home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / cud / cud537.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  39.9 KB  |  781 lines
  1. Computer underground Digest    Wed May 19 1993   Volume 5 : Issue 37
  2.                            ISSN  1004-042X
  3.  
  4.        Editors: Jim Thomas and Gordon Meyer (TK0JUT2@NIU.BITNET)
  5.        Archivist: Brendan Kehoe
  6.        Shadow-Archivists: Dan Carosone / Paul Southworth
  7.                           Ralph Sims / Jyrki Kuoppala
  8.                           Ian Dickinson
  9.        Copy Editor: Etaoin Shrdlu, Senrio
  10.  
  11. CONTENTS, #5.37 (May 19 1993)
  12. File 1--CPSR Brief in 2600 FOIA Case
  13. File 2--Response to Russell Brand (Re CuD 5.36)
  14. File 3--"Clipper" Chip Redux
  15. File 4--UPDATE #4-AB1624: Legislative Info Online
  16. File 5--AB1624-Legislation Online - Making SURE it's "right"
  17. File 6--CU In The News--Singapore Piracy / Ethics Conf.
  18.  
  19. Cu-Digest is a weekly electronic journal/newsletter. Subscriptions are
  20. available at no cost electronically from tk0jut2@mvs.cso.niu.edu. The
  21. editors may be contacted by voice (815-753-6430), fax (815-753-6302)
  22. or U.S. mail at:  Jim Thomas, Department of Sociology, NIU, DeKalb, IL
  23. 60115.
  24.  
  25. Issues of CuD can also be found in the Usenet comp.society.cu-digest
  26. news group; on CompuServe in DL0 and DL4 of the IBMBBS SIG, DL1 of
  27. LAWSIG, and DL0 and DL12 of TELECOM; on GEnie in the PF*NPC RT
  28. libraries and in the VIRUS/SECURITY library; from America Online in
  29. the PC Telecom forum under "computing newsletters;"
  30. On Delphi in the General Discussion database of the Internet SIG;
  31. on the PC-EXEC BBS at (414) 789-4210; and on: Rune Stone BBS (IIRG
  32. WHQ) 203-832-8441 NUP:Conspiracy
  33. CuD is also available via Fidonet File Request from 1:11/70; unlisted
  34. nodes and points welcome.
  35. EUROPE:   from the ComNet in Luxembourg BBS (++352) 466893;
  36.  
  37. ANONYMOUS FTP SITES:
  38.   UNITED STATES:  ftp.eff.org (192.88.144.4) in /pub/cud
  39.                   uglymouse.css.itd.umich.edu (141.211.182.53) in /pub/CuD/cud
  40.                   halcyon.com( 202.135.191.2) in /pub/mirror/cud
  41.   AUSTRALIA:      ftp.ee.mu.oz.au (128.250.77.2) in /pub/text/CuD.
  42.   EUROPE:         nic.funet.fi in pub/doc/cud. (Finland)
  43.                   ftp.warwick.ac.uk in pub/cud (United Kingdom)
  44.  
  45. Back issues also may be obtained through mailserver at:
  46. server@blackwlf.mese.com
  47.  
  48. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  49. information among computerists and to the presentation and debate of
  50. diverse views.  CuD material may  be reprinted for non-profit as long
  51. as the source is cited. Authors hold a presumptive copyright, and
  52. they should be contacted for reprint permission.  It is assumed that
  53. non-personal mail to the moderators may be reprinted unless otherwise
  54. specified.  Readers are encouraged to submit reasoned articles
  55. relating to computer culture and communication.  Articles are
  56. preferred to short responses.  Please avoid quoting previous posts
  57. unless absolutely necessary.
  58.  
  59. DISCLAIMER: The views represented herein do not necessarily represent
  60.             the views of the moderators. Digest contributors assume all
  61.             responsibility for ensuring that articles submitted do not
  62.             violate copyright protections.
  63.  
  64. ----------------------------------------------------------------------
  65.  
  66. Date: Tue, 18 May 1993 14:01:53 -0500
  67. From: sobel@WASHOFC.CPSR.ORG
  68. Subject: File 1--CPSR Brief in 2600 FOIA Case
  69.  
  70. Computer Professionals for Social Responsibility (CPSR) today
  71. filed its brief in federal district court in Washington, DC,
  72. challenging the Secret Service's withholding of information
  73. relating to the break-up of a meeting of individuals affiliated
  74. with 2600 Magazine last fall.  The brief is re-printed below. All
  75. footnotes and certain citations have been omitted.
  76.  
  77. For information concerning CPSR's litigation activities, contact:
  78.  
  79.      David Sobel, CPSR Legal Counsel <dsobel@washofc.cpsr.org>
  80.  
  81. For information concerning CPSR generally, contact:
  82.  
  83.      <cpsr@csli.stanford.edu>
  84.  
  85. ============================================================
  86.  
  87.                    UNITED STATES DISTRICT COURT
  88.                    FOR THE DISTRICT OF COLUMBIA
  89.  
  90.  
  91. COMPUTER PROFESSIONALS FOR     )
  92.     SOCIAL RESPONSIBILITY,     )
  93.                                )
  94.                Plaintiff,      )
  95.                                )
  96. v.                             )     C.A. No. 93-0231-LFO
  97.                                )
  98. UNITED STATES SECRET SERVICE   )
  99.                                )
  100.                Defendant.      )
  101. _______________________________)
  102.  
