home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / cud / cud422.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  48.5 KB  |  878 lines
  1. Computer underground Digest    Sun May 17, 1992   Volume 4 : Issue 22
  2.  
  3.        Editors: Jim Thomas and Gordon Meyer (TK0JUT2@NIU.BITNET)
  4.        Associate Editor: Etaion Shrdlu, Jr.
  5.        Arcmeisters: Brendan Kehoe and Bob Kusumoto
  6.  
  7. CONTENTS, #4.22 (May 17, 1992)
  8. File 1--Some Corrections to '90 Bust Story in CuD 4.21
  9. File 2--The Defense of Entrapment (Reprint)
  10. File 3--COCOTS and the Salvation Army (Follow-up)
  11. File 4--Chaos Computer Club France's hackers bibliography
  12.  
  13. Issues of CuD can be found in the Usenet alt.society.cu-digest news
  14. group, on CompuServe in DL0 and DL4 of the IBMBBS SIG, DL1 of LAWSIG,
  15. and DL0 and DL12 of TELECOM, on Genie in the PF*NPC RT libraries, on
  16. the PC-EXEC BBS at (414) 789-4210, and by anonymous ftp from
  17. ftp.eff.org (192.88.144.4), chsun1.spc.uchicago.edu, and
  18. ftp.ee.mu.oz.au.  To use the U. of Chicago email server, send mail
  19. with the subject "help" (without the quotes) to
  20. archive-server@chsun1.spc.uchicago.edu.  European distributor: ComNet
  21. in Luxembourg BBS (++352) 466893.
  22.  
  23. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  24. information among computerists and to the presentation and debate of
  25. diverse views.  CuD material may  be reprinted as long as the source
  26. is cited.  Some authors do copyright their material, and they should
  27. be contacted for reprint permission.  It is assumed that non-personal
  28. mail to the moderators may be reprinted unless otherwise specified.
  29. Readers are encouraged to submit reasoned articles relating to
  30. computer culture and communication.  Articles are preferred to short
  31. responses.  Please avoid quoting previous posts unless absolutely
  32. necessary.
  33.  
  34. DISCLAIMER: The views represented herein do not necessarily represent
  35.             the views of the moderators. Digest contributors assume all
  36.             responsibility for ensuring that articles submitted do not
  37.             violate copyright protections.
  38.  
  39. ----------------------------------------------------------------------
  40.  
  41. Date: Tue, 12 May 92 01:14:12 CST
  42. From: anonymous@anon.edu
  43. Subject: File 1--Some Corrections to '90 Bust Story in CuD 4.21
  44.  
  45. The following clarifications should be noted in reference to the
  46. article in Cu Digest, #4.21, in the Steve Jackson Games section:
  47.  
  48.     >In July of 1989, Secret Service agents were examining electronic
  49.     >mail records of a privately-owned computer system in Illinois
  50.     >owned by Rich Andrews.  Those records, which contained the
  51.     >computer equivalent of a list of all mail sent through a
  52.     >particular post office, showed that a copy of a newsletter called
  53.     >"Phrack" had been sent to Loyd Blankenship, the managing editor
  54.     >at Steve Jackson Games, Loyd Blankenship, in late February of
  55.     >1989.
  56.  
  57. Actually, the records showed that Loyd Blankenship *sent* a copy of
  58. Phrack 24 to someone on Jolnet. He received his own copy directly
  59. >from Craig.  The source was not Jolnet.
  60.  
  61.     >1/90:  Bell Communications Research security manager Henry M.
  62.     >Kluepfel dials into Loyd Blankenship's home BBS, the Phoenix
  63.     >Project, under his real name.
  64.  
  65. Mr. Kluepfel was never on Phoenix Project under his real name,
  66. according to userlogs from the day the system was taken down. He
  67. certainly would have been *welcome* on -- The Phoenix Project had
  68. several phone security officers and law enforcement agents already.
  69. CuD moderators reportedly possess userlogs from TPP during its
  70. history and can verify that there is no "Kluepfel" among the users on
  71. any of those logs.
  72.  
  73.     >2/90:  Search warrants are given for the residences of Bob Izenberg
  74.     >(2/20), Loyd Blankenship (2/28) and Chris Goggans (2/28), and at
  75.     >the office of Steve Jackson Games (2/28).  The SJG warrant is
  76.     >unsigned; the other warrants are signed by U.S. Magistrate
  77.     >Stephen H. Capelle on the day that they're served.
  78.  
  79. Bob Izenberg was raided in 2/90. Goggans, Loyd Blankenship and SJG
  80. were raided in 3/90.  The warrant for Loyd was also unsigned, as was
  81. (if previous reports are correct) the warrant for Chris.
  82.  
  83.     >Three hours after the raid at another, Secret Service agents have
  84.     >called Austin computer store owner Rick Wallingford at home, to
  85.     >verify that he sold a pinball machine to one of the warrant
  86.     >subjects.
  87.  
  88. It was a PacMan machine.
  89.  
  90.     >CHRIS GOGGANS:  Former employee of Steve Jackson Games.
  91.     >Unavailable for comment.
  92.  
  93. Chris Goggans was never an employee of Steve Jackson Games.
  94.  
  95. These may seem trivial corrections, but because of the rumors and
  96. inaccurate information about the case and its particulars, we should
  97. assure that even minor details are correct.
  98.  
  99. ------------------------------
  100.  
  101. Date: 10 May 92 20:48:10 EDT
  102. From: Gordon Meyer <72307.1502@COMPUSERVE.COM>
  103. Subject: File 2--The Defense of Entrapment (Reprint)
  104.  
  105.                       The Defense of Entrapment
  106.            As it Applies to Bulletin Board System Operators
  107.  
  108. By Randy B. Singer, Esq.
  109.  
  110. For now, it is unclear how the law applies to protect speech
  111. communicated through electronic bulletin boards. There are hundreds,
  112. maybe thousands, of enthusiast-run bulletin boards across the country
  113. provided for the free use of the public to exchange ideas and publicly
  114. distributable software. The system operators of these bulletin boards
  115. are providing a wonderful public service, out of the goodness of their
  116. hearts, usually for no monetary gain (in fact, often at a considerable
  117. loss).  These sysops cannot afford to fall into a gray area of the law
  118. and find themselves having to defend an expensive criminal suit or
  119. having to do without their computer equipment because it has been
  120. confiscated by the police as evidence.
