home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / general / gtmhh.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  19.3 KB  |  417 lines
  1. ____________________________________________________________
  2.  
  3. GUIDE TO (mostly) HARMLESS HACKING
  4.  
  5. Computer Crime Law Issue #1
  6.  
  7. By Peter Thiruselvam <pselvam@ix.netcom.com> and Carolyn Meinel
  8. ____________________________________________________________
  9.  
  10. Tired of reading all those ôYou could go to jailö notes in these guides? Who
  11. says those things are crimes? Well, now you can get the first in a series of
  12. Guides to the gory details of exactly what laws weÆre trying to keep you
  13. from accidentally breaking, and who will bust you if you go ahead with the
  14. crime anyhow.
  15.  
  16. This Guide covers the two most important US Federal computer crime statutes:
  17. 18 USC, Chapter 47, Section 1029, and Section 1030, known as the ôComputer
  18. Fraud and Abuse Act of 1986.ö
  19.  
  20. Now these are not the *only* computer crime laws.  ItÆs just that these are
  21. the two most important laws used in US Federal Courts to put computer
  22. criminals behind bars.  
  23.  
  24. COMPUTER CRIMES: HOW COMMON? HOW OFTEN ARE THEY REPORTED?
  25.  
  26. The FBIÆs national Computer Crimes Squad estimates that between 85 and 97
  27. percent of computer intrusions are not even detected.  In a recent test
  28. sponsored by the Department of Defense, the statistics were startling.
  29. Attempts were made to attack a total of 8932 systems participating in the
  30. test. 7860 of those systems were successfully penetrated.  The management of
  31. only 390 of those 7860 systems detected the attacks, and only 19 of the
  32. managers reported the attacks (Richard Power, -Current and Future Danger: A
  33. CSI Primer on Computer Crime and Information Warfare_, Computer Security
  34. Institute, 1995.) 
  35.  
  36. The reason so few attacks were reported was ômainly because organizations
  37. frequently fear their employees, clients, and stockholders will lose faith
  38. in them if they admit that their computers have been attacked.ö Besides, of
  39. the computer crimes that *are* reported, few are ever solved. 
  40.  
  41. SO, ARE HACKERS A BIG CAUSE OF COMPUTER DISASTERS?
  42.  
  43. According to the Computer Security Institute, these are the types of
  44. computer crime and other losses:    
  45. ╖ Human errors - 55%  
  46. ╖ Physical security problems - 20%(e.g., natural disasters, power problems)
  47. ╖ Insider attacks conducted for the purpose of profiting from computer crime
  48. - 10%
  49. ╖ Disgruntled employees seeking revenge - 9%
  50. ╖ Viruses - 4% 
  51. ╖ Outsider attacks - 1-3%
  52.  
  53. So when you consider that many of the outsider attacks come from
  54. professional computer criminals -- many of whom are employees of the
  55. competitors of the victims, hackers are responsible for almost no damage at
  56. all to computers. 
  57.  
  58. In fact, on the average, it has been our experience that hackers do far more
  59. good than harm.
  60.  
  61. Yes, we are saying that the recreational hacker who just likes to play
  62. around with other peopleÆs computers is not the guy to be afraid of. ItÆs
  63. far more likely to be some guy in a suit who is an employee of his victim.
  64. But you would never know it from the media, would you?
  65.  
  66. OVERVIEW OF US FEDERAL LAWS
  67.  
  68. In general, a computer crime breaks federal laws when it falls into one of
  69. these categories:
  70.  
  71. ╖ It involves the theft or compromise of national defense, foreign
  72. relations, atomic energy, or other restricted information.
  73. ╖ It involves a computer owned by a U.S. government department or agency.
  74. ╖ It involves a bank or most other types of financial institutions.
  75. ╖ It involves interstate or foreign communications.
  76. ╖ it involves people or computers in other states or countries.
  77.  
  78. Of these offenses, the FBI ordinarily has jurisdiction over cases involving
  79. national security, terrorism, banking, and organized crime.  The U.S. Secret
  80. Service has jurisdiction whenever the Treasury Department is victimized or
  81. whenever computers are attacked that are not under FBI or U.S. Secret
  82. Service jurisdiction (e.g., in cases of password or access code theft).  In
  83. certain federal cases, the customs Department, the Commerce Department, or a
  84. military organization, such as the Air Force Office of Investigations, may
  85. have jurisdiction.