  103.                PLAINTIFF'S MEMORANDUM IN OPPOSITION TO
  104.             DEFENDANT'S MOTION FOR SUMMARY JUDGMENT AND IN
  105.        SUPPORT OF PLAINTIFF'S CROSS-MOTION FOR SUMMARY JUDGMENT
  106.  
  107.      Plaintiff initiated this action on February 4, 1993,
  108. challenging defendant Secret Service's failure to release certain
  109. agency records requested under the Freedom of Information Act
  110. ("FOIA"), 5 U.S.C. Sec. 552.  Specifically, plaintiff seeks
  111. disclosure of Secret Service records concerning "the breakup of a
  112. meeting of individuals affiliated with '2600 Magazine' at the
  113. Pentagon City Mall in Arlington, Virginia on November 6, 1992."
  114. The Secret Service filed its motion for summary judgment on April
  115. 19, 1993.  Plaintiff opposes the agency's motion and cross-moves
  116. for summary judgment.
  117.  
  118.                             Background
  119.  
  120.      On November 6, 1992, a group of young people gathered in the
  121. food court at Pentagon City Mall in Arlington, Virginia, to
  122. socialize and discuss their common hobby -- computer technology.
  123. Most of the attendees were readers of "2600 Magazine," a quarterly
  124. journal devoted to computer and telecommunications issues.  The
  125. gathering was a regular, monthly event promoted by the magazine.
  126. See "Hackers Allege Harassment at Mall," Washington Post, November
  127. 12, 1992.
  128.  
  129.      Shortly after the group had gathered, "they were surrounded
  130. by a few mall security guards and at least one agent from the
  131. Secret Service."  Officers of the Arlington County Police
  132. were also present.  The security guards demanded that the group
  133. members produce identification and compiled a list of names.  The
  134. personal belongings of several attendees were confiscated and the
  135. group was evicted from the mall.
  136.  
  137.      Several days later, plaintiff submitted a FOIA request to the
  138. Secret Service seeking agency records concerning the incident.
  139. The agency produced several newspaper articles describing the
  140. incident, but withheld two records which, according to the agency,
  141. "were provided to the Secret Service by a confidential source, and
  142. each consists solely of information identifying individuals."
  143. Defendant asserts that these two documents -- apparently lists of
  144. names compiled by the mall security guards -- are exempt from
  145. disclosure under FOIA Exemptions 7(A), 7(C) and 7(D).  Plaintiff
  146. disputes the applicability of these exemptions to the withheld
  147. material.
  148.  
  149.                              Argument
  150.  
  151.      I. The Withheld Information was not Compiled
  152.         for a Valid Law Enforcement Purpose
  153.  
  154.      Under the facts of this case, defendant has failed to meet
  155. its burden of establishing the threshold requirement of Exemption
  156. 7 -- that the information was compiled for valid law enforcement
  157. purposes.  Without elaboration, defendant merely asserts that
  158. "[t]he two records being withheld ... are located in investigative
  159. files maintained by the Secret Service that pertain to and are
  160. compiled in connection with a criminal investigation being
  161. conducted pursuant to the Secret Service's statutory authority to
  162. investigate allegations of fraud."  Def. Mem. at 3.  This
  163. assertion falls far short of the showing an agency must make in
  164. order to invoke the protection of Exemption 7.
  165.  
  166.      In Pratt v. Webster, 673 F.2d 408 (D.C. Cir. 1982), the D.C.
  167. Circuit established a two-part test for determining whether the
  168. Exemption 7 threshold has been met.
  169.  
  170.        First, the agency's investigatory activities that give
  171.        rise to the documents sought must be related to the
  172.        enforcement of federal laws or to the maintenance of
  173.        national security.  To satisfy this requirement of a
  174.        "nexus," the agency should be able to identify a
  175.        particular individual or a particular incident as the
  176.        object of its investigation and the connection between
  177.        that individual or incident and a possible security risk
  178.        or violation of federal law.  The possible violation or
  179.        security risk is necessary to establish that the agency
  180.        acted within its principal function of law enforcement,
  181.        rather than merely engaging in a general monitoring of
  182.        private individuals' activities. ...
  183.  
  184.             Second, the nexus between the investigation and one
  185.        of the agency's law enforcement duties must be based on
  186.        information sufficient to support at least "a colorable
  187.        claim" of its rationality.  ...  Of course, the agency's
  188.        basis for the claimed connection between the object of
  189.        the investigation and the asserted law enforcement duty
  190.        cannot be pretextual or wholly unbelievable.
  191.  
  192. 673 F.2d at 420-421 (emphasis, citations and footnote omitted).
  193. Since the passage of the 1986 FOIA amendments, the court of
  194. appeals has slightly restated the Pratt test so that the agency
  195. must demonstrate a nexus "between [its] activity" (rather than its
  196. investigation) "and its law enforcement duties."  Keys v.
  197. Department of Justice, 830 F.2d 337, 340 (D.C. Cir. 1987).
  198.  