  121.  
  122. Running a public bulletin board can expose a system operator (sysop)
  123. to all sorts of legal problems that have yet to be adequately defined.
  124. For instance: What happens if one user posts slanderous/libelous
  125. information about another user? Is the sysop liable? Is a bulletin
  126. board more like a newspaper in this regard or is it more like a
  127. meeting hall?  What happens if a user uploads something clearly
  128. illegal, like child pornography, which other users download before the
  129. sysop has a chance to review the material? Is the sysop liable? What
  130. is the liability of the sysop if he runs a bulletin board in his/her
  131. back room and he/she almost never monitors the activity on it? Is the
  132. sysop required to constantly monitor the goings-on on their board to
  133. prevent illegal activity?
  134.  
  135. It is therefore understandable that sysops have tried to protect
  136. themselves legally the best that they have known how. Unfortunately,
  137. there has been a lot of misinformation spread about what the law is
  138. and how it pertains to the community of bulletin board users and
  139. operators.  Hopefully this text file will clear up one of the most
  140. common legal misconceptions that is going around.
  141.  
  142. I have often seen posts that evidence a complete misunderstanding of
  143. what constitutes the defense of entrapment. As an attorney I would
  144. like to explain this law and its application, especially as it
  145. pertains to electronic bulletin board operators.
  146.  
  147. Entrapment is a complete defense to a crime that a person has been
  148. charged with. It varies in how it is interpreted in each state, and on
  149. the federal level, but generally it is as I have defined it here.
  150.  
  151. Entrapment only exists when the crime involved is the creative product
  152. of the police. (That is, the idea to commit this crime came from a
  153. police officer, or an agent of the police. The alleged criminal never
  154. would have thought of committing this crime if it hadn't been
  155. suggested to him by the police, or if the means to commit the crime
  156. had not been offered to the alleged criminal by the police.) AND the
  157. accused was not otherwise predisposed to commit the crime involved.
  158. (That is, the accused probably wouldn't have committed this or any
  159. other similar crime if the police had never been involved.) BOTH
  160. elements must exist for the defense of entrapment to apply.
  161.  
  162. For instance: When John DeLorean, owner of the (then about to fail)
  163. DeLorean Motor Company, was arrested and tried for selling cocaine, he
  164. was found not guilty by reason of the defense of entrapment because,
  165. the jury determined, the police took advantage of the fact that his
  166. failing company made him a desperate individual. The police sent in an
  167. undercover officer to offer him a bag of cocaine to sell to raise
  168. money to save his company. The entire idea for the crime came from the
  169. police; they provided the instrumentality (the coke); and John
  170. DeLorean probably would never in his life have sold drugs to anybody
  171. if the police hadn't shown up to offer him the drugs to sell at the
  172. exact right time.
  173.  
  174. The reason for the law is obvious: we don't want the police setting up
  175. desperate people to get busted just because those people are
  176. unfortunate enough to find themselves in desperate situations. In
  177. fact, we don't want the cops to set up any law abiding citizens, even
  178. if they are not desperate. Tempting people who would not ordinarily
  179. commit a crime is not what we want police officers to do.
  180.  
  181. Now that you have the definition of entrapment, let's talk about what
  182. entrapment is NOT. I've read a lot of posts from people on boards who
  183. think that entrapment exists when a police officer goes undercover and
  184. does not reveal his true identity when asked. This is NOT covered by
  185. the defense of entrapment per se. The defense of entrapment does NOT
  186. require a police officer to reveal himself when asked. Going
  187. undercover is something that the police do all the time, and there is
  188. nothing that prohibits them from doing so.
  189.  
  190. If you are predisposed to commit a crime (e.g., you are already
  191. engaged in illegal activity before an undercover police officer comes
  192. on the scene), and an undercover police officer simply gathers
  193. evidence to convict you, the defense of entrapment does not apply.
  194.  
  195. So, for instance, if an undercover police officer logs onto a bulletin
  196. board and lies and says that he/she is not a police officer when
  197. asked, and he/she finds illegal material or goings-on on this bulletin
  198. board, then whatever he/she collects and produces against the system
  199. operator as evidence towards a criminal conviction is not precluded
  200. >from being used against the sysop in court. At least it is not
  201. excluded by the defense of entrapment, because in this instance the
  202. defense of entrapment does not apply. The police officer is allowed to
  203. act undercover, and the illegal acts were not the creative product of
  204. the police.
  205.  
  206. Also remember that the defense of entrapment is a COMPLETE defense.
  207. So it does not act to exclude evidence, but rather it acts towards one
  208. of three things: having a grand jury find that there is not sufficient
  209. evidence that a conviction could be obtained to proceed to a criminal
  210. trial against the sysop; having the case dismissed before trial; or a
  211. finding of 'not guilty' after a criminal trial.
  212.  
  213. The defense of entrapment also doesn't necessarily apply if the police
  214. officer simply asks the system operator to do something illegal and he
  215. does it. In this case the district attorney would argue that the sysop
  216. was predisposed to commit the illegal act, especially if the illegal
  217. act was already going on in one form or another on the board. For
  218. instance, if the police officer asks the sysop to download to him some
  219. commercial software, the defense of entrapment will not apply if there
  220. is already commercial software available in the files section of the
  221. bulletin board.
  222.  
  223. What would probably be required for the defense of entrapment to apply
  224. would be for the police officer to have enticed or misled the system
  225. operator into doing the illegal act, and it would have had to have
  226. been an illegal act that wasn't already going on on this bulletin
  227. board. This MAY allow the use of the defense of entrapment. I say
  228. "may" because it depends on the facts in each individual situation to
  229. see how closely they meet the requirements for the defense of
  230. entrapment to apply. You may surmise from my reticence to commit to
  231. saying that the defense of entrapment definitely WOULD apply that the
  232. defense of entrapment is not a defense that I recommend that you rely
  233. on.
  234.  
