home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / cud / cud324.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  42.8 KB  |  907 lines
  1.   ****************************************************************************
  2.                   >C O M P U T E R   U N D E R G R O U N D<
  3.                                 >D I G E S T<
  4.               ***  Volume 3, Issue #3.24 (July 3, 1991)   **
  5.   ****************************************************************************
  6.  
  7. MODERATORS:   Jim Thomas / Gordon Meyer  (TK0JUT2@NIU.bitnet)
  8. PHILEMEISTER: Bob Krause // VACATIONMEISTER: Bob Kusumoto
  9. MEISTERMEISTER: Brendan Kehoe
  10.  
  11.             +++++     +++++     +++++     +++++     +++++
  12.  
  13. CONTENTS THIS ISSUE:
  14. File 1: From the Mailbag  (Response to "Cyberpunk" definition)
  15. File 2: Bill Vajk, Len Rose, Gene Spafford
  16. File 3: Comsec Security Press Release
  17. File 4: Comments on ComSec Data Security
  18. File 5: Police Confiscations and Police Profit
  19. File 6: House Crime Bill (1400) and its Threat to Modemers
  20. File 7: Law Panel Recommends Computer Search Procedures
  21. File 8: The CU in the News (data erasing; cellular fraud)
  22. +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  23. CuD is available via electronic mail at no cost. Hard copies are available
  24. through subscription or single issue requests for the costs of reproduction
  25. and mailing.
  26.  
  27. USENET readers can currently receive CuD as alt.society.cu-digest.
  28.     Back issues of Computer Underground Digest on CompuServe can be found
  29. in these forums:
  30.               IBMBBS, DL0 (new uploads) and DL4 (BBS Management)
  31.               LAWSIG, DL1 (Computer Law)
  32.               TELECOM, DL0 (New Uploads) and DL12 (Electronic Frontier)
  33. Back issues are also available from:
  34. GEnie, PC-EXEC BBS (414-789-4210), and at 1:100/345 for those on FIDOnet.
  35. Anonymous ftp sites: (1) ftp.cs.widener.edu (192.55.239.132);
  36.                      (2) cudarch@chsun1.uchicago.edu;
  37.                      (3) dagon.acc.stolaf.edu (130.71.192.18).
  38. E-mail server: archive-server@chsun1.uchicago.edu.
  39.  
  40. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  41. information among computerists and to the presentation and debate of
  42. diverse views.  CuD material may be reprinted as long as the source is
  43. cited.  Some authors, however, do copyright their material, and those
  44. authors should be contacted for reprint permission.  It is assumed
  45. that non-personal mail to the moderators may be reprinted unless
  46. otherwise specified. Readers are encouraged to submit reasoned
  47. articles relating to the Computer Underground.  Articles are preferred
  48. to short responses.  Please avoid quoting previous posts unless
  49. absolutely necessary.
  50. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  51. DISCLAIMER: The views represented herein do not necessarily represent
  52.             the views of the moderators. Contributors assume all
  53.             responsibility for assuring that articles submitted do not
  54.             violate copyright protections.
  55.  
  56. ********************************************************************
  57.                            >> END OF THIS FILE <<
  58. ***************************************************************************
  59.  
  60. ----------------------------------------------------------------------
  61.  
  62. Date: July 3, 1991
  63. From: Various
  64. Subject: From the Mailbag  (Response to "Cyberpunk" definition)
  65.  
  66. ********************************************************************
  67. ***  CuD #3.24: File 1 of 8: From the Mailbag                   ***
  68. ********************************************************************
  69.  
  70. Date: Tue, 2 Jul 91 12:44:22 cdt
  71. From:  <accidentally garbled by editors>
  72. Subject: Brad Hicks and Cyber Definitions
  73.  
  74. I commend Brad Hicks for his generally concise set of definitions of
  75. definitions of computer underground types which make it clear that
  76. there are many different motivations and categories.  However, I would
  77. modify his following definition:
  78.  
  79. > CYBERPUNK: (n)  A cyberpunk is to hackers/phreaks/crackers/crashers
  80. > what a terrorist is to a serial killer; someone who insists that their
  81. > crimes are in the public interest and for the common good, a
  82. > computerized "freedom fighter" if you will.
  83.  
  84. In the works of Bruce Sterling, William Gibson, and others, cyberpunks
  85. are not terrorists in the conventional sense of the term, and the
  86. analogy to serial killers strikes me as a bit extreme. Cyberpunks are
  87. characterized by their resistance to oppressive authority (which makes
  88. them a form of freedom fighter), but the resistance tends to be highly
  89. individualistic. I wonder if cyberpunks might be based on the
  90. anti-hero model of westerns (Shane) or earlier science fiction in
  91. which the marginal but basically decent outsider steps in to use
  92. marginal skills to save the town, country, or civilization?
  93.  
  94. I hope Mr. Hicks' comments generate some needed discussion along these
  95. lines.
  96.  
  97. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  98.  
  99. Date: Tue, 2 Jul 91 14:34:38 edt
  100. From: wex@PWS.BULL.COM
  101. Subject: Cyberpunks (response to Brad Hicks in Cu Digest, #3.23)
  102.  
  103. Hicks' gratuitous slap at cyberpunks tacked on to the end of his
  104. definitions of hackers, crackers and phreaks should not be allowed to
  105. pass.
  106.  
  107. He refers to cyberpunks as being more extreme forms of the above, with
  108. an added dash of morality.  I'd love to know where he got this idea.
