home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / cud / cud575.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  41.8 KB  |  852 lines
  1. Computer underground Digest    Sun  Sep 26 1993   Volume 5 : Issue 75
  2.                            ISSN  1004-042X
  3.  
  4.        Editors: Jim Thomas and Gordon Meyer (TK0JUT2@NIU.BITNET)
  5.        Archivist: Brendan Kehoe
  6.        Shadow-Archivists: Dan Carosone / Paul Southworth
  7.                           Ralph Sims / Jyrki Kuoppala
  8.                           Ian Dickinson
  9.     Copie Editor: Etaoin Shrdlu, III
  10.  
  11. CONTENTS, #5.75 (Sep 26 1993)
  12. File 1--THE ANARCHISTS AMONGST US: Is PBS One of *THEM?*
  13. File 2--Elansky/Hartford BBS Update, 25 Sept '93
  14. File 3--Raising the Issue of Copyright on the Nets
  15. File 4--Ethics of reposting
  16. File 5--Number of CuD Articles
  17. File 6--CuD Posting Policies and Processes (A Response)
  18. File 7--September 29 BBLISA meeting]
  19. File 8--The State of Security of Cyberspace (SRI Research Summary)
  20.  
  21. Cu-Digest is a weekly electronic journal/newsletter. Subscriptions are
  22. available at no cost electronically from tk0jut2@mvs.cso.niu.edu. The
  23. editors may be contacted by voice (815-753-0303), fax (815-753-6302)
  24. or U.S. mail at:  Jim Thomas, Department of Sociology, NIU, DeKalb, IL
  25. 60115.
  26.  
  27. Issues of CuD can also be found in the Usenet comp.society.cu-digest
  28. news group; on CompuServe in DL0 and DL4 of the IBMBBS SIG, DL1 of
  29. LAWSIG, and DL1 of TELECOM; on GEnie in the PF*NPC RT
  30. libraries and in the VIRUS/SECURITY library; from America Online in
  31. the PC Telecom forum under "computing newsletters;"
  32. On Delphi in the General Discussion database of the Internet SIG;
  33. on the PC-EXEC BBS at (414) 789-4210; and on: Rune Stone BBS (IIRG
  34. WHQ) (203) 832-8441 NUP:Conspiracy; RIPCO BBS (312) 528-5020
  35. CuD is also available via Fidonet File Request from 1:11/70; unlisted
  36. nodes and points welcome.
  37. EUROPE:   from the ComNet in LUXEMBOURG BBS (++352) 466893;
  38.           In ITALY: Bits against the Empire BBS: +39-461-980493
  39.  
  40. ANONYMOUS FTP SITES:
  41.   AUSTRALIA:      ftp.ee.mu.oz.au (128.250.77.2) in /pub/text/CuD.
  42.   EUROPE:         nic.funet.fi in pub/doc/cud. (Finland)
  43.   UNITED STATES:
  44.                   aql.gatech.edu (128.61.10.53) in /pub/eff/cud
  45.                   etext.archive.umich.edu (141.211.164.18)  in /pub/CuD/cud
  46.                   ftp.eff.org (192.88.144.4) in /pub/cud
  47.                   halcyon.com( 202.135.191.2) in /pub/mirror/cud
  48.                   ftp.warwick.ac.uk in pub/cud (United Kingdom)
  49.  
  50. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  51. information among computerists and to the presentation and debate of
  52. diverse views.  CuD material may  be reprinted for non-profit as long
  53. as the source is cited. Authors hold a presumptive copyright, and
  54. they should be contacted for reprint permission.  It is assumed that
  55. non-personal mail to the moderators may be reprinted unless otherwise
  56. specified.  Readers are encouraged to submit reasoned articles
  57. relating to computer culture and communication.  Articles are
  58. preferred to short responses.  Please avoid quoting previous posts
  59. unless absolutely necessary.
  60.  
  61. DISCLAIMER: The views represented herein do not necessarily represent
  62.             the views of the moderators. Digest contributors assume all
  63.             responsibility for ensuring that articles submitted do not
  64.             violate copyright protections.
  65.  
  66. ----------------------------------------------------------------------
  67.  
  68. Date: Thu, 23 Sep 1993 14:18:00 -0400 (EDT)
  69. From: soneill@NETAXS.COM
  70. Subject: File 1--THE ANARCHISTS AMONGST US: Is PBS One of *THEM?*
  71.  
  72. Since, as far as anyone can tell, the crux of the Elansky case lies in
  73. the "anarchy" file found on his BBS, the following information may be
  74. of interest to the West Hartford prosecutor and judge in the case, and
  75. may be of special interest to Elansky's defense lawyer.
  76.  
  77. Last week, on Sept. 15, to be exact, the local PBS outlet here in
  78. Philadelphia showed a program called "Your Toxic Trash", narrated by
  79. Ed Begley, Jr, and produced by station KERA of Dallas/Ft. Worth. The
  80. theme of this program was how much of our trash is composed of
  81. dangerous chemicals and how we should properly dispose of them. To
  82. demonstrate how dangerous the accidental combination of substances
  83. could be, the producers had a Professor of Chemistry at U.C. Berkeley,
  84. Prof. William Lester, show what happens when you mix powdered pool
  85. chlorine and brake fluid. The combination resulted in an immediate and
  86. intense flame which reduced the pool chlorine to a charred black lump
  87. in seconds. He also showed that when pool chlorine is mixed with an
  88. ordinary soda, like Coca-Cola, free chlorine is released in great
  89. quantity.
