home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / cud / cud509.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  46.2 KB  |  888 lines
  1. Computer underground Digest    Sun Jan 31, 1993   Volume 5 : Issue 09
  2.                            ISSN  1004-042X
  3.  
  4.        Editors: Jim Thomas and Gordon Meyer (TK0JUT2@NIU.BITNET)
  5.        Archivist: Brendan Kehoe
  6.        Shadow-Archivists: Dan Carosone / Paul Southworth
  7.                           Ralph Sims / Jyrki Kuoppala
  8.        Copy Editor: Etaion Shrdlu, Junoir
  9.  
  10. CONTENTS, #5.09 (Jan 31, 1993)
  11. File 1--Media hype goes both ways (in re: Forbes article)
  12. File 2--Forbes, NPR, and a Response to Jerry Leichter
  13. File 3--Revised Computer Crime Sent
  14. File 4--Balancing Computer Crime Statutes and Freedom
  15.  
  16. Cu-Digest is a weekly electronic journal/newsletter. Subscriptions are
  17. available at no cost from tk0jut2@mvs.cso.niu.edu. The editors may be
  18. contacted by voice (815-753-6430), fax (815-753-6302) or U.S. mail at:
  19. Jim Thomas, Department of Sociology, NIU, DeKalb, IL 60115.
  20.  
  21. Issues of CuD can also be found in the Usenet comp.society.cu-digest
  22. news group; on CompuServe in DL0 and DL4 of the IBMBBS SIG, DL1 of
  23. LAWSIG, and DL0 and DL12 of TELECOM; on GEnie in the PF*NPC RT
  24. libraries and in the VIRUS/SECURITY library; from America Online in
  25. the PC Telecom forum under "computing newsletters;" on the PC-EXEC BBS
  26. at (414) 789-4210; in Europe from the ComNet in Luxembourg BBS (++352)
  27. 466893; and using anonymous FTP on the Internet from ftp.eff.org
  28. (192.88.144.4) in /pub/cud, red.css.itd.umich.edu (141.211.182.91) in
  29. /cud, halcyon.com (192.135.191.2) in /pub/mirror/cud, and
  30. ftp.ee.mu.oz.au (128.250.77.2) in /pub/text/CuD.
  31. European readers can access the ftp site at: nic.funet.fi pub/doc/cud.
  32. Back issues also may be obtained from the mail server at
  33. mailserv@batpad.lgb.ca.us.
  34.  
  35. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  36. information among computerists and to the presentation and debate of
  37. diverse views.  CuD material may  be reprinted for non-profit as long
  38. as the source is cited.  Some authors do copyright their material, and
  39. they should be contacted for reprint permission.  It is assumed that
  40. non-personal mail to the moderators may be reprinted unless otherwise
  41. specified.  Readers are encouraged to submit reasoned articles
  42. relating to computer culture and communication.  Articles are
  43. preferred to short responses.  Please avoid quoting previous posts
  44. unless absolutely necessary.
  45.  
  46. DISCLAIMER: The views represented herein do not necessarily represent
  47.             the views of the moderators. Digest contributors assume all
  48.             responsibility for ensuring that articles submitted do not
  49.             violate copyright protections.
  50.  
  51. ----------------------------------------------------------------------
  52.  
  53. Date: Tue, 12 Jan 93 12:20:21 EDT
  54. From: Jerry Leichter <leichter@LRW.COM>
  55. Subject: 1--Media hype goes both ways (in re: Forbes article)
  56.  
  57. In Cu Digest, #4.66, Jim Thomas reviews article from the 21 December
  58. 1992 Forbes Magazine, and grants it CuD's 1992 MEDIA HYPE award.  I
  59. read the article before reading Thomas's comments, and was considering
  60. posting a very different summary.  Did we read the same words?
  61.  
  62. Let me briefly summarize what I got out of the article, and then go
  63. over some of Thomas's points.  The article claims that we are seeing a
  64. new kind of computer miscreant.  Let me call such people "crims", a
  65. word I've just invented; according to the article, they identify
  66. themselves as hackers (to the extent they identify themselves at all),
  67. so the article also calls them hackers (sometimes, "hacker hoods"),
  68. thus raising many irrelevant emotional issues.
  69.  
  70. Unlike old-style hackers, who were in it for what they could build; or
  71. new-style hackers, who are nominally in it for what they can learn;
  72. crims are in it for what they can steal.  The article does NOT claim
  73. that the same people who've been hackers have now turned to real
  74. crime; rather, as I read it it claims that the crims have taken the
  75. techniques developed by the hackers and gone on to different things.
  76. Just look at the title of the article:  "The Playground Bullies are
  77. Learning how to Type".  The crims are the people who a few years ago
  78. might be burglars or jewel thieves; today, they are learning how to go
  79. after money and other valuable commodities (like trade or military
  80. secrets) in their new, electronic form.
  81.  
  82. Thomas's criticism begins with a long attack on Brigid McMenamin, one
  83. of the reporters on the piece.  He is upset that she keeps "bugging"
  84. people for information.  Reporters do that; it's not their most
  85. endearing quality, but it's essential to their job, especially when
  86. dealing with people who don't particularly want to talk to them.  He
  87. is upset that she kept asking about "illegal stuff" and "was oblivious
  88. to facts or issues that did not bear upon hackers-as-criminals." Given
  89. the article she was writing - exactly focusing on the crims - that's
  90. exactly what I would have expected her to do.  Just because Thomas is
  91. interested in the non-criminal side of hacking doesn't mean McMenamin
  92. is under any obligation to be.  Thomas reports that in his own
  93. conversations with McMenamin "Her questions suggested that she did not
  94. understand the culture about which she was writing."  Again, Thomas
  95. presumes that she was writing about the people *Thomas* is interested
  96. in.
  97.  
