home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / cud / cud674.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  40.0 KB  |  882 lines

  1. Computer underground Digest    Thu  Aug 18, 1994   Volume 6 : Issue 74
  2.                            ISSN  1004-042X
  3.  
  4.        Editors: Jim Thomas and Gordon Meyer (TK0JUT2@NIU.BITNET)
  5.        Archivist: Brendan Kehoe
  6.        Retiring Shadow Archivist: Stanton McCandlish
  7.        Shadow-Archivists: Dan Carosone / Paul Southworth
  8.                           Ralph Sims / Jyrki Kuoppala
  9.                           Ian Dickinson
  10.        Campy Editor:      Shrdlu Etaionsky
  11.  
  12. CONTENTS, #6.74 (Thu, Aug 18, 1994)
  13.  
  14.  
  15. Cu-Digest is a weekly electronic journal/newsletter. Subscriptions are
  16. available at no cost electronically.
  17.  
  18. CuD is available as a Usenet newsgroup: comp.society.cu-digest
  19.  
  20. Or, to subscribe, send a one-line message:  SUB CUDIGEST  your name
  21. Send it to LISTSERV@UIUCVMD.BITNET or LISTSERV@VMD.CSO.UIUC.EDU
  22. The editors may be contacted by voice (815-753-0303), fax (815-753-6302)
  23. or U.S. mail at:  Jim Thomas, Department of Sociology, NIU, DeKalb, IL
  24. 60115, USA.
  25.  
  26. Issues of CuD can also be found in the Usenet comp.society.cu-digest
  27. news group; on CompuServe in DL0 and DL4 of the IBMBBS SIG, DL1 of
  28. LAWSIG, and DL1 of TELECOM; on GEnie in the PF*NPC RT
  29. libraries and in the VIRUS/SECURITY library; from America Online in
  30. the PC Telecom forum under "computing newsletters;"
  31. On Delphi in the General Discussion database of the Internet SIG;
  32. on RIPCO BBS (312) 528-5020 (and via Ripco on  internet);
  33. and on Rune Stone BBS (IIRGWHQ) (203) 832-8441.
  34. CuD is also available via Fidonet File Request from
  35. 1:11/70; unlisted nodes and points welcome.
  36.  
  37. EUROPE:   from the ComNet in LUXEMBOURG BBS (++352) 466893;
  38.           In ITALY: Bits against the Empire BBS: +39-461-980493
  39.           In BELGIUM: Virtual Access BBS:  +32.69.45.51.77 (ringdown)
  40.  
  41.   UNITED STATES:  etext.archive.umich.edu (141.211.164.18)  in /pub/CuD/
  42.                   ftp.eff.org (192.88.144.4) in /pub/Publications/CuD
  43.                   aql.gatech.edu (128.61.10.53) in /pub/eff/cud/
  44.                   world.std.com in /src/wuarchive/doc/EFF/Publications/CuD/
  45.                   uceng.uc.edu in /pub/wuarchive/doc/EFF/Publications/CuD/
  46.                   wuarchive.wustl.edu in /doc/EFF/Publications/CuD/
  47.   EUROPE:         nic.funet.fi in pub/doc/cud/ (Finland)
  48.                   ftp.warwick.ac.uk in pub/cud/ (United Kingdom)
  49.  
  50.   JAPAN:          ftp.glocom.ac.jp /mirror/ftp.eff.org/
  51.  
  52. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  53. information among computerists and to the presentation and debate of
  54. diverse views.  CuD material may  be reprinted for non-profit as long
  55. as the source is cited. Authors hold a presumptive copyright, and
  56. they should be contacted for reprint permission.  It is assumed that
  57. non-personal mail to the moderators may be reprinted unless otherwise
  58. specified.  Readers are encouraged to submit reasoned articles
  59. relating to computer culture and communication.  Articles are
  60. preferred to short responses.  Please avoid quoting previous posts
  61. unless absolutely necessary.
  62.  
  63. DISCLAIMER: The views represented herein do not necessarily represent
  64.             the views of the moderators. Digest contributors assume all
  65.             responsibility for ensuring that articles submitted do not
  66.             violate copyright protections.
  67.  
  68. ----------------------------------------------------------------------
  69.  
  70. Date: 10 Aug 1994 16:58:23 -0500
  71. From: mech@eff.org (Stanton McCandlish)
  72. Subject: EFF Analysis of Leahy/Edwards Digital Telephony Bill
  73.  
  74. EFF SUMMARY OF THE EDWARDS/LEAHY DIGITAL TELEPHONY BILL
  75. =======================================================
  76.  
  77.  
  78. OVERVIEW
  79. --------
  80.  
  81. The Edwards/Leahy Digital Telephony bill places functional
  82. requirements on telecommunications carriers in order to enable law
  83. enforcement to continue to conduct authorized electronic surveillance. It
  84. allows a court to impose fines on carriers that violate the requirements,
  85. and mandates that the processes for determining capacity requirements and
  86. technical standards be open and public.  The bill also contains significant
  87. new privacy protections; including an increased standard for government
  88. access to transactional data (such as addressing information contained in
  89. electronic mail logs), a requirement that information acquired through the
  90. use of pen registers or trap and trace devices not disclose the physical
  91. location of an individual, and an expansion of current law to protect the
  92. radio portion of cordless telephone conversations from unauthorized
  93. surveillance.
  94.  
  95.  
