home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / cud / cud216.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  37.2 KB  |  798 lines
  1.  
  2.   ****************************************************************************
  3.                   >C O M P U T E R   U N D E R G R O U N D<
  4.                                 >D I G E S T<
  5.               ***  Volume 2, Issue #2.16 (December 10, 1990)   **
  6.         *> SPECIAL ISSUE: "ATLANTA THREE" SENTENCING MEMORANDUM <*
  7.   ****************************************************************************
  8.  
  9. MODERATORS:   Jim Thomas / Gordon Meyer  (TK0JUT2@NIU.bitnet)
  10. GENERALIST:   Brendan Kehoe (BRENDAN@CS.WIDENER.EDU)
  11. ARCHIVISTS:   Bob Krause / Alex Smith
  12.  
  13. USENET readers can currently receive CuD as alt.society.cu-digest.
  14.  
  15. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  16. information among computerists and to the presentation and debate of
  17. diverse views.  CuD material may be reprinted as long as the source is
  18. cited.  Some authors, however, do copyright their material, and those
  19. authors should be contacted for reprint permission.
  20. It is assumed that non-personal mail to the moderators may be reprinted
  21. unless otherwise specified. Readers are encouraged to submit reasoned
  22. articles relating to the Computer Underground.
  23. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  24. DISCLAIMER: The views represented herein do not necessarily represent the
  25.             views of the moderators. Contributors assume all responsibility
  26.             for assuring that articles submitted do not violate copyright
  27.             protections.
  28. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  29.  
  30. The following is the prosecution's sentencing memorandum submitted to the
  31. judge. Although it specifies that the defendants were cooperative and
  32. requests a "downward" departure from the sentencing guidelines, it
  33. nonetheless requests prison time. In our view, the sentence was unduly
  34. harsh, and the memorandum reflects a number of substantial inaccuracies,
  35. distortions, and questionable arguments in making the claim that prison is
  36. necessary. In the next issue of CuD (2.17), we will print two responses to
  37. this memo, including that of the EFF.
  38.  
  39. The first issue of EFF NEWS, the official newsletter of the Electronic
  40. Frontier Foundation, will be distributed this week.  More detailed
  41. information on this, including how to obtain it, will be in the next issue.
  42.  
  43. The sentence was imposed Friday, November 16, 1990.  Robert Riggs received
  44. a sentence of 21 months incarceration.  Franklin E. Darden, Jr., and Adam
  45. E. Grant each received 14 months incarceration (seven months of it to be
  46. served in a half-way house).  All were additionally required to pay
  47. $233,000 each in restitution, but all are responsible for the full sum of
  48. about $700,000 should any of the others default.  For a complete discussion
  49. of the sentence, see John and Barbara McMullen's article in CuD 2.14.
  50.  
  51.    ********************************************************************
  52.  
  53.                     IN THE UNITED STATES DISTRICT COURT
  54.  
  55.                    FOR THE NORTHERN DISTRICT OF GEORGIA
  56.  
  57.                              ATLANTA DIVISION
  58.  
  59. UNITED STATES OF AMERICA             :
  60.                                      :     CRIMINAL ACTION
  61.          v.                          :
  62.                                      :     NO. 1:90-CR-31
  63.                                      :
  64. ADAM E. GRANT, a/k/a The             :
  65. Urvile, and a/k/a Necron 99,         :
  66. FRANKLIN E. DARDEN, JR., a/k/a       :
  67. The Leftist, and                     :
  68. ROBERT J. RIGGS, a/k/a               :
  69. The Prophet                          :
  70.  
  71.         GOVERNMENT'S SENTENCING MEMORANDUM AND S.G. SS 5K1.1 MOTION
  72.  
  73.      Now comes the United States of America, by and through counsel
  74. Joe D. Whitley, United States Attorney for the Northern District
  75. of Georgia, and Kent B. Alexander, Assistant United States Attorney
  76. for the Northern District of Georgia, and shows the court the
  77. following:
  78.  
  79.      From September 1987 through July 21, 1989, the defendants
  80. regularly broke into proprietary telephone computer systems, stole
  81. access information, distributed that information toothers
  82. throughout the country, and, in the process, regularly used
  83. unauthorized long distance/data network services. In all, they
  84. stole approximately $233,880 worth of logins/passwords and connect
  85. addresses (i.e., access information) from BellSouth. BellSouth
  86. spend approximately $1.5 million in identifying the intruders into
  87. their system and has since then spent roughly $3 million more to
  88. further secure their network.
  89.  
