home *** CD-ROM | disk | FTP | other *** search

---

/ Monster Media 1993 #2 / Image.iso / magazine / cud551.zip / IF000040.TXT

Wrap

Text File  |  1993-07-12  |  48KB  |  914 lines

---

1.  
2. Computer underground Digest    Sun July 11 1993   Volume 5 : Issue 51
3.                            ISSN  1004-042X
4.  
5.        Editors: Jim Thomas and Gordon Meyer (TK0JUT2@NIU.BITNET)
6.        Archivist: Brendan Kehoe
7.        Shadow-Archivists: Dan Carosone / Paul Southworth
8.                           Ralph Sims / Jyrki Kuoppala
9.                           Ian Dickinson
10.        Copy Editor: Etaoin Shrdlu, Seniur
11.  
12. CONTENTS, #5.51 (July 11 1993)
13. File 1--Introduction to the AIS BBS Controversy
14. File 2--Response to RISKS' Anonymous Post attacking AIS BBS
15. File 3--Response to Anonymous: AIS BBS
16. File 4--A User's View of AIS BBS
17. File 5--Fear and Loathing: On the Virus Code Trail at AIS
18. File 6--Media, Anti-virus personnel, Ethics, and AIS
19.  
20. Cu-Digest is a weekly electronic journal/newsletter. Subscriptions are
21. available at no cost electronically from tk0jut2@mvs.cso.niu.edu. The
22. editors may be contacted by voice (815-753-6430), fax (815-753-6302)
23. or U.S. mail at:  Jim Thomas, Department of Sociology, NIU, DeKalb, IL
24. 60115.
25.  
26. Issues of CuD can also be found in the Usenet comp.society.cu-digest
27. news group; on CompuServe in DL0 and DL4 of the IBMBBS SIG, DL1 of
28. LAWSIG, and DL1 of TELECOM; on GEnie in the PF*NPC RT
29. libraries and in the VIRUS/SECURITY library; from America Online in
30. the PC Telecom forum under "computing newsletters;"
31. On Delphi in the General Discussion database of the Internet SIG;
32. on the PC-EXEC BBS at (414) 789-4210; and on: Rune Stone BBS (IIRG
33. WHQ) (203) 832-8441 NUP:Conspiracy; RIPCO BBS (312) 528-5020
34. CuD is also available via Fidonet File Request from 1:11/70; unlisted
35. nodes and points welcome.
36. EUROPE:   from the ComNet in LUXEMBOURG BBS (++352) 466893;
37.           In ITALY: Bits against the Empire BBS: +39-461-980493
38.  
39. ANONYMOUS FTP SITES:
40.   UNITED STATES:  ftp.eff.org (192.88.144.4) in /pub/cud
41.                   uglymouse.css.itd.umich.edu (141.211.182.53) in /pub/CuD/cud
42.                   halcyon.com( 202.135.191.2) in /pub/mirror/cud
43.                   aql.gatech.edu (128.61.10.53) in /pub/eff/cud
44.   AUSTRALIA:      ftp.ee.mu.oz.au (128.250.77.2) in /pub/text/CuD.
45.   EUROPE:         nic.funet.fi in pub/doc/cud. (Finland)
46.                   ftp.warwick.ac.uk in pub/cud (United Kingdom)
47.  
48. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
49. information among computerists and to the presentation and debate of
50. diverse views.  CuD material may  be reprinted for non-profit as long
51. as the source is cited. Authors hold a presumptive copyright, and
52. they should be contacted for reprint permission.  It is assumed that
53. non-personal mail to the moderators may be reprinted unless otherwise
54. specified.  Readers are encouraged to submit reasoned articles
55. relating to computer culture and communication.  Articles are
56. preferred to short responses.  Please avoid quoting previous posts
57. unless absolutely necessary.
58.  
59. DISCLAIMER: The views represented herein do not necessarily represent
60.             the views of the moderators. Digest contributors assume all
61.             responsibility for ensuring that articles submitted do not
62.             violate copyright protections.
63.  
64. ----------------------------------------------------------------------
65.  
66. Date: Thu, 8 July 1993 21:39:01 CDT
67. From: Jim Thomas <tk0jut2@mvs.cso.niu.edu>
68. Subject: File 1--Introduction to the AIS BBS Controversy
69.  
70. A recent (Vol 14, #58) issue of Risks Digest contained an anonymous
71. post that attacked AIS BBS and it's sysop, Kim Clancy.  The AIS board
72. is a service of the U.S. Department of Treasury's Bureau of Public
73. Debt.  "AIS' is an acronym for "Automated Information System," and the
74. board provides security-related information to its users.
75.  
76. AIS downloadable files included a broad range of texts files related
77. to computer security, "hacker" culture, and computer technology, along
78. with other files readily available on any public access system. A few
79. anti-virus folk complained about the virus source code that was
80. available on the board. According to CuD sources, at least one British
81. anti-virus specialist publicly condemned the board and urged
82. colleagues to voice complaints.
83.  
84. An "anonymous" poster, later revealed to be Paul Ferguson, an
85. anti-virus specialist, wrote the anonymous Risks post. The story was
86. picked up by Joel Garreau of the Washington Post a few weeks later,
87. and on July 6 prompted Edward J. Markey, Chair of the House
88. Subcommittee on Telecommunications and Finance, to contact Lloyd
89. Bentsen, Secretary of the Department of the Treasury, to voice
90. concerns (see forthcoming CuD 5.52 for comments from Rep. Markey's
91. office) about the AIS BBS.
92.  
93. In my view, this incident has been blown out of proportion by some of
94. the anti-virus crowd and their supporters, by the media, and
95. especially by Rep. Markey.  In this issue, we examine the background
96. of the incident as it began in Risks, and include some commentary.
