home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / cud / cud453.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  45.3 KB  |  935 lines
  1. Computer underground Digest    Sun Oct 25, 1992   Volume 4 : Issue 53
  2.  
  3.        Editors: Jim Thomas and Gordon Meyer (TK0JUT2@NIU.BITNET)
  4.        Archivist: Brendan Kehoe
  5.        Shadow-Archivists: Dan Carosone / Paul Southworth / Ralph Sims
  6.        Copy Editor: Etaion Shrdleaux, Sr.
  7.  
  8. CONTENTS, #4.53 (Oct 25, 1992)
  9. File 1--Re: CuD 4.49 - Viruses--Facts and Myths (1)
  10. File 2--Re: CuD 4.49 - Viruses--Facts and Myths (2)
  11. File 3--Further Disclosures In 911/"Legion of Doom Case"
  12. File 4--NY State Police Decriminalize the word "Hacker" (Newsbytes)
  13. File 5--Update on Toronto Bust of Early October
  14. File 6--SRI Seeks "Phreaks" for New Study
  15. File 7--XIOX's Anti-Phone-Fraud Products (Press Release)
  16. File 8--CSC "Anti-Telecom Fraud" Device
  17. File 9--The CU in the News (from Info Week)
  18.  
  19. Cu-Digest is a weekly electronic journal/newsletter. Subscriptions are
  20. available at no cost from tk0jut2@mvs.cso.niu.edu. The editors may be
  21. contacted by voice (815-753-6430), fax (815-753-6302) or U.S. mail at:
  22. Jim Thomas, Department of Sociology, NIU, DeKalb, IL 60115.
  23.  
  24. Issues of CuD can also be found in the Usenet comp.society.cu-digest
  25. news group; on CompuServe in DL0 and DL4 of the IBMBBS SIG, DL1 of
  26. LAWSIG, and DL0 and DL12 of TELECOM; on Genie in the PF*NPC RT
  27. libraries; from America Online in the PC Telecom forum under
  28. "computing newsletters;" on the PC-EXEC BBS at (414) 789-4210; in
  29. Europe from the ComNet in Luxembourg BBS (++352) 466893; and using
  30. anonymous FTP on the Internet from ftp.eff.org (192.88.144.4) in
  31. /pub/cud, red.css.itd.umich.edu (141.211.182.91) in /cud, halcyon.com
  32. (192.135.191.2) in /pub/mirror/cud, and ftp.ee.mu.oz.au (128.250.77.2)
  33. in /pub/text/CuD.  Back issues also may be obtained from the mail
  34. server at mailserv@batpad.lgb.ca.us.
  35. European distributor: ComNet in Luxembourg BBS (++352) 466893.
  36.  
  37. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  38. information among computerists and to the presentation and debate of
  39. diverse views.  CuD material may  be reprinted for non-profit as long
  40. as the source is cited.  Some authors do copyright their material, and
  41. they should be contacted for reprint permission.  It is assumed that
  42. non-personal mail to the moderators may be reprinted unless otherwise
  43. specified.  Readers are encouraged to submit reasoned articles
  44. relating to computer culture and communication.  Articles are
  45. preferred to short responses.  Please avoid quoting previous posts
  46. unless absolutely necessary.
  47.  
  48. DISCLAIMER: The views represented herein do not necessarily represent
  49.             the views of the moderators. Digest contributors assume all
  50.             responsibility for ensuring that articles submitted do not
  51.             violate copyright protections.
  52.  
  53. ----------------------------------------------------------------------
  54.  
  55. Date: Fri, 23 Oct 92 01:23:48 EST
  56. From: spaf@CS.PURDUE.EDU(Gene Spafford)
  57. Subject: File 1--Re: Cu Digest, #4.49- Viruses--Facts and Myths (1)
  58.  
  59. In the Digest, #4.49, "Dark Adept" provided a long article on virus
  60. facts and myths.  Unfortunately, he/she got several "facts" incorrect.
  61. I could try to make a point about the danger of correct-sounding
  62. material being mistaken for factual simply because it is well-written,
  63. and on the difficulty of verifying information presented from behind a
  64. pseudonym and without citations, but will leave that for another rant. :-)
  65.  
  66. I'll try to correct a few of the more glaring errors.  The interested
  67. reader should consult one of the well-researched and documented texts
  68. on the market for further details.  I'd suggest Ferbrache's excellent
  69. text "A Pathology of Computer Viruses" (Springer-Verlag), Hoffman's
  70. collection "Rogue Programs" under the Van Nostrand Reinhold imprint,
  71. and Denning's "Computers Under Attack" by Addison-Wesley.  Also of
  72. value are Hruska's "Computer Viruses and Anti-Virus Warfare" and the
  73. badly overpriced "Computer Virus Handbook" edited by Highland.
  74.  
  75. The comp.virus newsgroup (Virus-L mailing list) has a very nice FAQ
  76. article compiled by several knowledgeable researchers and authors in
  77. the area of computer viruses that addresses many of these points and
  78. provides pointers to additional information.
  79.  
  80. Now for my comments.
  81.  
  82. > A virus is a tiny program that attaches itself to other programs.  It does
  83.  
  84. Viruses do not need to be tiny.
  85.  
  86. > a chance of catching a virus.  Data files (files that are not programs, like
  87. > text for your wordprocesser) cannot contain viruses.
  88.  
  89. Wrong.  Data files can contain viruses in two ways.  First, they may
  90. contain viruses that are in a non-threatening format.  For instance, a
  91. text file may contain a virus encoded as hex digits.  This is not a
  92. threat, per se, but is a virus.  This is the pedantic objection.
  93.  
  94. However, it is also possible for a virus to be present in a form that
  95. causes it to be interpreted.  For instance, a virus can be written in
  96. Lotus 1-2-3 macros in a spreadsheet.  The spreadsheet is not a
  97. program, but is has elements that can be executed and act like a
  98. virus.  Likewise, a virus can be written in GNU Emacs macros that are
  99. automatically executed when a file is read with Emacs (unless the
  100. "inhibit-local-variables" variable is set correctly).
