home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / cud / cud325.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  38.3 KB  |  794 lines
  1. Computer Underground Digest--Sat Jul 13 01:10:10 CDT 1991 (Vol #3.25)
  2.  
  3.          Moderators: Jim Thomas and Gordon Meyer (TK0JUT2@NIU.BITNET)
  4.  
  5. Today's Contents:
  6.           Moderators' Corner
  7.           Spaf's Response to Bill Vajk
  8.           Comments to Bill Vajk's posting in CuD #3.22 (T. Klotzbach)
  9.           LOD Members for Comsec Computer Security (News Reprint)
  10.           Alcor Email (ECPA) Case Settled (Keith Henson)
  11.           NIST announces public-key digital signature standard (gnu)
  12.           Secret Service Pays Hacker Call (Reprint from Newsbytes)
  13.  
  14. Administratia:
  15.  
  16.            ARCHIVISTS: ROB KRAUSE, BOB KUSUMOTO, AND BRENDAN KEHOE
  17.  
  18. CuD is available via electronic mail at no cost. Printed copies are
  19. available by subscription.  Single copies are available for the costs
  20. of reproduction and mailing.
  21.  
  22. Issues of CuD can be found in the Usenet alt.society.cu-digest news
  23. group, on CompuServe in DL0 and DL4 of the IBMBBS SIG, DL1 of LAWSIG,
  24. and DL0 and DL12 of TELECOM, by FidoNet file request from 1:100/345,
  25. on Genie, on the PC-EXEC BBS at (414) 789-4210, and by anonymous ftp
  26. >from ftp.cs.widener.edu, chsun1.uchicago.edu, and
  27. dagon.acc.stolaf.edu.  To use the U. of Chicago email server, send
  28. mail with the subject "help" (without the quotes) to
  29. archive-server@chsun1.uchicago.edu.
  30.  
  31. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  32. information among computerists and to the presentation and debate of
  33. diverse views.  CuD material may  be reprinted as long as the source
  34. is cited.  Some authors do copyright their material, and they should
  35. be contacted for reprint permission.  It is assumed that non-personal
  36. mail to the moderators may be reprinted unless otherwise specified.
  37. Readers are encouraged to submit reasoned articles relating to the
  38. Computer Underground.  Articles are preferred to short responses.
  39. Please avoid quoting previous posts unless absolutely necessary.
  40.  
  41. DISCLAIMER: The views represented herein do not necessarily represent
  42.             the views of the moderators. Digest contributors assume all
  43.              responsibility for ensuring that articles submitted do not
  44.              violate copyright protections.
  45.  
  46. ----------------------------------------------------------------------
  47.  
  48. Date: July 13, 1991
  49. From: From the Moderators
  50. Subject: Moderators' Corner
  51.  
  52. We're experimenting with a new format to conform with RFC-1153 that we
  53. hope will allow CuD to explode in most mailers.  Thanks to John
  54. Stanley for his suggestions, and especially to an anonymous Texas
  55. sysop (whose initials are BI and can be reached at
  56. bei@dogface.austin.tx.us) for the patience to lead us by the hand in
  57. explaining the procedure. Please let us know if it works (or if it
  58. doesn't). If we can get it working properly, we will maintain both the
  59. original format for files and the new one for mailers. So pass back
  60. your suggestions and criticisms.
  61.  
  62. ------------------------------
  63.  
  64. Date: Tue, 09 Jul 91 15:05:10 EST
  65. From: Gene Spafford <spaf@CS.PURDUE.EDU>
  66. Subject: Response to Bill Vajk
  67.  
  68. In an earlier digest, Bill Vajk responded to one of my messages with
  69. lengthy commentary.
  70.  
  71. I agree with some of his points, disagree with others, and have no
  72. opinion about most.  Most deserve and/or need no comment.  However,
  73. there were a few of his statements (and his overall attitude) I feel I
  74. should respond to somewhat; I won't dignify the obvious personal
  75. insults with commentary, however.
  76.  
  77. He says: "I am concerned that Spafford's comments can be read to be
  78. forgiving and conciliatory in nature where it regards errors made by
  79. professional law enforcement."  He then goes on to criticize the case
  80. in California described in CUD 3.15.  That juxtaposition was unfair,
  81. and implied that I was in some way trying to excuse the actions of
  82. Office Nemeth & company -- and that is most definitely not the case.
  83. >From what I have heard of that incident, the law enforcement personnel
  84. acted like idiots.
  85.  
  86. As to being conciliatory and forgiving, I do not believe law
  87. enforcement personnel are basically evil or out to deprive us of our
  88. rights; I believe most law enforcement personnel are poorly educated
  89. in the area and overworked.  I wish to improve that understanding, not
  90. seek to portray law enforcement personnel as "the enemy."  I don't
  91. approve of or agree with some of their actions, but neither do I feel
  92. it inappropriate to try to see things from their point of view.
  93.  
  94.  