97.  
98. ------------------------------
99.  
100. Date: Mon, 21 Jun 93 22:54:12 CDT
101. From: Jim Thomas <cudigest@mindvox.phantom.com>
102. Subject: File 2--Response to RISKS' Anonymous Post attacking AIS BBS
103.  
104. ((The following appeared in Risks Digest, #14.68, ten issues after
105. the original post appeared)).
106.  
107. In Risks (Vol 14 #58) appeared a post, part of which is reprinted
108. below, that makes us appreciate freedom of speech and information
109. exchange we enjoy in the U.S. The primary risk I've learned after
110. reading the post is that anonymous posters with an axe to grind are
111. potential threats to freedom of expression.
112.  
113. Two anonymous posters falsely depict AIS BBS, a bulletin board run by
114. Dept of Treasury/Office of Public Debt personnel as a public
115. information service, as a board engaged in "unethical, immoral, and
116. possibly illegal activities:"
117.  
118.   >Date: Fri, 7 May 93 11:18:17 -0500
119.   >From: Anonymous <nowhere@bsu-cs.bsu.edu>
120.   >X-Notice: This message was forwarded by a software-
121.   >       automated anonymous remailing service.
122.   >
123.   >This text was forwarded to me by a friend and professional colleague
124.   >in the UK. I am dismayed that this type of activity is being condoned
125.   >by an American Governmental Agency. I can only hope that this
126.   >operation is shut down and the responsible parties are reprimanded.  I
127.   >am extremely disturbed by the thought that my tax money is being used
128.   >for, what I consider, unethical, immoral and possibly illegal
129.   >activities.
130.   >
131.   >             ---- begin forwarded message -------------
132.   >
133.   >AIS BBS Capture log.
134.   >
135.    >To:  all interested parties, especially Americans who may wish to ask
136.    >relevant questions of relevant people.
137.    >
138.    >Capture log from a BBS that claims to be run by the US Treasury
139.    >Department, Bureau of the Public Debt. Notice - I have not verified
140.    >that the US government is actually running this BBS, only that the BBS
141.    >claims that it is.
142.  
143. The remainder of the anonymous post presents screen captures of
144. directories and files to which the poster objects. Especially
145. troublesome for the anonymous accusers are virus-oriented files.
146.  
147. AIS is a reputable and professionally run open-access BBS.
148. It has one of most extensive collections of text and other files
149. related to all aspects of security in the country. Some may object
150. to some of the materials, just as some might object to RISKS DIGEST or
151. CuD  being "funded" with taxpayers money.  It strikes me as
152. reprehensible to take selected material out of context and piece
153. together an image of immorality or worse by presenting a misleading
154. image of the materials on the BBS and the purposes for which those
155. materials are intended.  That the accusers make their claims while
156. hiding behind the cloak of anonymity strikes me as the type of
157. cowardice associated with witch hunts.
158.  
159. The anonymous posters seem to be bothered by the existence of virus
160. source code on the board. I wager one would learn far more about virus
161. writing and distribution tactics from VIRUS-L than from the AIS files,
162. but the two anonymous posters seem to be part of a handful of strident
163. pseudo-moral entrepreneurs who feel that only the information they
164. judge as appropriate for public consumption should be made available.
165. I'm surprised that the anonymous critics did not also include a demand
166. that public libraries also be closed.
167.  
168. It is one thing to disagree with the position of another and raise the
169. contentious issues as a matter of public debate. It is quite another
170. to engage in the cowardly act of anonymously distorting the function
171. of a legitimate and widely-used BBS by insinuating "unethical,
172. immoral, and possibly illegal activities."
173.  
174. CuD ran an interview with the AIS BBS personnel (CuD 4.37, 1992), and
175. a few excerpts may put the purposes of AIS BBS in perspective:
176.  
177.                         *** begin excerpts ***
178.  
179.      Q: What is this Board? (name, number, who runs it (dept & sysop).
180.      What kind of software are you using?  When did the Board go
181.      on-line?
182.  
183.      A: The Bulletin Board System (BBS) is run by the Bureau of the
184.      Public Debt's, Office of Automated Information System's Security
185.      Branch.  The mission of the Bureau is to administer Treasury's
186.      debt finance operations and account for the resulting debt.  The
187.      OAIS security branch is responsible for managing Public Debt's
188.      computer systems security.  The AIS BBS is open to the public and
189.      the phone number for the Board is (304) 420-6083.  There are
190.      three sysops, who manage the Remote Access software.  The BBS
191.      operates on a stand-alone pc and is not connected to any of other
192.      Public Debt systems.  The Board is not used to disseminate
193.      sensitive information, and has been up operating for the past 15
194.      months. <<This interview was as of mid-1992 - jt>>
195.  
196.      Q: What are the goals and purposes of the Board?
197.  
198.      A: The BBS was established to help manage Public Debt's security
199.      program.  Security managers are located throughout Public Debt's
200.      offices in Parkersburg, WV and Washington DC.  The security
201.      programmers saw a need to disseminate large amounts of
202.      information and provide for communication between program
203.      participants in different locations.  Because the Board was
204.      established for internal purposes, the phone number was not
205.      published.  However, the number was provided to others in the
206.      computer security community who could provide information and
207.      make suggestions to help improve the bureau's security program.
208.      Gradually, others became aware of the Board's existence.
209.  
210.      Q: What kinds of files and/or programs do you have on the Board?
211.      Why/how do you choose the files you have on-line?
212.  
213.      A: There is a wide variety of files posted.  In the beginning, we
214.      posted policy documents, newsletter articles from our internal
215.      security newsletter, bulletins issued by CERT, such as virus
216.      warnings, and others for internal use.  I located some
217.      "underground" files that described techniques for circumventing
218.      security on one of the systems we manage.  The information, from
219.      Phrack magazine, was posted for our security managers to use to
220.      strengthen security.  When we were called by others with the same
221.      systems, we would direct them to those files as well.