  90. Although the government is going to recommend a downward
  91. departure from the Sentencing Guidelines, the three defendants
  92. are clearly criminals who have caused a significant amount of damage
  93.  
  94.  
  95.                                    - 1 -
  96.  
  97. and should be punished accordingly. Moreover, the computer
  98. "hacker"{1} world is watching this case very closely, and the Court
  99. should send a message that illegal computer hacking activities will
  100. not be tolerated.
  101.  
  102. In this sentencing memorandum the government will describe the
  103. investigation in the case, summarize some of the evidence that
  104. would have been presented at trial, and describe the defendants'
  105. cooperation. Finally, the government will emphasize the role this
  106. case has played and will continue to play in curbing abuses in the
  107. hacker community.
  108.  
  109. I. _THE INVESTIGATION_
  110.  
  111. In June of 1989, a computer threat and a computer intrusion sparked
  112. a massive federal investigation into the computer hacking
  113. activities of a self-proclaimed elite group of roughly 20 hackers
  114. called "Legion of Doom." The threat involved an anonymous all to
  115. an Indiana Bell security representative from a computer hacker. The
  116. hacker, who has since been identified as an associate of the
  117. defendants, will e called "John Doe" for purposes of this
  118. memorandum. John Doe said that five telephone switches (telephone
  119. company computers that route calls) would be programmed to shut
  120. down the telephone system throughout the country. AT&T
  121. investigators conducted a nationwide search and discovered "logic"
  122.  
  123.  
  124. ________________________
  125. {1}The government uses the term "hacker" to describe a person
  126. who uses computers for criminal activity. The Court should note,
  127. however, that the term "hacker" can also be used to describe
  128. legitimate computer users. At one time all computer users were
  129. known as "hackers," and some computer users still identify
  130. themselves as "hackers."
  131.  
  132.                                    - 2 -
  133.  
  134. bombs" (time delayed programs) in AT&T computers located in
  135. Colorado, Georgia, and New Jersey. The logic bombs were programmed
  136. to shut down service in portions of those states.
  137.  
  138. Aside from the hacker logic bomb threat, a June 1989 intrusion into
  139. the BellSouth network also prompted the federal investigation.
  140. A computer hacker broke into the BellSouth network and rerouted
  141. calls from a probation office in Delray Beach, Florida to a New
  142. York Dial-A-Porn number. Although creative and comical at first
  143. blush, the rerouting posed a serious threat to the security of the
  144. telephone system. If a hacker could reroute all calls to the
  145. probation office, he or she could do the same to calls placed to
  146. this Court, a fire station, a police station or any other telephone
  147. customer in the country. Again, none of the three defendants are
  148. implicated in this dangerous prank, though an investigation of the
  149. intrusion ultimately led investigators to the illegal activities
  150. of the three defendants and other members of a self-proclaimed
  151. elite group of hackers called the Legion of Doom. The Legion of
  152. Doom is described in a hacker "magazine" article filed separately
  153. as _Government Exhibit A_.
  154.  
  155. In mid-June 1989, BellSouth{2} assembled a major security task
  156. force consisting of 42 full-time employees to investigate the
  157. intrusions. It assigned the employees to work 12-hour round-the-
  158. clock shifts for nearly a month. To BellSouth's credit, the
  159. management decided to go public with the intrusions by alerting the
  160.  
  161. ________________________
  162.  
  163. {2}For purposes of this memorandum, "BellSouth" also refers to
  164. Southern bell Telephone and Telegraph Company and BellSouth
  165. Advanced Network, subsidiaries of BellSouth.
  166.  
  167.                                    - 3 -
  168.  
  169. United States Secret Service{3}.
  170.  
  171. On June 21, 1990 {sic}, a confidential "hacker" informant admited
  172. that "The Urvile" in Atlanta (defendant Adam Grant) had provided
  173. him with the access information necessary to break into the
  174. BellSouth computer network. Based on that evidence and further
  175. investigation, this office and the Secret Service arranged for a
  176. court-authorized dial number recorder ("DNR") (i.e., pen register)
  177. to be placed on the telephone lines of defendants Adam E. Grant,
  178. Franklin E. Darden, Jr., and Robert J. Riggs.
  179.  
  180. From July 11 through July 21, 1989, a pattern emerged showing
  181. that all three defendants were making outgoing calls and "looping"
  182. the calls around the country and into the BellSouth computer
  183. network. "Looping" is a system hackers use to transfer their calls
  184. through a number of telephone companies and data networks (e.g.,
  185. Telenet) to gain free telephone service and to avoid detection by
  186. the authorities. The defendants would often start their loops by
  187. patching into the Georgia Tech computer system, courtesy of access
  188. numbers provided by defendant Grant. After looping the calls,
  189. defendants used unauthorized connect addresses and logins/passwords
  190. to break into the BellSouth system. Connect addresses are the
  191. computer equivalent of a street address and logins/passwords are
  192. like keys to houses (computers) on the street. The DNR records
  193.  