  95. Later, he says:
  96. >Yes, Gene. In article 5462@accuvax.nwu.edu you misspoke [sic] and assisted
  97. >in proliferation of such incorrect reports :
  98. >
  99. > "The information I have available from various sources
  100. >  indicates that the investigation is continuing, others
  101. >  are likely to be charged, and there MAY be some national
  102. >  security aspects to parts of the discussion that have
  103. >  yet to be disclosed."
  104. >
  105. >Need I voice the obvious and ask how any "responsible" individual should
  106. >handle errors they have made? Need I voice the obvious and ask a simple
  107. >question.  What has Gene Spafford done to correct errors he has made? Has
  108. >his behavior in these matters met the criteria for responsibility he demands
  109. >from others?
  110.  
  111. Mr. Vajk (and others) appears to misunderstand my usage of words.  My
  112. comment was not a misstatement.  I very carefully qualified it to
  113. indicate that it was based on information available to me, and that it
  114. was an indication, not a certainty.  The investigation did continue.
  115. At the time, it seemed likely to my sources that others would be
  116. charged.  And my use of the word MAY was to indicate that it was far
  117. >from certain.
  118.  
  119. I don't view this statement on this issue as erroneous, nor do I
  120. believe I have anything to apologize for when making it.  Had I said
  121. "The investigation shows these guys to be traitors and part of a
  122. larger group that will all be arrested and charged." -- that would be
  123. an incorrect statement and something I would need to retract.
  124. However, I didn't make that statement.  I also "demand(s)" nothing of
  125. others.   I admit errors when I make them.
  126.  
  127. Mr. Vajk then says a great deal about my statement that we should not
  128. believe that everyone charged with computer offenses is innocent.  He
  129. points out (correctly) that *in US law* people are innocent until
  130. proven guilty.  HOWEVER, that does not make them innocent of having
  131. committed an act.  If Joe Random were to shoot someone in front of a
  132. crowd of witnesses, he would be innocent under the law until a jury
  133. returned a verdict in a trial, but he would NOT be innocent of the
  134. act.  Would any witness to the crime, or anyone who spoke to a
  135. witness, then be equally condemned by Mr. Vajk for saying "Joe was not
  136. innocent of murder" before the conclusion of a trial?
  137.  
  138. My point remains that claiming innocence (in the non-law sense) for
  139. all individuals accused of computer-related crimes is obviously
  140. incorrect and counter-productive.  It may be technically correct to
  141. point out that a court has not convicted them yet, but that does not
  142. mean we should trumpet their innocence.  Furthermore, implying that
  143. law enforcement personnel are all pursuing power-trips and vendettas
  144. against computer users is paranoid.  The law is important, and I
  145. respect it, but I do not need a jury to verify that the sun rose this
  146. morning.  Most people are able to distinguish between convicted and
  147. guily; when too many people believe that the guilty are not being
  148. convicted, repressive measures may get instituted.  If we intend to
  149. fight for appropriate application of the laws to computing, we need to
  150. keep this distinction in mind.
  151.  
  152. Following more insulting comments, Mr. Vajk then makes some mistaken
  153. comments on copyright and trade secret (proprietary) rights.  Some of
  154. these errors have been addressed already in a previous CUD: copyright
  155. and trade secret rights may both be expressed on a document.
  156.  
  157. One thing that was not mentioned in the previous comments on copyright
  158. is that there is, indeed, a Federal statute governing copyright
  159. infringement. 2319 USC 18 provides for criminal penalties when a
  160. copyright is infringed.  The copyright must be formally registered and
  161. deposited with the Superintendent of Documents for this to take
  162. effect, however, and the infringement must be willful.  I have heard
  163. directly from Federal attorneys that this law can be used (and has
  164. been used) against people copying source code or documentation (or
  165. chip masks) they do not own.  Copyright is not always strictly a civil
  166. issue.
  167.  
  168. Mr. Vajk then makes extensive comments on how he thinks copyright
  169. should work, how source code should be valued, and how Federal law
  170. should be applied in cases of interstate traffic in copyrighted
  171. material.  This may or may not be of some interest to some readers,
  172. but it does nothing to change the fact that Len Rose was charged with,
  173. and plead guilty to, an offense based on his trafficking in
  174. proprietary source code.  His attacks on my statement (and me, to some
  175. extent) to that effect are directed at the wrong parties: he seems to
  176. disagree with the way the law is written and/or applied, and that is
  177. not my fault.
  178.  
  179. He is certainly correct, however, in his observation that the laws are
  180. not adequate for our current technology: this is historically the case
  181. with a great deal of technology, and certainly not restricted to
  182. telecommunications and computing.  I have never disputed this point,
  183. and have often propounded it.
  184.  
  185. Mr. Vajk continues by criticizing me for (in so many words) "making
  186. statements without knowing the full background."  Interestingly
  187. enough, he does this by assuming he knows what documentation and
  188. information I have accessed, and by assuming that he knows the one,
  189. full truth of the matter of Len Rose's actions and trial.