  235. I've seen some bulletin boards say something to this effect in their
  236. logon screen: "Access restricted. Police officers must identify
  237. themselves, and are forbidden from gaining entry to this bulletin
  238. board." This type of message not only does not protect a bulletin
  239. board from the police (assuming that there is something that might be
  240. interpreted as illegal going on on this board), but it actually alerts
  241. any police officer who may casually log on to this board to
  242. immediately suspect the worst about this board and its system
  243. operator. There is nothing that I know of that would keep an agent of
  244. the police from lying about his/her status and logging on as a new
  245. user and gathering evidence to use against the sysop.  In fact, I'm
  246. not sure, but I would not be surprised to find in the current legal
  247. climate that such a logon message is enough evidence to get a search
  248. warrant to seize the computer equipment of the system operator of this
  249. bulletin board to search for evidence of illegal activity!
  250.  
  251. At some future date I hope to write a file that will detail how sysops
  252. can protect themselves from legal liability. (That is, by avoiding
  253. participating in arguably illegal activity, and by avoiding liability
  254. for the uncontrollable illegal acts of others. I have no interest in
  255. telling sysops how to engage in illegal acts and not get caught.) But
  256. for now, I hope that this file will give sysops a better understanding
  257. of the law and how one aspect of it applies to them.
  258.  
  259. Disclaimer:  The information provided in this document is not to be
  260. considered legal advice that you can rely upon. This information is
  261. provided solely for the purpose of making you aware of the issues and
  262. should be utilized solely as a starting point to decide which issues
  263. you must research to determine your particular legal status, exposure,
  264. and requirements, and to help you to intelligently consult with an
  265. attorney. No warrantees, express or implied, are provided in
  266. connection with the information provided in this document. This
  267. document is provided as is, and the reader uses the information
  268. provided here at their own risk.
  269.  
  270. (Sorry for the necessity of covering my behind! Just remember, you get
  271. what you pay for, so I cannot guarantee anything I have written here.
  272. If you want legal advice that you can take to the bank, you should
  273. hire an attorney. Besides, just like everyone these days, we need the
  274. work!)
  275.  
  276. About the Author:
  277. Randy B. Singer is an attorney in the San Francisco bay area. He does
  278. business law, personal injury, computer law, and Macintosh consulting. He
  279. also gives seminars at the Apple offices in downtown San Francisco for
  280. attorneys and others who are interested in learning about the Macintosh
  281. computer. He can be reached at 788-21st Avenue, San Francisco, CA 94121;
  282. (415) 668-5445.
  283.  
  284. Copyright (C) 1992 Randy B. Singer. All rights reserved. This document
  285. may be freely distributed as long as it is not for monetary gain or as
  286. part of any package for sale. This work may not be modified in any way,
  287. condensed, quoted, abstracted or incorporated into any other work, without
  288. the author's express written permission.
  289.  
  290. This reprint taken from ST Report #8.19, used with permission
  291.  
  292. ------------------------------
  293.  
  294. Date: Fri, 15 May 92 16:41:38 CST
  295. From: moderators <tk0jut2@mvs.cso.niu.edu>
  296. Subject: File 3--COCOTS and the Salvation Army (Follow-up)
  297.  
  298. In Cu Digest 4.20, we related the problems of a COCOT (Coin-operated,
  299. Customer-owned Telephone) installed at the Salvation Army Freedom
  300. Center in Chicago. In brief, The SAFC, a community release center for
  301. recently-released state and federal prisoners, had installed COCOTS
  302. that were charging prisoners, who generally come from low-income
  303. populations, significantly higher rates than conventional carriers.
  304. The COCOTS utilize long distance carriers that are demonstrably not in
  305. compliance with federal law (PL 101-435).  In the next issue, we will
  306. provide a follow-up to the lack of responsiveness of the carriers
  307. (U.S. Long Distance) and the billing agents (Zeroplus Dialing and
  308. GTE).  This note summarizes the response of the Salvation Army, which
  309. was the only organization that took the problem seriously and acted
  310. upon it.
  311.  
  312. When we summarized events in 4.20, we had been unable to obtain
  313. consistent information from the telecos because of multiple layers of
  314. billing accountability and significant contradictions in information
  315. that we were given.  We were also, at that time, unable to reach
  316. anybody at the SAFC who could provide us with information. So, we
  317. expressed our frustration by raising questions that we would have
  318. asked SAFC officials. Since then, we have talked with several SAFC
  319. personnel, and without exception they were deeply concerned about the
  320. problem.  They had received numerous complaints from ex-offender
  321. customers about the technical service of the COCOTS, but they were not
  322. aware of the long distance tolls until we brought it to their
  323. attention.  They emphasized that it was neither their intent nor their
  324. practice to profit from telephone services. The information they
  325. provided supports their community reputation as a viable and dedicated
  326. organization committed to helping ex-offenders return to the
  327. community. In response to our questions, we were told the following:
  328.  
  329. The SAFC *does not* itself own the COCOTS, and the COCOTS there are
  330. fairly new.  The Salvation Army recently signed a contract with a
  331. company that promised to deliver services identical to the previous
  332. system, Illinois Bell, at no extra cost to the users. The SAFC signed
  333. a contract when told they would receive a better commission with equal
  334. service and no increased rates. Some sources indicated that the COCOT
  335. phones did not, in fact, provide better service, and there was some
  336. concern expressed by ex-offenders and others that the COCOT was, in
  337. fact, *more expensive* for users than the previous carrier. Our own
  338. experience suggested that, for long distance rates at least, this
  339. complaint has substance.
  340.  
  341. The SAFC center does receive a monetary return from COCOT use. The
  342. return is accumulated for the residents' benefit fund. This fund is
  343. used to replace equipment, provide amenities (such as tv sets),
  344. defray costs for special events such as the annual Christas part, and
  345. provide modest resources for indigent prisoners in emergencies. The
  346. profits from the COCOT are ultimately returned directly to the
  347. prisoners, and the SAFC itself does not profit.
  348.  
  349. SAFC personell emphasized that there are still alternative (RBOC)
  350. telephones available, and at least one telephone is available at no
  351. charge for important calls such as obtaining job interviews.
  352.  
  353. Because the SAFC is bound by contract to their current COCOT owner,
  354. they are not sure of their options for the long run. Over the short
  355. run, however, they indicated that they will address the problem in two
  356. ways. First, they will discuss the problems with the owner and attempt
  357. to assure that the terms of the contract--equal service at no higher
  358. costs--are met. Second, they will emphasize "consumer literacy" and
  359. assure that their clients are aware of the differences in especially
  360. long distance rates between the various long distance service
  361. providers and explain that users are legally entitled to place calls
  362. to alternative carriers if the one to which they initially connect is
  363. not to their liking.  We have sent them a copy of PL 101-435 to assist
  364. them in their discussions with the COCOT owner and to provide their
  365. consumers with adequate information.