222.      Unexpectedly, the "hacker" that had written the file contacted me
223.      through our BBS.  In his article he mentioned several automated
224.      tools that had helped him take advantage of the system.  I
225.      requested that he pass on copies of the programs for our use.  He
226.      agreed.  This is how our "hacker file areas" came to be.  Other
227.      hackers have done the same, and have we also received many files
228.      that may be useful.  It is, indeed, an unusual situation when
229.      hackers and security professionals work together to help secure
230.      systems.  However, this communication has been beneficial in
231.      strengthening an already secure system.
232.  
233.      Q: How did you get the idea to set it up?
234.  
235.      A: The security branch accesses many BBSs on a daily basis for
236.      research purposes, information retrieval and to communicate with
237.      others.  Since our security program is decentralized, the BBS
238.      seemed to be an effective way of communicating with program
239.      participants in diverse locations.
240.  
241.                             <end excerpts>
242.  
243. Perhaps the anonymous accusers are correct: Some types of information
244. may pose a risk if abused. But, in an open democracy, the potential
245. for abuse has been neither a necessary nor a sufficient justification
246. to silence those with whom we disagree.  If potential for abuse were a
247. primary criterion for suppressing the flow of information and freedom
248. of expression, we would live in a rather silent world, and there would
249. likely be no RISKS digest (which arguably subverts the national
250. interest by undermining faith in computers and in government, all of
251. which is largely done with public funding).
252.  
253. Hiding behind anonymity to reduce the risks of accounting for their
254. accusations, the anonymous posters call not only for silencing, but
255. for sanctions against the sysops.
256. This suggests several risks:
257.  
258. 1) Posters who are unwilling to accept responsibility for their
259. claims are more able to distort information in ways that
260. leave the target vulnerable and unable to face their accusers.
261.  
262. 2) Anonymous posters who call for silencing and sanctions on the
263. basis of unexamined and questionable claims create a chilling
264. effect on freedom of expression.
265.  
266. 3) Anonymous posters with an apparent axe to grind contribute to
267. poisoning the well of free information and reduce the opportunity to
268. openly discuss and debate issues.
269.  
270. Our society can far more readily tolerate the existence of information
271. that some may find inappropriate than we can risk the censorship of
272. information because it offends a few zealots engaged in a form of
273. cyber-guerilla warfare by making anonymous claims.
274.  
275. Jim Thomas
276. Cu-Digest
277. Sociology/Criminal Justice
278. Northern Illinois University
279. DeKalb, IL 60115
280.  
281. ------------------------------
282.  
283. Date:         Thu, 13 May 93 12:46:19 EDT
284. From: Frank Tirado <SYSADMIN@ERS.BITNET>
285. Subject: File 3--Response to Anonymous: AIS BBS
286.  
287. I'm concerned about the implications of message contributed by
288. "Anonymous" on the AIS BBS.  The message implies that surely any
289. "right-thinking" person would agree with the statements presented.  So
290. sorry!  I have a totally different opinion as regards the conclusions
291. presented by "Anonymous".
292.  
293. First, lets get a few things out in the open:
294.  
295. a. The AIS BBS is a real BBS run by the Bureau of Public Debt.
296. b. Its phone number is (304)420-6083
297. c. While the BBS does post virus source code, these comprise at most
298.    about 40 files, a minute fraction of the files available on the
299.    board.  (In fact, I have several HUNDRED virus sources in my
300.    collection, none of them acquired from the AIS BBS)
301.  
302. Both "Anonymous" and his/her UK colleague decry the fact that virus
303. source code is available from the BBS and label it a virus exchange
304. board.  The truth is that the board provides these and other files to
305. individuals who are for the most part security professionals who have
306. a very real interest in the workings of viruses and other types of
307. underground activities.
308.  
309. "But", you say, "there's no security! Anyone could get on the board
310. and get access to all that nasty source code!"  Well, its possible but
311. so what?  What about all those underground boards where it is possible
312. to leech entire file bases of virus source code AND live viruses?!  By
313. comparison, attacking a board which serves mainly security
314. professionals is a purely picayune endeavor.  Besides, almost to a one
315. those who frequent virus exchange boards are leery of the AIS BBS
316. because its a FEDERAL BOARD!  It just HAS to be a sting!
317.  
318. "Anonymous" expresses concern about what he/she considers "unethical,
319. immoral and possibly illegal activities".  This is simply an opinion;
320. obviously, my opinion is diametrically opposite, and just as strongly
321. held as that of "Anonymous".  Who's to say who's right, who's wrong?
322. Besides, the law that says viruses are illegal has yet to be passed,
323. not to mention formulated, here in the US.  In addition, "Anonymous"
324. neglects to point out in what way virus source code is immoral and
325. unethical.  I imagine that falls under the category of what every
326. right-thinking person "knows".
327.  
328. "Anonymous" and his/her colleague pretend to remain anonymous for
329. reasons of privacy and fear of reprisals.  Let's be real here!  Is the
330. Bureau of Public Debt going to send the BBS police to their homes to
331. rip out their PC's?; hire a squad of Palestinian hitmen to shoot them
332. full of holes?  For having simply expressed their opinions?  Not at
333. all.  The only possible reason for anonymity is that they have some
334. kind of vested interest in shutting down this BBS.  The original
335. message was forwarded to "Anonymous" by his/her colleague in the UK.
336. The UK?  Gee, that's odd.  At a recent conference in New York, Alan
337. Solomon specifically targeted the AIS BBS.  Could it be these two
338. individuals are one and the same?.......  Perhaps if "Anonymous" and
339. colleague reveal their real names we'll have a better idea of their
340. true motives.