  101.  
  102. Viruses can be written for .bat files under DOS, and these are not
  103. considered to be programs by everyone.  However, they get executed,
  104. and that means that a virus can be in one of them.
  105.  
  106. > The only way to activate the virus is to run the program.
  107.  
  108. Including my examples given above, this is not strictly true, either.
  109. Some Mac viruses activate when one inserts a disk into the drive and
  110. the desktop is read (under System 6.0.x).  This does not involve
  111. executing a program, but interpreting code present on the disk.  Other
  112. examples exist, but you get the point.
  113.  
  114. > Another thing is batch files.  These are files on IBM PC's that end in ".bat".
  115. > These DO NOT contain viruses.
  116.  
  117. However, they could.  The viruses would be easy to spot and probably
  118. not very effective, but they could be written, just as Unix shell
  119. script viruses can be written. (For instance, see Tom Duff's paper in
  120. "Computing Systems" of a few years ago.)
  121.  
  122. > Ok.  Viruses can only be made for specific machines.  By this I mean
  123. > that a virus that infects IBM PC's will NOT be able to infect Macs.
  124. > There may be a tiny tiny chance if your Mac is running something like
  125. > an IBM Emulator that a virus may cause problems, but in general, if
  126. > you have a non-IBM compatible computer, and you can't run IBM software,
  127. > then you can't catch IBM viruses and vice-versa.
  128.  
  129. Wrong.  A virus written in spreadsheet macros or Perl or some other
  130. higher-level language will indeed work on any machine that supports an
  131. interpreter for that high-level language.  Also, we have seen cases of
  132. viruses written for DOS machines (Intel 80x86 architecture) able to
  133. run on DOS emulators under MacOS -- it isn't a tiny chance, but a real
  134. possibility.
  135.  
  136. > For the most part, only personal computers (i.e., IBM PC's and Macs) are
  137. > affected by viruses.  On IBM's, they are usually limited to DOS, so if
  138. > you are running Unix on a 386 you don't really need to worry (yet).
  139.  
  140. Wrong.  Boot sector infectors are generally able to spread to Unix
  141. disks.  Usually they just wipe out the Unix boot sector.  This should
  142. indeed be a worry.  If the Unix disk shares the same boot record
  143. format as MS-DOS, it's even more of a worry (luckily, this isn't
  144. generally the case).
  145.  
  146. >   If you buy the software from
  147. > a computer store, you don't have to worry.  Once in a million there might
  148. > be some type of problem, but in general, store purchased software will
  149. > NEVER have a virus.
  150.  
  151. Wrong.  Some stores will take software back for refunds after it has
  152. been used in machines with viruses.   Thus, the store software will be
  153. infected.  Some stores even put new shrink-wrap over the packages so
  154. you can't tell it happened.
  155.  
  156. Other stores will use the software in the store in their machines to
  157. demo it or to make sure it works the way you think.  Again, this is a
  158. source of viruses -- many store systems are badly infected.
  159.  
  160. Finally, there are many incidents where vendors have shipped their
  161. software to stores with the disks already infected with a virus.
  162.  
  163. Getting software from a store is NOT a guarantee that it is free from
  164. viruses.
  165.  
  166. > There are 3 main types of "anti-virus" software available:
  167. >
  168. > o  Scanners
  169. > o  Detectors
  170. > o  Removers
  171.  
  172. This is not how most experts in the field classify such software.
  173.  
  174. > Each virus has what the anti-virus geeks call a "footprint".
  175.  
  176. We "geeks" usually refer to it as a signature.  I know of no one
  177. reputable who refers to these as  "footprints."
  178.  
  179. [Dark Adept then goes on to explain his "detectors" and jumbles
  180. together activity monitors and integrity checkers.  I won't bother
  181. explaining the nuances here -- consult one of the references.
  182. However, many of his points are off the mark, especially as regards
  183. integrity monitors.]
  184.  
  185. >   Nine times out of ten, a disinfector will have to
  186. > delete *ALL* the programs that are infected.  Gone. Erased.  Never to come
  187. > back.  Some can get out the virus without deleting files, but this is
  188. > rare.
  189.  
  190. Not so rare -- several such programs exist and work quite well.  In
  191. the Mac world, almost all viruses can be successfully disinfected by
  192. John Norstad's "Disinfectant".  Skulason's F-Prot does a very good job
  193. on removing most MS-DOS viruses.  It is not rare at all.
  194.  
  195. [Dark Adept then recommends Central Point Software.  We can't tell if
  196. this is an informed opinion based on comparison, or if Dark Adept is
  197. really the president of Central Point and trying to scam us because we
  198. have no idea who or what Dark Adept really is.
  199.  
  200. In general, thorough and impartial tests conducted by places like the
  201. Hamburg virus research group and by the Virus Bulletin have revealed
  202. that Skulason's F-Prot and Dr. Solomon's Toolkit are far and away the
  203. most complete and effective anti-virus tools for MS-DOS.  Interested
  204. readers can consult those mentioned and similar references for
  205. details.  Neither Skulason nor Solomon are greedy SOBs like some other
  206. vendors in the arena (I agree with Dark Adept that there are some
  207. notable ones out there).  In fact, Skulson's product is free for
  208. personal use at home!]
  209.  
  210. > A virus is made up of two basic parts: an infector and a destructor.
  211. > The INFECTOR is the part of the program which hides the virus and makes
  212. > it spread.  The DESTRUCTOR is the mischief maker.  This is the part
  213. > that draws crazy pictures on your screen or erases a file on you.
  214.  
  215. Not strictly true.  Many viruses cause damage because the people who
  216. wrote them aren't as clever as they like to think they are, or because
  217. new hardware & software configurations have come along that weren't
  218. anticipated by the virus author.  The result is that the virus causes
  219. damage as it tries to spread by overwriting critical data or poking
  220. into the wrong memory locations.  This is one of the principle reasons
  221. that *NO* virus is harmless -- two or three years from now, something
  222. that appeared harmless in someone's home system may cause a massive
  223. failure in the machines at a business or laboratory with a vastly
  224. different set of configuration parameters.