  86.  
  87. In the United States, a number of federal laws protect against attacks on
  88. computers, misuse of passwords, electronic invasions of privacy, and other
  89. transgressions.  The Computer Fraud and Abuse Act of 1986 is the main piece
  90. of legislation that governs most  common computer crimes, although many
  91. other laws may be used to prosecute different types of computer crime. The
  92. act amended Title 18 United States Code º1030. It also complemented the
  93. Electronic Communications Privacy Act of 1986, which outlawed the
  94. unauthorized interception of digital communications and had just recently
  95. been passed. The Computer Abuse Amendments Act of 1994 expanded the 1986 Act
  96. to address the transmission of viruses and other harmful code.
  97.  
  98. In addition to federal laws, most of the states have adopted their own
  99. computer crime laws.  A number of countries outside the United States have
  100. also passed legislation defining and prohibiting computer crime.
  101.  
  102. THE BIG NO NOÆS -- THE TWO MOST IMPORTANT FEDERAL CRIME LAWS
  103.  
  104. As mentioned above, the two most important US federal computer crime laws
  105. are 18 USC: Chapter 47, Sections 1029 and 1030.
  106.      
  107. SECTION 1029
  108.  
  109. Section 1029 prohibits fraud and related activity that is made possible by
  110. counterfeit access devices such as PINs, credit cards, account numbers, and
  111. various types of electronic identifiers.  The nine areas of criminal
  112. activity covered by Section 1029 are listed below.  All *require* that the
  113. offense involved interstate or foreign commerce.
  114.  
  115. 1.  Producing, using, or trafficking in counterfeit access devices.  (The
  116. offense must be committed knowingly and with intent to defraud.)
  117.  
  118. Penalty:  Fine of $50,000 or twice the value of the crime and/or up to 15
  119. years in prison, $100,000 and/or up to 20 years if repeat offense.
  120.  
  121. 2.  Using or obtaining unauthorized access devices to obtain anything of
  122. value totaling $1000 or more during a one-year period.  (The offense must be
  123. committed knowingly and with intent to defraud.)
  124.  
  125. Penalty:  Fine of $10,000 or twice the value of the crime and/or up to 10
  126. years in prison, $100,000 and/or up to 20 years if repeat offense.
  127.  
  128. 3.  Possessing 15 or more counterfeit or unauthorized access devices. (The
  129. offense must be committed knowingly and with intent to defraud.)
  130.  
  131. Penalty:  Fine of $10,000 or twice the value of the crime and/or up to 10
  132. years in prison, $100,000 and/or up to 20 years if repeat offense.
  133.  
  134. 4.  Producing, trafficking in, or having device-making equipment.  (The
  135. offense must be committed knowingly and with intent to defraud.)
  136.  
  137. Penalty:  Fine of $50,000 or twice the  value of the of the crime and/or up
  138. to 15 years in prison, $1,000,000 and/or up to 20 years if repeat offense.
  139.  
  140. 5.  Effecting transactions with access devices issued to another person in
  141. order to receive payment or anything of value totaling $1000 or more during
  142. a one-year period.  (The offense must be committed knowingly and with intent
  143. to defraud.)
  144.  
  145. Penalty:   Fine of 10, or twice the value of the crime and/or up to 10 years
  146. in prison, 100,000 and/or up to 20 years if repeat offense.
  147.  
  148. 6.  Soliciting a person for the purpose of offering an access device or
  149. selling information that can be used to obtain an access device.  (The
  150. offense must be committed knowingly and with intent to defraud, and without
  151. the authorization of the issuer of the access device.)
  152.  
  153. Penalty:  Fine of $50,000 or twice the value of the crime and/or up to 15
  154. years in prison, $100,000 and/or up to 20 years if repeat offense.
  155.  
  156. 7.  Using, producing, trafficking in, or having a  telecommunications
  157. instruments that has been modified or altered to obtain unauthorized use of
  158. telecommunications services. (The offense must be committed knowingly and
  159. with intent to defraud.)
  160.  
