home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / cud / cud557.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  40.7 KB  |  849 lines
  1. Computer underground Digest    Sun  Aug 1 1993   Volume 5 : Issue 57
  2.                            ISSN  1004-042X
  3.  
  4.        Editors: Jim Thomas and Gordon Meyer (TK0JUT2@NIU.BITNET)
  5.        Archivist: Brendan Kehoe
  6.        Shadow-Archivists: Dan Carosone / Paul Southworth
  7.                           Ralph Sims / Jyrki Kuoppala
  8.                           Ian Dickinson
  9.        Coop Eitidor: Etaoin Shrdlu, Senior
  10.  
  11. CONTENTS, #5.57 ( Aug 1 1993)
  12. File 1--Re: Hacker sentencing
  13. File 2--Criminal Records Subject to Abuse
  14. File 3--UPDATE: Ideas-Exchange listserv/ Legis Data Programmers
  15. File 4--Observations from a "non-cyberhead"
  16. File 5--Response to "Observations from a 'non-cyberhead'"
  17. File 6--Rep. Markey's Letter in re AIS BBS
  18. File 7--Response to Rep. Markey's Letter
  19.  
  20. Cu-Digest is a weekly electronic journal/newsletter. Subscriptions are
  21. available at no cost electronically from tk0jut2@mvs.cso.niu.edu. The
  22. editors may be contacted by voice (815-753-6430), fax (815-753-6302)
  23. or U.S. mail at:  Jim Thomas, Department of Sociology, NIU, DeKalb, IL
  24. 60115.
  25.  
  26. Issues of CuD can also be found in the Usenet comp.society.cu-digest
  27. news group; on CompuServe in DL0 and DL4 of the IBMBBS SIG, DL1 of
  28. LAWSIG, and DL1 of TELECOM; on GEnie in the PF*NPC RT
  29. libraries and in the VIRUS/SECURITY library; from America Online in
  30. the PC Telecom forum under "computing newsletters;"
  31. On Delphi in the General Discussion database of the Internet SIG;
  32. on the PC-EXEC BBS at (414) 789-4210; and on: Rune Stone BBS (IIRG
  33. WHQ) (203) 832-8441 NUP:Conspiracy; RIPCO BBS (312) 528-5020
  34. CuD is also available via Fidonet File Request from 1:11/70; unlisted
  35. nodes and points welcome.
  36. EUROPE:   from the ComNet in LUXEMBOURG BBS (++352) 466893;
  37.           In ITALY: Bits against the Empire BBS: +39-461-980493
  38.  
  39. ANONYMOUS FTP SITES:
  40.   UNITED STATES:  ftp.eff.org (192.88.144.4) in /pub/cud
  41.                   uglymouse.css.itd.umich.edu (141.211.182.53) in /pub/CuD/cud
  42.                   halcyon.com( 202.135.191.2) in /pub/mirror/cud
  43.                   aql.gatech.edu (128.61.10.53) in /pub/eff/cud
  44.   AUSTRALIA:      ftp.ee.mu.oz.au (128.250.77.2) in /pub/text/CuD.
  45.   EUROPE:         nic.funet.fi in pub/doc/cud. (Finland)
  46.                   ftp.warwick.ac.uk in pub/cud (United Kingdom)
  47.  
  48. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  49. information among computerists and to the presentation and debate of
  50. diverse views.  CuD material may  be reprinted for non-profit as long
  51. as the source is cited. Authors hold a presumptive copyright, and
  52. they should be contacted for reprint permission.  It is assumed that
  53. non-personal mail to the moderators may be reprinted unless otherwise
  54. specified.  Readers are encouraged to submit reasoned articles
  55. relating to computer culture and communication.  Articles are
  56. preferred to short responses.  Please avoid quoting previous posts
  57. unless absolutely necessary.
  58.  
  59. DISCLAIMER: The views represented herein do not necessarily represent
  60.             the views of the moderators. Digest contributors assume all
  61.             responsibility for ensuring that articles submitted do not
  62.             violate copyright protections.
  63.  
  64. ----------------------------------------------------------------------
  65.  
  66. Date:     Fri, 30 Jul 1993 13:41:55 -0700
  67. From: mcmullen@MINDVOX.PHANTOM.COM(John F. McMullen)
  68. Subject: File 1--Re: Hacker sentencing
  69.  
  70. The following appeared on Newsbytes, a commercial copyrighted
  71. international news service on July 29th. It is reposted here with the
  72. express consent of the author (This notice must accompany any subsequent
  73. re-postings which I am authorizing here)
  74.  
  75. ========================================================================
  76. (EDITORIAL) (GOVERN) (NYC)
  77. Reflections On Hacker Sentencing 07/29/93
  78. NEW YORK, NEW YORK, U.S.A.(NB) 072993 --  I sat in federal court
  79. this week and watched two young men be sentenced to prison. It was not a
  80. pleasant experience.
  81.  
  82. The young men, Elias Ladopoulos, known in the hacker world as "Acid
  83. Phreak", and Paul Stira, a/k/a "Scorpion", were each sentenced to six
  84. months imprisonment, six months home detention, seven hundred fifty
  85. hours of community service, and $50 assessment charge for conspiracy to
  86. commit computer crimes. Both had pled guilty on March 17th on this
  87. charge so there was not a question of guilt or innocence.