341.  
342. Then again, maybe I'm the one who's wrong.  I should join them and
343. after we shut down the AIS BBS we can shut down the boards which carry
344. hacker files.  We can follow that up by shutting down the ones which
345. provide information on how to build explosive devices.  We can
346. continue with the libraries, because they're bound to have something
347. offensive, too.
348.  
349. Knowledge is not going to go away just because we don't like it or
350. because we don't want it in someone else's hands.  Shutting down a BBS
351. simply because it carries source code is, in this case, at best petty.
352. Shutting down the AIS BBS for this reason will deny security
353. professionals a valuable resource. Most importantly, shutting down the
354. AIS BBS will do nothing to stop the proliferation of virus source and
355. live viruses.  "Anonymous" and his/her colleague will have achieved
356. nothing, no one will have benefited.
357.  
358. ------------------------------
359.  
360. Date: Thu, 20 May 93 11:52:18 EDT
361. From: Paul Melka <no.net@address>
362. Subject: File 4--A User's View of AIS BBS
363.  
364. After reading the Risks 14.58 issue concerning the US Treasury
365. Department's Bureau of Public Debt BBS, AIS BBS, I feel like I must
366. respond to some of the claims of the anonymous writer.  First, as a
367. security professional, I have found the information on the AIS BBS
368. extremely helpful to me in the performance of my job.  This
369. information is provided primarily for the use of the BPD, and is made
370. available upon request to other interested parties.  This board is not
371. the only security-related board in the country.  There are a number of
372. other boards, such as ComSec, that provide similar information to
373. security professionals.
374.  
375. Second, although the board does provide virus disassemblies and hacker
376. files, this information is for the use of security professionals to
377. help in their understanding of the inner workings of viruses, or to
378. see possible security holes in their systems that are common knowledge
379. to crackers and phreakers.  This information is of little or no use to
380. budding virus writers or hackers because there already are a plethora
381. of virus exchange boards or hacking boards that are very easy to get
382. access to.  In fact you can go to your local book store and order a
383. copy of Mark Ludwig's Little Black Book of Computer Viruses.  This
384. book would be much more helpful in learning about how to write a
385. computer virus, than any disassembly could possibly be.  Maybe we
386. should go back to book burnings too!
387.  
388. Third, the board provides a neutral area for security professionals
389. and "hackers" to have the opportunity to exchange view points.  All
390. someone has to do is scan the user list to see the number of security
391. professionals and anti-virus professionals that have been on the
392. board.  If this board is so tainted, what are all these respected
393. professionals doing on the board?
394.  
395. Finally, the anonymous writer's fear of reprisal is ridiculous.  The
396. last thing that the FBI or Secret Service or anyone else is going to
397. worry about is a board that is legitimately helping to increase the
398. level of security awareness among professionals.  What is the Treasury
399. Department going to do to this individual - raise his taxes?
400.  
401. This board is very professionally run and is one of the most positive
402. benefits of my tax dollars that I have seen.  The anonymous sender
403. ends by asking, "Who watches the watchers?" and I can only respond,
404. each and every one of us.  If this board were as evil as we are led to
405. believe, there would be such an outcry from security professionals all
406. over the country to shut it down.  But when hundreds of people are
407. getting positive benefits from it and only a handful of people have a
408. problem with it, I say leave it alone.  The AIS BSS was designed to be
409. used by security professionals and security professionals are
410. benefiting from it.  Certainly the anonymous sender is entitled to his
411. opinion and feelings, but so are the rest of us.
412.  
413. ------------------------------
414.  
415. Date: Mon, 21 Jun 93 21:18:31 EDT
416. From: Urnst Kouch <70743.1711@COMPUSERVE.COM>
417. Subject: File 5--Fear and Loathing: On the Virus Code Trail at AIS
418.  
419. ((Urnst Kouch is editor of CRYPT NEWSLETTER. Additional details on the
420. background of the incident and those involved can be found
421. in CRYPT NEWSLETTER #16)).
422.  
423.           FEAR AND LOATHING:  ON THE VIRUS CODE TRAIL AT AIS
424.  
425. On Saturday, June 19, the national press suddenly reared up and
426. without warning, mangled the reputation of one of the finest, most
427. professional security experts I know, Kim Clancy of the Bureau of
428. Public Debt's Security Branch.
429.  
430. I rolled out of bed Saturday morning, plugged into Compuserve's
431. Today's News and was promptly crushed by the brazen stupidity of
432. reporter Charles Bowen's newspiece, "GOVERNMENT BBS SAID TO HAVE AIDED
433. COMPUTER INTRUDERS AND VANDALS".
434.  
435. Bowen plagiarized the lead, "A government spokesman says an obscure
436. bulletin board system run by a federal agency apparently helped
437. computer vandals commit electronic sabotage," directly from a same-day
438. Associated Press story called "Dial-A-Virus".
439.  
440. But neither Bowen nor the AP offered a solitary shred of proof, other
441. than this outrageously leading statement, loosely attributed to Public
442. Debt spokesman Peter Hollenbach, that Kim Clancy's AIS BBS has ever
443. been responsible for abetting documented cases of hacker intrusion or
444. computer vandalism by virus.
445.  
446. Further, Bowen reported, "The [Washington] Post says that among the
447. visitors to the system were computerists using handles such as 'The
448. Internet Worm,' 'Satan's Little Helper' and 'Dark Avenger's Mutation
449. Engine.'"  The Washington Post story, reported by Joel Garreau, said
450. nothing of the kind, leading me to believe Bowen is either a
451. functional illiterate or willfully slack.  Indeed, anyone who has
452. visited AIS knows beyond a shadow of a doubt that the system NEVER
453. supported handles of such nature.  [Of course, Bowen can respond by
454. blaming it on a copy editor and/or tight deadline, the last, best
455. defense of lazy, inaccurate newsmen the country over.]