  161. This would cover use of ôRed Boxes,ö ôBlue Boxesö (yes, they still work on
  162. some telephone networks) and cloned cell phones when the legitimate owner of
  163. the phone you have cloned has not agreed to it being cloned. 
  164.  
  165. Penalty:  Fine of $50,000 or twice the value of the crime and/or up to 15
  166. years in prison, $100,000 and/or up to 20 years if repeat offense.
  167.  
  168. 8.  Using, producing, trafficking in, or having a scanning receiver or
  169. hardware or software used to alter or modify telecommunications instruments
  170. to obtain unauthorized access to telecommunications services.
  171.  
  172. This outlaws the scanners that people so commonly use to snoop on cell phone
  173. calls. We just had a big scandal when the news media got a hold of an
  174. intercepted cell phone call from Speaker of the US House of Representatives
  175. Newt Gingrich.
  176.  
  177. Penalty:  Fine of $50,000 or twice the value of the crime and/or up to 15
  178. years in prison, $100,000 and/or  up to 20 years if repeat offense.
  179.  
  180. 9.  Causing or arranging for a person to present, to a credit card system
  181. member or its agent for payment, records of transactions made by an access
  182. device.(The offense must be committed knowingly and with intent to defraud,
  183. and without the authorization of the credit card system member or its agent.
  184.  
  185. Penalty: Fine of $10,000 or twice the value of the crime and/or up to 10
  186. years in prison, $100,000 and/or up to 20 years if repeat offense.
  187.  
  188. SECTION 1030
  189.  
  190. 18 USC, Chapter 47, Section 1030, enacted as part of the Computer Fraud and
  191. Abuse Act of 1986, prohibits unauthorized or fraudulent access to government
  192. computers, and establishes penalties for such access.  This act is one of
  193. the few pieces of federal legislation solely concerned with computers.
  194. Under the Computer Fraud and Abuse Act, the U.S. Secret Service and the FBI
  195. explicitly have been given jurisdiction to investigate the offenses defined
  196. under this act.
  197.  
  198. The six areas of criminal activity covered by Section 1030 are:
  199.  
  200. 1.  Acquiring national defense, foreign relations, or restricted atomic
  201. energy information with the intent or reason to believe that the information
  202. can be used to injure the United States or to the advantage of any foreign
  203. nation.  (The offense must be committed knowingly by accessing a computer
  204. without authorization or exceeding authorized access.)
  205.  
  206. 2.  Obtaining information in a financial record of a financial institution
  207. or a card issuer, or information on a consumer in a file of a consumer
  208. reporting agency.  (The offense  must be committed intentionally by
  209. accessing a computer without authorization or exceeding authorized access.)
  210.  
  211. Important note: recently on the dc-stuff hackersÆ list a fellow whose name
  212. we shall not repeat claimed to have ôhacked TRWö to get a report on someone
  213. which he posted to the list. We hope this fellow was lying and simply paid
  214. the fee to purchase the report.
  215.  
  216. Penalty:  Fine and/or up to 1 year in prison, up to 10 years if repeat offense.
  217.  
  218. 3.  Affecting a computer exclusively for the use of a U.S. government
  219. department or agency or, if it is not exclusive, one used for the government
  220. where the offense adversely affects the use of the governmentÆs operation of
  221. the computer.  (The offense must be committed intentionally by accessing a
  222. computer without authorization.)
  223.  
  224. This could apply to syn flood and killer ping as well as other denial of
  225. service attacks, as well as breaking into a computer and messing around.
  226. Please remember to tiptoe around computers with .mil or .gov domain names!
  227.  
  228. Penalty:  Fine and/or up to 1 year in prison, up to 10 years if repeat offense.
  229.  
  230. 4.  Furthering a fraud by accessing a federal interest computer and
  231. obtaining anything of value, unless the fraud and the thing obtained
  232. consists only of the use of the computer.  (The offense must be committed
  233. knowingly, with intent to defraud, and without authorization or exceeding
  234. authorization.)[The governmentÆs view of  ôfederal interest computerö is
  235. defined below]
  236.  
  237. Watch out! Even if you download copies of programs just to study them, this
  238. law means if the owner of the program says, ôYeah, IÆd say itÆs worth a
  239. million dollars,ö youÆre in deep trouble.
