home *** CD-ROM | disk | FTP | other *** search
/ The Hacker Chronicles - A…the Computer Underground / The Hacker Chronicles - A Tour of the Computer Underground (P-80 Systems).iso / cud1 / cud200c.txt < prev    next >
Text File  |  1992-09-26  |  22KB  |  433 lines
  1. ------------------------------
  2.  
  3. Date:      Undated
  4. From:      Anonymous
  5. Subject:   Len Rose's Search Warrant
  6.  
  7. ********************************************************************
  8. ***  CuD #2.00: File 3 of 5: Len Rose's Search Warrant           ***
  9. ********************************************************************
  10.  
  11.  
  12.  
  13.                      UNITED STATES DISTRICT COURT
  14.  
  15.  
  16.    District of Maryland
  17.                                               APPLICATION AND AFFIDAVIT
  18.                                                  FOR SEARCH WARRANT
  19.  In the matter of the Search of:
  20.  
  21.                Residence of
  22.                7018 Willow Tree Drive         CASE NUMBER: 90-0002G
  23.                Middletown, Maryland
  24.  
  25.  
  26. I Timothy Foley being duly sworn depose and say:
  27.  
  28. I am a Special Agent and have reason to believe that on the property or
  29. premises known as: the residence at 7018 Willow Tree Drive, Middletown,
  30. Maryland (see attachment B) in the District of Maryland there is now
  31. concealed a certain person or property ,namely (see attachment A) which is
  32. concerning a violation of Title 18 United States code,Sections 2314 and 1030.
  33. The facts to support a finding of Probable Cause are as follows: (see
  34. attachment C)
  35.  
  36.  
  37.  
  38. Sworn to before me and subscribed in my presence
  39.  
  40. February 1,1990 at Baltimore Maryland
  41.  
  42. Clarence F. Goetz,U.S. Magistrate
  43.  
  44.  
  45.  
  46.  
  47.  
  48.                              ATTACHMENT A
  49.  
  50.   computer hardware (including central processing unit(s),monitors,memory
  51.   devices, modem(s), programming equipment,communications equipment,disks,
  52.   prints,and computer software (including but not limited to memory disks,
  53.   floppy disks, storage media) and written material and documents relating
  54.   to the use of the computer system (including networking access files,
  55.   documentation relating to the attacking of computer and advertising the
  56.   results of the computer attack (including telephone numbers and location
  57.   information), which constitute evidence,instrumentalities and fruits of
  58.   federal crimes, including interstate transportation of stolen property
  59.   (18 USC 2314) and interstate transportation of computer access information
  60.   (18 USC 1030(a)(6)). This warrant is for the seizure of the above described
  61.   computer and computer data and for the authorization to read information
  62.   stored and contained on the above described computer and computer data.
  63.  
  64.  
  65.  
  66.  
  67.                              ATTACHMENT B
  68.  
  69.  
  70.    Two level split-foyer style house with a upper story overhang on either
  71.    side of a central indentation for the front door. House is white upper
  72.    with red brick lower portion under the overhanging upper story. Front
  73.    door is white. There is a driveway on the lefthand side of the house as
  74.    you face the front. Mail box is situated on a post adjacent to the
  75.    driveway and mailbox displays the number 7018.
  76.  
  77.  
  78.  
  79.  
  80.                              ATTACHMENT C
  81.  
  82.  
  83.  State of Maryland   )
  84.                      ) SS
  85.  County of Frederick )
  86.  
  87.                              AFFIDAVIT
  88.  
  89.  1. I, Timothy Foley, am a Special Agent of the United States Secret Service
  90.     and have been so employed for the past two years. I am presently assigned
  91.     to the Computer Fraud Section of the United States Secret Service in
  92.     Chicago. Prior to that I was employed as an attorney of law practicing
  93.     in the City of Chicago and admitted to practice in the State of Illinois.
  94.     I am submitting this affidavit in support of the search warrant for the
  95.     premises known as the residence of Leonard Rose at 7018 Willow Tree Drive
  96.     in Middletown, Maryland.
  97.  
  98.  2. This affidavit is based upon my investigation and information provided
  99.     to me by Special Agent Barbara Golden of the Computer Fraud Section of
  100.     the United States Secret Service in Chicago. S.A. Golden has been
  101.     employed by the Secret Service for 13 years, and has been a Special Agent
  102.     with the Secret Service for 3 years and by other agents of the United
  103.     States Secret Service.
  104.  