  88.  
  89. The six months imprisonment also does not seem draconian -- six months
  90. doesn't seem very long unless you happen to be the one serving it. Time is
  91. extremely relative as I found out when I spent five years at Fort Sill,
  92. Oklahoma between January 1963 and April 1963. It is safe to say that these
  93. young men will find the six months loss of freedom to be a very long
  94. period.
  95.  
  96. The penalty, however, may be reasonable. It is certainly well within the
  97. sentencing guidelines for the infraction (The maximum sentence quoted for
  98. the crime pled to is five years in prison and a $250,000 fine).
  99.  
  100. If I think that the sentencing may be just, or at least defensible, then
  101. what is the problem? Well, first, I have known the young men for over
  102. three years and like them both. I would have preferred that they not go to
  103. prison. I also personally feel that Stira never should have been a part of
  104. the indictment; a view shared by some law enforcement folks that I have
  105. spoken to (he is only mentioned in the papers twice and any illegal
  106. activities seeming stopped in January 1990; the activities enumerated
  107. involved possession a "trap door" program and a list of user passwords to
  108. systems).
  109.  
  110. I recognize that is a personal feeling and that all people want their
  111. friends not to bear hardship. Some place Ted Bundy probably had a friend
  112. who wanted him loose and running around.
  113.  
  114. Another problem relates to the procedures that got the defendants to the
  115. sentence. Stira and Ladopoulos (along with Mark Abene a/k/a "Phiber Optik")
  116.  were the subjects of a search and seizure by Secret Service agents in
  117. January 1990. Stira and Ladopoulos' fate then languished until July 1992
  118. when they were indicted along with Abene and two new players, John Lee
  119. a/k/a "Corrupt" and Julio Fernandez a/k/a "Outlaw", on conspiracy to
  120. commit computer crimes.
  121.  
  122. During the over three years that have gone by, Stira and Ladopoulos have
  123. undergone changes. They are both college students -- Stira would have
  124. graduated had his college not pulled his computer account when he pled
  125. guilty; an action which prevented him from completing his last course
  126. requirement.
  127.  
  128. Both have performed community service through contacts provided by
  129. Robert Ambrose, a director of the New York Amateur Computer Club
  130. (NYACC). Ladopoulos is employed by a major New York broadcasting
  131. company and has impressed his employer to the extent that the employer
  132. wrote a letter to the judge, asking for leniency, and came to the sentencing.
  133.  
  134. Ladopoulos' attorney, Scott Tulman, speaking at the hearing, said "He goes
  135. to school, works and donates time to working with the handicapped,
  136. teaching them to use computers. He acknowledges his culpability and has
  137. been attempting to atone for it. His probation officer noted his sincere
  138. efforts to rehabilitate himself. The stupid young person, 'Acid Phreak',
  139. who was involved with other person's computers no longer exists. It is
  140. Elias Ladopoulos who will be sentenced and that will cause a hardship to
  141. his family."
  142.  
  143. There are those who may say "It doesn't matter how long ago they did
  144. something wrong. They did it and they have to pay the piper." They may
  145. well be right in some cases but these are not past serial killers; they
  146. are two young men who have been under tremendous pressure for a
  147. substantial part of their lives (3 years out of 21 is significant) since
  148. the indictment.  Perhaps that should have been considered sufficient
  149. punishment.
  150.  
  151. There is, further, an overriding problem. From day 1 of the case, the
  152. judge, Richard Owen, showed a complete lack of understanding of the
  153. technology related to the case. At the initial scheduling meeting, then-
  154. Assistant US Attorney Steve Fishbein pointed out that the discovery
  155. process might take a long time as the government had intercepted over "50
  156. megabytes" of electronic evidence. The judge asked what a megabyte was
  157. and, when told it was a million characters, seemed to look rather panicked
  158. when he said "You're not going to show all that to a jury are you?"
  159. Fishbein assured him that he would not.
  160.  
  161. It seemed obvious to those of us in attendance that Judge Owen had visions
  162. of 50 million pieces of paper being delivered to a jury. He was
  163. understandably concerned.
  164.  
  165. That was only day one and a federal judge may not be computer literate at
  166. the start of such a case. That would certainly be a lot to expect. One
  167. might expect, however, that, a year later, at the conclusion of the case,
  168. knowledge would have been acquired. Sadly, that did not seem to be the
  169. case.
  170.  
  171. One of the charges made against Stira and Ladopoulos (and Abene) was
  172. that they both pulled a prank and caused damage to a computer system
  173. belong to WNET, the PBS television channel in New York. While Stira and
  174. Ladopoulos admitted being on the system, both deny causing any damage
  175. (it is a common belief that another hacker, known for malicious actions,
  176. left unindicted by the federal government because of his age, knowingly
  177. committed the damage). A major part of the sentencing dialogue between
  178. Ladopoulos and Judge Owen had to do with this incident. Newsbytes
  179. reported it this way:
  180.  
  181. "In response to questions from Judge Owen concerning his involvement with
  182. the damage to the WNET system, Ladopoulos said 'Another hacker whose name
  183. I have already provided to the government was the one who took the system
  184. down. When I saw the problem, I called the station and left my own phone
  185. number and offered to help. If I had caused the damage, I would not have
  186. done that. The person who caused the damage is a very deranged person.'