  96. SCOPE OF THE BILL.  WHO IS COVERED?
  97. -----------------------------------
  98.  
  99. The requirements of the bill apply to "telecommunications carriers", which
  100. are defined as any person or entity engaged in the transmission or
  101. switching of wire or electronic communications as a common carrier for hire
  102. (as defined by section 3 (h) of the Communications Act of 1934), including
  103. commercial mobile services (cellular, PCS, etc.).  The bill also applies to
  104. those persons or entities engaged in providing wire or electronic
  105. communication switching or transmission service to the extent
  106. that the FCC finds that such service is a replacement for a substantial
  107. portion of the local telephone exchange.
  108.  
  109. The bill does not apply to online communication and information services
  110. such as Internet providers, Compuserve, AOL, Prodigy, and BBS's. It also
  111. excludes private networks, PBX's, and facilities which only interconnect
  112. telecommunications carriers or private networks (such as most long
  113. distance service).
  114.  
  115.  
  116. REQUIREMENTS IMPOSED ON CARRIERS
  117. --------------------------------
  118.  
  119. Telecommunications carriers would be required to ensure that they
  120. possess sufficient capability and capacity to accommodate law enforcement's
  121. needs.  The bill distinguishes between capability and capacity
  122. requirements, and ensures that the determination of such requirements occur
  123. in an open and public process.
  124.  
  125.  
  126. CAPABILITY REQUIREMENTS
  127. -----------------------
  128.  
  129. A telecommunications carrier is required to ensure that, within four years
  130. from the date of enactment, it has the capability to:
  131.  
  132. 1.      expeditiously isolate the content of a targeted communication
  133.         within its service area;
  134.  
  135. 2.      isolate call-identifying information about the origin and
  136.         destination of a targeted communication;
  137.  
  138. 3.      enable the government to access isolated communications at a point away
  139.         from the carrier's premises and on facilities procured by the
  140.         government, and;
  141.  
  142. 4.      to do so unobtrusively and in such a way that protects the privacy and
  143.         security of communications not authorized to be intercepted (Sec.
  144.         2601).
  145.  
  146. However, the bill does not permit law enforcement agencies or officers to
  147. require the specific design of features or services, nor does it prohibit a
  148. carrier from deploying any feature or service which does not meet the
  149. requirements outlined above.
  150.  
  151.  
  152. CAPACITY REQUIREMENTS
  153. ---------------------
  154.  
  155. Within 1 year of enactment of the bill, the Attorney General must
  156. determine the maximum number of intercepts, pen register, and trap and
  157. trace devices that law enforcement will require four years from the date of
  158. enactment.  Notices of capacity requirements must be published in the
  159. Federal Register (Sec. 2603).   Carriers have 4 years to comply with
  160. capacity requirements.
  161.  
  162.  
  163. PROCESS FOR DETERMINING TECH. STANDARDS TO IMPLEMENT CAPABILITY REQUIREMENTS
  164. ----------------------------------------------------------------------------
  165.  
  166. Telecommunications carriers, through trade associations or standards
  167. setting bodies and in consultation with the Attorney General, must
  168. determine the technical specifications necessary to implement the
  169. capability requirements (Sec. 2606).
  170.  
  171. The bill contains a 'safe harbor' provision, which allows a carrier to meet
  172. its obligations under the legislation if it is in compliance with publicly
  173. available standards set through this process.   A carrier may deploy a
  174. feature or service in the absence of technical standards, although in such
  175. a case the carrier would not be covered by the safe harbor provision and
  176. may be found in violation.
  177.  
  178. Furthermore, the legislation allows any one to file a motion at the FCC in
  179. the event that a standard violates the privacy and security of
  180. telecommunications networks or does not meet the requirements of the bill
  181. (Sec. 2606).  If petitioned under this section, the FCC may establish
  182. technical requirements or standards that:
  183.  
  184. 1)      meet the capability requirements (in Sec. 2602);
  185.  
  186. 2)      protect the privacy and security of communications not authorized
  187.         to be intercepted, and;
  188.  
  189. 3)      encourage the provision of new technologies and services to the public.
  190.  
  191.  
  192. ENFORCEMENT AND PENALTIES
  193. -------------------------
  194.  
  195. In the event that a court or the FCC deems a technical standard to be
  196. insufficient, or if law enforcement finds that it is unable to conduct
  197. authorized surveillance because a carrier has not met the requirements of
  198. this legislation, the Attorney General can request that a court issue an
  199. enforcement order (an order directing a carrier to comply), and/or a fine
  200. of up to $10,000 per day for each day in violation (Sec. 2607).  However, a
  201. court can issue an enforcement order or fine a carrier only if it can be
  202. determined that no other reasonable alternatives are available to law
  203. enforcement.  This provision allows carriers to deploy features and
  204. services which may not meet the requirements of the bill.  Furthermore,
  205. this legislation does not permit the government to block the adoption or
  206. use of any feature or service by a telecommunications carrier which does
  207. not meet the requirements.
  208.  
  209. The bill requires the government to reimburse carriers for all reasonable
  210. costs associated with complying with the capacity requirements. In other
  211. words, the government will pay for upgrades of current features or
  212. services, as well as any future upgrades which may be necessary, pursuant
  213. to published notices of capacity requirements (Sec. 2608).
  214.  
