home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / cud / cud551.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  46.9 KB  |  912 lines
  1. Computer underground Digest    Sun July 11 1993   Volume 5 : Issue 51
  2.                            ISSN  1004-042X
  3.  
  4.        Editors: Jim Thomas and Gordon Meyer (TK0JUT2@NIU.BITNET)
  5.        Archivist: Brendan Kehoe
  6.        Shadow-Archivists: Dan Carosone / Paul Southworth
  7.                           Ralph Sims / Jyrki Kuoppala
  8.                           Ian Dickinson
  9.        Copy Editor: Etaoin Shrdlu, Seniur
  10.  
  11. CONTENTS, #5.51 (July 11 1993)
  12. File 1--Introduction to the AIS BBS Controversy
  13. File 2--Response to RISKS' Anonymous Post attacking AIS BBS
  14. File 3--Response to Anonymous: AIS BBS
  15. File 4--A User's View of AIS BBS
  16. File 5--Fear and Loathing: On the Virus Code Trail at AIS
  17. File 6--Media, Anti-virus personnel, Ethics, and AIS
  18.  
  19. Cu-Digest is a weekly electronic journal/newsletter. Subscriptions are
  20. available at no cost electronically from tk0jut2@mvs.cso.niu.edu. The
  21. editors may be contacted by voice (815-753-6430), fax (815-753-6302)
  22. or U.S. mail at:  Jim Thomas, Department of Sociology, NIU, DeKalb, IL
  23. 60115.
  24.  
  25. Issues of CuD can also be found in the Usenet comp.society.cu-digest
  26. news group; on CompuServe in DL0 and DL4 of the IBMBBS SIG, DL1 of
  27. LAWSIG, and DL1 of TELECOM; on GEnie in the PF*NPC RT
  28. libraries and in the VIRUS/SECURITY library; from America Online in
  29. the PC Telecom forum under "computing newsletters;"
  30. On Delphi in the General Discussion database of the Internet SIG;
  31. on the PC-EXEC BBS at (414) 789-4210; and on: Rune Stone BBS (IIRG
  32. WHQ) (203) 832-8441 NUP:Conspiracy; RIPCO BBS (312) 528-5020
  33. CuD is also available via Fidonet File Request from 1:11/70; unlisted
  34. nodes and points welcome.
  35. EUROPE:   from the ComNet in LUXEMBOURG BBS (++352) 466893;
  36.           In ITALY: Bits against the Empire BBS: +39-461-980493
  37.  
  38. ANONYMOUS FTP SITES:
  39.   UNITED STATES:  ftp.eff.org (192.88.144.4) in /pub/cud
  40.                   uglymouse.css.itd.umich.edu (141.211.182.53) in /pub/CuD/cud
  41.                   halcyon.com( 202.135.191.2) in /pub/mirror/cud
  42.                   aql.gatech.edu (128.61.10.53) in /pub/eff/cud
  43.   AUSTRALIA:      ftp.ee.mu.oz.au (128.250.77.2) in /pub/text/CuD.
  44.   EUROPE:         nic.funet.fi in pub/doc/cud. (Finland)
  45.                   ftp.warwick.ac.uk in pub/cud (United Kingdom)
  46.  
  47. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  48. information among computerists and to the presentation and debate of
  49. diverse views.  CuD material may  be reprinted for non-profit as long
  50. as the source is cited. Authors hold a presumptive copyright, and
  51. they should be contacted for reprint permission.  It is assumed that
  52. non-personal mail to the moderators may be reprinted unless otherwise
  53. specified.  Readers are encouraged to submit reasoned articles
  54. relating to computer culture and communication.  Articles are
  55. preferred to short responses.  Please avoid quoting previous posts
  56. unless absolutely necessary.
  57.  
  58. DISCLAIMER: The views represented herein do not necessarily represent
  59.             the views of the moderators. Digest contributors assume all
  60.             responsibility for ensuring that articles submitted do not
  61.             violate copyright protections.
  62.  
  63. ----------------------------------------------------------------------
  64.  
  65. Date: Thu, 8 July 1993 21:39:01 CDT
  66. From: Jim Thomas <tk0jut2@mvs.cso.niu.edu>
  67. Subject: File 1--Introduction to the AIS BBS Controversy
  68.  
  69. A recent (Vol 14, #58) issue of Risks Digest contained an anonymous
  70. post that attacked AIS BBS and it's sysop, Kim Clancy.  The AIS board
  71. is a service of the U.S. Department of Treasury's Bureau of Public
  72. Debt.  "AIS' is an acronym for "Automated Information System," and the
  73. board provides security-related information to its users.
  74.  
  75. AIS downloadable files included a broad range of texts files related
  76. to computer security, "hacker" culture, and computer technology, along
  77. with other files readily available on any public access system. A few
  78. anti-virus folk complained about the virus source code that was
  79. available on the board. According to CuD sources, at least one British
  80. anti-virus specialist publicly condemned the board and urged
  81. colleagues to voice complaints.
  82.  
  83. An "anonymous" poster, later revealed to be Paul Ferguson, an
  84. anti-virus specialist, wrote the anonymous Risks post. The story was
  85. picked up by Joel Garreau of the Washington Post a few weeks later,
  86. and on July 6 prompted Edward J. Markey, Chair of the House
  87. Subcommittee on Telecommunications and Finance, to contact Lloyd
  88. Bentsen, Secretary of the Department of the Treasury, to voice
  89. concerns (see forthcoming CuD 5.52 for comments from Rep. Markey's
  90. office) about the AIS BBS.
  91.  
  92. In my view, this incident has been blown out of proportion by some of
  93. the anti-virus crowd and their supporters, by the media, and
  94. especially by Rep. Markey.  In this issue, we examine the background
  95. of the incident as it began in Risks, and include some commentary.
  96.  
  97. ------------------------------
  98.  
  99. Date: Mon, 21 Jun 93 22:54:12 CDT
  100. From: Jim Thomas <cudigest@mindvox.phantom.com>
  101. Subject: File 2--Response to RISKS' Anonymous Post attacking AIS BBS
  102.  