  98. In general, Thomas's criticisms of McMemanim reveal him to be so
  99. personally involved with the "hacker culture" that he studies that
  100. he's protective of it - and blind to the possibility that the world
  101. may be bigger and nastier than he would like.
  102.  
  103. Thomas then summarizes "The Story".  He criticizes it for not
  104. presenting a "coherent and factual story about the types of computer
  105. crime", but rather for making "hackers" the focal point and taking on
  106. a narrative structure.  Well, I didn't particularly see "hackers" as
  107. the focal point, and considering the nature of the material being
  108. covered - it's all recent, and the crims are hardly likely to be
  109. interested in making themselves available to reporters - a narrative
  110. structure is probably inevitable.  Perhaps Thomas will write the
  111. definitive study of the types of computer crime; I doubt any working
  112. reporter will do so for a magazine.
  113.  
  114. Len Rose's story is told with a reasonable slant.  None of us know ALL
  115. the facts, but at least Rose is pictured as a relatively innocent
  116. victim, chosen pretty much at random to bear the weight of actions
  117. taken by many people.  In fact, that's just what a prosecutor
  118. interviewed in this piece of the story says:  Because of the nature of
  119. the crimes, such as they are, the people caught and punished are often
  120. not the ones who actually did much of anything.  He doesn't indicate
  121. that he LIKES this - just the opposite.  He reports on facts about the
  122. real world.
  123.  
  124. Thomas then says that the article describes a salami-slicing attack,
  125. alleged to have taken place at Citibank.  He criticizes the article
  126. for lack of evidence.  He's right, but after all, this was a criminal
  127. enterprise, and the criminals weren't caught.  Just what evidence
  128. would he expect?  He then goes on with a comment that makes no sense
  129. at all:
  130.  
  131.     Has anybody calculated how many accounts one would have to "skim" a
  132.     few pennies from before obtaining $200,000? At a dime apiece, that's
  133.     over 2 million. If I'm figuring correctly, at one minute per account,
  134.     60 accounts per minute non-stop for 24 hours a day all year, it would
  135.     take nearly 4 straight years of on-line computer work for an
  136.     out-sider.  According to the story, it took only 3 months.  At 20
  137.     cents an account, that's over a million accounts.
  138.  
  139. Why would anyone even imagine that an attack of this nature would be
  140. under-taken on an account-at-a-time basis?  The only way it makes
  141. sense is for the attack to have modified the software.  If the
  142. criminals had a way to directly siphon money out of an account, they
  143. would have made one big killing and disappeared.  Citibank has many
  144. thousands of accounts with much more than $200,000 in them; it
  145. probably has many thousands of accounts for which a $200,000
  146. discrepancy wouldn't be noticed until the end of the quarter.  A
  147. salami-slice attack only makes sense when the attacker intends to
  148. remain undetected, so that the attack continues to operate
  149. indefinitely.
  150.  
  151. The romantic picture of the hacker sitting at his terminal, day in and
  152. day out, moving a few pennies here and there, may have a lot of
  153. appeal, but it's not reality.
  154.  
  155. The crux of the Thomas's critique is:  "Contrary to billing, there was
  156. no evidence in the story, other than questionable rumor, of `hacker'
  157. connection to organized crime."  But, again, that isn't the point of
  158. the story, which to me seemed to do a fairly reasonable (though
  159. imperfect) job of distinguishing between the innocents who "just want
  160. to hack" and the new "crims".  The article does, however, warn that
  161. the crims will have no compunctions about using the hackers, whether
  162. by just showing up at hacker conventions to learn the latest tricks -
  163. like every group, hackers think they can identify the "true" group
  164. members who believe in the group's ideals, when in fact it's always
  165. been trivially easy for those who are willing to lie to sneak in - or
  166. by hiring hackers, with money, drugs, or whatever.
  167.  
  168. I don't know to what degree the rumors of the spread of the crims are
  169. true.  It makes SENSE that they would be true, and in certain cases
  170. (particularly cellular telephone fraud) we have strong evidence.  It's
  171. naive to think that the hacker community or the hacker ethic is
  172. somehow immune to the influence of criminal minds.
  173.  
  174. There was an explicit warning from some prosecuter quoted in the
  175. article.  What he said was that people are upset by the crimes, and
  176. government is responding harshly, often against the wrong targets.  No
  177. one would be so stupid as to walk into a bank carrying a toy gun and
  178. try to get money from a teller, intending to leave it at the door,
  179. "just to test security".  Yet hackers seem to believe that they can do
  180. the same thing with a bank's computers.  If there were no such thing
  181. as real bank robbers, the toy gun game would be just fine; in the real
  182. world, that's an excellent way to get shot - or sent to prison for
  183. many years.  As the crims become more active - and even if the current
  184. stories are all baseless, they inevitably will, and sooner rather than
  185. later - any hackers who don't adjust to the new reality will find
  186. themselves in big trouble.  Many's the idealist who's been lead by the
  187. nose to help the dishonest - and it's usually the idealist who gets
  188. stuck with the bills.
  189.  
  190. ------------------------------
  191.  
  192. Date: Sat, 30 Jan 93 23:01:49 CST
  193. From: Jim Thomas <cudigest@mindvox.phantom.com>
  194. Subject: 2--Forbes, NPR, and a Response to Jerry Leichter
  195.  
  196. Jerry Leichter asks of our mutual reading of Forbes' Magazine's "The
  197. Hacker Hood" article (see CuD #4.66): "Did we read the same words?"
  198. Although his question is presumably rhetorical, and although we
  199. normally do not respond to articles (even if critical), Jerry's
  200. question and commentary raises too many issues to let pass. The answer
  201. to his rhetorical question is: No, we did not read the same words. Not
  202. only did we not read the same words in the Forbes piece, I'm not
  203. certain that Jerry read the Forbes article with particular care, and
  204. it's certain he did not read our response to it (or our oft-repeated
  205. position on "computer deviance" over the years) with care.  This would
  206. be of little consequence except that he makes several false assertions
  207. about my own background and he embodies an attitude that perpetuates
  208. the kinds of misunderstandings that lead to questionable laws, law
  209. enforcement, and misunderstanding among the public. Although Jerry
  210. obviously wrote in passion and in good faith, his commentary again
  211. raises the issues that we found disturbing in the Forbes piece.  We
  212. thank him for his post and for the opportunity to again address these
  213. issues.