  225.  
  226. > "The first virus was written by..."
  227. > No one knows.  However, if you were to ask me, I will say the first
  228. > virus was written by the first person who made copy-protection.
  229.  
  230. Pure bullshit -- an apologist attempt to justify pirating and/or virus
  231. writing.  Many copy protection schemes bear no real resemblance to
  232. viruses, and in any event they don't replicate themselves into other
  233. software.
  234.  
  235. Ferbrache and I both have good evidence that the first PC viruses were
  236. written in 1981 (2 years before Cohen thought of the idea).  Many
  237. people credit Ken Thompson with the first virus because of his Turing
  238. Award lecture on trust.  Others credit early core wars experimenters.
  239. It depends on how you formally define virus.  The definition I use
  240. sides with the ones who credit Thompson.
  241.  
  242. [Dark Adept then claims that viruses aren't a problem because in all
  243. his limited academic experience he has seen only a few cases of
  244. viruses.  This is like claiming that elephants don't exist because he
  245. hasn't seen one in years while living in Illinois.
  246.  
  247. Business and government sites continue to report wide-spread and
  248. continuing outbreaks.  Viruses exist and they continue to be a
  249. significant problem.  It's not the end of the world, but it is not
  250. getting better and it is real.]
  251.  
  252. > I just hoped I made this virus thing clearer.  This is not based
  253. > on any virus "expertise" I have, just a thorough knowledge of
  254. > computers and my experience with them (which is extensive).  I am not a
  255. > "virus expert" nor am I a virus author. But next time someone tries to
  256. > scare you or calls themselves a "virus professional" call them an idiot.
  257.  
  258. OKay, you're an idiot.
  259.  
  260. >  They don't even want to format a hard drive, just have a little
  261. > fun programming.  Once in a while one of their "projects" might get out
  262. > of hand, but they're not there to make your life miserable.  Sure I'd be
  263. > pissed at em if Flight Simulator got infected, but no biggie.  Just clean
  264. > up and reinstall.
  265.  
  266. Fun, hell.  If I set fire to your house because I wanted to have a
  267. little fun, don't get bent out of shape -- it's your own fault for not
  268. having sprinklers, right?  Just get the insurance money and move
  269. somewhere else.
  270.  
  271. If the people who write viruses are so talented and bored, there are
  272. lots of other things they could do that would be of benefit to others
  273. around them and might be just as much fun.  Committing indirect acts
  274. of vandalism are not "fun" for the victims nor is it the fault of the
  275. people who are conducting research or a business on the systems that
  276. get hosed.  There are people using their systems for more critical
  277. efforts than "Flight Simulator" -- and they don't have time,
  278. personnel, or resources to backup their systems every 10 minutes...nor
  279. should they be forced to.  Virus writing is nothing more than
  280. vandalism and is solely the fault of the virus authors.
  281.  
  282.   --spaf
  283.  
  284. ------------------------------
  285.  
  286. Date: Tue, 13 Oct 92 08:09:24 EDT
  287. From: "David M. Chess" <CHESS@YKTVMV.BITNET>
  288. Subject: File 2--Re: CuD 4.49 - Viruses--Facts and Myths (2)
  289.  
  290. This is a brief reply to the file from The Dark Adept that appeared in
  291. CuD 4.49.  As an anti-virus weenie myself, I'm speaking from a rather
  292. different point of view, obviously.  On the other hand, I don't claim
  293. to be speaking for the anti-virus weenie community as a whole; this is
  294. just a few personal reactions, written during a sanity break from some
  295. heavy debugging.
  296.  
  297. Most of the factual stuff in the Adept's file is generally correct
  298. (and amusingly phrased!).  A few notes:
  299.  
  300.  - It's not really just .COM and .EXE files in DOS that can carry
  301.    viruses.  Those are the most common vectors, but since there
  302.    is a DOS call that will execute a file of any name at all as
  303.    a program, and some viruses infect when that call is used,
  304.    you have to look in all your files during a cleanup operation.
  305.    For instance, if you have a game program in FINOGA.COM, and all
  306.    it really does is display the game-company logo and then run
  307.    FINOGA.BNX, some of the most common file-infecting viruses will
  308.    be able to infect FINOGA.BNX, and if you don't clean it up from
  309.    there, you're still infected.
  310.  
  311.  - It's possible (just barely) to write a virus for a BAT file.
  312.    But no one's figured out how to do it in a reliable or non-obvious
  313.    way, so there are no BAT viruses "in the wild", and users don't
  314.    have to worry about them.  The same applies to (for instance)
  315.    worksheet files for spreadsheet programs; since they can contain
  316.    things like autostart macros, it's theoretically possible to
  317.    write a virus that infects them, but there are none in the wild.
  318.  
  319. The Adept writes that viruses are more common on personal computers
  320. because they "need access to memory that they shouldn't have, and on
  321. a personal computer, there is nothing to stop them from getting it."
  322. This is a common misconception.  In fact, viruses *don't* need
  323. access to memory that they shouldn't have; all they need to be able to
  324. do is read and write program files (the same way that your compiler,
  325. your patch program, your file manager, and so on, do).  Experimental
  326. viruses have been written for larger non-personal computers, and they
  327. work just fine (ask your local librarian for a list of papers by Fred
  328. Cohen from the computer science literature for some good details of
  329. this sort of thing).  The reason we don't see viruses for larger
  330. computers is that software for them does not flow as freely as
  331. software for personal computers.  Quick, how many people reading this
  332. have a diskette in some pocket?  OK, now how many have a 9-track tape
  333. reel?
  334.  
  335. The Adept's confidence about the cleanliness of store-purchased
  336. software is, I fear, somewhat unfounded.  There have been numerous
  337. reports of legitimately-purchased software accidentally shipped (or
  338. infected at the point of sale) with a virus.  As software producers
  339. and sellers become aware of the problem and better instrumented to
  340. prevent it, we can hope it will become increasingly rare.  But more
  341. than one system has become virus infected even though "all I ever use
  342. is shrink-wrapped software, honest!".
