home *** CD-ROM | disk | FTP | other *** search

---

/ Usenet 1994 January / usenetsourcesnewsgroupsinfomagicjanuary1994.iso / answers / net-privacy / part1

next >

Wrap

Internet Message Format  |  1993-12-26  |  62KB

---

1. Path: senator-bedfellow.mit.edu!bloom-beacon.mit.edu!pad-thai.aktis.com!pad-thai.aktis.com!not-for-mail
2. From: ld231782@longs.lance.colostate.edu (L. Detweiler)
3. Newsgroups: sci.crypt,comp.society.privacy,alt.privacy,sci.answers,comp.answers,alt.answers,news.answers
4. Subject: Privacy & Anonymity on the Internet FAQ (1 of 3)
5. Supersedes: <net-privacy/part1_755154010@GZA.COM>
6. Followup-To: poster
7. Date: 27 Dec 1993 00:00:38 -0500
8. Organization: TMP Enterprises
9. Lines: 1282
10. Sender: faqserv@security.ov.com
11. Approved: news-answers-request@MIT.Edu
12. Expires: 31 Jan 1994 05:00:09 GMT
13. Message-ID: <net-privacy/part1_756968409@GZA.COM>
14. Reply-To: ld231782@longs.lance.colostate.edu
15. NNTP-Posting-Host: pad-thai.aktis.com
16. Summary: Email and account privacy, anonymous mailing and posting, 
17.  encryption, and other privacy and rights issues associated with use
18.  of the Internet and global networks in general.
19. X-Last-Updated: 1993/10/12
20. Xref: senator-bedfellow.mit.edu sci.crypt:22228 comp.society.privacy:1915 alt.privacy:10507 sci.answers:751 comp.answers:3160 alt.answers:1489 news.answers:16188
21.  
22. Archive-name: net-privacy/part1
23. Last-modified: 1993/10/11
24. Version: 3.2
25.  
26.  
27.  
28. IDENTITY, PRIVACY, and ANONYMITY on the INTERNET
29. ================================================
30.  
31. (c) Copyright 1993 L. Detweiler.  Not for commercial use except by
32.   permission from author, otherwise may be freely copied.  Not to be
33.   altered.  Please credit if quoted.
34.  
35. SUMMARY
36. =======
37.  
38. Information on email and account privacy, anonymous mailing and 
39. posting, encryption, and other privacy and rights issues associated
40. with use of the Internet and global networks in general.
41.  
42. (Search for <#.#> for exact section. Search for '_' (underline) for
43. next section.)
44.  
45. PART 1
46. ====== (this file)
47.  
48.  
49. Identity
50. --------
51. <1.1> What is `identity' on the internet?
52. <1.2> Why is identity (un)important on the internet?
53. <1.3> How does my email address (not) identify me and my background?
54. <1.4> How can I find out more about somebody from their email address?
55. <1.5> How do I provide more/less information to others on my identity?
56. <1.6> Why is identification (un)stable on the internet? 
57. <1.7> What is the future of identification on the internet?
58.  
59. Privacy
60. -------
61. <2.1> What is `privacy' on the internet?
62. <2.2> Why is privacy (un)important on the internet?
63. <2.3> How (in)secure are internet networks?
64. <2.4> How (in)secure is my account?
65. <2.5> How (in)secure are my files and directories?
66. <2.6> How (in)secure is X Windows?
67. <2.7> How (in)secure is my email?
68. <2.8> How am I (not) liable for my email and postings?
69. <2.9> Who is my sysadmin?  What does s/he know about me?
70. <2.10> Why is privacy (un)stable on the internet?
71. <2.11> What is the future of privacy on the internet?
72.  
73. Anonymity
74. ---------
75. <3.1> What is `anonymity' on the internet?
76. <3.2> Why is `anonymity' (un)important on the internet?
77. <3.3> How can anonymity be protected on the internet?
78. <3.4> What is `anonymous mail'?
79. <3.5> What is `anonymous posting'?
80. <3.6> Why is anonymity (un)stable on the internet?
81. <3.7> What is the future of anonymity on the internet?
82.  
83. PART 2
84. ====== (next file)
85.  
86. Issues
87. ------
88.  
89. <4.1> What is the Electronic Frontier Foundation (EFF)?
90. <4.2> Who are Computer Professionals for Social Responsibility (CPSR)?
91. <4.3> What was `Operation Sundevil' and the Steve Jackson Game case?
92. <4.4> What is Integrated Services Digital Network (ISDN)?
93. <4.5> What is the National Research and Education Network (NREN)?
94. <4.6> What is the FBI's proposed Digital Telephony Act?
95. <4.7> What is U.S. policy on freedom/restriction of strong encryption?
96. <4.8> What other U.S. legislation is related to privacy?
97. <4.9> What are references on rights in cyberspace?
98. <4.10> What is the Computers and Academic Freedom (CAF) archive?
99. <4.11> What is the Conference on Freedom and Privacy (CFP)?
100. <4.12> What is the NIST computer security bulletin board?
101.  
102. Clipper
103. -------
104.  
105. <5.1> What is the Clipper Chip Initiative?
106. <5.2> How does Clipper blunt `cryptography's dual-edge sword'?
107. <5.3> Why are technical details of the Clipper chip being kept secret?
108. <5.4> Who was consulted in the development of the Clipper chip?
109. <5.5> How is commerical use/export of Clipper chips regulated?
110. <5.6> What are references on the Clipper Chip?
111. <5.7> What are compliments/criticisms of the Clipper chip?
112. <5.8> What are compliments/criticisms of the Clipper Initiative?
113. <5.9> What are compliments/criticisms of the Clipper announcement?
114. <5.10> Where does Clipper fit in U.S. cryptographic technology policy?
115.  
116. PART 3
117. ====== (last file)
118.  
119. Resources
120. ---------
121.  
122. <6.1> What UNIX programs are related to privacy?
123. <6.2> How can I learn about or use cryptography?
124. <6.3> What is the cypherpunks mailing list?
125. <6.4> What are some privacy-related newsgroups?  FAQs?
126. <6.5> What is internet Privacy Enhanced Mail (PEM)?
127. <6.6> What are other Request For Comments (RFCs) related to privacy?
128. <6.7> How can I run an anonymous remailer?
129. <6.8> What are references on privacy in email?
130. <6.9> What are some email, Usenet, and internet use policies?
131.  
132. Miscellaneous
133. -------------
134.  
135. <7.1> What is ``digital cash''?
136. <7.2> What is a ``hacker'' or ``cracker''?
137. <7.3> What is a ``cypherpunk''?
138. <7.4> What is `steganography' and anonymous pools?
139. <7.5> What is `security through obscurity'?
140. <7.6> What are `identity daemons'?
141. <7.7> What standards are needed to guard electronic privacy?
142.  
143. Footnotes
144. ---------
145.  
146. <8.1> What is the background behind the Internet?
147. <8.2> How is Internet `anarchy' like the English language?
148. <8.3> Most Wanted list
149. <8.4> Change history
150.  
151. * * *
152.  
153.  
154. IDENTITY
155. ========
156.  
157. _____
158. <1.1> What is `identity' on the internet?
159.  
160.   Generally, today people's `identity' on the internet is primarily
161.   determined by their email address in the sense that this is their
162.   most unchanging 'face' in the electronic realm.   This is your
163.   login name qualified by the complete address domain information,
164.   for example ``ld231782@longs.lance.colostate.edu''.  People see
165.   this address when receiving mail or reading USENET posts from you
166.   and in other situations where programs record usage.  Some obsolete
167.   forms of addresses (such as BITNET) still persist.