  194. ________________________
  195.  
  196. {3}All computer systems using modems (telephone computer links)
  197. are susceptible to computer hacker break-ins, but most companies
  198. do not "go public" when break-ins occur for fear of bad publicity.
  199. Unfortunately, when companies pretend such problems do not exist,
  200. other companies develop a false sense of security with regard to
  201. hacker intrusions. Fortunately, BellSouth took the public route.
  202.  
  203.                                    - 4 -
  204.  
  205. also revealed that the defendants were speaking with one another
  206. and with backs from all around the country. Once BellSouth pin-
  207. pointed the break-ins and determined that the hackers were
  208. downloading BellSouth information (i.e., stealing information and
  209. copying it into their own system), the Secret Service had enough
  210. information to obtain a search warrant.
  211.  
  212. On July 21, 1989, the Secret Service executed search warrants
  213. on all of the defendants' residences. At the same time, the Secret
  214. Service executed a search warrant in Indiana on the home of the
  215. "John Doe" hacker mentioned above. That hacker has since been
  216. charged and convicted on computer fraud charges.
  217.  
  218. During the searches, the Secret Service uncovered thousands
  219. of pages of proprietary telephone industry information, hundreds
  220. of diskettes, a half-dozen computers and reams of incriminating
  221. notes. After BellSouth and the Secret Service analyzed all the
  222. evidence and interviewed the defendants and other hackers, the
  223. government was able to piece the case together and seek an
  224. indictment from the grand jury.
  225.  
  226. II. _THE EVIDENCE_
  227.  
  228.      A. _What the Evidence Generally Shows_
  229.  
  230. If the case had gone to trial, the evidence would have shown
  231. that defendants Grant, Darden and Riggs used a variety of methods
  232. to break into the BellSouth telephone systems. To start, they and
  233. other Legion of Doom ("LOD") members would go "trashing" or
  234. "dumpster diving" (i.e., scavenging through dumpsters) behind
  235. BellSouth offices, usually in the dead of night. They took memos,
  236.  
  237.                                    - 5 -
  238.  
  239. printouts, and other documents. Additionally, when back at their
  240. personal computers, they created hacking programs to break into the
  241. BellSouth systems and obtained access information from fellow
  242. hackers. Using all of these tools, the defendants broke into over
  243. a dozen BellSouth computer systems. Once in the systems, the
  244. defendants would scan the files for information they wanted to
  245. steal and get into other computer systems of other entities,
  246. including Credit Bureaus, hospitals, banks{4} and other private
  247. corporations.
  248.  
  249. Among other information, the defendants downloaded BellSouth
  250. passwords and connect addresses which they could later use to
  251. return into the particular system they were scanning or to get into
  252. other systems. Defendants also downloaded subscriber information
  253. on individual customers. By getting subscriber information, the
  254. defendants could change customer services (e.g., call waiting) and
  255. obtain access to Credit Bureau information. Defendants Grant and
  256. Darden also figured out how to wire tap telephone calls using a
  257. BellSouth computer system called LMOS. Darden admits monitoring
  258. friends' calls, but claims to have only done it with the knowledge
  259. of the friends. Evidence recovered from Grant's dorm room
  260. indicates that he monitored calls as well. The government has no
  261. direct evidence that defendant Riggs monitored calls, though the
  262. Secret Service did recover LMOS access information in the search
  263. of Riggs' residence.
  264.  
  265. ________________________
  266.  
  267. {4}During a meeting with the Secret Service, defendant Grant
  268. admitted breaking into a bank in the State of Texas and altering
  269. deposit records.
  270.  
  271.                                    - 6 -
  272.  
  273. The defendants and other LOD members freely exchanged
  274. information they stole from BellSouth. Although it does not appear
  275. that defendants themselves used this information to transfer any
  276. money to themselves, they clearly exploited the services of the
  277. telephone companies and data networks when making and receiving
  278. hundreds of hours of free long distance service.
  279.  
  280. During the course of the conspiracy, the defendants and other
  281. LOD members illegally amassed enough knowledge about the
  282. telecommunications computer systems to jeopardize the entire
  283. telephone industry. During one interview, defendant Darden
  284. nonchalantly revealed that the defendants could have easily shut
  285. down telephone service throughout the country.
  286.  
