home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / cud / cud466.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  40.7 KB  |  852 lines
  1. Computer underground Digest    Wed Dec 16, 1992   Volume 4 : Issue 66
  2.                            ISSN  1066-662X
  3.  
  4.        Editors: Jim Thomas and Gordon Meyer (TK0JUT2@NIU.BITNET)
  5.        Archivist: Brendan Kehoe
  6.        Shadow-Archivists: Dan Carosone / Paul Southworth
  7.                           Ralph Sims / Jyrki Kuoppala
  8.        Copy Editor:  Etaion Shrdlu, Junior
  9.  
  10. CONTENTS, #4.66 (Dec 16, 1992)
  11. File 1--     CPSR and the Transition
  12. File 2--Cellular Phone Fraud Techniques & Countermeasures (CU News)
  13. File 3--Police Hackers / Computer Privacy Survey (Cu News)
  14. File 4--EFF Nominations for PIONEER AWARDS
  15. File 5--Organizational Changes at the EFF
  16. File 6--Response to CERT advisory (Re: CuD 4.65)
  17. File 7--CuD's 1992 MEDIA HYPE award to FORBES MAGAZINE
  18.  
  19. Cu-Digest is a weekly electronic journal/newsletter. Subscriptions are
  20. available at no cost from tk0jut2@mvs.cso.niu.edu. The editors may be
  21. contacted by voice (815-753-6430), fax (815-753-6302) or U.S. mail at:
  22. Jim Thomas, Department of Sociology, NIU, DeKalb, IL 60115.
  23.  
  24. Issues of CuD can also be found in the Usenet comp.society.cu-digest
  25. news group; on CompuServe in DL0 and DL4 of the IBMBBS SIG, DL1 of
  26. LAWSIG, and DL0 and DL12 of TELECOM; on Genie in the PF*NPC RT
  27. libraries; from America Online in the PC Telecom forum under
  28. "computing newsletters;" on the PC-EXEC BBS at (414) 789-4210; in
  29. Europe from the ComNet in Luxembourg BBS (++352) 466893; and using
  30. anonymous FTP on the Internet from ftp.eff.org (192.88.144.4) in
  31. /pub/cud, red.css.itd.umich.edu (141.211.182.91) in /cud, halcyon.com
  32. (192.135.191.2) in /pub/mirror/cud, and ftp.ee.mu.oz.au (128.250.77.2)
  33. in /pub/text/CuD.
  34. European readers can access the ftp site at: nic.funet.fi pub/doc/cud.
  35. Back issues also may be obtained from the mail
  36. server at mailserv@batpad.lgb.ca.us.
  37.  
  38. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  39. information among computerists and to the presentation and debate of
  40. diverse views.  CuD material may  be reprinted for non-profit as long
  41. as the source is cited.  Some authors do copyright their material, and
  42. they should be contacted for reprint permission.  It is assumed that
  43. non-personal mail to the moderators may be reprinted unless otherwise
  44. specified.  Readers are encouraged to submit reasoned articles
  45. relating to computer culture and communication.  Articles are
  46. preferred to short responses.  Please avoid quoting previous posts
  47. unless absolutely necessary.
  48.  
  49. DISCLAIMER: The views represented herein do not necessarily represent
  50.             the views of the moderators. Digest contributors assume all
  51.             responsibility for ensuring that articles submitted do not
  52.             violate copyright protections.
  53.  
  54. ----------------------------------------------------------------------
  55.  
  56. Date:         Tue, 15 Dec 1992 13:13:39 EDT
  57. From:         Marc Rotenberg <Marc_Rotenberg@WASHOFC.CPSR.ORG>
  58. Subject: File 1--     CPSR and the Transition
  59.  
  60. Over the last several years CPSR has worked extensively on access to
  61. government information, the Freedom of Information Act,  computer
  62. security policy, and privacy protection.
  63.  
  64. We have now sent the following  recommendations  to several transition
  65. team groups.  (The "(b)(1) exemption" in the first recommendation
  66. refers to the national security exemption in the Freedom of
  67. Information Act.)
  68.  
  69. We hope that the new administration will give our proposals full
  70. consideration.
  71.  
  72. Marc Rotenberg, Director
  73. CPSR Washington Office
  74. rotenberg@washofc.cpsr.org
  75.  
  76. =============================================
  77.  
  78. FROM--Marc Rotenberg, CPSR
  79. RE--Classification, Computer Security, Privacy
  80. CC--Policy Group, Justice Cluster
  81. DATE--December 10, 1992
  82.  
  83.         Three issues that the Executive Order Project should
  84. address:
  85.  
  86. 1) Rescind E.O. 12356 (1982 Reagan Order on classification)
  87.  
  88.         The Reagan Order on classification is the bane of the FOIA and
  89. science communities.  It has led to enormous overclassification,
  90. frustrated government accountability, and skewed national priorities.
  91. It should be rescinded.
  92.  
  93.         A new E.O. should narrow the scope of classification
  94. authority.  It should reduce the classification bureaucracy.  And it
  95. should reflect the economic cost of classifying scientific and
  96. technical information, i.e. such information should be presumptively
  97. available. In the FOIA context, the new E.O. should also require
  98. agencies to identify "an ascertainable harm" before invoking the
  99. (b)(1) exemption.
  100.  
  101. 2)      Rescind NSD-42 (1991 Bush Directive on computer security
  102. authority)
  103.  