  366.  
  367. We commend the SAFC for its handling of the situation.  Salvation Army
  368. officials were concerned that our previous post would communicate
  369. erroneous information about the nature of the SAFC and its operation.
  370. Both they, and others, affirmed that the SAFC is a successful,
  371. exceptionally beneficial, and highly reputable program with only one
  372. end in mind: To help ex-offenders.  If our previous remarks were
  373. excessively strident, we apologize.  They have displayed both honor
  374. and initiative in protecting prisoners from exploitation, and we thank
  375. them for their concern. It is unfortunate that GTE, USLD, and Zeroplus
  376. cannot follow their example.
  377.  
  378. ------------------------------
  379.  
  380. Date: Wed, 6 May 92 07:27 GMT
  381. From: Jean-Bernard Condat <0005013469@MCIMAIL.COM>
  382. Subject: File 4--Chaos Computer Club France's hackers bibliography
  383.  
  384. Enclosed one bibliography that all the CCCF's members read all the
  385. time in France...
  386.  
  387. Sincerely yours,
  388.  
  389. Jean-Bernard Condat
  390. Chaos Computer Club France [CCCF]
  391. B.P. 8005
  392. 69351 Lyon Cedex 08, France
  393. Phone: +33 1 47 87 40 83, Fax.: +33 1 47 87 70 70.
  394.  
  395.       ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  396.  
  397. File x: Chaos Computer Club France's hackers bibliography
  398.  
  399. Nelson, B. [Univ. of Southern California, Los Angeles, CA, USA]:
  400. "Straining the capacity of  the  law:  the  idea of  computer crime in
  401. the age of  the computer worm
  402.   In: Computer/Law Journal (April 1991) vol.11, no.2, pp.299-321
  403.   Considers whether traditional justifications for the
  404.   criminalization  of conduct are adequate to encompass new forms of
  405.   'criminal'  behavior arising out of advanced computer technology.
  406.   Describes the reactions of legislator, computer  designers  and
  407.   users, and members of the general public who have opposed Robert
  408.   Tappan Morris's trial a nd  conviction.  Two  prominent  and
  409.   competing theories, retribution and utilitarianism,are  useful  in
  410.   helping understand the conflict between two sets of social values:
  411.   those we seek to protect by means of a criminal justice system and
  412.   those associated with the basic principles of freedom. Nonetheless,
  413.   neither  traditional  retributive nor utilitarian theory provides a
  414.   clear justification for the imposition of
  415. criminal punishment in the case of the 'crime' that Morris  committed  when
  416. he introduced the Internet worm.  (61 Refs)
  417.  
  418.  
  419. Spafford, E.H.[Dept. of Comput.  Sci.,  Purdue Univ.,  West Lafayette,  IN,
  420. USA]: "Are computer hacker break-ins ethical?"
  421.   In: Journal of Systems and Software (Jan. 1992) vol.17, no.1; pp.41-7
  422.   Recent  incidents of unauthorized computer intrusion have  brought  about
  423. discussion of the ethics of breaking into computers.  Some individuals have
  424. argued that as long as no significant damage results, break-ins may serve a
  425. useful purpose. Others counter that the break-ins are almost always harmful
  426. and wrong. This article lists and  refutes  many  of the  reasons given  to
  427. justify computer intrusions. It is the author's  contention that  break-ins
  428. are ethical only in extreme situations, such as a life-critical  emergency.
  429. The article also discusses why no break-in is 'harmless'.  (17 Refs)
  430.  
  431.  
  432. Kluepfel, H.M.: "In search  of the cuckoo's nest-an  auditing framework for
  433. evaluating the security of open networks"
  434.   In: EDP Auditor Journal (1991) vol.3; pp.36-48
  435.   In Clifford Stoll's best-selling book "The Cuckoo's Egg" he describes the
  436. pursuit of a computer hacker who, like the cuckoo,  left  something in  the
  437. computing nests of  other  users.  The  paper  provides  a  perspective  on
  438. auditing networked systems to find the nest which may have an  extra  'egg'
  439. in it or is  inviting one  because of a  breakdown in  security  design  or
  440. practice. It  focuses  on:  the  security  implications for an increasingly
  441. open network architecture;  the lessons  learned from  performing intrusion
  442. post-mortems;  the  need  for  architecture  plans  and systems engineering
  443. for security; an audit framework for evaluating security.  (26 Refs)
  444.  
  445.  
  446. Raymond, E.S.: "New Hacker's dictionary"
  447.   Publisher: MIT Press, London, UK (1991); xx+433 pp.
  448.   From ack to zorch (and with hundreds of other entries in between) The New
  449. acker's Dictionary is a compendium of the remarkable slang used  by today's
  450. computer  hackers.  Although  it  is organized in reference form, it is not
  451. a mere technical dictionary or a dry handbook of terms;  rather,  it offers
  452. the reader a tour  of  hackerdom's  myths,  heroes,  folk  epics,  in-jokes
  453. taboos,  and  dreams-an  unveiling  of  the  continent-spanning  electronic
  454. communities that knit hackers together.Appendixes include  a  selection  of
  455. classic items of hacker folklore and humor, a  composite  portrait  of  'J.
  456. Random Hacker' assembled from the comments of over one hundred respondents,
  457. and a  bibliography of  nontechnical  works  that  have  either  influenced
  458. or described the hacker culture.  (12 Refs)
  459.  
  460.  
  461. Arnold, A.G.; Roe, R.A.[Dept. of Philosophy & Tech. Social Sci., Delft Univ
  462. of Technol., Netherlands]: "Action facilitation; a theoretical  concept and
  463. its use in user interface design"
  464.   In: Work With Computers: Organizational,  Management,  Stress and  Health
  465. Aspects. Proceedings of the Third Conference on Human-Computer Interaction.
  466. Vol.1, pp.191-9
  467.   Editor(s): Smith, M.J.; Salvendy, G.; Elsevier, Amsterdam; xii+698 pp.
  468.   The  concept  of  action facilitation,  derived from  Hacker's  theory of
  469. goal-directed  action,  can  be  defined  as  an improvement or maintenance
  470. of  performance  under  conditions of  decreasing  mental  and/or  physical
  471. effort.  This concept applies to any kind  of  work,  including  work  with
  472. computers.  A method for operationalizing this concept in  the  context  of
  473. human-computer interaction is discussed, and it is  shown how  this  method
  474. can  be  applied to the evaluation and design of user interfaces for office
  475. systems.  (20 Refs)
  476.  