  287. The defendants freely and recklessly disseminated access
  288. information they had stolen. By doing so, they paved the way for
  289. others to easily commit fraud. For instance, in early 1989, Adam
  290. Grant introduced defendants Robert Riggs and Frank Darden to a 15-
  291. year old hacker, already identified as "John Doe." Based largely
  292. on the information from the defendants, John Doe managed to steal
  293. approximately $10,000. Basically, Doe used the information from
  294. the defendants to reroute calls, enter Credit Bureaus, and have
  295. Western Union ire money from credit card accounts captured from
  296. the Credit Bureau records.
  297.  
  298. Defendants claimed that they never personally profited from
  299. their hacking activities, with the exception of getting
  300. unauthorized long distance and data network service. At the very
  301. least, however they should have foreseen the activity of people
  302.  
  303.                                    - 7 -
  304.  
  305. like John Doe, particularly in light of articles on computer
  306. hacking, stealing and fraud which they collected and authored (some
  307. of which are described in Section B below).
  308.  
  309. Defendants disseminated much of their knowledge and stolen
  310. information posting the information on electronic bulletin board
  311. services ("BBS's"). A BBS is a computerized posting service
  312. allowing hackers to post messages to one another, usually 24 hours
  313. a day. Most BBS's around the country are perfectly legal and allow
  314. legitimate computer users to communicate with each other. The LOD
  315. created a BBS named "Black Ice," however, primarily to foster
  316. fraudulent computer activities. Excerpts from the Black Ice BBS
  317. are filed separately hereto as _Government Exhibit B. A review of
  318. the Black Ice printouts reveals that defendants all realized that
  319. braking into the telephone computer systems was illegal and that
  320. they took precautions not to get caught. Of great concern are the
  321. frequent references to law enforcement and national security
  322. computer systems.
  323.      B. _Specific Examples of Items Recovered from Each Defendant_
  324.  
  325. A brief review of some of the evidence recovered from each of
  326. the defendants' residences during the July 21, 1989, searches will
  327. shed further light on the criminal nature of their conduct. Please
  328. bear in mind, however, that what follows is a description of only
  329. a very small portion of the immense amount of material recovered
  330. from each defendant.
  331.           1. _ADAM E. Grant_
  332.              --Hundreds of telephone numbers, connect addresses,
  333.                logins/passwords, and loops for various Bell
  334.  
  335.                                    - 8 -
  336.  
  337.                computer systems.
  338.  
  339.             -- Files on how to hack voice mail, how to hack Bell
  340.                company passwords, war dialing programs, time bombs,
  341.                Georgia Tech computer accounts.
  342.  
  343.             -- Articles and tutorials on a number of topics. The
  344.                articles outline information about a topic, while
  345.                tutorials outline how-to steps to accomplish
  346.                specific objectives (e.g., stealing access codes).
  347.                Grant had articles and tutorials on hacking into the
  348.                telephone system, building blue boxes (i.e., devices
  349.                that simulate computer tones and allow free
  350.                telephone access), using "loops," using Telenet,
  351.                getting "root" access to BellSouth systems, (i.e.,
  352.                free run of the system), planting "trojan horses"
  353.                into UNIX (a trojan horse is essentially a time lapsed
  354.                computer program and UNIX is the computer system
  355.                used by BellSouth). Some article/tutorials titles
  356.                include "Building Blue Boxes," "How to Rip off Pay
  357.                Stations," "Hacking Telco Outside Plant," "Hacking
  358.                Satellite Transponders," Defeating the Total
  359.                Network," "UNIX Security Issues," and "UNIX for the
  360.                Educated" by Urvile.
  361.  
  362.             -- One article specifically addressed malicious damage
  363.                to and slowing down of a UNIX system. This article
  364.                is noteworthy because it includes details on how to
  365.                bring a central office of the telephone system "to
  366.                its knees" by inserting a program to continually
  367.                make directories on a disk until the switch (i.e.,
  368.                BellSouth office computer that routes phone calls)
  369.                runs out of disk space.
  370.  
  371.             -- Three letters to Grant from Georgia Tech complaining
  372.                about his abuse of the system. The letters,
  373.                attached as _Exhibit C_, indicate that Georgia Tech
  374.                was very concerned about Grant's abuses of their
  375.                system.
  376.  
  377.             -- Credit Bureau report on Bruce Dalrymple. Grant
  378.                tutored the former Georgia Tech basketball star and
  379.                broke into the Credit Bureau to get Dalrymple's
  380.                credit history. Grant and the other defendants
  381.                essentially had the power to review millions of
  382.                citizens' credit histories by breaking into Credit
  383.                Bureaus.
  384.  