  187.  
  188. "Owen said that he could not believe that it was merely a coincidence that
  189. the damage was done to the WNET system in the same time frame that
  190. Ladopoulos was on the system. Ladopoulos replied by saying that the
  191. system log showed that he was off the system when the damage occurred. A
  192. discussion followed on the entire incident."
  193.  
  194. The discussion actually had knowledgeable persons in the court room
  195. shaking their heads. The judge didn't understand. He said that there was
  196. too much work for this mysterious hacker to have done to copy messages
  197. from Ladopoulos, add destructive material to it and shut down the system
  198. all on the same day -- just too much typing. Ladopoulos tried to explain
  199. about capture routines, editors, etc. and then, seeming to realize the
  200. futility of it, just gave up.
  201.  
  202. Speaking later to Newsbytes about the experience, Ladopoulos said "It was
  203. terribly frustrating. The judge just didn't understand about WNET. I tried
  204. to explain that I did not damage the system but he didn't understand."
  205.  
  206. Now it certainly is not clear that the judge based his sentencing on the
  207. WNET episode. He may not have -- at John Lee's sentencing, the same
  208. judge mentioned that evidence showed that Lee had insulted someone's
  209. mother on the net. One suspects and hopes that this social transgression
  210. played no part in Lee's yearand-a-day sentence; there were, after all,
  211. substantive charges against Lee.
  212.  
  213. We will never know whether or how much this misunderstanding influenced
  214. the sentence -- and it is a light sentence under the guidelines. So,
  215. perhaps, no harm was done.
  216.  
  217. No harm? Not quite! At a minimum, the dialogue shook the confidence of
  218. everyone in the room about the sentence. Perhaps the prosecution was
  219. satisfied because the defendants were being punished for their illegal
  220. acts -- perhaps the defense took it in stride because of the relative
  221. lightness of the sentence -- perhaps it was a good sentence. However, any
  222. one with an understanding of computers and telecommunications had to feel
  223. that the judge had no grasp of these issues.
  224.  
  225. So what happens next? Organizations like the Electronic Frontier
  226. Foundation (EFF), the Society for Electronic Access (SEA), and Computer
  227. Professionals for Social Responsibility (CPSR) are trying to close the
  228. knowledge gap between public officials and technologists. Congress is
  229. holding hearings on technology issues. There is recognition at the
  230. national level on the importance of understanding the changes that the
  231. telecommunications revolution has brought.
  232.  
  233. Progress may be made. I hope so. Can you imagine if it were your case --
  234. or that of a member of your family being sentencing? Scary, isn't it?
  235.  
  236. John F. McMullen/19930729)
  237.  
  238.  
  239. John F. McMullen           mcmullen@mindvox.phantom.com    Consultant,
  240. knxd@maristb.bitnet        mcmullen@well.sf.ca.us            Writer,
  241. 70210.172@compuserve.com   mcmullen@panix.com                 Student,
  242. GEnie - nb.nyc             mcmullen@eff.org                     Teacher
  243.  
  244. ------------------------------
  245.  
  246. Date: Thu, 29 Jul 93 21:21:45 EDT
  247. From: trader@CELLAR.ORG
  248. Subject: File 2--Criminal Records Subject to Abuse
  249.  
  250. I thought that this might interest you and other CuD readers.
  251.  
  252. Philadelphia Inquirer - 07/29/93
  253.  
  254. CRIMINAL RECORDS ARE VULNERABLE TO ABUSE, CONGRESS IS WARNED
  255.  
  256. Sometimes the information is for sale, the GAO said.  It called for
  257. greater security.
  258.  
  259. By Lawrence L. Knutson
  260. ASSOCIATED PRESS
  261.  
  262. WASHINGTON -- In Arizona, a former police officer gained access to
  263. print-outs from the FBI's National Crime Information Center, tracked
  264. down his estranged girlfriend and murdered her.
  265.  
  266. In Pennsylvania, a computer operator used the system to conduct
  267. background searches for her drug-dealer boyfriend, who wanted to learn
  268. if new clients were undercover agents.
  269.  
  270. In colorado, Connecticut, Florida, Maryland and other states, private
  271. investigators bought data from insiders with authorized access to the
  272. criminal-record system.
  273.  
  274. These examples were presented to the House Judiciary and Government
  275. Operations Committees yesterday by the General Accounting Office,
  276. which con-cluded that the criminal-records system is vulnerable to
  277. widespread misuse.
  278.  
  279. The GAO recommended that Congress enact legislation with "strong
  280. criminal sanctions" barring the misuse of the criminal record files
  281. and that the FBI encourage state users to enhance security.
  282.  
  283. Laurie E. Ekstrand, the GAO's associate director for administration of
  284. justice issues, said that while the FBI and the states do not keep
  285. adequate records, "we did obtain sufficient examples of misuse to
  286. indicate that such misuse occurred throughout the system."
  287.  
  288. "Furthermore, all the reported misuse incidents involve insiders,
  289. while none involved outside [computer] hackers," she said.
  290.  
  291. "It appears that there are employers, insurers, lawyers or
  292. investigators who are willing to pay for illegal access to personal
  293. information, and there are insiders who are willing to supply the
  294. data," said Rep. Gary Condit (D., Calif.) summing up the GAO's
  295. findings.