168.  
169.   In email messages, additional information on the path that a message
170.   takes is prepended to the message received by the recipient.  This
171.   information identifies the chain of hosts involved in the
172.   transmission and is a very accurate trace of its origination.  This
173.   type of identify-and-forward protocol is also used in the USENET
174.   protocol to a lesser extent.  Forging these fields requires
175.   corrupted mailing software at sites involved in the forwarding and
176.   is very uncommon.  Not so uncommon is forging the chain at the
177.   origination point, so that all initial sites in the list are faked
178.   at the time the message is created.  Tracing these messages can be
179.   difficult or impossible when the initial faked fields are names of
180.   real machines and represent real transfer routes.
181.  
182. _____
183. <1.2> Why is identity (un)important on the internet?
184.  
185.   The concept of identity is closely intertwined with communication,
186.   privacy, and security, which in turn are all critical aspects of
187.   computer networks. For example, the convenience of communication
188.   afforded by email would be impossible without conventions for
189.   identification.  But there are many potential abuses of identity
190.   possible that can have very severe consequences, with massive
191.   computer networks at the forefront of the issue, which can
192.   potentially either exacerbate or solve these problems.
193.  
194.   Verifying that an identity is correct is called `authentication',
195.   and one classic example of the problems associated with it is
196.   H.G. Well's ``War of the Worlds'' science fiction story adapted to 
197.   a radio broadcast that fooled segments of the population into 
198.   thinking that an alien invasion was in progress.  Hoaxes of this 
199.   order are not uncommon on Usenet and forged identities makes them 
200.   more insidious.  People and their reputations can be assaulted by 
201.   forgery.
202.  
203.   However, the fluidity of identity on the internet is for some one of
204.   its most attractive features. Identity is just as useful as it is
205.   harmful.  A professor might carefully explain a topic until he
206.   finds he is talking to an undergraduate.  A person of a particular
207.   occupation may be able to converse with others who might normally
208.   shun him.  Some prejudices are erased, but, on the other hand, many
209.   prejudices are useful!  A scientist might argue he can better
210.   evaluate the findings of a paper as a reviewer if he knows more
211.   about the authors.  Likewise, he may be more likely to reject it
212.   based on unfair or irrelevant criteria.  On the other side of the
213.   connection, the author may find identities of reviewers useful in
214.   exerting pressure for acceptance.
215.  
216.   Identity is especially crucial in establishing and regulating
217.   `credit' (not necessarily financial) and `ownership' and `usage'. 
218.   Many functions in society demand reliable and accurate techniques
219.   for identification. Heavy reliance will be placed on digital
220.   authentication as global economies become increasingly electronic. 
221.   Many government functions and services are based on identification,
222.   and law enforcement frequently hinges on it.  Hence, employees of
223.   many government organizations push toward stronger identification
224.   structures.  But when does identification invade privacy?
225.  
226.   The growth of the internet is provoking social forces of massive
227.   proportions. Decisions made now on issues of identity will affect
228.   many future users, especially as the network becomes increasingly
229.   global, universal, widespread, and entrenched; and the positive or
230.   adverse affects of these actions, intended and inadvertent, will
231.   literally be magnified exponentially.
232.  
233. _____
234. <1.3> How does my email address (not) identify me and my background?
235.  
236.   Your email address may contain information that influences people's
237.   perceptions of your background.  The address may `identify' you as
238.   from a department at a particular university, an employee at a
239.   company, or a government worker.  It may contain your last name,
240.   initials, or cryptic identification codes independent of both.  In
241.   the US some are based on parts of social security numbers.  Others
242.   are in the form 'u2338' where the number is incremented in the
243.   order that new users are added to the system.
244.  
245.   Standard internet addresses also can contain information on your
246.   broad geographical location or nationhood.  However, none of this
247.   information is guaranteed to be correct or be there at all.  The
248.   fields in the domain qualification of the username are based on
249.   rather arbitrary organization, such as (mostly invisible) network
250.   cabling distributions.  The only point to make is that early fields
251.   in the address are more specific (such as specific computer names
252.   or local networks) and the later ones the most general (such as
253.   continental domains).  Typically the first field is the name of the
254.   computer receiving mail.
255.  
256.   Gleaning information from the email address alone is sometimes an
257.   inspired art or an inconsistent and futile exercise.  (For more
258.   information, see the FAQs on email addresses and known
259.   geographical distributions.)  However, UNIX utilities exist to aid 
260.   in the quest (see the question on this).
261.  
262.   Common Suffixes
263.   ---------------
264.  
265.   .us    United States
266.   .uk    United Kingdom
267.   .ca    Canada
268.   .fi    Finland
269.   .au    Australia
270.  
271.   .edu   university or college
272.   .com   commercial organization
273.   .org   'other' (e.g. nonprofit organization)
274.   .gov   government
275.   .mil   military site
276.  
277. _____
278. <1.4> How can I find out more about somebody with a given email address?
279.  
280.   One simple way is to send email to that address, asking.  Another
281.   way is to send mail to the postmaster at that address (i.e.
282.   postmaster@address), although the postmaster's job is more to help
283.   find user ID's of particular people given their real name and solve
284.   mail routing problems.  The sysadmin (i.e. `root@address') may also
285.   be able to supply information.  Users with related email address
286.   may have information.  However, all of these methods rely on the
287.   time and patience of others so use them minimally.
288.  
289.   One of the most basic tools for determining identity over the
290.   internet is the UNIX utility 'finger'.  The basic syntax is:
291.  
292.     finger user@here.there.everywhere
293.  
294.   This utility uses communication protocols to query the computer
295.   named in the address for information on the user named.  The
296.   response is generated completely by the receiving computer and may
297.   be in any format.  Possible responses are as follows:
298.  
299.   - A message `unknown host' meaning some aspect of the address is
300.     incorrect, two lines with no information and '???'.
301.   
302.   - A message `In real life: ???' in which case the receiving computer
303.     could not find any kind of a match on the username. The finger
304.     utility may return this response in other situations.
305.   
306.   - A listing of information associated with multiple users. Some
307.     computers will search only for matching user IDs, others will
308.     attempt to find the username you specified as a substring of all
309.     actual full names of users kept in a local database.
310.   
311.   At some sites `finger' can be used to get a list of all users on the
312.   system with a `finger @address'.  In general this is often
313.   considered weak security, however, because `attackers' know valid
314.   user ID's to `crack' passwords.
315.  
316.   More information on the fields returned by `finger' is given below. 
317.   More information on `finger' and locating people's email addresses 
318.   is given in the email FAQ (such as the WHOIS lookup utility).  Just
319.   as you can use these means to find out about others, they can use 
320.   them to find out about you.  You can `finger' yourself to find out
321.   what is publicly reported by your UNIX system about you.  Be
322.   careful when modifying `finger' data; virtually anyone with
323.   internet access worldwide can query this information.  In one
324.   famous case, the New York Times writer J. Markoff uncovered the
325.   identity of R. Morris, author of the Internet Worm, through the
326.   use of `finger' after an anonymous caller slipped by revealing his
327.   initials which were also his login ID.  See the book Cyberpunk by
328.   K. Hafner and J. Markoff.
329.  
330. _____
331. <1.5> How do I provide more/less information to others on my identity?
332.  
333.   The public information of your identity and account is mostly
334.   available though the UNIX utility `finger' described above. 