  215. There is $500,000,000 authorized for appropriation to cover the costs of
  216. government reimbursements to carriers.  In the event that a smaller sum is
  217. actually appropriated, the bill allows a court to determine whether a
  218. carrier must comply (Sec. 2608 (d)).  This section recognizes that
  219. telecommunications carriers may not  be responsible for meeting the
  220. requirements if the government does not cover reasonable costs.
  221.  
  222. The government is also required to submit a report to congress within four
  223. years describing all costs paid to carriers for upgrades (Sec. 4).
  224.  
  225.  
  226. ENHANCED PRIVACY PROTECTIONS
  227. ----------------------------
  228.  
  229. The legislation contains enhanced privacy protections for transactional
  230. information (such as telephone toll records and electronic mail logs)
  231. generated in the course of completing a communication.  Current law permits
  232. law enforcement to gain access to transactional information through a
  233. subpoena.   The bill establishes a higher standard for law enforcement
  234. access to transactional data contained electronic mail logs and other
  235. online records.  Telephone toll records would still be available through a
  236. subpoena.   Under the new standard, law enforcement is required to obtain a
  237. court order by demonstrating specific and articulable facts that electronic
  238. mail logs and other online transactional records are relevant and material
  239. to an ongoing criminal investigation (Sec. 10).
  240.  
  241. Law enforcement is also prohibited from remotely activating any
  242. surveillance capability.  All intercepts must be conducted with the
  243. affirmative consent of a telecommunications carrier and activated by a
  244. designated employee of the carrier within the carrier's facilities (Sec.
  245. 2604).
  246.  
  247. The bill further requires that, when using pen registers and trap and trace
  248. devices, law enforcement will use, when reasonably available, devices which
  249. only provide call set up and dialed number information (Sec. 10).  This
  250. provision will ensure that as law enforcement employs new technologies in
  251. pen register and trap and trace devices, it will not gain access to
  252. additional call setup information beyond its current authority.
  253.  
  254. Finally, the bill extends the Electronic Communications Privacy Act (ECPA)
  255. protections against interception of wireless communications to cordless
  256. telephones, making illegal the intentional interception of the radio
  257. portion of a cordless telephone (the transmission between the handset
  258. and the base unit).
  259.  
  260.  
  261. CELLULAR SCANNERS
  262. -----------------
  263.  
  264. The bill makes it a crime to possess or use an altered telecommunications
  265. instrument (such as a cellular telephone or scanning receiver) to obtain
  266. unauthorized access to telecommunications services (Sec. 9).  This
  267. provision is intended to prevent the illegal use of cellular and other
  268. wireless communications services.  Violations under this section face
  269. imprisonment for up to 15 years and a fine of up to $50,000.
  270.  
  271.  
  272. IMPROVEMENTS OF THE EDWARDS/LEAHY BILL OVER PREVIOUS FBI PROPOSALS
  273. ------------------------------------------------------------------
  274.  
  275. The Digital Telephony legislative proposal was first offered in 1992 by the
  276. Bush Administration.  The 1992 version of the bill:
  277.  
  278. *       applied to all providers of wire or electronic communications
  279.         services (no exemptions for information services, interexchange
  280.         carriers or private networks);
  281.  
  282. *       gave the government the explicit authority to block or enjoin a
  283.         feature or service that did not meet the requirements;
  284.  
  285. *       contained no privacy protections;
  286.  
  287. *       contained no public process for determining the capacity
  288.         requirements;
  289.  
  290. *       contained no government reimbursement (carriers were responsible
  291.         for meeting all costs);
  292.  
  293. *       would have allowed remote access to communications by law
  294.         enforcement, and;
  295.  
  296. *       granted telecommunications carriers only 18 months to comply.
  297.  
  298. The Bush Administration proposal was offered on capitol hill for almost a
  299. year, but did attract any congressional sponsors.
  300.  
  301. The proposal was again offered under the Clinton Administration's FBI in
  302. March of 1993.  The Clinton Administration's bill was a moderated version
  303. of the original 1992 proposal:
  304.  
  305. *       It required the government to pay all reasonable costs incurred by
  306.         telecommunications carriers in retrofitting their facilities in
  307.         order to correct existing problems;
  308.  
  309. *       It encouraged (but did not require), the Attorney General to consult
  310.         with telecommunications industry representatives and standards
  311.         bodies to facilitate compliance,
  312.  
  313. *       It narrowed the scope of the legislation to common carriers, rather
  314.         than all providers of electronic communications services.
  315.  
  316.         Although the Clinton Administration version was an improvement
  317.         over the Bush Administration proposal, it did not address the
  318.         larger concerns of public interest organizations or the
  319.         telecommunications industry.  The Clinton Administration version:
  320.  
  321. *       did not contain any protections for access to transactional
  322.         information;
  323.  
  324. *       did not contain any public process for determining the capability
  325.         requirements or public notice of law enforcement's capacity needs;
  326.  
  327. *       would have allowed law enforcement to dictate system design and
  328.         bar the introduction of features and services which did not meet
  329.         the requirements, and;
  330.  
  331. *       would have allowed law enforcement to use pen registers and trap and
  332.         trace devices to obtain tracking or physical location information.
  333.  
  334.  
  335.                                     * * *
  336.  
  337.  
  338. Locating Relevant Documents
  339. ===========================
  340.  
  341. ** Original 1992 Bush-era draft **
  342.  
