home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / cud / cud454.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  30.9 KB  |  812 lines
  1. Computer underground Digest    Sun Oct 31, 1992   Volume 4 : Issue 54
  2.  
  3.        Editors: Jim Thomas and Gordon Meyer (TK0JUT2@NIU.BITNET)
  4.        Archivist: Brendan Kehoe
  5.        Shadow-Archivists: Dan Carosone / Paul Southworth / Ralph Sims
  6.        Copy Editor: Etaion Shrdleaux, Sr.
  7.  
  8. CONTENTS, #4.54 (Oct 31, 1992)
  9. File 1--Two New Shadows
  10. File 2--Some comments on NBC Dateline's "Hacker" Segment
  11. File 3--Transcript of DATELINE NBC:  ARE YOUR SECRETS SAFE
  12. File 4--Somebody gets access to freeway callbox codes, runs up bill
  13.  
  14. Cu-Digest is a weekly electronic journal/newsletter. Subscriptions are
  15. available at no cost from tk0jut2@mvs.cso.niu.edu. The editors may be
  16. contacted by voice (815-753-6430), fax (815-753-6302) or U.S. mail at:
  17. Jim Thomas, Department of Sociology, NIU, DeKalb, IL 60115.
  18.  
  19. Issues of CuD can also be found in the Usenet comp.society.cu-digest
  20. news group; on CompuServe in DL0 and DL4 of the IBMBBS SIG, DL1 of
  21. LAWSIG, and DL0 and DL12 of TELECOM; on Genie in the PF*NPC RT
  22. libraries; from America Online in the PC Telecom forum under
  23. "computing newsletters;" on the PC-EXEC BBS at (414) 789-4210; in
  24. Europe from the ComNet in Luxembourg BBS (++352) 466893; and using
  25. anonymous FTP on the Internet from ftp.eff.org (192.88.144.4) in
  26. /pub/cud, red.css.itd.umich.edu (141.211.182.91) in /cud, halcyon.com
  27. (192.135.191.2) in /pub/mirror/cud, and ftp.ee.mu.oz.au (128.250.77.2)
  28. in /pub/text/CuD.  Back issues also may be obtained from the mail
  29. server at mailserv@batpad.lgb.ca.us.
  30. European distributor: ComNet in Luxembourg BBS (++352) 466893.
  31.  
  32. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  33. information among computerists and to the presentation and debate of
  34. diverse views.  CuD material may  be reprinted for non-profit as long
  35. as the source is cited.  Some authors do copyright their material, and
  36. they should be contacted for reprint permission.  It is assumed that
  37. non-personal mail to the moderators may be reprinted unless otherwise
  38. specified.  Readers are encouraged to submit reasoned articles
  39. relating to computer culture and communication.  Articles are
  40. preferred to short responses.  Please avoid quoting previous posts
  41. unless absolutely necessary.
  42.  
  43. DISCLAIMER: The views represented herein do not necessarily represent
  44.             the views of the moderators. Digest contributors assume all
  45.             responsibility for ensuring that articles submitted do not
  46.             violate copyright protections.
  47.  
  48. ----------------------------------------------------------------------
  49.  
  50. Date: Tue, 20 Oct 1992 18:20:24 -0400
  51. From: Brendan Kehoe <brendan@EFF.ORG>
  52. Subject: File 1--Two New Shadows
  53.  
  54. I'm pleased to announce the availability of two additional mirrors of
  55. the Computer Underground Digest archives.  The main archive at
  56. ftp.eff.org is now replicated by:
  57.  
  58. IN THE US:
  59. red.css.itd.umich.edu (141.211.182.91) in /cud(Michigan)
  60. halcyon.com (192.135.191.2) in /pub/mirror/cud(Washington)
  61.  
  62. IN AUSTRALIA:
  63. ftp.ee.mu.oz.au (128.250.77.2) in /pub/text/CuD
  64.  
  65. All three are exact copies of the archives stored on the EFF's machine.
  66. Please save the bandwidth and visit the site closest to you.
  67.  
  68. A shadow in Europe or Scandinavia would also help (there's a lot of
  69. interest from people in Finland, Sweden, Great Britain, and Germany
  70. particularly).
  71.  
  72. Brendan Kehoe
  73. cudarch@eff.org
  74.  
  75. ------------------------------
  76.  
  77. Date: Sat, 31 Oct 92 16:11:58 CST
  78. From: Jim Thomas <well@sf.ca.us>
  79. Subject: File 2--Some comments on NBC Dateline's "Hacker" Segment
  80.  