  109.  
  110. The cyberpunks I know are those who, as the word implies, have taken
  111. the punk ethic of disrespect for authority (and often for self, even
  112. to the point of nihilism) and applied it to the cyber world.
  113. Cyberpunks are those who think that the street has its own uses for
  114. technology (they're out there decoding the signals from Mattel
  115. Powergloves).  They think that corporations are often a bigger threat
  116. than governments, though they dis both - sometimes to the point of
  117. breaking laws.
  118.  
  119. The only freedom these people are interested in is the freedom to be
  120. left alone, both physically and, in the data world, to be left out of
  121. the ubiquitous info files being accumulated on us all.
  122.  
  123. This combination often leads to a "fuck you, jack" attitude, not the
  124. platitudinous ``freedom fighter'' ethos Hicks talks about.
  125.  
  126. ********************************************************************
  127.                            >> END OF THIS FILE <<
  128. ***************************************************************************
  129.  
  130. ------------------------------
  131.  
  132. Date: Mon, 24 Jun 91 23:58:37 EDT
  133. From: Jerry Leichter <@mp.cs.niu.edu:leichter@LRW.COM>
  134. Subject: Bill Vajk, Len Rose, Gene Spafford
  135.  
  136. ********************************************************************
  137. ***  CuD #3.24: File 2 of 8: Vill Vajk, Len Rose, Gene Spafford  ***
  138. ********************************************************************
  139.  
  140. In CuD 3.22, Bill Vajk writes an (overly long, repetitive) note in
  141. response to an earlier note of Gene Spafford's.  I don't want to go
  142. into the details of everything he has to say; I'll make one comment on
  143. fact, and another a general observation.
  144.  
  145. On fact:  Vajk tries to attack the claim that Rose violated a trade
  146. secret or copyright of AT&T's by saying that AT&T claims both trade
  147. secret and copyright protection on the Unix source code, and they are
  148. incompatible because copyright protection requires deposit of a copy
  149. of the code with the Library of Congress, where the copy is available
  150. freely to the public.
  151.  
  152. This is dead wrong.  First of all, deposit is required within 3 months
  153. of PUBLICATION; however, even unpublished material can be protected by
  154. copyright, and AT&T can reasonably claim that they never published the
  155. source code.
  156.  
  157. Second, there are exceptions to the requirements for deposit which
  158. will usually cover software.  In any case, as a matter of law, even if
  159. the copyright owner disregards the deposit requirement, the copyright
  160. remains enforceable (though the owner may be subject to fines or other
  161. penalties.)
  162.  
  163. Third, even where deposit is required - as when one wishes to register
  164. the copyright, a necessary first step in defending it in court - the
  165. Copyright Office has recognized the issue of trade secrecy, and does
  166. not require the entire program to be deposited.  There are a couple of
  167. choices - e.g., you can deposit the entire first and last 10 pages of
  168. source code, or the first and last 25 pages with no more than half of
  169. the text blacked out, etc.  (Note:  This is taken from a Notice of
  170. Proposed Rulemaking issued in 1986, as quoted in a 1990 book.
  171. Apparently it is the policy that is being followed, although it has
  172. yet to be made completely official.)
  173.  
  174. Finally, while it is true that copyright infringement as such is not a
  175. criminal matter, the copyright law does provide criminal penalties for
  176. fraudulent copyright notices and false representation.  Also, going
  177. beyond copyrights as such, once a property right exists, it can be
  178. stolen.  Depending on the circumstances, the theft may or may not be a
  179. criminal matter.  If you leave your car at my service station for some
  180. repair work and I start using it and refuse to return it, you can sue
  181. me civilly for conversion; I am probably also guilty of auto theft.
  182. Civil and criminal law are not necessarily mutually exclusive.
  183.  
  184. On philosophy:  Vajk is right in commenting that some of the pain
  185. people are feeling is from seeing the law applied to "nice middle
  186. class white kids" in a way it is usually applied to poor black ones.
  187. The fact of the matter is that, for the most part, the law leaves the
  188. nice white middle class alone.  Its instincts and modes of operation
  189. are developed for a much rougher atmosphere, where a kid being
  190. rousted, whether for good reasons or bad, is quite likely to be armed,
  191. or at least potentially dangerous.  Sure, a cracker - or a whitecolor
  192. criminal - is unlikely to attack the police who've arrested him; but
  193. policy says that those under arrest will be handcuffed, because it's
  194. safer (for the police) that way, and their safety outweighs the
  195. arrestee's dignity.
  196.  
  197. Presumption of innocence or no, the gut feeling that police,
  198. prosecuters, and probably most defense attornies have is that those
  199. arrested are probably guilty, if not of the particular offense
  200. charged, then of SOME offense.  Guilt and innocence are of much less
  201. importance than making sure the legal rules are followed - and those
  202. legal rules can and do play rough.  Innocent or guilty, you DON'T want
  203. to be caught up in the criminal justice system.
  204.  
  205. Vajk is incensed that police officers are "learning on the job" how to
  206. deal with computers.  In "To Engineer is Human", a wonderful book,
  207. Henry Petrofsky points out that engineering never learns much from
  208. successes, only from failures.  The law acts the same way.  It's not
  209. only police officers and prosecutors and judges who are "learning on
  210. the job"; it's the entire legal system.  Much of the law is based on
  211. precedent; before a precedent is established, there IS no settled law
  212. in a particular area.  Even law that is based on statute doesn't come
  213. out of nowhere:  Laws are usually drafted in response to perceived
  214. problems.  Only rarely are they anticipatory, and then they often turn
  215. out to be wrong.