  199.      As the court of appeals noted, the reason for requiring the
  200. showing of a "nexus" is to ensure that the agency was not "merely
  201. engaging in a general monitoring of private individuals'
  202. activities."  Other courts have also recognized that "[i]f an
  203. agency 'was merely monitoring the subject for purposes unrelated
  204. to enforcement of federal law,' a threshold showing has not been
  205. made."  Rosenfeld v. Department of Justice, 761 F. Supp. 1440,
  206. 1444 (N.D. Cal. 1991). See also King v. Department of Justice, 830
  207. F. 2d 210, 230 (D.C. Cir. 1987) (court not required "to sanction
  208. agency claims that are pretextual or otherwise strain credulity");
  209. Shaw v. Federal Bureau of Investigation, 749 F.2d 58, 63 (D.C.
  210. Cir. 1984) ("mere existence of a plausible criminal investigatory
  211. reason to investigate would not protect the files of an inquiry
  212. explicitly conducted ... for purposes of harassment").
  213.  
  214.      In this case, the agency has not even attempted to make the
  215. requisite showing.  It has not "identified] a particular
  216. individual or a particular incident as the object of its
  217. investigation and the connection between that individual or
  218. incident and a possible ... violation of federal law," as Pratt
  219. requires.  Rather, the circumstances strongly suggest that the
  220. Secret Service was "merely engaging in a general monitoring of
  221. private individuals' activities" (Pratt), or conducting an inquiry
  222. "for purposes of harassment" (Shaw).
  223.  
  224.      If, as the agency's representations suggest, the Secret
  225. Service obtained a listing of individuals lawfully assembled at a
  226. shopping mall in order to identify computer "hackers," without
  227. benefit of probable cause or even articulable facts justifying
  228. such an "investigation," Exemption 7 cannot protect the collected
  229. information from disclosure.  Indeed, as the Second Circuit has
  230. noted, "unauthorized or illegal investigative tactics may not be
  231. shielded from the public by use of FOIA exemptions."  Kuzma v.
  232. Internal Revenue Service, 775 F.2d 66, 69 (2d Cir. 1985), citing
  233. Weissman v. Central Intelligence Agency, 565 F.2d 692, 696 (D.C.
  234. Cir. 1977) (other citation omitted).  The agency has offered no
  235. evidence that would rebut the inference that it is improperly
  236. collecting the names of individuals engaged in constitutionally
  237. protected activity.
  238.  
  239.      The Secret Service has not met its burden of establishing the
  240. "law enforcement purposes" threshold.  Nor has it demonstrated
  241. that any of the requisite harms would flow from disclosure, so as
  242. to meet the specific provisions of Exemptions 7(A), 7(C) or 7(D).
  243.  
  244.      II. Disclosure Would not Interfere
  245.          with a Pending Law Enforcement Proceeding
  246.  
  247.      In support of its 7(A) claim, defendant again asserts,
  248. without elaboration, that the disputed records were obtained "in
  249. the course of a criminal investigation that is being conducted
  250. pursuant to the Secret Service's authority to investigate access
  251. device and computer fraud."  Defendant further asserts that
  252. disclosure of the information "could reasonably be expected to
  253. interfere" with that investigation.  As plaintiff has shown, the
  254. existence of a qualifying "investigation" has not been
  255. established.  Nor, as we discuss below, could the disclosure of
  256. the withheld information be reasonably expected to interfere with
  257. defendant's vague inquiry.
  258.  
  259.      Given the unique nature of FOIA litigation, plaintiff (and
  260. the court, absent ex parte submissions) must draw logical
  261. conclusions based upon defendant's representations.  Here,
  262. defendant represents that 1) the records relate to the incident at
  263. Pentagon City Mall; 2) the records were obtained from a
  264. "confidential" source; and 3) the records consist "solely of
  265. information identifying individuals."  Given that a list of names
  266. was compiled by mall security guards and that a record consisting
  267. "solely of information identifying individuals" is -- by
  268. definition -- a list of names, plaintiff and the court logically
  269. can assume that the compilation of names is being withheld.
  270.  
  271.      The individuals who were required to identify themselves, and
  272. whose names were subsequently recorded, obviously know that they
  273. were present at the mall and that their names were taken. Under
  274. these circumstances, it is patently absurd for the agency to
  275. assert that
  276.  
  277.        [t]he premature release of the identities of the
  278.        individual(s) at issue could easily result in
  279.        interference to the Secret Service's investigation by
  280.        alerting these individual(s) that they are under
  281.        investigation and thus allowing the individual(s) to
  282.        alter their behavior and/or evidence.
  283.  
  284.      In Campbell v. Department of Health and Human Services, 682
  285. F.2d 256, 259 (D.C. Cir. 1982), the D.C. Circuit reached the
  286. obvious conclusion that Exemption 7(A) does not apply to
  287. information that was provided by the subject of an investigation
  288. -- it applies only to information "not in the possession of known
  289. or potential defendants."  See also Grasso v. Internal Revenue
  290. Service, 785 F.2d 70, 77 (3d Cir. 1986) (where plaintiff sought
  291. disclosure of his own statement to agency, "[t]he concerns to
  292. which Exemption 7(A) is addressed are patently inapplicable").
  293. Under the facts of this case, defendant's meager assertion of
  294. "interference" defies logic and cannot be sustained.
  295.  
  296.  
  297.      III. The Privacy Protection of Exemption
  298.           7(C) is Inapplicable in this Case
  299.  