  104.         This directive undermined a fairly good 1987 law (the Computer
  105. Security Act) and transferred authority for computer security from the
  106. civilian sector to the intelligence community.  It led to several bad
  107. decisions in the area of technical standard setting (e.g. network
  108. standards that facilitate surveillance rather than promoting security)
  109. and has made it more difficult to ensure agency accountability.  It
  110. should be rescinded.
  111.  
  112.         The President could either leave the 1987 Act in place and
  113. issue no new E.O. or he could revise the E.O. consistent with the aims
  114. of the 1987 law, recognizing the recent problems with technical
  115. standard setting by the intelligence community.
  116.  
  117. 3)      Establish a task force on privacy protection
  118.  
  119.         The new administration should move quickly on the privacy
  120. front, particularly in the telecommunications arena.  The United
  121. States currently lags behind Canada, Japan, and the EC on telecomm
  122. privacy policy.  These policies are necessary for the development of
  123. new services and the protection of consumer interests.
  124.  
  125.         An Executive Order on privacy should include the following
  126. elements: (1) the creation of an intra-agency task force with public
  127. participation, (2) a report to the President within 180 days with
  128. legislative recommendations, (3) a procedure for ongoing review and
  129. coordination with Justice, Commerce, State, and OSTP.
  130.  
  131. ------------------------------
  132.  
  133. Date: 13 Dec 92 14:00:21 EST
  134. From: Gordon Meyer <72307.1502@COMPUSERVE.COM>
  135. Subject: File 2--Cellular Phone Fraud & Countermeasures (CU News)
  136.  
  137. Industry sponsored studies on the amount of money lost to fraudulent
  138. calls vary, as they do with estimates of computer crime and software
  139. piracy, but one figure from the Cellular Telecommunications Industry
  140. Association (CTIA) places the cost at somewhere between 100 and $300
  141. million annually.  Other estimates are as high at $600 million.
  142.  
  143. Typical methods used to obtain service for free include paying off
  144. company employees to provide the all-essential ESN (Electronic Serial
  145. Number, a unique identifier transmitted with each call that identifies
  146. who is placing the call.), to 'cloning' ESN's from existing phones,
  147. sometimes using radio receivers to evesdrop on cellular traffic and
  148. copy the ESN from other calls.
  149.  
  150. Earlier this year the Secret Service raided homes in Phoenix and
  151. confiscated 35 phones, 10,000 microchips, and other equipment used to
  152. steal cellular service.
  153.  
  154. The El Segundo based Computer Sciences Corp has recently released an
  155. Artificial Intelligence based device that attempts to thwart
  156. fraudulent activity by maintaining a data base of calling patterns for
  157. a particular ESN.  When the pattern of activity changes, the cellular
  158. company is notified that the ESN may have been compromised.
  159.  
  160. The CTIA has set up a fraud task force, with an annual budget of $4
  161. million dollars, to help fight the problem.  Individual cellular
  162. companies have also established their own fraud investigation units.
  163. Unlike the long-distance industry, cellular companies do not have a
  164. policy of holding the customer responsible for fraudulent calls.
  165.  
  166. For more information read "Stop, Thief!", Information Week,
  167.                                           November 30, 1992. pg. 32
  168.  
  169. ------------------------------
  170.  
  171. Date: 13 Dec 92 14:00:21 EST
  172. From: Gordon Meyer <72307.1502@COMPUSERVE.COM>
  173. Subject: File 3--Police Hackers / Computer Privacy Survey (Cu News)
  174.  
  175. According to news reports, up to 45 members (since 1989) of the Los
  176. Angeles Police Department have been disciplined for using for
  177. unauthorized use of police databases.  They have been freely digging
  178. up information on everyone from potential baby sitters to local
  179. celebrities.  There are reportedly some cases of using the databases
  180. to file false insurance claims as well.
  181.  
  182. For more information see Karen M. Carriol's "Was Police Search
  183. Warranted? Information Week.  Nov 23 1992 pg 79
  184.  
  185. =============
  186.  
  187. Privacy vs Computers Survey.
  188.  
  189. Equifax's June '92 update to their "Consumers in the Information Age"
  190. study shows some interesting survey results.  Of the 1200+ people
  191. surveyed, 80% said that computers improved the overall quality of
  192. life, but nearly 70% agree that present uses of computers threaten
  193. their personal privacy.
  194.  
  195. Other results include:
  196.      - Just over 75% worry that consumers have lost
  197.      all control over how businesses use and circulate personal
  198.      information.
  199.  
  200.      - About half see no signs of improving this, saying that
  201.      protection of individual consumer data will weaken over the next ten
  202.      years.
  203.  
  204.      - Almost 70% agree that if privacy is to be preserved, the use
  205.      of computers must be sharply restricted in the future.
  206.  
  207. For more information refer to: "The Databases That Knew Too Much",
  208. Information Week. 12/7/92 pg 22
  209.  
  210. ------------------------------
  211.  
  212. Date: Fri, 11 Dec 92 15:01:26 EST
  213. From: Rita Marie Rouvalis <rita@EFF.ORG>
  214. Subject: File 4--EFF Nominations for PIONEER AWARDS
  215.  
  216.  
  217.          THE SECOND ANNUAL INTERNATIONAL EFF PIONEER AWARDS:
  218.                        CALL FOR NOMINATIONS
  219.                      Deadline: December 31,1992
  220.  