  90.  
  91. As I sat watching this, it occurred to me that anyone with an interest
  92. in setting fire to things, or in poisoning people had just been given
  93. the necessary information to do either or both. And this was done by
  94. highly reputable people working for equally reputable organizations.
  95.  
  96. Therefore, if the law in West Hartford thinks that such information as
  97. was found on Elansky's board is dangerous and should never be publicly
  98. disseminated, what in the world are they going to make of "Your Toxic
  99. Trash"? More important, this perfectly makes the point that whatever
  100. was in the file is public knowledge, easily obtainable, in some cases,
  101. from as unexpected a source as Public Television
  102.  
  103. ------------------------------
  104.  
  105. Date: Sat, 25 Sep 93 15:58:21 CDT
  106. From: CuD Moderators <cudigest@mindvox.phantom.com>
  107. Subject: File 2--Elansky/Hartford BBS Update, 25 Sept '93
  108.  
  109. There is little change on the status of Michael Elansky, the sysop of
  110. a Hartford BBS arrested in August because of the contents of two
  111. "Anarchy files" on his system (See CuD 5.69, 5.71).  We are told that
  112. nothing of substance occurred at his hearing on Thursday, Sept. 24:
  113.  
  114. 1) As of Friday, Sept. 25, Elansky remained in jail, unable to
  115.    post $500,000 bond.
  116. 2) The hearing was postponed until early October
  117. 3) We have been told, but have NOT YET confirmed, that no motions
  118.    were filed by the defense at the hearing. This, we are told,
  119.    includes no motions for bail reduction.
  120.  
  121. In short, Elansky seems to be languishing in jail and little seems to
  122. be done about. The case gets odder and odder.....
  123.  
  124. ------------------------------
  125.  
  126. Date: Thu, 9 Sep 93 14:19:16 EDT
  127. From: gray@ANTAIRE.COM(Gray Watson)
  128. Subject: File 3--Raising the Issue of Copyright on the Nets
  129.  
  130. In CuD #5.70, File 2 ("Big time hacker from the small town"),
  131. an article began:
  132.  
  133.   >"POLICE NAB OBSCENE CALLER" by Bill Latimer (reprinted without asking)
  134.                                                 ^^^^^^^^^^^^^^^^^^^^^^^^
  135.  
  136. I don't think CUD should have allowed this.  I send out a standard
  137. message when I see such posts and it is applicable here:
  138.  
  139.     >For your information, including a significant amount of text
  140.     >from copyright publications in posts is a breach of
  141.     >copyright law.  The publishing industry will *never* adopt
  142.     >digital distribution if the net does not honor the copyright
  143.     >laws.
  144.     >
  145.     >If possible in the future, please try to contact the author
  146.     >and ask for a limited release of the document.  If this is
  147.     >not unavailable, please consider posting a summary of the
  148.     >work instead.
  149.  
  150. If the legalities of an electronic issue are ill-defined then we must
  151. look to the physical world as our guide.  No publication, commercial,
  152. non-profit, nor educational, republishes copyrighted works without
  153. first gaining permission.
  154.  
  155. I believe that if we in cyberspace are ever going to achieve the same
  156. rights as physical publishers, broadcasters, and speakers, we must
  157. consider our electronic actions to actually _be_ the same as their
  158. physical equivalents -- in terms of the legalities.  If we don't think
  159. twice about duplicated works that are copyrighted, then we are asking
  160. for special treatment -- and with the obvious benefits come serious
  161. detriments.
  162.  
  163. ------------------------------
  164.  
  165. Date: Tue, 24 Aug 1993 23:39:05 CDT
  166. From: Eric Schnoebelen <eric@cirr.com>
  167. Subject: File 4--Ethics of reposting
  168.  
  169. CuD #5.61, file 11, contained a message by William Reeder of Sun
  170. Microsystems which was in reply to a message of mine, describing a
  171. successful breaking and entering of the Sun internal network.
  172.  
  173. These messages were originally posted to a private list for system
  174. managers in the Dallas/Ft Worth area, with the expectation of
  175. confidentiality.  Neither William Reeder or myself were consulted
  176. before the message was sent to CuD by a third party.
  177.  
  178. Mr Reeder's message was posted in response to a comment of mine about
  179. the happenings with texsun, a major UUCP hub in the Dallas/Ft Worth
  180. region.  texsun was/is operated by the SUN Central region as a
  181. community service.  The message was not intended to be distributed
  182. outside the scope of the list.  It was certainly not intended for
  183. general distribution.
  184.  
  185. This reposting does bring to the foreground the ethics and issues of
  186. reposting messages.  I believe, and many on the list in question do as
  187. well, that the list was private, or semi-private at worst, and that
  188. the information on it is generally considered confidential.  Most also
  189. believe it was impolite to repost the message to another list, or
  190. any other forum with out the consent of the author(s), William Reeder
  191. and myself in this case.
  192.  
  193. The expectation of privacy on mailing lists is another issue that
  194. arises from this.  There are several forms of mailing lists on the
  195. internet today.  There are lists that can be joined by invitation
  196. only, usually sponsored by an existing list member.
  197.  
  198. There are lists that are can only be joined by folks meeting a certain
  199. set of criteria, such as being a female computer
  200. scientist/researcher/developer, or being gay/bisexual.