  81. About a month ago, Susan Adams, producer of NBC's Dateline called me.
  82. She indicated that Dateline was going to do a story on hackers, and
  83. she wanted to know how many "hacker busts" had gone to court.  She
  84. limited the term "hacker" to teenaged computer intruders, and did not
  85. seem interested in the more serious crimes of professional
  86. criminals who ply their trade with computers or with computer abusers
  87. who prey on their employers.  Suspecting a pre-defined slant to the
  88. story, I attempted to make it clear that, despite increased visibility
  89. of attention to computer abuse, there have been relatively few
  90. indictments.  Operation Sun Devil, I explained, was mostly smoke and
  91. served more to dramatize "hacker activity" far more than its success
  92. in apprehending them.  I provided some basic background in the Sun
  93. Devil, Len Rose, and Phrack cases, some  of which she seemed to know.
  94. I emphasized the civil rights issues, the complexity of the "hacker
  95. phenomenon," and the hyperbole of law enforcement and media that
  96. distorts the nature of the problem and thereby obstructs solutions.
  97. At some length I attempted to explain the problem of media
  98. sensationalism, the problems of balancing Constitutional rights with
  99. legitimate law enforcement interests and the potential for abuse that
  100. created by an imbalance, and the need for responsible and incisive
  101. reporting by the media.  Ms. Adams indicated that she had talked to
  102. Mike Godwin of the EFF, who I presumed would have told her the same
  103. thing, and others who claimed to have been contacted by Dateline staff
  104. indicated that they, too, cautioned against sensationalism. Believing
  105. that NBC would like to think that its quality of programming exceeds
  106. that of Geraldo's "Now it can be Told" (See CuD #3.37 special issue on
  107. "Mad Hacker's Key Party"), I anticipated a balanced, accurate, and
  108. non-sensationalized depiction of "hackers." To paraphrase H.L.
  109. Mencken, nobody ever went broke underestimating the accuracy of tv
  110. tabloid journalism.  The program that aired on Tuesday, October 27,
  111. 1992, could have been worse, but that's hardly a sound way to evaluate
  112. a program.
  113.  
  114. The teaser to the "Are Your Secrets Safe" segment framed the story
  115. around the potential dangers that "hackers" pose: They can wipe-out
  116. your bank account, crash the E911 system, and destroy the nation's
  117. telephone networks. In case we missed the point, footage from
  118. Sneaker's linked Ben Kingsly's scene, in which he discussed his mad
  119. scheme of "bringing down the whole damn system" with the activities of
  120. "hackers." The opening shot of a silhouetted young hacker identified
  121. only under the pseudonym "Quintin" bragging about his exploits
  122. reinforced the shadowy activities.  Quintin demonstrated no skills,
  123. and other than simply assert that he had previously engaged in vague
  124. activities, his primary function on the show seemed to be little more
  125. than as a dramatic prop that enabled the producers to shape the mood
  126. of their recreation.  Quintin may or may not be an arch-fiend, but he
  127. neither did nor said anything that established credibility. Even the
  128. screen shot of nic.ddn.mil and UFO information has a piscine
  129. smell--there was no evidence that it was anything more than a file
  130. readily obtained either by ftp or even (shades of Cliff Stoll) a file
  131. inserted in a computer system to trap intruders. Either way, the
  132. mystery of Quintin's identity seemed the message, and he provided
  133. nothing of any substance not known to anybody who roams the Internet.
  134.  
  135. Brief interviews with Kent Alexander, the prosecutor in the "Atlanta
  136. 3" case, and with Scott Ticer of BellSouth, elicited the
  137. corporate/law-enforcement view of hackers as dangerous criminals who
  138. should be prosecuted. For them, the issues are black and white,
  139. simple, and unequivocal. The solutions to the problem are clear, as
  140. the Atlanta Legion of Doom cases indicated:  Put 'em in prison.
  141.  
  142. The moderator, Jon Scott, then informed the audience that, to learn
  143. more about the hacker world, he went "underground." Dramatic
  144. terminology, but grossly inaccurate.  To go "underground" presumably
  145. would mean hooking up with people surreptitiously involved in on-going
  146. intrusion who could clearly demonstrate how one might break into
  147. military computers, access and re-program the E911 system, or shift
  148. money from one bank account to another. Scott did none of this.
  149. Instead, he interviewed two former LoD participants, both of whom are
  150. visible and quite "above ground," and neither of whom demonstrated
  151. much of value, let alone anything that could be considered dangerous.
  152. Adam Grant, sentenced to a brief stint in Federal prison in the
  153. "Atlanta 3" case, and Scott Chasin, a former LoD participant who, with
  154. some LoD friends, were partners in ComSec, a short-lived  computer
  155. security consulting firm, demonstrated a few "hacker tricks," but
  156. nothing that could even remotely be considered dangerous.
  157.  