  296.  
  297. The National Crime Information Center, with 24 million records, is the
  298. nation's largest computerized criminal justice information system.
  299. Its 14 separate files contain an extensive range of data, including
  300. information about fugitives, stolen vehicles and missing persons.
  301.  
  302. The largest single file, known as "the III file" gives users access to
  303. 17 million criminal-history information records maintained in separate
  304. state systems.
  305.  
  306. The GAO said more than 19,000 federal, state and local law enforcement
  307. agencies in the U.S. and Canada, using 97,000 terminals, have direct
  308. access to the system.
  309.  
  310. The GAO called the Arizona case the most extreme example of misuse it
  311. uncovered.
  312.  
  313. The agency said investigators learned that the former police officer
  314. was able to locate his estranged girlfriend using data provided from
  315. the national records system by three people working in different law
  316. enforcement agencies.
  317.  
  318. "After an investigation, the printouts provided by the three
  319. individuals were discovered and they were identified, prosecuted and
  320. convicted," the GAO said.
  321.  
  322. Other examples provided by the GAO:
  323.  
  324.     - In Maine, a police officer used the system to conduct a background
  325.       check on one of his wife's employees who was then fired for not
  326.       disclosing his criminal record
  327.  
  328.     - In Iowa, a dozen cases of misuse were reported over the last two
  329.       years.  All involved computer operators conducting background
  330.       searches on friends or relatives.
  331.  
  332.     - In New York state, an employee of a law enforcement agency provided
  333.       criminal history information to be used by a local politician against
  334.       political opponents.
  335.  
  336.     - In Pennsylvania, a police officer "accessed and widely disseminated"
  337.       a fellow officer's criminal history record.
  338.  
  339.     - In South Carolina, a law enforcement agency conducted background
  340.       searches on members of the City Council.
  341.  
  342. ------------------------------
  343.  
  344. Date:   Fri, 30 Jul 1993 16:29:35 -0700
  345. From: Jim Warren <jwarren@WELL.SF.CA.US>
  346. Subject: File 3--UPDATE: Ideas-Exchange listserv/ Legis Data Programmers
  347.  
  348. July 30, 1993
  349.  
  350. On July 22nd, I broadcast details [Update #19] about a number of
  351. sample files of legislative data, in the various forms used internally
  352. by the Legislative Data Center and Office of State Printing, that are
  353. available for anonymous ftp, with which volunteer-programmers could
  354. begin experimenting.
  355.  
  356. Just before flying off to a tele-community conference in Colorado, Al
  357. Whaley of cpsr.org (one of the volunteers) proposed an online
  358. discussion group to facilitate the shared programming effort -
  359. excellent idea!  I had planned on broadcasting this message before
  360. now, but was first distracted by the c onference, then came home with
  361. a massive head code.  Blushing apologies!
  362.  
  363. LEGISLATIVE-DATA PROGRAMMERS' INFORMATION EXCHANGE
  364. This list is intended only for those who are developing software to
  365. process the state legislative data - display it, print it, index it,
  366. etc. Anyone, including non-subscribers, can send to this list.
  367. Neither subscribers nor submissions are moderated.  Subscribers'
  368. identities are not currently concealed, but can be after subscribing.
  369.  
  370. TO SUBSCRIBE:
  371.     Send email to  listserv@cpsr.org.
  372.     (The Subject is ignored.)
  373.     The email message should state:
  374.     SUBSCRIBE LDC-SW firstname lastname
  375.     where firstname and lastname are, of course, yours.
  376.  
  377. FOR HELP:
  378. Send email as above, with the message  HELP
  379.  
  380. Note:  ldc-sw-request@cpsr.org  is equivalent to  listserv@cpsr.org.
  381.  
  382. SOFTWARE SUCCESSES WOULD BE HELPFUL AT AUGUST 18th HEARING
  383. It would be *great* to flaunt printouts of the sample legislative data
  384. along with a listing of the freeware source-code that created them at the
  385. Aug. 18th Senate Rules Committee.
  386.  
  387. ------------------------------
  388.  
  389. Date: Tue, 27 Jul 93 06:47:00 EST
  390. From: "Straw, Scott F." <sfs0@PHPMTS1.EM.CDC.GOV>
  391. Subject: File 4--Observations from a "non-cyberhead"
  392.  
  393.      With reference to the FOIA inquiry and the USSS affidavit
  394. response, what is "the 2600 case?" (CuD 5.52)  Having only subscribed
  395. since issue 5.51, I probably just missed this important filler info.
  396. You might consider the journalistic practice of briefing newcomers to
  397. background material, even if only a sentence.
  398.  
  399.      With regard to the E-fingerprinting of welfare recipients, and
  400. its potential long range spread to other social service provisions, I
  401. say here, here!  Would we hesitate to issue a photo-ID to these
  402. individuals to verify that the intended recipient is actually
  403. receiving the aid?  If not, why not a
  404. fingerprint record?  More unique than a photograph, and infinitely easier to
  405. store electronically (being quasi-two dimensional and devoid of subtle
  406. nuances of character), fingerprinting will allow positive, definitive
  407. identification.  Yes, it will detect and deter "double-dipping" fraud, but it
  408. will also prevent unauthorized procurement/theft as well.