  201.  
  202. There are lists which are well known in an (geographic or technical)
  203. area, but are not well know out side of that area.  Prospective new
  204. list members are usually told about the list by current members, but
  205. it up to the new folks to actually do something about subscribing.
  206. Lists like this are frequently used for discussion and dissemination of
  207. information amongst system managers, etc.
  208.  
  209. Then there are lists that are well know, and there are no restrictions
  210. on membership.  CuD is an example of such a list.
  211.  
  212. And beyond that, there are USENET newsgroups.
  213.  
  214. Of course, there are other types of lists as well.
  215.  
  216. The last two types, wide open lists, and USENET groups are pretty much
  217. broadcast mediums, with corresponding expectations upon readership and
  218. privacy.
  219.  
  220. The first three types of lists have a higher expectation of privacy
  221. and confidentiality.  People on these lists believe that what they say
  222. will not be taken out of context, where perhaps it may cause problems
  223. for the poster, or others.  Reposting something from such a list,
  224. without permission of the original poster is somewhat analogous to
  225. submitting a personal letter from a third party to a news paper for
  226. publication in the letters to the editor column.
  227.  
  228. It boils down to this:  Just because something is easy to
  229. re-distribute does not mean that it is ethical to do so.  If we of
  230. cyberspace cannot handle this responsibility with our own intellectual
  231. property, it will be impossible to convince (non-cyber) institutions
  232. that we can respect their copyrights and other intellectual property.
  233.  
  234. Another issue is that of copyright violation.  Since the United States
  235. adopted the Bern Convention Copyright Treaty in 1986 (I believe),
  236. everything written is copyrighted from the moment it looks like text.
  237. (aka, this message is implicitly copyright, 1993, Eric Schnoebelen)
  238. Most of the rest of the developed nations have been a signer of the
  239. Bern Convention longer than the US, so the same rules apply.
  240.  
  241. Solutions? Courtesy.  Before reposting anything, it is polite to ask
  242. the original author(s) if reposting is acceptable. The original author
  243. may wish that his words not be redistributed, or at least may wish the
  244. chance to edit them.
  245.  
  246. ------------------------------
  247.  
  248. Date: Sun, 5 Sep 1993 06:59:57 -0800 (PDT)
  249. From: ygoland@HURRICANE.SEAS.UCLA.EDU
  250. Subject: File 5--Number of CuD Articles
  251.  
  252. I like CuD very much and have contributed to the overloading of your
  253. mail programs by turning many people on to it. I'v even submitted
  254. several news pieces that you later included in CuD. So please
  255. understand my comments in context:I LIKE CuD.
  256.  
  257. When I first started reading CuD it was basically a 'news magazine' which
  258. included many short articles on a variety of topics, occasional
  259. 'theme' issues, and some good editorial content. Lately I've noticed
  260. that it's character is changing. It has gone from a pre-processed
  261. information source to a news clipping service. Every time something of
  262. interest happens it is immediately sent out to CuD (usually the
  263. original document announcing the occurrence is just re-posted). This is
  264. not necessarily bad, I never liked anyone volunteering their opinion
  265. anyway. =) However I think if this is the trend that CuD is going to
  266. follow that you might want to consider a different format for your
  267. articles. Instead of sending them out why not put them on a gopher (or
  268. better yet) WWW server? That way one can not only quickly get to
  269. useful information but that information will stick around after the
  270. article is autodeleted (I read CuD through usenet) a week or so after
  271. it's posted. Using gopher or WWW formats is also much easier to deal
  272. with than ftp.
  273.  
  274. I hope CuD decides to develop a split personality. I like having a
  275. 'human' going through the net and pulling out interesting information
  276. but I also liked the articles, commentary, etc. that used to the
  277. mainstay of CuD. And of course, being a big believer in putting your
  278. money where your mouth is, I would be willing to help set up (i.e.
  279. learn how to) and maintain (i.e. donate time) a gopher or WWW server.
  280.  
  281. Never the less CuD is doing a great job and is a definite must read
  282. for anyone who wants to understand the legal aspects of the computer
  283. world.
  284.  
  285. ------------------------------
  286.  
  287. Date: Thu, 23 Sep 1993 17:31:01 CDT
  288. From: CuD Moderators <tk0jut2@mvs.cso.niu.edu>
  289. Subject: File 6--CuD Posting Policies and Processes (A Response)
  290.  
  291. Eric Schnoebelen, Yaron Goland, and Gray Watson provide us with the
  292. opportunity to address several issues with which we constantly
  293. grapple, often without successful resolution.  Their concerns raise
  294. issues of the rights, responsibilities, and other problems facing
  295. electronic media.  We have tried to frame our answers in three ways.
  296. First, we attempt to address the concerns raised by Eric, Gray, and
  297. Yaron. Second, we attempt to place them in a context that provides
  298. insights into putting out CuD. Finally, we expand our responses to
  299. include similar questions and concerns expressed by readers.
  300.  
  301. What follows may be excessively self indulgent for some, but we feel
  302. it necessary in part to address some of the concerns raised, but also
  303. to provide a clearer sense of the backstage CuD region.
  304.  
  305.                            RESPONSE TO GRAY
  306.  
  307. Gray observes that we re-published a lengthy news article without
  308. permission and even included the original line indicating that
  309. permission was not obtained. He finds this troubling. So do we.
  310.  