  158. Grant explained "trashing"--rummaging through trash to find useful
  159. information--to Scott. Grant took Scott to a BellSouth trashbin to
  160. illustrate how he used to trash. Although BellSouth presumably
  161. implemented policies requiring locks on trashbins, on one side of the
  162. bin the lock was unlocked and there was no lock on the other side. One
  163. presumes nothing of interest was found, or it would have become another
  164. prop in the show. In Hacker Crackdown, Bruce Sterling provides an
  165. account of his own trashing experience during a moment of boredom at a
  166. law enforcement computer security conference (pp. 197-202) that was
  167. far more interesting and produced far more detailed information.
  168.  
  169. The interview with Scott Chasin was equally misleading.  Chasin typed
  170. what appeared to by a simple "whois" command that lists the Internet
  171. addresses of the target. "whois NSA" would produce a list of all
  172. accessible NSA addresses.  For example, typing "whois jthomas" would
  173. produce the following addresses on military computers:
  174.  
  175.      whois jthomas
  176.      Thomas, James (JT276)jthomas@TECNET1.JCTE.JCS.MIL
  177.             (703) 695-1565 225-1565
  178.      Thomas, James (JT5)jthomas@WSMR-EMH82.ARMY.MIL
  179.       (505) 678-5048 (DSN) 258-5048
  180.      Thomas, Jeffery (JT21)jthomas@TACHOST.AF.MIL
  181.        (804) 764-6610 (DSN)574-6610
  182.      Thomas, Jeffrey K. (JKT9)jthomas@WSMR-EMH02.ARMY.MIL
  183.       (505) 678-4597 (DSN) 258-4597
  184.      Thomas, Jennifer L. (JLT9)jthomas@APG-EMH5.APG.ARMY.MIL
  185.       (301) 671-2619 (DSN) 584-2619
  186.      Thomas, Joseph, Jr. (JT168)jthomas@REDSTONE-EMH2.ARMY.MIL
  187.       (205) 876-7407 (DSN) 746-7407
  188.      Thomasovich, John L. (JLT5)jthomas@PICA.ARMY.MIL
  189.       (201) 724-3760 (DSN) 880-3760
  190.  
  191. Or, "whois 162.45.0.0" would give:
  192.  
  193.      Central Intelligence Agency (NET-CIA)
  194.         Central Intelligence Agency
  195.         OIT/ESG/DSED
  196.         Washington, DC 20505
  197.  
  198.         Netname: CIA
  199.         Netnumber: 162.45.0.0
  200.  
  201.         Coordinator:
  202.            703-281-8087
  203.  
  204.         Record last updated on 22-Jul-92.
  205.  
  206. Or, "ftp nic.ddn.mil" would connect us to the Network Information
  207. Center, which was shown on Quintin's screen, a military system that
  208. allows anonymous ftp privileges, where the command "cd /pub ; ls"
  209. would produce a list of the documents that one could (legally) rummage
  210. through.  One could "grep" or "find"  "UFO" or any other key word
  211. quite legitimately. Dateline did a major disservice to viewers by not
  212. explaining at least minimal basics of computer technology and the
  213. workings of Internet.  Nothing portrayed by Chasin or Scott or on the
  214. screen necessarily indicated wrong doing, and in fact it seemed
  215. nothing more than a routine use of commands available to anyone with a
  216. Unix system and Internet access.  In fact, we learned nothing that
  217. isn't explained in Krohl's "The Whole Internet" or Kehoe's "Zen and
  218. the Art of the Internet." Dateline took basic information and made it
  219. appear arcane, dangerous, and of special significance.
  220.  
  221. Chasin next demonstrated "social engineering," in which a telephone
  222. caller attempts to con useful information from somebody through
  223. deception. Chasin was given a week to access any point of a system
  224. belonging to a corporation identified only as one of the "Fortune
  225. 500." Posing as a company computer operator, it took only a few calls
  226. and 90 minutes (collapsed for dramatic effect into about a minute on
  227. the program) to con a receptionist out of her password. Whether this
  228. access would allow deeper penetration into the computers or simply
  229. allow the intruder to read the secretary's private mail remains
  230. unknown. Although a convincing demonstration of social engineering, it
  231. also emphasizes a point that Dateline glossed over, which hackers and
  232. security personnel have been saying for years: The greatest threat to
  233. computer security is the individual user.
  234.  
  235. Computer crime is serious. It is unacceptable. Computer predations are
  236. wrong. But, the Dateline description did little to illustrate its
  237. nature and complexity and did much to re-inforce public technophobia
  238. and fears of computer literate teenagers.  The issue here isn't
  239. whether the term "hacker" is again abused, whether "hackers" receive
  240. good or bad press, or whether a program develops a slant that is
  241. merely not to one's liking. Dateline's error was far more serious than
  242. any of these trivial cavils.  At root, Dateline presented
  243. misinformation, seemed to have a story carved out in advance and
  244. merely sought detail for it, and depicted little of substance in
  245. contriving a fear-mongering story organized around assertion rather
  246. than evidence.  It only confused the nature of computer crime, and
  247. confused perceptions lead to bad laws, bad law enforcement, and no
  248. solutions.