  300.      Defendant next seeks to shield the information from
  301. disclosure on the ground that it is seeking to protect the privacy
  302. of the individuals named in the records.  Applying the balancing
  303. test of Exemption 7(C), the agency asserts that there is a
  304. substantial privacy interest involved and "no public benefit in
  305. the release of the names."
  306.  
  307.      As for privacy interests, defendant claims that the
  308. disclosure of an individual's name in a "law enforcement file ...
  309. carries stigmatizing connotations."  As noted, there is
  310. substantial question as to whether the withheld material qualifies
  311. as a "law enforcement" record.  Indeed, the individuals themselves
  312. believe that their names were recorded for purposes of harassment,
  313. not law enforcement, and they cooperated with the news media to
  314. expose what they believe to be improper conduct on the part of the
  315. Secret Service.
  316.  
  317.      As is set forth in the attached affidavit of counsel, a
  318. number of the young people who were detained at the mall have
  319. sought plaintiff's assistance in securing the release of relevant
  320. Secret Service records.  By letter dated November 20, 1992,
  321. plaintiff submitted a FOIA request to the agency seeking
  322. information concerning eight individuals, and provided privacy
  323. releases executed by those individuals.  The agency claimed that
  324. it possessed no information relating to those individuals.
  325. Plaintiff believes it is likely that some, if not all, of those
  326. individuals are identified in the material defendant is
  327. withholding.  Given that plaintiff provided privacy releases to
  328. the agency, the invocation of Exemption 7(C) to withhold those
  329. names is indefensible.
  330.  
  331.      The newspaper articles attached to defendant's motion belie
  332. the claim that there is no public interest in the disclosure of
  333. the requested information.  The front page of the Washington Post
  334. reported the allegation that the Secret Service orchestrated the
  335. incident at Pentagon City Mall in order to monitor and harass the
  336. young people who gathered there.  The individuals themselves have
  337. attempted to publicize the incident and gain the release of
  338. relevant agency records.  The balance between privacy interests
  339. and public interest clearly weighs in favor of disclosure.
  340.  
  341.      IV. The "Confidential Source" Protection of
  342.          Exemption 7(D) is not Available in this Case
  343.  
  344.      Finally, defendants invoke Exemption 7(D), emphasizing that
  345. the statutory definition of "confidential source" includes "any
  346. private institution."  Again, the circumstances of this case
  347. render the exemption claim absurd -- the shopping mall was clearly
  348. the source of the information maintained by the agency and it has
  349. not attempted to conceal its cooperation with the Secret Service.
  350.  
  351.      Shortly after the incident, the mall's security director,
  352. Allan Johnson, was interviewed by Communications Daily.  According
  353. to an article that appeared in that publication, Johnson
  354. acknowledged that the mall's security staff was working under the
  355. direction of the Secret Service.  "The Secret Service ...
  356. ramrodded this whole thing," according to Johnson.  "Secret
  357. Service Undercover Hacker Investigation Goes Awry," Communications
  358. Daily, November 10, 1992, at 2.  This admission belies defendants'
  359. suggestion that "[s]ources who provide ... information during the
  360. course of a criminal investigation do so under the assumption that
  361. their identities and cooperation will remain confidential ...."
  362.  
  363.      As defendants concede, promises of confidentiality will be
  364. implied, but only "in the absence of evidence to the contrary."
  365. In this case, the evidence suggests that the source of the
  366. information has sought to deflect responsibility for the incident
  367. by asserting that it was, indeed, acting at the request of the
  368. Secret Service.  The agency appears to be more concerned with
  369. protecting itself than with protecting the identity of a source
  370. that is in no way "confidential."  Exemption 7(D) can not be used
  371. for that purpose.
  372.  
  373.                             CONCLUSION
  374.  
  375.      Defendants' motion for summary judgment should be denied;
  376. plaintiff's cross-motion for summary judgment should be granted.
  377.  
  378. ------------------------------
  379.  
  380. Date: Sat, 15 May 93 20:20:07 EDT
  381. From: Jerry Leichter <leichter@LRW.COM>
  382. Subject: File 2--Response to Russell Brand (Re CuD 5.36)
  383.  
  384. [Well, maybe more than a line.  It grew as I edited.  -- Jerry]
  385.  
  386. Russell Brand responds to my recent article on the open vetting of crypto-
  387. graphic protocols:
  388.  
  389.     In CU Digest 5.34, Jerry Leichter <leichter@LRW.COM> attacked Mike
  390.     Godwin's position on the open design principle.
  391.  
  392.     While  Leichter is correct that in certain environments, an `open
  393.     design' is fact neither partical nor appropriate.  CLIPPER is doesn't
  394.     present an instance of this....
  395.  
  396. thus completely missing the point of what I wrote.
  397.  
  398. I think I made it plain that I was *not* attacking Mike Godwin's
  399. position as such.  Mr. Godwin is not, and does not claim to be, an
  400. expert on cryptography, its history, or its application.  He's an
  401. expert on law, and that was what the bulk of his article dealt with.
  402. What I *did* attack was the often-repeated contention, which Mr.
  403. Godwin has simply presented yet another example of, that the Clipper
  404. initiative represents something fundamentally new IN THAT IT PROPOSES
  405. THE USE OF A SECRET CRYPTOGRAPHIC ALGORITHM.  It is certainly true
  406. that there ARE several aspects of the initiative that ARE
  407. fundamentally new (and hence certainly deserving of debate even if
  408. only for that reason), but this is absolutely not one of them.  In
  409. fact, what IS new and quite "unproven" in the real world is the notion
  410. of a cryptographic algorithm that IS public.