  409.  
  410.      I would hope that CPSR (Computer Professionals for Social
  411. Responsibility) would reconsider their stance in light of their tenet that
  412. reads:
  413.  
  414.      "We encourage the use of computer technology to improve the
  415.       quality of life."  - Principle #5, CuD 5.55, File 1 (What is
  416.       CPSR and how can we join?)
  417.  
  418.      If the social service recipient were, by the use of this
  419. technology to eliminate fraud and theft (and because of the
  420. elimination of these losses) able to receive a higher, more focused
  421. and therefore, enhanced level of service, that could have strong
  422. positive implications on that recipients quality of life.
  423.  
  424.      I fail to see this as a "Big Brother" issue.  After all, isn't
  425. the goal of social services in a majority of the cases to provide
  426. assistance temporarily?  Once the assistance is no longer needed, the
  427. recipient is no longer tracked.
  428.  
  429. ------------------------------
  430.  
  431. ((MODERATORS' NOTE: Jim Davis's reply clarifies the relevance of
  432. computer technology as a cyberspace concern. The issues include the
  433. power of technology to invade privacy and the problem of using
  434. technology on groups lacking a strong constituency to protect
  435. themselves. The fingerprinting policy seems to isolate a particular
  436. group for more stringent monitoring. And, the possibility that
  437. discretionary fingerprint IDS might spread to other states is noted by
  438. joec@CFCSYS.LINET.ORG(Joseph Christie):
  439.  
  440.     I noticed the article on fingerprinting public assistance
  441.     recipients in the San Francisco area and just wanted to
  442.     report that Suffolk County, New York is also considering
  443.     setting up a similar system and they are using the
  444.     "phenomenal" savings by the LA system as justification.
  445.  
  446. +++++
  447.  
  448. Date: Wed, 28 Jul 1993 10:47:50 -0700
  449. From: "James I. Davis" <jdav@WELL.SF.CA.US>
  450. Subject: File 5--Response to "Observations from a 'non-cyberhead'"
  451.  
  452. People concerned with privacy have always resisted the idea of a
  453. national ID card, no matter how technically efficient it is. One could
  454. possibly argue that having and requiring a positive ID for all social
  455. transactions wd improve the quality of life, but I "using technology
  456. to eliminate fraud wd result in a higher quality of life" could
  457. include universal activities like shopping (more technology to prevent
  458. shoplifting), recreation (more technology to monitor parks and
  459. streets) or work (more technology to combat employee theft of
  460. employers' supplies, "time", computer resources, etc.) and so on.
  461. People who don't steal and don't defraud might enjoy cheaper goods,
  462. safer streets and parks; and for the employers', higher profits;
  463. everyone else could be put in prison or unemployment lines (a detour
  464. on the way to prison). The question becomes how do we want to balance
  465. the right to privacy and the freedom to go about our lives with a
  466. desire to combat fraud and theft? At what point do we say, "this looks
  467. like the road to a police state"?
  468.  
  469. As to whether such technology should be used only for poor people, or
  470. only for people who need public assistance, it raises some obvious
  471. problems about singling out a particular section of the population for
  472. "special treatment."
  473.  
  474. Lest one should say, "well, they're only welfare recipients; what's
  475. that got to do with me" (ignoring for the moment what a brutal and
  476. short-sighted statement that would be), one should keep in mind that
  477. some of the most serious breaches in overall privacy vis-a-vis
  478. computer systems have started with the bogeyman of welfare fraud, and
  479. then extended to more general use after the precedence is set. Jeffrey
  480. Rothfeder, in _Privacy_at_Risk_, describes how federal computer
  481. matching, where agencies go on data-fishing expeditions by matching up
  482. different government databases, was initially considered outside of
  483. what was allowed under the 1974 Privacy Act. Pressure from the
  484. Department of Health, Education and Welfare under the Carter
  485. administration stretched the rules, so to speak, to allow them to hunt
  486. for people "double-dipping." The program was later extended to other
  487. types of matches, including matching IRS returns and Social Security
  488. records. All along, the benefits from these dragnet searches have been
  489. questionable. In 1988, the House Committee on Government Operations
  490. noted that "the cost-effectiveness of computer matching has yet to be
  491. demonstrated." (Rothfeder pp 140 - 146) "Cost-effectiveness" of course
  492. does not include the additional cost of the loss of privacy such
  493. searches imply.
  494.  
  495. ------------------------------
  496.  
  497. Date: Thu, 21 July 1993 17:51:21 CDT
  498. From: CuD Moderators <tk0jut2@mvs.cso.niu.edu>
  499. Subject: File 6--Rep. Markey's Letter in re AIS BBS
  500.  
  501. ((MODERATORS' NOTE: Like the flooding Mississippi, the AIS BBS
  502. incident just keeps over-flowing the levees and spreading beyond
  503. reasonable boundaries.  CuD readers will recall that AIS ("Automated
  504. Information Systems," a BBS operated by the Treasury Department's
  505. Bureau of Public Debt) was the target of an "anonymous" posting in
  506. RISKS Digest.  The poster objected particularly to the availability of
  507. virus source code on the board. The post was routed to government
  508. officials (see Crypt Newsletter #16 for details) and the offending
  509. files, along with "underground" text files--including CuD--were
  510. removed from the board.  Perhaps, thanks to media hyperbole, CuDs are
  511. perceived as nearly as dangerous as virus source code.