  311. We assume that readers have obtained permission to reprint articles
  312. UNLESS OTHERWISE STATED. If it's clear that permission has not been
  313. obtained, if the article warrants publishing, we will edit down to
  314. fair-use limitations.  Sometimes we judge it necessary to reprint an
  315. entire article because either editing would distort the meaning,
  316. or--when doing a media critique--the entire article is necessary to
  317. avoid risk of seeming to take isolated quotes out of context.
  318. Although "fair-use" remains ambiguously broad, CuD is in that category
  319. of publications in which fair-use is flexible: We are non-profit and
  320. educational.  Despite the latitude, we do our best to err on the side
  321. of caution.
  322.  
  323. In the case of the article that Gray cites, we simply goofed.  The
  324. article was in the "to-edit" pile, and somehow it simply slipped into
  325. the "go" pile when the posts for the issue were assembled.  Although
  326. time and other constraints do not excuse us, we hope they at least
  327. explain it, as we indicate below in our response to Yaron.  Sometimes
  328. mistakes happen, and while we're pleased that they seem to happen
  329. relatively infrequently, we remain red-faced when they occur.  For
  330. this reason, we continually urge readers to do one of three things
  331. when sending reprints: 1) Obtain permission for long articles (fair
  332. use applies for short articles); or 2) Edit the article with a series
  333. of quotes and summaries; or 3) Indicate that permission was *not*
  334. obtained, and we will try to edit.  Unfortunately, time is scarce, so
  335. especially long pieces may not be printed. Nonetheless, all articles
  336. are appreciated, because they keep us abreast of the news, and we add
  337. them to our own files.
  338.  
  339.                            RESPONSE TO ERIC
  340.  
  341. Eric raises a few serious issues that, despite passionate debate on
  342. all sides, remains unresolved. He notes that we ran a post from a
  343. semi-private discussion list without first obtaining permission.  We
  344. resolved the case to which Eric alludes in private e-mail.  The
  345. persons directly affected were reasonable, understanding, and helpful.
  346. We apologized privately, and we apologize again for any inconvenience
  347. we may have caused them. We did not understand the context of the post
  348. and assumed it was a public announcement.  This was our
  349. misunderstanding and *not* the fault of the person who sent the
  350. original post to us or anybody else. But, this raises other issues.
  351.  
  352. 1) CuD POLICY ON RE-PRINTING POSTS
  353.  
  354. When we intend to reprint a piece posted elsewhere, we try to assure
  355. in writing that we have permission. Some frequent contributors provide
  356. blanket permission.  Others we write to obtain permission.  Sometimes
  357. we receive posts that are for our information and not to be reprinted.
  358. However, we assume that any article that is obviously not personal
  359. mail that does not indicate NOT FOR PUBLICATION is sent for
  360. consideration. Generally, there are few slips, either by CuD or by
  361. contributors. Sometimes there is a gray area. Sometimes what we or a
  362. contributor find acceptable is not deemed so by original authors.
  363.  
  364. 2) MAY PUBLIC POSTS BE REPRINTED WITHOUT PERMISSION?
  365.  
  366. Eric's concerns raise a fundamental question for electronic
  367. communication.  The status of public electronic posts remains unclear.
  368. In our view, a public e-post is fair game in the same sense as a
  369. public speech or other public behavior.  We often receive relevant
  370. informational posts cross-posted on Usenet newsgroups. In these cases,
  371. we assume that wide distribution was intended by the original poster
  372. and that reprint permission is assumed.  If we receive articles that
  373. include one or more posts from elsewhere, we assume that publication
  374. of the enclosed comments are acceptable. It is simply impossible to
  375. track down every poster or check every fact in articles. Nor do we
  376. avoid publishing a piece that we judge to be proper simply because
  377. somebody may criticize us for running it.  But, we do our best to
  378. follow Internet norms, and those norms generally hold that permissions
  379. to reprint ought be obtained when possible.
  380.  
  381. There is another issue, however, one relevant especially for
  382. researchers. Should PUBLIC posting areas be a research ground for
  383. graduate students and others? Is it proper to use public posts in
  384. research? Is it proper to do statistical analyses of public posts
  385. without obtaining permission from those on the list?  In our own view,
  386. the nature of most research and the pre/proscriptions of professional
  387. codes of ethics cover this:  Research in public places is fully
  388. permissible without notifying those being observed. Therefore,
  389. counting flames on alt.feminism, or using snippets from a given
  390. newsgroup to display social processes of, for example,
  391. computer-mediated communication, is neither illegal nor unethical if
  392. done in accordance with existing professional standards of conduct.
  393.  
  394. We take Eric's concerns sufficiently seriously that we intend to
  395. address them soon in a future conference paper.  We do not see any
  396. easy answers, and certainly none likely to generate consensus.  But, a
  397. healthy debate helps clarify what's at stake and hopefully minimizes
  398. abuse and increases responsibility, and Eric's comments are helpful
  399. for this.
  400.  
  401.                           RESPONSE TO YARON
  402.  
  403. Yaron Goland is probably  correct in noting the changes in CuD over
  404. the years.  We think there are several reasons for this:
  405.  
  406.  1) The "cyberworld" has changed from our early days, and we reflect
  407. the climate.
  408.  