  249.  
  250. As Adam Grant pointed out, the fact that people have the ability to
  251. intrude upon a system or to shoot somebody does not mean they are
  252. necessarily social threats. To exaggerate a "hacker threat" feeds the
  253. folly of excessive punishment for computer delinquents, and it
  254. suggests that the answer to the "hacker problem" is to apprehend the
  255. hacker rather than address the broader questions of computer
  256. responsibility, computer security, and computer literacy.  Even with
  257. its hyperbole, Dateline could have salvaged some respectability if it
  258. had concluded by informing users that computer systems generally are
  259. intended to be open, that *trust* is a crucial element of computer
  260. use, and that users themselves can take significant steps to increase
  261. security little effort.
  262.  
  263. Dateline seemed uninterested in its responsibility to the public.  It
  264. seemed more interested in presenting a sexy story.  When Geraldo
  265. presented "Mad Hacker's Key Party," the producer had the class to
  266. engage in a dialogue with critics and seemed genuinely interested in
  267. learning from criticism. I wonder if Susan Adams, producer of this
  268. Dateline segment, will do the same?
  269.  
  270. ------------------------------
  271.  
  272. Date: Wed, 28 Oct 92 10:00:55 MST
  273. From: ahawks@NYX.CS.DU.EDU(we're tiny we're toony)
  274. Subject: File 3--Transcript of DATELINE NBC:  ARE YOUR SECRETS SAFE
  275.  
  276. >From the same guy that brought you a transcript of Geraldo's NOW IT
  277. CAN BE TOLD, here's a transcript of last night's DATELINE NBC episode
  278. which featured a segment called ARE YOUR SECRETS SAFE that dealt with
  279. hackers:
  280.  
  281. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  282.  
  283. Transcript of ARE YOUR SECRETS SAFE segment of
  284. DATELINE NBC airing October 27, 1992
  285.  
  286.      PRODUCER:       SUSAN ADAMS
  287.      EDITOR:         MARY ANN MARTIN
  288.  
  289. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  290.  
  291. Announcer: Well, when we come back, how computer hackers can make you
  292. and me their victims. The computer underground can potentially shut
  293. down our high-tech society. Our financial records, medical data,
  294. communications systems, it's all at their finger tips.  Jon Scott
  295. reports. Next.
  296.  
  297. <Commercials>
  298.  
  299. Announcer: <first few words garbled:  Paraphrased, "In the old
  300. days when you faced breaking and entering">...you knew it. Today, it's
  301. not that simple.  In our high tech society, we can be targets of crime
  302. and never suspect a thing. It's crime by computer hackers. They've
  303. been glamorized by Hollywood most recently in the hit film "Sneakers."
  304. But, how do real hackers operate, and just what kind of damage can
  305. they do? Tonight, Jon Scott goes into their world to see how they
  306. access ours.
  307.  
  308. [shot of computer screen, keys being pressed is the sound heard.
  309.  
  310. <Text on the screen reads:     We don't want to scare you, but ...>
  311.  
  312. [FADE to silhouette of shadowed hacker, voice altered electronically]
  313.  
  314. "QUINTIN":  I have accessed - you name it, really:  credit card
  315. companies, telephone companies, government installations, military
  316. installations, political organizations, senators' computer systems.
  317.  
  318. JON SCOTT [reporter]<voice-over>:  His voice is altered.  His face
  319. hidden.  His name - an alias.
  320.  
  321. [fade to A HACKER {white male, approx. 14-18, wearing blue Yankess
  322. hat backwards, t-shirt and jeans} sitting at small desk in front of a
  323. laptop]
  324.  
  325. SCOTT:  In fact we don't even know his real name.  That's the only
  326. way "Quintin" would agree to talk to us.  Because "Quintin" is a
  327. hacker: a computer genius who illegally breaks into computers for
  328. fun.
  329.  
  330. [fade back to silhouette shot, camera shot alters between SCOTT
  331. {reporter} and QUINTIN]
  332.  
  333. SCOTT:  Have you ever shared information, say, about a company with
  334. one of their competitors?
  335.  
  336. QUINTIN:  That I have not done.
  337.  
  338. SCOTT:  Have you ever been tempted to?
  339.  
  340. QUINTIN:  Umm, there's always kind of the lurking temptation.
  341.  
  342. [fade to shot of QUINTIN's hands at keyboard]
  343.  