  512.  
  513. That should have ended the matter. Sadly, the Washington Post picked
  514. up on the story and printer a slanted, simplistic, and rather
  515. hyperbolic version of events in an account that raises serious
  516. questions of journalistic ethics (see CuD #5.51). Even that should
  517. have ended things. However, Rep. Edward J. Markey (D., Mass), Chair of
  518. the House Committee on Energy and Commerce's Subcommittee on
  519. Telecommunications and Finance, read the Post article and was
  520. sufficiently concerned to write Lloyd Bentsen, Secretary of the
  521. Treasury, demanding to know why AIS made certain types of files
  522. available. Rep. Markey linked the AIS BBS files with other security
  523. issues that the GAO found--even though the other alleged problems were
  524. unrelated to the board.  The impetus for the article, according to
  525. Markey staffer Jeff Duncan, was the Washington Post depiction of
  526. events, and the letter builds on the Post's narrative to substantiate
  527. its own concerns. The letter assumes "guilt" without looking beyond
  528. the media depiction. Sadly, it does not reflect well on the knowledge
  529. of Rep. Markey or his staffers either about the technology or the
  530. broader issues of freedom of information.  We reprint below the
  531. relevant two pages of the
  532. four page letter)).
  533.  
  534. +++++
  535.  
  536.                     U.S. House of Representatives
  537.                    Committee on Energy and Commerce
  538.             SUBCOMMITTEE ON TELECOMMUNICATIONS AND FINANCE
  539.                       Washington, DC 20515-6119
  540.                              July 6, 1993
  541.  
  542. The Honorable Lloyd Bentsen
  543. Secretary
  544. Department of the Treasury
  545. 1300 Pennsylvania Ave., N.W.
  546. Washington, D.C. 20220
  547.  
  548. Dear Mr.Secretary:
  549.  
  550. I am writing with regard to recent reports about a computer
  551. bulletin board service run under the auspices of the Department's
  552. Bureau of Public Debt in Parkersburg, W.V. The Washington Post
  553. reported on June 19, 1993, that the now-terminated service made
  554. publicly available information about computer viruses and other
  555. "hacker" information that could potentially inflict damage on
  556. computer systems and data.
  557.  
  558. On June 9, 1993, the Subcommittee held a hearing on data and
  559. network security. Testimony received by the Subcommittee at that
  560. time revealed that the computer hacking and telecommunications
  561. toll fraud problem in the United States is increasing. In
  562. addition, the average computer site will spend more than
  563. $176,000 on computer virus clean-up and the cost of virus damage
  564. to all U.S. computer users has been over a Billion dollars over
  565. the last three years.
  566.  
  567. While it is true that many such virus programs as well as
  568. hacker and "phone phreak" information is available on other
  569. bulletin board systems, I am troubled that the Treasury
  570. Department would play a role in disseminating such information
  571. publicly, especially in light of the fact that viruses and
  572. toll fraud together are estimated to inflict $4 to $6 Billion in
  573. economic loss annually to U.S. consumers and industry. Such
  574. dissemination goes well beyond any precautionary security measure the
  575. Department might take in testing the integrity of its computer
  576. systems.
  577.  
  578. Moreover, in a recent report to Congress, the General Accounting
  579. Office (GAO) raised concerns that the Department's Treasury
  580. Automated Auction Processing System (TAAPS) had "skipped certain
  581. system development steps necessary to ensure that the risks
  582. associated with building and operating a system are adequately
  583. controlled" and may not achieve anticipated benefits such as
  584. reducing auction processing time.  Specifically, the GAO
  585.  
  586. The Honorable Lloyd Bentsen
  587. July 6, 1993
  588. Page 2
  589.  
  590. raised concerns about the fact that neither the Department nor
  591. the Federal Reserve Bank of New York (FRBNY) -- which serves as
  592. Treasury's agent in conducting the auctions -- had performed risk
  593. analysis, documented detailed functional requirements, or tested
  594. the TAAPS system thoroughly. In addition, GAO questioned whether
  595. the system would reduce the time it takes Treasury to process
  596. auctions and announce winners.
  597.  
  598. Treasury's willingness to disseminate data regarding computer
  599. viruses and other hacker information is particularly troubling in
  600. light of its failure to perform a full risk analysis of its
  601. automated auction system. Any catastrophic failure of this
  602. system, or branch of its security by computer hackers or viruses,
  603. could have a serious adverse effect on the orderly functioning
  604. of the secondary market for Treasury securities.
  605.  
  606. As the country embarks on plans to upgrade the national
  607. telecommunications infrastructure over the next few years, data
  608. and network security issues will increasingly need to be
  609. addressed. To assist the subcommittee in its ongoing analysis of
  610. these issues and its ongoing oversight and legislative
  611. activities, please respond to the following questions by July 27,
  612. 1993:
  613.  
  614. 1. Why was the Department's Automated Information System bulletin
  615. board, where the virus codes were resident, advertised as "open
  616. to the public" and the telephone number for the board made publicly
  617. available through a listing in the Computer Underground Digest?
  618. What was the rationale behind making such potentially harmful
  619. information generally available?
  620.  
