.  
  49. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  50. information among computerists and to the presentation and debate of
  51. diverse views.  CuD material may  be reprinted for non-profit as long
  52. as the source is cited. Authors hold a presumptive copyright, and
  53. they should be contacted for reprint permission.  It is assumed that
  54. non-personal mail to the moderators may be reprinted unless otherwise
  55. specified.  Readers are encouraged to submit reasoned articles
  56. relating to computer culture and communication.  Articles are
  57. preferred to short responses.  Please avoid quoting previous posts
  58. unless absolutely necessary.
  59.  
  60. DISCLAIMER: The views represented herein do not necessarily represent
  61.             the views of the moderators. Digest contributors assume all
  62.             responsibility for ensuring that articles submitted do not
  63.             violate copyright protections.
  64.  
  65. ----------------------------------------------------------------------
  66.  
  67. Date: Sat, 1 May 93 09:25:02 EDT
  68. From: morgan@ENGR.UKY.EDU(Wes Morgan)
  69. Subject: File 1--Another response to gender issues
  70.  
  71. In CuD 5.32, Sharon Boehlefeld wrote:
  72.  
  73.    >Women I've talked to (f2f and via cmc) are sometimes intimidated by
  74.    >some males' exercise of their right to free speech.
  75.  
  76. According to some of the men participating in soc.feminism (the
  77. moderated Usenet group concerned with feminist issues), it goes
  78. both ways.  8)
  79.  
  80.    >The problem
  81.    >becomes one of a "chilling effect," in which speech is inhibited
  82.    >because some speakers are afraid to voice their ideas and opinions.
  83.    >They are afraid of opening themselves up to harassment, or worse.
  84.  
  85. Are these same people unafraid to write a letter to the editor (or
  86. guest opinion) for their local newspaper?  Are they afraid to march
  87. in a demonstration?  Are they afraid to sign a petition?  Are these
  88. same people afraid to stand by their beliefs in other forums?  If
  89. so, why does the net deserve special recognition/analysis?  Can you
  90. give an example of a free speech forum that does *NOT* have the po-
  91. tential to cause this fear and/or reticence?
  92.  
  93.    >Whether intentional or not comments like Landwehr's "feminist dogma"
  94.    >remarks can have that chilling effect. (Not only women are silenced,
  95.    >but also some men by such tactics.)
  96.  
  97. If there is one phrase with which I have become completely disgusted,
  98. it is the dreaded 'chilling effect.'  Have we become so sensitive that
  99. mere words on a screen can inhibit us?  If so, what is the difference
  100. between a computer screen and _The New York Times_?  Are you 'chilled'
  101. by the editorials you read in the paper?   Are you 'chilled' by the
  102. fact that I disagree with you?  Does the mere exercise of free speech
  103. 'chill' you?  I notice that most writers seem to have few problems in
  104. using the traditional media, despite the presence of opposing (and,
  105. sometimes, obnoxious) viewpoints.  Why should computer-mediated com-
  106. munication be different?
  107.  
  108. Perhaps the immediacy of computer communication is part of the problem.
  109. The notion that a Usenet posting of email message will bring responses
  110. within minutes could conceivably generate a bit of concern, but I don't
  111. understand how it inhibits us.  In fact, I would argue that computer-
  112. mediated communication can actually make the airing of potentially con-
  113. troversial opinions *much* easier.  Pseudonymous servers are becoming
  114. more and more popular; if you aren't comfortable signing your real
  115. name to your postings, send them to anon.penet.fi or charcoal.com,
  116. where they will be posted with a unique, but anonymous, identifier
  117. such as "an83498."  If you're dealing with a moderated newsgroup or
  118. mailing list, almost all moderators will strip your postings and/or
  119. submissions of identification before distributing them.
  120.  
  121. If you really want to do some interesting research, you should do the
  122. following:
  123.     - Pick 20 Usenet participants at random.
