home *** CD-ROM | disk | FTP | other *** search

---

/ Hacks & Cracks / Hacks_and_Cracks.iso / vol1 / gtmhh-cc.zip / gtmhh-cc1.txt

Wrap

Text File  |  1996-04-24  |  20KB  |  416 lines

---

1. ____________________________________________________________
2.  
3. GUIDE TO (mostly) HARMLESS HACKING
4.  
5. Computer Crime Law Issue #1
6.  
7. By Peter Thiruselvam <pselvam@ix.netcom.com> and Carolyn Meinel
8. ____________________________________________________________
9.  
10. Tired of reading all those ôYou could go to jailö notes in these guides? Who
11. says those things are crimes? Well, now you can get the first in a series of
12. Guides to the gory details of exactly what laws weÆre trying to keep you
13. from accidentally breaking, and who will bust you if you go ahead with the
14. crime anyhow.
15.  
16. This Guide covers the two most important US Federal computer crime statutes:
17. 18 USC, Chapter 47, Section 1029, and Section 1030, known as the ôComputer
18. Fraud and Abuse Act of 1986.ö
19.  
20. Now these are not the *only* computer crime laws.  ItÆs just that these are
21. the two most important laws used in US Federal Courts to put computer
22. criminals behind bars.  
23.  
24. COMPUTER CRIMES: HOW COMMON? HOW OFTEN ARE THEY REPORTED?
25.  
26. The FBIÆs national Computer Crimes Squad estimates that between 85 and 97
27. percent of computer intrusions are not even detected.  In a recent test
28. sponsored by the Department of Defense, the statistics were startling.
29. Attempts were made to attack a total of 8932 systems participating in the
30. test. 7860 of those systems were successfully penetrated.  The management of
31. only 390 of those 7860 systems detected the attacks, and only 19 of the
32. managers reported the attacks (Richard Power, -Current and Future Danger: A
33. CSI Primer on Computer Crime and Information Warfare_, Computer Security
34. Institute, 1995.) 
35.  
36. The reason so few attacks were reported was ômainly because organizations
37. frequently fear their employees, clients, and stockholders will lose faith
38. in them if they admit that their computers have been attacked.ö Besides, of
39. the computer crimes that *are* reported, few are ever solved. 
40.  
41. SO, ARE HACKERS A BIG CAUSE OF COMPUTER DISASTERS?
42.  
43. According to the Computer Security Institute, these are the types of
44. computer crime and other losses:    
45. ╖ Human errors - 55%  
46. ╖ Physical security problems - 20%(e.g., natural disasters, power problems)
47. ╖ Insider attacks conducted for the purpose of profiting from computer crime
48. - 10%
49. ╖ Disgruntled employees seeking revenge - 9%
50. ╖ Viruses - 4% 
51. ╖ Outsider attacks - 1-3%
52.  
53. So when you consider that many of the outsider attacks come from
54. professional computer criminals -- many of whom are employees of the
55. competitors of the victims, hackers are responsible for almost no damage at
56. all to computers. 
57.  
58. In fact, on the average, it has been our experience that hackers do far more
59. good than harm.
60.  
61. Yes, we are saying that the recreational hacker who just likes to play
62. around with other peopleÆs computers is not the guy to be afraid of. ItÆs
63. far more likely to be some guy in a suit who is an employee of his victim.
64. But you would never know it from the media, would you?
65.  
66. OVERVIEW OF US FEDERAL LAWS
67.  
68. In general, a computer crime breaks federal laws when it falls into one of
69. these categories:
70.  
71. ╖ It involves the theft or compromise of national defense, foreign
72. relations, atomic energy, or other restricted information.
73. ╖ It involves a computer owned by a U.S. government department or agency.
74. ╖ It involves a bank or most other types of financial institutions.
75. ╖ It involves interstate or foreign communications.
76. ╖ it involves people or computers in other states or countries.
77.  