335.   
336.   - You have control over most of this information with the utility
337.     `chfn', the specifics vary between sites (on some systems use
338.     `passwd -f').
339.    
340.   - You can provide unlimited information in the .plan file which is
341.     copied directly to the destination during the fingering. 
342.     
343.   - A technique that works at some sites allows you to find out who is
344.     'finger'ing you and even to vary the .plan file sent to them.
345.  
346.   - Your signature is determined by the environment variable SIGNATURE
347.     
348.   - USENET signatures are conventionally stored in the .signature file
349.     in your home directory.
350.     
351.   Providing less information on your online identity is more difficult
352.   and involved.  One approach is to ask your system adminstrator to
353.   change or delete information about you (such as your full name). 
354.   You may be able to obtain access on a public account or one from
355.   someone unrelated to you personally.  You may be able to remotely
356.   login (via modem or otherwise) to computers that you are not
357.   physically near.  These are tactics for hiding or masking your
358.   online activities but nothing is foolproof.  Consult man pages on
359.   the `chmod' command and the default file mode.  Generally, files on
360.   a shared system have good safeguards within the user pool but very
361.   little protection is possible from corrupt system administrators.
362.  
363.   To mask your identity in email or on USENET you can use different
364.   accounts. More untraceable are new `anonymous posting' and
365.   remailing services that are very recently being established.  See
366.   the sections on that topic.
367.  
368.   Experienced UNIX users can install programs that vary the .plan
369.   file based on `who is calling' or even determine the ID of the
370.   `caller' in some configurations. See the files on 
371.   quartz.rutgers.edu:
372.  
373.     backfinger.tar.gz, fing-plan.c.gz, planinit*.gz: Programs to do
374.       tricks with UNIX finger; log incoing fingers, etc.
375.  
376.   Thanks to dzr@world.std.com for contributions here.
377.  
378. _____
379. <1.6> Why is identification (un)stable on the internet?
380.  
381.   Generally, identity is an amorphous and almost nonexistent concept
382.   on the Internet for a variety of reasons.  One is the inherent
383.   fluidity of `cyberspace' where people emerge and submerge
384.   frequently, and absences are not readily noted in the `community'. 
385.   Most people remember faces and voices, the primary means of casual
386.   identification in the 'real world'.  The arbitary and cryptic 
387.   sequences of letters and digits comprising most email addresses are
388.   not particularly noticeable or memorable and far from a unique
389.   identification of an individual, who may use multiple accounts on
390.   multiple machines anywhere in the world.
391.  
392.   Currently internet users do not really have any great assurances
393.   that the messages in email and USENET are from who they appear to
394.   be. A person's mailing address is far from an identification of an
395.   individual.  
396.   
397.   - Anyone with access to the account, e.g. they know the password,
398.     either legitimately or otherwise, can send mail with that address
399.     in the From: line.
400.   
401.   - Email addresses for an individual tend to change frequently as
402.     they switch jobs or make moves inside their organizations. 
403.  
404.   - As part of current mailing protocol standards, forging the From:
405.     line in mail messages is a fairly trivial operation for many
406.     hackers.
407.     
408.   The status and path information prepended to messages by
409.   intermediate hosts is generally unforgeable. In general, while
410.   possible, forgeries are fairly rare on most newsgroups and in
411.   email.  Besides these pathological cases abve there are many basic
412.   problems with today's internet protocols affecting identification
413.   on the internet:
414.  
415.   - Internet mail standards, described in RFC-822, are still evolving
416.     rapidly and not entirely orderly.  For example, standards for
417.     mail address `munging' or `parsing' tend to vary slightly between
418.     sites, particularly with gateways and embedded addresses, and 
419.     frequently mean the difference between finding addresses and 
420.     bouncing mail.
421.   
422.   - Domain names and computer names are frequently changed at sites,
423.     and there are delays in the propagation of this data.
424.   
425.   - Addresses cannot be resolved when certain critical computers
426.     crash, such as the receiving computer or other computers involved
427.     in resolving names into addresses called `nameservers'. 
428.   
429.   - A whole slew of problems is associated with  `nameservers'; if
430.     they are not updated they will not find name addresses, and even
431.     the operation of what constitutes `updating' has different
432.     interpretations at different sites.
433.   
434.   The current internet mailing and addressing protocols are slightly
435.   anachronistic in that they were created when the network was
436.   somewhat obscure and not widespread, with only a fraction of the
437.   traffic it now sees.  Today a large proportion of internet traffic
438.   is email, comprising millions of messages.
439.  
440. _____
441. <1.7> What is the future of identification on the internet?
442.  
443.   Some new technologies and standards are introducing facial images
444.   and voice messages into mail and these will improve the sense of
445.   community that comes from the familiarity of identification.
446.   However, they are not currently widespread, require large amounts
447.   of data transfer, standardized software, and make some compromises
448.   in privacy.
449.  
450.   Promising new cryptographic techniques may make `digital signatures'
451.   and `digital authentication' common.  Also, the trend in USENET 
452.   standards is toward greater authentication of posted information. 
453.   On the other hand, advances in ensuring anonymity (such as 
454.   remailers) are forthcoming. (See the sections on these topics.)
455.  
456.  
457. PRIVACY
458. =======
459.  
460. _____
461. <2.1> What is `privacy' on the internet?
462.  
463.   Generally, while `privacy' has multiple connotations in society and
464.   perhaps even more on the internet, in cyberspace most take it to
465.   mean that you have exclusive use and access to your account and the
466.   data stored on and and directed to it (such as email), and you do
467.   not encounter arbitrary restrictions or searches.  In other words, 
468.   others may obtain data associated with your account, but not
469.   without your permission.  These ideas are probably both fairly
470.   limiting and liberal in their scope in what most internet users
471.   consider their private domains.  Some users don't expect or want
472.   any privacy, some expect and demand it.
473.  
474. _____
475. <2.2> Why is privacy (un)important on the internet?
476.  
477.   This is a somewhat debatable and inflammatory topic, arousing
478.   passionate opinions.  On the internet, some take privacy for
479.   granted and are rudely surprised to find it tenuous or nonexistent.
480.   Most governments have rules that protect privacy (such as the
481.   illegal search and seizure clause of the U.S. Constitution, adopted
482.   by others) but have many that are antithetical to it (such as laws
483.   prohibiting secret communications or allowing wiretapping).  These
484.   rules generally carry over to the internet with few specific rules
485.   governing it.  However, the legal repercussions of the global
486.   internet are still largely unknown and untested (i.e. no strong
487.   legal precedents and court cases).  The fact that internet traffic
488.   frequently passes past international boundaries, and is not
489.   centrally managed, significantly complicates and strongly
490.   discourages its overall regulation.
491.  
492. _____
493. <2.3> How (in)secure are internet networks?
494.  
495.   - `Theoretically' people at any site in the chain of sites with
496.     access to hardware and network media that transmits data over the
497.     Internet could potentially monitor or archive it. However, the
498.     sheer volume and general 'noise' inherent to this data makes
499.     these scenarios highly improbable, even by government agencies
500.     with supposedly vast funding and resources, although a
501.     sophisticated science dedicated to filtering data can be
502.     exploited for this role.
503.  
504.   - Internet communications is extremely vulnerable to `traffic 
505.     analysis,' a technique where the content of messages is not
506.     uncovered but information on the source and destination addresses
507.     can effectively suggest its meaning.  For example, knowing that
508.     certain people are on certain mailing lists exposes their 
509.     interests.