  214.  
  215. Jerry's criticism's of the Forbes' commentary can be divided into
  216. three parts: 1) His perception of my naivete; 2) His disagreement with
  217. our evaluation and interpretation of the Forbes writers and the
  218. substance of the article; and 3) A disagreement over the nature and
  219. extend of "hacker crime."
  220.  
  221. 1. JERRY'S CRITICISMS OF THOMAS
  222.  
  223. Jerry's criticisms of me include several of sufficient magnitude that
  224. they require a response. First, he claims that I'm apparently blinded
  225. to objectivity because of a commitment to hacking:
  226.  
  227.     >In general, Thomas's criticisms of McMemanim (sic)  reveal him to
  228.     be >so personally involved with the "hacker culture" that he
  229.     >studies that he's protective of it - and blind to the
  230.     >possibility that the world may be bigger and nastier than he
  231.     >would like.
  232.  
  233. Had he claimed that I'm so involved in civil rights that I sometimes
  234. lose objectivity, I might agree with him. However, even a cursory
  235. reading of my response indicates that the criticisms of one of the
  236. Forbes writers, Brigid McMenamin would reveal that the objections had
  237. nothing to do with hackers or rights, but with journalistic ethics and
  238. responsibility. Those with whom I spoke who were contacted by Ms.
  239. McMenamin all reached an independent consensus about her methods,
  240. "homework," and ability to write a factual story. Jerry counters with
  241. no facts that would dispute any of the interpretations, but instead
  242. seems to defend what some judged as incompetence. Is it not possible,
  243. in Jerry's worldview, to question a reporter's methods, especially
  244. when those methods seem troublesome to others who are experienced in
  245. dealing with the press?
  246.  
  247. It's also unclear how Jerry interprets anything written by CuD editors
  248. as "protective" of "hacker culture." My Forbes commentary was quite
  249. clear: The issue isn't whether one supports of opposes "hacker
  250. culture." It's simply whether we believe that a medium such as Forbes
  251. should be committed to minimal standards of accuracy or whether we are
  252. willing to accept broad assertions and innuendo that contribute to the
  253. hysteria that feeds bad legislation and questionable law enforcement
  254. tactics such as those occuring during the "hacker crackdown."
  255.  
  256. I also assure Jerry that, as a criminologist who has lived in and also
  257. studied the nastiest criminal cultures, I recognize that segments of
  258. the world are indeed big and nasty. I also recognize that nastiness is
  259. not limited to the criminal segment of society.  In the scheme of
  260. things, even the worst of computer crime is generally not among the
  261. worst offenses that one can commit.  He seems unaware that the current
  262. U.S. prison population hoovers around 900,000, and that it's
  263. increasing by almost ten percent a year. Much of this increase is due
  264. to "get tough" attitudes on crime in which an increasing number of
  265. behaviors are criminalized, sanctions for crimes are increased, and
  266. sentences imposed (and time served) grows longer. Jerry fails to
  267. understand that the issue isn't simply "hackers," but rather what
  268. constitutes an acceptable social response to new social offenses.
  269.  
  270. Jerry also implies that to criticize increased criminalization and to
  271. oppose demonization for relatively mild offenses is naively
  272. idealistic.  Although he fails to provide a rationale for this claim,
  273. it presumably stems from a view that sees advocates of civil rights
  274. siding with criminals rather than victims. This, of course, is a false
  275. argument. There is little, if any, evidence that civil rights
  276. advocates side with criminals. Rather, they side with the rule of law
  277. that, under our Constitution, guarantees protections to all people.
  278. The Forbes article creates an image that, in a time of strong
  279. opposition to civil rights, promotes inappropriately strong laws and
  280. weaker protections of rights.  If adhering to the Enlightenment
  281. principles and Constitutional values on which our judicial (and
  282. social) system were founded makes me a naive idealist, then I'm guilty
  283. as charged. I find this a far more civilized stance than the
  284. alternative.
  285.  
  286. 2. JERRY'S CRITICISMS OF MY INTERPRETATION OF THE FORBES PIECE
  287.  
  288. Jerry "didn't particularly see 'hackers' as the focal point of the
  289. story." The title and the narrative of the piece seemed quite clear:
  290. "The Hacker Hoods?" Nearly every paragraph alluded to vague hacker
  291. criminality or to specific people identified as criminal "hackers."
  292. No, I do not think we did read the same words.  If I had any lingering
  293. doubts about Jerry's lack of thoroughness in reading the Forbes piece,
  294. they were eliminated when I read his criticism of my commentary on the
  295. "salami attack." The Forbes piece adduced as an example of a "hacker
  296. crime" an unsupported story about a computer intruder who lopped a
  297. penny or two from various accounts.  Jerry thinks it odd that one
  298. would question the veracity of the story and suggests that, contrary
  299. to what I said, a hacker could easily do this in a few seconds with a
  300. "big killing." He apparently failed to note that the story indicated
  301. this was done by skimming "off a penny or so from each account. Once he
  302. ((the hacker)) had $200,000, he quit" (p. 186). Again, it seems we
  303. didn't read the same words. The point wasn't whether this could be
  304. done, but that the story was provided as "fact" with no corroboration.
  305. In fact, neither the banking victim (Citibank) nor a nationally
  306. recognized computer crime expert (Donn Parker) had knowledge of the
  307. deed.  As written in Forbes, the method does raise some skepticism, as
  308. Jerry concedes:
  309.  