  221. In every field of human endeavor,there are those dedicated to
  222. expanding knowledge, freedom, efficiency and utility. Along the
  223. electronic frontier, this is especially true. To recognize this,the
  224. Electronic Frontier Foundation has established the Pioneer Awards for
  225. deserving individuals and organizations.
  226.  
  227. The Pioneer Awards are international and nominations are open to all.
  228.  
  229. In March of 1992, the first EFF Pioneer Awards were given in
  230. Washington D.C. The winners were: Douglas C. Engelbart of Fremont,
  231. California; Robert Kahn of Reston, Virginia; Jim Warren of Woodside,
  232. California; Tom Jennings of San Francisco, California; and Andrzej
  233. Smereczynski of Warsaw, Poland.
  234.  
  235. The Second Annual Pioneer Awards will be given in San Francisco,
  236. California at the 3rd Conference on Computers, Freedom, and Privacy in
  237. March of 1993.
  238.  
  239. All valid nominations will be reviewed by a panel of impartial judges
  240. chosen for their knowledge of computer-based communications and the
  241. technical, legal, and social issues involved in networking.
  242.  
  243. There are no specific categories for the Pioneer Awards, but the
  244. following guidelines apply:
  245.  
  246.    1) The nominees must have made a substantial contribution to the
  247.       health, growth, accessibility, or freedom of computer-based
  248.       communications.
  249.  
  250.    2) The contribution may be technical, social, economic or cultural.
  251.  
  252.    3) Nominations may be of individuals, systems, or organizations in
  253.       the private or public sectors.
  254.  
  255.    4) Nominations are open to all, and you may nominate more than one
  256.       recipient. You may nominate yourself or your organization.
  257.  
  258.    5) All nominations, to be valid, must contain your reasons, however
  259.       brief, on why you are nominating the individual or organization,
  260.       along with a means of contacting the nominee, and your own
  261.       contact number. No anonymous nominations will be allowed.
  262.  
  263.    6) Every person or organization, with the single exception of EFF
  264.       staff members, are eligible for Pioneer Awards.
  265.  
  266.    7) Persons or representatives of organizations receiving a Pioneer
  267.       Award will be invited to attend the ceremony at the Foundation's
  268.       expense.
  269.  
  270. You may nominate as many as you wish, but please use one form per
  271. nomination. You may return the forms to us via email to
  272.  
  273.              pioneer@eff.org
  274.  
  275. You may mail them to us at:
  276.              Pioneer Awards, EFF,
  277.              155 Second Street
  278.              Cambridge MA 02141.
  279.  
  280. You may FAX them to us at:
  281.              +1 617 864 0866
  282.  
  283. Just tell us the name of the nominee, the phone number or email
  284. address at which the nominee can be reached, and, most important, why
  285. you feel the nominee deserves the award.  You may attach supporting
  286. documentation.  Please include your own name, address, and phone
  287. number.
  288.  
  289. We're looking for the Pioneers of the Electronic Frontier that have
  290. made and are making a difference. Thanks for helping us find them,
  291.  
  292. The Electronic Frontier Foundation
  293.  
  294.         -------EFF Pioneer Awards Nomination Form------
  295.  
  296. Please return to the Electronic Frontier Foundation
  297. via email to:       pioneer@eff.org
  298. via surface mail to EFF 155 Second Street, Cambridge, MA 02141 USA;
  299. via FAX to +1 617 864 0866
  300.  
  301.  
  302. Nominee:
  303.  
  304. Title:
  305.  
  306. Company/Organization:
  307.  
  308. Contact number or email address:
  309.  
  310. Reason for nomination:
  311.  
  312. Your name and contact information:
  313.  
  314. Extra documentation attached:
  315.  
  316. DEADLINE: ALL NOMINATIONS MUST BE RECEIVE BY THE ELECTRONIC FRONTIER
  317. FOUNDATION BY MIDNIGHT, EASTERN STANDARD TIME U.S., DECEMBER 31,1992.
  318.  
  319. ------------------------------
  320.  
  321. Date: Mon, 14 Dec 92 14:47:43 EST
  322. From: Rita Marie Rouvalis <rita@EFF.ORG>
  323. Subject: File 5--Organizational Changes at the EFF
  324.  
  325.                EFF EXPLAINS ORGANIZATIONAL CHANGES
  326.  
  327. Mitchell Kapor, Chairman and President of the Electronic Frontier
  328. Foundation (EFF), today explained  several organizational moves and
  329. initiatives approved by the EFF Board at its November 10, 1992
  330. meeting in San Francisco.  According to Kapor, "they are designed to
  331. increase our effectiveness in making EFF into a national public
  332. education, advocacy, membership, and chapters organization that
  333. represents and serves our growing constituency on the electronic
  334. frontier."
  335.  
  336. Berman Becomes Acting Executive Director
  337.  
  338. Kapor stated that "Jerry Berman, who currently heads our Washington
  339. Office,  has  been designated by the EFF board to serve as the interim
  340. Executive Director of EFF with present overall responsibility for
  341. managing the activities of our Cambridge and Washington, D.C. offices.
  342. In this capacity, he will oversee EFF's public policy, membership, and
  343. chapter building activities."
  344.  
  345. Berman said: "I am delighted to be working with Cliff Figallo, our
  346. Cambridge Office Director and the entire EFF staff and Board.   In the
  347. next two months we will be making a concerted effort to develop a plan
  348. to make EFF into a more effective and powerful public interest
  349. organization."