510.   
511.   - Technologies exist to `tap' magnetic fields given off by
512.     electrical wires without detection.  Less obscurely, any machine
513.     with a network connection is a potential station for traffic
514.     detection, but this scenario requires knowledge and access to
515.     very low-level hardware (the network card) to pursue, if even
516.     possible.
517.   
518.   - A company Network General Inc. is one of many that manufactures
519.     and markets sophisticated network monitoring tools that can
520.     `filter' and read packets by arbitrary criteria for
521.     troubleshooting purposes, but the cost of this type of device is
522.     prohibitive for casual use.
523.  
524.   Known instances of the above types of security breaches at a major
525.   scale (such as at network hubs) are very rare. The greatest risks
526.   tend to emerge locally.  Note that all these approaches are almost
527.   completely defused with the use of cryptography.  (See the section
528.   on that subject.)
529.   
530.   The following text was excerpted from the Computer Systems 
531.   Laboratory (CSL) Bulletin for July 1993, entitled, "Connecting to 
532.   the Internet: Security Considerations." Ironically, one paragraph
533.   specifically states the admitted security concerns for unencrypted
534.   traffic:
535.  
536.   > Ease of Spying and Spoofing:  The vast majority of Internet 
537.   > traffic is unencrypted and therefore easily readable.  As a 
538.   > result, e-mail, passwords, and file transfers can be monitored 
539.   > and captured using readily available software.  Intruders have 
540.   > been known to monitor connections to well-known Internet sites 
541.   > for the purpose of gaining information that would allow them to 
542.   > crack security or to steal valuable information.  This 
543.   > information sometimes permits intruders to spoof legitimate 
544.   > connections, i.e., trick system security into permitting normally 
545.   > disallowed network connections.
546.  
547.   For more information on the CSL Laboratory see the 
548.  
549.   Thanks to P. Ferguson <fergp@sytex.com> for contributions to this 
550.   section.
551.  
552. _____
553. <2.4> How (in)secure is my account?
554.  
555.   By default, not very.  There are a multitude of factors that may
556.   reinforce or compromise aspects of your privacy on the internet. 
557.   First, your account must be secure from other users. The universal
558.   system is to use a password, but if it is `weak' (i.e. easy to
559.   guess) this security is significantly diminished.  Somewhat
560.   surprisingly and frighteningly to some, certain users of the
561.   system, particularly the administrator, generally have unlimited
562.   access regardless of passwords, and may grant that access to
563.   others.  This means that they may read any file in your account
564.   without detection.
565.  
566.   Furthermore, not universally known, most UNIX systems keep fairly
567.   extensive accounting records of when and where you logged in, what
568.   commands you execute, and when they are executed (in fact, login
569.   information is usually public). Most features of this `auditing' or
570.    `process accounting' information are enabled by default after the
571.   initial installation and the system administrator may customize it
572.   to strengthen or weaken it to satisfy performance or privacy aims. 
573.   This information is frequently consulted for troubleshooting
574.   purposes and may otherwise be ignored.  This data tracks
575.   unsuccessful login attempts and other `suspicious' activities on
576.   the system. A traditional part of the UNIX system that tracks user
577.   commands is easily circumvented by the user with the use of
578.   symbolic links (described in `man ln').
579.   
580.   UNIX implementations vary widely particularly in tracking features
581.   and new sophisticated mechanisms are introduced by companies
582.   regularly. Typically system adminstrators augment the basic UNIX
583.   functionality with public-domain programs and locally-developed
584.   tools for monitoring, and use them only to isolate `suspicious'
585.   activity as it arises (e.g. remote accesses to the `passwd' file,
586.   incorrect login attempts, remote connection attempts, etc.).
587.   
588.   Generally, you should expect little privacy on your account for
589.   various reasons:
590.   
591.   - Potentially, every keystroke you type could be intercepted by
592.     someone else. 
593.  
594.   - System administrators make extensive backups that are completely
595.     invisible to users which may record the states of an account over
596.     many weeks. 
597.  
598.   - Erased files can, under many operating systems, be undeleted. 
599.  
600.   - Most automated services keep logs of use for troubleshooting or
601.     otherwise; for example FTP sites usually log the commands and
602.     record the domain originations of users, including anonymous
603.     ones.
604.  
605.   - Some software exacerbates these problems.  See the section on
606.     ``X Windows (in)security''.
607.  
608.   Indepedent of malevolent administrators are fellow users, a much
609.   more commonly harmful threat. There are multiple ways to help
610.   ensure that your account will not be accessed by others, and
611.   compromises can often be traced to failures in these guidelines:
612.  
613.   - Choose a secure password.  Change it periodically.
614.   - Make sure to logout always.
615.   - Do not leave a machine unattended for long.
616.   - Make sure no one watches you when you type your password.
617.   - Avoid password references in email.
618.   - Be conservative in the use of the .rhost file.
619.   - Use utilities like `xlock' to protect a station, but be
620.     considerate.
621.  
622.   Be wary of situations where you think you should supply your
623.   password.  There are only several basic situations where UNIX
624.   prompts you for a password: when you are logging in to a system or
625.   changing your password.  Situations can arise in which prompts for
626.   passwords are forged by other users, especially in cases where you
627.   are talking to them (such as Internet Relay Chat).  Also, be aware
628.   that forged login screens are one method to illegitimately obtain 
629.   passwords.
630.  
631.  
632.   (Thanks to Jim Mattson <mattson@cs.ucsd.edu> for contributions
633.   here.)
634.  
635. _____
636. <2.5> How (in)secure are my files and directories?
637.  
638.   The most important privacy considerations are related to file
639.   rights, and many lapses can be traced to their misunderstood nature
640.   or haphazard maintenance. Be aware of the rights associated with
641.   your files and directories in UNIX. If the `x' (`execute') right on
642.   your parent directory is off for users, groups, and other, these
643.   users cannot gain information on anything in your directories. 
644.   Anything less may allow others to read, change, or even delete
645.   files in your home directory. The rights on a directory supersede
646.   the rights associated with files in that directory. For a
647.   directory, `x' means that access to the files (or subdirectories)
648.   in the directory is possible -- if you know their names.  To list
649.   the contents of the directory, however, requires the `r' right.
650.  
651.   By default most accounts are accessable only to the owner, but the
652.   initial configuration varies between sites based on administrator
653.   preference.  The default file mode specifies the initial rights
654.   associated with newly created files, and can be set in the shell
655.   with `umask'.  The details of rights implementations tend to vary
656.   between versions of UNIX.  Consult man pages on `chmod' and `ls'.
657.  
658.   Examples
659.   --------
660.  
661.     traver.lance % ls -ld ~
662.     drwx------ 15 ld231782     1536 Jan 31 21:22 /users/ld231782/
663.  
664.   Here is a listing of the rights associated with a user's home
665.   directory, denoted by `~'.  The columns at the left identify what
666.   rights are available. The first column identifies the entry as a
667.   directory, and the next three columns mean that read, write, and
668.   execute rights, respectively, are permitted for that user.  For
669.   directories, the `x' right means that contents (file and
670.   subdirectory names) within that directory can be listed. The
671.   subsequent columns indicate that no other users have any rights to
672.   anything in the directory tree originating at that point.  They
673.   can't even `see' any lower files or subdirectories; the hierarchy
674.   is completely invisible to them.
675.  