  310.     >The romantic picture of the hacker sitting at his terminal,
  311.     >day in and day out, moving a few pennies here and there, may
  312.     >have a lot of appeal, but it's not reality.
  313.  
  314. Here we agree. Had he read the Forbes piece accurately, he would
  315. see that this was precisely my point. The picture Jerry disputes is
  316. the one drawn in the Forbes piece. It appears that he agrees with me:
  317. The Forbes picture is not reality.
  318.  
  319. The issue here isn't that Jerry didn't read either the Forbes piece or
  320. the commentary carefully. Rather, it's that his comments show how
  321. easily even an otherwise informed reader can uncritically gloss over
  322. material that doesn't conform to a preferred view. It's not that I
  323. disagree with Jerry (or the Forbes piece). Rather, the issue at
  324. stake lies in a fundamental difference over how material is to
  325. be presented. In highly volatile topics, sensationalistic portrayals
  326. strike me as irresponsible and reinforce attitudes that lead to
  327. unacceptable social responses.  The Forbes piece and Jerry's
  328. uncritical acceptance of it contribute to what in past times were
  329. called witch hunts.  Jerry seems to find it odd that one would object
  330. to claims being made without evidence:
  331.  
  332.     >He ((Thomas)) criticizes the article for lack of
  333.     >evidence.  He ((Thomas))'s right, but after all, this
  334.     >was a criminal enterprise, and the criminals weren't
  335.     >caught.  Just what evidence would he expect?
  336.  
  337. Crimes are detected in two ways. First, the criminal is apprehended in
  338. the act. Second, a victim reports the crime. As a criminologist, I've
  339. been taught that however one measures crime, it is generally done
  340. either by some combination of crimes known to police or by
  341. victimization surveys. In an article ostensibly describing crime, I
  342. would assume that there would be at least minimal evidence for the
  343. hard core crimes attributed to "hackers".  It's obvious Jerry and I
  344. did not read the same words.  Didn't he read Managing Editor Lawrence
  345. Minard's introduction?
  346.  
  347.     >While working with Bill Flanagan on the multibillion-dollar
  348.     >telephone toll fraud phenomenon (Forbes, Aug. 3), Brigid
  349.     >McMenamin was intrigued to find that organized crime was
  350.     >hiring young computer hackers to do some of their electronic
  351.     >dirty work.
  352.  
  353. This is a claim. Other claims are made in the article. It's not
  354. unreasonable to expect at least minimal evidence for the claims made.
  355. The story was not based on facts but on innuendo.  The Forbes piece
  356. was criticized *not* because it was in opposition to a preferred view
  357. of a particular social group, but because it took a stigmatized group
  358. and further demonized it by making claims without recourse to specific
  359. cases.
  360.  
  361. 3. WHAT'S AT STAKE IN THIS DISCUSSION
  362.  
  363. As I stated explicitly in my original Forbes commentary, the issue is
  364. not whether "hackers" are portrayed to one's liking.  The point is how
  365. one creates images of groups or behaviors that lead to social stigma
  366. and criminal sanctions. I judged the Forbes piece to grossly err on
  367. the side of falsely dramatizing a label that has been misused, abused,
  368. and used to create what many judge as inappropriate or chaotic laws.
  369.  
  370. If the Forbes piece were limited to identifying new types of computer
  371. crime without attempting to exaggerate the link between "hackers" and
  372. organized crime, and if it had been more factual, it would not have
  373. been objectionable. If it had focused on computer delinquents and the
  374. problems they cause by identifying explicit instances of security
  375. transgressions, telephone abuse, or other identifiable behaviors, it
  376. would have been less objectionable.  Had it made a clear distinction
  377. between the culture of "hackers," whether the old-guard explorer or
  378. the newer nuisance and computer criminals who do use a computer to
  379. prey (but are not "hackers"), it would have been less objectionable.
  380. The Forbes piece did none of this.  Instead, it distorted both
  381. "hacking" and computer crime.  The authors did nothing to clarify a
  382. complex problem and did much to obscure it.  There is computer crime?
  383. Old news. Some hackers commit computer crimes? Old news. What is new
  384. in the piece is that it implies a logic in which a) anyone adept at a
  385. computer is a hacker; b) Computer criminals (by definition) are adept
  386. at computers; c) Computer criminals are hackers.
  387. Conclusion: Look out for the hackers!
  388.  
  389. Consider: Substitute the term "computer professionals" or "sys ads"
  390. for "hackers." "Sys ad bullies?" "Sys ads learn to type and commit
  391. crimes?" Computer criminals, by definition, have computer skills, and
  392. to conflate all computer crime with "hacking" makes as much sense as
  393. conflating computer criminals with any other label that captures the
  394. imagination of a public that can't distinguish between the reality and
  395. the simulacrum. In the Forbes piece, the symbol, "hackers," becomes an
  396. abstract demon. Forbes employed its resources, which are considerable,
  397. to produce a misleading piece that subverts the efforts of those who
  398. attempt to balance fair laws and their application to civil liberties.
  399. I doubt that Forbes' readers, over one million of them, were able to
  400. ascertain the complexities of this delicate balance from the article.
  401.  
  402. The visibility of the Forbes article also put one author, William
  403. Flanagan, in the public eye on a National Public Radio "Morning
  404. Edition" segment (21 December, '92). Flanagan essentially repeated his
  405. points from the article. When asked by reporter Renee Montagne "But
  406. are we talking about computer hackers who've become criminals, or is
  407. it criminals who've become computer hackers?" Flanagan responded:
  408.  