  216.  
  217. What we are seeing right now is the legal system learning what the
  218. right way to deal with "computer crimes" is.  It tried ignoring them;
  219. that eventually proved unsatisfactory.  Now it is reacting, and as is
  220. to be expected, it is doing so by pushing as hard as it can.  The
  221. eventual boundaries of the law will be determined by the sum of the
  222. various pushes - by overzealous prosecuters, by defense attornies, by
  223. citizens enraged by computer crimes and citizens enraged by government
  224. over-reaction.  One way or the other, the Steve Jackson case will
  225. establish some of the boundaries of search and seizure of computers.
  226. Had the Neidorf case gone through a full trial, it might well have
  227. established something about First Amendment protections for electronic
  228. publication.  As it is, it made the prosecuters look stupid and AT&T
  229. look like liars.  The next time around, a prosecuter will think twice
  230. about putting his reputation on the line based on some unverifiable
  231. AT&T claims.  That, too, is part of the education of the legal system.
  232.  
  233. The courts deliberately avoid deciding issues until they are forced to
  234. by actual cases.  (There are some minor exceptions to this rule.)  In
  235. practice, this means that if you want to challenge, say, an abortion
  236. law in court, you have to violate it - and be prepared to go to jail
  237. (as many challengers did) if your challenge fails.  This method has
  238. worked reasonably well over hundreds of years, but it has the
  239. unfortunate property that while the boundaries of the law are being
  240. paved, some people will end up in the wrong place at the wrong time
  241. and will end up being squashed by an on-coming steamroller.  The
  242. steamroller may have to roll back later, but that doesn't do the
  243. flattened fellow much good.
  244.  
  245. So ... don't look at the current problems as a sign that the legal
  246. system is incapable of dealing with computer and communication
  247. technology.  That's not at all what is going on.  Within a couple of
  248. years we'll be on pretty firm ground on these issues.  The important
  249. things to do now are (a) help provide pressure to push the law in the
  250. right directions before it "sets"; (b) help support the relatively few
  251. casualties of the process.  I applaud EFF's efforts to do (a) (even if
  252. I don't always agree with the particular positions they may choose to
  253. take).  As far as I can see, EFF isn't deliberately doing (b), though
  254. that will be a side-effect of some of their other actions; but in
  255. general (b) is more effectively done by concerned individuals in any
  256. case.
  257.  
  258. ********************************************************************
  259.                            >> END OF THIS FILE <<
  260. ***************************************************************************
  261.  
  262. ------------------------------
  263.  
  264. Date: June 11, 1991
  265. From: COMSEC Press Release
  266. Subject: Comsec Security Press Release
  267.  
  268. ********************************************************************
  269. ***  CuD #3.24: File 3 of 8: Comsec Security Press Release       ***
  270. ********************************************************************
  271.  
  272.  
  273.                            COMSEC PRESS RELEASE
  274.  
  275.  June 11, 1991
  276.  
  277.  For future release
  278.  
  279.  Contact Scott Chasin or Chris Goggins
  280.  713-721-6500
  281.  
  282.  Houston, TX, Comsec Data Security announced its entrance into the
  283.  field of computer security consulting.  Comsec, comprised mainly of
  284.  the now defunct computer group "The Legion of Doom," plans to offer a
  285.  full-scale security package to private industry.
  286.  
  287.  The firm's officers are Scott Chasin, Robert Cupps, Chris Goggins and
  288.  Ken Shulman.  The three key computer specialists Chasin, Goggins and
  289.  Shulman, all ex-members of LOD, each have over eight years experience
  290.  dealing with computer security.  Cupps, a graduate of Emory School of
  291.  Business and former securities trader, will operate as the firm's
  292.  administrative partner and concentrate on the firm's marketing
  293.  efforts.
  294.  
  295.  Since it's formation in the summer of 1984, the Legion of Doom had
  296.  been the object of much controversy in the media.  Often referred to
  297.  as "the most notorious hacker group in America," LOD underwent four
  298.  major reorganizations of members.  Goggins, one of the original nine
  299.  founding members of the group said of the final reorganization, "we
  300.  were looking for individuals who had the skills and desire to move
  301.  the group specifically to this point.
  302.  
  303.  "We feel that we are bringing a fresh approach to security consulting
  304.  in the corporate marketplace.  We were all the cream of the crop of
  305.  the computer underground and know precisely how systems are
  306.  compromised and what actions to take to secure them," said Goggins.
  307.  In fact, the group feels its success rate in the area of system
  308.  penetration is 80 to 85 percent.
  309.  
  310.  Comsec will offer security penetration testing and full auditing
  311.  services to corporate clients.  In addition, the firm aims to endorse
  312.  a wide range of software and hardware security products. "Our firm
  313.  has taken a unique approach to its sales strategy and is confident
  314.  that contracts currently under negotiation will firm up within the
  315.  next 30 days," said Cupps.
  316.  
  317.  Aware of the possible shockwave among the hacking underground over
  318.  this venture, the firm maintains that they are security consultants
  319.  and not informants or hacker-trackers.  "We are not going to go after
  320.  people, we are going to ensure that no one, hacker or corporate spy,
  321.  can compromise the security of our clients computers," said Chasin.
