home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 1 / HACKER1.ISO / cud3 / cud327h.txt < prev    next >
Text File  |  1992-09-20  |  14KB  |  259 lines
  1.  
  2. Date: Fri, 26 Jul 91 16:34:22 EDT
  3. From: Jerry Leichter <leichter@LRW.COM.UUCP>
  4. Subject: File 8--re: Bill Vajk's latest comments
  5.  
  6. I found Bill Vajk's comments in Cu Digest, #3.26 somewhat depressing.
  7. Here's a bright guy, willing to take the time to, for example, wade
  8. through legal texts, who still seems unable to separate what he WANTS
  9. the law to say, so as to get the RIGHT outcome in some PARTICULAR
  10. case, from what it either DOES say or SHOULD say as a matter of good
  11. social policy.
  12.  
  13. Let's look at the matter of copyrights an publication first.
  14.  
  15. >I was unable to discover the exact requirements currently mandate for
  16. >deposit of software in order to support a copyright.
  17.  
  18. First we need to get the language right.  I know of no legal
  19. significance to the term "support" with respect to a copyright.  In
  20. order to sue for copyright infringement (and ONLY in that case is such
  21. action REQUIRED), you must first register the copyright with the
  22. Copyright Office.  The Office has regulations governing mandatory
  23. deposit for registration (37 C.F.R. Chapter II, Sections 202.19 -
  24. 202.21).  The regulations, as published in 1978, contain exceptions,
  25. including (Section 202.19(c)(5)) "computer programs [and other things,
  26. like databases] ...  published ... only in the form of
  27. machine-readable copies ... from which the work could not ordinarily
  28. be visually perceived except with the aid of a machine...."  In
  29. October 1989, the Copyright Office issued final regulations governing
  30. machine-readable copies.  These regulations eliminated the exception
  31. of 202.19(c)(5), authorizing the Office to demand deposit.  Note,
  32. however, that the demand is not automatic.  Normally, the Copyright
  33. Office only issues demands for material the Library of Congress tells
  34. it it wants.  Appendix B to Part 202 includes a statement that the
  35. current policy of the Copyright Office and the Library of Congress is
  36. to demand the deposit only of materials in PC-DOS, MS-DOS or "other
  37. compatible formats such as Xenix [?]", or Macintosh formats.
  38.  
  39. So, deposit MAY be required.  But WHAT must be deposited?  If the
  40. October 1989 regulations follow the proposed regulations issued for
  41. comment in September 1986 - which I believe is the case - then deposit
  42. of computer programs for which trade secret protection is also
  43. claimed, which have been published only in machine-readable form, can
  44. take one of four forms:  The first and last 25 pages (or equivalent)
  45. of source code, with no more than half the material blacked out; the
  46. complete first and last 10 pages of source code; the first and last 25
  47. pages of object code, containing at least 10 consecutive pages with
  48. nothing blacked out; or, for programs of less then 25 pages, the whole
  49. thing with no more than half blacked out.  In addition, it is possible
  50. to petition for exceptions or suggest alternative forms of deposit.
  51.  
  52. It's worth noting that, even if a full deposit were required, the
  53. deposited information, while a matter of public record, is NOT really
  54. fully public:  It can be examined at the Copyright Office but may not
  55. be removed or copied.
  56.  
  57. It's also worth noting that there is a completely separate deposit
  58. requirement for the Library of Congress, mandated under a different
  59. part of the law (Section 407 of the 1976 Copyright Act).  This applies
  60. only to published material, and there are a variety of exceptions.  As
  61. I noted before, failure to deposit under this regulation has no effect
  62. on copyright, although it may subject you to fines.
  63.  
  64. >The Rose indictment calls the source code "confidential and
  65. >proprietary." It is confidential in an AT&T security employee's dream,
  66. >and that's about the extent.
  67.  
  68. AT&T provides copies of this software only under strict licenses.  It
  69. goes after violaters, and they've done so for years.  (Consider the
  70. Lyons book case.)  While copies have "leaked", copies of the Unix
  71. sources are by no means freely available.  I think AT&T could make a
  72. strong case for the claim that the sources remain "confidential and
  73. proprietary".
  74.  
  75. >Leichter suggests that AT&T could claim to have never published the
  76. >source code. This would be true if sale or offer to sell were a
  77. >requirement. 17 USC addresses these issues with the term "vend"
  78. >instead of "sell." The source code we're talking about has been
  79. >published all right, and is in no way entitled to a "trade secret"
  80. >status.
  81.  
  82. Nonsense.  It's been licensed on a restricted basis.  (Hardly anyone
  83. sells software - you lose control of it too easily.  No one I know of
  84. sells sources.)