676.     traver.lance % ls -l msg
677.     -rw-r--r--  1 ld231782   35661 Jan 29 23:13 msg
678.     traver.lance % chmod u=rw,g=,o= msg
679.     traver.lance % ls -l msg
680.     -rw-------  1 ld231782   35661 Jan 29 23:13 msg
681.  
682.   Here the modes on the file `msg' were changed to take away rights
683.   from `group' and `other'. 
684.   
685.   Note that `ls -l <file>' requires both the 'r' right to get the list
686.   of files and subdirectories, and the 'x' right to access the files
687.   and subdirectories in order to get their size, etc. For example,
688.   suppose the directory `foo' has rights dr--r--r--, the following
689.   is possible:
690.  
691.     ls foo
692.  
693.   These commands would fail independent of file rights:
694.   
695.     ls -l foo
696.     ls -l foo/file
697.     cat foo/file
698.     cd foo
699.  
700.   If the directory `foo' has rights d--x--x--x, the following are
701.   possible if it is known beforehand that `foo' contains an 'r'
702.   readable file named `file':
703.   
704.     ls -l foo/file
705.     cat foo/file
706.     cd foo
707.   
708.   The following commands fail:
709.   
710.     ls foo
711.     ls -l foo
712.   
713.  
714.   (Thanks to Uwe Waldmann <uwe@mpi-sb.mpg.de> for contributions here.)
715.  
716. _____
717. <2.6> How (in)secure is X Windows?
718.  
719.   X Windows is the primary software developed by the MIT Athena
720.   project (1983-1991) which was funded by commercial grants 
721.   primarily from DEC and IBM to develop applications to harness the 
722.   power of networks in enhancing computational tasks, particularly the 
723.   human-computer interface.  The software implements a client-server 
724.   interface to a computer via graphical windows. In this case the 
725.   `client' is the application requesting or utilizing  graphical 
726.   resources (such as windows or a mouse) and the `server' is the 
727.   machine that provides them.  In many situations the client is an 
728.   application program running on the same machine as the server.
729.  
730.   The great utility of X Windows comes from its complete dissociation
731.   of the client and server so that windows may be `broadcast' to a
732.   server at a remote location from the  client. Unfortunately this
733.   dynamic power also introduces many deep, intricate, and complicated
734.   security considerations.  The primary security and privacy issue
735.   associated with X Windows is that much more sensitive data may be
736.   sent over a network, and over wider regions, than in the case where
737.   the human is situated near the host computer.  Currently there is
738.   no encryption of data such as screen updates and keystrokes in X
739.   Windows.
740.  
741.   Due to either intentional design decisions or unintentional design
742.   flaws, early versions of the X Window system are extremely
743.   insecure (the decision may have been made not to attempt to
744.   overcome existing vulnerabiliies in the Unix system). Anyone with
745.   an account on the server machine can disrupt that display or read
746.   it electronically based on access to the device unix:0.0 by any
747.   regular user.  There are no protections from this type of access
748.   in these versions.  The problem arises because the security is 
749.   completely based on machine addresses rather than users, such that
750.   any user at a `trusted' machine is himself trusted. Quoting from X
751.   documentation (man Xsecurity):
752.   
753.   > Any client on a host in the host access control list is allowed
754.   > access to the X server. This system can work reasonably well in
755.   > an environment where everyone trusts everyone, or when only a
756.   > single person can log into a given machine...This system does not
757.   > work well when multiple people can log in to a single machine and
758.   > mutual trust does not exist. 
759.   
760.   With the access control list, the `xhost' command may prevent some
761.   naive attempts (i.e. those other than the direct-access unix:0.0
762.   evasion); the syntax as typed on the host machine is ``xhost
763.   +[name]'' where [name] is the domain name or internet address of an
764.   authorized client machine. By default clients running nonlocal to
765.   the host are disabled.  Public domain programs to disrupt a display
766.   momentarily (such as 'flip' or slowly mirror the screen image, or
767.   cause pixels to 'melt' down to the bottom) have been circulating on
768.   the internet among hackers for several years and played as pranks
769.   on unsuspecting or inexperienced users.  Much more serious security
770.   breaches are conceivable from similar mechanisms exploiting this
771.   inherent weaknesses.  (The minimal, easily-bypassed `trusted'
772.   security mode of `xhost' has been jokingly referred to as ``X
773.   Hanging Open, Security Terrible.''). 
774.  
775.   New versions of the X Window system (X11R5 and higher) by default 
776.   make server access as secure as the file system using a .Xauthority
777.   file and 'magic cookies'.  Remote machines must have a code in the
778.   .Xauthority file in the home directory that matches the code
779.   allowed by the server.  Many older programs and even new
780.   vendor-supplied code does not support or is incompatible with
781.   `magic cookies'. The basic magic cookie mechanism is vulnerable to
782.   monitoring techniques described earlier because no encryption of
783.   keys occurs in transmission.  X11R5 also includes other
784.   sophisticated encryption mechanisms.  Try `man Xsecurity' to find
785.   out what is supported at your site.  Even though improved security 
786.   mechanisms have been available in X Windows since ~1990, local
787.   sites often update this software infrequently because installation
788.   is extremely complex.
789.  
790.  
791.   (Thanks to Marc Vanheyningen <mvanheyn@whale.cs.indiana.edu>, 
792.   Jim Mattson <mattson@cs.ucsd.edu>, and Bill Marshall
793.   <marshall@cs.iastate.edu> for contributions here.)
794.  
795. _____
796. <2.7> How (in)secure is my email?
797.  
798.   By default, not very.  The characters that you are reading are
799.   almost certainly encoded in ASCII, the American Standard Code for
800.   Information Interchange that maps alphabetic and symbolic
801.   characters onto numeric codes and vice versa.  Virtually every
802.   computer system uses this code, and if not, has ways of converting
803.   to and from it.  When you write a mail message, by default it is
804.   being sent in ASCII, and since the standard is virtually
805.   universal, there is no intrinsic privacy.  Despite milleniums worth
806.   of accumulated cryptographic knowledge, cryptographic technologies
807.   are only recently being established that afford high priority to
808.   privacy as a primary criteria in computer and network design.  Some
809.   potential pitfalls in privacy are as follows:
810.  
811.   - The most serious threats are instances of immature or unscrupulous
812.     system operators reading private mail in the `spool files' at a
813.     local site (i.e. at the source or destination of the message),
814.     such as a university. 
815.   
816.   - System administrators may also release files to law enforcement
817.     agencies, but conventions and protocols for warrants involving
818.     computer searches have still not been strongly established and
819.     tested legally.
820.  
821.   - Note that bounced messages go to postmasters at a given site in
822.     their entirety.  This means that if you address mail with an
823.     incorrect address it has a good chance of being seen by a human
824.     other than the recipient.
825.  
826.   - Typically new user accounts are always set up such that the local
827.     mail directory is private, but this is not guaranteed and can be
828.     overridden.
829.  
830.   - Finally, be aware that some mailing lists (email addresses of 
831.     everyone on a list) are actually publicly accessable via mail 
832.     routing software mechanisms.  This `feature' can be disabled.
833.  
834.   Most potential compromises in email privacy can be thoroughly
835.   avoided with the use of strong end-to-end cryptography, which has
836.   its own set of caveats (for example, unscrupulous administrators
837.   may still be a threat if the encryption site is shared or
838.   nonlocal).  See the sections on ``email privacy'' and ``email
839.   policies.''
840.  
841. _____
842. <2.8> How am I (not) liable for my email and postings?
843.  