  103. ((The following appeared in Risks Digest, #14.68, ten issues after
  104. the original post appeared)).
  105.  
  106. In Risks (Vol 14 #58) appeared a post, part of which is reprinted
  107. below, that makes us appreciate freedom of speech and information
  108. exchange we enjoy in the U.S. The primary risk I've learned after
  109. reading the post is that anonymous posters with an axe to grind are
  110. potential threats to freedom of expression.
  111.  
  112. Two anonymous posters falsely depict AIS BBS, a bulletin board run by
  113. Dept of Treasury/Office of Public Debt personnel as a public
  114. information service, as a board engaged in "unethical, immoral, and
  115. possibly illegal activities:"
  116.  
  117.   >Date: Fri, 7 May 93 11:18:17 -0500
  118.   >From: Anonymous <nowhere@bsu-cs.bsu.edu>
  119.   >X-Notice: This message was forwarded by a software-
  120.   >       automated anonymous remailing service.
  121.   >
  122.   >This text was forwarded to me by a friend and professional colleague
  123.   >in the UK. I am dismayed that this type of activity is being condoned
  124.   >by an American Governmental Agency. I can only hope that this
  125.   >operation is shut down and the responsible parties are reprimanded.  I
  126.   >am extremely disturbed by the thought that my tax money is being used
  127.   >for, what I consider, unethical, immoral and possibly illegal
  128.   >activities.
  129.   >
  130.   >             ---- begin forwarded message -------------
  131.   >
  132.   >AIS BBS Capture log.
  133.   >
  134.    >To:  all interested parties, especially Americans who may wish to ask
  135.    >relevant questions of relevant people.
  136.    >
  137.    >Capture log from a BBS that claims to be run by the US Treasury
  138.    >Department, Bureau of the Public Debt. Notice - I have not verified
  139.    >that the US government is actually running this BBS, only that the BBS
  140.    >claims that it is.
  141.  
  142. The remainder of the anonymous post presents screen captures of
  143. directories and files to which the poster objects. Especially
  144. troublesome for the anonymous accusers are virus-oriented files.
  145.  
  146. AIS is a reputable and professionally run open-access BBS.
  147. It has one of most extensive collections of text and other files
  148. related to all aspects of security in the country. Some may object
  149. to some of the materials, just as some might object to RISKS DIGEST or
  150. CuD  being "funded" with taxpayers money.  It strikes me as
  151. reprehensible to take selected material out of context and piece
  152. together an image of immorality or worse by presenting a misleading
  153. image of the materials on the BBS and the purposes for which those
  154. materials are intended.  That the accusers make their claims while
  155. hiding behind the cloak of anonymity strikes me as the type of
  156. cowardice associated with witch hunts.
  157.  
  158. The anonymous posters seem to be bothered by the existence of virus
  159. source code on the board. I wager one would learn far more about virus
  160. writing and distribution tactics from VIRUS-L than from the AIS files,
  161. but the two anonymous posters seem to be part of a handful of strident
  162. pseudo-moral entrepreneurs who feel that only the information they
  163. judge as appropriate for public consumption should be made available.
  164. I'm surprised that the anonymous critics did not also include a demand
  165. that public libraries also be closed.
  166.  
  167. It is one thing to disagree with the position of another and raise the
  168. contentious issues as a matter of public debate. It is quite another
  169. to engage in the cowardly act of anonymously distorting the function
  170. of a legitimate and widely-used BBS by insinuating "unethical,
  171. immoral, and possibly illegal activities."
  172.  
  173. CuD ran an interview with the AIS BBS personnel (CuD 4.37, 1992), and
  174. a few excerpts may put the purposes of AIS BBS in perspective:
  175.  
  176.                         *** begin excerpts ***
  177.  
  178.      Q: What is this Board? (name, number, who runs it (dept & sysop).
  179.      What kind of software are you using?  When did the Board go
  180.      on-line?
  181.  
  182.      A: The Bulletin Board System (BBS) is run by the Bureau of the
  183.      Public Debt's, Office of Automated Information System's Security
  184.      Branch.  The mission of the Bureau is to administer Treasury's
  185.      debt finance operations and account for the resulting debt.  The
  186.      OAIS security branch is responsible for managing Public Debt's
  187.      computer systems security.  The AIS BBS is open to the public and
  188.      the phone number for the Board is (304) 420-6083.  There are
  189.      three sysops, who manage the Remote Access software.  The BBS
  190.      operates on a stand-alone pc and is not connected to any of other
  191.      Public Debt systems.  The Board is not used to disseminate
  192.      sensitive information, and has been up operating for the past 15
  193.      months. <<This interview was as of mid-1992 - jt>>
  194.  
  195.      Q: What are the goals and purposes of the Board?
  196.  
  197.      A: The BBS was established to help manage Public Debt's security
  198.      program.  Security managers are located throughout Public Debt's
  199.      offices in Parkersburg, WV and Washington DC.  The security
  200.      programmers saw a need to disseminate large amounts of
  201.      information and provide for communication between program
  202.      participants in different locations.  Because the Board was
  203.      established for internal purposes, the phone number was not
  204.      published.  However, the number was provided to others in the
  205.      computer security community who could provide information and
  206.      make suggestions to help improve the bureau's security program.
  207.      Gradually, others became aware of the Board's existence.
  208.  
  209.      Q: What kinds of files and/or programs do you have on the Board?
  210.      Why/how do you choose the files you have on-line?
  211.  
  212.      A: There is a wide variety of files posted.  In the beginning, we
  213.      posted policy documents, newsletter articles from our internal
  214.      security newsletter, bulletins issued by CERT, such as virus
  215.      warnings, and others for internal use.  I located some
  216.      "underground" files that described techniques for circumventing
  217.      security on one of the systems we manage.  The information, from
  218.      Phrack magazine, was posted for our security managers to use to
  219.      strengthen security.  When we were called by others with the same
  220.      systems, we would direct them to those files as well.