  621. 2. Why were "dissected" viruses, which may be easily altered to
  622. produce variations capable of eluding current virus detection
  623. tools, also made publicly available?
  624.  
  625. 3. Why were steps not taken to limit access to the bulletin board
  626. services? For instance, why were steps not taken to limit or
  627. effectively prohibit the ability of individuals to download
  628. information off the bulletin board? Were passwords needed to
  629. access data? If not, why not?
  630.  
  631. 4. GAO reports that neither the Department nor the FRBNY
  632. performed a risk assessment of TAAPS because "they believed the
  633. Federal Reserve telecommunication and computer system selected
  634. for the system is already safe and secure." GAO further reports that
  635. shortly before issuance of its report, the FRBNY provided the GAO with a
  636. "risk assessment" which "did not contain many of the key elements of a
  637. risk assessment such as valuation of
  638.  
  639. The Honorable Lloyd Bentsen
  640. July 6, 1993
  641. Page 3
  642.  
  643. assets, probability of risk occurrance, and annualized loss
  644. expectancy." In addition, the report "did not describe how risks would
  645. be adequately controlled." Please provide responses to the following
  646. questions:
  647.  
  648. <Eight questions on pages 3 and 4 of letter related to TAAPS deleted>
  649.  
  650. Thank you in advance for our time and attention in responding to this
  651. request. If you have any questions, please have
  652. your staff contact Jeff Duncan or Colin Crowell of the
  653. Subcommittee staff at 226-2424.
  654.  
  655.                                  Sincerely,
  656.  
  657.  
  658.                                  Edward J. Markey
  659.                                  Chairman
  660.  
  661. ------------------------------
  662.  
  663. Date: Thu, 21 July 1993 22:51:01 EDT
  664. From: Jim Thomas <tk0jut2@mvs.cso.niu.edu>
  665. Subject: File 7--Response to Rep. Markey's Letter
  666.  
  667. 18 July, 1993
  668.  
  669.  
  670. Representative Edward J. Markey
  671. Chair, Subcommittee on Telecommunications and Finance
  672. Committee on Energy and Commerce
  673. U.S. House of Representatives
  674. 2133 Rayburn Building
  675. Washington, DC 10515-2107
  676.  
  677. Dear Representative Markey:
  678.  
  679. I am writing in response to your letter of 6 July, 1993 to
  680. Secretary of Treasury Lloyd Bentsen. In that letter, you
  681. expressed concerns about available files on the AIS BBS, a
  682. computer bulletin board run by the Department of Treasury's
  683. Bureau of Public Debt.  I am informed by Jeff Duncan, a staff
  684. contact for questions regarding your letter, that the primary,
  685. indeed the only, basis for your letter was an article authored
  686. by Joel Garreau that appeared in the Washington Post on June 19,
  687. 1993.  As we wrote in a recent issue of Cu Digest, the Post
  688. article suffered from hyperbole and misinformation. It also
  689. raised serious issues of journalistic ethics (See CuD 5.51).
  690. Because Computer underground Digest (or CuD, of which I am
  691. co-editor) is named in both the Post article and in your letter,
  692. I feel compelled clarify several issues.
  693.  
  694. You pose several questions in your letter. The first, in which
  695. you mentioned Cu Digest, states:
  696.  
  697.      1. Why was the Department's Automated Information System
  698.      bulletin board, where the virus codes were resident,
  699.      advertised as "open to the public" and the telephone
  700.      number for the board made publicly available through a
  701.      listing in the Computer Underground <sic> Digest?  What was
  702.      the rationale behind making such potentially harmful
  703.      information generally available?
  704.  
  705. As I am sure you are aware, there are many government BBSes open
  706. to the public that provide access to files.  I myself have used
  707. several that have been invaluable in my work as a criminal
  708. justice professional.  The available resources, in the form of
  709. software programs, text files, press releases, and a broad menu
  710. of other services, vary.  The available information on other
  711. public government boards, which some might argue could help drug
  712. dealers, fraud perpetrators, and others, is by some standards as
  713. "sensitive" as the information to which you allude on the AIS
  714. BBS.  However, if one applies the same standards to these boards
  715. as you would apply to the AIS BBS, questions of propriety of the
  716. accessible information could be raised of all of them.
  717.  
  718. There is nothing unusual about an open and public BBS being run
  719. by the government. What strikes me as unusual is to single out
  720. one particular BBS and demand a justification for a common
  721. practice.  It should also be noted that at the time we wrote our
  722. story on the AIS BBS (20 August, 1992, CuD #4.37/File 4), we
  723. were impressed with the professionalism and competence by which
  724. the board was run. At the time of our calls, users were required
  725. to sign on, were not given immediate access (as they are to some
  726. government boards, such as the Bureau of Justice Statistics'
  727. BBS), and--contrary to some media reports--real names, not
  728. "handles," were required.
  729.  