  124.     - Read their postings for 2-3 months.
  125.     - Arrange to meet them face to face.
  126.     - After the meeting, marvel at the inaccuracy of your
  127.       mental depiction of each of them.
  128.     - Write and publish a paper on "Mistaken Impressions, or
  129.       'Don't Try to Read Between the Lines.'"
  130.  
  131. I've met dozens, if not hundreds, of net participants over the last
  132. few years; *none* of them matched the mental image I had constructed
  133. from their words.  One of the most forceful writers I've ever seen
  134. on the net turned out to be a rather quiet, almost mousy, young man;
  135. another, whose writings had always seemed unobtrusive and mellow, was
  136. a young lady with a dominant physical/intellectual presence.
  137.  
  138. [ OPTIONAL EXERCISE FOR THE READER:
  139. [ Send me a description of the "mental image of me" that you have
  140. [ constructed from reading my postings.  You can retrieve back
  141. [ issues of CuD for past postings; I also participate in many Use-
  142. [ net discussion groups. (look for a return address of either
  143. [ "morgan@engr.uky.edu" or "morgan@ms.uky.edu")  I'd like to see
  144. [ just how accurate your perceptions can be.  Feel free to speculate
  145. [ on my physical attributes, education, sexuality, events in my past,
  146. [ or any other topic that my words suggest to you.  I'll answer pri-
  147. [ vately and tell you how close you are to the 'real me.'  I may post
  148. [ a summary of responses, but identities will be held confidential.
  149.  
  150.    >Secondly, in Jim Thomas's response, he notes that he sees "no
  151.    >significant evidence" that the "old boys" network is being recreated
  152.    >in cyberspace. He notes, "The 'old boys' no longer control the
  153.    >terrain..." I'm sure he realizes that the "old boys" have *never*
  154.    >controlled the entire terrain, but the share allotted women has been,
  155.    >and continues to be, small.  Although some men seem consciously
  156.    >willing to share larger portions of that terrain with women, what
  157.    >little evidence we have to date seems to suggest that much of it is
  158.    >still dominated by men. Larry Landwehr is obviously one of the men
  159.    >unwilling to give up an inch of his cyberspace.
  160.  
  161. Don't you see?  Cyberspace doesn't belong to any one person; none of
  162. us can stake a claim to any part of it.  Anyone who does so is both
  163. uninformed and egotistical.  Take a look at the List of Lists, the
  164. compendium of publicly accessible mailing lists.  *Very* few of them
  165. are managed/controlled by "well-known net personalities"; the vast
  166. majority of list owners are just regular folks.
  167.  
  168. Some say that the cost of net access are too high for women/minorities
  169. to participate; I cannot agree with that perception any longer.  These
  170. economic arguments against net.participation no longer hold water; if
  171. there is a site within local calling distance, one can establish a
  172. Cyberspace presence for less than $500 (a 286 PC and a modem).  A quick
  173. glance at the UUCP maps shows that the following systems are being used
  174. as net sites:
  175.     IBM PC/AT, PC/XT
  176.     Apple Macintosh Plus
  177.     Amiga 500
  178.     Atari 1040
  179.     Tandy Color Computer, TRS-80
  180.     AT&T 6300, 3B1, 3B2/310
  181. If you can't pick up one of these systems for under $500, you aren't
  182. trying hard enough; I have seen some of these for sale at $200 and
  183. below.  Software exists that simply 'drops in place'; very little
  184. technical expertise is required.
  185.  
  186. In conclusion, I cannot dispute the fact that there are many obnoxious,
  187. offensive people on the net.  However, I refuse to accept the notion
  188. that computer-mediated communication is significantly different from
  189. any other free speech forum.  I believe that the current rush of gender
  190. issues in CMC -- from 'computer porn' to 'chilling effect' to 'old boy
  191. networks' -- are merely a reflection of the growing expanse of Cyber-
  192. space.  I have yet to see evidence of *any* bias which is unique to
  193. computer-mediated communication.  In fact, I submit that CMC provides
  194. better opportunities to respond to (or ignore) offensive material.  I
  195. readily grant that CMC is far more direct (and timely) than almost any
  196. other form of group communication; however, the problems are neither
  197. based in nor reparable from a computational perspective.