  221.      Unexpectedly, the "hacker" that had written the file contacted me
  222.      through our BBS.  In his article he mentioned several automated
  223.      tools that had helped him take advantage of the system.  I
  224.      requested that he pass on copies of the programs for our use.  He
  225.      agreed.  This is how our "hacker file areas" came to be.  Other
  226.      hackers have done the same, and have we also received many files
  227.      that may be useful.  It is, indeed, an unusual situation when
  228.      hackers and security professionals work together to help secure
  229.      systems.  However, this communication has been beneficial in
  230.      strengthening an already secure system.
  231.  
  232.      Q: How did you get the idea to set it up?
  233.  
  234.      A: The security branch accesses many BBSs on a daily basis for
  235.      research purposes, information retrieval and to communicate with
  236.      others.  Since our security program is decentralized, the BBS
  237.      seemed to be an effective way of communicating with program
  238.      participants in diverse locations.
  239.  
  240.                             <end excerpts>
  241.  
  242. Perhaps the anonymous accusers are correct: Some types of information
  243. may pose a risk if abused. But, in an open democracy, the potential
  244. for abuse has been neither a necessary nor a sufficient justification
  245. to silence those with whom we disagree.  If potential for abuse were a
  246. primary criterion for suppressing the flow of information and freedom
  247. of expression, we would live in a rather silent world, and there would
  248. likely be no RISKS digest (which arguably subverts the national
  249. interest by undermining faith in computers and in government, all of
  250. which is largely done with public funding).
  251.  
  252. Hiding behind anonymity to reduce the risks of accounting for their
  253. accusations, the anonymous posters call not only for silencing, but
  254. for sanctions against the sysops.
  255. This suggests several risks:
  256.  
  257. 1) Posters who are unwilling to accept responsibility for their
  258. claims are more able to distort information in ways that
  259. leave the target vulnerable and unable to face their accusers.
  260.  
  261. 2) Anonymous posters who call for silencing and sanctions on the
  262. basis of unexamined and questionable claims create a chilling
  263. effect on freedom of expression.
  264.  
  265. 3) Anonymous posters with an apparent axe to grind contribute to
  266. poisoning the well of free information and reduce the opportunity to
  267. openly discuss and debate issues.
  268.  
  269. Our society can far more readily tolerate the existence of information
  270. that some may find inappropriate than we can risk the censorship of
  271. information because it offends a few zealots engaged in a form of
  272. cyber-guerilla warfare by making anonymous claims.
  273.  
  274. Jim Thomas
  275. Cu-Digest
  276. Sociology/Criminal Justice
  277. Northern Illinois University
  278. DeKalb, IL 60115
  279.  
  280. ------------------------------
  281.  
  282. Date:         Thu, 13 May 93 12:46:19 EDT
  283. From: Frank Tirado <SYSADMIN@ERS.BITNET>
  284. Subject: File 3--Response to Anonymous: AIS BBS
  285.  
  286. I'm concerned about the implications of message contributed by
  287. "Anonymous" on the AIS BBS.  The message implies that surely any
  288. "right-thinking" person would agree with the statements presented.  So
  289. sorry!  I have a totally different opinion as regards the conclusions
  290. presented by "Anonymous".
  291.  
  292. First, lets get a few things out in the open:
  293.  
  294. a. The AIS BBS is a real BBS run by the Bureau of Public Debt.
  295. b. Its phone number is (304)420-6083
  296. c. While the BBS does post virus source code, these comprise at most
  297.    about 40 files, a minute fraction of the files available on the
  298.    board.  (In fact, I have several HUNDRED virus sources in my
  299.    collection, none of them acquired from the AIS BBS)
  300.  
  301. Both "Anonymous" and his/her UK colleague decry the fact that virus
  302. source code is available from the BBS and label it a virus exchange
  303. board.  The truth is that the board provides these and other files to
  304. individuals who are for the most part security professionals who have
  305. a very real interest in the workings of viruses and other types of
  306. underground activities.
  307.  
  308. "But", you say, "there's no security! Anyone could get on the board
  309. and get access to all that nasty source code!"  Well, its possible but
  310. so what?  What about all those underground boards where it is possible
  311. to leech entire file bases of virus source code AND live viruses?!  By
  312. comparison, attacking a board which serves mainly security
  313. professionals is a purely picayune endeavor.  Besides, almost to a one
  314. those who frequent virus exchange boards are leery of the AIS BBS
  315. because its a FEDERAL BOARD!  It just HAS to be a sting!
  316.  
  317. "Anonymous" expresses concern about what he/she considers "unethical,
  318. immoral and possibly illegal activities".  This is simply an opinion;
  319. obviously, my opinion is diametrically opposite, and just as strongly
  320. held as that of "Anonymous".  Who's to say who's right, who's wrong?
  321. Besides, the law that says viruses are illegal has yet to be passed,
  322. not to mention formulated, here in the US.  In addition, "Anonymous"
  323. neglects to point out in what way virus source code is immoral and
  324. unethical.  I imagine that falls under the category of what every
  325. right-thinking person "knows".
  326.  
  327. "Anonymous" and his/her colleague pretend to remain anonymous for
  328. reasons of privacy and fear of reprisals.  Let's be real here!  Is the
  329. Bureau of Public Debt going to send the BBS police to their homes to
  330. rip out their PC's?; hire a squad of Palestinian hitmen to shoot them
  331. full of holes?  For having simply expressed their opinions?  Not at
  332. all.  The only possible reason for anonymity is that they have some
  333. kind of vested interest in shutting down this BBS.  The original
  334. message was forwarded to "Anonymous" by his/her colleague in the UK.
  335. The UK?  Gee, that's odd.  At a recent conference in New York, Alan
  336. Solomon specifically targeted the AIS BBS.  Could it be these two
  337. individuals are one and the same?.......  Perhaps if "Anonymous" and
  338. colleague reveal their real names we'll have a better idea of their
  339. true motives.
  340.  