  190. Furthermore, he then goes on to imply things about AT&T, Tim Foley,
  191. the Illinois (?) prosecutor in the case, and potential witnesses to
  192. the case based on circumstantial evidence.  Am I the only one who
  193. finds such hypocrisy curious?
  194.  
  195. In the end, there is a fundamental difference of opinion between our
  196. views and our approaches.  Mr. Vajk chose to personally insult me with
  197. remarks in his commentary rather than address that difference.  For
  198. instance, he states: "There has been movement by all branches at the
  199. federal level of law enforcement to assume guilt before investigation
  200. and to trample rights freely utilizing the immunity originally granted
  201. in order to protect officers making honest mistakes as a standard
  202. operating procedure instead of an exceptional circumstance."  I
  203. believe there have been some misguided and ill-informed investigations
  204. and prosecutions; I do not believe it an organized movement as does
  205. (presumably) Mr. Vajk.
  206.  
  207. I still believe that the common person is not going to find the story
  208. of Robert Morris or Len Rose to be particularly indicative of threats
  209. to their freedoms.  Certainly some of the things done to Len were
  210. inappropriate (the search, for instance).  However, the over-broad
  211. search does not negate his guilty plea to a criminal act.  Although we
  212. wish to guarantee the same Constitutional rights to everyone, we
  213. should be somewhat cautious about the examples we pick to hold as
  214. standards, and I do not believe Len is a particular good standard for
  215. us to raise.
  216.  
  217. I also believe that rude behavior and insults directed towards people
  218. with different opinions than one's own is counterproductive to having
  219. one's own views respected and listened to with attentiveness.  Appeals
  220. to reason are more likely to sway people to one's views.  That was the
  221. central thesis of my original comments, and still is.
  222.  
  223. For us to secure a reasonable set of rights for all computer users, we
  224. must realize that the issue is complex and has many different
  225. perspectives, the legal community is not well-equipped to deal with
  226. the issues based on prior experience, and that not everyone on the
  227. electronic frontier is heroic in stature.  Most of us are still
  228. learning as the situation changes. (My views on many things have
  229. changed in the last few years, thankfully, and continues to evolve as
  230. I learn more; we shouldn't criticize someone for developing new
  231. attitudes with experience.).
  232.  
  233. Sometimes we will make mistakes as we go along, but some mistakes we
  234. can avoid if we think about them first.  One common mistake in such
  235. highly-charged issues is attributing to malice what may be caused by
  236. ignorance.  Another is being abusive to others for having a different
  237. set of views; one cannot champion the legal right to free speech
  238. without also embracing the responsibility to respect others who choose
  239. to exercise that right -- disagreement with views should not become
  240. contempt for the people who (appear to) espouse them.
  241.  
  242. ------------------------------
  243.  
  244. Date: Fri, 5 Jul 91 13:10 GMT
  245. From: "Thomas J. Klotzbach" <0003751365@MCIMAIL.COM>
  246. Subject: Comments to Bill Vajk's posting in CuD #3.22
  247.  
  248. I am posting to the CuD to address factual and other errors that Bill
  249. Vajk made in his original posting to CuD #3.22.  I had hoped to avoid
  250. this course of action, but feel it necessary due to the puzzling
  251. actions of Mr Vajk.
  252.  
  253. I originally replied directly to Mr. Vajk with my concerns about his
  254. posting.  He replied back to send him specific information or "retire
  255. >from the conversation".  I sent back the information he requested and
  256. Mr. Vajk never responded.  I also sent two follow-up letters with
  257. again, no response.  I came to the conclusion that Mr. Vajk was going
  258. to make no attempt in the foreseeable future to address the errors in
  259. his original posting to the CuD, so now I present them to the
  260. readership.  My attempt is not to "bash" Mr. Vajk, but to hopefully
  261. correct some of the disinformation that Mr. Vajk has posted to the
  262. CuD.
  263.  
  264.    Bill writes:
  265.  
  266.    >If this is the case, then possession is not illegal, because
  267.    >the text is protected by commercial exploitation by the
  268.    copyright >laws and Len should have not been charged with
  269.    criminal. Copyright is a >matter for civil suit...
  270.  
  271.    This is misleading, as it implies that copyright infringement may
  272. not be remedied in criminal court.  There are also provisions for
  273. criminal proceedings if a person willfully infringes a copyright for
  274. among other things, private financial gain (17 USC 506 et seq.; 18 USC
  275. 2319).  This half-truth (copyright law only allows remedy in civil
  276. court) seems to be circulating about the net with great frequency.  A
  277. knowledgeable netter wrote to me and stated that the reason that the
  278. government does not pursue more cases with the aforementioned statute
  279. is that the criminal penalties are not as large as the interstate
  280. transportation of stolen property and wire fraud statutes provide for
  281. violators.