78. Of these offenses, the FBI ordinarily has jurisdiction over cases involving
79. national security, terrorism, banking, and organized crime.  The U.S. Secret
80. Service has jurisdiction whenever the Treasury Department is victimized or
81. whenever computers are attacked that are not under FBI or U.S. Secret
82. Service jurisdiction (e.g., in cases of password or access code theft).  In
83. certain federal cases, the customs Department, the Commerce Department, or a
84. military organization, such as the Air Force Office of Investigations, may
85. have jurisdiction.
86.  
87. In the United States, a number of federal laws protect against attacks on
88. computers, misuse of passwords, electronic invasions of privacy, and other
89. transgressions.  The Computer Fraud and Abuse Act of 1986 is the main piece
90. of legislation that governs most  common computer crimes, although many
91. other laws may be used to prosecute different types of computer crime. The
92. act amended Title 18 United States Code º1030. It also complemented the
93. Electronic Communications Privacy Act of 1986, which outlawed the
94. unauthorized interception of digital communications and had just recently
95. been passed. The Computer Abuse Amendments Act of 1994 expanded the 1986 Act
96. to address the transmission of viruses and other harmful code.
97.  
98. In addition to federal laws, most of the states have adopted their own
99. computer crime laws.  A number of countries outside the United States have
100. also passed legislation defining and prohibiting computer crime.
101.  
102. THE BIG NO NOÆS -- THE TWO MOST IMPORTANT FEDERAL CRIME LAWS
103.  
104. As mentioned above, the two most important US federal computer crime laws
105. are 18 USC: Chapter 47, Sections 1029 and 1030.
106.      
107. SECTION 1029
108.  
109. Section 1029 prohibits fraud and related activity that is made possible by
110. counterfeit access devices such as PINs, credit cards, account numbers, and
111. various types of electronic identifiers.  The nine areas of criminal
112. activity covered by Section 1029 are listed below.  All *require* that the
113. offense involved interstate or foreign commerce.
114.  
115. 1.  Producing, using, or trafficking in counterfeit access devices.  (The
116. offense must be committed knowingly and with intent to defraud.)
117.  
118. Penalty:  Fine of $50,000 or twice the value of the crime and/or up to 15
119. years in prison, $100,000 and/or up to 20 years if repeat offense.
120.  
121. 2.  Using or obtaining unauthorized access devices to obtain anything of
122. value totaling $1000 or more during a one-year period.  (The offense must be
123. committed knowingly and with intent to defraud.)
124.  
125. Penalty:  Fine of $10,000 or twice the value of the crime and/or up to 10
126. years in prison, $100,000 and/or up to 20 years if repeat offense.
127.  
128. 3.  Possessing 15 or more counterfeit or unauthorized access devices. (The
129. offense must be committed knowingly and with intent to defraud.)
130.  
131. Penalty:  Fine of $10,000 or twice the value of the crime and/or up to 10
132. years in prison, $100,000 and/or up to 20 years if repeat offense.
133.  
134. 4.  Producing, trafficking in, or having device-making equipment.  (The
135. offense must be committed knowingly and with intent to defraud.)
136.  
137. Penalty:  Fine of $50,000 or twice the  value of the of the crime and/or up
138. to 15 years in prison, $1,000,000 and/or up to 20 years if repeat offense.
139.  
140. 5.  Effecting transactions with access devices issued to another person in
141. order to receive payment or anything of value totaling $1000 or more during
142. a one-year period.  (The offense must be committed knowingly and with intent
143. to defraud.)
144.  
145. Penalty:   Fine of 10, or twice the value of the crime and/or up to 10 years
146. in prison, 100,000 and/or up to 20 years if repeat offense.
147.  
148. 6.  Soliciting a person for the purpose of offering an access device or
149. selling information that can be used to obtain an access device.  (The
150. offense must be committed knowingly and with intent to defraud, and without
151. the authorization of the issuer of the access device.)
152.  
153. Penalty:  Fine of $50,000 or twice the value of the crime and/or up to 15
154. years in prison, $100,000 and/or up to 20 years if repeat offense.
155.  
156. 7.  Using, producing, trafficking in, or having a  telecommunications
157. instruments that has been modified or altered to obtain unauthorized use of
158. telecommunications services. (The offense must be committed knowingly and
159. with intent to defraud.)