  343. ftp.eff.org, /pub/EFF/Policy/FBI/Old/digtel92_old_bill.draft
  344. gopher.eff.org, 1/EFF/Policy/FBI/Old, digtel92_old_bill.draft
  345. http://www.eff.org/pub/EFF/Policy/FBI/Old/digtel92_old_bill.draft
  346. bbs: +1 202 638 6120 (8N1, 300-14400bps), file area: Privacy - Digital
  347.      Telephony; file: digtel92.old
  348.  
  349.  
  350. ** 1993/1994 Clinton-era draft **
  351.  
  352. ftp.eff.org, /pub/EFF/Policy/FBI/digtel94_bill.draft
  353. gopher.eff.org, 1/EFF/Policy/FBI, digtel94_bill.draft
  354. http://www.eff.org/pub/EFF/Policy/FBI/digtel94_bill.draft
  355. bbs: +1 202 638 6120 (8N1, 300-14400bps), file area: Privacy - Digital
  356.      Telephony; file: digtel94.dft
  357.  
  358.  
  359. ** 1994 final draft, as sponsored **
  360.  
  361. ftp.eff.org, /pub/EFF/Policy/FBI/digtel94.bill
  362. gopher.eff.org, 1/EFF/Policy/FBI, digtel94.bill
  363. http://www.eff.org/pub/EFF/Policy/FBI/digtel94.bill
  364. bbs: +1 202 638 6120 (8N1, 300-14400bps), file area: Privacy - Digital
  365.      Telephony; file: digtel94.bil
  366.  
  367.  
  368. ** EFF Statement on sponsored version **
  369.  
  370. ftp.eff.org, /pub/EFF/Policy/FBI/digtel94_statement.eff
  371. gopher.eff.org, 1/EFF/Policy/FBI, digtel94_statement.eff
  372. http://www.eff.org/pub/EFF/Policy/FBI/digtel94_statement.eff
  373. bbs: +1 202 638 6120 (8N1, 300-14400bps), file area: Privacy - Digital
  374.      Telephony; file: digtel94.eff
  375.  
  376.  
  377.  
  378.  
  379. =========================================================================
  380. Received: (from NIUCS for <tk0jut1@mp.cs.niu.edu> via BSMTP)
  381. Received: (from A01MLRV@NIUCS for MAILER@NIU via NJE)
  382.  (UCLA/Mail V1.500 M-RSCS1636-1636-341); Thu, 11 Aug 94 00:35:23 CDT
  383. Received: from NIUCS by NIUCS (Mailer R2.10 ptf000) with BSMTP id 4395; Thu, 11
  384.  Aug 94 00:35:14 CDT
  385. Received: from mp.cs.niu.edu by vm.cso.niu.edu (IBM VM SMTP V2R2) with TCP;
  386.    Thu, 11 Aug 94 00:35:11 CDT
  387. Received: by mp.cs.niu.edu id AA07673
  388.   (5.67a/IDA-1.5 for tk0jut1@niu.bitnet); Thu, 11 Aug 1994 00:34:11 -0500
  389. Date: Thu, 11 Aug 1994 00:34:11 -0500
  390. From: jim thomas <tk0jut1@MP.CS.NIU.EDU>
  391. Message-Id: <199408110534.AA07673@mp.cs.niu.edu>
  392. To: tk0jut1@MVS.CSO.NIU.EDU
  393.  
  394. Article 38013 of comp.org.eff.talk:
  395. Xref: mp.cs.niu.edu comp.org.eff.news:251 comp.org.eff.talk:38013
  396. Path:
  397.  mp.cs.niu.edu!vixen.cso.uiuc.edu!newsfeed.ksu.ksu.edu!moe.ksu.ksu.edu!hobbes.ph
  398.  ysics.uiowa.edu!math.ohio-state.edu!cs.utexas.edu!not-for-mail
  399. From: mech@eff.org (Stanton McCandlish)
  400. Newsgroups:
  401.  alt.activism.d,alt.politics.datahighway,comp.org.eff.news,comp.org.eff.talk
  402. Subject: EFF Analysis of Leahy/Edwards Digital Telephony Bill
  403. Date: 10 Aug 1994 16:58:23 -0500
  404. Organization: UTexas Mail-to-News Gateway
  405. Lines: 303
  406. Sender: nobody@cs.utexas.edu
  407. Approved: mech@eff.org
  408. Distribution: inet
  409. Message-ID: <199408102158.RAA13003@eff.org>
  410. NNTP-Posting-Host: news.cs.utexas.edu
  411.  
  412. EFF SUMMARY OF THE EDWARDS/LEAHY DIGITAL TELEPHONY BILL
  413. =======================================================
  414.  
  415.  
  416. OVERVIEW
  417. --------
  418.  
  419. The Edwards/Leahy Digital Telephony bill places functional
  420. requirements on telecommunications carriers in order to enable law
  421. enforcement to continue to conduct authorized electronic surveillance. It
  422. allows a court to impose fines on carriers that violate the requirements,
  423. and mandates that the processes for determining capacity requirements and
  424. technical standards be open and public.  The bill also contains significant
  425. new privacy protections; including an increased standard for government
  426. access to transactional data (such as addressing information contained in
  427. electronic mail logs), a requirement that information acquired through the
  428. use of pen registers or trap and trace devices not disclose the physical
  429. location of an individual, and an expansion of current law to protect the
  430. radio portion of cordless telephone conversations from unauthorized
  431. surveillance.
  432.  
  433.  
  434. SCOPE OF THE BILL.  WHO IS COVERED?
  435. -----------------------------------
  436.  