  85.  
  86. Two kinds of words occur in legal documents:  "Terms of art"
  87. (technical terms that have taken on specific legal meanings) and
  88. normal English words.  In copyright law, "publication" has essentially
  89. its normal English meaning.  Black's Law Dictionary, for example,
  90. defines it as "The act of making public a book, writing, map, chart,
  91. etc.; that is, offering or communicating it to the public for sale or
  92. distribution of copies."  ("Publication" used to be a very significant
  93. event because it terminated the common-law copyright that protected
  94. unpublished works, and started the clock running on statutory
  95. copy-right protections.  The 1976 Copyright Revision Act abolished
  96. common law copy-rights, and the enabling registration under the Berne
  97. treaty revised this area yet again, so the old concept is long dead.
  98. Curiously, "publication" IS a term of art in another context:  For a
  99. will to be valid, it must be "pub-lished".  However, in this case,
  100. "publication" is accomplished by showing it to two (three?) witnesses,
  101. whose signature is proof of such publication.  "Publication" can also
  102. become an issue in tort law:  To sue for libel, you have to show the
  103. material as "published".  Again, there is a special meaning.)
  104.  
  105. Given the way AT&T licenses its source code, it is clear that they
  106. don't intend to publish it.  In fact, later in the same issue of Cud,
  107. Craig Neidorf even includes a copy of AT&T's notice:
  108.  
  109.        Copyright (c) 1984 AT&T
  110.        All Rights Reserved
  111.  
  112.      * THIS IS UNPUBLISHED PROPRIETARY SOURCE CODE OF AT&T *
  113.      * The copyright notice above does not evidence any    *
  114.      * actual or intended publication of such source code. *
  115.  
  116. AT&T is hardly alone in taking this route to protecting its sources:
  117. It's a commonly-recognized technique, recommended by practitioners in
  118. the field.  I don't know if this has been tested in court, but keep in
  119. mind that the judges who decide on the issue will come from the same
  120. basic legal community that recommends the technique today.  Mr. Vajk,
  121. who thinks he knows better, will not be asked for his opinion.
  122.  
  123. Even in the unlikely case that a court threw out this method of
  124. protection, I'll give you excellent odds that legislation would be
  125. introduced in Congress within a very short time to restore it:  The
  126. computer business is just too important to this country, and too much
  127. of the competitive advantage of American companies stems from software
  128. protected under these terms.  Congress won't care a whit about the Len
  129. Rose's of this world, but they WILL act if they can be convinced that
  130. the Japanese or the Koreans or whoever are about to walk in and copy
  131. all this important American software, and that no one will be able to
  132. stop them.
  133.  
  134. >Leichter defends the errors made by law enforcement, stipulating that
  135. >they have to learn how to deal with computer crime. Agreed, in
  136. >principle, but not in detail. The problems I am addressing have to do
  137. >with the general approach law enforcement seems to be taking to
  138. >solving all crime these days. The Constitution hasn't changed
  139. >recently.
  140.  
  141. I suggest Mr. Vajk learn a little history.  He might try, for example,
  142. to talk to a Japanese-American citizen who spent time in American
  143. internment camps in World War II.  Or to a woman who needed an
  144. abortion before Roe v.  Wade.  (Actually, he may soon be able to find
  145. many women to talk to on that issue.)
  146.  
  147. >Essentially the same rules have applied to investigations.  What does
  148. >an officer have to learn about computer criminality in order to keep
  149. >him from kicking in two doors because some law abiding individual
  150. >tried to get into a bbs that was no longer a bbs? What does he have
  151. >to be taught in order to have the patience necessary to simply wait
  152. >for the guy to get home from work, and ask a few questions?
  153.  
  154. The reasoning here is typical of Mr. Vajk's approach:  He KNOWS that
  155. the individual involved was law-abiding, so he reasons backwards to
  156. find that the police acted unreasonably.  He takes the approach to an
  157. extreme in later responses to Gene Spafford, in which he demands, in
  158. effect, that "innocent until proven guilty" should mean that we, as
  159. individuals, should not even describe as guilty someone whom we
  160. witnessed committing a crime - until a jury finds him so.
  161.  
  162. It may come as a shock to Mr. Vajk, but "innocent until proven guilty"
  163. has a fairly limited meaning in the legal system:  It means that the
  164. burden is on the prosecution to prove the accused guilty, not on the
  165. accused to prove himself innocent.  The accused only has to show
  166. "reasonable doubt" that the charges are true.  "Innocent until proven
  167. guilty" does NOT mean that those charged with a crime are entitled to
  168. all the rights of those not charged.  Unless they can put up bail,
  169. these "innocents" will sit in jail.  If they are charged with certain
  170. crimes, or if a judge thinks they are likely to flee - he does NOT
  171. need proof, much less proof beyond a reasonable doubt! - bail isn't
  172. even available.  The accused's dignity is of little importance to the
  173. law:  When arrested, he will be led out in handcuffs in front of
  174. family, friends, and waiting TV camera's.  There's nothing at all new
  175. about this; the availability of mass media has certainly encouraged
  176. political grandstanding, of course, but I'm not at all sure that more
  177. of this goes on today than in the past.