  240.  
  241. Penalty:  Fine and/or up to 5 years in prison, up to 10 years if repeat offense.
  242.  
  243. 5.  Through use of a  computer used in interstate commerce, knowingly
  244. causing the transmission of a program, information, code, or command to a
  245. computer system. There are two separate scenarios:
  246.  
  247.      a.  In this scenario, (I) the person causing the transmission intends
  248. it to damage the computer or deny use to it; and (ii) the transmission
  249. occurs without the authorization of the computer owners or operators, and
  250. causes $1000 or more in loss or damage, or modifies or impairs, or
  251. potentially modifies or impairs, a medical treatment or examination.
  252.  
  253. The most common way someone gets into trouble with this part of the law is
  254. when trying to cover tracks after breaking into a computer. While editing
  255. or, worse yet, erasing various files, the intruder may accidentally erase
  256. something important. Or some command he or she gives may accidentally mess
  257. things up. Yeah, just try to prove it was an accident. Just ask any systems
  258. administrator about giving commands as root. Even when you know a computer
  259. like the back of your hand it is too easy to mess up.
  260.  
  261. A simple email bomb attack, ôkiller ping,ö flood ping, syn flood, and those
  262. huge numbers of Windows NT exploits where sending simple commands to many of
  263. its ports causes a crash could also break this law. So even if you are a
  264. newbie hacker, some of the simplest exploits can land you in deep crap!
  265.  
  266. Penalty with intent to harm:  Fine and/or up to 5 years in prison, up to 10
  267. years if repeat offense.
  268.  
  269. b.  In this scenario, (I) the person causing the transmission does not
  270. intend the damage but operates with reckless disregard of the risk that the
  271. transmission will cause damage to the computer  owners or operators, and
  272. causes $1000 or more in loss or damage, or modifies or impairs, or
  273. potentially modifies or impairs, a medical treatment or examination.
  274.  
  275. This means that even if you can prove you harmed the computer by accident,
  276. you still may go to prison.
  277.  
  278. Penalty for acting with reckless disregard:  Fine and/or up to 1 year in prison.
  279.  
  280. 6.  Furthering a fraud by trafficking in passwords or similar information
  281. which will allow a computer to be accessed without authorization, if the
  282. trafficking affects interstate or foreign commerce or if the computer
  283. affected is used by or for the government.  (The offense must be committed
  284. knowingly and with intent to defraud.)
  285.  
  286. A common way to break this part of the law comes from the desire to boast.
  287. When one hacker finds a way to slip into another personÆs computer, it can
  288. be really tempting to give out a password to someone else. Pretty soon
  289. dozens of clueless newbies are carelessly messing around the victim
  290. computer. They also boast. Before you know it you are in deep crud.
  291.  
  292. Penalty:  Fine and/or up to 1 year in prison, up to 10 years if repeat offense.
  293.  
  294. Re:  #4   Section 1030 defines a federal interest computer as follows:
  295.  
  296. 1.  A computer that is exclusively for use of a financial
  297. institution[defined below] or the U.S. government or, if it is not
  298. exclusive, one used for a financial institution or the U.S. government where
  299. the offense adversely affects the use of the financial institutionÆs or
  300. governmentÆs operation of the computer; or 
  301.  
  302. 2.  A computer that is one of two or more computers used to commit the
  303. offense, not all of which are located in the same state.
  304.  
  305. This section defines a financial institution as follows:
  306.  
  307. 1.  An institution with deposits insured by the Federal Deposit Insurance
  308. Corporation(FDIC).
  309.  
  310. 2.  The Federal Reserve or a member of the Federal Reserve, including any
  311. Federal Reserve Bank.
  312.  
  313. 3.  A credit union with accounts insured by the National Credit Union
  314. Administration.
  315.  
  316. 4.  A member of the federal home loan bank system and any home loan bank.
  317.  
  318. 5.  Any institution of the Farm Credit system under the Farm Credit Act of 1971.
  319.  
  320. 6.  A broker-dealer registered with the Securities and Exchange
  321. Commission(SEC) within the rules of section 15 of the SEC Act of 1934.
  322.  
  323. 7.  The Securities Investors Protection Corporation.
  324.  