  282.  
  283.    Bill goes on:
  284.  
  285.    >...It seems that AT&T source code (according to one of the Foley
  286.    >affidavits) bears legends which claim both proprietary rights and a
  287.    >copyright.  You stipulate proprietary.  The dual labeling of the
  288.    >original software should do a lot to remove it from consideration as
  289.    >truly proprietary information.  The laws regarding copyrights require
  290.    >that all copyright material is subject to deposit at the Library of
  291.    >Congress, where any citizen has a right to read and review.
  292.  
  293.    The ownership of copyright is distinct from the ownership of
  294. the object in which the work is embodied (17 USC 101 et seq.; 17 USC
  295. 202).  You imply that the dual labeling of the source code suggests
  296. that the work is not truly proprietary information, by stating that
  297. "the dual labeling of the original software should do a lot to remove
  298. it from consideration as truly proprietary information".  Rubbish.
  299. AT&T is within their rights to do what they did.  The notice of
  300. copyright MAY be placed on publicly distributed copies of a work (17
  301. USC 401).  Labeling a work as copyrighted does not imply a forfeiture
  302. of any proprietary rights (17 USC 202 et seq.; 17 USC 401, also please
  303. see Douglas v. Taylor, Tex.Civ.App. 497 S.W. 2d 308, 310 and Green v.
  304. Lewis, 221 Va.  547, 272 S.E. 2d 181, 185).  In effect, proprietary
  305. declares that you are the owner of the work.  You may also copyright
  306. the work as well.  And what does the bit about "copyright material is
  307. subject to deposit and any citizen has the right to review" about?
  308. Are you implying that somehow Len Rose was within his rights to copy
  309. the source code in an attempt to review it?  If you are, you are
  310. incorrect.  Copyright law is fairly specific on the limitation of
  311. exclusive rights as they pertain to computer programs (it is the
  312. section that software makers refer to when they allow the owner of a
  313. copy of software to make backup copies - 17 USC 117).
  314.  
  315.    Bill also writes:
  316.  
  317.    >Twice now, regarding the resultants of the E-911 case you've been long
  318.    >on assumptions, short on proof.  Twice now, regarding the resultants of
  319.    >the E-911 case you've been long on promises, short on results.  Given
  320.    >this history, I ask, would a "responsible" man now seek truth and
  321.    >publish it, or retire from this discussion.
  322.  
  323.    But Bill then states:
  324.  
  325.    >Thus far, it seems most computer laws have been written at the behest
  326.    >of special interests instead of the public interest.  The laws already
  327.    >inflict restrictions contrary to generally understood and accepted
  328.    >constitutional provisions.
  329.  
  330. Well, Bill, would you please provide some "proof" for the
  331. readership on the aforementioned statement?  YOU imply much while
  332. proving little.
  333.  
  334. There are other errors in Mr Vajk's article to the CuD and I am
  335. still in the process of researching them.  Again, I am not attempting
  336. to split hairs, but Mr. Vajk has a responsibility to not put "spin" on
  337. what the laws/statues/etc mean, a spin that distorts the facts at hand
  338. and does a disservice to you and I, the readers of the CuD.
  339.  
  340. In closing:
  341.  
  342.    Bill Vajk writes:
  343.  
  344.    >...What has Gene Spafford done to correct errors he has made?  Has his
  345.    >behavior in these matters met the criteria for responsibility he demands
  346.    >from others?
  347.  
  348. I ask the same question of Bill Vajk.  What has he done to correct
  349. the errors he has made in his posting to the CuD #3.22?
  350.  
  351. ------------------------------
  352.  
  353. Date:     Fri,  5 Jul 1991 13:52 CDT
  354. From:     "ROBERT G. HEARN" <9999AH02@UHDBIT.BITNET>
  355. Subject: LOD Members for Comsec COmputer Security (News Reprint)
  356.  
  357. Reprint from Sunday, June 23, 1991 Houston Chronicle (1A, 15A)
  358. By Joe Abernathy
  359.  
  360.            FORMER HACKERS OFFER SERVICES IN COMPUTER SECURITY
  361.  
  362. The most notorious force of computer hacking's heyday is asking
  363. forgiveness and joining the forces of good.
  364.  
  365. The storied Legion of Doom, nemesis to the Secret Service, is forming
  366. a computer security consulting firm in Houston.
  367.  
  368. Drawing members from around the nation and its name from comic book
  369. villains, the youthful hackers' group dominated the underground
  370. electronic landscape of the middle and late 1980s. Finally, a
  371. controversial penetration of phone company computers landed several
  372. members in jail.  According to documents, activities of the Legion of
  373. Doom were a primary motivation for Operation Sun Devil, a nationwide
  374. crackdown on computer crime coordinated by the U.S. Secret Service.
  375.  
  376. But remaining members in Austin and Houston, who disavowed any
  377. connection with the phone company incident, now say they are on the
  378. right side of the law and are offering their expertise on computer
  379. security.