  411.  
  412. Mr. Brand continues with the argument that "an open design is
  413. important ... so that you don't have to worry what advantage someone
  414. can get by stealing it."  This is just what it seems:  An argument,
  415. even a reasonable one.  It is NOT an indication that there is anything
  416. "abnormal" about a cryptographic algorithm whose details are not
  417. public.  As an argument, it can be responded to.  I submit, for
  418. example, that all the evidence available - and there's a fair amount -
  419. is that the only advantage one gains from the ability to steal the
  420. design is the ability to create one's own Clipper-compatible chips and
  421. thus evade key escrow.
  422.  
  423. A claim that something violates "normal procedure" is an attempt to
  424. remove it from the domain of debate.  Bureaucrats LOVE to claim that
  425. something is "just normal procedure" and as such presumably not open
  426. to question or modification.  Several claims I've seen made about
  427. cryptography in general, and Clipper in particular, are of this
  428. general nature.  The "open design as a normal procedure" claim is, in
  429. an academic context in which openness and publication are so central,
  430. a particularly compelling one.  Unfortunately, it's a claim with
  431. little or no basis in law, history, engineering, or much of anything
  432. outside of academia.
  433.  
  434. The whole area of cryptography has grown a paranoid mythology around
  435. it.  Just yesterday, All Things Considered ran an interview with a
  436. "computer expert" - he's published a book on Windows programming, thus
  437. making him fully qualified to talk about cryptography - who repeated
  438. some old and hoary chestnuts, which are KNOWN to be false (or, at
  439. best, for which there is absolutely no evidence).  For example, he
  440. repeated the claim that there is a trap door in DES, and he seems to
  441. believe that what is escrowed is a MASTER key for all Clipper chips:
  442. Given the two escrowed halves, you can read any Clipper conversation.
  443. The interviewer seemed disturbed by this, as well she might be
  444. (especially when the "expert" claimed that hackers would soon be able
  445. to determine the master key on their on), and made all the right "oh
  446. my goodness" noises.  What she didn't bother to do was talk to someone
  447. who knew something about the issue.
  448.  
  449. It's impossible to have a reasoned debate about cryptographic issues
  450. when one side refuses to say much of anything, and the other lives in
  451. a paranoid fantasy world.  I think is was Edmund Burke who said that
  452. the first moral imperative is to make sense.
  453.  
  454. ------------------------------
  455.  
  456. Date: Mon, 17 May 93 11:54:45 EDT
  457. From: soneill@NETAXS.COM(Steve O'Neill)
  458. Subject: File 3--"Clipper" Chip Redux
  459.  
  460. My first reaction when I read about the Clipper chip proposed by the
  461. Feds was how confused the folks who use Intergraph's RISC chip of the
  462. same name were going to be.  Same goes for the people using Clipper to
  463. compile their dBase programs.  But, I digress...
  464.  
  465. I have a couple of basic objections to the way the government is going
  466. about this whole business of creating a standard for digital telephone
  467. encryption.  First of all, unless you've been away on Mars these past
  468. 25 or so years, you've got to be aware that the Federal Government is
  469. not the most trustworthy organization around.  Do the names Hoover,
  470. Liddy, Mitchell, North, Poindexter, Watergate, Iran-Contra and BCCI
  471. ring a bell?  My point is simply this: no judicial process known to
  472. man is going to keep somebody working for the Feds from listening in
  473. on your conversations if this key escrow business becomes reality.
  474. It's immaterial whether the keys are held in 2, 10, or 50 different
  475. agencies.  The people keeping them are just that:people.  They can be
  476. bribed, their self-interest can be appealed to, they can be talked
  477. into turning over the keys because it's an urgent matter of "national
  478. security".  For that matter, if some of the people working for an
  479. intelligence agency want the keys, I'm sure they'd have no trouble
  480. stealing the damned things!
  481.  
  482. "All true", you say, "but if you use some other crypto system and the
  483. Feds REALLY want to find out what you're saying, they'll just sick the
  484. NSA on you-at that point, it won't make any difference what system
  485. you're using, they'll eventually crack it".  I say: maybe yes and
  486. maybe no.  If the NSA is going to be drawn into busting into your
  487. encrypted conversations, it's probably going to want a real good
  488. reason to do so.  If the need to find out what you're saying has
  489. reached that stage, then most likely whole departments are alarmed
  490. about what you may be up to.  At that point, it seems to me that
  491. you'll have bigger problems than simply the paranoia of one or two
  492. government employees. Even the NSA doesn't have unlimited resources.
  493. I'm pretty sure the management of the agency doesn't like diverting
  494. its personnel, computers, and eavesdropping equipment from what it
  495. considers its primary cryptanalytic mission without good cause and
  496. plenty of official authorization.  Remember, at the outset of such a
  497. project, the people involved can have no way of knowing how long it
  498. will take and how many resources it will consume.  If cracking your
  499. system becomes a big enough pain in the ass, NSA may tell the
  500. requestors to just go and bug your house!  Therefore, barring the
  501. existence of rogue cryptanalysts in the NSA, it doesn't seem
  502. reasonable to me to worry about having your totally proprietary and
  503. cryptographically secure digital phone system broken into on a whim.