  198.  
  199. Fix the message, not the medium.
  200.  
  201. ------------------------------
  202.  
  203. Date: Fri,  7 May 1993 13:59 CDT
  204. From: <BOEHLEFELD@WISCSSC.BITNET>
  205. Subject: File 2-- Response to Wes Morgan
  206.  
  207. Wes Morgan wrote:
  208.  
  209. > Can you
  210. >give an example of a free speech forum that does *NOT* have the po-
  211. >tential to cause this fear and/or reticence?
  212.  
  213. No, I can't, Wes, and maybe that's the point? I think it's obvious
  214. that I'm not one of the women who feels "chilled" by verbal sparring.
  215. Among the points which I was trying to make is that *some* women (and
  216. some men) are.
  217.  
  218. Just as a quick recap, my main points (apparently ill developed) were
  219. these:
  220.  
  221. 1. There's nothing wrong with using a feminist perspective to conduct
  222. social science studies of computer mediated communication and computer
  223. technology issues. I did not, and do not intend to, suggest other
  224. perspectives should not also be used.
  225.  
  226. 2. Several factors (accessibility and "harassing" posts among them)
  227. may be operating in such a way as to systematically exclude women from
  228. full participation in the net community.
  229.  
  230. 3. I think the existing data are slim. We need more.
  231.  
  232. I'll stop there, because even though there were some subpoints
  233. embedded in my first comments, I don't think I need to rehash them.
  234.  
  235. I will say that since the post ran, I've received notes from folks
  236. whose opinions of what I wrote range from thinking I was "too obtuse"
  237. to thanking me for my "thoughtful response."
  238.  
  239. But, to address Wes Morgan's concerns specifically, let me return to
  240. the line quoted at the top of this post.
  241.  
  242. I cannot think of any existing "free speech forum" that doesn't
  243. include the potential for some chilling effect. I also believe other
  244. forums may also systematically exclude women from full participation.
  245. (Please note: I said *may* exclude. I have neither done, nor examined
  246. fully, existing research about those forums.) I'm interested, however,
  247. in the development of some kind of data base from which such
  248. hypotheses can be tested in an empirical manner.  And I believe that
  249. is only one such hypothesis that needs testing.
  250.  
  251. When people like Les Landwehr and others rail about "feminist dogma,"
  252. I worry that the research necessary to come to some sort of reasonable
  253. conclusion about these hypotheses will be shunted aside for other,
  254. "easier" projects. OK, I'll admit that some folks will think this an
  255. imagined fear. Actually, I hope they're right.
  256.  
  257. I agree with Wes that the problems which may exist in cyberspace are
  258. probably reflective, to a great extent, of problems within the larger
  259. society. I also agree that it's possible to ignore them in this
  260. medium, as it is to ignore them in other media.  But I guess I don't
  261. really believe that ignoring a problem makes it go away.
  262.  
  263. ------------------------------
  264.  
  265. Date: Fri,  7 May 93 11:43:56 EDT
  266. From: Jerry Leichter <leichter@LRW.COM>
  267. Subject: File 3--Cryptography and Mythology
  268.  
  269. In a recent issue of Cud, Mike Godwin presented a series of
  270. interesting arguments concerning the Clipper initiative and the
  271. Constitution.  Before he even got to those arguments, however, he
  272. mentions in passing a few issues that have been brought up repeatedly.
  273. I'd like to deal with one in particular.  Mr. Godwin writes:
  274.  
  275.     >         2.  Refusal to allow public scrutiny of the chosen
  276.     >encryption algorithm(s), which is the normal procedure
  277.     >for testing a cryptographic scheme, and
  278.  