  477.  
  478. Menkus, B.: "'Hackers': know the adversary"
  479.   In: Computers & Security (Aug. 1991) vol.10, no.5; pp.405-9
  480.   Abstract:  Confusion  appears  to  continue among many of those concerned
  481. about  computer  security  about who hackers are, what they do and why they
  482. are doing it. The author clarifies some of the terms, concepts, and motives
  483. involved  in  the  hacker  phenomenon.  The  author  discusses the hackers'
  484. objectives  and  their methods. He discusses some of the problems that need
  485. to  be  resolved to in order to tackle hackers' activities. Implementing an
  486. effective  counter  hacker strategy rests on the recognition that access to
  487. information  is  only  granted to aid in tasks of value to the organizatio
  488. and  that  an  organizatio  does  have the right to own and use legitimate
  489. information. He concludes that three tactics should be employed: initiation
  490. of  active  lobbying  by the targets of hacker activity; improved personnel
  491. attribute  verification  on  access;  and  tracing system use activity on a
  492. real-time basis.  (3 Refs)
  493.  
  494.  
  495. Cook, W.J.: "Costly callers: prosecuting voice mail fraud"
  496.   In: Security Management (July 1991) vol.35, no.7; pp.40-5
  497.   Abstract:  On  August 17, 1990, Leslie Lynne Doucette was sentenced to 27
  498. months  in  prison.  Her  sentence,  one of the most severe ever given to a
  499. computer  hacker in the United States, was based on her role as the head of
  500. a  nationwide  voice  mail  computer  fraud  scheme  and  her  unauthorized
  501. possession  of  481 access codes as part of that scheme. Evidence developed
  502. during  the  investigation  and disclosed in pretrial proceedings, revealed
  503. that  the case was part of a broader trend toward voice mail computer abuse
  504. by hackers. This article examines the telecommunication technology involved
  505. and  the  ways  computer  hackers  use  and  abuse  that technology, and it
  506. summarizes  the  investigation  that  led  to Doucette's conviction and the
  507. convictions of other hackers in her group.
  508.  
  509.  
  510. Myong, A.M.; Forcht, K.A.[James Madison Univ., Harrisonburg, VA, USA]: "The
  511. computer hacker: friend or foe?"
  512.   In:  Journal of Computer Information Systems  (Winter 1990-1991)  vol.31,
  513. no.2; pp.47-9
  514.   Abstract:  To  most  people,  the  hacker seems somewhat harmless but the
  515. reality  is  quite  the  contrary. Quite often, extremely sensitive data is
  516. accessed  by  hackers  and  tampering  of  any  kind can cause irreversible
  517. damage. Although this situation is causing great concern, the hacker is not
  518. seen  as  the  hardened  criminal,  and  laws  dealing  with  this  kind of
  519. 'technological  trespass'  poses  the  question: 'is the hacker a friend or
  520. foe?'  Obviously,  these  hackers  violate the security and privacy of many
  521. individuals, but by doing so, vulnerabilities in the systems are showcased,
  522. alerting  the  need  for  increased  security. Paradoxically, by committing
  523. computer  crimes, these 'hackers' could be doing society an indirect favor.
  524. The  authors  give  a  profile  of  a hacker and explain how some users and
  525. systems  make  it  easy  for one to break into their system. Various actual
  526. hacks are also presented.  (13 Refs)
  527.  
  528.  
  529. Koseki, J.: "Security measures for information and communication networks"
  530.   In: Data Communication and Processing, (1991) vol.22, no.4; pp.38-46
  531.   Abstract:  The  causes  of interruptions of the information/communication
  532. system  can  be classified roughly into accidents and crime. The factors of
  533. disturbing  system  operations include reduction of system functions due to
  534. traffic  congestion.  While  accidents  occur  due  to  unexpected  natural
  535. phenomena  or  human errors, crimes are failures based on intentional human
  536. behavior,  unjust  utilization  and destruction of the system involving the
  537. hacker   and  computer  virus.  In  order  to  complete  the  security  for
  538. information  and communication networks and eliminate the risk of accidents
  539. and  crime, it is necessary to improve system functions and take harmonious
  540. measures  viewed  from  human  and legal factors as well as a technological
  541. standpoint.
  542.  
  543.  
  544. Zajac, B.P., Jr.[ABC Rail Corp. Chicago, IL, USA]: "Interview with Clifford
  545. Stoll (computer crime)"
  546.   In: Computers & Security (Nov. 1990) vol.9, no.7; pp.601-3
  547.   Abstract:  Concerns  the trials of Clifford Stoll, tracking a hacker that
  548. was  looking  for  US  military information and then trying to convince the
  549. Federal  Bureau  of Investigation that he had an international computer spy
  550. on  his  hands.  As  the  system  manager,  he  was  to  track down a $0.75
  551. discrepancy in one of the accounting systems. In his quest Stoll discovered
  552. that  this was not the simple theft of some computer time but was something
  553. far   greater-international   computer   espionage  aimed  at  US  military
  554. computers.
  555.  
  556.  
  557. "IT security"
  558.   In: Wharton Report (Aug. 1990) no.144; pp.1-8
  559.   Abstract:  As  our reliance on computer systems increases so too does the
  560. risk  of  data  loss.  A  computer  can  be insecure in many ways: a clever
  561. hacker,  a virus, a careless employee or a vandal can steal, destroy, alter
  562. or  read data with relative ease. In addition to this, the proliferation of
  563. networks  and  the  increasing  number  of  tasks given over to a company's
  564. central  computer  have, while helping us achieve higher degrees of output,
  565. made  our data even more insecure. The trend towards open systems will also
  566. bring us security problems.
  567.  
  568.  
  569. Schneider, E.W.[Peacham Pedagogics, Madison, NJ, USA]:  "Progress  and  the
  570. hacker ethic (in educational computing)"
  571.   In: Educational Technology (Aug. 1990) vol.30, no.8; pp.52-6
  572.   Abstract:  A  hacker is someone who writes clever code on a small machine
  573. in  something very close to machine language so that the small machine does
  574. things   that   would   be   impressive  on  a  big  time-sharing  machine.