  380.  
  381. "People need us. We're the best," said Scott Chasin, known in his
  382. hacking days by the computer handle Doc Holliday. "Ten years from now
  383. we'll be the leaders in data security."
  384.  
  385. Computer security is a burgeoning field, but one that is almost
  386. impossible to define in terms of dollars lost to penetrations or
  387. dollars spent on security. Tales are plentiful among police of losses
  388. in the six-figure range that went unprosecuted in order to spare the
  389. affected firms embarrassment.  Estimates of the yearly loss to
  390. industry from computer break-ins range from $500 million to more than
  391. $2 billion -- much of it lost to long-distance phone service theft or
  392. credit card fraud.
  393.  
  394. Some industry observers welcomed the creation of Comsec Computer
  395. Security, as the new company will be known, while others derided it as
  396. a new twist on a familiar theme.
  397.  
  398. "There's lots of precedent for that," said Richard A. Schaffer of New
  399. York, editor of the industry publication ComputerLetter. "Crooks of
  400. all types try to hire themselves out after the fact."
  401.  
  402. "So these guys are purporting to tell you how to protect against folks
  403. like them," he mused. "It strikes me that people should refuse to hire
  404. them just on principle...although from what I've seen they're
  405. qualified."
  406.  
  407. But Linda Laskey of the Computer Security Institute in San Francisco
  408. said she believes the firm will provide a valuable service.
  409. "They know what they're doing as far as  doing as far as security
  410. systems go," she said.
  411.  
  412. Laskey said the Computer Security Institute, a worldwide organization
  413. of computer security professionals from business and government will
  414. be among the first clients of Comsec.
  415.  
  416. The value of computer security is pitched now by those associated with
  417. particular security products. Accounting firms also provide security
  418. consulting.
  419.  
  420. By contrast, Comsec is banking on its past association with the
  421. Legion, which gained a high profile from run-ins with the Secret
  422. Service and BellSouth, one of the regional phone companies.
  423.  
  424. Robert J. Riggs, Franklin E. Dardin Jr. and Adam E. Grant were
  425. sentenced on Nov. 16, 1990, in federal court in Atlanta for  breaking
  426. into the computers of BellSouth and stealing a document on the
  427. administration of the emergency 911 system.
  428.  
  429. Hacking grew up around the Legion, which wasn't content merely to
  430. penetrate computer systems and networks. The deed wasn't finished
  431. until the intimate details of each  system were written up and
  432. electronically published.
  433.  
  434. Legion followers became associated with tutorials on obscure subjects,
  435. such things as how to make nitroglycerin and drugs, and with
  436. electronic documents on "social engineering," the fine art of the
  437. scam.
  438.  
  439. Born in the swirling computer underground of the 1980s and named after
  440. the minions of Superman archrival Lex Luthor, the Legion's
  441. "educational services" ultimately helped reshape the online community
  442. and gave the group a stature beyond its nominal activities.
  443.  
  444. But the best summary may have been written by Comsec principal Chris
  445. Goggans, the historian of the Legion and only member associated with
  446. it from its official founding in 1984 until it was disbanded late last
  447. year.
  448.  
  449. "The Legion of Doom has been called everything from 'Organized Crime'
  450. to 'a communist threat to national security' to 'an international
  451. conspiracy of computer terrorists bent on destroying the nation's 911
  452. service,'" he wrote under his pseudonym, Eric Bloodaxe. "Nothing comes
  453. closer to the actual truth than 'bored adolescents with too much spare
  454. time.'"
  455.  
  456. Now Sun Devil has put an end to hacking's innocence and perception of
  457. among computer enthusiasts that it is a noble pursuit.
  458.  
  459. As for the Legion members, a few got busted, a few got bored, and the
  460. rest are pondering a direction for their lives as young adults.
  461.  
  462. "I didn't want to be 30 years old and still breaking into systems,"
  463. said Chasin, who is 21. "I want to be securing systems."
  464.  
  465. Chasin and Goggans, 22, will be joined in the firm by Ken Shulman, 21,
  466. the son of Houston socialite Carolyn Farb, who is providing discounted
  467. office space and other assistance.
  468.  
  469. Comsec will be managed by Robert Cupps, 24, a graduate of Emory
  470. University and former securities trader.  Chasin and Goggans are
  471. pursuing degrees at the University of Houston.
  472.  
  473. "From a marketing standpoint, we've got a real strong presentation,"
  474. said Cupps, a Baytown native who does not consider himself a computer
  475. expert. "What we will do is a brief demonstration. When you can walk
  476. into someone's office and get root (administrative privileges) on
  477. their system, that says something in itself, that maybe you're the
  478. person they should be talking to about securing their systems."
  479.  