160.  
161. This would cover use of ôRed Boxes,ö ôBlue Boxesö (yes, they still work on
162. some telephone networks) and cloned cell phones when the legitimate owner of
163. the phone you have cloned has not agreed to it being cloned. 
164.  
165. Penalty:  Fine of $50,000 or twice the value of the crime and/or up to 15
166. years in prison, $100,000 and/or up to 20 years if repeat offense.
167.  
168. 8.  Using, producing, trafficking in, or having a scanning receiver or
169. hardware or software used to alter or modify telecommunications instruments
170. to obtain unauthorized access to telecommunications services.
171.  
172. This outlaws the scanners that people so commonly use to snoop on cell phone
173. calls. We just had a big scandal when the news media got a hold of an
174. intercepted cell phone call from Speaker of the US House of Representatives
175. Newt Gingrich.
176.  
177. Penalty:  Fine of $50,000 or twice the value of the crime and/or up to 15
178. years in prison, $100,000 and/or  up to 20 years if repeat offense.
179.  
180. 9.  Causing or arranging for a person to present, to a credit card system
181. member or its agent for payment, records of transactions made by an access
182. device.(The offense must be committed knowingly and with intent to defraud,
183. and without the authorization of the credit card system member or its agent.
184.  
185. Penalty: Fine of $10,000 or twice the value of the crime and/or up to 10
186. years in prison, $100,000 and/or up to 20 years if repeat offense.
187.  
188. SECTION 1030
189.  
190. 18 USC, Chapter 47, Section 1030, enacted as part of the Computer Fraud and
191. Abuse Act of 1986, prohibits unauthorized or fraudulent access to government
192. computers, and establishes penalties for such access.  This act is one of
193. the few pieces of federal legislation solely concerned with computers.
194. Under the Computer Fraud and Abuse Act, the U.S. Secret Service and the FBI
195. explicitly have been given jurisdiction to investigate the offenses defined
196. under this act.
197.  
198. The six areas of criminal activity covered by Section 1030 are:
199.  
200. 1.  Acquiring national defense, foreign relations, or restricted atomic
201. energy information with the intent or reason to believe that the information
202. can be used to injure the United States or to the advantage of any foreign
203. nation.  (The offense must be committed knowingly by accessing a computer
204. without authorization or exceeding authorized access.)
205.  
206. 2.  Obtaining information in a financial record of a financial institution
207. or a card issuer, or information on a consumer in a file of a consumer
208. reporting agency.  (The offense  must be committed intentionally by
209. accessing a computer without authorization or exceeding authorized access.)
210.  
211. Important note: recently on the dc-stuff hackersÆ list a fellow whose name
212. we shall not repeat claimed to have ôhacked TRWö to get a report on someone
213. which he posted to the list. We hope this fellow was lying and simply paid
214. the fee to purchase the report.
215.  
216. Penalty:  Fine and/or up to 1 year in prison, up to 10 years if repeat offense.
217.  
218. 3.  Affecting a computer exclusively for the use of a U.S. government
219. department or agency or, if it is not exclusive, one used for the government
220. where the offense adversely affects the use of the governmentÆs operation of
221. the computer.  (The offense must be committed intentionally by accessing a
222. computer without authorization.)
223.  
224. This could apply to syn flood and killer ping as well as other denial of
225. service attacks, as well as breaking into a computer and messing around.
226. Please remember to tiptoe around computers with .mil or .gov domain names!
227.  
228. Penalty:  Fine and/or up to 1 year in prison, up to 10 years if repeat offense.
229.  
230. 4.  Furthering a fraud by accessing a federal interest computer and
231. obtaining anything of value, unless the fraud and the thing obtained
232. consists only of the use of the computer.  (The offense must be committed
233. knowingly, with intent to defraud, and without authorization or exceeding
234. authorization.)[The governmentÆs view of  ôfederal interest computerö is
235. defined below]
236.  