  178.  
  179. Anyhow, let's get back to the case at hand and look at it from the
  180. side of the police.  They receive a report from a doctor's office
  181. saying that someone is trying to break into their system.  So, as a
  182. start we have a complaint from a high-status individual.  Beyond that,
  183. if someone IS trying to break in, there is potential for serious harm:
  184. Beyond the issues of privacy, ANY unauthorized access to medical
  185. records has at least the potential to lead to incorrect diagnosis and
  186. treatment, possibly causing someone grave harm.  So this is certainly
  187. worth investigating.
  188.  
  189. Anyhow, relying on the doctors, who the police assume know more about
  190. their system than the police do, the police assume someone IS trying
  191. to break in.  They check the phone records and find one or two
  192. suspects.  The evidence available is sufficient to convince a judge to
  193. issue a search warrant.
  194.  
  195. Now, you can already object and say "why not talk to the suspects
  196. first".  For a very simple reason:  If they are, in fact, guilty
  197. you'll likely find out nothing of value from them, but you'll tip your
  198. hand and perhaps give them the chance to destroy evidence, something
  199. that can be done very quickly on a computer.  No, much safer to get
  200. the search warrant first; that's exactly what search warrants are
  201. supposed to be for.
  202.  
  203. Finally, the police show up at the suspect's house and find no one
  204. there.  The search warrant authorizes them to gain access to the house
  205. and search it.  It includes the authority to break in if necessary;
  206. and policy probably says that a warrant should normally be executed as
  207. quickly as possible.  Why?  I can think of at least two reasons:
  208. Waiting may lead to someone being warned that the police have been
  209. around (and consider how quickly evidence on a computer could be
  210. destroyed by a simple phone call while the police wait patiently
  211. outside); and, besides, posting an officer to wait for the return of
  212. the suspect is expensive.  Police departments are perpetually
  213. under-manned, and if you phrase the question as "is the guy's front
  214. door more important than the taxpayer's money, not to mention the
  215. protection a cop doing something more useful than baby-sitting a front
  216. door could provide" and you may see things a bit differently.
  217.  
  218. Does that mean that I think the action of the police was correct in
  219. this instance?  With 20-20 hindsight, it's easy to see that they too
  220. quickly came to the conclusion that a crime was taking place.  That's
  221. a direct result of lack of training and experience with the computing
  222. world.  I hope they've learned from this experience; I'd bet they
  223. have.
  224.  
  225. Given the realities of day-to-day law enforcement, I think they acted
  226. reasonably given the limited time, data, and resources available to
  227. them.  I wish it could have come out differently, and I sympathize
  228. with the computer owners who got so unlucky, but this is not a perfect
  229. world and mistakes can and do happen.
  230.  
  231. >We are seeing some of the fallout from our permissiveness regarding
  232. ?RICO.
  233.  
  234. Actually, I don't really disagree with you here.  What the police did
  235. in this case is NOTHING compared to what Federal prosecutors under
  236. Rudolph Guilliani did in various insider-trading cases.  The publicity
  237. almost got Guilliani elected mayor of New York; now, most of the cases
  238. are collapsing in the courts.
  239.  
  240. >These issues have nothing to do with computer criminality as opposed
  241. >to using sensible investigative techniques. Are we in an age where
  242. >we've been subjected to so many shoot-em-up cops versus the bad guys
  243. >TV shows that people here on usenet, among the best educated, most
  244. >sensible souls in the US, can accept kicking in doors and summary
  245. >confiscation of personal property as a valid and reasonable outcome
  246. >from calling the wrong phone number a few times?
  247.  
  248. I don't accept it as a reasonable outcome; I accept that this is not a
  249. perfect world, that law enforcement personnel must work under
  250. conditions of limited training, information, resources, and time, and
  251. under pressure from the public to "do something" about crime.  Errors
  252. happen.  Sometimes the system is too rough; sometimes it's too
  253. lenient.  (Don't believe that?  Try reading Cuckoo's Egg.)  If you
  254. know of a way to improve it, given the real world - not some ideal
  255. world in which everyone is reasonable and honest - please, let's hear
  256. about it.
  257.  
  258. ------------------------------
  259.