  480. The only member of Comsec who has faced criminal charges is Shulman,
  481. known vicariously on computer networks as Malefactor, The Mentor, and
  482. Jack the Ripper. He pleaded no contest in 1989 to misdemeanor charges
  483. of credit card fraud, paid nearly $20,000 in restitution and was put
  484. on a year's deferred adjudication -- meaning he emerged from probation
  485. without a final conviction on his record.
  486.  
  487. "It was telephones, long distance calls," he said. "I quit everything
  488. after that, and that was years ago."
  489.  
  490. Goggans has also had a run-in with the law, however. His Austin home
  491. was raided on March 1, 1990, because he allegedly possessed the 911
  492. document.  No charges have been filed.
  493.  
  494. Originally held forth as a life-threatening penetration of the 911
  495. system, the document theft is now viewed by computer enthusiasts and
  496. others as having been considerably overblown.
  497.  
  498. "The fact of the matter is that there was no damage to the system,"
  499. acknowledged Scott Ticer, operations manager for BellSouth and
  500. spokesman for the security team that lead the investigation. "But the
  501. potential for damage was there."
  502.  
  503. "You just can't have people playing around in your network -- it's not
  504. some high-tech toyland. This is the telecommunications system."
  505.  
  506. Would BellSouth hire the former hackers whose associates caused it so
  507. much grief -- proving their expertise along the way?
  508.  
  509. "We don't use hackers as consultants, period," Ticer said. "Thanks but
  510. no thanks."
  511.  
  512. ------------------------------
  513.  
  514.  
  515. ------------------------------
  516.  
  517. Date: 5 Jul 91 07:10:45 GMT
  518. From: hkhenson@cup.portal.com
  519. Subject: Alcor Email (ECPA) Case Settled
  520.  
  521. The long running Alcor/email case against the County and City of
  522. Riverside, CA was settled out of court in April of this year.  The
  523. announcement was delayed until all parties had signed off, and the
  524. check (for $30k) had cleared the bank :-).
  525.  
  526. The Alcor Life Extension Foundation (a non-profit cryonics
  527. organization -- alcor@cup.portal.com) ran a BBS for members and
  528. prospective members from early 1987 through January 12, 1988.  On that
  529. day, the BBS computer was removed under a warrant to take the computer
  530. (but no mention of any contained email) in connection with the
  531. investigation into the death of 83-year-old Dora Kent.  (Mrs.  Kent
  532. was placed into cryonic suspension by Alcor in December of 1987.
  533. During and following the investigation, Alcor staff members were
  534. publicly accused by county officials of murder, theft, and building
  535. code violations.  No charges were ever filed and the investigation was
  536. officially closed three years later.)
  537.  
  538. In December, 1988 Keith Henson filed a civil suit to force an
  539. investigation of the apparent violations of the Electronic
  540. Communication Privacy Act by the FBI, but the case was dismissed by
  541. the now convicted Judge Aguilar.
  542.  
  543. In early 1990, just before the statute of limitations ran out, Henson
  544. and 14 others (of the roughly 50 people who had email on the system)
  545. filed a civil action against a number of officials and the County and
  546. City of Riverside, CA under Section 2707 of the Electronic
  547. Communication Privacy Act.
  548.  
  549. Some time after the case was filed, the Electronic Frontier Foundation
  550. came into existence in response to law enforcement abuses involving a
  551. wide spectrum of the online community.  EFF considered this case an
  552. important one, and helped the plaintiffs in the case by locating pro
  553. bono legal help.  While the case was being transferred, the County and
  554. City offered a settlement which was close to the maximum damages which
  555. could have been obtained at trial.  Although no precedent was set
  556. because the case did not go to trial, considerable legal research has
  557. been done, and one judgment issued in response to the Defendants'
  558. Motion to Dismiss.  The legal filings and the responses they generated
  559. >from the law firm representing the County/City and officials are
  560. available by email from mnemonic@eff.org or (with delay) from
  561. hkhenson@cup.portal.com.  (They are also posted on Portal.)
  562.  
  563. The Plaintiffs were represented by Christopher Ashworth of Garfield,
  564. Tepper, Ashworth and Epstein in Los Angeles (408-277-1981).  A summary
  565. of the settlement agreement is attached.
  566.  
  567.  
  568. SETTLEMENT AGREEMENT
  569.  
  570.    This agreement is made and entered into in Riverside, California,
  571. this _____ day of ______ by and between [long list of defendants and
  572. plaintiffs]
  573.  
  574. I.
  575.  
  576. FACTUAL RECITALS
  577.  
  578.    1.  This Agreement is executed with reference to the following
  579. facts for purpose of this Agreement only.
  580.  
  581.    2.  On January 12, 1998, some of the Defendants, pursuant to a
  582. search warrant, entered into the premises of Alcor Life Extension
  583. Foundation in Riverside, California.
  584.  
  585.    3.  Upon entry into the property, some of the Defendants seized
  586. various items, including electronic media containing E-mail owned by
  587. the plaintiffs.
  588.  