  385.             -- Numerous phone numbers of military installations.
  386.  
  387.             -- Detailed information on LMOS, the system through
  388.                which Darden and Grant tapped into other parties'
  389.  
  390.                                    - 9 -
  391.  
  392.  
  393.               computer systems.
  394.  
  395.  
  396.             -- AT&T Mail access numbers.
  397.  
  398.             -- MCI credit card access numbers.
  399.  
  400.             -- Telenet system addresses.
  401.  
  402.             -- List of user accounts on the Georgia Tech computer
  403.                system.
  404.  
  405.      2. _FRANKLIN E. DARDEN
  406.  
  407.             -- Hundreds of telephone numbers, connect addresses,
  408.                logins/passwords, and loops for various Bell
  409.                computer systems.
  410.  
  411.             -- Files on Secret Service interrogation methods,
  412.                computer-related laws/arrests, methods to defraud
  413.                long distance carriers, and social engineering
  414.                (getting information by pretending to work for the
  415.                 phone company).
  416.  
  417.             -- Articles and tutorials on blue and silver boxing,
  418.                hacking voice mail systems, tapping a neighbors'
  419.                phone, blue boxing, "military boxing" installing
  420.                small transmitters on neighbors' terminal boxes.
  421.                Titles of some of the articles included "How to Make
  422.                Flash Bombs," "Hacking Voice Mail Systems," Hacking
  423.                the Hewlett-Packard 3000 Computer," and "Art of Blue
  424.                Box Construction."
  425.  
  426.             -- Extensive information on LMOS, including tutorials
  427.                and handwritten notes concerning illegally wire
  428.                tapping telephone lines.
  429.  
  430.             -- Sprint codes and Telenet addresses and passwords.
  431.  
  432.             -- Unauthorized Credit Bureau reports on other
  433.                individuals stolen from CBI.
  434.  
  435.             -- Information on credit card fraud using Western
  436.                Union. Interestingly, the John Doe mentioned above
  437.                spoke with Darden many times concerning computer
  438.                information and ultimately devised a credit card
  439.                fraud scheme using Western Union Wires.
  440.  
  441.             -- A listing of credit card fraud laws in Michigan.
  442.  
  443.                                   - 10 -
  444.  
  445.             -- UNIX tutorial by The Urvile.
  446.  
  447.           3.   _ROBERT RIGGS_
  448.  
  449.             -- Hundreds of telephone numbers, connect addresses,
  450.                logins/passwords, and loops for various Bell
  451.                computer systems.
  452.  
  453.             -- File on "netcatch.c" a program designed to
  454.                eavesdrop on computer-to-computer communications.
  455.  
  456.             -- Articles and tutorials concerning hacking passwords,
  457.                understanding telephone security systems, and
  458.                understanding voicemail systems. The articles
  459.                tutorial titles included "Hacking COSMOS Part 2,"
  460.                "BellSouth's central System for Main Frame
  461.                Operations," "MVS from the Ground Up" by Riggs, and
  462.                "UNIX Use and Security from the Ground Up" by Riggs.
  463.  
  464.             -- The E911 file. This file which is the subject of
  465.                the Chicago indictment, is noteworthy because it
  466.                contains the program for the emergency 911 dialing
  467.                system. As the court knows, any damage to that very
  468.                sensitive system could result in a dangerous
  469.                breakdown in police, fire, and ambulance services.
  470.                The evidence indicates that Riggs stole the E911
  471.                program from BellSouth's centralized automation
  472.                system, AIMSX. Riggs also managed to get "root"
  473.                privileges to the system (i.e., free run of the
  474.                system). Bob Kibler of BellSouth Security estimates
  475.                the value of the E911 file, based on R&D costs, is
  476.                $24,639.05.
  477.  
  478.             -- Handwritten note listing Riggs' top three goals:
  479.                "Learn LMOS" {the system connected to monitoring
  480.                phone lines}; "Learn PREDICTOR" {the BellSouth
  481.                mechanized system concerning maintenance of
  482.                telephone systems outside of the main office}; and
  483.                {Learn C Programming" {computer programming}.
  484.  
  485.             -- Sprint access information
  486.  
  487.             -- Password hacking programs.
  488.  
  489.             -- Urvile's COSNIX tutorial (a how-to lesson relating
  490.                to breaking into a BellSouth system).
  491.  
  492. All three defendants obviously stored significant amounts of
  493. information in their home relating to illegal activities. In
  494.  
  495.                                   - 11 -
  496.  