  350.  
  351. Chapters Summit
  352.  
  353. On January, 23 and 24, 1993, EFF will hold a "chapters summit" in
  354. Atlanta, Georgia.  Dave Farber, EFF Board Member, stated that the
  355. meeting would be "an open, candid sharing of views about chapter
  356. relations with EFF and EFF's relations with chapters with the goal of
  357. making the chapters an integral part of the EFF mission."  The meeting
  358. is being organized by a steering committee made up of Cliff Figallo,
  359. Jerry Berman,  Dave Farber and representatives from chapters and
  360. potential chapters including Mitch Ratcliffe and Jon Lebkowsky .
  361.  
  362. Mitchell Kapor to Chair EFF Board and Oversee Critical Policy Studies
  363. and Initiatives
  364.  
  365. Mitchell Kapor, who serves as Chairman of the EFF Board, has turned
  366. over management functions to Berman and Figallo to devote his energy
  367. and talents to developing EFF strategy and public policy initiatives,
  368. such as a pragmatic program for achieving an open broadband
  369. communications network and an exploration of the potential role of the
  370. cable television network in serving as a interactive, multimedia
  371. electronic communications highway. Kapor will also continue to lead
  372. EFF's current public policy initiative to develop a near term digital
  373. path to the home designed to maximize free speech, innovation, and
  374. privacy.
  375.  
  376. Permanent Executive Director
  377.  
  378. The EFF Board, once it has developed and approved an overall strategic
  379. plan in January, will proceed with an open search for a permanent
  380. Executive Director for the organization.
  381.  
  382. ------------------------------
  383.  
  384. Date: 15 Dec 92 15:11:24
  385. From: Louis Giliberto <magus@DRKTOWR.CHI.IL.US>
  386. Subject: File 6--Response to CERT advisory (Re: CuD 4.65)
  387.  
  388. In CuD #4.65 this CERT advisory appeared:
  389.  
  390. >  CA-92:19                         CERT Advisory
  391. >                                  December 7, 1992
  392. >                              Keystroke Logging Banner
  393.  
  394. There are several issues that need to be considered before
  395. implementing a system such as this, the last of which should be
  396. defensibility.  Killing in self-defense is defensible, but there are
  397. other considerations involved.  The point?  Just because someone *can*
  398. do something does not mean someone *should* do something.
  399.  
  400. Who should/could be monitored?
  401. +++++++++++++++
  402. This advisory seems to give free license to the system administrator to
  403. monitor as he/she sees fit.  What if you own a company, and your
  404. administrator logs and monitors all activity as outlined?  Then he
  405. leaves your company and joins your competitor.  He has read over every
  406. piece of information typed into your system.  Obviously this causes
  407. problems if the computer is used for proprietary information.
  408.  
  409. However, let us assume the administrator can be trusted.  Who does he
  410. decide to log?  The fairest way would be to log everyone.  However,
  411. this is near impossible since the resources required would be
  412. overwhelming.  More resources would be spent on logging than on
  413. computation.  One might suggest that he log only those accounts that
  414. have had illegal logon attempts or suspicious activity.  But this
  415. brings up two points: 1) If the logs are catching the activity, is
  416. keystroke monitoring needed to secure the system?  2) In the cases
  417. where keystroke monitoring would be most effective (i.e., determining
  418. the method of intrustion) the logs are most likely doctored in some
  419. way, so the determination of which account to monitor could not even
  420. be made.
  421.  
  422. Therefore the most effective use of keystroke logging would be 1)
  423. monitor those accounts with suspicious activity and 2) monitor at
  424. random.  In this manner, illegal entries not caught in the logs or
  425. other security measures may be picked up in the keystroke loggings.
  426.  
  427. But this brings up even more questions:
  428.  
  429. What type of notification should there be?  +++++++++++++++++++++ Is
  430. the banner enough?  Is more notification needed?  Way back when, it
  431. was determined system administrators should give notice (in the form
  432. of a banner or some such publicly visible medium) that e-mail and
  433. files are not secure on the system and are open to incidental
  434. inspection by the system administrator in the course of system
  435. maintenance.  Most people expect this and trust the system
  436. administrator enough to feel that he is not reading their mail for
  437. kicks.  The banner is enough of a notification in this instance since
  438. monitoring does not take place in real-time.  Unlike monitoring on the
  439. phone system where it happens as the voice is transmitted, e-mail and
  440. file monitoring takes place often when the user is not on so that
  441. instant notification is not possible (or even warranted in most cases
  442. when it happens in the course of system maintenance).
  443.  
  444. Keystroke logging differs in that it takes place in real-time while
  445. the user is logged on.  Is a banner enough notification?
  446.  
  447. I would argue no.  While using the phone system, if an operator comes
  448. into your call, his/her presence is announced with several tones and
  449. the name of the company.  The law requires that any taping of
  450. conversations to be accompanied by a tone every so often of a specific
  451. duration.  The logging of keystrokes is the same type of monitoring,
  452. and should be subject to the same requirements.  The user should be
  453. notified in real-time that he is being monitored in real-time.  Any
  454. type of monitoring without such a warning is usually called
  455. "wiretapping," and such monitoring is illegal except by law
  456. enforcement agencies with a court order allowing the event after cause
  457. is shown.
  458.  