456.  
457. These vague insinuations, however, were as nothing compared to the
458. wellspring of the controversy, Garreau's "Treasury Exposed Computer
459. Virus Info; Whistleblowers Halted Display Available To Anyone With A
460. Modem" which brought into the public glare the chain of events that
461. resulted in the removal of hacker tools, text files and commented
462. virus source code from AIS.
463.  
464. Although Garreau's story attempted to present a number of sides it was
465. packaged so that a general reader would get a picture of a mad-dog
466. government agency, finally "muzzled" after distributing dangerous code
467. to "every maladjusted sociopath with Coke-bottle-bottom glasses." More
468. savagely irresponsible was the sideborn statement that treasury
469. officials had neglected to "discipline" Clancy, instead merely
470. removing the dangerous information from her system.
471.  
472. It was a real rabbit punch; a cheapjack, ham-handed slam on Kim
473. Clancy, successful in portraying her as someone who spends her
474. worktime beta-testing intrusion software against her own department so
475. that hackers might optimize their methods for computer subversion and
476. vandalism.  This is hair-raising stuff, to be sure, for a general
477. readership, but not the real truth.  It is my understanding, and
478. something I've seen Kim Clancy make clear in lectures to many computer
479. workers, that the whole point of working with hackers on the
480. development of "Tone-Loc" software was so that it COULD and WOULD be
481. supplied to interested security personnel who would use it to gain an
482. understanding of how to harden their systems against tools employing
483. similar technology.
484.  
485. This is emphatically not the handiwork of someone who should be
486. disciplined or professionally tarred, but the work of someone who
487. Bruce Sterling, not me, says is "probably THE BEST THERE IS [emphasis
488. mine] in the federal government who's not military or NSA.  Probably
489. better than most CIA."
490.  
491. Unfortunately, Sterling's appraisal was buried near the end of the
492. story, after all the cracked shouting about aiding hackers and
493. computer criminals.
494.  
495. But I've walked away from the real nut of the matter: the presence of
496. commented virus source code at AIS.  The significance of this is, in
497. my opinion, beyond the current ability of mainstream journalists to
498. evaluate simply because the vast majority of them have little
499. technical grasp of the byzantine reality of computer security, what
500. viruses are, how they work and don't work and where you find virus
501. source code.  Certainly, The Washington Post story did nothing to
502. convince otherwise.
503.  
504. Consider these statements from The Post and some stony facts:
505.  
506.     >>According to software writers, with the AIS information
507.     "relative amateurs, could create new viruses."
508.  
509. This is dangerously misleading.  As point of fact, relative amateurs
510. DO, not could, create new viruses from source code and they've done so
511. for a long time before the advent of AIS.  That AIS would be
512. responsible for such a development, which is already fact, is frankly
513. idiotic.
514.  
515.     >>Virus source code at AIS "is worse than making live
516.     viruses available.  A person without the skill to write
517.     a brand new virus could nonetheless produce a variation
518.     on an existing one . . . If sufficiently mutated, the
519.     virus might slip past anti-virus programs designed to
520.     look for known products."
521.  
522. This presumes that most virus-writers, would-be virus-writers and
523. "Coke-bottle glasses-variety sociopaths" have little access to source
524. code.  This is not even close to being true.  Virus source code is now
525. commonplace on professional, semi-professional and amateur BBS's run
526. by every stripe of user across the country. In fact, it is almost as
527. common as pirated software and pornography in some locales.
528. Surprisingly, the higher quality virus disassemblies stocked on such
529. BBS's are often the handiwork of anti-virus researchers and software
530. developers. Strangely, this has never been reported by a mainstream
531. newsman, perhaps because "designated experts" often come from the same
532. pool of researchers and developers.
533.  
534.       ". . . some computer professionals minimize the risk, saying
535.       the software on [AIS] was acquired through the computer
536.       underground in the first place, and thus has always been
537.       available to miscreants with sufficient contacts, tenacity and
538.       skill."
539.  
540. This is a particularly nasty one because its presented as
541. justification by those attacked and seems true.  It's not.  It
542. requires NO tenacity or particular skill to get hundreds of viruses
543. and assorted source code listings.  Unlike the stunt of hacking a
544. mainframe from a dial-up, which often requires great patience, a
545. brute-force approach or some technical skill as substitute, from
546. teenagers to middle-age men, anyone with a PC and a modem can dig up a
547. BBS devoted to virus code in almost no time.  Yes, they are that
548. common.
549.  
550. Why should this be?  Where have all those live viruses come from?
551. Paradoxically, many of the virus files on these BBS's bear the
552. electronic mark of software developers like Certus International, S&S
553. International and security organizations such as the National Computer
554. Security Association.  Damn.  How DO "relative amateurs" get ahold of
555. those samples? Of course, they could all be forgeries, the work of
556. some dangerous psychopath. Yeah, right.
557.  
558. In any case, the only people who can't access the hacker files anymore
559. are the security people. And the real story may boil down to what I
560. call the "You dunno this information, it's too dangerous and and you
561. don't have any business knowing about viruses and hacker files so
562. leave it to us anonymous security experts and anti-virus researchers
563. because we're here to serve and protect and we'll take care of all
564. that stuff, thank you" explanation.  It is the very essence of
565. professional arrogance and hubris, in my estimation.
566.  