  497. fairness to defendant Riggs, however, the Court should know that
  498. Rigs had less evidence of illegal activity than Grant and Darden.
  499. Apparently, defendant Riggs temporarily ceased illegal computer
  500. activities after his computer fraud conviction in North Carolina
  501. and parted company with some of his records. Eventually, however,
  502. he again started to break into the BellSouth computer systems. By
  503. the time of the search on July 21, 1989, rant, Darden and Riggs
  504. were breaking into bellSouth computer systems and other computer
  505. systems at will and were routinely downloading information.
  506.  
  507. III. _DEFENDANTS' PRIOR CONDUCT_
  508.  
  509. All of the defendants have been "hacking" for several years.
  510. Defendant Riggs, however, is the only one with a prior conviction.
  511. That conviction is described in _Government Exhibit D_ (filed
  512. separately).
  513.  
  514. IV. _DEFENDANT'S COOPERATION AND THE GOVERNMENT'S RECOMMENDATION
  515.      OF A DOWNWARD DEPARTURE_
  516.  
  517. All three defendants have provided significant cooperation
  518. that has fueled further investigation into the activities of a
  519. number of computer hackers around the country. In light of the
  520. substantial assistance each defendant has provided, as described
  521. below, the government movees for this Court to make a downward
  522. departure pursuant to S.G. 5K1 in the amount of three levels for
  523. defendants Grant and Darden and two levels for defendant Riggs.
  524.  
  525.      A. _Cooperation of Adam E. Grant_
  526.  
  527.         1. July 21, 1989 - After the search of his residence,
  528. Grant gave a statement to the United States Secret Service. He was
  529.  
  530.                                   - 12 -
  531.  
  532. not forthcoming and generally denied any wrongdoing. By the time
  533. he pled guilty, however, Grant had realized the severity of the
  534. crime and was very forthcoming with helpful information.
  535.  
  536.         2. July 16, 1990 - Grant spent approximately 2-3 hours
  537. meeting with Assistant United States Attorneys from Chicago
  538. regarding the Craig Neidorf Case. Grand provided valuable
  539. information to assist in the prosecution of the case. Grant agreed
  540. to testify, though when the prosecutors called him at the last
  541. minute to fly to Chicago, he declined because of his school
  542. schedule. Ultimately, the Chicago office did not need him to
  543. testify.
  544.  
  545.         3. August 9, 1990 - Grant met with a number of Secret
  546. Service agents and representatives of BellSouth to discuss all
  547. aspects of the investigation in Atlanta and divulge information
  548. about other members of the Legion of Doom. The meeting lasted more
  549. than 8 hours and Grant provided a substantial amount of helpful
  550. information. Special Agent William Gleason says that Grant was
  551. very cooperative.
  552.  
  553.         4. October 8, 1990  through October 10, 1990 - Grant
  554. traveled to Detroit, Michigan to meet with investigators and a
  555. prosecutor there regarding the investigation of a fellow Legion of
  556. Doom member. While there, he testified before the grand jury.
  557. According to Assistant United States Attorney David Debold, Grant
  558. was cooperative.
  559.  
  560.         5. October 12, 1990 - Grant met for approximately 4
  561. hours with BellSouth security officers. He discussed a number of
  562.  
  563.                                   - 13 -
  564.  
  565. matters, including what he believed could be future hacking efforts
  566. against BellSouth and measures BellSouth should take to protect
  567. their system.
  568.  
  569.                                   - 14 -
  570.  
  571.      B.  _Cooperation of Franklin E. Darden, Jr._
  572.  
  573.          1. July 21, 1989 - After the search of his residence,
  574. Darden provided a very detailed statement to the United States
  575. Secret Service describing his activities and the activities of the
  576. Legion of Doom. Based in part on that statement, the Secret
  577. Service and BellSouth were able to further their investigation into
  578. the identities and illegal acts of other members of the Legion of
  579. Doom.
  580.  
  581.          2. July 24, and July 28 - Darden volunteered to
  582. meet and did meet with the Secret Service and the undersigned
  583. counsel and thoroughly answered all questions posed to him.
  584. Particularly in the early stages of cooperation, Darden provided
  585. more helpful information than any defendant.
  586.  
  587.          3. July 1990 - Darden traveled to Chicago and spent
  588. three days waiting to testify and occasionally meeting with
  589. Assistant United States Attorneys. The Chicago authorities called
  590. him one morning during work, and Darden flew to Chicago by that
  591. evening. Although Darden did not have to testify, he was ready and
  592. willing to do so. Also, he had met with the Chicago prosecutors
  593. a week or so earlier in Atlanta.
  594.  