  409. 2) the basic issues that we addressed (eg, Sundevil, Bill Cook, etc)
  410. have receded into the background, and the conflicts have generally
  411. taken more genteel forms low on drama but high on import, such as
  412. legislative lobbying for California's electronic access bill,
  413. lobbying efforts opposing encryption control, or the backstage efforts
  414. of groups such as CPSR or EFF that quietly file FOIA requests and
  415. adapt slow-moving legal tactics.
  416.  
  417. 3) Our readership has grown dramatically---our first issue had less
  418. than 200 readers in March, 1990--all on a mailing list.  Today, we
  419. have over 80,000 from usenet, the mailing list, BBSes, public access
  420. systems, ftp/etc, and the diversity means we try to match our articles
  421. to the broader-based interests.  We are not sure that this is good,
  422. but on the other hand, we decided to let things just take their
  423. course;
  424.  
  425. 4) The readers themselves change---and their interests follow.
  426.  
  427. 5) There are simply more issues and much more information available.
  428.  
  429.              THE GENESIS OF CuD -- Maturity or Senility?
  430.  
  431. At the heart of Yaron's comment lies a broader issue: What are the
  432. crucial issues affecting cyberspace and what is the best way to
  433. disseminate information and encourage discussion amongst those who do
  434. not have easy access to a forum to express their views?  What is the
  435. role of Cu Digest, RISKS, TELECOM Digest, and others in providing such
  436. a forum? What obligations do such digests have to readers, and how can
  437. editors or moderators assure that they reflect crucial issues and
  438. diverse points of view without becoming a self-indulgent platform for
  439. idiosyncratic opinions?
  440.  
  441. CuD has changed: Some have complimented (or criticized) us for
  442. "mellowing out" and refining (or dulling) the gadfly edge.  The
  443. observation does have some merit. CuD originated as a temporary
  444. mailing list to handle posts related to the Phrack and Len Rose cases
  445. and to generate related discussion that TELECOM Digest could not
  446. publish. As a consequence, the CuD editors had no long-range goals
  447. or unifying vision.  The early style of posters and editors reflected
  448. passion and urgency--not always wisely expressed in the immediacy and
  449. heat of the moment--to rectify perceived injustice.  We saw little
  450. reason at the time for caution, because we did not believe we would be
  451. pursuing the issues for very long.  Then came Sun Devil and a new
  452. round of discussions. Chip Rosenthal's initiative in making CuD a
  453. Usenet group expanded the readership, Bob Krause set up a mail
  454. archive, Brendan Kehoe set up the ftp archives, and we became
  455. "establishment." With the expanded sites and growing readership, we
  456. were no longer speaking to a small audience, but to a group with
  457. dramatic diversity in perspectives, interests, and background.  The
  458. posters comments and articles reflected this diversity, and we try to
  459. reflect it in the posts we publish.
  460.  
  461. Both CuD editors are academics at heart, so the tenor of the posts
  462. perhaps over-represents conferences, reviews, research, and other
  463. material of fairly specialized interest. On the other hand, the
  464. overwhelming bulk of CuDs Net readers come from academia as scholars,
  465. programmers, or students, or from an areas sharing similar interests
  466. (media personnel, attorneys).  BBS readers, by contrast, are more
  467. varied, and from them we often receive suggestions to expand the range
  468. of articles even further to cover the BBS world more thoroughly.
  469.  
  470. Unfortunately, putting out CuD is time consuming. We say this without
  471. complaint, and note it as a simple fact of life that significantly
  472. shapes what we do. Managing the mailing list, writing our own
  473. comments, formatting posts, responding to considerable mail, digging
  474. up any information for news notes that we ourselves write, trying to
  475. edit news stories to fit within "fair use" restrictions, and other
  476. small tasks take, in the aggregate, on average of 25-30 hours a week.
  477. Both editors have "real jobs" unrelated to CuD that require at least
  478. 50 hours a week.  With no resources, no staff, and no other incentive
  479. than a naive passion for information, we often cannot put the effort
  480. into obtaining, writing, or editing news that we would like.
  481. Sometimes we goof, as Gray and Eric noted above.  On the other hand,
  482. the initiative of readers in sending us information, of posters who
  483. provide not-for-publication thought-provoking comments, and the
  484. networking aspect of putting out a 'Zine is rewarding because of the
  485. people we meet face-to-face and electronically and the intellectual
  486. rewards that accrue.
  487.  
  488. Our intent here is not simply self-indulgence.  Rather, by laying out
  489. the genesis and structure of what happens behind the scenes, we hope
  490. that readers will have a better understanding of the editorial
  491. processes and, if they have suggestions for changes in direction or
  492. content, make them within the context of these processes.
  493.  
  494.                         How are CuDs Put Out?
  495.  
  496. We're periodically asked how we put out an issue. It's rather simple:
  497. 1) posts arrive in our mailbox or by disk and we sort through them. We
  498. do not run "Usenet" type posts in which a poster simply responds with
  499. a few lines, but we do try to present any reasonable post that raises
  500. issues or presents new information.  We do not censor content, and we
  501. occasionally ask posters to revise to clarify or elaborate on their
  502. points.  We're occasionally asked why we run a particular piece,
  503. because it may seem offensive, unrelated to readers' interests, or
  504. otherwise inappropriate. The answer is simple: We try to give
  505. everybody a chance to speak, and diversity of ideas and perspectives
  506. beats the opposite.  2) We select about 800 lines (40 K), give or take
  507. 10 percent.  As a consequence, some posts might be delayed because of
  508. space constraints and "fit." 3) We usually format to 70 characters per
  509. line and edit the subject headers to try about 50 characters, and
  510. remove sigs and control characters. 4) We assemble the articles, run a
  511. spell check, and then add the "Administrivia" and index. 5) We sent
  512. out three separate files: One to Usenet, one to the Central Michigan
  513. U.  listserv, and one to the bad addresses that the listserv can't
  514. read.  6) We wait for the bounces, usually about 15 each issue, of
  515. which about half are "anomalies" (full mailboxes, down systems) and
  516. the rest are "user not known" or "unknown domain." After three
  517. consecutive bounces, a user is notified of deletion from the mailing
  518. list with an explanation and instructions for resubbing (assuming the
  519. notification does not bounce, which they usually do).