  279. I've seen this argument in various guises and in many different
  280. forums, from the most ill-informed flames in Usenet newsgroups to
  281. statements by the EFF and industry groups.  What I find fascinating is
  282. the way that a claim like this can come to be believed, when in fact
  283. it has NO basis in reality.
  284.  
  285. Until quite recently, almost all cryptography in the world was carried
  286. out by the defense establishments and foreign services of the world's
  287. governments.  The systems they used, and the systems they continue to
  288. use to this day, were NEVER subject to public scrutiny.  The NSA
  289. continues to attempt to keep under tight secrecy all information about
  290. their cryptographic work, including information about systems and
  291. techniques that were used 40 and more years ago.  Despite their
  292. general success in this regard, as far as I can tell more information
  293. has been published about NSA systems and techniques than those of any
  294. other country (with the possible exception of Britain, if you believe
  295. what Peter Wright has to say in Spycatcher) - and some of what has
  296. been published out the techniques of others has probably come through
  297. NSA sources.
  298.  
  299. What little private cryptography existed was based on modifications of
  300. older military cryptosystems - e.g., the famous Hagelin machines,
  301. based on modifi-cations of World War II technology.  The security of
  302. these machines was never "subject to public scrutiny", and in fact we
  303. now know that they were long ago broken by the cryptoanalytic services
  304. of the world's major powers.
  305.  
  306. Today, I think it's safe to say that the majority of encrypted
  307. communication is still carried out by the same organizations, using
  308. systems whose inner workings remain secret and definitely not subject
  309. to public scrutiny.
  310.  
  311. Of the remaining encrypted communication, ignoring the many trivial
  312. algorithms in use, the bulk of significant encrypted traffic is almost
  313. certainly based on DES.  While the DES algorithm is public, the design
  314. choices behind it remain secret to this day.  It took Shamir's
  315. re-discovery of differential cryptography to justify the choice of the
  316. P boxes and the number of rounds in DES.  To the shock of conspiracy
  317. theorists, differential cryptography ended up showing that DES was as
  318. strong with respect to this important class of attacks as any system
  319. of its size could be.  What has gone unmentioned is that we STILL
  320. don't have a definitive statement as to the design principles behind
  321. DES:  It took 15 years to re-discover differential cryptography.
  322. Might there be another, different attack that no one in the outside
  323. world has found yet?  We don't know:  The most widely used public
  324. cryptographic system is subject to only a limited degree of public
  325. scrutiny.
  326.  
  327. If you watch the appropriate Usenet newsgroups, you'll get the
  328. impression that "everyone" is using PGP.  In fact, not only is the
  329. total message traffic encrypted using PGP or related systems
  330. insignificant outside of this rather rarefied atmosphere, but it's
  331. worth pointing out that the PGP itself is based on IDEA (or is it
  332. FEAL?), a cryptosystem in the same class as DES - a class of
  333. cryptosystems that it is not at all clear is thoroughly understood in
  334. the research community.  (Shamir's work demolished several related
  335. systems that had been seriously proposed.  IDEA IS secure - against
  336. this class of attack.)
  337.  
  338. Where, then, are we to find a "normal procedure for testing a
  339. cryptographic scheme" that involves "public scrutiny of the chosen
  340. encryption algorithm(s)"?  "Public scrutiny" in the sense the term is
  341. being used here is very much at the center of academic life.  It is
  342. NOT at the center of almost anything else in the world.  It's hard to
  343. find a single product that we use on a day to day basis that has been
  344. subject to "public scrutiny" in this sense.  Important details of
  345. design and manufacture of products are trade secrets.  GM won't tell
  346. you the algorithms used in the chips that control your new car's
  347. engine.  Coca Cola won't tell you what goes into their "secret
  348. formula".
  349.  