844.   As punishment or whatever, your system administrator can revoke
845.   certain `privileges' such as emailing, USENET posting or reading
846.   certain groups, file transferring, remote communications, or
847.   generally any subset of capabilities available from your account. 
848.   This all is completely at the discretion of the local administrator
849.   and under the procedures followed at a particular site, which in
850.   many cases are haphazard and crisis-oriented.  Currently there are
851.   virtually no widespread, uniform guidelines or procedures for
852.   restricting use to any internet services, and local administrators
853.   are free to make arbitrary decisions on access.
854.  
855.   Today punitive measures are regularly applied in various situations.
856.   In the typical scenario complaint(s) reach a system adminstrator
857.   regarding abuses by a user, usually but not necessarily preceded by
858.   complaints to the user in email, regarding that person's
859.   objectionable email or postings.  `abusive' posters to USENET are
860.   usually first given admonitions from their system administrators as
861.   urged by others on the `net'. (The debate persists endlessly on
862.   many newsgroups whether this is also used  as a questionable means
863.   of attacking or silencing `harmless crackpots' or censoring
864.   unpopular opinions.)
865.   
866.   System administrators at remote sites regularly cooperate to
867.   'squelch' severe cases of abuse.  In general, however, by tradition
868.   Usenet readers are remarkably tolerant of diverse views and uses of
869.   the system, but a colorful vocabularly of slang helps describe
870.   their alternatives when this patience is sapped: the options
871.   wielded by the individual user are to simply advance to the next
872.   message (referred to as ``hitting the `n' key''), or to `plonk'
873.   annoying posters (according to the Hacker's Dictionary, the sound a
874.   jerk makes at the end of a fall to the bottom of a kill file).
875.  
876.   In cases where punitive actions are applied, generally system
877.   administrators are least likely to restrict email.  USENET postings
878.   are much more commonly restricted, either to individual users or 
879.   entire groups (such as a university campus).  Restrictions are most
880.   commonly associated with the following `abuses':
881.  
882.   - harassing or threatening notes, `email terrorism'
883.   - illegal uses, e.g. piracy or propagation of copyrighted material
884.   - `ad hominem' attacks, i.e. insulting the reputation of the
885.     poster instead of citing the content of the message
886.   - intentional or extreme vulgarity and offensiveness
887.   - inappropriate postings, esp. binary files in regular groups
888.     `mail-bombing': inundating mail boxes with numerous or massive
889.     files
890.  
891.   Major problems originate from lack of distinctions in private and
892.   official email or postings.  Most users have internet access via
893.   accounts at businesses or universities and their activities on the
894.   internet can be construed as representative of their parent
895.   organizations. Many people put disclaimers in their `signatures' in
896.   an attempt dissociate their identity and activities from parent
897.   organizations as a precaution. A recent visible political case
898.   involves the privacy of electronic mail  written by White House
899.   staff members of the Bush administration.  Following are some
900.   guidelines:
901.  
902.   - Acquaint yourself with your company or university policy.
903.   - If possible, avoid use of your company email address for private
904.     communication.
905.   - Use a disclaimer.
906.   - Keep a low profile (avoid `flamewars' or simply don't post).
907.   - Avoid posting information that could be  construed to be
908.     proprietary or `internal'.
909.  
910.   Famous Usenet contributor Carl Kadie and associates maintain an 
911.   archive tracking user liability as part of the Computers and 
912.   Academic Freedom project (see also the section on ``internet use 
913.   policies''). The following references are available from 
914.   ftp.eff.org:
915.  
916.   /pub/academic/banned.1991
917.   /pub/academic/banned.1992
918.   ---
919.     Computer material that was banned/challenged in academia in 1991
920.     and 1992 including USENET hierarchies.
921.  
922.   /pub/academic/cases
923.   ---
924.     This is an on-line collection of information about specific
925.     computers and academic freedom cases. File README is a detailed
926.     description of the items in the directory.
927.  
928.   /pub/academic/faq/netnews.liability
929.   ---
930.     Notes on university liability for Usenet.
931.  
932.  
933. ______
934. <2.9> Who is my sysadmin?  What does s/he know about me?
935.  
936.   The requirements and screening for getting a system administration
937.   job (and thereby access to all information on a system) vary widely
938.   between sites and are sometimes frighteningly lax, especially at
939.   universities.  Many UNIX systems at universities are largely
940.   managed by undergraduates with a background in computing and often
941.   `hacking'.  In general, commercial and industrial sites are more
942.   strict on qualifications and background, and government sites are
943.   extremely strict.
944.  
945.   The system adminstrator (root user) can monitor what commands you
946.   used and at what times.  S/he may have a record (backups) of files
947.   on your account over a few weeks. S/he can monitor when you send
948.   email or post USENET messages, and potentially read either.  S/he
949.   may have access to records indicating what hosts you are using,
950.   both locally and elsewhere.  Administrators sometimes employ
951.   specialized programs to  track `strange' or `unusual' activity,
952.   which can potentially be misused.
953.  
954. ______
955. <2.10> Why is privacy (un)stable on the internet?
956.  
957.   For the numerous reasons listed above, privacy should not be an
958.   expectation with current use of the internet.  Furthermore, large
959.   parts of the internet are funded by the U.S. NSF (National Science
960.   Foundation) which places certain restrictions on its use (such as
961.   prohibiting commercial use).  Some high-level officials in this and
962.   other government agencies may be opposed to emerging techniques to
963.   guarantee privacy (such as encryption and anonymous services).
964.  
965.   Historically the major threats to privacy on the internet have been
966.   local. Perhaps the most common example of this are the widespread
967.   occurrences of university administrators refusing to carry some
968.   portion of USENET newsgroups labelled as `pornographic'. The
969.   `alternative' hierarchy in the USENET system, which has virtually
970.   no restrictions on propagation and new group creation, is
971.   frequently targeted (although this material may appear anywhere).
972.  
973.   From the global point of view traffic is generally completely
974.   unimpeded on the internet and only the most egregious offenders
975.   are pursued.  For example, verbatim transcriptions of copyrighted
976.   material (such as newspaper or magazine articles) are posted to
977.   USENET with regularity without major consequences (some email
978.   complaints may ensue).  More astonishing to some is that currently
979.   significant portions of USENET traffic, and less so internet
980.   traffic, is comprised of sexually-explicit digitized images almost
981.   entirely originating from copyrighted material (newsgroups such as
982.   `alt.sex' regularly have the highest traffic).
983.   
984. ______
985. <2.11> What is the future of privacy on the internet?
986.  
987.   Some argue that the internet currently has an adequate or
988.   appropriate level of privacy.  Others will argue that as a
989.   prototype for future global networks it has woefully inadequate
990.   safeguards.  The internet is growing to become a completely global,
991.   international superhighway for data, and this traffic will
992.   inevitably entail data such as voice messages, postal mail, and
993.   many other items of extremely personal nature. Computer items that
994.   many people consider completely private (such as their local hard
995.   drives) will literally be inches from global network connections.
996.   Also, sensitive industrial and business information is exchanged
997.   over networks currently and this volume may conceivably merge with
998.   the internet.
999.   
1000.   Most would agree that, for these basic but sensitive uses of the
1001.   internet, no significant mechanisms are currently in place to
1002.   ensure much privacy. New standards are calling for uniform
1003.   introduction of `privacy enhanced mail' (PEM) which uses encryption
1004.   technologies to ensure privacy, so that privacy protection is
1005.   automatic, and may significantly improve safeguards.
1006.  