  343.  
  344. > Each virus has what the anti-virus geeks call a "footprint".
  345.  
  346. Actually, we anti-virus geeks call it a "signature" or a "scan-id".
  347. Most of the rest of the Adept's comments are quite correct.  I would
  348. observe that most infections in the real world are caused by viruses
  349. that have been out for some time, so it's not incredibly vital to have
  350. this week's copy of your scanner.   This quarter's copy is probably a
  351. good idea, though!  Also, modern scanners tend to be good at detecting
  352. small variants of viruses that they have signatures for, so if someone
  353. creates a "new" virus by the usual method of munging an old one, many
  354. scanners will still find it.
  355.  
  356. One disadvantage of modification detectors that the Adept doesn't
  357. mention is that they are prone to false positives.  That is, when you
  358. install a new version of HyperWunga, and it changes five-godzillion
  359. programs on your disk, the next time you run your modification
  360. detector it will of course tell you that lots of programs have
  361. changed.   How do you know that none of them were changed by a virus
  362. rather than WungaInstall?  You probably don't.
  363.  
  364. The Adept somewhat underestimates the abilities of virus removers.  In
  365. fact, a good remover will be able to restore almost all of the objects
  366. infected by almost all common viruses to almost their original state;
  367. it should *never* delete a file without asking your permission first.
  368. Note all those "almost"s, though; many viruses are very buggy, and if
  369. *I* had an actual infection on a machine I cared about, I would
  370. restore the infected objects from backups, even if I had a remover
  371. that claimed to work correctly on that virus.   The other choice is to
  372. trust both the virus and the remover not to have done anything wrong.
  373. A good remover, of course, will know which viruses are buggy, and warn
  374. you about the files that might be corrupted.
  375.  
  376. Microcomputer viruses probably don't matter much to the Net, as the
  377. Adept points out.  We should keep in mind, though, similar things that
  378. matter more to the Net: there was this little worm the other December,
  379. for instance!  Spreading things can impact just about any kind of
  380. computer system, if the culture and the connectivity are right.
  381.  
  382. Adept also offers the usual "virus writers are just nice guys who like
  383. to write interesting programs" line.  May be true; I don't know any
  384. actual virus writers.  I would, however, like to ask how all that
  385. hard-disk-trashing code got in there.  Did someone sneak into the Nice
  386. Guys' rooms at night and type it in?  The people who write destructive
  387. viruses clearly have some maladjustments that need to be cleared up
  388. before I'd let them near any of *my* offspring.  Even viruses that
  389. aren't meant to be destructive generally wreak havoc and cause pain as
  390. they spread.  I have no quarrel with someone who writes a virus just
  391. to play with and takes reasonable measures to make sure it never gets
  392. to anyone who doesn't want it.  But the authors of the viruses that
  393. are currently in the wild messing up machines (accidentally or on
  394. purpose) don't qualify.
  395.  
  396. I certainly agree that there's been quite a bit of hype in the
  397. anti-virus field.  As usual, of course, one should blame the marketing
  398. departments rather than the coding labs!  *8) The world is certainly
  399. not about to end, and the average user should probably take about the
  400. same level of precautions against viruses that she does against, say,
  401. a hard disk failure.  Get a couple of good backup programs, and a
  402. couple of good anti-virus programs, and use them well!  And bring up
  403. your kids to have something more interesting to do with a computer
  404. than write code that hurts other folks...
  405.  
  406. ------------------------------
  407.  
  408. Date: Wed, 21 Oct 92 03:23:28 EDT
  409. From: mcmullen@MINDVOX.PHANTOM.COM(John F. McMullen)
  410. Subject: File 3--Further Disclosures In 911/"Legion of Doom Case"
  411.  
  412. ((MODERATORS' NOTE: We periodically reprint articles from
  413. NEWSBYTES, which we consider the best single on-line source of
  414. information on the nets. Barbara and John McMullen, the authors of
  415. most of the articles we reprint, are perhaps the most capable and
  416. incisive computer journalists in the country. They consistently
  417. provide indepth, accurate, and comprehensive stories that provide an
  418. antidote to the generally mediocre coverage of other media.  We have
  419. no formal way to commend them for their principled and thorough
  420. stories other than say "Thanks!"
  421.  
  422. Newsbytes is a commercial news service with bureaus from Moscow to
  423. Sydney, Australia. It publishes a minimum of 30 stories related to
  424. technology 5 days a week. It reaches approximately 4.5 million people
  425. through electronic distribution including Compuserve, GEnie, America
  426. OnLine, AppleLink, DIALOG, Newsnet, Clarinet and various foreign
  427. services.
  428.  
  429. It is also distributed to some individual BBS systes for a relatively
  430. small charge.
  431.  
  432. For information on pricing, contact Wendy Woods 415 550-7334))
  433.  
  434. +++++
  435.  
  436. NEW YORK, NEW YORK, U.S.A., 1992 OCT 20(NB) -- In a discussion with
  437. Newsbytes, Sgt. Kurt Leonard of the Chesterfield County, Virginia
  438. Police Department disclosed further information concerning the
  439. on-going investigation of alleged 911 disruption throughout the
  440. eastern seaboard of the United States by individuals purporting to be
  441. members of the hacker group "The Legion of Doom" (LOD).
  442.  
  443. Leonard identified the individual arrested in Newark, New Jersey,
  444. previously referred to only as "Maverick", as Scott Maverick, 23.
  445. Maverick has been charged with terroristic threats, obstruction of a
  446. government function, and illegal access to a computer. He is presently
  447. out on bail.
  448.  
  449. Leonard said that David Pluchino, 22 was charged to the same counts as
  450. Maverick and an additional count of the possession of burglar tools.
  451. Leonard said that Pluchino, the subject of a 1990 Secret Service
  452. "search and seizure" action under the still on-going "Operation
  453. SunDevil" investigation" possessed information linking him with
  454. members of the Legion of Doom.
  455.  