  344. SCOTT<voice-over>:  It's a frightening thought:  someone breaking
  345. into your computer and roaming around in it with the potential to
  346. share, sell, even alter what they see.  That's what hackers can do.
  347. Quintin told us he's read the private mail of a US Senator,
  348.  
  349. [close-up shot of laptop screen showing info from nic.ddn.mil
  350. concerning UFO info at Wright-Patterson Air Force Base in Ohio]
  351.  
  352. browsed through secret government files on UFOs, and gone snooping in
  353. our nation's military computers.
  354.  
  355. [fade back to silhouette shot again]
  356.  
  357. SCOTT:  Do you recognize that what you do is illegal?
  358.  
  359. QUINTIN:  <pause>  Yeah, Yeah I do.
  360.  
  361. SCOTT:  Is it immoral?
  362.  
  363. QUINTIN:  To me, no.
  364.  
  365. [fade to shot standing in the midst of a room filled with computers]
  366.  
  367. SCOTT:  More and more hackers like "Quintin" are out there, illegally
  368. breaking into systems that could contain information about you.
  369. Think about how much of your life is on a computer: your credit
  370. rating, financial records, your paycheck at work - computers run your
  371. telephone, your electricity, and your gas.  In corporate America, it
  372. seems, they run everything.
  373.  
  374. [fade to shot from the movie SNEAKERS - Ben Kingsley and Robert
  375. Redford sitting and talking]
  376.  
  377. REDFORD:  Stock market?
  378.  
  379. KINGSLEY:  Yes.
  380.  
  381. REDFORD:  Currency market?
  382.  
  383. KINGSLEY:  Yes.
  384.  
  385. REDOFRD:  Commodities market?
  386.  
  387. KINGSLEY:  Yes?
  388.  
  389. REDFORD:  Small countries?
  390.  
  391. KINGSLEY:  <pause>  I might even be able to crash the whole damn
  392. system.
  393.  
  394. SCOTT<voice-over>:  In the movie SNEAKERS, Ben Kingsley dreamed of
  395. using a computer to dismantle the world's financial system.  To some
  396. it's not so far-fetched.
  397.  
  398. [fade to shot of Kent Alexander in empty courtroom]
  399.  
  400. KENT ALEXANDER:  Most people think of this movie as science-fiction.
  401. After prosecuting this case, I think of it as reality.
  402.  
  403. SCOTT:  Former computer prosecuter Kent Alexander was one of the
  404. first to win a conviction against computer hackers.
  405.  
  406. ALEXANDER:  I've seen hackers who've tapped into phone systems and
  407. litterally tapped into phone lines to listen in on telephone
  408. conversations.  Hackers have broken into credit bureaus to get
  409. people's credit histories, hackers have broken into credit card
  410. records to have money wired to themselves.
  411.  
  412. [shot of newspaper clippings related to the Atlanta 3 LoD case]
  413.  
  414. SCOTT<voice-over>:  In a highly-publicized trial in 1990, Alexander
  415. sent three Atlanta hackers to jail, among them - Adam Grant.
  416.  
  417. [fade to shot of Grant and Scott walking to BellSouth building at
  418. night.]
  419.  
  420. SCOTT:  So how often would you come over here?
  421.  
  422. GRANT:  In the beginning as maybe as much as a couple times a week.
  423.  
  424. SCOTT<voice-over>:  Adam belonged to an elite hacker club called the
  425. Legion of Doom.  One of the methods he used to obtain secret computer
  426. codes was to rummage through the trash at BellSouth - the regional
  427. phone company in Atlanta.
  428.  
  429. [they stop in front of a BFI trash dumpster and examine it]
  430.  
  431. GRANT:  Back a few years ago they weren't locked.  You could just
  432. slide the doors open, reach in, grab a bag, leave.  This one's not
  433. even locked.
  434.  
  435. SCOTT<voice-over>:  Using the information he found here Adam was able
  436. to sit in front of his home computer and hack into the heart of
  437. BellSouth.
  438.  
  439. SCOTT:  They didn't learn something on this side [pointing to
  440. unlocked dumpster - slides it open, it contains a bunch of folded up
  441. cardboard boxes].
  442.  
  443. GRANT<voice-over>:  At BellSouth we were able to get into all manner
  444. of computers.
  445.  
  446. [fade to shot of Grant sitting and talking]
  447.  
  448. uh, the phone switches themselves.
  449.  
  450. SCOTT:  In essence you got to the point where you could've turned off
  451. everybody's phones in Georgia.
  452.  
  453. GRANT:  About any one of a couple dozen of us could've done that.
  454.  
  455. [fade to shot of interior of BellSouth command center]
  456.  
  457. SCOTT<voice-over>:  for more than a year, Adam and his friends had
  458. free access to the inner workings of 12 BellSouth computer systems.