  595.          4.  August 7, 1990 - Darden met in the Atlanta field
  596. office of the Secret Service with Secret Service agents, BellSouth
  597. representatives and other investigators. The meeting lasted most
  598. of the day. According to Special Agent William Gleason,Darden was
  599. very forthcoming and provided valuable leads for other cases.
  600.          5. October 1990 - Darden traveled to Detroit Michigan
  601.  
  602.                                   - 15 -
  603.  
  604. to meet with investigators and the prosecutors there regarding the
  605. investigation of a fellow Legion of Doom Member. He also testified
  606. before the grand jury. According to Assistant United States
  607. Attorney David Debold, Darden was very cooperative and offered
  608. evidence that will be very useful in prosecuting the Detroit
  609. hacker.
  610.  
  611.      C. _Cooperation of Robert J. Riggs_
  612.  
  613.         1. July 21, 1989 - After the search of his residence,
  614. defendant Riggs provided a very detailed statement to the United
  615. States Secret Service describing his activities and the activities
  616. of the Legion of Doom.  Based in part on that statement, the Secret
  617. Service and BellSouth were able to further their investigation into
  618. the identities and illegal acts of other members of the Legion of
  619. Doom.
  620.  
  621.         2. May 23, 1990 - Defendant Riggs met with Chicago
  622. Assistant United States Attorneys and the undersigned counsel to
  623. discuss the case generally and the activities of other Legion of
  624. Doom members. Mr. Riggs provided helpful leads in pursuing other
  625. hackers.
  626.  
  627.  
  628.         3. July 17, 1990 - Riggs met again with two Assistant
  629. United States Attorneys from Chicago who were in Atlanta and spent
  630. several hours discussing the prosecution of Craig Neidorf and
  631. related computer hacker matters. The prosecutors found Mr. Riggs'
  632. statements very helpful.
  633.  
  634.         4. July 1990 - Riggs traveled to Chicago and was there
  635. for several days before his testimony in that case. The testimony
  636.  
  637.                                   - 16 -
  638.  
  639. was somewhat helpful, though the prosecutors felt defendant Riggs
  640. was holding back and not being as open as he had been in the
  641. earlier meeting.
  642.  
  643.         5. August 8, 1990 - Riggs met in the Atlanta field
  644. office of the Secret Service agents, BellSouth representatives, and
  645. other investigators from around the country. The meeting lasted
  646. roughly 5 hours. According to Special Agent William Gleason, Riggs
  647. was less forthcoming than either Darden or Grant and seemed to have
  648. more of a problem recalling details. He did, however, provide some
  649. helpful information.
  650.  
  651.  
  652.         6. October 13, 1990 - Riggs traveled to Detroit,
  653. Michigan to meet with investigators and the prosecutor there
  654. regarding the activities of a fellow member of the Legion of Doom.
  655. He also testified before the grand jury. According to Assistant
  656. United States Attorney David Debold, Riggs was helpful, but Mr.
  657. Debold had a difficult time prying information from Riggs without
  658. asking very specific questions. Mr. Debold said he did not know
  659. whether Riggs was evasive or simply quiet.
  660.  
  661. Defendant Riggs strikes the undersigned counsel as an
  662. unusually quiet and pensive person. Throughout the investigation,
  663. he has been cooperative, but because of his nature, he sometimes
  664. comes across as uninterested and evasive. The bottom line is that
  665. he provided helpful information that furthered several
  666. investigations around the country, though his assistance was not
  667. as substantial as that of Grant and Darden; hence the
  668. recommendation of only a two-level departure.
  669.  
  670.                                   - 17 -
  671.  
  672. V. _DEFENDANTS' MOTIVATION_
  673.  
  674. All three defendants belonged to the self-proclaimed elite
  675. group of hackers called Legion of Doom. As described in _Exhibit_
  676. _A_, 15 members of this group lived in cities throughout the country
  677. and used personal computers and modems to break into a host of
  678. other computer systems. Their main motivation: To obtain power
  679. through information and intimidation. Basically, they wanted to
  680. own "Ma Bell."
  681.  
  682. In their quest for power, the defendants and other LOD members
  683. in the group fixated on the telephone industry for two reasons.
  684. First, the telephone industry has one of the most complicated and
  685. challenging computer systems in the world. Second, telephones link
  686. all computers throughout the world to each other and a mastery of
  687. the telephone system would allow the defendants to break into
  688. computer systems virtually anywhere. The defendants and other LOD
  689. members engaged in an arcane game of technological one-upmanship.