  322.  
  323.  Comsec is ready to assume normal operations and is looking to provide
  324.  the business community with a much needed service.  Comsec is located
  325.  at 60 Braeswood Square, in Houston, Texas, and can be reached at
  326.  713-721-6500 or 713-683-5742 (A/ hrs).
  327.  
  328. ********************************************************************
  329.                            >> END OF THIS FILE <<
  330. ***************************************************************************
  331.  
  332. ------------------------------
  333.  
  334. Date: Tue, 25 Jun 91 14:12:25 EST
  335. From: Gene Spafford <spaf@CS.PURDUE.EDU>
  336. Subject: Comments on ComSec Data Security
  337.  
  338. ********************************************************************
  339. ***  CuD #3.24: File 4 of 8: Comments on ComSec                  ***
  340. ********************************************************************
  341.  
  342. I have a quick comment on the report of the start-up of Comsec Data
  343. Security.  I have been quoted as asking people if they would hire a
  344. confessed/convicted arsonist to install their fire alarm system when
  345. talking about hiring "reformed" system crackers to do computer
  346. security.  Personally and professionally, I think it is a dangerous
  347. decision from a business perspective and from a professional
  348. perspective.
  349.  
  350. >From a business perspective, you need to ask yourself the following
  351. questions:
  352.    * If these guys know how to break through certain kinds of
  353.     security, does that prove they know how to make the security
  354.     better?
  355.  
  356. Using an analogy to start with, does someone who has experience
  357. putting sugar in the gas tank know how to tune the engine?  Or, more
  358. closely, does someone who has shown expertise at stealing cars with
  359. the keys left in the ignition know how to tell you something more
  360. valuable than not to leave the keys in the ignition?  They can guess
  361. at telling you to leave the doors locked and windows rolled up.  But
  362. can they tell you about car alarms, various forms of
  363. insurance, removable stereos, LoJac (sic?) tracers, cost/benefit of
  364. using various other models of car, etc?
  365.  
  366. Likewise, with computer security, because some people have had good
  367. luck breaking weak passwords and circumventing poorly-placed controls,
  368. that does not make them experts in security.  What do these guys know
  369. about formal risk assessment models, information theoretical background
  370. of ComSec evaluation, formal legal requirements for security, business
  371. resumption planning, employee training, biometric systems, .....?
  372.  
  373.    *  How do you know they are reformed?
  374.  
  375. Just because they claim they have reformed and hang a shingle out,
  376. does that mean they have *really* reformed?  If your business presents
  377. a very tempting target, how do you know they aren't casing the system
  378. to make a single big haul and then skip town?  How do you know they
  379. aren't going to traffic info on your system with their friends?  One
  380. big haul and a quick trip to another country with no extradition, and
  381. that's it.
  382.  
  383. The literature is full of instances where people with clean records
  384. couldn't resist the temptation to take advantage of their access to
  385. the system to make a quick buck.  How much more can you trust people
  386. who have already shown they aren't particularly interested in niceties
  387. of the law and ethics?
  388.  
  389. Ask the folks at SRI if hiring "reformed" crackers/phreakers is
  390. ultimately a sound business decision....
  391.  
  392.    * Can you be sure if these guys find some of their former
  393.      associates playing with your system, they will act in your best
  394.      interests?
  395.  
  396. This is a standard problem in a new realm -- will these guys really
  397. turn in their former buddies if they find that they have penetrated a
  398. client's system?
  399.  
  400.    * If they miss a problem, or cause a problem, will your business
  401. insurance pay off?  Will you be immune from prosecution or
  402. stock-holder's lawsuits?
  403.  
  404. These guys and others like them have a checkered history.  Hiring them
  405. to protect your systems against loss could be grounds for negligence
  406. suits in the case of loss, or be sufficient to cause non-payment of
  407. insurance policies.  In the case of various state & federal laws, you
  408. might be responsible for not showing a concerted effort to really
  409. protect your data.
  410.  
  411. Are these guys bondable?  If so, for how much?  Can they receive
  412. security clearances?
  413.  
  414. The decision is also a bad one professionally.  What kind of statement
  415. does hiring these guys send to the rest of the world?  It says "Gee,
  416. build up some experience hacking into other people's (or our ) systems
  417. without permission, and we'll give you a job!"
  418.  
  419. That's a bad statement to make.
  420.  
  421. Furthermore, it says to the true professionals in the field, the
  422. people who study the material, act professionally and ethically their
  423. whole careers, and who make every attempt to be responsible: "We will
  424. hire people who behave improperly instead; your training is equivalent
  425. (or less than) experience gained from acting unethically."
  426.  
  427. That is a worse statement to make.  Most of the professionals in the
  428. field could easily break in to business systems because of lax
  429. security, but would never dream of doing so.  To prefer confessed
  430. crackers over honorable professionals is quite an insult.
  431.  
  432. As a professional, I would refuse to do business with firms who hire
  433. these guys as security consultants.  They show surprisingly poor
  434. business sense, and an (indirect) contempt for the people who work
  435. hard and *ethically* their whole careers.
  436.  
  437. Note that I'm not stating that these three, in particular, are less
  438. than honorable now or will commit any crimes in the future.  I'm
  439. stating that, in the general case, such "reformed" individuals are a
  440. very poor choice for security consulting.  Neither am I making the
  441. statement (incorrectly attributed to me in CACM a year ago) that
  442. people like these three should never be employed in computing-related
  443. jobs.    I am disturbed, however, that they would be hired *because*
  444. of their unethical and illegal behavior-past.