  520.  
  521. We've tried the various suggestions and mini-programs that readers
  522. have send over as a way of automating each issue, but the system from
  523. which we work can't accommodate most of them, so we rely on primitive
  524. batch files when possible. Deletions, subscriptions, and other tasks
  525. are done semi-manually.
  526.  
  527. Gordon lives and works in the Chicago suburbs, and Jim lives about 60
  528. miles west in DeKalb. They try to coordinate as much as possible by
  529. e-mail and telephone. Imperfect, but it works.
  530.  
  531. So, for those who've asked in the past, now ya probably know more than
  532. you ever wanted.
  533.  
  534.                            SOME SUGGESTIONS
  535.  
  536. Readers have suggested a variety of things CuD could do.
  537.  
  538. In an unpublished section of his post, Yaron urged that we set up a
  539. gopher site. An interesting idea, and we're open to suggestions.
  540. Yaron also suggested recruiting readers to perform certain tasks
  541. on a regular basis. For example, we could add a book review editor,
  542. a media commentator, somebody willing to conduct an interview
  543. with newsworthy cyberfolk once every few months, or other tasks.
  544. The suggestion of periodic special issues by guest editors is also
  545. a possibility.
  546.  
  547. Other readers have suggested that we focus more on specific issues
  548. (e.g., law, BBSes, research papers, interviews with newsworthy
  549. cyberpersonalities). We like all of these ideas, but they are
  550. time-consuming. We especially like the idea of interviews, but a
  551. one-issue interview would require at least an hour of the interview
  552. itself, about 3 hours for transcribing, and another hour of editing,
  553. plus incidental time of set-up and other tasks.  That's a day's work,
  554. and time is scarce. Perhaps readers could conduct interviews on
  555. occasion and send them over.
  556.  
  557. The suggestion of assembling issues into themes so they could be
  558. discarded more easily if readers weren't interested in the theme is
  559. tempting. For example, conference notices could be placed in one
  560. issue, bibliographies in one issue, news blurbs in a single
  561. issue--we'll consider it.
  562.  
  563. Expanding CuDs to three issues a week? Probably not wise. Two issues
  564. seems about the limit of tolerance for most readers.
  565.  
  566. Then there are the mixed/contradictory suggestions: More writing by
  567. CuD editors/Less writing by CuD editors; Some fiction and creative
  568. writing/No fiction or fluff stuff; Don't stray so far from explicitly
  569. cyber-issues/More straying; Don't be so leftist/Move to the right; Set
  570. an example/challenge convention; Be more serious/Lighten up a
  571. bit.......the list goes on.  While we may appear unresponsive to
  572. suggestions/criticisms, we actually do take most of them seriously.
  573.  
  574. All of this is a terribly verbose way of saying that, given the growth
  575. of CuD, it's time to reassess what a CuD is. If you have ideas for
  576. guidance in the coming year(s), let us know.
  577.  
  578. For those who have read this far and haven't been hit by the MEGO ("my
  579. eyes glazeth over") effect, our intent has been to explain, *not*
  580. justify, how and why errors occur, and to give a sense of what goes on
  581. at this end of the screen. Hopefully, it will reduce some of the
  582. misunderstandings that some media and law enforcement folk have about
  583. CuD. It might also provide a few paragraphs for the occasional student
  584. paper inquiry we receive.  Most responses to "whither CuD" are "keep
  585. up what you're doing," but we're open to suggestions and especially
  586. receptive to articles of relevance.
  587.  
  588. Jim and Gordon
  589.  
  590. ------------------------------
  591.  
  592. Date: Fri, 24 Sep 1993 15:18:56 -0700
  593. From: Brendan Kehoe <brendan@LISA.CYGNUS.COM>
  594. Subject: File 7--September 29 BBLISA meeting]
  595.  
  596. +------ Forwarded Message
  597. From--etnibsd!vsh@uunet.uu.net
  598. Message-Id--<9309242000.AA02698@grumpy>
  599. Subject--September 29 BBLISA meeting
  600. To--sage-announce@usenix.org, nneuug@coos.dartmouth.edu
  601. Date--Fri, 24 Sep 93 16:00:56 EDT
  602.  
  603.     [ apologies if this is a duplicate posting -- vsh ]
  604.  
  605.                         ANNOUNCEMENT
  606.  
  607.                 September 29 BBLISA meeting
  608.  
  609.   Topic:  Computer Crime
  610.  
  611. Jim Powers of the FBI and a prosecutor from the Attorney General's
  612. office will be the speakers next Wednesday's Back Bay LISA meeting.
  613. They will be addressing what you should be aware of when administering
  614. your site, what we can do to protect ourselves, and what steps you
  615. should take when you suspect your system is being wrongly used.