  437. The requirements of the bill apply to "telecommunications carriers", which
  438. are defined as any person or entity engaged in the transmission or
  439. switching of wire or electronic communications as a common carrier for hire
  440. (as defined by section 3 (h) of the Communications Act of 1934), including
  441. commercial mobile services (cellular, PCS, etc.).  The bill also applies to
  442. those persons or entities engaged in providing wire or electronic
  443. communication switching or transmission service to the extent
  444. that the FCC finds that such service is a replacement for a substantial
  445. portion of the local telephone exchange.
  446.  
  447. The bill does not apply to online communication and information services
  448. such as Internet providers, Compuserve, AOL, Prodigy, and BBS's. It also
  449. excludes private networks, PBX's, and facilities which only interconnect
  450. telecommunications carriers or private networks (such as most long
  451. distance service).
  452.  
  453.  
  454. REQUIREMENTS IMPOSED ON CARRIERS
  455. --------------------------------
  456.  
  457. Telecommunications carriers would be required to ensure that they
  458. possess sufficient capability and capacity to accommodate law enforcement's
  459. needs.  The bill distinguishes between capability and capacity
  460. requirements, and ensures that the determination of such requirements occur
  461. in an open and public process.
  462.  
  463.  
  464. CAPABILITY REQUIREMENTS
  465. -----------------------
  466.  
  467. A telecommunications carrier is required to ensure that, within four years
  468. from the date of enactment, it has the capability to:
  469.  
  470. 1.      expeditiously isolate the content of a targeted communication
  471.         within its service area;
  472.  
  473. 2.      isolate call-identifying information about the origin and
  474.         destination of a targeted communication;
  475.  
  476. 3.      enable the government to access isolated communications at a point away
  477.         from the carrier's premises and on facilities procured by the
  478.         government, and;
  479.  
  480. 4.      to do so unobtrusively and in such a way that protects the privacy and
  481.         security of communications not authorized to be intercepted (Sec.
  482.         2601).
  483.  
  484. However, the bill does not permit law enforcement agencies or officers to
  485. require the specific design of features or services, nor does it prohibit a
  486. carrier from deploying any feature or service which does not meet the
  487. requirements outlined above.
  488.  
  489.  
  490. CAPACITY REQUIREMENTS
  491. ---------------------
  492.  
  493. Within 1 year of enactment of the bill, the Attorney General must
  494. determine the maximum number of intercepts, pen register, and trap and
  495. trace devices that law enforcement will require four years from the date of
  496. enactment.  Notices of capacity requirements must be published in the
  497. Federal Register (Sec. 2603).   Carriers have 4 years to comply with
  498. capacity requirements.
  499.  
  500.  
  501. PROCESS FOR DETERMINING TECH. STANDARDS TO IMPLEMENT CAPABILITY REQUIREMENTS
  502. ----------------------------------------------------------------------------
  503.  
  504. Telecommunications carriers, through trade associations or standards
  505. setting bodies and in consultation with the Attorney General, must
  506. determine the technical specifications necessary to implement the
  507. capability requirements (Sec. 2606).
  508.  
  509. The bill contains a 'safe harbor' provision, which allows a carrier to meet
  510. its obligations under the legislation if it is in compliance with publicly
  511. available standards set through this process.   A carrier may deploy a
  512. feature or service in the absence of technical standards, although in such
  513. a case the carrier would not be covered by the safe harbor provision and
  514. may be found in violation.
  515.  
  516. Furthermore, the legislation allows any one to file a motion at the FCC in
  517. the event that a standard violates the privacy and security of
  518. telecommunications networks or does not meet the requirements of the bill
  519. (Sec. 2606).  If petitioned under this section, the FCC may establish
  520. technical requirements or standards that:
  521.  
  522. 1)      meet the capability requirements (in Sec. 2602);
  523.  
  524. 2)      protect the privacy and security of communications not authorized
  525.         to be intercepted, and;
  526.  
  527. 3)      encourage the provision of new technologies and services to the public.
  528.  
  529.  
  530. ENFORCEMENT AND PENALTIES
  531. -------------------------
  532.  
  533. In the event that a court or the FCC deems a technical standard to be
  534. insufficient, or if law enforcement finds that it is unable to conduct
  535. authorized surveillance because a carrier has not met the requirements of
  536. this legislation, the Attorney General can request that a court issue an
  537. enforcement order (an order directing a carrier to comply), and/or a fine
  538. of up to $10,000 per day for each day in violation (Sec. 2607).  However, a
  539. court can issue an enforcement order or fine a carrier only if it can be
  540. determined that no other reasonable alternatives are available to law
  541. enforcement.  This provision allows carriers to deploy features and
  542. services which may not meet the requirements of the bill.  Furthermore,
  543. this legislation does not permit the government to block the adoption or
  544. use of any feature or service by a telecommunications carrier which does
  545. not meet the requirements.
  546.  
  547. The bill requires the government to reimburse carriers for all reasonable
  548. costs associated with complying with the capacity requirements. In other
  549. words, the government will pay for upgrades of current features or
  550. services, as well as any future upgrades which may be necessary, pursuant
  551. to published notices of capacity requirements (Sec. 2608).
  552.  
  553. There is $500,000,000 authorized for appropriation to cover the costs of
  554. government reimbursements to carriers.  In the event that a smaller sum is
  555. actually appropriated, the bill allows a court to determine whether a
  556. carrier must comply (Sec. 2608 (d)).  This section recognizes that
  557. telecommunications carriers may not  be responsible for meeting the
  558. requirements if the government does not cover reasonable costs.