  350. Most of the world is not academia, and does not share academia's value
  351. system.  The "normal procedure for testing cryptographic scheme(s)"
  352. does not exist, and has NEVER existed.  What has existed is the
  353. "normal procedure for testing results presented for academic
  354. publication", which has been applied, quite properly, to academic work
  355. on cryptography.  This is quite a different thing.
  356.  
  357. ------------------------------
  358.  
  359. Date: Thu, 6 May 1993 13:09:12 EST
  360. From: David Sobel <dsobel@WASHOFC.CPSR.ORG>
  361. Subject: File 4--New NIST/NSA Revelations
  362.  
  363.                        New NIST/NSA Revelations
  364.  
  365.         Less than three weeks after the White House announced a
  366. controversial initiative to secure the nation's electronic
  367. communications with government-approved cryptography, newly released
  368. documents raise serious questions about the process that gave rise to
  369. the administration's proposal.  The documents, released by the
  370. National Institute of Standards and Technology (NIST) in response to a
  371. Freedom of Information Act lawsuit, suggest that the super-secret
  372. National Security Agency (NSA) dominates the process of establishing
  373. security standards for civilian computer systems in contravention of
  374. the intent of legislation Congress enacted in 1987.
  375.  
  376.         The released material concerns the development of the Digital
  377. Signature Standard (DSS), a cryptographic method for authenticating
  378. the identity of the sender of an electronic communication and for
  379. authenticating the integrity of the data in that communication.  NIST
  380. publicly proposed the DSS in August 1991 and initially made no mention
  381. of any NSA role in developing the standard, which was intended for use
  382. in unclassified, civilian communications systems.  NIST finally
  383. conceded that NSA had, in fact, developed the technology after
  384. Computer Professionals for Social Responsibility (CPSR) filed suit
  385. against the agency for withholding relevant documents.  The proposed
  386. DSS was widely criticized within the computer industry for its
  387. perceived weak security and inferiority to an existing authentication
  388. technology known as the RSA algorithm.  Many observers have speculated
  389. that the RSA technique was disfavored by NSA because it was, in fact,
  390. more secure than the NSA-proposed algorithm and because the RSA
  391. technique could also be used to encrypt data very securely.
  392.  
  393.         The newly-disclosed documents -- released in heavily censored
  394. form at the insistence of NSA -- suggest that NSA was not merely
  395. involved in the development process, but dominated it.  NIST and NSA
  396. worked together on the DSS through an intra-agency Technical Working
  397. Group (TWG).  The documents suggest that the NIST-NSA relationship was
  398. contentious, with NSA insisting upon secrecy throughout the
  399. deliberations.  A NIST report dated January 31, 1990, states that
  400.  
  401.      The members of the TWG acknowledged that the efforts
  402.      expended to date in the determination of a public key
  403.      algorithm which would be publicly known have not been
  404.      successful.  It's increasingly evident that it is
  405.      difficult, if not impossible, to reconcile the concerns
  406.      and requirements of NSA, NIST and the general public
  407.      through using this approach.
  408.  
  409.         The civilian agency's frustration is also apparent in a July
  410. 21, 1990, memo from the NIST members of the TWG to NIST director
  411. John W. Lyons.  The memo suggests that "national security"
  412. concerns hampered efforts to develop a standard:
  413.  
  414.      THE NIST/NSA Technical Working Group (TWG) has held 18
  415.      meetings over the past 13 months.  A part of every
  416.      meeting has focused on the NIST intent to develop a
  417.      Public Key Standard Algorithm Standard.  We are
  418.      convinced that the TWG process has reached a point where
  419.      continuing discussions of the public key issue will
  420.      yield only marginal results.  Simply stated, we believe
  421.      that over the past 13 months we have explored the
  422.      technical and national security equity issues to the
  423.      point where a decision is required on the future
  424.      direction of digital signature standards.
  425.  
  426. An October 19, 1990, NIST memo discussing possible patent issues
  427. surrounding DSS noted that those questions would need to be
  428. addressed "if we ever get our NSA problem settled."