  409.     It's--it's a bit of both actually. You really have three
  410.     categories.  You have the--the sport hackers who used to
  411.     fool around and show off.  They would go into a government
  412.     or a telephone company computer and pull out a sensitive
  413.     file and then show it off as a trophy. They really didn't
  414.     have too much malice in what they were doing other than the
  415.     anarchic thing that you will find among a lot of
  416.     late-teenage boys and--and it's mainly boys.  But some of
  417.     them have been co-opted into it by the Mafia, by organized
  418.     crime. They give them money and drugs and they perform some
  419.     stunts for them like come up with telephone numbers. Then,
  420.     there are those who are larcenous to start with and--and who
  421.     have developed the techniques or have hired others to do it.
  422.     Then, the third category--and perhaps this is even the most
  423.     dangerous. It's people who have an awful lot of computer
  424.     knowledge and are suddenly out of work and are very angry
  425.     and have the capability of creating all kinds of mayhem or
  426.     stealing great deals of money.
  427.  
  428. Of course there are hackers who commit crimes, just as there are
  429. systems administrators who commit crimes. But, in putting
  430. together the beginnings of a data base on computer crime in
  431. recent years, I have yet to come across a pointer to a Mafia-related
  432. "hacker" case. The thinking reflected in Flanagan's commentary
  433. resembles that of someone who's read one too many National Inquirer
  434. articles or seen one too many Geraldo shows.  It distorts the problem,
  435. distorts possible solutions, and offers no new information.
  436. When we distort the nature of the problem, we obstruct a solution.
  437.  
  438. Flanagan repeats the error of equating Robert T. Morris, of
  439. "the Internet work" fame with "hackers." The reporter notes that
  440. he was given probation, and asks, "What about now?"
  441.  
  442.      Flanagan: He would be in jail and I guarantee you, his
  443.      father's connections wouldn't have helped him in this day
  444.      and age.
  445.  
  446.      Montagne: His father was...
  447.  
  448.      Flanagan: Was a high government official I think with the
  449.      FTC.  Throughout most of the '80s when these kids were
  450.      caught, they would be given a rap on the knuckles and there
  451.      was a widespread belief that all they had to do was to tell
  452.      law enforcement or tell the telephone company how they did
  453.      something and to give up that information or maybe give up
  454.      the names of some of their friends, and they'd be let go.
  455.      But that's not the case any more.
  456.  
  457. Now, it's a seemingly minor error to assume that Morris's father's
  458. connections helped him, a claim for which there's no evidence.  It's
  459. also relatively minor that a detail such as linking Morris' father to
  460. the FTC was wrong (the senior Morris was a computer security expert
  461. who was the chief scientist at the NSA's National Computer Security
  462. Center).  It's also a minor quibble that Flanagan thinks that three
  463. years probation, a $10,000 fine, 400 of community service and almost
  464. $150,000 in legal fees is a light punishment. But, in the aggregate,
  465. these errors indicate that Flanagan, speaking as an "expert" on the
  466. issues of hacking and computer crime, doesn't know his subject. His
  467. pronouncements have a high profile: If it's in Forbes *and* on NPR, it
  468. *must* be true. Yet, his factual errors and the style of crafting them
  469. into narrative demonic images cast fatal doubt on his credibility. One
  470. way to counter this kind of hyperbole and disinformation is to provide
  471. an antidote by challenging the veracity of the facts and the images.
  472. This, as Jerry's response indicates, bothers some people.
  473.  
  474. As I argued, I hope clearly, in the original Forbes commentary, the
  475. concern isn't with "hackers," but with law and justice.  For over a
  476. decade, we have witnessed the curtailment of civil and other rights
  477. that were thought to be well-established. We have seen the
  478. criminalization of a variety of new behaviors and the imposition of
  479. harsher sentences on old ones. We have seen the abuses of a few law
  480. enforcement officials and others in pursuing their targets. We have
  481. seen creative use of seizure and forfeiture laws to take property and
  482. disrupt lives.  We have seen a public, frustrated by crime, succumb to
  483. the hyperbole and rhetoric of politicians and media sensationalism.
  484. To oppose the Forbes piece and those who defend it is not to take
  485. issue with personalities or a given medium. Rather, it is a modest,
  486. perhaps chimerical attempt to joust with those repressive windmills
  487. that substitute emotionalism and ignorance in solving problems for the
  488. harder task of coming to grips with thier complexity and nuances.
  489.  
  490. So, no, Jerry, we did not read the same words, nor do we see the world
  491. in the same way. Which is fine. We learn through the dialogic
  492. competition of ideas. And, yes, I do recognize that the world is a far
  493. more nasty place than suits my liking.  However, I also recognize that
  494. not all of the nastiness is caused by criminals.
  495.  
  496. To modify a line from Stephenson's Snow Crash, condensing fact from
  497. the vapor of nuance is fine, but replacing facts with vaporous nuances
  498. isn't.
  499.  
  500. ------------------------------
  501.  
  502. Date:         Sat, 30 Jan 1993 15:12:11 EST
  503. From:         Dave Banisar <banisar@WASHOFC.CPSR.ORG>
  504. Subject: 3--Revised Computer Crime Sent
  505.  
  506.              Revised Computer Crime Sentencing Guidelines
  507.  
  508. >From Jack King (gjk@well.sf.ca.us)
  509.  
  510. The U.S. Dept. of Justice has asked the U.S. Sentencing Commission to
  511. promulgate a new federal sentencing guideline, Sec. 2F2.1,
  512. specifically addressing the Computer Fraud and Abuse Act of 1988 (18
  513. USC 1030), with a base offense level of 6 and enhancements of 4 to 6
  514. levels for violations of specific provisions of the statute.
  515.  
  516. The new guideline practically guarantees some period of confinement,
  517. even for first offenders who plead guilty.
  518.  
  519. For example, the guideline would provide that if the defendant
  520. obtained ``protected'' information (defined as ``private information,
  521. non-public government information, or proprietary commercial
  522. information), the offense level would be increased by two; if the
  523. defendant disclosed protected information to any person, the offense
  524. level would be increased by four levels, and if the defendant
  525. distributed the information by means of ``a general distribution
  526. system,'' the offense level would go up six levels.