567. There is, obviously, much more which should have been addressed by the
568. mainstream media.  Why hasn't it, then?  Because it's not as sexy a
569. story as the visceral blurt of noble civil servant whistleblowers
570. bringing down a renegade government security BBS pursuing new ways to
571. pervert the public trust out on the rim of cyberspace. And it would
572. take time; it's a story that couldn't be researched and rushed into
573. print in a week. It's complex, you see, and would be a great deal
574. longer than the piece which ran in America's finest newspaper, The
575. Washington Post.  So maybe we should all forget about fairness,
576. because if it can't get into print at The Post, where will it?
577.  
578. I hope Kim can continue her fine work and I'm angry at the stupid
579. treatment this controversy has received at the hands of the newsmedia,
580. so I'm writing to you about it because if I don't, I just might have
581. to scream.
582.  
583. ------------------------------
584.  
585. Date: Thu, 9 July 1993 23:11:17 CDT
586. From: Jim Thomas <tk0jut2@mvs.cso.niu.edu>
587. Subject: File 6--Media, Anti-virus personnel, Ethics, and AIS
588.  
589. There are no winners in the AIS BBS incident. The sysop, considered an
590. exceptionally professional and helpful security specialist, is known
591. for attempting to bridge barriers between competing groups, such as
592. law enforcement and "hackers," in the belief that one way to reduce
593. abuses by all sides is through education. The anonymous poster(s) won
594. a short-term victory in that the "underground" files were removed from
595. the board.  Peter Hollenbeck, Department of Treasury spokesperson for
596. the incident, indicated that there were no plans to take the board
597. down. However, he explained that after a review of the board's
598. mission, it was decided that "underground" files, which included Cu
599. Digest, would be removed.  As of 11 July, AIS was still functioning,
600. and the following log-in screen appeared:
601.  
602. +++ begin login screen +++
603.  
604.  
605.                 immmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmm<
606.                 >      U.S. Department of the Treasury       >
607.       mmmmmmmmmm9       Bureau of the Public Debt            lmmmmmmmmmm
608.                 >  Office of Automated Information Systems   >
609.       mmmmmmmmmm9          A.I.S. Security Branch            lmmmmmmmmmm
610.                 >        On-Line Information System          >
611.       mmmmmmmmmm9    (call 304-480-6083 after 6/21/93)       lmmmmmmmmmm
612.                 hmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmm#
613.  
614. We recently reviewed the information posted on this bulletin board. As a
615. result of this review we have decided to remove the "underground" files and
616. will not post similar information in the future.
617.  
618. We concluded that making this type of information available through this
619. facility is not in the best interest of the Bureau of the Public Debt.
620.  
621. +++ end login screen +++
622.  
623. Should the AIS BBS have made available to the public so-called
624. "underground" files that included virus source code? Persuasive
625. arguments can be made on both sides. My intent here isn't to recreate
626. those arguments, but to briefly examine the process by which the
627. incident evolved.  Here are a few points overlooked by the media and
628. others.
629.  
630. First, according to CuD sources, attacks on the AIS BBS began as early
631. as March, 1993, at the IEEE Computer Security seminar in New York
632. City.  One vocal participant, believed by many to be one of the
633. anonymous Risks Digest posters, encouraged his listeners to "do
634. something" about AIS BBS.  The tandem "anonymous" posts were less than
635. honest to the extent that, according to one AIS BBS user who did
636. periodic log captures, the name of at least one of the posters, Paul
637. Ferguson, had been listed in user files well before the anonymous
638. post.  Assuming that the "Paul Ferguson" on AIS BBS and the Paul
639. Ferguson of the anonymous post are the same, the cryptic posturing of
640. the anonymous Risks posts would seem dramatically deceptive.  The
641. feigned ignorance about aspects of the BBS, the professed fear of
642. "retaliation," and the vengeful (and anonymous) call for punitive
643. sanctions against the sysop seem more in line with an intentionally
644. planned assault than with an ethical attempt to raise issues and
645. generate debate.
646.  
647. No doubt that Paul Ferguson is sincere in his concerns about the
648. "ethics" of making certain types of files available on a government
649. BBS. However, it should also be noted that Paul Ferguson may stretch
650. the ethical boundaries of truth when it suits him. For example, CuD
651. has been informed that a letter over the sig of "Paul Ferguson" in
652. which "reply" reached the same Paul Ferguson who acknowledged writing
653. the anonymous Risks post, appeared to misrepresent himself in
654. attempting to solicit information from a government employee.  To
655. establish credibility, he allegedly claimed to be working with the EFF
656. and CPSR on issues that affect the computer and networking public at
657. large.  CuD contacted officials in both organizations, and the
658. responses ranged form "we don't know him" to "it's news to us."
659. Anonymous postings calling for retributive sanctions and seemingly false
660. misrepresentation of affiliations do not generally give one
661. credibility.
662.  
663. A Fidonet reader forwarded a post that we find interesting.  In a FIDO
664. Virus_Info post under Paul Ferguson's header, the following appeared
665. in response to a CRYPT NEWSLETTER article:
666.  
667.      Date: 12:38 pm  Sun Jun 27, 1993       Number : 408 of 418 From:
668.      Paul Ferguson                    Base   : FIDO - VIRUS_INFO To  :
669.      All                              Refer #: None Subj: AIS debate
670.      (part 1)              Replies: None Stat: Sent
671.      Origin : 26 Jun 93  00:45:00
672.  
673.      Mr. Corey Tucker sent an "advance" copy article written by George
674.      Smith (aka Urnst Kouch) which implied several items which were
675.      conjectured and seemingly allusions. I posted a prior response,
676.      but additionally, I'd like to post an article also written by
677.      Kouch which outlines Clancy in the CRYPT newsletter #13, in which
678.      more altruistic mentalities are discussed. I believe this is
679.      valid; it reflects the entirety in which this whole fiasco
680.      existed.
681.  
682.      Additionally, I am also posting the Washington Post article, in
683.      its entirety, for information purposes.