  105.  3. I have also received technical information and investigative assistance
  106.     from the experts in the fields of telecommunications, computer technology,
  107.     software development and computer security technology, including:
  108.  
  109.     a. Reed Newlin, a Security Officer of Southwestern Bell, who has numerous
  110.        years of experience in operations,maintenance and administration of
  111.        telecommunication systems as an employee of the Southwestern Bell
  112.        Telephone Company.
  113.  
  114.     b. Henry M. Kluepfel, who has been employed by the Bell System or its
  115.        divested companies for the last twenty-four years. Kleupfel is
  116.        presently employed by Bell Communications Research, (Bellcore) as
  117.        a district manager responsible for coordinating security technology
  118.        and consultation at Bellcore in support of its owners, the seven (7)
  119.        regional telephone companies, including BellSouth Telephone Company
  120.        and Southwestern Bell Telephone Company. Mr. Kleupfel has participated
  121.        in the execution of numerous Federal and State search warrants relative
  122.        to telecommunications and computer fraud investigations. In addition,
  123.        Mr. Kleupfel has testified on at least twelve (12) occasions as an
  124.        expert witness in telecommunications and computer fraud related
  125.        crimes.
  126.  
  127.     c. David S. Bauer, who has been employed by Bell Communications Research,
  128.        (Bellcore) since April 1987. Bauer is a member of the technical staff
  129.        responsible for research and development in computer security
  130.        technology and for consultation in support for its owners, the seven
  131.        (7) regional telephone companies, including BellSouth. Mr. Bauer is
  132.        an expert in software development,communications operating systems,
  133.        telephone and related security technologies. Mr. Bauer has conducted
  134.        the review and analysis of approximately eleven (11) computer hacking
  135.        investigations for Bellcore. He has over nine (9) years of professional
  136.        experience in the computer related field.
  137.  
  138.     d. At all times relevant to this affidavit, "computer hackers" were
  139.        individuals involved with the unauthorized access of computer systems
  140.        by various means. The assumed names used by the hackers when contacting
  141.        each other were referred to as "hacker handles."
  142.  
  143.                          Violations Involved
  144.                          -------------------
  145.  
  146.  5.  18 USC 2314 provides federal criminal sanctions against individuals
  147.      who knowingly and intentionally transport stolen property or property
  148.      obtained by fraud, valued at $5,000.00 or more, in interstate commerce.
  149.      My investigation has revealed that on or about January 8, 1990
  150.      Leonard Rose, using the hacker handle Terminus, transported a stolen
  151.      or fraudulently obtained computer program worth $77,000.00 from
  152.      Middletown, Maryland to Columbia, Missouri.
  153.  
  154.  6.  18 USC 1030(a) (6) provides federal criminal sanctions against
  155.      individuals who knowingly and with intent to defraud traffic in
  156.      interstate commerce any information through which a computer may be
  157.      accessed without authorization in interstate commerce. My investigation
  158.      has revealed that on or about January 8,1990 Leonard Rose trafficked
  159.      a specially modified copy of AT&T Unix source code SVR 3.2 in interstate
  160.      commerce from Middletown, Maryland to Columbia,Missouri. (Source code
  161.      is a high level computer language which frequently uses English letters
  162.      and symbols for constructing computer programs. Programs written in
  163.      source code can be converted or translated by a "compiler" program into
  164.      object code for use by the computer.) This Unix source code SVR 3.2 had
  165.      been specially modified so that it could be inserted by a computer hacker
  166.      into any computer using a Unix operating system and thereafter enable the
  167.      hacker to illegally capture logins and passwords used by legitimate
  168.      users of the computer.
  169.  
  170.                 Discovery of the Altered Unix Source Code
  171.                 -----------------------------------------
  172.  
  173.  7. For the past seven (7) months I have been one of the United States
  174.     Secret Service agents involved in a national investigation into attacks
  175.     on telephone computer switches by various computer "hackers" including
  176.     an organization referred to as the Legion of Doom (LOD).
  177.  
  178.  8. My investigation to date has disclosed that hackers have stolen sensitive
  179.     proprietary information from various telecommunications organizations
  180.     and published this information in "hacker" publications such as "Phrack"
  181.     newsletter. On Janurary 18,1990 Craig Neidorf (hacker handle Knight
  182.     Lightning) the editor and co-publisher of "PHRACK" was caught in
  183.     possession of various stolen computer files including the source code
  184.     for UNIX SVR3.2 and the text file for the Bell South's enhanced 911 (E911)
  185.     system.