  445.  
  446. ********************************************************************
  447.                            >> END OF THIS FILE <<
  448. ***************************************************************************
  449.  
  450. ------------------------------
  451.  
  452. Date: June 30, 1991
  453. From: Moderators
  454. Subject: Police Confiscations and Police Profit
  455.  
  456. ********************************************************************
  457. ***  CuD #3.24: File 5 of 8: Police Confiscations and Profit     ***
  458. ********************************************************************
  459.  
  460. The policy of indiscriminant confiscation of computer property in
  461. search and seizure operations has drawn criticism. The roots of the
  462. policy stem from RICO and anti-drug enforcement policies.  A recent
  463. article in _Law Enforcement News_ suggests that the police may be
  464. significant beneficiaries of seized assets when they are "donated" to
  465. the seizing agency. This creates the risk of police expansion of the
  466. (ab)use of seizure power by providing an incentive to increase the
  467. stockpiles of "forfeited" assets.  The risky logic might run something
  468. like this: "Our agency is need, so if we seize enough assets that we
  469. can use, we can meet our needs." Although the seizure of assets in
  470. drug raids far exceeds seizures in computer raids, the danger remains
  471. the same: There is incentive for police to confiscate as much as they
  472. can if they will be the ultimate recipients.  Two blurbs from _Law
  473. Enforcement News_ (April 30, 1991, p. 1, "Seized-asset funds prove
  474. tempting") underscore this point.
  475.  
  476. One article subhead, "Mass. city seeks drug funds to avert layoffs of
  477. officers," begins:
  478.  
  479.      "The Mayor of a Massachusetts city says revenue shortfalls
  480.      are forcing him to lay off police officers, and he believes
  481.      he has a temporary solution to the bind: using forfeited
  482.      assets and cash from drug busts to forestall layoffs or
  483.      rehire furloughed officers."
  484.  
  485. According to the article, Somerville Mayoer Michael Capuano
  486. introduced a petition to the Massachusetts Legislation in April to
  487. allow police agencies to use funds for personnel. Fund are currently
  488. restricted to drug enforcement expenditures.
  489.  
  490. A second subhead, "Illinois audit eyes using funds to upgrade
  491. police wardrobe," indicates that:
  492.  
  493.      "The Illinois State Police spent $408,000 in seized drug
  494.      assets to buy new uniforms--in an apparent violation of
  495.      provisions of the state's asset-forfeiture laws--but State
  496.      Police officials defended the purchase on the grounds that
  497.      the money was spent before an amendment went into effect
  498.      last year to require that such funds be spent only for drug
  499.      enforcement."
  500.  
  501. Liberal interpretation of law, expansion of policies intended for one
  502. type of crime (drugs) to other types of crime (e.g., computers), and
  503. the possibility that those who do the seizing have the most to gain by
  504. incentives that reward more seizures, poses a threat to Constitutional
  505. protections against deprivation of property.  Given the erosion of
  506. First and Fourth Amendment protections in a variety of areas, the
  507. broader definitions of "criminal behavior" related to computer
  508. behavior, and the sweeping scope of equipment eligible for seizure in
  509. computer cases, expanding the profit motive for law enforcement
  510. agencies strikes us as a continuation of the danger trend of "Big
  511. Brotherism."
  512.  
  513. ********************************************************************
  514.                            >> END OF THIS FILE <<
  515. ***************************************************************************
  516.  
  517. ------------------------------
  518.  
  519. Date: June 30, 1991
  520. From: Moderators
  521. Subject: House Crime Bill (1400) and its Threat to Modemers
  522.  
  523. ********************************************************************
  524. ***  CuD #3.24: File 6 of 8: Threat of HR 1400 to Modemers       ***
  525. ********************************************************************
  526.  
  527. Why should modemers be concerned about the Bush "war on crime?"
  528. Proposed anti-crime legislation could, if passed, increase the risk
  529. of intrusion of government into the lives of law-abiding citizens.
  530. Among the provisions of HR 1400 (_The Comprehensive Violent Crime
  531. Control Act of 1991_) is a change in 18 USSC (sect) 2709 that expands
  532. the power of the FBI to intrude into the privacy of citizens. An
  533. article in _First Principles_ (June, 1991, p. 6) describes the
  534. proposed revision this way:
  535.  
  536.      "Sections 743 and 744 {of HR 1400} would grant the FBI
  537.      authority to obtain subscriber information on persons with
  538.      nonpublished telephone numbers, as well as credit records,
  539.      simply by certifying in writing to the telephone company
  540.      or credit bureau that such information is relevant to an
  541.      authorized foreign counterintelligence investigation. The
  542.      proposals would seriously erode current privacy protections
  543.      by giving the FBI authority to obtain these records without
  544.      a subpoena or court order and without notice to the
  545.      individuals that their records have been obtained by
  546.      the bureau."
  547.  
  548.     \/\/\/\/\/\/\/\/\/\/\/\/Current law\/\\/\/\/\/\/\/\/\/\/\/\/\
  549.  
  550.   CHAPTER 121.  STORED WIRE AND ELECTRONIC COMMUNICATIONS AND
  551.                   TRANSACTIONAL RECORDS ACCESS
  552.  
  553. s 2709.  Counterintelligence access to telephone toll and
  554. transactional records
  555.  