  575. Microcomputers  were  introduced  into  schools  by  teachers who were also
  576. electronic  hobbyists. Some of these teachers went on to learn programming,
  577. becoming  true  hackers.  Due  to  unprecedented demand from industry, true
  578. hackers  in  education  are  an  extinct  species. Other teachers developed
  579. skills  in  keeping  the  machine  running,  and  ordering  the  latest and
  580. greatest;   they   form   a  group  that  is  peculiar  to  education:  the
  581. pseudo-hackers. Most computer applications in higher education have adopted
  582. a  hacker  ethic.  They act as if educational research and medical research
  583. used  the  same way of determining needs, funding, and performing research,
  584. and  disseminating  the results. They expect teachers to be as motivated as
  585. doctors,  learning about the latest techniques and adopting them as quickly
  586. as  possible.  That  may well be the way it ought to be, but that certainly
  587. isn't the way that it is.
  588.  
  589.  
  590. Cook, W.J.: Uncovering the mystery of Shadowhawk
  591.   In: Security Management (May 1990) vol.34, no.5; pp.26-32
  592.   Abstract:  How  can  a  juvenile  infiltrate  some  of the country's most
  593. classified  and  secured  datafiles? Easy-with his home PC. On February 14,
  594. 1989,  a  hacker  was sentenced to nine months in prison, to be followed by
  595. two  and  a  half  years'  probation,  and  was  ordered to pay restitution
  596. totaling  $10000.  On February 28, 1989, he started serving his prison term
  597. in  a  prison  in South Dakota. If the hacker had been 18 when he committed
  598. these  crimes,  he  would have faced a possible 13-year prison sentence and
  599. fines totaling $800000. Facts developed during a one-week trial established
  600. that  between  July  and  September  1987,  the hacker, under the code name
  601. Shadowhawk,  used  a modem on his home computer to gain unauthorized remote
  602. access  to  AT&T  computers  in  Illinois,  New Jersey, North Carolina, and
  603. Georgia  and  stole  copies  of  copyrighted  AT&T  source  code worth over
  604. $1,120,000.  (7 Refs)
  605.  
  606.  
  607. Greenleaf, G.: "Computers and crime-the hacker's new rules"
  608.   In: Computer Law and Security Report (July-Aug. 1990) vol.6, no.2; p.21-2
  609.   Abstract:  The  author reflects on the international response to the case
  610. of Robert Morris, a US hacker. He looks at recent Australian legislation on
  611. computer crime and some legal definitions from England.
  612.  
  613.  
  614. Kluepfel, H.M. [Bellcore, Morristown, NJ, USA]: Foiling  the  wily  hacker:
  615. more than analysis and containment
  616.   Conference  Title: Proceedings. 3-5 Oct. 1989 International Carnahan Conf.
  617. Security Technology; pp.15-21
  618.   Publisher: ETH Zentrum-KT, Zurich, Switzerland; 1989; 316 pp.
  619.   Abstract:  The  author  looks  at  the  methods  and tools used by system
  620. intruders.  He  analyzes the development of the hacker, his motivation, his
  621. environment,  and the tools used for system intrusion. He probes the nature
  622. of   the   vulnerable  networking  environments  that  are  the  target  of
  623. intrusions.  The author addresses how to turn the tables on these intruders
  624. with  their  own  tools  and  techniques. He points out that there are many
  625. opportunities  to  learn  from the intruders and design that knowledge into
  626. defensive  solutions  for  securing computer-based systems. The author then
  627. presents a strategy to defend and thwart such intrusions.  (16 Refs)
  628.  
  629.  
  630. Dehnad, K. [Columbia Univ., New York, NY, USA] : "A simple way of improving
  631. the login security"
  632.   In: Computers & Security (Nov. 1989) vol.8, no.7; pp.607-11
  633.   Abstract:  The login procedure is formulated as a test of hypothesis. The
  634. formulation  is  used  to  show  that  the commonly used procedure provides
  635. valuable  information  to a hacker which enables him to use trial and error
  636. to  gain  access  to  a computer system. A general method for reducing this
  637. information  is described and its properties studied. The method introduces
  638. randomness  into  the  procedure, thus denying a hacker the luxury of trial
  639. and error.  (6 Refs)
  640.  
  641.  
  642. Earley, J.: "Supplier's view-considering dial-up (hacker prevention)"
  643.   In: Computer Fraud & Security Bull. (Oct. 1989) vol.11, no.12; pp.15-18
  644.   Abstract:  Discusses  the  practicalities  of hacker prevention. Password
  645. protection,   data  encryption  algorithms  and  the  combination  of  data
  646. encryption  and  access control are briefly considered. The Horatius access
  647. control  system  and  Challenge  Personal  Authenticator are discussed.
  648.  
  649.  
  650. Lubich, H.P.: "Computer viruses, worms, and other animals: truth & fiction"
  651.   In: Output (5 April 1989) vol.18, no.4; pp.31-4
  652.   Abstract:    Computer    viruses   can   be   classified   according   to
  653. characteristics, especially their effects and their propagation mechanisms.
  654. Harmless  and destructive viruses and their propagation in computer systems
  655. are  discussed.  Related  definitions  of  virus, worm, mole, Trojan horse,
  656. trapdoor, logic bomb, time bomb, sleeper, hole, security gap, leak, hacker,
  657. and  cracker  are  explained.  System penetration by hackers or viruses has
  658. been  aided  by  lack  of  system  security  consciousness, and by security
  659. deficiencies   in   hardware   and   software  supplied  by  manufacturers.
  660. Countermeasures  discussed  include  care in software purchase, use of test
  661. programs, use of special security measures, and recourse to legislation.
  662.  
  663.  
  664. Brunnstein, K.: "Hackers in the shadow of the KGB"
  665.   In: Chip (May 1989) no.5; pp.14-19
  666.   Abstract:  The  author  examines  the  question  of  whether  hackers are
  667. criminals  or  idealists.  He sketches a profile of a typical hacker (which
  668. turns  out to be similar to that of a professional programmer) and looks at
  669. hackers'  work  methods,  clubs and motives. He outlines some of their more
  670. wellknown  cases (e.g. the Chaos club, the Hannover hacker, the involvement
  671. of  Russia in buying stolen technical secrets) and comments on the measures
  672. being  taken  to  prevent  hackers  getting in and to make computer systems
  673. 'secure'.