  341. Then again, maybe I'm the one who's wrong.  I should join them and
  342. after we shut down the AIS BBS we can shut down the boards which carry
  343. hacker files.  We can follow that up by shutting down the ones which
  344. provide information on how to build explosive devices.  We can
  345. continue with the libraries, because they're bound to have something
  346. offensive, too.
  347.  
  348. Knowledge is not going to go away just because we don't like it or
  349. because we don't want it in someone else's hands.  Shutting down a BBS
  350. simply because it carries source code is, in this case, at best petty.
  351. Shutting down the AIS BBS for this reason will deny security
  352. professionals a valuable resource. Most importantly, shutting down the
  353. AIS BBS will do nothing to stop the proliferation of virus source and
  354. live viruses.  "Anonymous" and his/her colleague will have achieved
  355. nothing, no one will have benefited.
  356.  
  357. ------------------------------
  358.  
  359. Date: Thu, 20 May 93 11:52:18 EDT
  360. From: Paul Melka <no.net@address>
  361. Subject: File 4--A User's View of AIS BBS
  362.  
  363. After reading the Risks 14.58 issue concerning the US Treasury
  364. Department's Bureau of Public Debt BBS, AIS BBS, I feel like I must
  365. respond to some of the claims of the anonymous writer.  First, as a
  366. security professional, I have found the information on the AIS BBS
  367. extremely helpful to me in the performance of my job.  This
  368. information is provided primarily for the use of the BPD, and is made
  369. available upon request to other interested parties.  This board is not
  370. the only security-related board in the country.  There are a number of
  371. other boards, such as ComSec, that provide similar information to
  372. security professionals.
  373.  
  374. Second, although the board does provide virus disassemblies and hacker
  375. files, this information is for the use of security professionals to
  376. help in their understanding of the inner workings of viruses, or to
  377. see possible security holes in their systems that are common knowledge
  378. to crackers and phreakers.  This information is of little or no use to
  379. budding virus writers or hackers because there already are a plethora
  380. of virus exchange boards or hacking boards that are very easy to get
  381. access to.  In fact you can go to your local book store and order a
  382. copy of Mark Ludwig's Little Black Book of Computer Viruses.  This
  383. book would be much more helpful in learning about how to write a
  384. computer virus, than any disassembly could possibly be.  Maybe we
  385. should go back to book burnings too!
  386.  
  387. Third, the board provides a neutral area for security professionals
  388. and "hackers" to have the opportunity to exchange view points.  All
  389. someone has to do is scan the user list to see the number of security
  390. professionals and anti-virus professionals that have been on the
  391. board.  If this board is so tainted, what are all these respected
  392. professionals doing on the board?
  393.  
  394. Finally, the anonymous writer's fear of reprisal is ridiculous.  The
  395. last thing that the FBI or Secret Service or anyone else is going to
  396. worry about is a board that is legitimately helping to increase the
  397. level of security awareness among professionals.  What is the Treasury
  398. Department going to do to this individual - raise his taxes?
  399.  
  400. This board is very professionally run and is one of the most positive
  401. benefits of my tax dollars that I have seen.  The anonymous sender
  402. ends by asking, "Who watches the watchers?" and I can only respond,
  403. each and every one of us.  If this board were as evil as we are led to
  404. believe, there would be such an outcry from security professionals all
  405. over the country to shut it down.  But when hundreds of people are
  406. getting positive benefits from it and only a handful of people have a
  407. problem with it, I say leave it alone.  The AIS BSS was designed to be
  408. used by security professionals and security professionals are
  409. benefiting from it.  Certainly the anonymous sender is entitled to his
  410. opinion and feelings, but so are the rest of us.
  411.  
  412. ------------------------------
  413.  
  414. Date: Mon, 21 Jun 93 21:18:31 EDT
  415. From: Urnst Kouch <70743.1711@COMPUSERVE.COM>
  416. Subject: File 5--Fear and Loathing: On the Virus Code Trail at AIS
  417.  
  418. ((Urnst Kouch is editor of CRYPT NEWSLETTER. Additional details on the
  419. background of the incident and those involved can be found
  420. in CRYPT NEWSLETTER #16)).
  421.  
  422.           FEAR AND LOATHING:  ON THE VIRUS CODE TRAIL AT AIS
  423.  
  424. On Saturday, June 19, the national press suddenly reared up and
  425. without warning, mangled the reputation of one of the finest, most
  426. professional security experts I know, Kim Clancy of the Bureau of
  427. Public Debt's Security Branch.
  428.  
  429. I rolled out of bed Saturday morning, plugged into Compuserve's
  430. Today's News and was promptly crushed by the brazen stupidity of
  431. reporter Charles Bowen's newspiece, "GOVERNMENT BBS SAID TO HAVE AIDED
  432. COMPUTER INTRUDERS AND VANDALS".
  433.  
  434. Bowen plagiarized the lead, "A government spokesman says an obscure
  435. bulletin board system run by a federal agency apparently helped
  436. computer vandals commit electronic sabotage," directly from a same-day
  437. Associated Press story called "Dial-A-Virus".
  438.  
  439. But neither Bowen nor the AP offered a solitary shred of proof, other
  440. than this outrageously leading statement, loosely attributed to Public
  441. Debt spokesman Peter Hollenbach, that Kim Clancy's AIS BBS has ever
  442. been responsible for abetting documented cases of hacker intrusion or
  443. computer vandalism by virus.
  444.  
  445. Further, Bowen reported, "The [Washington] Post says that among the
  446. visitors to the system were computerists using handles such as 'The
  447. Internet Worm,' 'Satan's Little Helper' and 'Dark Avenger's Mutation
  448. Engine.'"  The Washington Post story, reported by Joel Garreau, said
  449. nothing of the kind, leading me to believe Bowen is either a
  450. functional illiterate or willfully slack.  Indeed, anyone who has
  451. visited AIS knows beyond a shadow of a doubt that the system NEVER
  452. supported handles of such nature.  [Of course, Bowen can respond by
  453. blaming it on a copy editor and/or tight deadline, the last, best
  454. defense of lazy, inaccurate newsmen the country over.]