237. Watch out! Even if you download copies of programs just to study them, this
238. law means if the owner of the program says, ôYeah, IÆd say itÆs worth a
239. million dollars,ö youÆre in deep trouble.
240.  
241. Penalty:  Fine and/or up to 5 years in prison, up to 10 years if repeat offense.
242.  
243. 5.  Through use of a  computer used in interstate commerce, knowingly
244. causing the transmission of a program, information, code, or command to a
245. computer system. There are two separate scenarios:
246.  
247.      a.  In this scenario, (I) the person causing the transmission intends
248. it to damage the computer or deny use to it; and (ii) the transmission
249. occurs without the authorization of the computer owners or operators, and
250. causes $1000 or more in loss or damage, or modifies or impairs, or
251. potentially modifies or impairs, a medical treatment or examination.
252.  
253. The most common way someone gets into trouble with this part of the law is
254. when trying to cover tracks after breaking into a computer. While editing
255. or, worse yet, erasing various files, the intruder may accidentally erase
256. something important. Or some command he or she gives may accidentally mess
257. things up. Yeah, just try to prove it was an accident. Just ask any systems
258. administrator about giving commands as root. Even when you know a computer
259. like the back of your hand it is too easy to mess up.
260.  
261. A simple email bomb attack, ôkiller ping,ö flood ping, syn flood, and those
262. huge numbers of Windows NT exploits where sending simple commands to many of
263. its ports causes a crash could also break this law. So even if you are a
264. newbie hacker, some of the simplest exploits can land you in deep crap!
265.  
266. Penalty with intent to harm:  Fine and/or up to 5 years in prison, up to 10
267. years if repeat offense.
268.  
269. b.  In this scenario, (I) the person causing the transmission does not
270. intend the damage but operates with reckless disregard of the risk that the
271. transmission will cause damage to the computer  owners or operators, and
272. causes $1000 or more in loss or damage, or modifies or impairs, or
273. potentially modifies or impairs, a medical treatment or examination.
274.  
275. This means that even if you can prove you harmed the computer by accident,
276. you still may go to prison.
277.  
278. Penalty for acting with reckless disregard:  Fine and/or up to 1 year in prison.
279.  
280. 6.  Furthering a fraud by trafficking in passwords or similar information
281. which will allow a computer to be accessed without authorization, if the
282. trafficking affects interstate or foreign commerce or if the computer
283. affected is used by or for the government.  (The offense must be committed
284. knowingly and with intent to defraud.)
285.  
286. A common way to break this part of the law comes from the desire to boast.
287. When one hacker finds a way to slip into another personÆs computer, it can
288. be really tempting to give out a password to someone else. Pretty soon
289. dozens of clueless newbies are carelessly messing around the victim
290. computer. They also boast. Before you know it you are in deep crud.
291.  
292. Penalty:  Fine and/or up to 1 year in prison, up to 10 years if repeat offense.
293.  
294. Re:  #4   Section 1030 defines a federal interest computer as follows:
295.  
296. 1.  A computer that is exclusively for use of a financial
297. institution[defined below] or the U.S. government or, if it is not
298. exclusive, one used for a financial institution or the U.S. government where
299. the offense adversely affects the use of the financial institutionÆs or
300. governmentÆs operation of the computer; or 
301.  
302. 2.  A computer that is one of two or more computers used to commit the
303. offense, not all of which are located in the same state.
304.  
305. This section defines a financial institution as follows:
306.  
307. 1.  An institution with deposits insured by the Federal Deposit Insurance
308. Corporation(FDIC).
309.  
310. 2.  The Federal Reserve or a member of the Federal Reserve, including any
311. Federal Reserve Bank.
312.  
313. 3.  A credit union with accounts insured by the National Credit Union
314. Administration.
315.  
316. 4.  A member of the federal home loan bank system and any home loan bank.
317.  
318. 5.  Any institution of the Farm Credit system under the Farm Credit Act of 1971.
319.  
320. 6.  A broker-dealer registered with the Securities and Exchange
321. Commission(SEC) within the rules of section 15 of the SEC Act of 1934.
322.  