  186.  
  187.  9. On January 18,1990 Reed Newlin, Southwestern Bell, and I conducted an
  188.     examination of the computer files of Craig Neidorf, a hacker known to us
  189.     as Knight Lightning,at the University of Missouri at Columbia in Columbia,
  190.     Missouri (referred to hereafter simply as Neidorf computer files).
  191.     Newlin's examination of the Neidorf computer files extended from the night
  192.     of January 18 into the early morning hours of January 19. Later on
  193.     January 19 Newlin advised me that his examination of the Neidorf computer
  194.     files had disclosed the existence of what he believed to be proprietary
  195.     AT&T UNIX SVR3.2 source code in among Neidorf's computer files. He further
  196.     advised me that the AT&T source code appeared to have been modified into
  197.     a hacker tutorial which would enable a computer hacker to illegally
  198.     obtain password and login information from computers running on a UNIX
  199.     operating system.
  200.  
  201. 10. On January 29, 1990 I interviewed Craig Neidorf and he advised me that
  202.     Leonard Rose (hacker handle "Terminus") had provided him with the AT&T
  203.     UNIX SVR3.2 source code which had been taken by me from his computer
  204.     files on the computers at the University of Missouri. (Neidorf is soon to
  205.     be indicted in Chicago for violations of 18 USC 1030,1343, and 2314.
  206.     Neidorf's interview took place while he was aware of the potential
  207.     charges which might be brought against him.)
  208.  
  209. 11. Neidorf's identification of Leonard Rose (Terminus) as his source for
  210.     the stolen UNIX source code is corroborated by the physical evidence.
  211.     That evidence also shows that Terminus knew the code was stolen. On
  212.     January 20, 21, and 31, 1990 I personally examined the 19 pages of AT&T
  213.     UNIX SVR3.2 found in the Neidorf computer files by Newlin. On pages one
  214.     and two of the AT&T document the author of the file identifies himself
  215.     by the hacker handle "Terminus". On the first page of the document
  216.     Terminus advised Neidorf that the source code came originally  from AT&T
  217.     "so it's definitely not something you wish to get caught with".
  218.     Terminus also inserts the following warning into the text of the program
  219.     on the first page: "Warning: this is AT&T proprietary source code. Do
  220.     NOT get caught with it.." On page 26 of the program Terminus also states:
  221.  
  222.     "Hacked by Terminus to enable stealing passwords.. This is obviously
  223.      not a tool for initial system penetration, but instead will allow you
  224.      to collect passwords and accounts once it's been installed. Ideal for
  225.      situations where you have a one-shot opportunity for super user
  226.      privileges.. This source code is not public domain..(so don't get
  227.      caught with it).
  228.  
  229.      In addition to these warnings from Terminus the AT&T source code also
  230.      carries what appears to be the original warnings installed in the
  231.      program by AT&T on pages 2,5,6,7,26  and 28:
  232.  
  233.      Copyright (c) 1984 AT&T
  234.      All rights reserved
  235.      THIS IS UNPUBLISHED PROPRIETARY SOURCE CODE OF AT&T
  236.      The copyright notice above does not evidence and actual or intended
  237.      publication of the source code.
  238.  
  239.  12. On January 26 and 30, 1990 copies of the UNIX SVR 3.2 source code
  240.      found in the Neidorf computer files and discussed above were sent to
  241.      UNIX experts with AT&T (Mr. Al Thompson) and Bellcore (Mr. David Bauer
  242.      and Mr. Hank Kleupfel) for their evaluation.
  243.  
  244.  13. On January 30, 1990 Al Thompson of AT&T advised me that his initial
  245.      review of the document and the initial review of the document by AT&T's
  246.      software licensing group had disclosed the following:
  247.  
  248.      a. The document was in fact a copy of the AT&T UNIX SVR3.2 source
  249.         code login program.
  250.  
  251.      b. The program's value was approximately $75,000.00
  252.  
  253.      c. Neither Leonard Rose nor Craig Neidorf were licensed to own or
  254.         possess the source code in question.
  255.  
  256.      d. The source code provided to him had been made into a tutorial
  257.         for hackers which could be used to install "trap doors" into
  258.         a computer and it's operating system. These trap doors would
  259.         enable a hacker to illegally obtain the passwords and logins
  260.         of the legitimate users of a computer running on a UNIX
  261.         operating system.