1007.   The same technology that can be extremely destructive to privacy
1008.   (such as with surreptitious surveilance) can be overwhelmingly
1009.   effective in protecting  it (e.g. with encryption). Some government
1010.   agencies are opposed to unlimited privacy in general, and believe
1011.   that it should lawfully be forfeited in cases of criminal conduct
1012.   (e.g. court-authorized wiretapping).  However, powerful new
1013.   technologies to protect privacy on computers are becoming
1014.   increasingly popular, provoking some to say that ``the cat is out
1015.   of the bag'' and the ``genie can't be put back in the bottle''.  In
1016.   less idiomatic terms, they believe that the spread of strong
1017.   cryptography is already underway will be socially and technically
1018.   unstoppable.
1019.   
1020.   To date, no feasible system that guarantees both secure
1021.   communication and government oversight has been proposed (the two
1022.   goals are largely incompatible). Proposals for ``registration'' of
1023.   secret keys (by D. Denning on sci.crypt and the Clipper chip proposal, 
1024.   for example) have been met with hot controversy at best and ridicule 
1025.   and derision at worst, mainly because of concerns for the right to 
1026.   privacy and objections of inherent feasibility.  Electronic privacy 
1027.   issues, and particularly the proper roles of networks and the 
1028.   internet, will foreseeably become highly visible and explosive over 
1029.   the next few years.
1030.  
1031.  
1032. ANONYMITY
1033. =========
1034.  
1035. _____
1036. <3.1> What is `anonymity' on the internet?
1037.  
1038.   Simply stated, anonymity is the absence of identity, the ultimate in
1039.   privacy. However, there are several variations on this simple theme.  
1040.   A person may wish to be consistently identified by a certain pseudonym 
1041.   or `handle' and establish a reputation under it in some area, 
1042.   providing pseudo-anonymity.  A person may wish to be completely 
1043.   untraceable for a single one-way message (a sort of `hit-and-run'). 
1044.   Or, a person may wish to be openly anonymous but carry on a 
1045.   conversation with others (with either known or anonymous identities) 
1046.   via an `anonymous return address'.  A user may wish to appear as a
1047.   `regular user' but actually be untraceable.  Sometimes a user wishes 
1048.   to hide who he is sending mail to (in addition to the message itself). 
1049.   The anonymous item itself may be directed at individuals or groups.  
1050.   A user may wish to access some service and hide all signs of the 
1051.   association. 
1052.   
1053.   All of these uses are feasible on the internet but are currently
1054.   tricky to carry out in practice, because of all the tracking
1055.   mechanisms inherent to operating systems and network protocols. 
1056.   Officials of the NSF and other government agencies may be opposed to 
1057.   any of these uses because of the potential for abuse.  Nevertheless, 
1058.   the inherent facelessness of large networks will always guarantee a 
1059.   certain element of anonymity.
1060.  
1061. _____
1062. <3.2> Why is `anonymity' (un)important on the internet?
1063.  
1064.   Anonymity is another powerful tool that can be beneficial or
1065.   problematic depending on its use.  Arguably absence of
1066.   identification is important as the presence of it.  It may be the
1067.   case that many strong benefits from electronic anonymity will be
1068.   discovered that were unforeseen and unpredicted, because true
1069.   anonymity has been historically very difficult to establish.
1070.  
1071.   One can use anonymity to make personal statements to a colleague
1072.   that would sabotage a relationship if stated openly (such as
1073.   employer/employee scenarios).  One can use it to pass information 
1074.   and evade any threat of direct retribution.  For example,
1075.   `whistleblowers' reporting on government abuses (economic, social,
1076.   or political) can bring issues to light without fear of stigma or
1077.   retaliation. Sensitive, personal, potentially damaging information
1078.   is often posted to some USENET groups, a risky situation where
1079.   anonymity allows conversations to be carried on completely
1080.   independent of the identities of the participants.  Some police
1081.   departments run phone services that allow anonymous reporting of
1082.   crimes; such uses would be straightforward on the network.
1083.   Anonymity can be extremely important and potentially lifesaving
1084.   diagnoses and discussions carried out on medical or theurapeutic   
1085.   newsgroups. Unfortunately, extortion and harassment become more
1086.   insidious with assurances of anonymity.
1087.  
1088. _____
1089. <3.3> How can anonymity be protected on the internet?
1090.  
1091.   The chief means, as alluded to above, are masking identities in
1092.   email and posting. However, anonymous accounts (public accounts as
1093.   accessable and anonymous as e.g. public telephones) may be
1094.   effective as well, but this use is generally not officially
1095.   supported and even discouraged by some system adminstrators and NSF
1096.   guidelines.  The nonuniformity in the requirements of obtaining
1097.   accounts at different sites and institutions makes anonymous
1098.   accounts generally difficult to obtain to the public at large.
1099.  
1100.   Many communications protocols are inherently detrimental to
1101.   anonymity.  Virtually every protocol in existence currently
1102.   contains information on both sender and receiver in every packet.
1103.   New communications protocols will likely develop that guarantee
1104.   much higher degrees of secure anonymous communication.
1105.  
1106. _____
1107. <3.4> What is `anonymous mail'?
1108.  
1109.   One approach to `anonymizing' mail has been to set up an `anonymous
1110.   server' that, when activated by email to its address, responds by
1111.   allocating and supplying an `anonymous ID' that is unique to the
1112.   person requesting it (based on his email address).  This will vary
1113.   for the same person for different machine address email
1114.   originations. To send anonymous mail, the user sends email directed
1115.   to the server containing the final destination. The server
1116.   `anonymizes' the message by stripping of identification information
1117.   and forwards the message, which appears to originate from the
1118.   anonymous server only from the corresponding anonymous user id. 
1119.   This is the `interactive' use of anonymity or pseudonymity
1120.   mentioned above.
1121.  
1122.   Another more `fringe' approach is to run a `cypherpunk' remailer
1123.   from a regular user account (no root system privileges are
1124.   required).  These are currently being pioneered by Eric Hughes and
1125.   Hal Finney <hal@alumni.caltech.edu>.  The operator runs a process on
1126.   a machine that anonymizes mail sent to him with certain
1127.   characteristics that distinguish it from his regular incoming mail
1128.   (typically fields in the header).  One has been implemented as a 
1129.   PERL script running on UNIX.  Several of these are in existence
1130.   currently but sites and software currently somewhat unstable; they 
1131.   may be in operation outside of system administrator knowledge.
1132.   The remailers don't generally support anonymous return addresses. 
1133.   Mail that is incorrectly addressed is received by the operator. 
1134.   Generally the user of the remailer has to disavow any
1135.   responsibility for the messages forwarded through his system,
1136.   although actually may be held liable regardless.
1137.  
1138.   These approaches have several serious disadvantages and weaknesses:
1139.   
1140.   - The anonymous server approach requires maintaining a mapping of
1141.     anonymous ID's to real addresses that must be maintained
1142.     indefinitely.  One alternative is to allow `deallocation' of
1143.     aliases at the request of the user, but this has not been
1144.     implemented yet.
1145.  
1146.   - Although an unlikely scenario, traffic to any of these sites could
1147.     conceivably be monitored from the `outside', necessitating the
1148.     use of cryptography for basic protection,.
1149.  
1150.   - Local administrators can shut them down either out of caprice or
1151.     under pressure from local, network, or government agencies.
1152.   
1153.   - Unscrupulous providers of the services can monitor the traffic
1154.     that goes through them.
1155.  