  504. This is the main reason I don't want the government to have any EASY
  505. means of listening in on my encrypted conversations.
  506.  
  507. Second, the problem I have with the proposed scheme is that it
  508. probably won't protect us from the really bad guys.  I believe that
  509. if, for example, the Mob, Mafia, Cosa Nostra, whatever name you want
  510. to give to organized crime, wants to make its telephone conversations
  511. private, it possesses the resources and the smarts to do so,
  512. regardless of what becomes the "standard method" of commercial
  513. encryption.  Today, it's no trick to find a programmable, semi-custom
  514. chip of almost any kind you'd like.  They're not expensive, and there
  515. are any number of engineers floating around who can design with them,
  516. particularly of the unemployed military kind.  It doesn't take much
  517. imagination to envision the kind of scenario in which one or more of
  518. these people is hired by a "contract" engineering firm fronting for
  519. the Mob.  His/her/their task is to develop an encryption chip set for
  520. an "unnamed" manufacturer who wants to get into the commercial phone
  521. encryption business.  Or so they are told.  Time to market is
  522. critical, they're told, so use off-the-shelf programmable arrays and a
  523. commonly available microprocessor.  A cryptology expert is also hired,
  524. and he supplies the alogrithms, mostly ones he's worked on that his
  525. former employer, whomever that was, wasn't interested in.  And in 6
  526. months, the Organization has a chip set that can give NSA nightmares
  527. for a year.  Or, even simpler, engineers from the same unemployment
  528. pool are hired directly, the same way accountants and lawyers are
  529. hired, given their marching orders, and they're off.  The pay would be
  530. good and, as long as you don't ask too many questions, the working
  531. conditions would be fine.  Far fetched?  Maybe: but if so, then what
  532. are all those unemployed nuclear experts from the former Soviet Union
  533. doing in places like Iraq?  Which brings me to my point: even if the
  534. Mob doesn't have an interest in such a chip set, I have no doubt at
  535. all that various foreign governments do.  I also have no doubt that
  536. many of them already have such sets.  You and I, on the other hand,
  537. will be stuck with the "leaky" Clipper chip, which our friends at the
  538. Fed are so thoughtfully providing for us.
  539.  
  540. Finally, many of you are probably wondering why using the Clipper chip
  541. should be a problem to you.  After all, you're not a criminal, nor are
  542. you an agent of a foreign government.  You simply want a way to keep
  543. your competition away from your trade secrets.  The answer lies in the
  544. kind of hay the various law-enforcement and intelligence agencies can
  545. make with ANY private information they collect about you.  If you
  546. become a member of a group that someone or some group of someone's in
  547. the Fed comes to view with alarm, give a "provocative" speech, or
  548. publicly express an opinion that a bureaucrat views as possibly
  549. threatening to something he values, you could find yourself the target
  550. of surveillance.  And remember, your politcal activity of today, which
  551. is quite acceptable now, can come back to haunt you(ask any activist
  552. from the '30's about what a wonderful time he had in the '50's).  Such
  553. surveillance will probably not ever result in any kind of criminal
  554. indictment.  Instead, you may find it difficult to get certain kinds
  555. of jobs; your credit rating might suddenly go sour, for reasons you
  556. can't fathom; you might discover that your neighbors harbor what seem
  557. to be unspoken suspicions about you.  All of this, and more, has
  558. happened over the past 40 years to all sorts of people, without the
  559. help of a supposedly "secure" encryption method that can, in reality,
  560. be broken into whenever someone in the government feels like it.  If I
  561. use encryption, it's to ensure my privacy: I damn' well don't want to
  562. be wondering if some government functionary is listening in because he
  563. has paranoid delusions about what I may be up to.
  564.  
  565. Before you write all of this off as simply the ravings of someone who
  566. is, to say the least, overly suspicious of the Feds, consider this: in
  567. the late 70's, the government introduced the Data Encryption Standard,
  568. or DES.  At the time of its introduction, the rumor was bruted about
  569. that the NSA had a hand in weakening the security of the algorithm for
  570. reasons of ease of decrypting.  This rumor was never confirmed or
  571. denied by NSA. IBM who developed it, and NBS, the agency that
  572. sponsored it, said no such thing had happened.  Unfortunately, the
  573. developers had been "helped" by the NSA, in particular, by being
  574. provided with some of the constants used in various parts of the
  575. algorithm, and may simply have not been in a position to really know.
  576. Over the past 15 years, a lot of data has been passed around using the
  577. DES, some of it commercial, much of it government.  In all that time,
  578. no user of DES has ever had any idea whether any part of that data
  579. flow has been decrypted surreptitiously by the NSA.  If it has, NSA
  580. ain't talking, so we, out here in the real world, don't know what they
  581. know about us, or, more accurately, what they THINK they know about
  582. us.  And, all of this uncertainty surrounding an encryption process
  583. that has NEVER been acknowledged to have any trap doors.  Now, the
  584. Feds propose to create a system that they have specifically said can
  585. give other, perhaps less scrupulous, agencies easy access to our
  586. communications(data, as well as voice, remember).  Uh-uh, no thanks.
  587. If I need crytographic privacy, I'll look elsewhere, thank you.
  588.  