  589.    4.  On or about January 11, 1990, plaintiffs commenced civil action
  590. No.  SAC 90-021js in the United States District Court, Santa Ana ("the
  591. Action"), against the defendants for injuries and damages allegedly
  592. suffered as a result of the defendants' seizure of plaintiff's E-mail.
  593.  
  594.    5   It is now the desire and intention of plaintiffs, on the one
  595. part, and defendants on the other part, to settle, compromise, and
  596. resolve all the differences, disagreements, and disputes, which exist
  597. and may exist, including those which are the subject matter of,
  598. referred to, related to, or mentioned in the Action.  Pursuant to this
  599. desire, and in consideration of the mutual promises contained herein,
  600. the parties agree as follows.
  601.  
  602. II  CONSIDERATION
  603.  
  604.    6.  Upon the execution of this Agreement, defendants County of
  605. Riverside shall pay to plaintiffs, by check, the total sum of Thirty
  606. Thousand Dollars ($30,000), inclusive of attorney fees and cost.
  607.  
  608. ------------------------------
  609.  
  610. Date: Thu, 27 Jun 91 11:39:59 -0700
  611. From: gnu@TOAD.COM
  612. Subject: NIST announces public-key digital signature standard
  613.  
  614.     Statement of Raymond G. Kammer, Deputy Director
  615.     National Institute of Standards and Technology
  616.     Before the Subcommittee on Technology and Competitiveness
  617.     of the Committee on Science, Space, and Technology
  618.     On Computer Security Implementation
  619.     House of Representatives
  620.     June 27, 1991
  621.  
  622. Digital Signature Standard
  623.  
  624. I know that you are interested in our progress in developing a federal
  625. digital signature standard based upon the principles of public-key
  626. cryptography.  I am pleased to tell you that we are working out the
  627. final arrangements on the planned standard, and hope to announce later
  628. this summer our selection of a digital signature standard based on a
  629. variant of the ElGamal signature technique.
  630.  
  631. Our efforts in this area have been slow, difficult, and complex.  We
  632. evaluated a number of alternative digital signature techniques, and
  633. considered a variety of factors in this review: the level of security
  634. provided, the ease of implementation in both hardware and software,
  635. the ease of export from the U.S., the applicability of patents and the
  636. level of efficiency in both the signature and verification functions
  637. that the technique performs.
  638.  
  639. In selecting digital signature technique method [sic], we followed the
  640. mandate contained in section 2 of the Computer Security Act of 1987 to
  641. develop standards and guidelines that ". . . assure the cost-effective
  642. security and privacy of sensitive information in Federal systems."  We
  643. placed primary emphasis on selecting the technology that best assures
  644. the appropriate security of Federal information.  We were also
  645. concerned with selecting the technique with the most desirable
  646. operating and use characteristics.
  647.  
  648. In terms of operating characteristics, the digital signature technique
  649. provides for a less computational-intensive signing function than
  650. verification function.  This matches up well with anticipated Federal
  651. uses of the standard.  The signing function is expected to be
  652. performed in a relatively computationally modest environment such as
  653. with smart cards.  The verification process, however, is expected to
  654. be implemented in a computationally rich environment such as on
  655. mainframe systems or super-minicomputers.
  656.  
  657. With respect to use characteristics, the digital signature technique
  658. is expected to be available on a royalty-free basis in the public
  659. interest world-wide.  This should result in broader use by both
  660. government and the private sector, and bring economic benefits to both
  661. sectors.
  662.  
  663. A few details related to the selection of this technique remain to be
  664. worked out.  The government is applying to the U.S. Patent Office for
  665. a patent, and will also seek foreign protection as appropriate.  As I
  666. stated, we intend to make the technique available world-wide on a
  667. royalty-free basis in the public interest.
  668.  
  669. A hashing function has not been specified by NIST for use with the
  670. digital signature standard.  NIST has been reviewing various candidate
  671. hashing functions; however, we are not satisfied with any of the
  672. functions we have studied thus far.  We will provide a hashing
  673. function that is complementary to the standard.
  674.  
  675. I want to speak to two issues that have been raised in the public
  676. debate over digital signature techniques.  One is the allegation that
  677. a "trap door", a method for the surreptitious defeat of the security
  678. of this system, has been built into the technique that we are
  679. selecting.  I state categorically that no trap door has been designed
  680. into this standard nor does the U.S. Government know of any which is
  681. inherent in the ElGamal signature method that is the foundation of our
  682. technique.
  683.  
  684. Another issue raised is the lack of public key exchange capabilities.
  685. I believe that, to avoid capricious activity, Public Key Exchange
  686. under control of a certifying authority is required for government
  687. applications.  The details of such a process will be developed for
  688. government/industry use.
  689.  
  690. NIST/NSA Technical Working Group
  691.  