  616.  
  617. Date:  Wed., Sept. 29, 7:30pm *[note the changed time]*
  618.  
  619. Where:  MIT
  620. Room 329
  621. Building E51
  622. 70 Memorial Drive (entrance at corner of Wadworth and Amherst)
  623. Cambridge, MA
  624.  
  625. Directions:
  626.  
  627. Car:  For folks driving, follow Memorial Drive to Wadsworth St. which
  628. will take you to the rear of the building.  Entrance and parking are
  629. at the rear.
  630.  
  631. T:    Red Line Kendall Square stop.  Head over to Au Bon Pain, take
  632. a right onto Wadsworth St.  E51 is at the corner of Wadsworth and
  633. Amherst.
  634.  
  635. Back Bay LISA (BBLISA) holds monthly meetings, on the last Wednesday
  636. of each month, except November and December.  Meetings are usually at
  637. a Boston-Metro location.  Meetings feature a speaker, or a panel of
  638. speakers, and time for announcements and group discussion.  Topics
  639. include all aspects of system administration (both large and small),
  640. networking, security, privacy, etc.
  641.  
  642. Membership in the group is FREE.  To become a member, join one of the
  643. following mailing lists.  You'll receive full details of forthcoming
  644. meetings, locations, precise dates, etc.
  645.  
  646. BLISA information is distributed by email, only.  To join the
  647. announcement mailing list, send email to the list server at
  648. `bblisa-announce-request@cs.umb.edu' with a text line of `subscribe'.
  649.  
  650. There is also a BBLISA discussion list.  To join this list, send a
  651. subscribe message to `bblisa-request@cs.umb.edu'.  All announcement
  652. messages are automatically relayed to this list, so you don't need to
  653. join both.
  654.  
  655. + --
  656.  Steve Harris - Eaton Corp. - Beverly, MA - etnibsd!vsh@uunet.uu.net
  657.  
  658. ++++++- End of Forwarded Message
  659.  
  660. ------------------------------
  661.  
  662.  
  663.    NEW HAVEN (AP)--A federal grand jury indicated a Redding (Conn)
  664. man Wednesday, charging him with conspiring with others to import
  665. child pornography into the United States, authorities said.
  666.  
  667.    The four-count indictment charging John Looney, 51, is part of
  668. "Operation Longarm," a U.S. Department of Justice and Customs Service
  669. effort focusing on the use of computers to import pornographic
  670. materials from Denmark. Search warrants have been issued in 15 states.
  671.  
  672. ------------------------------
  673.  
  674. Date: 24 Sep 1993 11:26:49 -0800
  675. From: "AJ Bate" <AJ_Bate@QM.SRI.COM>
  676. Subject: File 8--The State of Security of Cyberspace (SRI Research Summary)
  677.  
  678.                  THE STATE OF SECURITY OF CYBERSPACE
  679.  
  680.                      A Summary of Recent Research
  681.  
  682.                                   by
  683.  
  684.                           SRI International
  685.  
  686.                               June 1993
  687.  
  688.  SRI International (SRI) conducted a worldwide study in 1992 of a
  689. broad range of security issues in "cyberspace."  In brief, cyberspace
  690. comprises all public and private communications networks in the United
  691. States and elsewhere, including telephone or public switched telephone
  692. networks (PSTNs), packet data networks (PDNs) of various kinds, pure
  693. computer networks, including the Internet, and wireless communications
  694. systems, such as the cellular telephone system.  We did not address
  695. security vulnerabilities associated with classified, secure
  696. communications networks used by and for governments, nor did we
  697. explore toll fraud issues.
  698.  
  699.  The study was conducted as part of our ongoing research into the
  700. vulnerabilities of various software components of cyberspace.  Our
  701. approach was to conduct research through field interviews with a broad
  702. range of experts, including people we characterize as "good hackers,"
  703. into security issues and vulnerabilities of cyberspace and the
  704. activities of the international "malicious hacker" community.
  705.  
  706.  While the specific results of the study are proprietary to SRI, this
  707. brief report summarizes our general conclusions for the many
  708. individuals who kindly participated in our field interviews.  As we
  709. indicated during the interviews, the original research for this
  710. project was not part of any other kind of investigation, and we have
  711. not revealed the identity of any of our respondents.
  712.  
  713.   The study aimed to understand "malicious hackers"-that is, people
  714. who have and use the technical knowledge, capability, and motivation
  715. to gain unauthorized access, for various reasons, to systems in
  716. cyberspace.  It is important to understand that by no means all
  717. hackers are malicious, nor does most hacking involve unauthorized
  718. access to cyberspace systems; indeed, only a small fraction of
  719. computer hacking involves such activities but this fraction gives
  720. hacking an otherwise undeserved bad reputation.  While we intended to
  721. focus on technical (software) vulnerabilities, our interviews led us
  722. to look more at the broader motivations for, and different approaches
  723. to, cracking into various networks and networked systems.
  724.  
  725.  MAIN CONCLUSIONS
  726.  
  727.  Our main conclusion is that social, organizational, and technological
  728. factors still combine in ways that make much of cyberspace relatively
  729. vulnerable to unauthorized access.  The degree of vulnerability varies
  730. from one type of communications system to another.  In general, the
  731. PSTN is the least vulnerable system, the PDNs are somewhat more
  732. vulnerable than the PSTN, the Internet is relatively insecure, and as
  733. is widely known, the cellular phone system is the most vulnerable of
  734. the four major areas we addressed.