  459. Many people would contend: "But this is a privately owned system, not
  460. a public utility."  Yes, but there is reasonable expectation of
  461. privacy allowed even in the workplace.  I'm too lazy to look up the
  462. court cases (and I'm not a lawyer, so I don't care either), but there
  463. are multiple instances where searches of employee desks and lockers
  464. and the like were determined to be a violation of privacy rights.  A
  465. company could clearly not monitor the voice transmissions of an
  466. employee's telephone but could log the number he called.  In the same
  467. way, a system administrator could log login attempts, but should not
  468. be given free license to monitor the actual keystrokes.  It violates
  469. the reasonable rights of the employee.  Even high school students are
  470. given reasonable rights in the expectation of privacy of the contents
  471. of their lockers and person.  Well, unless you went to Catholic high
  472. school like I did + never tell a Jesuit he can't do something (unless
  473. you like corporal punishment).
  474.  
  475. Extensions of keystroke monitoring
  476. +++++++++++++++++
  477. Given the fact that keystrokes are passed over the internet in the
  478. form of IP packets generated by telnet (and other comparable
  479. applications), does this allow keystroke monitoring at a remote site?
  480. In other words, can routing centers sniff packets at will if they
  481. inform the other sites they are going to?  According to the
  482. interpretation given by the justice department, yes, they can.  They
  483. can monitor keystrokes.  The argument would be there is a reasonable
  484. expectation for keystrokes to appear in an IP packet, so all of them
  485. are open to examination if a banner is presented or prior notification
  486. given.  Does apple.com want ibm.com to monitor its packets? Nope. Does
  487. a prof at Purdue want a prof at Champaign to monitor his? Nope.
  488. However, if a packet goes through someone's machine (possible since
  489. many machines are used for gatewaying and routing) he could argue that
  490. he had the right to sniff it.
  491.  
  492. Can pay services monitor your keystrokes legally?  Say CompuServe or
  493. America Online or Prodigy or another fine reputable <can you feel the
  494. sarcasm?> service put this measure in place.  These services are
  495. comparable to a public service such as a bookstore (which was proven
  496. in litigation with CompuServe) or a phone company.  Don't they then
  497. have the responsibility to respect the privacy of the customers?  If
  498. you walk into K-Mart they can't strip search you at their whim.  The
  499. phone company can't (legally) listen into your conversations.  Is
  500. keystroke monitoring without real time notification to be allowed on
  501. these systems as well?
  502.  
  503. An argument may be: "But security cameras are allowed to videotape
  504. customers"  Ah, yes!  But that is a different scenario: 1) The
  505. videotaping does not center on a specific individual.  As stated
  506. before, to monitor the keystrokes of everyone would be
  507. near-impossible.  2) The store is a publically accessible place, and
  508. there is no reasonable expectation of privacy except to your person.
  509. Why is there a reasonable expectation of privacy on a computer system?
  510. Well, what are file permissions for?  To keep one's files and stuff
  511. private.  Just as a lock on a desk or a closed door intimates privacy,
  512. so do file permissions.  If a system is truly public as a Sears or
  513. WalMart, there would be no file permissions.  There would be no
  514. accounts with names on them giving ownership.  Ownership implies a
  515. right to security from trespass and interference.  There are many
  516. arguments to be made for privacy expectations on computer systems that
  517. I won't go into here.  Let me just clarify "truly public" as I used it
  518. in describing Sears and WalMart.  By "truly public" I mean that they
  519. may not turn away anyone entering their property without good reason.
  520. They may not discriminate, and being employed by them is not a
  521. criteria for entering their sales area.  Customers are allowed to move
  522. unimpeded throughout the sales area, and customers do not get lockers
  523. to put stuff in on a daily basis which are provided by the store.  In
  524. other words, their is no private ownership on the part of the customer
  525. within the store except for what he carries on his person.  This is
  526. comparable to being in a public area.  The comparison I am making
  527. believes that being inside a computer system is not comparable to
  528. being in a public area if ownership of files and accounts are given.
  529.  
  530. Conclusion
  531. +++++
  532. While I realize that CERT was merely passing on the findings of the
  533. Justice Department, I have to question 1) the presentation of those
  534. findings including giving almost a "non-liability kit" in their
  535. advisory, and, 2) the findings themselves.  Anything is defensible.
  536. Charles Manson had a defense.  However, even if the act is defensible,
  537. it may still be illegal.  Defensible merely means "there is a
  538. reasonable expectation that consideration will be given to your side."
  539. I think CERT went a bit too far in suggesting a banner and not
  540. bringing up possible consequences. I tried to "balance" the situation
  541. here.  For any company, I would seriously advise you to consult an
  542. attorney before you implement this type of monitoring, and to think
  543. about what effects it could have.  It may weaken security rather than
  544. improve it.
  545.  
  546. As a system administrator (albeit a tiny system consisting of myself,
  547. 4 friends, my sister, and my girlfriend) I would not implement such a
  548. scheme since I feel that it would be illegal without real-time
  549. notification, and such real-time notification is, quite frankly, a
  550. pain to give to someone using an editor without disrupting their
  551. session or their train of thought.
  552.  
  553. In a nutshell, the point is this:  just because it's defensible does
  554. not mean it's legal, and in this case I feel that it just might be
  555. illegal.
  556.  
  557. ------------------------------
  558.  