  589. ------------------------------
  590.  
  591. Date: Tue, 18 May 1993 20:03:19 -0700
  592. From: Jim Warren <jwarren@WELL.SF.CA.US>
  593. Subject: File 4--UPDATE #4-AB1624: Legislative Info Online
  594.  
  595. [For newcomers: Assembly Bill 1624 would mandate that most current,
  596. already-computerized, public California legislative information be
  597. available, online.  *IF* sufficient public pressure continues, it
  598. *appears* like it may pass.
  599. Send your e-addr to receive updates and panic calls-for-action.  :-)
  600.  
  601. AB1624 HEARING RE-SCHEDULED.  AGAIN!  NOW IT'S MAY 20th
  602. The Assembly Rules Committee first heard this bill April 19th.  Then
  603. we thought the next hearing would be May 3rd.  Then May 6th.  On May
  604. 5th, we were told it'd be May 13th at 7:30 a.m.  Upon arriving the
  605. afternoon of May 12th to stay overnight, I was told it would be May
  606. 20th.
  607.  
  608. It's now in the printed schedule -- which means it will probably happen.
  609.  
  610. PROPOSED AMENDMENTS NOW AVAILABLE FOR REVIEW The amendments to AB1624
  611. that will be proposed when the Rules Committee considers it on 5/20
  612. became public at 3:46 p.m. on 5/18.  (I first saw them shortly
  613. thereafter.)  Key issues:
  614.  
  615. PROPOSED AMENDMENTS MANDATE FREE ACCESS TO THE INFORMATION -- EXCEPT
  616. ... Part of the amendments state, "No fee or other charge shall be
  617. imposed as a condition to this public access except as provided in
  618. subdivision (d)."
  619.  
  620. And that subdivision states, "(d) No individual or entity obtaining
  621. access to information under the system established [by AB1624] shall
  622. republish or otherwise duplicate that information for a fee or any
  623. other consideration except with the authorization of the Legislative
  624. Counsel and the approval of the Joint Rules Committee pursuant to a
  625. written agreement between the individual or entity and the Legislative
  626. Counsel that may provide for payment of a fee or charge for this
  627. purpose."  And, "Any amounts received by the Legislative Counsel [go
  628. to help support] the Legislative Counsel Bureau."
  629.  
  630. Note:  The Legislative Counsel runs the $25-million Legislative
  631. Information System.  Thus, such fees would help to reduce its tax-paid
  632. operating costs.
  633.  
  634. It was obvious in the first committee hearing of AB1624, and has
  635. been repeatedly reiterated since then, that many of the legislators
  636. want companies that profit from distributing these public records to
  637. functionally pay royalties.  The word I hear is that the is the only
  638. way AB1624 has a chance of passage -- not withstanding that the data
  639. is public information.
  640.  
  641. PROPOSED AMENDMENTS MAKE NO MENTION OF INTERNET ACCESS, BUT IT APPEARS
  642. LIKELY The bill still states only that the information, "shall be
  643. made available to the public by means of access by way of computer
  644. modem," without specifying through what systems.  I was pushing for
  645. requiring that the data be made available by direct connection to
  646. the largest public networks (i.e., the Internet), however the bill
  647. makes no such requirement.
  648.  
  649. On the other hand, I discovered that the Legislative Data Center has
  650. just installed a T-1 (1.544Mbits/sec) Internet connection with a Cisco
  651. router, and it *seems* likely that they will make the files available
  652. via that large data-pipe.
  653.  
  654. PROPOSED AMENDMENTS ADD CALIFORNIA CODES [STATUTES] AND CONSTITUTION
  655. As requested by bill-author Debra Bowen, the proposed amendment
  656. would add California's codes and Constitution to the information to
  657. be available, online.  Currently these are available on magtape for
  658. $200,044+.  A major addition, if adopted.
  659.  
  660. Part of the amendments state that, "The Legislative Counsel shall,
  661. with the advice of the Joint Rules Committee, make all of the
  662. [information] available to the public in electronic form."
  663.  
  664. All in all, it *looks* like it will truly make the Legislature's
  665. public records publicly available across the nets, without cost -- at
  666. least to those who don't charge a fee to "republish or otherwise
  667. duplicate" them.
  668.  
  669. ------------------------------
  670.  
  671. Date: Wed, 19 May 1993 07:25:18 -0700
  672. From: Jim Warren <jwarren@WELL.SF.CA.US>
  673. Subject: File 5--AB1624-Legislation Online - Making SURE it's "right"
  674.  
  675. AB1624 remains undefined or ambiguous on two points.  Faxes and phone
  676. calls are needed *NOW* to clarify these points, before the May 20th
  677. hearing.  Please send [at least] this language (an instance where it's
  678. okay for all of us to send exactly the same messages):
  679.  
  680. Assembly Bill 1624 is excellent, but needs two clarifications due to
  681. technical issues of how shared computers and computer networks
  682. operate:
  683.  
  684. 1.  Subdivision (c) of the proposed amendments to AB1624 states that
  685. the legislative information, "shall be made available to the public by
  686. means of access by way of computer modem."
  687.  
  688.   The least expensive, most efficient and most accessible means of
  689. modem access is by way of the public computer networks.  Therefore,
  690. please clarify AB1624 be appending this phrase to the above amendment
  691. language:  "and by way of the [nonprofit, nonproprietary] public
  692. computer networks that are connected to the Legislative Data Center
  693. that is operated by the Legislative Counsel."