  455.  
  456. These vague insinuations, however, were as nothing compared to the
  457. wellspring of the controversy, Garreau's "Treasury Exposed Computer
  458. Virus Info; Whistleblowers Halted Display Available To Anyone With A
  459. Modem" which brought into the public glare the chain of events that
  460. resulted in the removal of hacker tools, text files and commented
  461. virus source code from AIS.
  462.  
  463. Although Garreau's story attempted to present a number of sides it was
  464. packaged so that a general reader would get a picture of a mad-dog
  465. government agency, finally "muzzled" after distributing dangerous code
  466. to "every maladjusted sociopath with Coke-bottle-bottom glasses." More
  467. savagely irresponsible was the sideborn statement that treasury
  468. officials had neglected to "discipline" Clancy, instead merely
  469. removing the dangerous information from her system.
  470.  
  471. It was a real rabbit punch; a cheapjack, ham-handed slam on Kim
  472. Clancy, successful in portraying her as someone who spends her
  473. worktime beta-testing intrusion software against her own department so
  474. that hackers might optimize their methods for computer subversion and
  475. vandalism.  This is hair-raising stuff, to be sure, for a general
  476. readership, but not the real truth.  It is my understanding, and
  477. something I've seen Kim Clancy make clear in lectures to many computer
  478. workers, that the whole point of working with hackers on the
  479. development of "Tone-Loc" software was so that it COULD and WOULD be
  480. supplied to interested security personnel who would use it to gain an
  481. understanding of how to harden their systems against tools employing
  482. similar technology.
  483.  
  484. This is emphatically not the handiwork of someone who should be
  485. disciplined or professionally tarred, but the work of someone who
  486. Bruce Sterling, not me, says is "probably THE BEST THERE IS [emphasis
  487. mine] in the federal government who's not military or NSA.  Probably
  488. better than most CIA."
  489.  
  490. Unfortunately, Sterling's appraisal was buried near the end of the
  491. story, after all the cracked shouting about aiding hackers and
  492. computer criminals.
  493.  
  494. But I've walked away from the real nut of the matter: the presence of
  495. commented virus source code at AIS.  The significance of this is, in
  496. my opinion, beyond the current ability of mainstream journalists to
  497. evaluate simply because the vast majority of them have little
  498. technical grasp of the byzantine reality of computer security, what
  499. viruses are, how they work and don't work and where you find virus
  500. source code.  Certainly, The Washington Post story did nothing to
  501. convince otherwise.
  502.  
  503. Consider these statements from The Post and some stony facts:
  504.  
  505.     >>According to software writers, with the AIS information
  506.     "relative amateurs, could create new viruses."
  507.  
  508. This is dangerously misleading.  As point of fact, relative amateurs
  509. DO, not could, create new viruses from source code and they've done so
  510. for a long time before the advent of AIS.  That AIS would be
  511. responsible for such a development, which is already fact, is frankly
  512. idiotic.
  513.  
  514.     >>Virus source code at AIS "is worse than making live
  515.     viruses available.  A person without the skill to write
  516.     a brand new virus could nonetheless produce a variation
  517.     on an existing one . . . If sufficiently mutated, the
  518.     virus might slip past anti-virus programs designed to
  519.     look for known products."
  520.  
  521. This presumes that most virus-writers, would-be virus-writers and
  522. "Coke-bottle glasses-variety sociopaths" have little access to source
  523. code.  This is not even close to being true.  Virus source code is now
  524. commonplace on professional, semi-professional and amateur BBS's run
  525. by every stripe of user across the country. In fact, it is almost as
  526. common as pirated software and pornography in some locales.
  527. Surprisingly, the higher quality virus disassemblies stocked on such
  528. BBS's are often the handiwork of anti-virus researchers and software
  529. developers. Strangely, this has never been reported by a mainstream
  530. newsman, perhaps because "designated experts" often come from the same
  531. pool of researchers and developers.
  532.  
  533.       ". . . some computer professionals minimize the risk, saying
  534.       the software on [AIS] was acquired through the computer
  535.       underground in the first place, and thus has always been
  536.       available to miscreants with sufficient contacts, tenacity and
  537.       skill."
  538.  
  539. This is a particularly nasty one because its presented as
  540. justification by those attacked and seems true.  It's not.  It
  541. requires NO tenacity or particular skill to get hundreds of viruses
  542. and assorted source code listings.  Unlike the stunt of hacking a
  543. mainframe from a dial-up, which often requires great patience, a
  544. brute-force approach or some technical skill as substitute, from
  545. teenagers to middle-age men, anyone with a PC and a modem can dig up a
  546. BBS devoted to virus code in almost no time.  Yes, they are that
  547. common.
  548.  
  549. Why should this be?  Where have all those live viruses come from?
  550. Paradoxically, many of the virus files on these BBS's bear the
  551. electronic mark of software developers like Certus International, S&S
  552. International and security organizations such as the National Computer
  553. Security Association.  Damn.  How DO "relative amateurs" get ahold of
  554. those samples? Of course, they could all be forgeries, the work of
  555. some dangerous psychopath. Yeah, right.
  556.  
  557. In any case, the only people who can't access the hacker files anymore
  558. are the security people. And the real story may boil down to what I
  559. call the "You dunno this information, it's too dangerous and and you
  560. don't have any business knowing about viruses and hacker files so
  561. leave it to us anonymous security experts and anti-virus researchers
  562. because we're here to serve and protect and we'll take care of all
  563. that stuff, thank you" explanation.  It is the very essence of
  564. professional arrogance and hubris, in my estimation.
  565.  