  735.  
  736.  The main vulnerabilities in most communications networks involve
  737. procedural, administrative, and human weaknesses, rather than purely
  738. technical vulnerabilities of network management, control systems,
  739. hardware, and software.
  740.  There are technical vulnerabilities-poor system design and specific
  741. security flaws in software-but they are exploitable mainly because of
  742. the above-cited problems.
  743.  
  744.  Highlights of the study's conclusions include:
  745.  
  746. o       Malicious attacks on most networks and networked systems cannot be
  747. completely prevented, now or in the future.  More than enough
  748. information is publicly available to hackers and other technically
  749. literate people to preclude attempts at prevention of intrusions.
  750.  
  751. o       It is possible that individuals or groups could bring down
  752. individual systems or related groups of systems, on purpose or by
  753. accident.  However, security is generally improving as a result of
  754. dealing with past threats and challenges to system security.  For
  755. instance, responses to the most recent serious threat to the Internet,
  756. the so-called Internet Worm in 1989, included improved security at
  757. sites vulnerable to this type of worm.
  758.  
  759. o       We found no evidence that the current generation of U.S. hackers is
  760. attempting to sabotage entire networks.  On the contrary, doing so is
  761. inconsistent with the stated ethics and values of the hacker
  762. community, which are to explore cyberspace as a purely intellectual
  763. exercise without malicious intent or behavior.  Some individuals who
  764. operate outside this informal ethical framework, however, can and do
  765. damage specific systems and occasionally use systems for personal gain
  766. or vindictive activities.
  767.  
  768. o       There is some evidence that the newest generations of hackers may be
  769. motivated more by personal gain than by the traditional motive of
  770. sheer curiosity.  This development could mean that networks and
  771. networked systems could become more likely targets for attacks by
  772. hardened criminals or governments' intelligence services or their
  773. contractors (i.e., employing malicious hackers).  This threat does not
  774. appear to be significant today but is a possible future scenario.
  775.  
  776. o       The four major areas of vulnerability uncovered in our research have
  777. little or nothing to do with specific software vulnerabilities per se.
  778. They relate more to the ways in which hackers can gain critical
  779. information they need in order to exploit vulnerabilities that exist
  780. because of poor systems administration and maintenance, unpatched
  781. "holes" in networks and systems, and so on.
  782.  
  783. -       The susceptibility of employees of businesses, public organizations,
  784. schools, and other institutions to "social engineering" techniques
  785.  
  786. -       Lax physical and procedural controls
  787.  
  788. -       The widespread availability of nonproprietary and of sensitive and
  789. proprietary information on paper about networks and computer systems
  790.  
  791. -       The existence of "moles," employees of communications and computer
  792. firms and their suppliers who knowingly provide proprietary
  793. information to hackers.
  794.  
  795. o       The vulnerabilities caused by shortcomings in software-based access
  796. controls and in hardware-related issues constitute significantly lower
  797. levels of risk than do the four areas discussed above on more secure
  798. networks such as the PSTN and PDNs.  However, on the Internet and
  799. similar systems, software-based access controls (for instance,
  800. password systems) constitute significant problems because of often
  801. poor system maintenance and other procedural flaws.
  802.  
  803.  RECOMMENDATIONS
  804.  
  805.  On the basis of our research, we recommend the following:
  806.  
  807.  1.     Protection of organizational information and communications assets
  808. should be improved.  Issues here range from those involving overall
  809. security systems to training employees in, and informing customers of
  810. the importance of, maintenance of security on individual systems,
  811. handling and disposition of sensitive printed information, and dealing
  812. with social engineering.
  813.  
  814.  2.     Techniques used to protect physical assets should be improved.
  815. For example, doors and gates should be locked properly and sensitive
  816. documents and equipment guarded appropriately.
  817.  
  818.  3.     Organizations and their employees should be made aware of the
  819. existence of moles and their role in facilitating and enabling hacker
  820. intrusions, and care should be taken in hiring and motivating
  821. employees with the mole problem in mind.
  822.  
  823.  4.     Software- and hardware-based vulnerabilities should also be
  824. addressed as a matter of course in systems design, installation, and
  825. maintenance.
  826.  
  827.  5.     Organizations concerned with information and communications
  828. security should proactively promote educational programs for students
  829. and parents about appropriate computer and communications use,
  830. personal integrity and ethics, and legitimate career opportunities in
  831. the  information industry; and they should reward exemplary skills,
  832. proficiency, and achievements in programming and ethical hacking.
  833.  
  834.  6.     Laws against malicious hacking should be fairly and justly
  835. enforced. SRI's believes that the results of this study will provide
  836. useful information to both the operators and users of cyberspace,
  837. including the hacker community. We plan to continue our research in
  838. this area during 1993 within the same framework and conditions (i.e.,
  839. anonymity of all individuals and organizations) as those that governed
  840. the 1992 research.  We invite hackers and others who are interested in
  841. participating in this work through face-to-face, telephone, or e-mail
  842. interviews to contact the following member of the SRI project team:
  843.  
  844. A. J. Bate SRI International
  845. Phone:415 859 2206
  846. Fax:415 859 3154
  847. E-mail:aj@sri.com
  848.  
  849. ------------------------------
  850.  
  851. End of Computer Underground Digest #5.75
  852.