  674.  
  675.  
  676. Campbell, D.E. [PSI  Int.,  Fairfax,  VA,  USA]:  "The  intelligent  threat
  677. (computer security)"
  678.   In: Security Management (Feb. 1989) vol.33, no.2; pp.19A-22
  679.   Abstract:  This  article  is  about  the  hacker as an external threat, a
  680. terrorist,  a  person  who  destroys  information  for spite, revenge, some
  681. get-rich-quick  scheme, or some ideological reason-but always with physical
  682. or electronic destruction or modification of data as a possible end result.
  683. The  hacker  as  a destructive force is the external threat all information
  684. systems  are  faced  with,  and as a manager of these systems, your job may
  685. depend on how well you defend your data against such a force.
  686.  
  687.  
  688. Samid, G.: "Taking uncommon-but effective-steps for computer security"
  689.   In: Computers in Banking (March 1989) vol.6, no.3; pp.22, 61-2
  690.   Abstract:  System managers and security officials should take the time to
  691. familiarize  themselves with the hackers job. Only then will they develop a
  692. sense of their system's vulnerability. Such awareness is a prerequisite for
  693. installation  of  a  heavy-duty  defense. No computer system is break-safe.
  694. Therefore  computer  security  starts with identifying who will benefit the
  695. most  from  breaking  in.  Then  the  analysis  should  assess the value of
  696. breaking  in for the intruder. That value should be less than the effort or
  697. cost of accomplishing the intrusion. As long as the balance cost/benefit is
  698. kept  unfavorable  to  the  would-be  intruder,  the  system  is  virtually
  699. break-safe.
  700.  
  701.  
  702. Wilding, E.: "Security services shaken by UK hacker's claims"
  703.   In: Computer Fraud & Security Bulletin; (Jan. 1989) vol.11, no.3; pp.1-5
  704.   Abstract:  Discusses  the  case  of  Edward  Austin  Singh, the UK hacker
  705. reported  in  October  to  have  accessed  some  250  academic, commercial,
  706. government  and  military  networks worldwide. This case serves as a useful
  707. framework  for  discussing  legal issues related to computer hacking in the
  708. UK.
  709.  
  710.  
  711. Gliss, H.: "US research systems attacked by German student"
  712.   In: Computer Fraud & Security Bulletin (July 1988) vol.10, no.9; pp.1-3
  713.   Abstract:  A  researcher  with  'a  hacker's  mentality'  caught a German
  714. computer  science student from Hanover. The researcher, Clifford Stoll from
  715. Lawrence  Berkeley  Laboratory  (LBL),  trapped  the  student  by  a  trace
  716. connection  over the US data networks into Bremen University (West Germany)
  717. and  from  there through DATEX-P to the individual telephone from which the
  718. hacker did his job. The author gives a comprehensive overview about Stoll's
  719. successful  approach,  and  the  lessons which LBL management drew from the
  720. case.
  721.  
  722.  
  723.  
  724. Beale, I.: Computer eavesdropping-fact or fantasy
  725.   In: EDP Auditor Journal (1988) vol.3; pp.39-42
  726.   Abstract:  Equipped with a black and white television set, an antenna and
  727. a  small  amount  of  electronics  equipment  it is possible to display the
  728. information  from  the  screen of a terminal located in a building over 300
  729. metres  away. This shows how easy eavesdropping can be, how inexpensive the
  730. necessary equipment is and how readable the data received is. Clearly then,
  731. senior  management  within  many  companies  should  be concerned about the
  732. vulnerability of their systems and the information contained within them. A
  733. broad  range of information currently processed on computer systems is of a
  734. confidential  nature  and  needs to be stored and processed within a secure
  735. environment.  This  type  of information includes financial data, financial
  736. projections,   design  data  for  new  products,  personnel  records,  bank
  737. accounts,  sensitive  correspondence  and competitive contract bids. Any of
  738. this information may be valuable to eavesdroppers either for their own use,
  739. or  so  that they can sell it to a third party. Another interested party in
  740. this  technology is the would-be hacker. By using eavesdropping techniques,
  741. the  hacker  will  be able to readily identify user ids and passwords which
  742. are valid on client computer systems. This will be much more efficient than
  743. the  techniques  currently  used  by  hackers to identify valid user id and
  744. password combinations.
  745.  
  746.  
  747. Stoll, C.: "Stalking the wily hacker"
  748.   In: Communications of the ACM (May 1988) vol.31, no.5; pp.484-97
  749.   Abstract:  In  August  1986  a  persistent computer intruder attacked the
  750. Lawrence  Berkeley Laboratory (LBL). Instead of trying to keep the intruder
  751. out,  LBL took the novel approach of allowing him access while they printed
  752. out his activities and traced him to his source. This trace back was harder
  753. than  expected, requiring nearly a year of work and the cooperation of many
  754. organizations. This article tells the story of the break-ins and the trace,
  755. and sums up what was learned.  (49 Refs)
  756.  
  757.  
  758. Schechter, H.: "Dial-up network management-more than just security!"
  759.   Conference  Title:  SECURICOM  86. 4th Worldwide Congress on Computer and
  760. Communications Security and Protection; pp.173-8
  761.   Publisher: SEDEP, Paris, France; Date: 1986; 476 pp; Date: 4-6 March 1986
  762.   Abstract:  During  the  last  few  years,  worldwide  data communications
  763. networks  have  been  besieged  by terrorist attacks, the personal computer
  764. hacker.  As  businesses  have  aggressively  pursued  the use of the PC and
  765. dial-up  services,  they have found that they must guard their networks and
  766. data,  and  at  the  same time manage this dial-up network like they manage
  767. leased  line  networks.  The  paper  analyzes  the  needs and components of
  768. dial-up network management and security.
  769.  
  770.  
