home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / cud / cud435c.txt < prev    next >
Text File  |  1995-01-03  |  5KB  |  80 lines
  1. Date: Sun, 2 Aug 92 23:43 PDT
  2. From: john@ZYGOT.ATI.COM(John Higdon)
  3. Subject: File 3--Re: Another View of Bellcore vs. 2600
  4.  
  5. In Digest #4.34, Thomas Klotzbach gives a reasoned and rational view
  6. of the responsibility of a free press as it relates to the computer
  7. underground and specifically to the matter of recent publications by
  8. 2600 of Bellcore material. I could agree with every point except for
  9. the fact that Mr. Klotzbach makes an invalid assumption upon which
  10. hangs the balance of his piece. His assertion (and I assume his
  11. belief) is that Bellcore has conducted its business in good faith and
  12. corrected "holes" and shortcomings in a timely manner.
  13.  
  14. Nothing could be further from the truth. Since the days of "The Bell
  15. System", AT&T and the Bell Operating Companies have been grossly
  16. negligent in the matter of security. It would be my guess that the
  17. term, "Security Through Obscurity", originated with Ma Bell. Rather
  18. than create systems that used password security or handshaking
  19. protocols, "the phone company" merely relied on the (mistaken) idea
  20. that the public was too removed from the technical workings of the
  21. nationwide telephone network to be a "threat" to the billing or
  22. privacy integrity of the system as a hole.
  23.  
  24. The classic example is the use of inband signaling which provided
  25. hundreds, if not thousands of enthusiasts (for want of a better
  26. euphemism) the ability to travel around the world on Ma Bell's dime.
  27. These people could literally control the network because of a serious,
  28. inherent flaw built into the system. The band-aid fixes were too
  29. little, too late and network security was severely compromised until
  30. the inband signaling was replaced with CCIS and its progeny.
  31.  
  32. The Busy Verify Trunk and No. Test Trunk holes, which are the focus of
  33. the 2600 fracas, are just a portion of dozens of similar such
  34. vulnerabilities in our national telephone network. Those of us who are
  35. intimately familiar (for legitimate reasons) with this network have
  36. known about these things for a long, long time. I, for one, would like
  37. to see them plugged. If the 2600 article manages to get one of them
  38. out of the way, more power to it.
  39.  
  40. But the policy of "The Bell System" and now Bellcore and the RBOCs
  41. seems to be to do nothing about any such problems and wait for some
  42. phreak to get caught with a hand in the cookie jar. After all, why
  43. bother to fix something if it is not a problem (yet)? It can become a
  44. problem (or an embarrassment) in one of two ways. A publication such as
  45. 2600 can publicize the vulnerability situation; or someone can be
  46. caught taking advantage of it. In either case, Bellcore swings into
  47. action. For the former, threats of civil action for the publication of
  48. "proprietary" data does the trick. In the latter case, it simply hauls
  49. the perpetrator into court and garners as much publicity as possible.
  50. This has the dual purpose of intimidating others who may follow suit,
  51. and it obscures the fact that the whole problem was caused by
  52. Bellcore's own negligence.
  53.  
  54. It has been my experience in cases brought against accused phreaks
  55. that the prosecutors have not a clue what constitutes sensitive
  56. material.  Bellcore exploits this to the hilt when it uses the long
  57. arm of the law in lieu of properly imbedded security features. Just
  58. ask Craig Neidorf.  In all fairness, that particular incident involved
  59. an RBOC trying to fry Craig for something Bellcore was readily selling
  60. over the counter.  And Bellcore is certainly not the only entity in
  61. the nation, or perhaps the world, that gives security less than prime
  62. consideration, just "hoping" that whatever is slapped together will be
  63. good enough. But just because a practice may be widespread does not
  64. make it legitimate.
  65.  
  66. The press has the right, nay the responsibility, to put these issues
  67. before the public eye. We as a society have long since progressed
  68. beyond the notion that there are just some things about which people
  69. should not know, care, or ask. Security through obscurity no longer
  70. can work in an enlightened society. A system or network is not safe if
  71. the only thing keeping people out is the fact that a trivial entry
  72. procedure is not widely known. Unfortunately, much of the nation's
  73. telephone network can still be thusly described. If the only way to
  74. get these holes plugged is to publicize them and literally force
  75. Bellcore and the RBOCs to do their duty, then so be it. If prestigious
  76. organizations such as Bellcore suffer a little embarrassment along the
  77. way, just consider that the market force at work.
  78.  
  79. Downloaded From P-80 International Information Systems 304-744-2253
  80.