  559.  
  560. The government is also required to submit a report to congress within four
  561. years describing all costs paid to carriers for upgrades (Sec. 4).
  562.  
  563.  
  564. ENHANCED PRIVACY PROTECTIONS
  565. ----------------------------
  566.  
  567. The legislation contains enhanced privacy protections for transactional
  568. information (such as telephone toll records and electronic mail logs)
  569. generated in the course of completing a communication.  Current law permits
  570. law enforcement to gain access to transactional information through a
  571. subpoena.   The bill establishes a higher standard for law enforcement
  572. access to transactional data contained electronic mail logs and other
  573. online records.  Telephone toll records would still be available through a
  574. subpoena.   Under the new standard, law enforcement is required to obtain a
  575. court order by demonstrating specific and articulable facts that electronic
  576. mail logs and other online transactional records are relevant and material
  577. to an ongoing criminal investigation (Sec. 10).
  578.  
  579. Law enforcement is also prohibited from remotely activating any
  580. surveillance capability.  All intercepts must be conducted with the
  581. affirmative consent of a telecommunications carrier and activated by a
  582. designated employee of the carrier within the carrier's facilities (Sec.
  583. 2604).
  584.  
  585. The bill further requires that, when using pen registers and trap and trace
  586. devices, law enforcement will use, when reasonably available, devices which
  587. only provide call set up and dialed number information (Sec. 10).  This
  588. provision will ensure that as law enforcement employs new technologies in
  589. pen register and trap and trace devices, it will not gain access to
  590. additional call setup information beyond its current authority.
  591.  
  592. Finally, the bill extends the Electronic Communications Privacy Act (ECPA)
  593. protections against interception of wireless communications to cordless
  594. telephones, making illegal the intentional interception of the radio
  595. portion of a cordless telephone (the transmission between the handset
  596. and the base unit).
  597.  
  598.  
  599. CELLULAR SCANNERS
  600. -----------------
  601.  
  602. The bill makes it a crime to possess or use an altered telecommunications
  603. instrument (such as a cellular telephone or scanning receiver) to obtain
  604. unauthorized access to telecommunications services (Sec. 9).  This
  605. provision is intended to prevent the illegal use of cellular and other
  606. wireless communications services.  Violations under this section face
  607. imprisonment for up to 15 years and a fine of up to $50,000.
  608.  
  609.  
  610. IMPROVEMENTS OF THE EDWARDS/LEAHY BILL OVER PREVIOUS FBI PROPOSALS
  611. ------------------------------------------------------------------
  612.  
  613. The Digital Telephony legislative proposal was first offered in 1992 by the
  614. Bush Administration.  The 1992 version of the bill:
  615.  
  616. *       applied to all providers of wire or electronic communications
  617.         services (no exemptions for information services, interexchange
  618.         carriers or private networks);
  619.  
  620. *       gave the government the explicit authority to block or enjoin a
  621.         feature or service that did not meet the requirements;
  622.  
  623. *       contained no privacy protections;
  624.  
  625. *       contained no public process for determining the capacity
  626.         requirements;
  627.  
  628. *       contained no government reimbursement (carriers were responsible
  629.         for meeting all costs);
  630.  
  631. *       would have allowed remote access to communications by law
  632.         enforcement, and;
  633.  
  634. *       granted telecommunications carriers only 18 months to comply.
  635.  
  636. The Bush Administration proposal was offered on capitol hill for almost a
  637. year, but did attract any congressional sponsors.
  638.  
  639. The proposal was again offered under the Clinton Administration's FBI in
  640. March of 1993.  The Clinton Administration's bill was a moderated version
  641. of the original 1992 proposal:
  642.  
  643. *       It required the government to pay all reasonable costs incurred by
  644.         telecommunications carriers in retrofitting their facilities in
  645.         order to correct existing problems;
  646.  
  647. *       It encouraged (but did not require), the Attorney General to consult
  648.         with telecommunications industry representatives and standards
  649.         bodies to facilitate compliance,
  650.  
  651. *       It narrowed the scope of the legislation to common carriers, rather
  652.         than all providers of electronic communications services.
  653.  
  654.         Although the Clinton Administration version was an improvement
  655.         over the Bush Administration proposal, it did not address the
  656.         larger concerns of public interest organizations or the
  657.         telecommunications industry.  The Clinton Administration version:
  658.  
  659. *       did not contain any protections for access to transactional
  660.         information;
  661.  
  662. *       did not contain any public process for determining the capability
  663.         requirements or public notice of law enforcement's capacity needs;
  664.  
  665. *       would have allowed law enforcement to dictate system design and
  666.         bar the introduction of features and services which did not meet
  667.         the requirements, and;
  668.  
  669. *       would have allowed law enforcement to use pen registers and trap and
  670.         trace devices to obtain tracking or physical location information.
  671.  
  672.  
  673.                                     * * *
  674.  
  675.  
  676. Locating Relevant Documents
  677. ===========================
  678.  
  679. ** Original 1992 Bush-era draft **
  680.  
  681. ftp.eff.org, /pub/EFF/Policy/FBI/Old/digtel92_old_bill.draft
  682. gopher.eff.org, 1/EFF/Policy/FBI/Old, digtel92_old_bill.draft
  683. http://www.eff.org/pub/EFF/Policy/FBI/Old/digtel92_old_bill.draft
  684. bbs: +1 202 638 6120 (8N1, 300-14400bps), file area: Privacy - Digital
  685.      Telephony; file: digtel92.old
  686.  