  690. Whoever could break into the most systems and steal the most
  691. information would be considered the superior hacker. For instance,
  692. LOD members were designated at certain levels (e.g., The Urvile,
  693. Level 8) to reflect their degree of expertise.
  694.  
  695. Once the defendants figured out how to master a computer
  696. system, they would often assert their bragging rights by
  697. documenting their methods of break-ins and sharing the information
  698. with hackers around the country. Although each defendant claims
  699. to have carefully restricted access to the information, there could
  700. be no realistic safeguards. From the start, the information was
  701.  
  702.                                   - 18 -
  703.  
  704. stolen and, by definition, no longer safeguarded. Moreover, the
  705. defendants commonly made the information available to all hackers
  706. who happened to access the computer bulletin board service they
  707. were using. A case in point is John Doe of Indiana who stole the
  708. approximately $10,000 by using information provided by the
  709. defendants.
  710.  
  711. In essence, stolen information equalled power, and by that
  712. definition, all three defendants were becoming frighteningly
  713. powerful.
  714.  
  715. VI. _THE GOVERNMENT'S RECOMMENDATION AND THE NEED TO SEND A MESSAGE_
  716.     _TO THE COMMUNITY_
  717.  
  718. Computer hackers around the country are closely following the
  719. outcome of this case in light of the probated sentence of the last
  720. federally prosecuted adult criminal hacker, Rober Morris, Jr.
  721. Any sentence that does not include incarceration would send the
  722. wrong message to the hacking community; that is, that breaking into
  723. computer systems and stealing information is not really a crime.
  724.  
  725. As the Court may recall, Mr. Morris created a computer virus
  726. which began multiplying out of control and infected hundreds of
  727. computers around the country. The case garnered national attention
  728. because it was one of the first computer fraud prosecutions to
  729. focus the public's eye on the very real dangers of computer
  730. hacking.
  731.  
  732. Computer bulletin board services (BBS's) around the country
  733. were buzzing about the _Morris_ case. For instance, two printout
  734. pages of one BBS, filed separately as _Government Exhibit E_, will
  735.  
  736.                                   - 19 -
  737.  
  738. give the Court an idea of how closely hackers follow these matters.
  739. A hacker named The Mentor noted that if Morris was sentenced to do
  740. time, "it'll be a *very* bad precedent." Another hacker, Eric
  741. Bloodaxe, responded "Hell, maybe it IS time to start doing all the
  742. terrible things I always had the capabilities to do..." A hacker
  743. named Ravage commented that he heard the prosecution had had a hard
  744. time showing Morris' malicious intent and noted that if that was
  745. true, "I doubt he will get any time. Probably a fine, community
  746. service, or probated time." The Urvile (the hacker name used by
  747. defendant Grant) aid, "The virus will hurt us (the hacking
  748. community) a tremendous among in the future." He went on to say
  749. that "even if the courts are lax on him (orris), which is the only
  750. silver lining i can think of, then security on all systems is going
  751. to increase. we don't need that. not one bit."
  752.  
  753. The government does not have ready access to any printouts
  754. from BBS's following the Morris sentencing, thought hackers and
  755. computer experts recall general hacker jubilation when the judge
  756. imposed a probated sentence. Clearly, the sentence had little
  757. effect on defendants Grant, Riggs, and Darden.
  758.  
  759. The undersigned counsel met with each of the three defendants,
  760. and all three have been very cooperative and remorseful. The
  761. defendants, however, have literally caused BellSouth millions of
  762. dollars in expenses by their actions. Moreover, they knew
  763. throughout their hacking activities that they were engaging in
  764. illegal conduct as they broke into untold numbers of telephone and
  765. non-telephone computer systems. Because of that conduct and the
  766.  
  767.                                   - 20 -
  768.  
  769. message that the hackers around the country need to hear, the
  770. government strongly urges this Court to include incarceration as
  771. part of the sentence. The government will make a more specific
  772. recommendation at the time of sentencing.
  773.  
  774.  
  775.                                    Respectfully submitted,
  776.  
  777.                                    JOE D. WHITLEY
  778.                                    UNITED STATES ATTORNEY
  779.  
  780.  
  781.                                    KENT B. ALEXANDER
  782.                                    ASSISTANT UNITED STATES ATTORNEY
  783.                                    1800 United States Courthouse
  784.                                    75 Spring Street, S.W.
  785.                                    Atlanta, Georgia 30335
  786.  
  787.                                    Georgia Bar No. 008893
  788.  
  789.  
  790.                                     - 21 -
  791.  
  792. ********************************************************************
  793.  
  794. ------------------------------
  795.  
  796.                            **END OF CuD #2.16**
  797. ********************************************************************
  798.