684.  
685.      If the truth be known, Mr. Smith did the most damage to Kim
686.      Clancy's underground organiztion (and BBS) than anyone who maay
687.      have followed, by the publication of this very article.
688.  
689.      No need to call this number, it ain't there anymore. Not only did
690.      Mr. Smith (Kouch) nail Clancy's coffin, he enabled others to do
691.      so on his behalf.
692.  
693. Several questions arise, including the following:
694.  
695. First, what is the "underground organization" that Kim Clancy
696. allegedly "has"?  From law enforcement indictments, search/seizure
697. affidavits and warrants, and press releases that we have seen in the
698. past, such a phrase could, for the clueless, constitute felonious
699. conspiracy.  This is neither neutral nor innocent wording. It is the
700. type of irresponsible accusation that (as we've seen from media
701. accounts such as the Washington Post or Rep. Markey's letter to
702. Secretary Bentsen) assumes a reality of its own. Is Paul Ferguson
703. suggesting, as the post implies, that Kim Clancy runs an "underground"
704. organization? Does Paul Ferguson actually believe that Kim Clancy is
705. involved with illegal activity? Judging from his anonymous post, he
706. actually so-believes. If so, perhaps he could present evidence of
707. illegal activity or "underground" leadership as he implies.  If he
708. cannot, then he owes Kim Clancy a public apology for subjecting her to
709. the type of innuendo that has tarnished the reputation and threatened
710. the career of a dedicated civil servant.
711.  
712. Second, Paul Ferguson strongly suggests that the board is no longer in
713. service. Consider this wording:
714.  
715.      No need to call this number, it ain't there anymore. Not only did
716.      Mr. Smith (Kouch) nail Clancy's coffin, he enabled others to do
717.      so on his behalf.
718.  
719. Let's keep some facts straight. "Mr. Smith (Kouch)" did *not* "nail
720. Clancy's coffin." Paul Ferguson and his friends did with anonymous
721. inflammatory posts and with other posts that irresponsibly suggest
722. illegal and "underground" activity.  Contrary to Paul Ferguson's
723. claim, the board remains operative.  Notices, announcements, and other
724. information sources over the past few months alerted callers to the
725. Parkersburg Bureau of Public Debt offices that the old prefix would
726. be changed to "480." One CuD informant indicated that Ferguson knew of
727. this change prior to the date listed on the above post. If so, the
728. wording of the passage cited above is duplicitous. If Paul Ferguson
729. did not know of the change, then his professed knowledge of AIS BBS is
730. less than credible.
731.  
732. Now, let's examine the Washington Post article (June 19, P. 1) that
733. covered the story. Joel Garreau, the author, is reputable and has
734. established his credentials as a fair journalist. We have no doubt
735. that he tried to present a balanced view of what he considered a
736. newsworthy story.  However, there are several troubling aspects of the
737. story.
738.  
739. The story begins:
740.  
741.           *Treasury* Told Computer Virus Secrets Whistleblowers Halted
742.                    Display Available to Anyone With a Modem.
743.  
744.                The Washington Post, June 19, 1993, FINAL Edition
745.                  By: Joel Garreau, Washington Post Staff Writer
746.                            Section: A SECTION, p. a01
747.  
748.      For  more  than  a  year, computer virus programs that can
749.      wreak havoc with computer  systems  throughout  the  world
750.      were  made  available by a U.S. government  agency  to
751.      anyone  with a home computer and a modem, officials
752.      acknowledged this week.
753.  
754.      At  least  1,000  computer  users  called  a  Treasury
755.      Department telephone number,  spokesmen  said, and had
756.      access to the virus codes by tapping into the  department's
757.      Automated Information System bulletin board before it was
758.      muzzled last month.
759.  
760.         The  bulletin  board,  run  by a security branch of the
761.      Bureau of Public Debt  in  Parkersburg,  W.Va., is aimed at
762.      professionals whose job it is to combat  such malicious
763.      destroyers of computer files as "The Internet Worm,"
764.      "Satan's  Little  Helper" and "Dark Avenger's Mutation
765.      Engine." But nothing blocked anyone else from gaining access
766.      to the information.
767.  
768. Let's look at just a few issues.  First, there is considerable room for
769. legitimate disagreement over whether this is a newsworthy story.
770. However, if it is deemed newsworthy that one government agency
771. provides information that some see as "dangerous," then the same
772. standards of newsworthyness ought be applied to all other government
773. agencies that release "sensitive" information in a variety of
774. documents that is equally "dangerous." In fact, what the reporter
775. completely ignored in the story is the issue of accessibility to all
776. types of information. If we are going to "muzzle" a single information
777. source, then why not "muzzle" government-funded libraries as well?
778. Where does the "muzzling" line end? Who makes the decisions and by
779. what criteria?
780.  
781. Second, the story emphasizes the concerns of AIS critics and
782. despite interviews with persons who minimized the dangers and
783. significance of the AIS BBS files, the counter interpretation was
784. considerably downplayed.
785.  
786. Third, this was not a "whistleblowing" incident any more than would be
787. a similar incident when an irate member of the public complains
788. anonymously about the local public library carrying Playboy.
789. Framing it as such distorts events.
790.  
791. Fourth, and although minor but not insignificant, the wording of the
792. article is less than neutral. Exaggerating the "virus" dangers,
793. framing the incident as "whistleblowing," referring to "hacker tools"
794. without also explaining their relatively innocuous nature and public
795. availability of these specific "tools," and other rhetorical ploys
796. seemed to pander to public virus hysteria.  Further, although a small
797. point, it is not insignificant that a major quote was wrong. The
798. anonymous post in the Post article was reprinted as follows:
799.  