  429.  
  430.         Although much of the material remains classified and withheld
  431. from disclosure, the "NSA problem" was apparently the intelligence
  432. agency's demand that perceived "national security" considerations
  433. take precedence in the development of the DSS.  From the outset,
  434. NSA cloaked the deliberations in secrecy.  For instance, at the
  435. March 22, 1990, meeting of the TWG, NSA representatives presented
  436. NIST with NSA's classified proposal for a DSS algorithm.  NIST's
  437. report of the meeting notes that
  438.  
  439.      The second document, classified TOP SECRET CODEWORD, was
  440.      a position paper which discussed reasons for the
  441.      selection of the algorithms identified in the first
  442.      document.  This document is available at NSA for review
  443.      by properly cleared senior NIST officials.
  444.  
  445. In other words, NSA presented highly classified material to NIST
  446. justifying NSA's selection of the proposed algorithm -- an
  447. algorithm intended to protect and authenticate unclassified
  448. information in civilian computer systems.  The material was so
  449. highly classified that "properly cleared senior NIST officials"
  450. were required to view the material at NSA's facilities.
  451.  
  452.         These disclosures are disturbing for two reasons.  First, the
  453. process as revealed in the documents contravenes the intent of
  454. Congress embodied in the Computer Security Act of 1987.  Through
  455. that legislation, Congress intended to remove NSA from the process
  456. of developing civilian computer security standards and to place
  457. that responsibility with NIST, a civilian agency.  Congress
  458. expressed a particular concern that NSA, a military intelligence
  459. agency, would improperly limit public access to information in a
  460. manner incompatible with civilian standard setting.  The House
  461. Report on the legislation noted that NSA's
  462.  
  463.      natural tendency to restrict and even deny access to
  464.      information that it deems important would disqualify
  465.      that agency from being put in charge of the protection
  466.      of non-national security information in the view of many
  467.      officials in the civilian agencies and the private
  468.      sector.
  469.  
  470. While the Computer Security Act contemplated that NSA would
  471. provide NIST with "technical assistance" in the development of
  472. civilian standards, the newly released documents demonstrate that
  473. NSA has crossed that line and dominates the development process.
  474.  
  475.         The second reason why this material is significant is because
  476. of what it reveals about the process that gave rise to the so-
  477. called "Clipper" chip proposed by the administration earlier this
  478. month.  Once again, NIST was identified as the agency actually
  479. proposing the new encryption technology, with "technical
  480. assistance" from NSA.  Once again, the underlying information
  481. concerning the development process is classified.  DSS was the
  482. first test of the Computer Security Act's division of labor
  483. between NIST and NSA.  Clipper comes out of the same
  484. "collaborative" process.  The newly released documents suggest
  485. that NSA continues to dominate the government's work on computer
  486. security and to cloak the process in secrecy, contrary to the
  487. clear intent of Congress.
  488.  
  489.         On the day the Clipper initiative was announced, CPSR
  490. submitted FOIA requests to key agencies -- including NIST and NSA
  491. -- for information concerning the proposal.  CPSR will pursue
  492. those requests, as well as the pending litigation concerning NSA
  493. involvement in the development of the Digital Signature Standard.
  494. Before any meaningful debate can occur on the direction of
  495. cryptography policy, essential government information must be made
  496. public -- as Congress intended when it passed the Computer
  497. Security Act.  CPSR is committed to that goal.
  498.  
  499. ***************************************************
  500. David L. Sobel
  501. CPSR Legal Counsel
  502. (202) 544-9240
  503. dsobel@washofc.cpsr.org
  504.  
  505. ------------------------------
  506.  
  507. Date: Tue, 4 May 1993 10:29:54
  508. From: The Advocate <The.Advocate@ano.nymo.us >
  509. Subject: File 5--About the Clipper Proposal
  510.  