  527.  
  528. The proposed commentary explains that a ``general distribution
  529. system'' includes ``electronic bulletin board and voice mail systems,
  530. newsletters and other publications, and any other form of group
  531. dissemination, by any means.''
  532.  
  533. So, in effect, a person who obtains information from the computer of
  534. another, and gives that information to another gets a base offense
  535. level of 10; if he used a 'zine or BBS to disseminate it, he would get
  536. a base offense level of 12. The federal guidelines prescribe 6-12
  537. months in jail for a first offender with an offense level of 10, and
  538. 10-16 months for same with an offense level of 12.  Pleading guilty
  539. can get the base offense level down by two levels; probation would
  540. then be an option for the first offender with an offense level of 10
  541. (reduced to 8).  But remember:  there is no more federal parole.  The
  542. time a defendant gets is the time s/he serves (minus a couple days a
  543. month "good time").
  544.  
  545. If, however, the offense caused an economic loss, the offense level
  546. would be increased according to the general fraud table (Sec. 2F1.1).
  547. The proposed commentary explains that computer offenses often cause
  548. intangible harms, such as individual privacy rights or by impairing
  549. computer operations, property values not readily translatable to the
  550. general fraud table. The proposed commentary also suggests that if the
  551. defendant has a prior conviction for ``similar misconduct that is not
  552. adequately reflected in the criminal history score, an upward
  553. departure may be warranted.'' An upward departure may also be
  554. warranted, DOJ suggests, if ``the defendant's conduct has affected or
  555. was likely to affect public service or confidence'' in ``public
  556. interests'' such as common carriers, utilities, and institutions.
  557. Based on the way U.S. Attorneys and their computer experts have
  558. guesstimated economic "losses" in a few prior cases, a convicted
  559. tamperer can get whacked with a couple of years in the slammer, a
  560. whopping fine, full "restitution" and one to two years of supervised
  561. release (which is like going to a parole officer). (Actually, it *is*
  562. going to a parole officer, because although there is no more federal
  563. parole, they didn't get rid of all those parole officers. They have
  564. them supervise convicts' return to society.)
  565.  
  566. This, and other proposed sentencing guidelines, can be found at 57 Fed
  567. Reg 62832-62857 (Dec. 31, 1992).
  568.  
  569. The U.S. Sentencing Commission wants to hear from YOU.  Write:  U.S.
  570. Sentencing Commission, One Columbus Circle, N.E., Suite 2-500,
  571. Washington DC 20002-8002, Attention: Public Information.  Comments
  572. must be received by March 15, 1993.
  573.  
  574.                                   * * *
  575.  
  576. Actual text of relevant amendments:
  577.  
  578.                     UNITED STATES SENTENCING COMMISSION
  579.                   AGENCY: United States Sentencing Commission.
  580.                                57  FR  62832
  581.  
  582.                                December 31, 1992
  583.  
  584.    Sentencing Guidelines for United States Courts
  585.  
  586. ACTION: Notice of proposed amendments to sentencing guidelines,
  587. policy statements, and commentary. Request for public comment.
  588. Notice of hearing.
  589.  
  590. SUMMARY: The Commission is considering promulgating certain
  591. amendments to the sentencing guidelines, policy statements, and
  592. commentary. The proposed amendments and a synopsis of issues to be
  593. addressed are set forth below. The Commission may report amendments
  594. to the Congress on or before May 1, 1993. Comment is sought on all
  595. proposals, alternative proposals, and any other aspect of the
  596. sentencing guidelines, policy statements, and commentary.
  597.  
  598. DATES: The Commission has scheduled a public hearing on these
  599. proposed amendments for March 22, 1993, at 9:30 a.m. at the
  600. Ceremonial Courtroom, United States Courthouse, 3d and Constitution
  601. Avenue, NW., Washington, DC 20001.
  602.  
  603.    Anyone wishing to testify at this public hearing should notify
  604. Michael Courlander, Public Information Specialist, at (202) 273-4590
  605. by March 1, 1993.
  606.  
  607.    Public comment, as well as written testimony for the hearing,
  608. should be received by the Commission no later than March 15, 1993,
  609. in order to be considered by the Commission in the promulgation of
  610. amendments due to the Congress by May 1, 1993.
  611.  
  612. ADDRESSES: Public comment should be sent to: United States
  613. Sentencing Commission, One Columbus Circle, NE., suite 2-500, South
  614. Lobby, Washington, DC 20002-8002, Attention: Public Information.
  615.  
  616. FOR FURTHER INFORMATION CONTACT: Michael Courlander, Public
  617. Information Specialist, Telephone: (202) 273-4590.
  618.  
  619. * * *
  620.  
  621.    59. Synopsis of Amendment: This amendment creates a new guideline
  622. applicable to violations of the Computer Fraud and Abuse Act of 1988
  623. (18 U.S.C. 1030). Violations of this statute are currently subject
  624. to the fraud guidelines at S. 2F1.1, which rely heavily on the
  625. dollar amount of loss caused to the victim. Computer offenses,
  626. however, commonly protect against harms that cannot be adequately
  627. quantified by examining dollar losses. Illegal access to consumer
  628. credit reports, for example, which may have little monetary value,
  629. nevertheless can represent a serious intrusion into privacy
  630. interests. Illegal intrusions in the computers which control
  631. telephone systems may disrupt normal telephone service and present
  632. hazards to emergency systems, neither of which are readily
  633. quantifiable. This amendment proposes a new Section 2F2.1, which
  634. provides sentencing guidelines particularly designed for this unique
  635. and rapidly developing area of the law.
  636.  
  637.    Proposed Amendment: Part F is amended by inserting the following
  638. section, numbered S.  2F2.1, and captioned "Computer Fraud and
  639. Abuse," immediately following Section 2F1.2:
  640.  