1156.   - Some remailers keep logs that may be inspected. 
1157.  
1158.   - The cypherpunk approach tends to be highly unstable because these
1159.     operators are basically network users who do not own the
1160.     equipment and are accountable  to their own system
1161.     administrators, who may be unaware of the use and unsympathetic
1162.     to the philosophy of anonymity when the operation is discovered,
1163.     regarding it as illicit use. 
1164.  
1165.   - In all cases, a high degree of trust is placed in the anonymous
1166.     server operator by the user.
1167.  
1168.   Currently the most direct route to anonymity involves using SMTP
1169.   protocols to submit a message directly to a server with arbitrary
1170.   field information.  This practice, not uncommon to hackers, and the
1171.   approach used by remailers, is generally viewed with hostility by
1172.   most system administrators.  Information in the header routing data
1173.   and logs of network port connection information may be retained
1174.   that can be used to track the originating site.  In practice, this
1175.   is generally infeasible and rarely carried out.  Some
1176.   administrators on the network will contact local administrators to
1177.   request a message be tracked and its writer admonished or punished
1178.   more severely (such as revoking the account), all of this actually
1179.   happening occasionally but infrequently.
1180.  
1181. _____
1182. <3.5> What is `anonymous posting'?
1183.  
1184.   Anonymous servers have been established as well for anonymous Usenet
1185.   posting with all the associated caveats above (monitored traffic,
1186.   capricious or risky local circumstances, logging).  Make sure to
1187.   test the system at least once by e.g. anonymous posting to
1188.   misc.test (however some operators don't recommend this because many
1189.   sites `autorespond' to test messages, possibly causing the
1190.   anonymous server to allocate anonymous IDs for those machines). 
1191.  
1192.   Another direct route involves using NNTP protocols to submit a
1193.   message directly to a newserver with arbitrary field information.
1194.   This practice, not uncommon to hackers, is also generally viewed
1195.   with hostility by most system administrators, and similar
1196.   consequences can ensue.
1197.  
1198.   See also:
1199.   
1200.   - Anonymity on the Internet FAQ, rtfm.mit.edu:
1201.     /pub/usenet/news.answers/net-anonymity.
1202.  
1203.   - ``Censorship Fights Heat Up on Academic Networks'', W. M.
1204.     Bulkeley, Wall St. Journal, May 24 1993 p. B1.
1205.  
1206.   - ``A Computer Program That Can Censor Electronic Messages Sets
1207.     Off a Furor'', D. L. Wilson, Chronicle of Higher Education,
1208.     May 12, 1993 p. A25.
1209.  
1210.   - Information Week, May 31 1993 pg. 84 summarizes the Wall St. 
1211.     Journal article.
1212.  
1213. _____
1214. <3.6> Why is anonymity (un)stable on the internet?
1215.  
1216.   As noted, many factors compromise the anonymity currently available
1217.   to the general internet community, and these services should be
1218.   used with great caution.  To summarize, the technology is in its
1219.   infancy and current approaches are unrefined, unreliable, and not
1220.   completely trustworthy.  No standards have been established and
1221.   troubling situations of loss of anonymity and bugs in the software
1222.   are prevalent.  Here are some encountered and potential bugs: 
1223.   
1224.   - One anonymous remailer reallocated already allocated anonymous
1225.     return addresses. 
1226.   - Others passed signature information embedded in messages
1227.     unaltered. 
1228.   - Address resolution problems resulting in anonymized mail bounced
1229.     to a remailer are common.
1230.   - Forgeries to the anonymous server itself are a problem, possibly
1231.     allowing unauthorized users to potentially glean anon ID - email
1232.     address  mappings in the alias file.  This can be remedied with
1233.     the use of passwords.
1234.   - Infinite mail loops are possible with chaining remailers.
1235.   
1236.   Source code is being distributed, tested, and refined for these
1237.   systems, but standards are progressing slowly and weakly.  The
1238.   field is not likely to improve considerably without official
1239.   endorsement and action by network agencies.  The whole idea is
1240.   essentially still in its infancy and viewed with suspicion and
1241.   distrust by many on the internet, seen as illegitimate or favorable
1242.   to criminality.  The major objection to anonymity over regular
1243.   internet use is the perceived lack of `accountability' to system
1244.   operators, i.e. invulnerability to account restrictions resulting
1245.   from outside complaints.  System adminstrators at some sites have
1246.   threatened to filter anonymous news postings generated by the
1247.   prominent servers from their redistribution flows.  This may only
1248.   have the effect of encouraging server operators to create less
1249.   characteristically detectable headers.  Probably the least
1250.   problematic approach, and the most traditional to Usenet, is for
1251.   individual users to deal with anonymous mail however they prefer,
1252.   e.g. ignoring it or filtering it with kill files.
1253.   
1254. _____
1255. <3.7> What is the future of anonymity on the internet?
1256.  
1257.   New anonymous protocols effectively serve to significantly increase
1258.   safeguards of anonymity.  For example, the same mechanism that
1259.   routes email over multiple hosts, thereby threatening its privacy,
1260.   can also be used to guarantee it.  In a scheme called `chaining' an
1261.   anonymous message is passed through multiple anonymous servers
1262.   before reaching a destination.  In this way generally multiple
1263.   links of the chain have to be `broken' for security to be
1264.   compromised. Re-encryption at each link makes this scenario even
1265.   more unlikely.  Even more significantly the anonymous remailers
1266.   could be spread over the internet globally so that local weaknesses
1267.   (such as corrupt governments or legal wiretapping within a nation)
1268.   would be more unlikely to sacrifice overall security by message
1269.   tracing.  However, remailers run by corrupt operators are possible.
1270.   
1271.   The future of anonymous services on the internet is, at this time,
1272.   highly uncertain and fraught with peril. While specific groups seem
1273.   to benefit significantly from anonymous posting capabilities, many
1274.   feel that unlimited newsgroup scope for anonymous posting is a
1275.   disruptive and dangerous idea and detracts from discussions in
1276.   `serious' groups.   The introduction of unlimited group anonymity
1277.   may have fundamental repercussions on Usenet conventions and
1278.   distribution mechanisms such as moderated and `alt' groups have had
1279.   in the past. For example, as part of new group creation, the
1280.   charter may specify whether `anonymous' posting is (un)welcome. 
1281.  
1282.   Nevertheless, the widespread introduction and use of anonymity may
1283.   be inevitable. Based on traffic statistics, anonymous services are
1284.   in huge demand. Pervasive and readily available anonymity could
1285.   carry significant and unforeseen social consequences.  However, if
1286.   its use is continued to be generally regarded as subversive it may
1287.   be confined to the underground.  The ramifications of the
1288.   widespread introduction of anonymity to Usenet are still largely
1289.   unknown.  It is unclear whether it will provoke signficant amounts
1290.   of new traffic or, instead of expansion, cause a shift where a
1291.   greater portion of existing traffic is anonymized.  Conceivably the
1292.   services could play a role in influencing future mainstream social
1293.   acceptance of Usenet.
1294.  
1295.  
1296. * * *
1297.  
1298. This is Part 1 of the Privacy & Anonymity FAQ, obtained via anonymous
1299.   FTP to rtfm.mit.edu:/pub/usenet/news.answers/net-privacy/ or 
1300.   newsgroups news.answers, sci.answers, alt.answers every 21 days.
1301. Written by L. Detweiler <ld231782@longs.lance.colostate.edu>.
1302. All rights reserved.
1303.  
1304.