  459.  
  460. [back to previous shot]
  461.  
  462. SCOTT:  They say you could've crashed or broken the 911 system.
  463.  
  464. GRANT:  Mmm-hmm <nods>.  The operative word for me is *could have*.
  465.  
  466. SCOTT:  You could have done that?
  467.  
  468. GRANT:  Yes.  I could go out and shoot people.  You can.
  469.  
  470. SCOTT:  BellSouth cracked down hard on Adam and the others, even
  471. though it acknowledges they never disrupted phone service or changed
  472. any customer accounts.
  473.  
  474. [shot of US phone network display]
  475.  
  476. [fade to shot of BellSouth spokesman Scott Ticer]
  477.  
  478. TICER:  We don't care what the motive may or may not be.
  479.  
  480. SCOTT<voice-over>:  Scott Ticer is a corporate spokesman for
  481. BellSouth.
  482.  
  483. TICER:  We are not talking about Wally and the Beav, much less Eddie
  484. Haskel.  We're not dealing with a bunch of mischievous pranksters
  485. playing in some high-tech toyland [possibly toilet, not clear].  This
  486. is a crime.
  487.  
  488. [shot of skyscraper]
  489.  
  490. SCOTT<voice-over>:  BellSouth is just one example of a company
  491. stalked by hackers.  In a recent New York case, members of a club
  492. known as the Masters of Deception
  493.  
  494. [shots of MoD-related newspaper articles]
  495.  
  496. were indicted, accused of hacking into institutions like:
  497.  
  498. [corporate logos appear on computer monitor]
  499.  
  500. the Bank of America, Martin Marietta, PacificBell, SouthwesternBell,
  501. New York Telephone, TRW, Information America, and New York
  502. University.  So how does a hacker get into these systems?  To find
  503. out, Dateline went underground into the hacker's world.
  504.  
  505. [fade to shot of Scott Chasin]
  506.  
  507. CHASIN:  Power and ego have a lot to do with hacking.
  508.  
  509. SCOTT:  21 year-old Scott Chasin spent 9 years as a hacker.  He says
  510. his hacker days are behind him now, but he still keeps tabs on the
  511. hacker underground.
  512.  
  513. [shot of monitor with a bunch of Account: and Password: 's]
  514.  
  515. CHASIN:  Basically these are passwords for a university that somebody
  516. has cracked.
  517.  
  518. SCOTT:  Scott showed as a hacker's secret meeting place - a private
  519. electronic bulletin board.
  520.  
  521. [shot of login to board called TCH]
  522.  
  523. individual hacker clubs set up these boards so members may swap
  524. information.
  525.  
  526. <reads message on screen>"I need some help figuring out how to crash
  527. my school's computer system"?  Is he serious?
  528.  
  529. CHASIN:  Sure.  Why wouldn't he be?
  530.  
  531. [varying shots of crack screens from pirated software and hacking
  532. utilities <password hackers, wardialers}]
  533.  
  534. SCOTT<voice-over>:  Hacker clubs, some of whose logos you see here,
  535. are very competitive.  Sometimes its club v. club, sometimes its
  536. member v. member.
  537.  
  538. [shot of Grant]
  539.  
  540. GRANT:  You want to make yourself unique.  And one of the best ways
  541. of doing that is being forceful - being obnoxious.
  542.  
  543. [shot of Grant typing]
  544.  
  545. SCOTT:  For many like Adam, the underground is the first place they
  546. found where they felt like they had power.
  547.  
  548. GRANT:  You think about:  "I can do something that's really
  549. different.  I can do nothing that none of my friends can.  I can do
  550. something that most people anywhere can't.  And that makes you stand
  551. out - makes you want to do it."  It's like a criminal olympics.
  552.  
  553. [shot of Chasin typing]
  554.  
  555. SCOTT<voice-over>:  Hackers might break into a computer with your
  556. name in it by accessing one of the computer networks which link
  557. millions of computers world-wide.  Scott showed us what he could
  558. reach from his living room.  We went looking for the top-secret
  559. National Security Agency.  We found it.
  560.  
  561. [shot of Chasin typing "NSA" on monitor, then:
  562.  
  563.      National Security Agency (NSA)
  564.      Network Services Agency (NET-NSA)
  565.      Whois: _
  566. ]
  567.  
  568. Same with the Pentagon.
  569.  
  570. [shot of monitor:
  571.  
  572.      PENTAGON-HQDADSS.ARMY.MIL
  573.      26
  574. ]
  575.  
  576. CHASIN:  Let's do a search for NASA.
  577.  
  578. SCOTT:  It's like searching the phonebook for someone's street
  579. address and learning where they live.
  580.  