  262.  
  263.              Identification of Leonard Rose as Terminus
  264.              ------------------------------------------
  265.  
  266.  14. The AT&T Unix SVR3.2 source code described in paragraphs 9 through
  267.      13 above reflected that a hacker named Terminus was the author of
  268.      the modifications.
  269.  
  270.  15. On January 15 and 30, 1990 David Bauer of Bellcore advised me that
  271.      Terminus is the hacker handle for an individual named Leonard Rose
  272.      who resides in Maryland. Bauer advised me that in e-mail between
  273.      Terminus and a hacker known as the Prophet (Robert Riggs), on October
  274.      9, 1988 Terminus had identified himself as:
  275.  
  276.           Len Rose
  277.           Len@Netsys.COM,postmaster@Netsys.COM
  278.           301-371-4497
  279.           Netsys,Inc. 7018 Willowtree Drive Middletown MD 21769
  280.  
  281.  16. In addition, Bauer's examination disclosed that Terminus received
  282.      e-mail at the following addresses: "len@ames.arc.nasa.gov" or
  283.      "len@netsys.com". The address "len@ames.arc.nasa.gov" indicates
  284.      that the author has the account "len" on the system named "Ames"
  285.      in the domain "arc" that is owned and operated by the National
  286.      Air and Space Agency of the United States government.
  287.  
  288.  17. My continuing review on January 25,1990 of the Neidorf computer files
  289.      disclosed that Rose was continuing to send e-mail to Neidorf and to
  290.      receive e-mail from Neidorf. On December 28,1989,Leonard Rose
  291.      (Terminus) sent an e-mail message to Neidorf in which Rose gives his
  292.      address as 7018 Willowtree Drive in Middletown, Maryland 21769 and
  293.      gives his e-mail address as follows:
  294.  
  295.       "len@netsys.netsys.com"
  296.  
  297.  18. On January 30, 1990 I was advised by individuals with the Computer
  298.      Emergency Reaction team (CERT) that the e-mail address
  299.      "len@netsys.netsys.com" is located at 7018 Willowtree Drive,Middletown,
  300.      Maryland 21769. CERT is an organization located at the Carnegie-Mellon
  301.      Institute and funded by the Defense Advanced Research Projects Agency.
  302.      It records contain information about the location of many computers
  303.      in the United States.
  304.  
  305.  19. There is additional evidence identifying Terminus as Leonard Rose.
  306.      On January 30, 1990 I received a May 24,1987 copy of "Phrack"
  307.      magazine from Hank Kluepfel of Bellcore wherein hacker Taran King
  308.      (Randy Tischler) interviewed and "profiled" Terminus (a/k/a Leonard
  309.      Rose). The personal background information in the article included
  310.      the following:
  311.  
  312.         Handle:                    Terminus
  313.         Call him:                  Len
  314.         Past Handles:              Terminal Technician
  315.         Handle Origin:             Terminal Technician originated because of
  316.                                    Len's view of himself as a hacker. Terminus
  317.                                    was an offshoot of that and, although it
  318.                                    is an egotistical view, it means he has
  319.                                    reached the final point of being a
  320.                                    proficient hacker.
  321.         Date of birth:             1/10/59
  322.         Age at current date:       29
  323.         Height:                    5'9"
  324.         Weight:                    About 190 lbs.
  325.         Eye Color:                 Hazel
  326.         Hair Color:                Brown
  327.         Computers:                 6800 home brew system, Apple II,Altair
  328.                                    S100, 2 Apple II+s,IBM PC,IBM XT,IBM 3270,
  329.                                    IBM AT, and 2 Altos 986's
  330.         Sysop/Co-Sysop:            MetroNet,MegaNet, and NetSys Unix
  331.  
  332.      Terminus is further described as an electronic engineer and he designs
  333.      boards for different minicomputers like PDP-11s,Data Generals,Vaxes,
  334.      and Perkin-Elmer who also writes software and writes computer code in
  335.      machine language.
  336.  
  337.  20. My January 25 review of the Neidorf computer files also disclosed a
  338.      January 9,1990 e-mail message from Rose to Neidorf at 12:20 am which
  339.      corroborated the fact that Rose had sent Neidorf the UNIX SVR3.2
  340.      source code on or around January 7,1990. In this message Rose tells
  341.      Neidorf that he (Rose) lost his copy of what he sent to Neidorf the
  342.      other night because his (Rose's) hard drive had crashed.