  566. There is, obviously, much more which should have been addressed by the
  567. mainstream media.  Why hasn't it, then?  Because it's not as sexy a
  568. story as the visceral blurt of noble civil servant whistleblowers
  569. bringing down a renegade government security BBS pursuing new ways to
  570. pervert the public trust out on the rim of cyberspace. And it would
  571. take time; it's a story that couldn't be researched and rushed into
  572. print in a week. It's complex, you see, and would be a great deal
  573. longer than the piece which ran in America's finest newspaper, The
  574. Washington Post.  So maybe we should all forget about fairness,
  575. because if it can't get into print at The Post, where will it?
  576.  
  577. I hope Kim can continue her fine work and I'm angry at the stupid
  578. treatment this controversy has received at the hands of the newsmedia,
  579. so I'm writing to you about it because if I don't, I just might have
  580. to scream.
  581.  
  582. ------------------------------
  583.  
  584. Date: Thu, 9 July 1993 23:11:17 CDT
  585. From: Jim Thomas <tk0jut2@mvs.cso.niu.edu>
  586. Subject: File 6--Media, Anti-virus personnel, Ethics, and AIS
  587.  
  588. There are no winners in the AIS BBS incident. The sysop, considered an
  589. exceptionally professional and helpful security specialist, is known
  590. for attempting to bridge barriers between competing groups, such as
  591. law enforcement and "hackers," in the belief that one way to reduce
  592. abuses by all sides is through education. The anonymous poster(s) won
  593. a short-term victory in that the "underground" files were removed from
  594. the board.  Peter Hollenbeck, Department of Treasury spokesperson for
  595. the incident, indicated that there were no plans to take the board
  596. down. However, he explained that after a review of the board's
  597. mission, it was decided that "underground" files, which included Cu
  598. Digest, would be removed.  As of 11 July, AIS was still functioning,
  599. and the following log-in screen appeared:
  600.  
  601. +++ begin login screen +++
  602.  
  603.  
  604.                 immmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmm<
  605.                 >      U.S. Department of the Treasury       >
  606.       mmmmmmmmmm9       Bureau of the Public Debt            lmmmmmmmmmm
  607.                 >  Office of Automated Information Systems   >
  608.       mmmmmmmmmm9          A.I.S. Security Branch            lmmmmmmmmmm
  609.                 >        On-Line Information System          >
  610.       mmmmmmmmmm9    (call 304-480-6083 after 6/21/93)       lmmmmmmmmmm
  611.                 hmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmm#
  612.  
  613. We recently reviewed the information posted on this bulletin board. As a
  614. result of this review we have decided to remove the "underground" files and
  615. will not post similar information in the future.
  616.  
  617. We concluded that making this type of information available through this
  618. facility is not in the best interest of the Bureau of the Public Debt.
  619.  
  620. +++ end login screen +++
  621.  
  622. Should the AIS BBS have made available to the public so-called
  623. "underground" files that included virus source code? Persuasive
  624. arguments can be made on both sides. My intent here isn't to recreate
  625. those arguments, but to briefly examine the process by which the
  626. incident evolved.  Here are a few points overlooked by the media and
  627. others.
  628.  
  629. First, according to CuD sources, attacks on the AIS BBS began as early
  630. as March, 1993, at the IEEE Computer Security seminar in New York
  631. City.  One vocal participant, believed by many to be one of the
  632. anonymous Risks Digest posters, encouraged his listeners to "do
  633. something" about AIS BBS.  The tandem "anonymous" posts were less than
  634. honest to the extent that, according to one AIS BBS user who did
  635. periodic log captures, the name of at least one of the posters, Paul
  636. Ferguson, had been listed in user files well before the anonymous
  637. post.  Assuming that the "Paul Ferguson" on AIS BBS and the Paul
  638. Ferguson of the anonymous post are the same, the cryptic posturing of
  639. the anonymous Risks posts would seem dramatically deceptive.  The
  640. feigned ignorance about aspects of the BBS, the professed fear of
  641. "retaliation," and the vengeful (and anonymous) call for punitive
  642. sanctions against the sysop seem more in line with an intentionally
  643. planned assault than with an ethical attempt to raise issues and
  644. generate debate.
  645.  
  646. No doubt that Paul Ferguson is sincere in his concerns about the
  647. "ethics" of making certain types of files available on a government
  648. BBS. However, it should also be noted that Paul Ferguson may stretch
  649. the ethical boundaries of truth when it suits him. For example, CuD
  650. has been informed that a letter over the sig of "Paul Ferguson" in
  651. which "reply" reached the same Paul Ferguson who acknowledged writing
  652. the anonymous Risks post, appeared to misrepresent himself in
  653. attempting to solicit information from a government employee.  To
  654. establish credibility, he allegedly claimed to be working with the EFF
  655. and CPSR on issues that affect the computer and networking public at
  656. large.  CuD contacted officials in both organizations, and the
  657. responses ranged form "we don't know him" to "it's news to us."
  658. Anonymous postings calling for retributive sanctions and seemingly false
  659. misrepresentation of affiliations do not generally give one
  660. credibility.
  661.  
  662. A Fidonet reader forwarded a post that we find interesting.  In a FIDO
  663. Virus_Info post under Paul Ferguson's header, the following appeared
  664. in response to a CRYPT NEWSLETTER article:
  665.  
  666.      Date: 12:38 pm  Sun Jun 27, 1993       Number : 408 of 418 From:
  667.      Paul Ferguson                    Base   : FIDO - VIRUS_INFO To  :
  668.      All                              Refer #: None Subj: AIS debate
  669.      (part 1)              Replies: None Stat: Sent
  670.      Origin : 26 Jun 93  00:45:00
  671.  
  672.      Mr. Corey Tucker sent an "advance" copy article written by George
  673.      Smith (aka Urnst Kouch) which implied several items which were
  674.      conjectured and seemingly allusions. I posted a prior response,
  675.      but additionally, I'd like to post an article also written by
  676.      Kouch which outlines Clancy in the CRYPT newsletter #13, in which
  677.      more altruistic mentalities are discussed. I believe this is
  678.      valid; it reflects the entirety in which this whole fiasco
  679.      existed.
  680.  
  681.      Additionally, I am also posting the Washington Post article, in
  682.      its entirety, for information purposes.