  692. Aspects of digital signature standard were discussed by the NIST/NSA
  693. Technical Working Group, established under the NIST/NSA Memorandum of
  694. Understanding. The Working Group also discussed issues involving the
  695. applicability of the digital signature algorithm to the classified
  696. community, cryptographic key management techniques, and the hashing
  697. function to be used in conjunction with the digital signature
  698. standard.  Progress on these items has taken place; however, as with
  699. the digital signature standard, non-technical issues such as patents
  700. and exportability require examination, and this can be a lengthy
  701. process.  We have found that working with NSA is productive.  The
  702. Technical Working Group provides an essential mechanism by which NIST
  703. and NSA can conduct the technical discussions and exchange
  704. contemplated by the Computer Security Act and also allows us to
  705. address important issues drawing upon NSA's expertise.
  706.  
  707. ------------------------------
  708.  
  709. Date: July 8, 1991
  710. From: Barbara E. McMullen & John F. McMullen
  711. Subject: Secret Service Pays Hacker Call (Reprint from Newsbytes)
  712.  
  713.  SECRET SERVICE PAYS HACKER CALL 07/08/91
  714.  
  715.  NEW YORK, NEW YORK U.S.A., 1991 JULY 8 (NB) -- According to a
  716.  Pennsylvania teenage "hacker" known as "Wing", agents of the United
  717.  States Secret Service visited his home and that of some friends
  718.  asking questions about rumors they had allegedly received about the
  719.  planting of "July 4th logic bombs".
  720.  
  721.  Wing told Newsbytes that the agents arrived at his home and requested
  722.  to talk to him about "rumors that he had planted logic bombs or
  723.  viruses to go off on the 4th of July." Wing said that, on the advise
  724.  of his father, he refused to discuss the matter with the agents, "The
  725.  last time that the Secret Service was here my father told them not to
  726.  come back again without a warrant so, when they did, I didn't talk to
  727.  them. The whole thing is ridiculous anyhow. There was obviously no
  728.  July 4th bombs and I certainly didn't plant any."
  729.  
  730.  Wing also said that agents visited friends of his and "made one who
  731.  is new to computers feel that he was doing something wrong by trying
  732.  to log onto bulletin boards."
  733.  
  734.  A Secret Service official, speaking to Newsbytes, confirmed that
  735.  agents had attempted to interview Wing in relation to rumors of a
  736.  July 4th attack on computer systems. The official also said that,
  737.  because of Wing's juneville status, his parents have the right to
  738.  deny the agents' request for an interview. The agent further said
  739.  that, to his knowledge, there were no cases of computer attack on the
  740.  4th of July.
  741.  
  742.  Other law enforcement officials had told Newsbytes, previous to the
  743.  July 4th holiday, that they had received rumors of such a planned
  744.  attack but that they had little substantive material upon which to
  745.  base an investigation. There have also been recent reports to
  746.  Newsbytes from sysops of university and foundation computer systems
  747.  in the Boston, MA area of attempted unauthorized access by an
  748.  individual purporting to be Wing.
  749.  
  750. ------------------------------
  751.  
  752. Date: Tue, 09 Jul 91 05:56:11 CDT
  753. From: Anonymous
  754. Subject: Calling the kettle black
  755.  
  756. In an article in comp.org.eff.talk, David Turrell wrote,
  757.  
  758. >  Anyone caught using illegal copies of 1-2-3 who keeps on doing it
  759. >  after being asked not to and at the same time expresses "utter
  760. >  contempt" for Lotus' right should be made to wash lots and lots of
  761. >  cars, and wax those that need it.
  762.  
  763. You'd be surprised who would have to come clean.  There's a very big
  764. company that has provided technical opinions, albeit with a few
  765. decimal places added, to Federal officials.  Would those Federal
  766. officials turn on such a technical resource and accuse it of software
  767. piracy?  Would they take the word of an ex-employee that the very big
  768. company kept megabytes of pirated software on company computers?  That
  769. managers within the company knew of those computers and used that
  770. unlicensed software in furtherance of the company's business?  Would
  771. it matter that a now-dead division of that very big company kept
  772. archives of pilfered copies of (among other titles) Harvard Project
  773. Manager, Microsoft Word, Procomm Plus, Lotus 1-2-3, and Word Perfect
  774. for company use?  Within twenty feet of an ADAPSO/SPA anti-piracy
  775. poster?  If there's one law enforcement official who wouldn't hesitate
  776. to ask some hard questions of this very big company, I'd hope that
  777. they'd come out of the electronic shadows in this forum, and declare
  778. in front of all of us that Justice is for the Big as well as the
  779. Small.
  780.  
  781. Sign me,
  782. A Belated Whistle Blower
  783.  
  784. P.S. Bothered by my anonymity?  I am, too.  Truth is, I think that the
  785. LE people who I'd hope to hear from will try and kick MY butt before
  786. they'll go after the employer of so many "expert witnesses".  Wait and
  787. see.
  788.  
  789.  
  790. ------------------------------
  791.  
  792. End of Computer Underground Digest #3.25
  793. ************************************
  794.