  641.  
  642. "S.  2F2.1. Computer Fraud and Abuse
  643.  
  644.    (a) Base Offense Level: 6
  645.  
  646.    (b) Specific Offense Characteristics
  647.  
  648.    (1) Reliability of data. If the defendant altered information,
  649. increase by 2 levels; if the defendant altered protected
  650. information, or public records filed or maintained under law or
  651. regulation, increase by 6 levels.
  652.  
  653.    (2) Confidentiality of data. If the defendant obtained protected
  654. information, increase by 2 levels; if the defendant disclosed
  655. protected information to any person, increase by 4 levels; if the
  656. defendant disclosed protected information to the public by means of
  657. a general distribution system, increase by 6 levels.
  658.  
  659.    Provided that the cumulative adjustments from (1) and (2), shall
  660. not exceed 8.
  661.  
  662.    (3) If the offense caused or was likely to cause
  663.  
  664.    (A) interference with the administration of justice (civil or
  665. criminal) or harm to any person's health or safety, or
  666.  
  667.    (B) interference with any facility (public or private) or
  668. communications network that serves the public health or safety,
  669. increase by 6 levels.
  670.  
  671.    (4) If the offense caused economic loss, increase the offense
  672. level according to the tables in S.  2F1.1 (Fraud and Deceit). In
  673. using those tables, include the following:
  674.  
  675.    (A) Costs of system recovery, and
  676.  
  677.    (B) Consequential losses from trafficking in passwords.
  678.  
  679.    (5) If an offense was committed for the purpose of malicious
  680. destruction or damage, increase by 4 levels.
  681.  
  682.    (c) Cross References
  683.  
  684.    (1) If the offense is also covered by another offense guideline
  685. section, apply that offense guideline section if the resulting level
  686. is greater. Other guidelines that may cover the same conduct
  687. include, for example: for 18 U.S.C. 1030(a)(1), S.  2M3.2 (Gathering
  688. National Defense Information); for 18 U.S.C. 1030(a)(3), S.  2B1.1
  689. (Larceny, Embezzlement, and Other Forms of Theft), S.  2B1.2
  690. (Receiving, Transporting, Transferring, Transmitting, or Possessing
  691. Stolen
  692.  
  693. Property), and S.  2H3.1 (Interception of Communications or
  694. Eavesdropping); for 18 U.S.C. 1030(a)(4), S.  2F1.1 (Fraud and
  695. Deceit), and S.  2B1.1 (Larceny, Embezzlement, and Other Forms of
  696. Theft); for 18 U.S.C. S.  1030(a)(5), S.  2H2.1 (Obstructing an
  697. Election or Registration), S.  2J1.2 (Obstruction of Justice), and
  698. S.  2B3.2 (Extortion); and for 18 U.S.C. S.  1030(a)(6), S.  2F1.1
  699. (Fraud and Deceit) and S.  2B1.1 (Larceny, Embezzlement, and Other
  700. Forms of Theft).
  701.  
  702.  
  703. Commentary
  704.  
  705.    Statutory Provisions: 18 U.S.C. 1030(a)(1)-(a)(6)
  706.  
  707.    Application Notes:
  708.  
  709.    1. This guideline is necessary because computer offenses often
  710. harm intangible values, such as privacy rights or the unimpaired
  711. operation of networks, more than the kinds of property values which
  712. the general fraud table measures. See S.  2F1.1, Note 10. If the
  713. defendant was previously convicted of similar misconduct that is not
  714. adequately reflected in the criminal history score, an upward
  715. departure may be warranted.
  716.  
  717.    2. The harms expressed in paragraph (b)(1) pertain to the
  718. reliability and integrity of data; those in (b)(2) concern the
  719. confidentiality and privacy of data. Although some crimes will cause
  720. both harms, it is possible to cause either one alone. Clearly a
  721. defendant can obtain or distribute protected information without
  722. altering it. And by launching a virus, a defendant may alter or
  723. destroy data without ever obtaining it. For this reason, the harms
  724. are listed separately and are meant to be cumulative.
  725.  
  726.    3. The terms "information," "records," and "data" are
  727. interchangeable.
  728.  
  729.    4. The term "protected information" means private information,
  730. non-public government information, or proprietary commercial
  731. information.
  732.  
  733.    5. The term "private information" means confidential information
  734. (including medical, financial, educational, employment, legal, and
  735. tax information) maintained under law, regulation, or other duty
  736. (whether held by public agencies or privately) regarding the history
  737. or status of any person, business, corporation, or other
  738. organization.
  739.  
  740.    6. The term "non-public government information" means
  741. unclassified information which was maintained by any government
  742. agency, contractor or agent; which had not been released to the
  743. public; and which was related to military operations or readiness,
  744. foreign relations or intelligence, or law enforcement investigations
  745. or operations.
  746.  
  747.    7. The term "proprietary commercial information" means non-public
  748. business information, including information which is sensitive,
  749. confidential, restricted, trade secret, or otherwise not meant for
  750. public distribution. If the proprietary information has an
  751. ascertainable value, apply paragraph (b) (4) to the economic loss
  752. rather than (b) (1) and (2), if the resulting offense level is
  753. greater.
  754.  
  755.    8. Public records protected under paragraph (b) (1) must be filed
  756. or maintained under a law or regulation of the federal government, a
  757. state or territory, or any of their political subdivisions.
  758.  
  759.    9. The term "altered" covers all changes to data, whether the
  760. defendant added, deleted, amended, or destroyed any or all of it.
  761.  
  762.    10. A "general distribution system" includes electronic bulletin
  763. board and voice mail systems, newsletters and other publications,
  764. and any other form of group dissemination, by any means.
  765.  
  766.    11. The term "malicious destruction or damage" includes injury to
  767. business and personal reputations.
  768.  