  343.  
  344.  21. My January 25 review also disclosed a second e-mail message from Rose
  345.      to Neidorf on January 9,1990, at 3:05 pm . This message indicates that
  346.      Neidorf had sent a copy of the requested source code back to Rose as
  347.      requested (see paragraph 20 above). Rose's message began:
  348.      "RE: UNIX file" and stated that the copy of the stolen source code
  349.      received back from Neidorf had some type of "glitch".
  350.  
  351.  22. These messages reflect that Rose still has at least one copy of the
  352.      UNIX SVR3.2 source code in his possession.
  353.  
  354.  23. On January 29,1990 Craig Neidorf advised me that on or around January
  355.      9, 1990 he received a copy of the Unix SVR3.2 source code which was
  356.      telecommunicated to him via Bitnet from Leonard Rose in Maryland.
  357.  
  358.  24. On January 30,1990, Hank Kluepfel of Bellcore advised me that based
  359.      upon his background experience and investigation in this case and
  360.      investigating approximately 50 other incidents this year involving
  361.      the unauthorized use of other computer systems,hackers that run
  362.      computer bulletin boards typically keep and use the following types
  363.      of hardware,software and documents to execute their fraud schemes and
  364.      operate their bulletin boards:
  365.  
  366.      a. Hardware - a central processing unit,a monitor, a modem,a keyboard,
  367.         a printer, and storage devices (either floppy disks or auxiliary
  368.         disk units),telephone equipment (including automatic dialing
  369.         equipment,cables and connectors), tape drives and recording equipment.
  370.  
  371.      b. Software - hard disks, and floppy disks containing computer programs,
  372.         including, but not limited to software data files, e-mail files,
  373.         UNIX software and other AT&T proprietary software.
  374.  
  375.      c. Documents - computer related manuals, computer related textbooks,
  376.         looseleaf binders, telephone books,computer printouts,videotapes
  377.         and other documents used to access computers and record information
  378.         taken from the computers during the above referred to breakins.
  379.  
  380.  25. Based upon the above information and my own observation, I believe
  381.      that at the residence known as 7018 Willow Tree Drive, Middletown,
  382.      Maryland there is computer hardware (including central processing
  383.      unit(s),monitors,memory devices,modem(s),programming equipment,
  384.      communication equipment,disks,prints and computer software (including
  385.      but not limited to memory disks,floppy disks,storage media) and
  386.      written material and documents relating to the use of the computer
  387.      system (including networking access files,documentation relating to the
  388.      attacking of computer and advertising the results of the computer
  389.      attack (including telephone numbers and location information.) This
  390.      affidavit is for the seizure of the above described computer and
  391.      computer data and for the authorization to read information stored
  392.      and contained on the above described computer and computer data
  393.      which are evidence of violations of 18 USC 2314 and 1030, as well as
  394.      evidence,instrumentalities or fruits of the fraud scheme being
  395.      conducted by the operator of the computer at that location.
  396.  
  397.                          Location to be Searched
  398.  
  399.  26. On January 31, 1990 I was advised by S.A. John Lewis, USSS in
  400.      Baltimore that 7018 Willow Tree Drive in Middletown, Maryland
  401.      is a two-level split-foyer style house with an upper story
  402.      overhang on either side of a central indentation for the front door.
  403.      The front door is white. There is a driveway on the left side of the
  404.      house as you face the front. A mail box is situated on a post next
  405.      to the driveway and displays the number 7018.
  406.  
  407.  27. Request is made herein to search and seize the above described
  408.      computer and computer data and to read the information contained
  409.      in and on the computer and computer data.
  410.  
  411.  
  412.  
  413.                                         Special Agent TIMOTHY FOLEY
  414.                                         United States Secret Service
  415.  
  416.  
  417.  
  418.  
  419.     Sworn and Subscribed to before
  420.     me this 1st day of February, 1990
  421.  
  422.  
  423.     Clarence E. Goetz
  424.     United States Magistrate
  425.  
  426.  
  427. ********************************************************************
  428.                            >> END OF THIS FILE <<
  429. ***************************************************************************
  430.  
  431.  
  432. Downloaded From P-80 International Information Systems 304-744-2253 12yrs+
  433.