  694.  
  695. 2.  Subdivision (d) of the proposed amendments to AB1624 requires
  696. approvals, a written agreement and probably charges for individuals
  697. and entities that "republish or otherwise duplicate [legislative]
  698. information for a fee or any other consideration ..."
  699.  
  700.   Ignoring the issue of whether or not fees should be required of
  701. for-profit users of public information, the AB1624 language is
  702. ambiguous on an important operational issue:
  703.  
  704.   Many operations - including those of schools, universities,
  705. libraries, nonprofit organizations, community associations,
  706. public-access systems, home-based bulletin board systems (BBSs), etc.
  707. -- require an account or nominal fee for using their services or
  708. computers, but do not charge for using specific files or information.
  709. Please clarify that AB1624 applies only to those that charge for using
  710. legislative files, rather than those that charge for using their
  711. entire facility, by appending the following sentence to the end of
  712. subdivision (d):
  713.  
  714. "However, this subdivision shall not apply to those individuals or entities
  715. that charge a fee or other consideration for use of their overall facilities
  716. or computer systems but do not account for nor charge for access to or use of
  717. specific files of information."
  718.  
  719.   Now is the time to *push*!  Please keep it to one page.  Please fax it
  720. BY MAY 20TH to at least (without the brackets  :-):               fax number:
  721. Assembly Member Debra Bowen [D], AB1624 Author ...................916-327-2201
  722. The Honorable John Burton [D], Chair, Assembly Rules Committee....916-324-4899
  723. The Honorable Richard Polanco [D], AB1624 Co-Author [on Rules]....916-324-4657
  724. The Honorable Ross Johnson [R], AB1624 Co-Auth.[Rules Vice-Chair].916-324-6870
  725. Senator Art Torres [D], AB1624 Principal Co-Author................916-444-0581
  726.   and - especially if you are in their district - also to:
  727. <The other members of the 9-member Assembly Rules Committee>
  728. Assembly Member Deirdre "Dede" Alpert [D].........................916-445-4001
  729. Assembly Member Trice Harvey [R]..................................916-324-4696
  730. Assembly Member Barbara Lee [D]..<needs constituent messages!>....916-327-1941
  731. Assembly Member Richard L. Mountjoy [R].....................voice/916-445-7234
  732. Assembly Member Willard H. Murray, Jr. [D]........................916-447-3079
  733. Assembly Member Patrick Nolan [R].................................916-322-4398
  734. <the other AB1624 co-authors>
  735. Assembly Member Rusty Areias [D], AB1624 Co-Author................916-327-7105
  736. Assembly Member Julie Bornstein [D], AB1624 Co-Author.............916-323-5190
  737. Assembly Member Jan Goldsmith [R, male], AB1624 Co-Author...voice/916-445-2484
  738. Assembly Member Phillip Isenberg [D], AB1624 Co-Author......voice/916-445-1611
  739. Assembly Member Betty Karnette [D], AB1624 Co-Author..............916-324-6861
  740. Assembly Member Richard Katz [D], AB1624 Co-Author..........voice/916-445-1616
  741. Senator Tom Hayden [D], AB1624 Co-Author..........................916-324-4823
  742. Senator Lucy L. Killea [I], AB1624 Co-Author......................916-327-2188
  743. Senator Becky Morgan [R], AB1624 Co-Author..................voice/916-445-6747
  744. Senator Herschel Rosenthal [D], AB1624 Co-Author............voice/916-445-7928
  745.  
  746. ------------------------------
  747.  
  748. Date: 18 May 93 20:27:06 EDT
  749. From: Gordon Meyer <72307.1502@COMPUSERVE.COM>
  750. Subject: File 6--CU In The News--Singapore Piracy / Ethics Conf.
  751.  
  752. To: >internet:tk0jut2@niu.bitnet
  753. Singapore Piracy
  754. ============
  755. Lotus and Novell have filed criminal charges against a man and wife in
  756. Singapore after they were found guilty in a civil suit for copyright and
  757. trademark violations.  The companies obtained a court order to freeze
  758. nearly one million dollars in assets belonging to the pair, who had sold
  759. thousands of illegal software copies in Southeast Asia.  (Information Week.
  760. May 10, 1993. pg. 8)
  761.  
  762. Computer Ethics Institute Conference
  763. ===========================
  764. Information Week reports that Congressman Edward Markey (D - Mass.) made
  765. the following remarks at the above conference.  "Just because personal
  766. information can be collected electronically, can be gleaned off the network
  767. as people call 800 number or click channels on he television, or can be
  768. cross-referenced into sophisticated lists and put on line for sale to
  769. others, does not mean that it has been technologically predetermined that
  770. privacy and social mores should be bent to that capability.  (...) The
  771. Constitution is a 200-year-old parchment, simply because we digitize the
  772. words should not suggest their meanings change."  Later, Markey commented
  773. that "Real harm can be done in the virtual world." Refer to "Ethics and
  774. Cyberculture" , Information Week, May 10, 1993 pg. 60 for more information
  775. on the conference and Markey's speech.
  776.  
  777. ------------------------------
  778.  
  779. End of Computer Underground Digest #5.37
  780. ************************************
  781.