  581. [screen shows 'whois' output of NASA matches]
  582.  
  583. CHASIN:  Found over 247 of 'em.
  584.  
  585. SCOTT:  247 NASA computers?
  586.  
  587. CHASIN:  Computers and networks, that are on the Internet.  Correct.
  588.  
  589. SCOTT:  But each of these NASA computers has a lock on it, and only
  590. authorized users like NASA employees are allowed to have th keys.  To
  591. "unlock" most computer systems, authorized employess type in their
  592. username and then their password.  Passwords and user names are
  593. supposed to be kept secret, but hackers have ways of getting them.
  594.  
  595. [shot of Quintin]
  596.  
  597. QUINTIN:  Sometimes it's as simple as a phone-call to the company and
  598. portraying myself as another employee, to pulling telephone records,
  599. to actually entering the building and places where I physically
  600. should not be.
  601.  
  602. SCOTT:  So on the one-hand you break into the building and then you
  603. break into the computers?
  604.  
  605. QUINTIN:  Yes.
  606.  
  607. [shot of Scott]
  608.  
  609. SCOTT:  Most hackers don't resort to burglary - they can get the
  610. information they need over the phone.  They call it social
  611. engineering - basically, it's a con job.  We asked Scott, the former
  612. hacker, to show us how it's done.  Dateline obtained permission from
  613. a Fortune 500 company to have Scott try and hack in.  The company
  614. gave him 1 week to land anywhere inside its computer system.  Posing
  615. as a fellow staff member, Scott began by making random calls to
  616. unsuspecting employees.
  617.  
  618. [Chasin on phone, ringing]
  619.  
  620. CHASIN:  Hi.  My name's Scott Chasin and I'm calling from Business
  621. Affairs.  I'm at home right now and I'm wondering if there's a way I
  622. could get into the network - I just bought a PC.
  623.  
  624. EMPLOYEE1:  You have Crosstalk?
  625.  
  626. CHASIN:  Yes I do.
  627.  
  628. SCOTT<voice-over>:  Hist first call was to the computer department.
  629. He's looking for the 800 number he needs to dial to have his computer
  630. connect to the company's system.
  631.  
  632. CHASIN:  What is the number it has to dial?
  633.  
  634. EMPLOYEE1:  Your best bet is to dial the 800 number.
  635.  
  636. CHASIN:  Right.  But, I don't show that on my screen.
  637.  
  638. EMPLOYEE1:  What do you show?
  639.  
  640. CHASIN:  It just says xxx-xxx-xxxx, I think, yeah.
  641.  
  642. EMPLOYEE1:  Oh, it's 800-***-****.
  643.  
  644. SCOTT<voice-over>:    With the phone-numbers, he's at the company's
  645. front door.  Now he needs the "keys":  a username and password, to
  646. get inside.
  647.  
  648. [phone rings]
  649.  
  650. CHASIN:  Hi, *****, this is Scott Chasin calling from the computer
  651. center.
  652.  
  653. EMPLOYEE2:  Hi.
  654.  
  655. CHASIN:  How ya doin'?
  656.  
  657. EMPLOYEE2:  Ok!
  658.  
  659. CHASIN:  Is everything up and runnin' down there?
  660.  
  661. EMPLOYEE2:  Uhhh, why?  'we sposed to be down?
  662.  
  663. CHASIN:  Yeah we're having some problems, we've been having some
  664. reoccuring problems since last night.
  665.  
  666. EMPLOYEE2:  Believe me, I'm not a computer maven person.  hahaha.
  667.  
  668. CHASIN:  Hahah.  That's all right, I'll help ya out!  If you log out
  669. and log back in, we'll go through the whole scenario so I can see if
  670. everything's ok on my end.  Can you do that for me?
  671.  
  672. EMPLOYEE2:  I think so...hold on...
  673.  
  674. SCOTT<voice-over>:  Bare in mind he [Chasin] still can't see anything
  675. on his end - it's a ruse.  All he wants is a username and a password.
  676. Even if he only gets a username from someone, a hacker can make an
  677. educated guess at a password.
  678.  
  679. [cut to interview of Chasin]
  680.  
  681. SCOTT:  What are some common passwords that people use?
  682.  
  683. CHASIN:  money, sex, love, secret, password.  Mostly first names,
  684. husband names, wife names, pet's names, social security numbers,
  685. parts of their telephone....
  686.  
  687. [cut back]
  688.  
  689. SCOTT<voice-over>:  But as we saw, most of the time a hacker doesn't
  690. even have to guess.
  691.  
  692. CHASIN [on phone]:  Why don't you tell me what your login id is cuz
  693. I'm gonna watch you come across the network so I can see where the
  694. problem's arising from.
  695.  