  559. Date: 15 Dec 92 18:48:01 CST
  560. From: Jim Thomas <cudigest@mindvox.phantom.com>
  561. Subject: File 7--CuD's 1992 MEDIA HYPE award to FORBES MAGAZINE
  562.  
  563. In recent years, media depiction of "hackers" has been criticized for
  564. inaccurate and slanted reporting that exaggerates the public dangers
  565. of the dread "hacker menace." As a result, CuD annually recogizes the
  566. year's most egregious example of media hype.
  567.  
  568. The 1992 annual CuD GERALDO RIVERA MEDIA HYPE award goes to WILLIAM G.
  569. FLANAGAN AND BRIGID McMENAMIN for their article "The Playground
  570. Bullies are Learning how to Type" in the 21 December issue of Forbes
  571. (pp 184-189).  The authors improved upon last year's winner, Geraldo
  572. himself, in inflammatory rhetoric and distorted narrative that seems
  573. more appropriate for a segment of "Inside Edition" during sweeps week
  574. than for a mainstream conservative periodical.
  575.  
  576. The Forbes piece is the hands-down winner for two reasons.
  577. First, one reporter of the story, Brigid McMenamin, was exceptionally
  578. successful in creating for herself an image as clueless and obnoxious.
  579. Second, the story itself was based on faulty logic, rumors, and some
  580. impressive leaps of induction.  Consider the following.
  581.  
  582.                     The Reporter: Brigid McMenamin
  583.  
  584. It's not only the story's gross errors, hyperbole, and irresponsible
  585. distortion that deserve commendation/condemnation, but the way that
  586. Forbes reporter Brigid McMenamin tried to sell herself to solicit
  587. information.
  588.  
  589. One individual contacted by Brigid McM claimed she called him several
  590. times "bugging" him for information, asking for names, and complaining
  591. because "hackers" never called her back.  He reports that she
  592. explicitly stated that her interest was limited to the "illegal stuff"
  593. and the "crime aspect" and was oblivious to facts or issues
  594. that did not bear upon hackers-as-criminals.
  595.  
  596. Some persons present at the November 2600 meeting at Citicorp, which
  597. she attended, suggested the possibility that she used another reporter
  598. as a credibility prop, followed some of the participants to dinner
  599. after the meeting, and was interested in talking only about illegal
  600. activities. One observer indicated that those who were willing to talk
  601. to her might not be the most credible informants.  Perhaps this is one
  602. reason for her curious language in describing the 2600 meeting.
  603.  
  604. Another person she contacted indicated that she called him wanting
  605. names of people to talk to and indicated that because Forbes is a
  606. business magazine, it only publishes the "truth." Yet, she seemed not
  607. so much interested in "truth," but in finding "evidence" to fit a
  608. story.  He reports that he attempted to explain that hackers generally
  609. are interested in Unix and she asked if she could make free phone
  610. calls if she knew Unix.  Although the reporter stated to me several
  611. times that she had done her homework, my own conversation with her
  612. contradicted her claims, and if the reports of others are accurate,
  613. here claims of preparation seem disturbingly exaggerated.
  614.  
  615. I also had a rather unpleasant exchange with Ms. McM. She was rude,
  616. abrasive, and was interested in obtaining the names of "hackers" who
  617. worked for or as "criminals." Her "angle" was clearly the
  618. hacker-as-demon.  Her questions suggested that she did not understand
  619. the culture about which she was writing. She would ask questions and
  620. then argue about the answer, and was resistant to any "facts" or
  621. responses that failed to focus on "the hacker criminal." She dropped
  622. Emmanuel Goldstein's name in a way that I interpreted as indicating a
  623. closer relationship than she had--an incidental sentence, but one not
  624. without import--which I later discovered was either an inadvertently
  625. misleading choice of words or a deliberate attempt to deceptively
  626. establish credentials.  She claimed she was an avowed civil
  627. libertarian.  I asked why, then, she didn't incorporate some of those
  628. issues. She invoked publisher pressure. Forbes is a business magazine,
  629. she said, and the story should be of interest to readers. She
  630. indicated that civil liberties weren't related to "business." She
  631. struck me as exceptionally ill-informed and not particularly good at
  632. soliciting information. She also left a post on Mindvox inviting
  633. "hackers" who had been contacted by "criminals" for services to
  634. contact her.
  635.  
  636.      >Post: 150 of 161
  637.      >Subject: Hacking for Profit?
  638.      >From: forbes (Forbes Reporter)
  639.      >Date: Tue, 17 Nov 92 13:17:34 EST
  640.      >
  641.      >Hacking for Profit?  Has anyone ever offered to pay you (or
  642.      >a friend) to get into a certain system and alter, destroy or
  643.      >retrieve information?  Can you earn money hacking credit
  644.      >card numbers, access codes or other information? Do you know
  645.      >where to sell it?  Then I'd like to hear from you.  I'm
  646.      >doing research for a magazine article.  We don't need you
  647.      >name.  But I do want to hear your story.  Please contact me.
  648.      >Forbes@mindvox.phantom.com.
  649.  
  650. However, apparently she wasn't over-zealous about following up her
  651. post or reading the Mindvox conferences.  When I finally agreed to
  652. send her some information about CuD, she insisted it be faxed rather
  653. than sent to Mindvox because she was rarely on it. Logs indicate that
  654. she made only six calls to the board, none of which occured after
  655. November 24.
  656.  