  511. Gentlemen.
  512.  
  513. No matter about the clipper proposal.  What the Federal government has
  514. not done in either the digital telephony statutes  or the clipper chip
  515. proposal is prove that a problem  exists  nor that this is the least
  516. intrusive measure  to resolve the problem.
  517.  
  518. Digital encryption promises  great power to the individual user, but
  519. the government has enormous power.  The CIA and the NSA spend about 70
  520. billion dollars a year,  most of which is on technical signals capture
  521. and decryption.
  522.  
  523. No-one has demonstrated that the CIA  lacks the technology to still
  524. conduct wiretaps  at points  ahead of the encrypters,  nor has anyone
  525. demonstrated that the NSA lacks the resources to de-crypt
  526. conversations.
  527.  
  528. If in fact the NSA lacks the resources to de-crypt civilian
  529.  conversations, then what have we been spending all this money for?
  530.  
  531. Constitutional theory dictates that any government intrusion on a
  532. civil right,  must take the form of the least intrusion.  This
  533. proposal has not been demonstrated to be the least intrusive,  nor has
  534. there been ademonstration that  there is even a need.
  535.  
  536. ------------------------------
  537.  
  538. From: Jim Thomas <cudigest@mindvox.phantom.com>
  539. Subject: File 6--Dvorak criticizes the SPA
  540. Date: Fri, 7 May 1993 02:20:21 EDT
  541.  
  542. A recent article by John C. Dvorak from the May 11, 1993 issue of PC
  543. Magazine, commented on the Rusty & Edie's bust (we thank Mike Castle
  544. for drawing our attention to the piece).  Dvorak was especially
  545. critical of the SPA.  Dvorak is the second major columnist in the past
  546. month to begin challenging the SPA's philosophy and tactics. In CuD
  547. 5.32, we reported Michael Alexander's (editor of INFOSECURITY NEWS)
  548. criticisms and call for the SPA to change its direction.  Alexander
  549. concluded:
  550.  
  551.      However, I believe that the SPA's much-publicized raids on
  552.      businesses whose users are allegedly making unauthorized copies
  553.      of software do little to advance the cause of information
  554.      systems security. Any infosecurity practitioner will tell you
  555.      that fear, intimidation and threats do not make for better
  556.      security. What works is education, communication and
  557.      cooperation.
  558.  
  559. Dvorak's piece, "BBS Easy Target in FBI Bust" begins by summarizing
  560. Rusty and Edie's troubles when the FBI seized their equipment and
  561. other material in February.  Dvorak cites one "intelligence-gathering"
  562. service that estimated that as many as 2,000 BBSes of the 25,000 it
  563. monitors specialize in "pirated" software, and that any of these could
  564. have been busted.  However, he claims that R&E's was particularly
  565. vulnerable:
  566.  
  567.         But Rusty and Edie had made a lot of enemies in the BBS
  568.     community because they had a reputation for reposting nudie
  569.     .GIFs from other sources, removing the original promotional
  570.     material and inserting their own promotional stuff--a practice
  571.     despised by BBS operators.  Many bulletin board services barely
  572.     eke out a living and would be profitless if it weren't for the
  573.     peculiar demand for downloadable pictures of people in the buff.
  574.     Rusty had also done little to make friends in the BBS community.
  575.     It's one of the few BBSs that do not even post the number of
  576.     other BBSs for the convenience of subscribers.
  577.         So when Rusty was busted, the community did nothing and said
  578.     nothing.  Many operators quietly smirked or applauded.  Yes
  579.     indeed, the SPA picked a convenient target.
  580.  
  581. Dvorak argues that R&E's was not an outrageous pirate board that
  582. flaunted commercial software or other illicit activities. It was, he
  583. contends, a board that promoted shareware, which he calls a
  584. "legitimate threat to the software companies that sponsor the SPA."