  325. 8.  A branch or agency of a foreign bank (as defined in the International
  326. Banking Act of 1978).
  327.  
  328. 9.  An organization operating under section 25 or 25(a) of the Federal
  329. Reserve Act.
  330.  
  331. WHOÆS IN CHARGE OF BUSTING THE CRACKER WHO GETS A BIT FROGGY REGARDING
  332. SECTION 1030?
  333.  
  334. (FBI stands for Federal Bureau of Investigation, USSS for US Secret Service)
  335.  
  336. Section of Law    Type of Information    Jurisdiction
  337.  
  338. 1030(a)(1)     National Security         FBI  USSS JOINT
  339.  
  340.             National defense         X
  341. 1030(a)(2)    Foreign relations         X
  342.             Restricted atomic energy    X
  343.  
  344. 1030(a)(2)    Financial or consumer
  345.             
  346.             Financial records of     X
  347.               banks, other financial 
  348.               institutions
  349.             Financial records of 
  350.               card issuers                  X
  351.             Information on consumers 
  352.               in files of a consumer 
  353.               reporting agency             X
  354.             Non-bank financial 
  355.               institutions                     X
  356.  
  357. 1030(a)(3) Government computers
  358.             National defense         X
  359.              Foreign relations        X
  360.             Restricted data            X
  361.             White House                     X
  362.             All other government 
  363.               computers                 X
  364.  
  365. 1030(a)(4) Federal interest computers:
  366.                Intent to defraud                  X
  367.  
  368. 1030(a)(5)(A) Transmission of programs, commands:    
  369.             Intent to damage or deny use         X
  370.  
  371. 1030(a)(5)(B) Transmission off programs, commands:                    Reckless disregard                 X
  372.  
  373. 1030 (a)(6) Trafficking in passwords:                    
  374.             Interstate or foreign commerce     X
  375.                Computers used by or for 
  376.               the government                 X
  377.  
  378.  
  379. Regarding 1030 (a)(2):  The FBI has jurisdiction over bank fraud violations,
  380. which include categories (1) through (5) in the list of financial
  381. institutions defined above.  The Secret Service and FBI share joint
  382. jurisdiction over non-bank financial institutions defined in categories (6)
  383. and (7) in the list of financial institutions defined above.
  384.  
  385. Regarding 1030(a)(3)  Government Computers:  The FBI is the primary
  386. investigative agency for violations of this section when it involves
  387. national defense. Information pertaining to foreign relations, and other
  388. restricted data.  Unauthorized access to other information in government
  389. computers falls under the primary jurisdiction of the Secret Service.
  390.  
  391. MORAL:  CONFUCIUS SAY:  ôCRACKER WHO GETS BUSTED DOING ONE OF THESE CRIMES,
  392. WILL SPEND LONG TIME IN JAILHOUSE SOUP.ö
  393.  
  394. This  information was swiped from _Computer Crime: A CrimefighterÆs
  395. Handbook_ (Icove, Seger & VonStorch. OÆReilly & Associates, Inc.)
  396. _________________________________________________________
  397. Want to see back issues of Guide to (mostly) Harmless Hacking? See either
  398. http://www.tacd.com/zines/gtmhh/ or 
  399. http://ra.nilenet.com/~mjl/hacks/codez.htm. Or get complete archives of our
  400. Happy Hacker list digests at http://www.infowar.com under the ôHackersö forum.
  401. Subscribe to our email list by emailing to hacker@techbroker.com with
  402. message "subscribe".
  403. Want to share some kewl stuph with the Happy Hacker list? Correct mistakes?
  404. Send your messages to hacker@techbroker.com.  To send me confidential email
  405. (please, no discussions of illegal activities) use cmeinel@techbroker.com
  406. and be sure to state in your message that you want me to keep this
  407. confidential. If you wish your message posted anonymously, please say so!
  408. Please direct flames to dev/null@techbroker.com. Happy hacking! 
  409. Copyright 1997 Carolyn P. Meinel. You may forward  or post on your Web site
  410. this GUIDE TO (mostly) HARMLESS HACKING as long as you leave this notice at
  411. the end..
  412. ________________________________________________________
  413. Carolyn Meinel
  414. M/B Research -- The Technology Brokers
  415.  
  416.  
  417.