  769.    12. Costs of system recovery: Include the costs accrued by the
  770. victim in identifying and tracking the defendant, ascertaining the
  771. damage, and restoring the system or data to its original condition.
  772. In computing these costs, include material and personnel costs, as
  773. well as losses incurred from interruptions of service. If several
  774. people obtained unauthorized access to any system during the same
  775. period, each defendant is responsible for the full amount of
  776. recovery or repair loss, minus any costs which are clearly
  777. attributable only to acts of other individuals.
  778.  
  779.    13. Consequential losses from trafficking in passwords: A
  780. defendant who trafficked in passwords by using or maintaining a
  781. general distribution system is responsible for all economic losses
  782. that resulted from the use of the password after the date of his or
  783. her first general distribution, minus any specific amounts which are
  784. clearly attributable only to acts of other individuals. The term
  785. "passwords" includes any form of personalized access identification,
  786. such as user codes or names.
  787.  
  788.    14. If the defendant's acts harmed public interests not
  789. adequately reflected in these guidelines, an upward departure may be
  790. warranted. Examples include interference with common carriers,
  791. utilities, and institutions (such as educational, governmental, or
  792. financial institutions), whenever the defendant's conduct has
  793. affected or was likely to affect public service or confidence".
  794.  
  795. ------------------------------
  796.  
  797. Date: 22 Dec 92 15:31:52 EST
  798. From: Ken Citarella <70700.3504@COMPUSERVE.COM>
  799. Subject: 4--Balancing Computer Crime Statutes and Freedom
  800.  
  801.         An Illustration of How Computer Crime Statutes Try To
  802.         Balance Competing Interests of Security and Freedom
  803.               -- and Come Up With Interesting Answers
  804.  
  805.                 copyright 1992, Kenneth C. Citarella
  806.                 (CompuServe; 70700,3504)
  807.  
  808.         Computers deserve protection.  If we did not all agree on that
  809. state legislatures and the Congress would not have passed computer
  810. crime statutes.  Exactly how much protection to afford them, however,
  811. is the crux of the problem.  Sometimes resolving that gets confused
  812. with a desire to avoid criminalizing inquisitive and youthful computer
  813. intruders.
  814.  
  815.         The New York State computer crime statutes illustrate this
  816. confusion.  The basic computer crime in New York is Unauthorized Use
  817. of a Computer, a misdemeanor.  A person commits this crime when he
  818. uses, or causes to be used, a computer without authorization, and the
  819. computer is programmed to prevent unauthorized use.  Thus, the
  820. unauthorized use of any computer in New York which does not have
  821. user-id/password security or some equivalent is arguably lawful under
  822. this statute.  Moreover, under the definition of "uses a computer
  823. without authorization", the unauthorized user must be notified orally,
  824. in writing, or by the computer itself that unauthorized users are not
  825. welcome.
  826.  
  827.         There are, therefore, two threshold protections that a system
  828. owner must install to have his computer come under the protection of
  829. the New York unauthorized use statute.  First, there must be
  830. protective programming; second, there must a warning to the
  831. prospective intruder.  These obligations do not seem excessive
  832. regarding misuse by an employee or other user with limited access to
  833. the computer in question.  It is difficult to include with everyone's
  834. employment materials a written warning regarding unauthorized use of
  835. the computer, and it is certainly common enough to issue user-ids and
  836. passwords.
  837.  
  838.         Consider, however, the remote unauthorized user.  If a
  839. business has a computer with an unlisted modem number, has issued
  840. user-ids and passwords to its authorized users, has dial back modems,
  841. and has encrypted log-in procedures,  its computer may still not be
  842. protected by the unauthorized use statute.  Should an intruder locate
  843. the modem number by random demon dialling, guess at a password and
  844. encryption code, and enter the system to install and operate a pirate
  845. bulletin board, it may not be a criminal act.  As long as the intruder
  846. does not access government records, medical records, or corporate
  847. secrets, alter any file or program, or download anything from the
  848. system, there may not be a crime.  As long as the system did not
  849. display a warning that unauthorized users were not welcome, the crime
  850. of unauthorized use cannot occur.  Thus, the legislature has elevated
  851. the display of a few words almost certain to deter no one to far
  852. greater legal importance than actual technical protective steps, all
  853. in the name of not criminalizing our inquisitive youths.  Yet, if
  854. technical security procedures cannot convince them not to intrude upon
  855. a system, what importance can be attached to the displayed warning?
  856. Aren't unlisted phones, passwords, and other standard security
  857. procedures sufficient warning in and of themselves?  Or, is form
  858. really more important than substance?
  859.  
  860.         It is curious to note that the legislature seized upon notice
  861. as the prerequisite for computer crime law protection.  It is a crime
  862. to enter and drive away with a car without permission, even if the car
  863. door is open, the key in the ignition, and the engine running.  It is
  864. a crime to enter a premises without permission, even if the door is
  865. open, the lights on, and dinner on the table.  In either scenario,
  866. notice is implicit in the intruder's knowledge that he does not belong
  867. there.  The prosecutor must prove the absence of permission at trial,
  868. just as he rightly should in a computer crime case.  But under current
  869. legislation, egregious computer intrusions must go unprosecuted if,
  870. despite extensive technical protection, three little words --
  871. "Authorized Users Only" -- do not appear to warn an intruder not to
  872. enter where he already knows he does not belong.
  873.  
  874.         If computers are ever to become as integrated into our lives
  875. as cars and homes should they not be afforded the same protection
  876. under the criminal law?
  877.  
  878. ((The author is a Deputy Bureau Chief of the Frauds Bureau in the
  879. District Attorney's Office, Westchester County, New York.  The
  880. opinions expressed herein are purely personal and do not necessarily
  881. reflect the opinions or policies of the District Attorney's Office.))
  882.  
  883. ------------------------------
  884.  
  885. End of Computer Underground Digest #5.09
  886. ************************************
  887.  
  888.