  456. The Legion of Doom connection has become the subject of controversy
  457. within the online community. Although Maverick has been quoted as
  458. saying that he is a member of the group and that that the group's
  459. intent was "to attempt to penetrate the 911 computer systems and
  460. inflect them with viruses to cause havoc", members of the group have
  461. disavowed and connection with those arrested. "Lex Luthor", one of the
  462. original members of the group told Newsbytes when the initial report
  463. of the arrests became public "As far as I am concerned the LOD has
  464. been dead for a couple of years never to be revived. Maverick was
  465. never in LOD. There have been 2 lists of members (one in phrack and
  466. another in the lod tj) and those lists ar the final word on
  467. membership.  We obviously cannot prevent copy-cats from saying they
  468. are in lod. When there was an LOD, our goals were to explore and leave
  469. systems as we found them. The goals were to expose security flaws so
  470. they could be fixed before REAL criminals and vandals such as this
  471. Maverick character could do damage. If this Maverick character did
  472. indeed disrupt E911 service he should be not only be charged with
  473. computer trespassing but also attempted murder. 911 is serious
  474. business."
  475.  
  476. Lex Luthor's comments, made before the names of the arrested were
  477. released,  were echoed by Chris Goggans, a/k/a "Erik Bloodaxe, and
  478. Mark Abene, a/k/a Phiber Optik, both ex-LOD members and by Craig
  479. Neidorf who chronicled the membership of LOD in his electronic
  480. publication Phrack.
  481.  
  482. When the names of the arrested became public, Newsbytes again
  483. contacted Lex Luthor to see if the names were familiar. Luthor replied
  484. "Can't add anything, I never heard of them."
  485.  
  486. Phiber Optik, a New York resident told Newsbytes that he remembered
  487. Pluchino as a person that ran a computer "chat" system called
  488. "Interchat" based in New Jersey. Phiber added "They never were LOD
  489. members and Pluchino was not known as a computer hacker. It sounds as
  490. though they were LOD wanabees who are now, by going to jail, going to
  491. get the attention they desire."
  492.  
  493. A law enforcement official, familiar with the SunDevil investigation
  494. of Pluchino, agreed with Phiber, saying "there was no indication of
  495. any connection with the Legion of Doom." The official, speaking under
  496. the condition of anonymity, also told Newsbytes that the SunDevil
  497. investigation of Pluchino is still proceeding and, as such, cannot be
  498. commented on.
  499.  
  500. Leonard also told Newsbytes that the investigation has been a joint
  501. effort of New Jersey, Maryland and Virginia police departments and
  502. said that, in conjunction with the October 9th 2:00 AM arrests of
  503. Pluchino and Maverick, a simultaneous "search and seizure" operation
  504. was carried out at the Hanover, Maryland home of Zohar Shif, a/k/a
  505. "Zeke", a 23 year-old who had also been the subject of a SunDevil
  506. search and seizure.
  507.  
  508. Leonard also said that, in addition to computers taken from Pluchino,
  509. material was found "establishing a link to the Legion of Doom." Told
  510. of the comments by LOD members that the group did not exist anymore,
  511. Leonard said "While the original members may have gone on to other
  512. things, these people say they are the LOD and some of them have direct
  513. connection to LOD members and have LOD materials."
  514.  
  515. Asked by Newsbytes to comment on Leonard's comments, Phiber Optik said
  516. "The material he's referring to is probably text files that have been
  517. floating around BBS's for years, Just because someone has downloaded
  518. the files certainly doesn't mean that they are or ever were connected
  519. with LOD."
  520.  
  521. (Barbara E. McMullen & John F. McMullen/19921020)
  522.  
  523. ------------------------------
  524.  
  525. Date: Wed, 21 Oct 92 03:23:28 EDT
  526. From: mcmullen@MINDVOX.PHANTOM.COM(John F. McMullen)
  527. Subject: File 4--NY State Police Decriminalize the word "Hacker" (Newsbytes)
  528.  
  529. The following appeared on Newsbytes (10/21/92). Newsbytes is
  530. a commercial service an its material is copyrighted. This piece is
  531. reprinted with the express permission of the authors.
  532. ==========================================================
  533.  
  534. ALBANY, NEW YORK, U.S.A., 1992 OCT 21(NB) -- Senior investigator Ron
  535. Stevens of the New York State Police Computer Unit has told Newsbytes
  536. that it will be the practice of his unit to avoid the use of the term
  537. "hacker" in describing those alleged to have committed computer
  538. crimes.
  539.  
  540. Stevens told Newsbytes "We use the term  computer criminal to describe
  541. those who break the law using computers. While the lay person may have
  542. come to understand the meaning of hacker as a computer criminal, the
  543. term isn't accurate. The people in the early days of the computer
  544. industry considered themselves hackers and they made the computer what
  545. it is today. There are those today who consider themselves hackers and
  546. do not commit illegal acts."
  547.  
  548. Stevens had made similar comments in a recent conversation with Albany
  549. BBS operator Marty Winter. Winter told Newsbytes ""Hacker" is,
  550. unfortunately an example of the media taking what used to be an
  551. honorable term, and using it to describe an activity because they (the
  552. media) are too damned lazy or stupid to come up with something else.
  553. Who knows, maybe one day "computer delinquent" WILL be used, but I
  554. sure ain't gonna hold my breath.
  555.  
  556. Stevens, together with investigator Dick Lynch and senior investigator
  557. Donald Delaney, attended the March 1993 Computers, Freedom and Privacy
  558. Conference (CFP-2) in Washington, DC and met such industry figures as
  559. Glenn Tenney, congressional candidate and chairman of the WELL's
  560. annual "Hacker Conference"; Craig Neidorf, founding editor and
  561. publisher of Phrack; Steven Levy, author of "Hackers" and the recently
  562. published "Artificial Life"; Bruce Sterling, author of the recently
  563. published "The Hacker Crackdown"; Emmanuel Goldstein, editor and
  564. publisher of 2600: The Hacker Quarterly and a number of well-known
  565. "hackers".  Stevens said "When I came home, I read as much of the
  566. literature about the subject that I could and came to the conclusion
  567. that a hacker is not necessarily a computer criminal."