  683.  
  684.      If the truth be known, Mr. Smith did the most damage to Kim
  685.      Clancy's underground organiztion (and BBS) than anyone who maay
  686.      have followed, by the publication of this very article.
  687.  
  688.      No need to call this number, it ain't there anymore. Not only did
  689.      Mr. Smith (Kouch) nail Clancy's coffin, he enabled others to do
  690.      so on his behalf.
  691.  
  692. Several questions arise, including the following:
  693.  
  694. First, what is the "underground organization" that Kim Clancy
  695. allegedly "has"?  From law enforcement indictments, search/seizure
  696. affidavits and warrants, and press releases that we have seen in the
  697. past, such a phrase could, for the clueless, constitute felonious
  698. conspiracy.  This is neither neutral nor innocent wording. It is the
  699. type of irresponsible accusation that (as we've seen from media
  700. accounts such as the Washington Post or Rep. Markey's letter to
  701. Secretary Bentsen) assumes a reality of its own. Is Paul Ferguson
  702. suggesting, as the post implies, that Kim Clancy runs an "underground"
  703. organization? Does Paul Ferguson actually believe that Kim Clancy is
  704. involved with illegal activity? Judging from his anonymous post, he
  705. actually so-believes. If so, perhaps he could present evidence of
  706. illegal activity or "underground" leadership as he implies.  If he
  707. cannot, then he owes Kim Clancy a public apology for subjecting her to
  708. the type of innuendo that has tarnished the reputation and threatened
  709. the career of a dedicated civil servant.
  710.  
  711. Second, Paul Ferguson strongly suggests that the board is no longer in
  712. service. Consider this wording:
  713.  
  714.      No need to call this number, it ain't there anymore. Not only did
  715.      Mr. Smith (Kouch) nail Clancy's coffin, he enabled others to do
  716.      so on his behalf.
  717.  
  718. Let's keep some facts straight. "Mr. Smith (Kouch)" did *not* "nail
  719. Clancy's coffin." Paul Ferguson and his friends did with anonymous
  720. inflammatory posts and with other posts that irresponsibly suggest
  721. illegal and "underground" activity.  Contrary to Paul Ferguson's
  722. claim, the board remains operative.  Notices, announcements, and other
  723. information sources over the past few months alerted callers to the
  724. Parkersburg Bureau of Public Debt offices that the old prefix would
  725. be changed to "480." One CuD informant indicated that Ferguson knew of
  726. this change prior to the date listed on the above post. If so, the
  727. wording of the passage cited above is duplicitous. If Paul Ferguson
  728. did not know of the change, then his professed knowledge of AIS BBS is
  729. less than credible.
  730.  
  731. Now, let's examine the Washington Post article (June 19, P. 1) that
  732. covered the story. Joel Garreau, the author, is reputable and has
  733. established his credentials as a fair journalist. We have no doubt
  734. that he tried to present a balanced view of what he considered a
  735. newsworthy story.  However, there are several troubling aspects of the
  736. story.
  737.  
  738. The story begins:
  739.  
  740.           *Treasury* Told Computer Virus Secrets Whistleblowers Halted
  741.                    Display Available to Anyone With a Modem.
  742.  
  743.                The Washington Post, June 19, 1993, FINAL Edition
  744.                  By: Joel Garreau, Washington Post Staff Writer
  745.                            Section: A SECTION, p. a01
  746.  
  747.      For  more  than  a  year, computer virus programs that can
  748.      wreak havoc with computer  systems  throughout  the  world
  749.      were  made  available by a U.S. government  agency  to
  750.      anyone  with a home computer and a modem, officials
  751.      acknowledged this week.
  752.  
  753.      At  least  1,000  computer  users  called  a  Treasury
  754.      Department telephone number,  spokesmen  said, and had
  755.      access to the virus codes by tapping into the  department's
  756.      Automated Information System bulletin board before it was
  757.      muzzled last month.
  758.  
  759.         The  bulletin  board,  run  by a security branch of the
  760.      Bureau of Public Debt  in  Parkersburg,  W.Va., is aimed at
  761.      professionals whose job it is to combat  such malicious
  762.      destroyers of computer files as "The Internet Worm,"
  763.      "Satan's  Little  Helper" and "Dark Avenger's Mutation
  764.      Engine." But nothing blocked anyone else from gaining access
  765.      to the information.
  766.  
  767. Let's look at just a few issues.  First, there is considerable room for
  768. legitimate disagreement over whether this is a newsworthy story.
  769. However, if it is deemed newsworthy that one government agency
  770. provides information that some see as "dangerous," then the same
  771. standards of newsworthyness ought be applied to all other government
  772. agencies that release "sensitive" information in a variety of
  773. documents that is equally "dangerous." In fact, what the reporter
  774. completely ignored in the story is the issue of accessibility to all
  775. types of information. If we are going to "muzzle" a single information
  776. source, then why not "muzzle" government-funded libraries as well?
  777. Where does the "muzzling" line end? Who makes the decisions and by
  778. what criteria?
  779.  
  780. Second, the story emphasizes the concerns of AIS critics and
  781. despite interviews with persons who minimized the dangers and
  782. significance of the AIS BBS files, the counter interpretation was
  783. considerably downplayed.
  784.  
  785. Third, this was not a "whistleblowing" incident any more than would be
  786. a similar incident when an irate member of the public complains
  787. anonymously about the local public library carrying Playboy.
  788. Framing it as such distorts events.
  789.  
  790. Fourth, and although minor but not insignificant, the wording of the
  791. article is less than neutral. Exaggerating the "virus" dangers,
  792. framing the incident as "whistleblowing," referring to "hacker tools"
  793. without also explaining their relatively innocuous nature and public
  794. availability of these specific "tools," and other rhetorical ploys
  795. seemed to pander to public virus hysteria.  Further, although a small
  796. point, it is not insignificant that a major quote was wrong. The
  797. anonymous post in the Post article was reprinted as follows:
  798.  