  730. Both the Post article and your letter indicate that AIS BBS
  731. personnel "advertised" the board in CuD, and your letter demands
  732. an explanation.  However, contrary to the report in the
  733. Washington Post and the wording of your letter, AIS BBS
  734. personnel did not make the number available to CuD. Nor did AIS
  735. BBS personnel solicit publicity or advertise that the board was
  736. public.  I came across the BBS through my professional
  737. activities.  Ironically, my initial interest in AIS BBS occurred
  738. because of rumors that it was a U.S. Secret Service "sting"
  739. operation created to identify and apprehend callers.  After
  740. calling the board, I found it potentially helpful in my own
  741. sphere of academia, which includes computer
  742. crime/security/culture, and I requested more information from
  743. AIS BBS personnel. They agreed to a short interview. Had they
  744. not agreed, we still would have run a story.  In fact, had your
  745. staff engaged in minimal research, the answers to the bulk of
  746. the AIS-related questions you pose were published in CuD
  747. #4.37/File 4.
  748.  
  749. It strikes me as odd that you would demand an accounting from a
  750. government official explaining the motivation and content of a
  751. media story that AIS BBS personnel did not initiate and over
  752. which they had no control.  This poses a chilling effect to free
  753. speech by intimidating the legitimate flow of information and by
  754. implicitly self-censoring journalists and others lest even an
  755. innocent story have repercussions for the subordinates of
  756. government officials who may not like what is written.  An
  757. example of this "chilling effect" in fact occurred with AIS BBS.
  758. The apparent fear of repercussions for carrying so-called
  759. "underground" electronic publications and other files, most of
  760. which were of no value for criminal activity, but of
  761. considerable value to computer professionals and scholars, were
  762. removed.  Cu Digest, classified as an "underground" publication
  763. (presumably because of the name), was among them. When removal
  764. of legitimate publications occurs because because of subtle
  765. intimidation, valuable sources of information are lost through
  766. informal (albeit "voluntary") censorship.  Both the tone and
  767. content of your letter contribute to this form of censorship.
  768. The stigma attached to certain types of electronic messages,
  769. created by an apparent lack of understanding of their content,
  770. spills over into other forums and shapes policies, public
  771. images, and law in ways that subvert freedom of speech in
  772. electronic media.
  773.  
  774. Your letter also expresses concern for some of the files,
  775. including virus source code, found on the AIS BBS. There is
  776. considerable room for honest disagreement over the
  777. "dangerousness" of such files.  I tend to find the concern
  778. grossly exaggerated.  Yes, it is always possible for isolated
  779. individuals to abuse information. However, if we are to stifle
  780. the flow of information because of the excesses of the
  781. occasional predator, then we ought also be concerned about
  782. government-funded public libraries, computer science and other
  783. courses in public institutions, and other sources of information
  784. that might be twisted for the perverse ends of a rare
  785. malcontent. There is considerable evidence that users of AIS BBS
  786. found the available files to be significant in enhancing
  787. computer security and performing other computer-related
  788. functions.  To assume that useful information in so-called
  789. "underground" files ought be restricted because some may find
  790. that information objectionable seems a dangerous precedent that
  791. restricts freedom of speech and information flow in electronic
  792. media. The intimidation created by the accusatory nature of your
  793. letter suppresses both information and public dialogue of what
  794. is or is not appropriate by imposing an arbitrary litmus test of
  795. "correctness."
  796.  
  797. In sum, I am concerned about several issues raised by your
  798. letter.  First, your staff's understanding of AIS BBS and its
  799. files seems partial.  Basing an accusatory letter of inquiry on
  800. an unchecked media source and linking disparate security issues
  801. in the letter raises serious concerns about the credibility of
  802. your staff's competency in matters of computer security and
  803. technology.  Your staff apparently did not do its homework.
  804.  
  805. Second, your letter seems to close off debate about the role of
  806. the government in information dissemination, rather than invite
  807. rigorous discussion of the issues.  It assumes impropriety
  808. rather than invite discussion about the role of government BBSes
  809. and the nature of information that ought be made available to
  810. the public.
  811.  
  812. Finally, your letter suggests that you extend to electronic
  813. media a lower threshold of protection of information
  814. dissemination than hardprint media, such as can be found in
  815. libraries or government documents.  Am I incorrect in inferring
  816. from your letter that you do not extend to "cyberspace" the same
  817. First Amendment and other protections granted print media?
  818.  
  819. As a taxpayer and as a criminal justice professional, I am
  820. disturbed by the implications of your letter, and especially by
  821. its failure to recognize the technological and social issues it
  822. raises.  In my opinion, by isolating and attacking AIS BBS for
  823. carrying electronic versions of hardprint information available
  824. through other government sources, you seem to be discriminating
  825. against electronic media in general and AIS BBS in particular in
  826. a way that potentially limits Constitutional rights in what is
  827. known as "cyberspace." The underlying concerns you raise in your
  828. letter are legitimate, but the implications of the manner in
  829. which you raise them and the assumptions you appear to make may
  830. have the unanticipated consequence of contributing to dangerous
  831. precedents in the relationship between government control and
  832. freedom of information.
  833.  
  834.  
  835. Sincerely,
  836.  
  837.  
  838. Jim Thomas, Professor
  839. Sociology/Criminal Justice
  840. Co-editor, Cu Digest
  841. Northern Illinois University
  842. DeKalb, IL 60115
  843. Voice: (815) 756-3839  /  Fax: (815) 753-6302
  844. Internet: tk0jut1@mvs.cso.niu.edu / jthomas@well.sf.ca.us
  845.  
  846. ------------------------------
  847.  
  848. End of Computer Underground Digest #5.57
  849.