  687.  
  688. ** 1993/1994 Clinton-era draft **
  689.  
  690. ftp.eff.org, /pub/EFF/Policy/FBI/digtel94_bill.draft
  691. gopher.eff.org, 1/EFF/Policy/FBI, digtel94_bill.draft
  692. http://www.eff.org/pub/EFF/Policy/FBI/digtel94_bill.draft
  693. bbs: +1 202 638 6120 (8N1, 300-14400bps), file area: Privacy - Digital
  694.      Telephony; file: digtel94.dft
  695.  
  696.  
  697. ** 1994 final draft, as sponsored **
  698.  
  699. ftp.eff.org, /pub/EFF/Policy/FBI/digtel94.bill
  700. gopher.eff.org, 1/EFF/Policy/FBI, digtel94.bill
  701. http://www.eff.org/pub/EFF/Policy/FBI/digtel94.bill
  702. bbs: +1 202 638 6120 (8N1, 300-14400bps), file area: Privacy - Digital
  703.      Telephony; file: digtel94.bil
  704.  
  705.  
  706. ** EFF Statement on sponsored version **
  707.  
  708. ftp.eff.org, /pub/EFF/Policy/FBI/digtel94_statement.eff
  709. gopher.eff.org, 1/EFF/Policy/FBI, digtel94_statement.eff
  710. http://www.eff.org/pub/EFF/Policy/FBI/digtel94_statement.eff
  711. bbs: +1 202 638 6120 (8N1, 300-14400bps), file area: Privacy - Digital
  712.      Telephony; file: digtel94.eff
  713.  
  714. ------------------------------
  715.  
  716. Date: 10 Aug 1994 13:33:30 -0500
  717. From: stahlman@radiomail.net (Mark Stahlman (via RadioMail))
  718. Subject: Re: EFF Statement on Leahy/Edwards Digital Telephony Bill
  719.  
  720. Jerry, Danny, Stanton, et al:
  721.  
  722. Well, what a fine kettle of fish you've gotten yourselves into this time.
  723. EFF "supports" a Digital Telephony (wiretap) bill.  Quick, who's got the
  724. smelling salts?
  725.  
  726. You've gone from "Jackboots on the InfoBahn" to "substantially less
  727. intrusive", "significant privacy advances" and "enhanced protection."  And,
  728. just whose picture is that in the dictionary next to the definition of
  729. "cyberdupes" anyway?
  730.  
  731. After successfully defeating draconian legislation for years, EFF now helps
  732. to  . . . draft the kinder-gentler wiretap bill.  Because Leahy and Edwards
  733. "concluded that the passage of such a bill was inevitable this year", EFF
  734. is called upon to perform the one-eyed act in the land of the blind.
  735.  
  736. What happened from last year to this?  Why was any bill "inevitable" in
  737. this Congress?  Did EFF lose it's clout?  Did the Information-SuperHypeway
  738. blitz (that EFF cynically fanned) help tip the balance?
  739.  
  740. I have no doubt that this bill is "better" than the FBI's proposal.  I also
  741. have no doubt that the FBI knew that it's bill was only the starting point
  742. for the negotiations.  And, if passed, this bill will certainly deliver to
  743. the FBI everything that it wants.  That's the way Washington works.  Wake
  744. up.
  745.  
  746. As I've said all along, EFF made themselves part of a process far larger,
  747. more powerful and more professional than they could ever become when they
  748. scrapped the chapters and moved to DC to become lobbyists.  And, since the
  749. "groups" that EFF "represents" are not particularly powerful, EFF's efforts
  750. will inevitably be confined to providing language that helps the truly
  751. powerful groups (like the FBI -- which lest we forget is just the Clinton
  752. administration) get their way.
  753.  
  754. But don't be fooled.  EFF is not an "opposition" group wrestling with the
  755. weighty issues of cyberspace politics.  Despite the advertisements, EFF is
  756. not "hacking politics and then fixing it."  They have opted to become an
  757. integral part of the "system".  Is that a bad thing?  Certainly not.  The
  758. "system" delivers enormous benefits to most of it's citizens.  And, it
  759. needs it's functionaries -- like EFF.
  760.  
  761. But, as Toffler would have put it, ours is a completely obsolete Second
  762. Wave "system" which needs to be radically transformed.  Reread the
  763. concluding section of Toffler's "Third Wave" on 21st Century Democracy.
  764. Published in 1980, this book lays out the issues and predicts the outcomes
  765. that are still worthy of very serious debate, study and action.
  766.  
  767. The technologies we are so intimately involved with will inevitably lead to
  768. profound social and psychological changes which in turn will force the
  769. development of something akin to Toffler's "Third Wave" government.  I
  770. don't know if it will be 20% or 50% the size of current government but it
  771. certainly won't tolerate anything like Gore's NII or this administration's
  772. Information Industrial Policy initiatives.  Nor will it support a police
  773. force bent on wiretaps to catch electronic tax cheats -- a far more
  774. plausible motivation for this legislation than hunting
  775. porno-smuggling-kiddie-grabbing-terror-toting hairballs.
  776.  