800.         "I  am  dismayed  that  this  type  of  activity
801.      is being condoned by an American  governmental
802.      agency. I am extremely disturbed by the thought that
803.      my  tax  money  is  being used  for what I consider
804.      unethical, immoral and possibly illegal
805.      activities...."
806.  
807. The original post read:
808.  
809.      I am dismayed that this type of activity is being condoned
810.      by an American Governmental Agency. I can only hope that
811.      this operation is shut down and the responsible parties are
812.      reprimanded.  I am extremely disturbed by the thought that
813.      my tax money is being used for, what I consider, unethical,
814.      immoral and possibly illegal activities.
815.  
816. A seemingly minor alteration, but the elimination of the second
817. sentence (without an elide or other indication) that calls for
818. silencing and sanctions against the sysop omits a crucial bit of
819. information.
820.  
821. It's also worth noting that the story refers to CuD as The magazine
822.  
823.      "...followed by those interested in the murky world of
824.      "hackers, crackers and phone phreaks. It is edited by Jim
825.      Thomas, of the sociology and criminal justice department of
826.      Northern Illinois University."
827.  
828. This would be akin to saying that The Washington Post is the preferred
829. paper of drug kingpins interested in following the predatory exploits
830. of their competition....while perhaps true in some vague sense, it
831. conveys a grossly inaccurate image of both publications. CuD, as I
832. carefully explained to the reporter, is read by a conservatively
833. estimated readership of 80,000, most of whom are computer
834. professionals, journalists, attorneys, academics, law enforcement, and
835. others who are primarily interested in computer culture. CuD is read,
836. as near as I can determine, by those looking for news, book reviews,
837. conference information, research articles, debates, computer-related
838. legislation, and information on virtually *all* aspects of computer
839. culture.  And, "Jim Thomas" and not simply "of" the sociology/criminal
840. justice department at NIU, but a full professor with a credible list
841. of books and articles on his vita, which I explicitly told the
842. reporter. I'm normally quite modest about such things. However, the
843. wording of the Post article is deceptively glib and irresponsibly
844. distorts both the editorial purpose and content of CuD and the
845. editor's status. This might sound picky. Sadly, we've seen the Post
846. article cited in Rep. Markey's letter to Treasury Secretary Bentsen,
847. and I'd hate to have some "whistleblower" come unglued thinking that
848. NIU is making hacker information (or worse) available to the public.
849. The story also errs (despite information the reporter was given) in
850. claiming that the AIS BBS revealed its number in CuD last November.
851. This is simply wrong.  CuD possessed the number and contacted board
852. personnel for an interview.  The interview was cleared through the
853. appropriate supervisors and spokespersons prior to publishing, and it
854. was *NOT* revealed at the initiative of AIS personnel as the story
855. claims.  The reporter presumably had this information.
856. Another small error, but one recreated in Rep. Markey's letter to
857. Treasury Secretary Bentsen with a demand for accountability for the
858. act, which in fact did not occur.
859.  
860. These are not the only errors or problems with the story.
861. Individually, they are relatively minor faux pas. But, in the
862. aggregate, they create an inaccurate image of events and exaggerate
863. the significance of the "story." Because of the visibility of the
864. Post, the story became national news and was carried on, among other
865. outlets, CNN and the Associated Press wires. For some, appearance of
866. "facts" in national media are sufficient to verify accuracy, and
867. little attempt is made to dig below the surface. Although the Post
868. reporter was far more conscientious than most media folk, and although
869. he was sincere in his attempt to present a balanced story, the final
870. product was questionable. To my mind, this may say more about the
871. nature of media and the emphasis on a "sexy" slant and the appropriate
872. discourse for such a slant than on the abilities of the reporter, Joel
873. Garreau, for whom I have considerable personal and professional
874. respect.
875.  
876. A final point is worth noting. The Post article quotes the anonymous
877. risk poster (Paul Ferguson) early in the story. Then, in the paragraph
878. immediately following, it quotes Paul Ferguson to give credibility to
879. and elaborate on the anonymous post without mentioning that Paul
880. Ferguson was the anonymous poster. The reporter was told by voice and
881. by e-mail *prior* to the story that Ferguson and the anonymous poster
882. were the same. Yet, no mention was made, and the two quotes were
883. sequenced as if they were separate voices.  Others can judge the
884. ethical implications of this for themselves.
885.  
886. Because of the Risks post and the Post story, the AIS BBS incident
887. has assumed a significance beyond any reasonable reality.
888. One writer of "cyberspace" fiction and non-fiction reportedly called
889. Kim Clancy the "Cyber Joan of Arc." It fits. Ms. Clancy is not a
890. politician, not a political activist, and not a trouble-making
891. bureaucrat. She is a sensitive, dedicated government official who
892. believes that sharing legal information and engaging in dialogue is
893. the best way to curtail computer abuse. Her "crime" was in
894. over-estimating the good-will of others and in assuming that her
895. critics preferred dialogue to mean-spirited action.  This incident is
896. not one of a "victimized" class resisting the tyrany of a powerful
897. government official. Instead, it reflects a sad situation in which
898. some persons, both intentionally and inadvertently, combined to create
899. a nasty situation based on innuendo and misinformation to create a
900. drama in which there are only losers.
901.  
902. Sadly, I must make one final comment. It's said that some people,
903. angered at this affair, are planning to retaliate against those judged
904. responsible. This would be an ethically bankrupt response.  Predatory
905. behavior decivilizes cyberspace just as it does the "real world." The
906. best response to cyber-conflict usually is to air disputes in public
907. and debate them aggressively and honestly.  We need fewer, not more,
908. razorblades in the sand if we're to create a civilized environment.
909.  
910. ------------------------------
911.  
912. End of Computer Underground Digest #5.51
913. ************************************
914.