  556. (a) Duty to provide. A wire or electronic communication service
  557. provider shall comply with a request for subscriber information and
  558. toll billing records information, or electronic communication
  559. transactional records in its custody or possession made by the
  560. Director of the Federal Bureau of Investigation under subsection
  561. (b) of this section.
  562.  
  563. (b) Required certification. The Director of the Federal Bureau of
  564. Investigation (or an individual within the Federal Bureau of
  565. Investigation designated for this purpose by the Director) may
  566. request any such information and records if the Director (or the
  567. Director's designee) certifies in writing to the wire or electronic
  568. communication service provider to which the request is made that
  569.  
  570.    (1) the information sought is relevant to an authorized foreign
  571. counterintelligence investigation; and
  572.  
  573.    (2) there are specific and articulable facts giving reason to
  574. believe that the person or entity to whom the information sought
  575. pertains is a foreign power  or an agent of a foreign power as
  576. defined in section 101 of the Foreign Intelligence Surveillance Act
  577. of 1978 (50 U.S.C. 1801).
  578.  
  579. (c) Prohibition of certain disclosure. No wire or electronic
  580. communication service provider, or officer, employee, or agent
  581. thereof, shall disclose to any  person that the Federal Bureau of
  582. Investigation has sought or obtained access to information or
  583. records under this section.
  584.  
  585. (d) Dissemination by bureau. The Federal Bureau of Investigation
  586. may disseminate information and records obtained under this section
  587. only as provided in guidelines approved by the Attorney General for
  588. foreign intelligence collection  and foreign counterintelligence
  589. investigations conducted by the Federal Bureau of Investigation,
  590. and, with respect to dissemination to an agency of the United
  591. States, only if such information is clearly relevant to the
  592. authorized responsibilities of such agency.
  593.  
  594. (e) Requirement that certain Congressional bodies be informed. On
  595. a semiannual basis the Director of the Federal Bureau of
  596. Investigation shall fully inform the Permanent Select Committee on
  597. Intelligence of the House of Representatives and the Select
  598. Committee on Intelligence of the Senate concerning all requests
  599. made  under subsection (b) of this section.
  600.  
  601.  
  602. \/\/\/\/\/\/\/\/\/\/\/\proposed law\/\/\/\/\/\/\/\/\/\/\/\/\
  603.  
  604.  
  605. SEC. 743. COUNTERINTELLIGENCE ACCESS TO TELEPHONE RECORDS.
  606.  
  607.   Section 2709 of title 18 of the United States Code is amended by-
  608.  
  609.       (1) striking out subsections (b) and (c); and
  610.  
  611.       (2) inserting the following new subsections (b) and (c):
  612.  
  613.   "(b) REQUIRED CERTIFICATION.-The Director of the Federal Bureau of
  614.  
  615. Investigation (or an individual within the Federal Bureau of
  616.  
  617. Investigation designated for this purpose by the Director) may:
  618.  
  619.       "(1) request any such information and records if the Director (or
  620.  
  621.     the Director's designee) certifies in writing to the wire or
  622.  
  623.     electronic communication service provider to which the request is
  624.  
  625.     made that-
  626.  
  627.           "(A) the information sought is relevant to an authorized
  628.  
  629.         foreign counterintelligence investigation; and
  630.  
  631.           "(B) there are specific and articulable facts giving reason to
  632.  
  633.         believe that the person or entity about whom information is
  634.  
  635.         sought is a foreign power or an agent of a foreign power as
  636.  
  637.         defined in section 101 of the Foreign Intelligence Surveillance
  638.  
  639.         Act of 1978 (50 U.S.C. 1801);
  640.  
  641.       "(2) request subscriber information regarding a person or entity if
  642.  
  643.     the Director (or the Director's designee certifies in writing to the
  644.  
  645.     wire or electronic communications service provider to which the
  646.  
  647.     request is made that-
  648.  
  649.           "(A) the information sought is relevant to an authorized
  650.  
  651.         foreign counterintelligence investigation; and
  652.  
  653.           "(B) that information available to the FBI indicates there is
  654.  
  655.         reason to believe that communication facilities registered in the
  656.  
  657.         name of the person or entity have been used, through the services
  658.  
  659.         of such provider, in communication with a foreign power or an
  660.  
  661.         agent of a foreign power as defined in section 101 of the Foreign
  662.  
  663.         Intelligence Surveillance Act of 1978 (50 U.S.C. 1801).
  664.  
  665.   "(c) PENALTY FOR DISCLOSURE.-No wire or electronic communication
  666.  
  667. service provider, or officer, employee, or agent thereof, shall disclose
  668.  
  669. to any person that the Federal Bureau of Investigation has sought or
  670.  
  671. obtained access to information under this section. A knowing violation of
  672.  
  673. this section is punishable as a class A misdemeanor.".
  674.  
  675.             /\/\/\/\/\//\//\the end/\/\/\/\/\/\/\/\/\/\//\
  676.  
  677. David Cole (_The Nation_, May 6, 1991, "The Secret Tribunal", p. 581)
  678. describes aspects of the Crime Bill as a return to the seventeenth
  679. century Star Chamber.  We agree with his concern that the expanded
  680. interpretation of the word "terrorism" creates new categories of
  681. people vulnerable to investigation--not on the basis of what they have
  682. done--but rather on the basis of who they may have associated with.