  585. Why, he asks, didn't the SPA call R&E's or conduct an audit as they do
  586. in other cases?  It was, Dvorak reasons, when R&E announced their
  587. intention to expand to 500 lines that "the FBI got serious." He adds
  588. with sarcasm that it's also a coincidence that "a major source of
  589. shareware is obliterated."
  590.  
  591. Dvorak does not defend piracy, and he is explicit in stating that
  592. commercial software publishers should be compensated for their
  593. efforts.  His column is not a defense of R&E, but a criticism of the
  594. SPA.  Dvorak concludes:
  595.  
  596.           The SPA should protect the BBS operator from having
  597.      equipment confiscated.  These are computers, not drugs or
  598.      illegal weapons!  The rational means any PC Magazine reader
  599.      suspected of having pirated software may have a PC confiscated.
  600.      As in Stalin's Russia, it only takes a tip from an unfriendly
  601.      neighbor.  The SPA is that neighbor today.  A disgruntled
  602.      employee or jilted lover will be that neighbor tomorrow.
  603.  
  604. Dvorak makes several good points. First, the current criminalization
  605. trend of even trivial computer delinquency risks unacceptable invasion
  606. by law enforcement. Second, the SPA--counter to it's claim to be a
  607. "good neighbor" may be acting in bad faith to promote its own vested
  608. interests. Finally, he has taken what until now has been an issue of
  609. concern to a small proportion of computer users and suggested how a
  610. continuation of the SPA's policies could lead to an oppressive climate
  611. in cyberspace.
  612.  
  613. CuD has become increasingly critical of the SPA, and we have severe
  614. reservations with their professed goal of combatting piracy through
  615. education. It is our view that they are not acting in good faith and
  616. that they play rather loose with facts to bolster their raiding
  617. tactics. We will elaborate on this in a special issue in about two
  618. weeks.
  619.  
  620. ------------------------------
  621.  
  622. From: CuD Moderators <tk0jut2@mvs.cso.niu.edu>
  623. Subject: File 7--New 'Zine (ORA.COM) by O'Reilly & Associates
  624. Date: Fri,  7 May 1993 11:40:11 CDT
  625.  
  626. ((MODERATORS' NOTE: CuD  does not advertise, and we receive no
  627. compensation for plugging an occasional product. We run the occasional
  628. blurb announcing a product when it seems of interest to computer
  629. hobbyists, or--which happens periodically--when we come across
  630. something of sufficient quality that we think it's worth checking out,
  631. as is the case here)).
  632.  
  633. O'Reilly & Associates, the publishers who put out a line of first-rate
  634. Unix books, recently came out with a catalogue/newsletter that's
  635. slick, informative, and--for an inhouse advertising (ORA.COM)
  636. 'Zine--fun to read. What especially caught our eye was the sales
  637. figures for THE WHOLE INTERNET. Although it only appeared within the
  638. past year, it's in its fifth printing (125,000 copies in print) and in
  639. some stores has outsold Madonna as the best seller.
  640.  
  641. We like ORA.COM for a couple of reasons: It's informative and gives a
  642. nice summary of the O'Reilly line (which it's supposed to do); The
  643. layout is not typical of most publishers' catalogues--it more closely
  644. resembles WIRED and similar cyber-age 'Zines; It's FREE!
  645.  
  646. The premier issue of ORA.COM includes news and features, including an
  647. Internet department, general news and tips of interest to sysops,
  648. sysads, and computer users, and tips and tricks for becoming more
  649. adept at computer use.
  650.  
  651. It's worth a look. For more information, contact:
  652.  
  653. Brian W. Erwin
  654. O'Reilly & Associates, Inc.
  655. 103 Morris Street, Suite A
  656. Sebastopol, CA  95472
  657. Internet: letters@ora.com / Voice: (800) 998-9938 - (707) 829-0515
  658.  
  659. ------------------------------
  660.  
  661. End of Computer Underground Digest #5.34
  662. ************************************
  663.