  799.         "I  am  dismayed  that  this  type  of  activity
  800.      is being condoned by an American  governmental
  801.      agency. I am extremely disturbed by the thought that
  802.      my  tax  money  is  being used  for what I consider
  803.      unethical, immoral and possibly illegal
  804.      activities...."
  805.  
  806. The original post read:
  807.  
  808.      I am dismayed that this type of activity is being condoned
  809.      by an American Governmental Agency. I can only hope that
  810.      this operation is shut down and the responsible parties are
  811.      reprimanded.  I am extremely disturbed by the thought that
  812.      my tax money is being used for, what I consider, unethical,
  813.      immoral and possibly illegal activities.
  814.  
  815. A seemingly minor alteration, but the elimination of the second
  816. sentence (without an elide or other indication) that calls for
  817. silencing and sanctions against the sysop omits a crucial bit of
  818. information.
  819.  
  820. It's also worth noting that the story refers to CuD as The magazine
  821.  
  822.      "...followed by those interested in the murky world of
  823.      "hackers, crackers and phone phreaks. It is edited by Jim
  824.      Thomas, of the sociology and criminal justice department of
  825.      Northern Illinois University."
  826.  
  827. This would be akin to saying that The Washington Post is the preferred
  828. paper of drug kingpins interested in following the predatory exploits
  829. of their competition....while perhaps true in some vague sense, it
  830. conveys a grossly inaccurate image of both publications. CuD, as I
  831. carefully explained to the reporter, is read by a conservatively
  832. estimated readership of 80,000, most of whom are computer
  833. professionals, journalists, attorneys, academics, law enforcement, and
  834. others who are primarily interested in computer culture. CuD is read,
  835. as near as I can determine, by those looking for news, book reviews,
  836. conference information, research articles, debates, computer-related
  837. legislation, and information on virtually *all* aspects of computer
  838. culture.  And, "Jim Thomas" and not simply "of" the sociology/criminal
  839. justice department at NIU, but a full professor with a credible list
  840. of books and articles on his vita, which I explicitly told the
  841. reporter. I'm normally quite modest about such things. However, the
  842. wording of the Post article is deceptively glib and irresponsibly
  843. distorts both the editorial purpose and content of CuD and the
  844. editor's status. This might sound picky. Sadly, we've seen the Post
  845. article cited in Rep. Markey's letter to Treasury Secretary Bentsen,
  846. and I'd hate to have some "whistleblower" come unglued thinking that
  847. NIU is making hacker information (or worse) available to the public.
  848. The story also errs (despite information the reporter was given) in
  849. claiming that the AIS BBS revealed its number in CuD last November.
  850. This is simply wrong.  CuD possessed the number and contacted board
  851. personnel for an interview.  The interview was cleared through the
  852. appropriate supervisors and spokespersons prior to publishing, and it
  853. was *NOT* revealed at the initiative of AIS personnel as the story
  854. claims.  The reporter presumably had this information.
  855. Another small error, but one recreated in Rep. Markey's letter to
  856. Treasury Secretary Bentsen with a demand for accountability for the
  857. act, which in fact did not occur.
  858.  
  859. These are not the only errors or problems with the story.
  860. Individually, they are relatively minor faux pas. But, in the
  861. aggregate, they create an inaccurate image of events and exaggerate
  862. the significance of the "story." Because of the visibility of the
  863. Post, the story became national news and was carried on, among other
  864. outlets, CNN and the Associated Press wires. For some, appearance of
  865. "facts" in national media are sufficient to verify accuracy, and
  866. little attempt is made to dig below the surface. Although the Post
  867. reporter was far more conscientious than most media folk, and although
  868. he was sincere in his attempt to present a balanced story, the final
  869. product was questionable. To my mind, this may say more about the
  870. nature of media and the emphasis on a "sexy" slant and the appropriate
  871. discourse for such a slant than on the abilities of the reporter, Joel
  872. Garreau, for whom I have considerable personal and professional
  873. respect.
  874.  
  875. A final point is worth noting. The Post article quotes the anonymous
  876. risk poster (Paul Ferguson) early in the story. Then, in the paragraph
  877. immediately following, it quotes Paul Ferguson to give credibility to
  878. and elaborate on the anonymous post without mentioning that Paul
  879. Ferguson was the anonymous poster. The reporter was told by voice and
  880. by e-mail *prior* to the story that Ferguson and the anonymous poster
  881. were the same. Yet, no mention was made, and the two quotes were
  882. sequenced as if they were separate voices.  Others can judge the
  883. ethical implications of this for themselves.
  884.  
  885. Because of the Risks post and the Post story, the AIS BBS incident
  886. has assumed a significance beyond any reasonable reality.
  887. One writer of "cyberspace" fiction and non-fiction reportedly called
  888. Kim Clancy the "Cyber Joan of Arc." It fits. Ms. Clancy is not a
  889. politician, not a political activist, and not a trouble-making
  890. bureaucrat. She is a sensitive, dedicated government official who
  891. believes that sharing legal information and engaging in dialogue is
  892. the best way to curtail computer abuse. Her "crime" was in
  893. over-estimating the good-will of others and in assuming that her
  894. critics preferred dialogue to mean-spirited action.  This incident is
  895. not one of a "victimized" class resisting the tyrany of a powerful
  896. government official. Instead, it reflects a sad situation in which
  897. some persons, both intentionally and inadvertently, combined to create
  898. a nasty situation based on innuendo and misinformation to create a
  899. drama in which there are only losers.
  900.  
  901. Sadly, I must make one final comment. It's said that some people,
  902. angered at this affair, are planning to retaliate against those judged
  903. responsible. This would be an ethically bankrupt response.  Predatory
  904. behavior decivilizes cyberspace just as it does the "real world." The
  905. best response to cyber-conflict usually is to air disputes in public
  906. and debate them aggressively and honestly.  We need fewer, not more,
  907. razorblades in the sand if we're to create a civilized environment.
  908.  
  909. ------------------------------
  910.  
  911. End of Computer Underground Digest #5.51
  912.