  771. Troy, E.F.: "Security for dial-up lines"
  772.   Issued by: Nat. Bur. Stand., Washington, DC, USA; May 1986; vi+60 pp.
  773.   Abstract:  This  publication  describes  the  problem  of  intrusion into
  774. government and private computers via dial-up telephone lines, the so-called
  775. 'hacker  problem'.  There is a set of minimum protection techniques against
  776. these  people  and  more  nefarious  intruders  which should be used in all
  777. systems which have dial-up communications. These techniques can be provided
  778. by  a  computer's  operating system, in the best case. If the computer does
  779. not  have  the  capability  to  give  adequate  protection  against  dialup
  780. intruders,  then other means should be used to shore up the system's access
  781. control  security.  There  are  a  number  of hardware devices which can be
  782. fitted  to computers or used with their dial-up terminals and which provide
  783. additional  communications  protection  for nonclassified computer systems.
  784. This  publication  organizes  these devices into two primary categories and
  785. six  subcategories  in order to describe their characteristics and the ways
  786. in which they can be used effectively in dial-up computer communications. A
  787. set  of evaluative questions and guidelines is provided for system managers
  788. to  use  in  selecting  the  devices which best fit the need. A set of four
  789. tables  is  included  which  lists  all  known  devices in the four primary
  790. categories,  along  with  vendor contact information. No attempt is made to
  791. perform any qualitative evaluation of the devices individually.  (41 Refs)
  792.  
  793.  
  794. Roberts, W. [Dept. of Comput. Sci., Queen Mary  Coll.,  London, UK]:  "'Re-
  795. member to lock the door': MMI and the hacker"
  796.   Conference    Title:   System   Security:   Confidentiality,   Integrity,
  797. Continuity. Proceedings of the International Conference; pp.107-14
  798.   Publisher: Online Publications, Pinner, UK; Date: 1986; xii+232 pp.
  799.   Conference Date: Oct. 1986; London, UK
  800.   Abstract:  Increasing  emphasis  is being placed on the importance of man
  801. machine  interface  (MMI)  issues  in  modern  computer systems. This paper
  802. considers  the  ways  in  which  common  MMI features can help intruders to
  803. breach  the security of a system, and suggests methods for enhancing system
  804. security and data integrity by careful MMI design, aiding both the user and
  805. the system administrator.
  806.  
  807.  
  808. Murphy, I. [Secure Data Syst., Philadelphia, PA, USA]: "Aspects  of  hacker
  809. crime: high-technology tomfoolery or theft?"
  810.   In: Information Age (April 1986) vol.8, no.2; pp.69-73
  811.   Abstract:  Computer  crime  is  an increasingly common problem worldwide.
  812. Perpetrated by a growing band of people known as hackers, it is exacerbated
  813. by  the  ease  with  which  hackers  communicate  over clandestine bulletin
  814. boards. The types of information contained in these boards is reviewed, and
  815. a parallel is drawn with the problem of telephone fraud also rampant in the
  816. USA.  The  author  looks at the problem of unauthorized access to telephone
  817. lines and personal data. (1 Ref)
  818.  
  819.  
  820. Shain, M.: "Software protection-myth or reality?"
  821.   Conference  Title:  Protecting  and  Licensing Software and Semiconductor
  822. Chips in Europe; 30 pp.
  823.   Publisher: Eur. Study Conferences, Uppingham, Rutland, UK; 1985; 273 pp.
  824.   Conference Date: 7-8  Nov. 1985; Amsterdam, Netherlands
  825.   Abstract:  The  article  reviews  the  motives  people  have  for copying
  826. software and estimates the size of the revenue loss due to this. Commercial
  827. software  protection  schemes  are reviewed and an account of microcomputer
  828. fundamentals  is  given  for  those with no prior knowledge. The techniques
  829. used  by the software hacker are analyzed and a view is taken as to whether
  830. software protection is a myth or reality.
  831.  
  832.  
  833. Mullen, J.B.: "Online system reviews: controls and management concerns"
  834.   In: Internal Auditor (Oct. 1985) vol.42, no.5; pp.77-82
  835.   Abstract:  The  generally  accepted  controls  for  online systems can be
  836. divided  into  three categories: preventive; detective; and corrective. The
  837. preventive  controls  include  sign-on  key  and  passwords.  The  periodic
  838. changing of these controls and other preventive access controls may prevent
  839. a  hacker  from  learning  the access system via observation. The detective
  840. controls   include:  line  protocol,  which  defines  the  method  of  data
  841. transmission;  front-end  edits,  routines  within  the  online-application
  842. programs  to  detect  errors  in  critical fields; and authorization files,
  843. online  files  containing  user  passwords.  Corrective  controls  include:
  844. transaction  logging;  online  training,  security software; audit caveats;
  845. audit procedures and effectiveness.
  846.  
  847.  
  848. Rous, C.C. [Cerberus Comput. Security Inc., Toronto, Ont.,  Canada]:  "What
  849. makes hackers tick? A computer owner's guide"
  850.   In: CIPS Review (July-Aug. 1985) vol.9, no.4; pp.14-15
  851.   Abstract:   Harmless  pranksters  or  malicious  wrongdoers?  A  computer
  852. security  expert  points  out  the  differences and similarities-and offers
  853. preventative  tips.  A  major  concern of most data processors today is the
  854. threat  of  'The  Hacker'. This article attempts to de-mystify the breed by
  855. examining  hacker  psychology.  The  focus  is  on  the distinction between
  856. frivolous  and  serious,  or  benign  and  malicious,  hackers.  While  the
  857. distinction  is valid, it is equally important to recognize the fundamental
  858. similarities  between the two. In addition, no matter how benign the hacker
  859. who  penetrates  a  system,  if  he or she has done so a more malicious one
  860. presumably  could  too.  The  author goes on to list the different types of
  861. hacker  and provides a detailed analysis of each one. Finally, some lessons
  862. for owners and operators of computer systems are offered.
  863.  
  864.  
  865. Haight, R.C.: "My life as a hacker" Conference  Title:  ACC  '84.  Proceedings
  866.   of  the  Australian  Computer Conference; pp.205-12 Editor(s): Clarke, R.
  867.   Publisher: Austr. Comput. Soc, Sydney, NSW, Australia; 1984; xx+672 pp.
  868.   Conference Date: 4-9  Nov. 1984; Location: Sydney, NSW, Australia Abstract:
  869.   The  author  has  been programming and supervising programmers since 1961.
  870.   His experiences and personal viewpoint are described.
  871.  
  872. ------------------------------
  873.  
  874. End of Computer Underground Digest #4.22
  875. ************************************
  876.  
  877.  
  878.