  683. Although looking at a different, but related, provision of the Bill,
  684. Cole's warning is sound: The current crime Bill contains changes that
  685. expand the power of government to curtail fundamental rights.  In
  686. cloaking the rationale and the language in fears of terrorism,
  687. something most rationale people oppose, the Bill, if passed, reduces
  688. jeopardizes a broader number of law-abiding citizens to intrusion and
  689. potential harm by zealous law enforcement agents, and makes it a crime
  690. for other citizens to warn innocent folk of their vulnerability.
  691. Secret police tactics are not the way to create a safe society in
  692. a Constitutional democracy.
  693.  
  694. Questions about HR1400 can be directed to Ted Vandermede, staff attorney
  695. for the House Criminal Justice subcommittee, at (202) 225-0600.
  696.  
  697. ********************************************************************
  698.                            >> END OF THIS FILE <<
  699. ***************************************************************************
  700.  
  701. ------------------------------
  702.  
  703. Date: July 2, 1991
  704. From: Barbara E. McMullen and John F. McMullen (Newsbytes Reprint)
  705. Subject: Law Panel Recommends Computer Search Procedures
  706.  
  707. ********************************************************************
  708. ***  CuD #3.24: File 7 of 8: Law Panel and Search Procedures     ***
  709. ********************************************************************
  710.  
  711.  LAW PANEL RECOMMENDS COMPUTER SEARCH PROCEDURES
  712.  
  713.  WASHINGTON, D.C., U.S.A., 1991 JULY 2 (NB) -- A panel of lawyers and
  714.  civil libertarians, meeting at the Computer Professionals for Social
  715.  Responsibility (CPSR) Washington roundtable, "Civilizing Cyberspace",
  716.  have proposed procedures for police searches and seizures which they
  717.  feel will both allow adequate investigations and protect the
  718.  constitutional rights of the subject of the investigation.
  719.  
  720.  The panel, composed of Mike Godwin, staff counsel of Electronic
  721.  Frontier Foundation; Sharon Beckman attorney with  Silverglate &
  722.  Good; David Sobel of CPSR, Jane Macht, attorney with Catterton, Kemp
  723.  and Mason; and Anne Branscomb of Harvard University, based its
  724.  proposals on the assumption that a person, in his use of computer
  725.  equipment, has protection under both the Fourth Amendment and the
  726.  free speech and association provisions of the first amendment.
  727.  
  728.  The panel first addressed the requirements for a specific warrant
  729.  authorizing the search and recommended that the following guidelines
  730.  be observed:
  731.  
  732.  1. The warrant must contain facts establishing probable cause to
  733.  believe that evidence of a particular crime or crimes will be found
  734.  in the computers or disks sought to be searched.
  735.  
  736.  2. The warrant must describe with particularity both the data to be
  737.  seized and the place where it is to be found ("with particularity" is
  738.  underlined).
  739.  
  740.  3. The search warrant must be executed so as to minimize the
  741.  intrusion of privacy, speech and association.
  742.  
  743.  4. Officers may search for and seize only the data, software, and
  744.  equipment specified in the warrant.
  745.  
  746.  5. The search should be conducted on-site.
  747.  
  748.  6. Officers must employ available technology to minimize the
  749.  intrusive of data searches.
  750.  
  751.  The panel then recommended limitations on the ability of officials to
  752.  actually seize equipment by recommending that "Officers may not seize
  753.  hardware unless there is probable cause to believe that the computer
  754.  is used primarily as an instrumentality of a crime or is the fruit of
  755.  a crime; or the hardware is unique and required to read the data; or
  756.  examination of hardware is otherwise required." The panel further
  757.  recommended that, in the event hardware or an original and only copy
  758.  of data has been seized, an adversary post-seizure hearing be held
  759.  before a judge within 72 hours of the seizure.
  760.  
  761.  Panel member Sharon Beckman commented to Newsbytes on the
  762.  recommendations, saying "It is important that we move now to the
  763.  implementation of these guidelines. They may be implemented either by
  764.  the agencies themselves through self-regulation or through case law
  765.  or legislation. It would be a good thing for the agencies t o take
  766.  the initiative."
  767.  
  768.  The panels recommendations come at a time in which procedures used in
  769.  computer investigations have come under criticism from computer and
  770.  civil liberties groups. The seizure of equipment by the United Secret
  771.  Service from Steve Jackson Games has become the subject of litigation
  772.  while the holding of equipment belonging to New York hacker "Phiber
  773.  Optic" for more than a year before his indictment has prompted calls
  774.  from law enforcement personnel as well as civil liberties for better
  775.  procedures and technologies.
  776.  
  777. ********************************************************************
  778.                            >> END OF THIS FILE <<
  779. ***************************************************************************
  780.  
  781. ------------------------------
  782.  
  783. Date: July 3, 1991
  784. From: Various
  785. Subject: The CU in the News (data erasing; cellular fraud)
  786.  
  787. ********************************************************************
  788. ***  CuD #3.24: File 8 of 8: The CU in the News                  ***
  789. ********************************************************************
  790.  
  791. From: <garbled>
  792. Subject: Ex-employee Attacks Data-base
  793. Date: Thu, 27 Jun 91 17:19:23 CDT
  794.  
  795. "Ex-Employee Guilty of Erasing Data"
  796. By Joseph Sjostrom
  797. CHICAGO TRIBUNE, June 27, 1991, Section 2, p. 2
  798.  
  799. A computer technician pleaded guilty Wednesday in Du Page County Court
  800. to erasing portions of his former employer's database last November in
  801. anger over the firing of his girlfriend.