  568.  
  569. The use of the term "hacker' to describe those alleged to have
  570. committed computer crimes has long been an irritant to many in the
  571. on-line community. When the the July 8th federal indictment of 5 New
  572. York City individuals contained the definition of computer hacker as
  573. "someone who uses a computer or a telephone to obtain unauthorized
  574. access to other computers.", there was an outcry on such electronic
  575. conferencing system as the WELL (Whole Earth 'Lectronic Link). Many of
  576. the  same people reacted quite favorably to the Stevens statement when
  577. it was posted on the WELL.
  578.  
  579. (Barbara E. McMullen & John F. McMullen/19921021)
  580.  
  581. ------------------------------
  582.  
  583. Date: Fri, 23 Oct 92 18:21:12 CDT
  584. From: Moderators <tk0jut2@mvs.cso.niu.edu>
  585. Subject: File 5--Update on Toronto Bust of Early October
  586.  
  587. When Toronto Metropolitan Police apprehended a 15 year old "computer
  588. hacker" in the first week of October for disrupting the Toronto E911
  589. system, the details about the extent of computer use was raised. From
  590. initial reports, it appeared that the primary offense involved
  591. repeated telephone hoaxes rather than an actual penetration of the
  592. E911 computer system itself.  Today, a spokesperson for the Toronto
  593. Metropolitan Police, the agency in charge of the case, provided
  594. further details.
  595.  
  596. The disruption of the system itself involved a series of hoax calls to
  597. Toronto emergency services. However, the calls were made by "phone
  598. phreaking," in which calls were routed through a series of
  599. PBX-Alliance-Meridien systems in the United States.  In addition to
  600. theft of communication, the youth is being charged on 24 separate
  601. counts of mischief and 10 counts of conveying false messages (false
  602. alarms to the E911 system).
  603.  
  604. The spokesperson explained that under Canadian law, violations are
  605. divided into indictable offenses and summary offenses.  The former are
  606. equivalent in the U.S. to felony charges, and the latter to
  607. misdemeanor charges.  The spokesperson indicated that the charges in
  608. this case fall under provincial jurisdiction.  The Canadian justice
  609. system is somewhat different than that of the U.S., which has federal,
  610. state, and local jurisdictions. In the U.S., computer crimes may fall
  611. under federal jurisdiction involving the Secret Service (for most
  612. telecommunications/computer crimes) or the F.B.I. (for crimes in which
  613. a federal computer is involved).  Although Canada also has tri-level
  614. jurisdiction (federal, provincial--centralized authority in each
  615. province, and municipal--the equivalent of city police in the U.S.),
  616. computer crimes come under the jurisdiction of provincial or municipal
  617. police.  Because the youth is a minor, the trial will be held in camera
  618. (closed session) and records will not be made public.
  619.  
  620. The spokesperson said that, judging from the existing evidence, the
  621. youth was acting alone and the case was unrelated to the recent cases
  622. in New York/New Jersey.
  623.  
  624. ------------------------------
  625.  
  626. Date: 20 Oct 1992 18:00:41 -0800
  627. From: "Stuart Hauser" <stuart_hauser@QM.SRI.COM>
  628. Subject: File 6--SRI Seeks "Phreaks" for New Study
  629.  
  630. A team working with Donn Parker at the SRI is gathering information
  631. about the perceived vulnerabilities (and related topics) of the
  632. software and control systems of the public switched telephone and data
  633. networks from the perspective of the hacker community and other
  634. knowledgeable sources.  It is an extension of prior research that Donn
  635. has been carrying on over the past 20 years into the vulnerabilities
  636. of end-user computer systems, also from the perspective of hackers.
  637. Like the other projects, this is a pure research study.
  638.  
  639. Our objective is to gather our information through face-to-face,
  640. telephone and keyboard interviews of members of the hacker community
  641. and its observers in the next two to four weeks. We are not attempting
  642. to identify and collect information on criminal activities, but rather
  643. on what folks know or hear about the weaknesses and vulnerabilities of
  644. the PSTN/PDNs.  Below is a more complete brief on our interests.
  645.  
  646. Stuart Hauser
  647.  
  648. ***********************************************************
  649.  
  650. Information Sheet for Participants in SRI's Study of the Public
  651. Switched Telephone Network
  652.  
  653. October 1992
  654.  
  655. SRI International is conducting a study of the security aspects of
  656. voice and data communications networks, referred to as "Cyberspace" by
  657. some.  Specifically, we are looking at the security of the public
  658. switched telephone networks and public data networks (PSTN/PDN) from
  659. the perspective of the vulnerability of the network management and
  660. control software residing in the switching systems and the computers
  661. that manage them.  This study is part of SRI's ongoing research into
  662. information and communications systems worldwide and how they are
  663. viewed by the international "hacker" community.  We are seeking the
  664. views of many experts-including what we have called "good hackers" for
  665. many years-on a number of issues relating to the security and
  666. vulnerability of the PSTN/PDNs, and on the international "malicious
  667. cracker" community.
  668.  
  669. We know that the security of the software that controls the PSTN/PDNs
  670. is as important to most hackers as it is to everyone else who is
  671. interested in exploring Cyberspace.  Consequently, we believe that the
  672. good hackers are as interested as we are in helping us and other
  673. PSTN/PDN stakeholders understand what the really malicious crackers
  674. might see as the weaknesses and vulnerabilities of these networks,
  675. what new technologies-including the use of human engineering
  676. techniques-they might be planning to use to gain access, and what they
  677. might be planning to do next.
  678.  
  679. This study is being led and conducted by Donn B. Parker, who has been
  680. conducting this type of research for SRI International and its clients
  681. for the past 20 years, and is well known throughout both the good
  682. hacker and malicious cracker communities.  As in the case of the prior
  683. field research of this kind, Mr. Parker and his associates will be
  684. gathering information through face-to-face interviews of the members
  685. of the hacker community in the United States, Canada, Europe, and
  686. several other countries.
  687.  