323. 7.  The Securities Investors Protection Corporation.
324.  
325. 8.  A branch or agency of a foreign bank (as defined in the International
326. Banking Act of 1978).
327.  
328. 9.  An organization operating under section 25 or 25(a) of the Federal
329. Reserve Act.
330.  
331. WHOÆS IN CHARGE OF BUSTING THE CRACKER WHO GETS A BIT FROGGY REGARDING
332. SECTION 1030?
333.  
334. (FBI stands for Federal Bureau of Investigation, USSS for US Secret Service)
335.  
336. Section of Law    Type of Information    Jurisdiction
337.  
338. 1030(a)(1)     National Security         FBI  USSS JOINT
339.  
340.             National defense         X
341. 1030(a)(2)    Foreign relations         X
342.             Restricted atomic energy    X
343.  
344. 1030(a)(2)    Financial or consumer
345.             
346.             Financial records of     X
347.               banks, other financial 
348.               institutions
349.             Financial records of 
350.               card issuers                  X
351.             Information on consumers 
352.               in files of a consumer 
353.               reporting agency             X
354.             Non-bank financial 
355.               institutions                     X
356.  
357. 1030(a)(3) Government computers
358.             National defense         X
359.              Foreign relations        X
360.             Restricted data            X
361.             White House                     X
362.             All other government 
363.               computers                 X
364.  
365. 1030(a)(4) Federal interest computers:
366.                Intent to defraud                  X
367.  
368. 1030(a)(5)(A) Transmission of programs, commands:    
369.             Intent to damage or deny use         X
370.  
371. 1030(a)(5)(B) Transmission off programs, commands:                    Reckless disregard                 X
372.  
373. 1030 (a)(6) Trafficking in passwords:                    
374.             Interstate or foreign commerce     X
375.                Computers used by or for 
376.               the government                 X
377.  
378.  
379. Regarding 1030 (a)(2):  The FBI has jurisdiction over bank fraud violations,
380. which include categories (1) through (5) in the list of financial
381. institutions defined above.  The Secret Service and FBI share joint
382. jurisdiction over non-bank financial institutions defined in categories (6)
383. and (7) in the list of financial institutions defined above.
384.  
385. Regarding 1030(a)(3)  Government Computers:  The FBI is the primary
386. investigative agency for violations of this section when it involves
387. national defense. Information pertaining to foreign relations, and other
388. restricted data.  Unauthorized access to other information in government
389. computers falls under the primary jurisdiction of the Secret Service.
390.  
391. MORAL:  CONFUCIUS SAY:  ôCRACKER WHO GETS BUSTED DOING ONE OF THESE CRIMES,
392. WILL SPEND LONG TIME IN JAILHOUSE SOUP.ö
393.  
394. This  information was swiped from _Computer Crime: A CrimefighterÆs
395. Handbook_ (Icove, Seger & VonStorch. OÆReilly & Associates, Inc.)
396. _________________________________________________________
397. Want to see back issues of Guide to (mostly) Harmless Hacking? See either
398. http://www.tacd.com/zines/gtmhh/ or 
399. http://ra.nilenet.com/~mjl/hacks/codez.htm. Or get complete archives of our
400. Happy Hacker list digests at http://www.infowar.com under the ôHackersö forum.
401. Subscribe to our email list by emailing to hacker@techbroker.com with
402. message "subscribe".
403. Want to share some kewl stuph with the Happy Hacker list? Correct mistakes?
404. Send your messages to hacker@techbroker.com.  To send me confidential email
405. (please, no discussions of illegal activities) use cmeinel@techbroker.com
406. and be sure to state in your message that you want me to keep this
407. confidential. If you wish your message posted anonymously, please say so!
408. Please direct flames to dev/null@techbroker.com. Happy hacking! 
409. Copyright 1997 Carolyn P. Meinel. You may forward  or post on your Web site
410. this GUIDE TO (mostly) HARMLESS HACKING as long as you leave this notice at
411. the end..
412. ________________________________________________________
413. Carolyn Meinel
414. M/B Research -- The Technology Brokers
415.  
416.