  802.  
  803. Robert J. Stone, 30, of 505 W. Front St., Wheaton, entered the plea on
  804. a charge of computer fraud to Associate Judge Ronald Mehling.  In
  805. exchange for the guilty plea, prosecutors dismissed a burglary charge.
  806. Mehling scheduled sentencing for Aug. 8.
  807.  
  808. Defense lawyer Craig Randall said after the hearing that Stone still
  809. has a 30-day appeal period during which he can seek to withdraw the
  810. guilty plea.
  811.  
  812. "I don't think he erased anything as alleged, and I don't think the
  813. {prosecution} would be able to prove that he did," Randall said.
  814.  
  815. Stone was indicted last January for one count of burglary and one
  816. count of computer fraud for entering the office of his former
  817. employer, RJN Environmental, 202 W. Front St., Wheaton, and deleting
  818. eight programs from the company computer.
  819.  
  820. Assistant Du Page County State's Atty. David Bayer, who prosecuted the
  821. case along with Assistant State's Atty. Brian Ruxton, said the progams
  822. were part of a company project for the state of Florida in which RJN
  823. was, in effect, redrawing maps in digital form and storing them in a
  824. computer.
  825.  
  826. Bayer said Stone had left the company the previous April and that his
  827. girlfriend, who was not identified, worked there too but was fired in
  828. November.
  829.  
  830. Bayer said Stone entered the firm's office last Nov. 24, a Saturday
  831. when nobody else was there.
  832.  
  833. Employees who came to work on Sunday discovered that data had been
  834. erased and a quantity of data storage disks were missing.
  835.  
  836. Bayer said the disks contained several months' worth of work, but were
  837. recovered. It took about a week to restore the rest of the missing
  838. computer information, Bayer said.
  839.  
  840. Bayer said Wheaton police Detective Kenneth Watt interviewed Stone the
  841. following Monday, and said Stone admitted to erasing data and taking
  842. the disks. Bayer said Stone told the detective where to find the disks,
  843. which he had left under a stairwell at RJN.
  844.  
  845. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  846.  
  847. Date: Tue, Jul 2, 1991 (22:30)
  848. From: Barbara E. McMullen and John F. McMullen (Newsbytes Reprint)
  849. Subject: Arrests in "Multi-Million" Cellular Phone Fraud
  850.  
  851.  ****ARRESTS IN "MULTI-MILLION" CELLULAR PHONE FRAUD 07/01/91
  852.  
  853.  ALBANY, NEW YORK U.S.A., 1991 JUL 1 (NB) -- The New York State Attorney
  854.  General's office has announced the arrest and arraignment of four individuals
  855.  for allegedly illegally utilizing Metro One's cellular service for
  856.  calls totalling in excess of $1 million per month.
  857.  
  858.  According to the charges, the arrested individuals duplicated a Metro
  859.  One customer's electronic serial number (ESN) -- the serial number
  860.  that facilitates customer billing -- and installed the chip in a
  861.  number of cellular phones. Th defendants then allegedly installed the
  862.  phones in cars which they parked in a location near a Metro One cell
  863.  site in the Elmhurst section of Queens in New York City.
  864.  
  865.  From these cars, the defendants allegedly sold long distance service
  866.  to individuals, typically charging $10 for a 20 minute call. Metro
  867.  One told investigators that many of the calls were made to South
  868.  American locations an that its records indicate that more than $1
  869.  million worth of calls were made in this manner in May 1991.
  870.  
  871.  The arrests were made by a joint law enforcement force composed of
  872.  investigators from The New York State Police, New York City Police
  873.  Special Frauds Squad, United States Service, and New York State
  874.  Attorney General's office. The arrests were made after undercover
  875.  officers, posing as customers, made phone calls from the cellular
  876.  phones to out-of-state locations. The arrests were, according to a
  877.  release from the Attorney General's office, the culmination of an
  878.  investigation begun in September 1990 as the result of complaints
  879.  from Metro One.
  880.  
  881.  The defendants, Carlos Portilla, 29, of Woodside, NY; Wilson
  882.  Villfane, 33, of Jackson Heights, NY; Jaime Renjio-Alvarez, 29, of
  883.  Jackson Heights, NY and Carlos Cardona, 40, of Jackson Heights, NY,
  884.  were charged with computer tampering in the first degree and
  885.  falsifying business records in the first degree, both Class E
  886.  felonies,- and theft of services, a Class A misdemeanor.
  887.  Additionally, Portilla and Villfane were charged were possession of
  888.  burglar tools, also a Class A misdemeanor. At the arraignment,
  889.  Portilla and Renjio-Alvarez pleaded guilty to computer tampering and
  890.  the additional charges against those individuals were dropped.
  891.  
  892.  New York State Police Senior Investigator Donald Delaney, commenting
  893.  on the case to Newsbytes, said "This arrest is but the tip of the
  894.  iceberg. There is an on-going investigation in the area of cellular
  895.  phone fraud and we are looking for those that are organizing this
  896.  type of criminal activity."
  897.  
  898.  (Barbara E. McMullen & John F. McMullen/Press Contact: Edward
  899.  Barbini, NYS Department of Law, 518-473-5525/19910701)
  900.  
  901. ********************************************************************
  902.  
  903. ------------------------------
  904.  
  905.                          **END OF CuD #3.24**
  906. ********************************************************************
  907.