  688. SRI International is a research and consulting organization that is
  689. not owned by any business or government agency; we are not in the law
  690. enforcement or criminal investigation business.  This is a pure
  691. research project to determine the vulnerability and security of the
  692. software that manages and controls the PSTN/PDNs.  Our interests are
  693. very much the same as were those for earlier projects in which our
  694. interests were focused on the vulnerability and security of the now
  695. widely used computer information systems.  We do not work with law
  696. enforcement agencies to collect information on any individual or group
  697. and we will not reveal the names of our information sources unless the
  698. sources ask us to do so.  A summary of our findings will be sent to
  699. you on request after the study has been completed.
  700.  
  701. By working together in this way, SRI and cooperating information
  702. professionals can help protect the major highways of Cyberspace for
  703. our respective uses and interests.
  704.  
  705. Donn B. Parker
  706. dparker@sri.com
  707. (415) 859-2378
  708.  
  709. ------------------------------
  710.  
  711. Date: Wed, 21 Oct 92 11:03:12 -0400
  712. From: bx981@CLEVELAND.FREENET.EDU(Larry Schilling)
  713. Subject: File 7--XIOX's Anti-Phone-Fraud Products (Press Release)
  714.  
  715.              XIOX'S FORT KNOX PRODUCTS COMBAT PHONE FRAUD
  716.                     EXPERIENCED BY U.S. BUSINESSES
  717.  
  718. NEW YORK (OCT. 20) BUSINESS WIRE - Xiox' Fort Knox line of products is
  719. aimed directly at reducing the estimated $4 billion of losses to
  720. telephone service theft experienced by American businesses each year.
  721.  
  722. And they are the first products that combat telephone "hacking"
  723. without requiring businesses to shut off vulnerable PBX features.
  724.  
  725. According to John Hough, noted phone fraud expert and author of "Toll
  726. Fraud and Telabuse," business losses from telephone fraud, or
  727. "hacking," are estimated at $4 billion per year.
  728.  
  729. Hough, chairman of Telecommunications Advisors Inc. (a Portland, Ore.
  730. consulting firm), indicates that the average loss per incident to
  731. users exceeds $90,000.  Hough's firm estimates that more than 35,000
  732. users will become victims of toll fraud in 1992.
  733.  
  734. Xiox estimates that every business has a one in 18 chance of being
  735. hacked. The implications for security, however serious they may be in
  736. terms of stolen service costs, become even more formidable when the
  737. risk to a company's data is factored in.  Many organizations' computer
  738. systems are accessible through the telephone lines, and their computer
  739. data is only as secure as their phone system.
  740.  
  741. In addition to creating enormous business losses, hackers have forced
  742. businesses to shut off valuable and convenient features such as Direct
  743. Inward System Access (DISA), Remote System Access, home agent
  744. connections and remote diagnostics lines.
  745.  
  746. All these PBX features became access paths to hackers, who re-sell the
  747. illegally-obtained services.  Businesses experience further "hidden
  748. losses" because they can't use the telephone for critical purposes.
  749.  
  750. "Fort Knox products are the most straightforward and economical
  751. approach I've seen to enable users to keep their telephone systems
  752. both 'open and secure,'" said Ed Freyermuth, telecom manager for
  753. PacTel/Meridien Systems.
  754.  
  755. One of the Fort Knox products, Hacker Tracker, gives users the ability
  756. to track and trap hackers, opening up the possibility of apprehending
  757. them.
  758.  
  759. "Hackers have proliferated over the past ten years, possibly because
  760. of their connection to the illegal drug trade," said Wanda
  761. Gamble-Braggs, manager of Systems Integrity, Western Division of MCI.
  762.  
  763. "Unlike most crimes, they leave no evidence and are at little risk of
  764. being caught.  The approach to security taken by the Xiox system is
  765. the first one that MCI has seen that gives the user some hope of
  766. catching the criminal instead of becoming the next victim."
  767.  
  768. The Fort Knox family of anti-hacker products includes:
  769.  
  770. -- Hacker Preventer, an automated, intelligent system that senses
  771. deviation from "normal" telephone usage and cuts off access to
  772. hacking attempts.  It incorporates proprietary hardware- and
  773. software-based technology which attaches to the user's PBX.  Price:
  774. $10,000 to $28,000, depending on the size of the system needing
  775. protection.
  776.  
  777. -- Hacker Tracker is a specialized recording and reporting system
  778. incorporating proprietary software for tracking and trapping hackers.
  779. Price: $2,195.
  780.  
  781. -- Hacker Deadbolt is a proprietary hardware and software system
  782. providing protection for remote maintenance and testing ports of a
  783. PBX, voice mail system and other telephone equipment on the customer's
  784. premises.  It can be upgraded to become Hacker Preventer.  Price:
  785. $1,295.
  786.  
  787. These products may be purchased separately or together.  When
  788. installed, the Xiox Fort Knox products become an intelligent agent for
  789. monitoring all telecommunications traffic in and out of a system.
  790.  
  791. "At Solectron, we've analyzed the risk of being hacked," commented
  792. Dave Tichener, telecom manager for Solectron Inc.  "The Fort Knox
  793. system represents a very reasonably-priced insurance policy, compared
  794. to the potential loss."
  795.  
  796. All Fort Knox anti-hacker products are immediately available.
  797.  
  798. CONTACT:  Xiox Corp.
  799.     Michael O'Connell, 415/375-8188, ext. 228
  800.                 or
  801.     Oak Ridge Public Relations, Cupertino, Calif.
  802.     Ford Kanzler, 408/253-5042
  803.  
  804. ------------------------------
  805.  
  806. Date: Fri, 23 Oct 92 09:22:27 PDT
  807. From: Lawrence Schilling <lschilling@IGC.APC.ORG>
  808. Subject: File 8--CSC "Anti-Telecom Fraud" Device
  809.  
  810. Greetings.  Another telecommunications security product.  The
  811. technology here is way over my head, so much so that I really don't
  812. understand what this release is talking about.  Nonetheless I'm
  813. tempted to ask:  Is the need for security as great as these purveyors
  814. say and imply it is?  Do these products solve problems or create them
  815. or both?  Regards.  Larry Schilling
  816.  