  777. We need organizations (and individuals) which are dedicated to working on
  778. the thorny problems of inventing a new government which will be capable of
  779. supporting and defending a cyberspace economy.  This is a process which is
  780. probably best conducted *outside* of the current "system".  As EFF has
  781. shown us, the talk-show temptations of being an "insider" are just too
  782. powerful to be resisted.  Principles don't matter when you're on the
  783. "inside".  Clear, careful and even "radical" thinking doesn't help when the
  784. horse-trading takes over.
  785.  
  786. Re-read the EFF's founding principles, re-read "Across The Electronic
  787. Frontier."  Then, compare the text with the reality.  Take it as an object
  788. lesson in politics.  Disappointed?  Well, maybe that's part of growing up.
  789.  
  790. Hopefully, EFF will take up the case of the Milpitas porn-BBS conviction on
  791. appeal.  Now that's real cyberspace politics!  This administration (yes,
  792. they still run the DoJ) decided to attack cyberspace information rights by
  793. trying to impose the "community standards" of Memphis on all of cyberspace.
  794.  A non-Internet connected private board with $99 annual fees was convicted
  795. of 11 counts of delivering porn over the phone (and acquitted of a kiddie
  796. porn count because the board refused to post the kiddie-GIFs the Feds sent
  797. them).  Yes, there's plenty of important work left for EFF to do.
  798.  
  799. And, what about you?  Start something new, something bold.  Have the
  800. courage to just say no to cyber-crats and digital control freaks.  Forget
  801. mortibund ideologies.  Stop trying to summon Jefferson's (or Marx's or
  802. Rand's) ghost from the grave.  Face up to the fact that we already live in
  803. a networked economy and that millions of people have already entered into
  804. Toffler's new "psycho-sphere".  Pick up the tools at hand and take
  805. responsibility to invent the future.  Your Softbot descendants will honor
  806. you for your valor.
  807.  
  808. Mark Stahlman
  809. New Media Associates
  810. New York City
  811. stahlman@radiomail.net
  812.  
  813. ------------------------------
  814.  
  815. Date: Thu, 18 Aug 1994 14:25:22 -0600 (MDT)
  816. From: "Rob Slade, Ed. DECrypt & ComNet, VARUG rep, 604-984-4067"
  817. Subject: "Secrets of a Super Hacker" by Fiery
  818.  
  819. BKSCSUHK.RVW  940609
  820.  
  821. Loompanics Unlimited
  822. P.O. Box 1197
  823. Port Townsend, WA 98368 206/385-5087 fax 206/385-7785
  824. loompanx@pt.olympus.net
  825. "secrets of a super hacker",
  826. Fiery, 1994; 1-55950-106-5, U$19.95
  827.  
  828. Despite Loompanics' reputation as a "dark side" publisher, this may be
  829. a very good book.  It deals primarily with social engineering, despite
  830. the purported coverage of other topics.  It would therefore be
  831. valuable reading material around corporate lunchrooms, since
  832. forewarned is just a little bit more paranoid and, therefore,
  833. forearmed.  As those involved with data security in the real world
  834. well know, cracking is basically a con job.  Thus, The Knightmare, if
  835. he really is "super", is a con artist par excellence--and is pulling
  836. off a really great con here!
  837.  
  838. Revealing the secrets of social engineering poses very little threat
  839. to security.  Con men already exist and will continue to exist.
  840. Cracker wannabes are unlikely to be able to carry off a successful con
  841. if they need to rely on canned advice like this.  On the other hand,
  842. it is much more likely to shock naive and non-technical users into an
  843. awareness of the need for suspicion and proper procedures--albeit
  844. possibly only temporarily.  Thus, this information is almost
  845. inherently of more use in data protection than in data penetration.
  846.  
  847. As for technical help for the cracker; well, are you really expecting
  848. great technical revelations from someone who knows there is a
  849. difference between baud and bits per second--and gets it backwards?
  850. Or, who thinks 140 and 19,900 baud are standard modem speeds?  Who
  851. thinks Robert Morris' worm found "original" bugs?  (And who doesn't
  852. know the difference between "downgrade" and "denigrate"?)  All the
  853. successful hacks in the book rely on social engineering rather than
  854. technology.  Lots of jargon is thrown in along the lines of, "You need
  855. X," but without saying what X really is, where to get it, or how to
  856. use it.
  857.  
  858. The official definition of a hacker in the book is of the "good side"
  859. seeker after knowledge.  As it is stated early on, a hacker *could* do
  860. lots of mischief--but doesn't.  In the course of the text, though, the
  861. image is much more convoluted.  The book almost seems to be written by
  862. two people; one who is within the culture and has the standard
  863. confused cracker viewpoint, and another, sardonically aware of pulling
  864. the wool over all the wannabes' eyes.  The chapter on contacting the
  865. *true* hacker community is EST-like in its refusal to define when you
  866. might have made it, or how.
  867.  
  868. Like I said, buy it for the corporate or institutional lunchroom.
  869. Make sure that the non-techies get first crack at it.  If you'll
  870. pardon the expression.
  871.  
  872. copyright Robert M. Slade, 1994   BKSCSUHK.RVW  940609
  873.  
  874. ======================
  875. DECUS Canada Communications, Desktop, Education and Security group newsletters
  876. Editor and/or reviewer ROBERTS@decus.ca, RSlade@sfu.ca, Rob Slade at 1:153/733
  877. DECUS Symposium '95, Toronto, ON, February 13-17, 1995, contact: rulag@decus.ca
  878.  
  879. ------------------------------
  880.  
  881. End of Computer Underground Digest #6.74
  882.