  657. My own experience with the Forbes reporter was consistent with those
  658. of others. She emphasized "truth" and "fact-checkers," but the story
  659. seems short on both. She emphasized explicitly that her story would
  660. *not* be sensationalistic. She implied that she wanted to focus on
  661. criminals and that the story would have the effect of presenting the
  662. distinction between "hackers" and real criminals. Another of her
  663. contacts also appeared to have the same impression. After our
  664. less-than-cordial discussion, she reported it to the contact, and he
  665. attempted to intercede on her behalf in the belief that her intent was
  666. to dispel many of the media inaccuracies about "hacking." If his
  667. interpretation is correct, then she deceived him as well, because her
  668. portrayal of him in the story was unfavorably misleading.
  669.  
  670. In CuD 4.45 (File #3), we ran Mike Godwin's article on "How to
  671. Talk to the Press," which should be required reading.
  672. His guidelines included:
  673.  
  674.      1) TRY TO THINK LIKE THE REPORTER YOU'RE TALKING TO.
  675.      2) IF YOU'RE GOING TO MEET THE REPORTER IN PERSON, TRY TO
  676.         BRING SOMETHING ON PAPER.
  677.      3) GIVE THE REPORTER OTHER PEOPLE TO TALK TO, IF POSSIBLE.
  678.      4) DON'T ASSUME THAT THE REPORTER WILL COVER THE STORY THE WAY
  679.         YOU'D LIKE HER TO.
  680.  
  681. Other experienced observers contend that discussing "hacking" with the
  682. press should be avoided unless one knows the reporter well or if the
  683. reporter has established sufficient credentials as accurate and
  684. non-sensationalist.  Using these criteria, it will probably be a long
  685. while before any competent cybernaught again speaks to Brigid
  686. McMenamin.
  687.  
  688.                               The Story
  689.  
  690. Rather than present a coherent and factual story about the types of
  691. computer crime, the authors instead make "hackers" the focal point and
  692. use a narrative strategy that conflates all computer crime with
  693. "hackers."
  694.  
  695. The story implies that Len Rose is part of the "hacker hood" crowd.
  696. The lead reports Rose's prison experience and relates his feeling that
  697. he was "made an example of" by federal prosecutors. But, asks the
  698. narrative, if this is so, then why is the government cracking down?
  699. Whatever else one might think of Len Rose, no one ever has implied
  700. that he as a "playground bully" or "hacker hood." The story also
  701. states that 2600 Magazine editor Emmanuel Goldstein "hands copies <of
  702. 2600> out free of charge to kids.  Then they get arrested." (p. 188--a
  703. quote attributed to Don Delaney), and distorts (or fabricates) facts
  704. to fit the slant:
  705.  
  706.     According to one knowledgeable source, another hacker brags
  707.     that he recently found a way to get into Citibank's
  708.     computers. For three months he says he quietly skimmed off a
  709.     penny or so from each account. Once he had $200,000, he quit.
  710.     Citibank says it has no evidence of this incident and we
  711.     cannot confirm the hacker's story.  But, says computer crime
  712.     expert Donn Parker of consultants SRI International: "Such a
  713.     'salami attack' is definitely possible, especially for an
  714.     insider" (p. 186).
  715.  
  716. Has anybody calculated how many accounts one would have to "skim" a
  717. few pennies from before obtaining $200,000? At a dime apiece, that's
  718. over 2 million. If I'm figuring correctly, at one minute per account,
  719. 60 accounts per minute non-stop for 24 hours a day all year, it would
  720. take nearly 4 straight years of on-line computer work for an
  721. out-sider.  According to the story, it took only 3 months.  At 20
  722. cents an account, that's over a million accounts.
  723.  
  724. Although no names or evidence are given, the story quotes Donn Parker
  725. of SRI as saying that the story is a "definite possibility." Over the
  726. years, there have been cases of skimming, but as I remember the
  727. various incidents, all have been inside jobs and few, if any, involved
  728. hackers.  The story is suspiciously reminiscent of the infamous "bank
  729. cracking" article published in Phrack as a spoof several years ago.
  730.  
  731. The basis for the claim that "hacker hoods" (former "playground
  732. bullies") are now dangerous is based on a series of second and
  733. third-hand rumors and myths. The authors then list from "generally
  734. reliable press reports" a half-dozen or so non-hacker fraud cases
  735. that, in context, would seem to the casual reader to be part of the
  736. "hacker menace." I counted in the article at least 24 instances of
  737. half-truths, inaccuracies, distortions, questionable/spurious links,
  738. or misleading claims that are reminiscent of 80s media hype. For
  739. example, the article attributes to Phiber Optik counts in the MOD
  740. indictment that do not include him, misleads on the Len Rose
  741. indictment and guilty plea, uses second and third hand information
  742. as "fact" without checking the reliability, and presents facts out
  743. of context (such as attributing the Morris Internet worm to
  744. "hackers).
  745.  