  817. =START=   XMT: 15:38 Thu Oct 22  EXP: 16:00 Sun Oct 25
  818.  
  819. CSC ANNOUNCES PRODUCT TO CUT FRAUD IN WIRELESS TELECOMMUNICATIONS INDUSTRY
  820.  
  821. EL SEGUNDO, CA (OCT. 22) BUSINESS WIRE - A new software product that
  822. combats fraud in the wireless telecommunications industry was
  823. announced Thursday by Computer Sciences Corp. (NYSE:CSC).
  824.  
  825. Called FraudBuster, the product was developed by Coral Systems Inc., a
  826. Longmont, Colo.-based applications software firm serving the cellular
  827. telecommunications market.  CSC has exclusive marketing rights to the
  828. product and is supporting software development.
  829.  
  830. According to John Sidgmore, president of CSC's telecommunications
  831. business unit, CSC Intelicom, ''Right now, about $15 million worth of
  832. cellular calls are being made in the U.S. each day -- and of that,
  833. fraud is draining about $1.5 million daily from carriers' revenues.
  834.  
  835. FraudBuster is part of a series of offerings by CSC Intelicom and
  836. Coral to support wireless carriers with software that addresses needs
  837. such as billing, fraud and seamless roaming, which routes calls to a
  838. cellular user at any location.
  839.  
  840. According to Coral President Eric Johnson, the teaming of CSC
  841. Intelicom and Coral gives wireless carriers access to the full breadth
  842. of technologies needed to support a nine-year-old industry that's
  843. slated to reach $100 billion by the year 2000.
  844.  
  845. The industry's most compelling problem right now, said Johnson, is
  846. fraud.  But a second top concern among carriers is how to keep up with
  847. fast-changing network technologies.
  848.  
  849. FraudBuster, he said, was designed to address both needs.
  850.  
  851. What makes FraudBuster unique, he noted, is its Unix open-systems
  852. architecture that integrates with today's cellular networks and
  853. evolving intelligent networks of the future.  Proprietary and
  854. DOS-based systems, he noted, don't offer that flexibility.
  855.  
  856. FraudBuster is also available now.
  857.  
  858. The product is also unique in its use of artificial intelligence to
  859. track subscriber calling patterns.  Using a complex set of algorithms,
  860. FraudBuster creates a behavioral profile of each subscriber, based on
  861. his or her historical usage patterns.  Actual calls are then analyzed,
  862. and network operators are immediately alerted when calls that are
  863. markedly different from the norm occur.
  864.  
  865. The problem with most systems on the market today, said Johnson, is
  866. their use of simple, across-the-board checks that don't take into
  867. account the unique habits of each user.  What's more, checks
  868. themselves are too limited, reflecting a single variable -- such as
  869. number of calls -- rather than the complex array of factors that can
  870. accurately help carriers distinguish a real subscriber from an illegal
  871. one.
  872.  
  873. By residing on a carrier's network and operating in real time,
  874. FraudBuster can quickly alert a carrier to problems.  Carriers can
  875. also configure the product to fit their particular needs.  For
  876. example, FraudBuster's algorithms can be easily tuned to increase its
  877. sensitivity to specific types of fraud occurring in a particular
  878. market.
  879.  
  880. In addition to combating the most common types of fraud, including
  881. clone phones and tumbler phones, FraudBuster can detect new types of
  882. fraud as they develop.  It can also operate in either a distributed or
  883. centralized processing environment.
  884.  
  885. As part of a series of software products being offered by CSC and
  886. Coral to the wireless industry.  FraudBuster can be used on a stand-
  887. alone basis or be integrated with other wireless software solutions
  888. such as Coral's Home Locations Register, which offers carriers
  889. seamless roaming and pre-call subscriber validation.
  890.  
  891. With headquarters in El Segundo, Computer Sciences is the largest
  892. independent provider of information technology consulting, systems
  893. integration and outsourcing to industry and government.  CSC has more
  894. than 26,500 employees worldwide and annual revenues of $2.3 billion.
  895.  
  896. CONTACT:  Computer Sciences Corp., El Segundo
  897.    C. Bruce Plowman/Bill Lackey/Mary Rhodes, 310/615-0311.
  898.  
  899. ------------------------------
  900.  
  901. Date: 21 Oct 92 20:02:13 EDT
  902. From: Gordon Meyer <72307.1502@COMPUSERVE.COM>
  903. Subject: File 9--The CU in the News (from Info Week)
  904.  
  905. Information Week (Oct 5, 1992 p10) reports that AT&T is suing the New
  906. York Post for over $90,000 in unpaid long distance charges.  The Post
  907. claims the charges stem from fraudulent use of its PBX system, but
  908. AT&T says that under current FCC regulations customers are responsible
  909. for all charges on calls placed from their telephones, period.  There
  910. are 'rumblings' that a similar suit between AT&T and Mitsubishi is
  911. about to be settled.
  912.  
  913. CONGRESS DECLARES SOFTWARE PIRACY A FELONY
  914.  
  915. The Software Copyright Protection Bill (S.893) has been sent to
  916. President Bush for his signature.  The bill provides for prison terms
  917. of up to five years, and fines of up to $250K, for people convicted of
  918. infringing at least 10 copies of a copyrighted program or programs
  919. with a retail value of $2,500.  This applies to both individuals and
  920. corporations.  (Information Week Oct. 12, 1992 pg 16)
  921.  
  922. MARSHALS GRAB COUNTERFEIT SOFTWARE
  923.  
  924. According to Microsoft Corp., U.S. marshals in California and New
  925. Jersey have made the largest-ever seizure of unauthorized computer
  926. software, impounding more than 150,000 counterfeit copies of its
  927. MS-DOS operating system.  The software retails for approximately $60 a
  928. copy, bringing the value of the seizure to more than $9 million.
  929. (From STReport #8.41)
  930.  
  931. ------------------------------
  932.  
  933. End of Computer Underground Digest #4.53
  934. ************************************
  935.