  696. EMPLOYEE3:  What my login is?
  697.  
  698. CHASIN:  Yeah.
  699.  
  700. EMPLOYEE3:  ******
  701.  
  702. CHASIN:  What password do you enter to get into the BIOS, [BIOC,
  703. BIAC {unintelligible}]?
  704.  
  705. EMPLOYEE3:  shy.
  706.  
  707. CHASIN:  s-h-y is your password?
  708.  
  709. EMPLOYEE3:  Yep.
  710.  
  711. CHASIN:  s-h-y.
  712.  
  713. EMPLOYEE3:  shy.
  714.  
  715. CHASIN:  Ok, I'll tell ya what I'm gonna do, I'll go in there and see
  716. if you have any stuck processes and I'll call ya back and tell ya
  717. when it's all right.
  718.  
  719. SCOTT<voice-over>:  Remember, he'd been given a week to break into
  720. the system.  It took him an hour-and-a-half.
  721.  
  722. CHASIN[on phone still]:  Alright?
  723.  
  724. EMPLOYEE3:  Thanx.
  725.  
  726. CHASIN:  Ok, bye-bye.
  727.  
  728. CHASIN:  I'm in.
  729.  
  730. SCOTT:  So the receptionist, who simply hands you a password, might
  731. be giving you access to the CEO's office.
  732.  
  733. CHASIN:  Might be giving me the ability to shut down the company.
  734.  
  735. [cut to Quintin again]
  736.  
  737. SCOTT<voice-over>:  The moral to computer users:  don't give out your
  738. password, and change it often.  Hackers like Quintin are out there,
  739. and to them it's a game - a challenge - to break into your system.
  740.  
  741. [cut to Grant again]
  742.  
  743. Just listen to Adam Grant, the guy who spent 7 months in jail for
  744. Breaking into BellSouth's computers.
  745.  
  746. SCOTT:  What's the lesson, in your story, for other hackers?
  747.  
  748. GRANT:  Don't get caught.
  749.  
  750. SCOTT:  Not "don't do it".
  751.  
  752. GRANT:  People are going to do what they're going to do.
  753.  
  754. SCOTT:  How do think it plays to people at home when you tell others,
  755. simply, "don't get caught"?
  756.  
  757. GRANT:  That's their own business.  I don't think it's right for
  758. other people to tell me how to live my life.  So, I shouldn't tell
  759. other people how to live their life.
  760.  
  761. SCOTT:  And yet you acknowledge that hacking is wrong.
  762.  
  763. GRANT:  Smoking is wrong.  Taking drugs is wrong.  People do it all
  764. the time.
  765.  
  766. [FADE to computer monitor, showing:
  767.  
  768.      Goodnight.
  769.  
  770. <Female announcer: If you're wondering about your home computer, you
  771. don't really have much to worry about. If you don't use a modem, if
  772. you aren't hooked up to a phone line, you have nothing to fear.  And,
  773. even if you are, hackers are not as interested in you as they are in,
  774. say, your bank, or your credit union, or maybe the phone company.>
  775.                                 <end>
  776.  
  777. ------------------------------
  778.  
  779. Date: Fri, 23 Oct 92 16:45:16 PDT
  780. From: clarinews@CLARINET.COM(UPI)
  781. Subject: File 4--Somebody gets access to freeway callbox codes, runs up bill
  782.  
  783. GARDEN GROVE, Calif. (UPI) -- Somebody apparently got hold of the
  784. serial number and telephone number of a Southern California freeway
  785. callbox, and used them to rack up nearly $2,000 in phone bills.
  786.  
  787. The Orange County Transportation Authority is trying to determine just
  788. how the phone thief used the electronic serial number and telephone
  789. number of the freeway emergency callbox to make 11,733 calls totaling
  790. 25,875 minutes, and who will foot the bill.
  791.  
  792. OCTA Executive Director Stan Oftelie said they got suspicious because
  793. calls charged to the callboxes' supposedly secret numbers average
  794. fewer than 100 a month.
  795.  
  796. Oftelie said OCTA officials also are trying to determine how the
  797. freeway box could be used for in-state and out-of-state calls since
  798. the boxes connect directly to California Highway Patrol dispatch
  799. headquarters.
  800.  
  801. "We're concerned about it," Oftelie said. "They shouldn't be able to
  802. call anywhere but Highway Patrol headquarters." OCTA said it has
  803. tightened security measures, and is talking with GTE Cellular and L.A.
  804. Cellular to determine who will pay the bill.  The callbox is one of
  805. 1,100 solar cellular phone boxes in the county.  Most average 10 to
  806. 100 calls per month from motorists in trouble.
  807.  
  808. ------------------------------
  809.  
  810. End of Computer Underground Digest #4.54
  811. ************************************
  812.