  746. Featured as a key "hacker hood" is "Kimble," a German hacker said by
  747. some to be sufficiently media-hungry and self-serving that he is
  748. ostracized by other German hackers. His major crime reported in the
  749. story is hacking into PBXes. While clearly wrong, his "crime" hardly
  750. qualifies him for the "hacker hood/organized crime" danger that's the
  751. focus of the story. Perhaps he is engaged in other activities
  752. unreported by the authors, but it appears he is simply a
  753. run-of-the-mill petty rip-off artist. In fact, the authors do not make
  754. much of his crimes. Instead, they leap to the conclusion that
  755. "hackers" do the same thing and sell the numbers "increasingly" to
  756. criminals without a shred of evidence for the leap.  To be sure the
  757. reader understands the menace, the authors also invoke unsubstantiated
  758. images of a hacker/Turkish Mafia connection and suggest that during
  759. the Gulf war, one hacker was paid "millions" to invade a Pentagon
  760. computer and retrieve information from a spy satellite (p. 186).
  761.  
  762. Criminals use computers for crime. Some criminals may purchase numbers
  763. from others. But the story paints a broader picture, and equates all
  764. computer crime with "hacking." The authors' logic seems to be that if
  765. a crime is committed with a computer, it's a hacking crime, and
  766. therefore computer crime and "hackers" are synonymous.  The story
  767. ignores the fact that most computer crime is an "inside job" and it
  768. says nothing about the problem of security and how the greatest danger
  769. to computer systems is careless users.
  770.  
  771. One short paragraph near the end mentions the concerns about civil
  772. liberties, and the next paragraph mentions that EFF was formed to
  773. address these concerns. However, nothing in the article articulates
  774. the bases for these concerns. Instead, the piece promotes the "hacker
  775. as demon" mystique quite creatively.
  776.  
  777. The use of terms such as "new hoods on the block," "playground
  778. bullies," and "hacker hoods" suggests that the purpose of the story
  779. was to find facts to fit a slant.
  780.  
  781. In one sense, the authors might be able to claim that some of their
  782. "facts" were accurate. For example, the "playground bullies" phrase is
  783. attributed to Chesire Catalyst. "Gee, *we* didn't say it!" But, they
  784. don't identify whether it's the original CC or not.  The phrase sounds
  785. like a term used in recent internecine "hacker group" bickering, and
  786. if this was the context, it hardly describes any new "hacker culture."
  787. Even so, the use of the phrase would be akin to a critic of the Forbes
  788. article refering to it as the product of "media whores who are now
  789. getting paid for doing what they used to do for free," and then
  790. applying the term "whores" to the authors because, hey, I didn't
  791. make up the term, somebody else did, and I'm just reporting (and using
  792. it as my central metaphor) just the way it was told to me.  However, I
  793. suspect that neither Forbes' author would take kindly to being called
  794. a whore because of the perception that they prostituted journalistic
  795. integrity for the pay-off of a sexy story.  And this is what's wrong
  796. with the article: The authors take rumors and catch-phrases, "merely
  797. report" the phrases, but then construct premises around the phrases
  798. *as if* they were true with little (if any) evidence.  They take an
  799. unconfirmed "truth" (where are fact checkers when you need them) or an
  800. unrelated "fact" (such as an example of insider fraud) and generalize
  801. from a discrete fact to a larger population. The article is an
  802. excellent bit of creative writing.
  803.  
  804.                        Why Does It All Matter?
  805.  
  806. Computer crime is serious, costly, and must not be tolerated.
  807. Rip-off is no joke.  But, it helps to understand a problem before it
  808. can be solved, and lack of understanding can lead to policies and laws
  809. that are not only ineffective, but also a threat to civil liberties.
  810. The public should be accurately informed of the dangers of computer
  811. crime and how it can be prevented. However, little will be served by
  812. creating demons and falsely attributing to them the sins of others. It
  813. is bad enough that the meaning" of the term "hacker" has been used to
  814. apply both to both computer delinquents and creative explorers without
  815. also having the label extended to include all other forms of computer
  816. criminals as well.
  817.  
  818. CPSR, the EFF, CuD, and many, many others have worked, with some
  819. success, to educate the media about both dangers of computer crime and
  820. the dangers of inaccurately reporting it and attributing it to
  821. "hackers." Some, perhaps most, reporters take their work seriously,
  822. let the facts speak to them, and at least make a good-faith effort not
  823. to fit their "facts" into a narrative that--by one authors' indication
  824. at least--seems to have been predetermined.
  825.  
  826. Contrary to billing, there was no evidence in the story, other than
  827. questionable rumor, of "hacker" connection to organized crime. Yet,
  828. this type of article has been used by legislators and some law
  829. enforcement agents to justify a "crackdown" on conventional hackers as
  830. if they were the ultimate menace to society. Forbes, with a paid
  831. circulation of over 735,000 (compared to CuDs unpaid circulation of
  832. only 40,000), reaches a significant and influential population.
  833. Hysterical stories create hysterical images, and these create
  834. hysteria-based laws that threaten the rights of law-abiding users.
  835. When a problem is defined by irresponsibly produced images and then
  836. fed to the public, it becomes more difficult to overcome policies and
  837. laws that restrict rights in cyberspace.
  838.  
  839. The issue is not whether "hackers" are or are not portrayed favorably.
  840. Rather, the issue is whether images re-inforce a witch-hunt mentality
  841. that leads to the excesses of Operation Sun Devil, the Steve Jackson
  842. Games fiasco, or excessive sentences for those who are either
  843. law-abiding or are set up as scapegoats.  The danger of the Forbes
  844. article is that it contributes to the persecution of those who are
  845. stigmatized not so much for their acts, but rather for the signs they
  846. bear.
  847.  
  848. ------------------------------
  849.  
  850. End of Computer Underground Digest #4.66
  851. ************************************
  852.