home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / cud / cud588.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  41.0 KB  |  909 lines
  1. Computer underground Digest    Sun  Nov 21 1993   Volume 5 : Issue 88
  2.                            ISSN  1004-042X
  3.  
  4.        Editors: Jim Thomas and Gordon Meyer (TK0JUT2@NIU.BITNET)
  5.        Archivist: Brendan Kehoe
  6.        Shadow-Archivists: Dan Carosone / Paul Southworth
  7.                           Ralph Sims / Jyrki Kuoppala
  8.                           Ian Dickinson
  9.        Copy Editor: Etaoin Shrdlu, III
  10.  
  11. CONTENTS, #5.88 (Nov 21 1993)
  12. File 1--Michael Elansky ("Ionizer") Sentenced / Saga ends
  13. File 2--Electronic Bill Of Rights and Responsibilities
  14. File 3--Student sues to regain Internet access
  15. File 4--Toll Fraud on French PBXs--Phreaking
  16. File 5--Brendan Kehoe
  17. File 6--Advertise your skills!
  18.  
  19. Cu-Digest is a weekly electronic journal/newsletter. Subscriptions are
  20. available at no cost electronically from tk0jut2@mvs.cso.niu.edu. The
  21. editors may be contacted by voice (815-753-0303), fax (815-753-6302)
  22. or U.S. mail at:  Jim Thomas, Department of Sociology, NIU, DeKalb, IL
  23. 60115.
  24.  
  25. Issues of CuD can also be found in the Usenet comp.society.cu-digest
  26. news group; on CompuServe in DL0 and DL4 of the IBMBBS SIG, DL1 of
  27. LAWSIG, and DL1 of TELECOM; on GEnie in the PF*NPC RT
  28. libraries and in the VIRUS/SECURITY library; from America Online in
  29. the PC Telecom forum under "computing newsletters;"
  30. On Delphi in the General Discussion database of the Internet SIG;
  31. on the PC-EXEC BBS at (414) 789-4210; and on: Rune Stone BBS (IIRG
  32. WHQ) (203) 832-8441 NUP:Conspiracy; RIPCO BBS (312) 528-5020
  33. CuD is also available via Fidonet File Request from 1:11/70; unlisted
  34. nodes and points welcome.
  35. EUROPE:   from the ComNet in LUXEMBOURG BBS (++352) 466893;
  36.           In ITALY: Bits against the Empire BBS: +39-461-980493
  37.  
  38. ANONYMOUS FTP SITES:
  39.   AUSTRALIA:      ftp.ee.mu.oz.au (128.250.77.2) in /pub/text/CuD.
  40.   EUROPE:         ftp.funet.fi in pub/doc/cud. (Finland)
  41.   UNITED STATES:
  42.                   aql.gatech.edu (128.61.10.53) in /pub/eff/cud
  43.                   etext.archive.umich.edu (141.211.164.18)  in /pub/CuD/cud
  44.                   ftp.eff.org (192.88.144.4) in /pub/cud
  45.                   halcyon.com( 202.135.191.2) in /pub/mirror/cud
  46.                   ftp.warwick.ac.uk in pub/cud (United Kingdom)
  47.   KOREA:          ftp: cair.kaist.ac.kr in /doc/eff/cud
  48.  
  49. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  50. information among computerists and to the presentation and debate of
  51. diverse views.  CuD material may  be reprinted for non-profit as long
  52. as the source is cited. Authors hold a presumptive copyright, and
  53. they should be contacted for reprint permission.  It is assumed that
  54. non-personal mail to the moderators may be reprinted unless otherwise
  55. specified.  Readers are encouraged to submit reasoned articles
  56. relating to computer culture and communication.  Articles are
  57. preferred to short responses.  Please avoid quoting previous posts
  58. unless absolutely necessary.
  59.  
  60. DISCLAIMER: The views represented herein do not necessarily represent
  61.             the views of the moderators. Digest contributors assume all
  62.             responsibility for ensuring that articles submitted do not
  63.             violate copyright protections.
  64.  
  65. ----------------------------------------------------------------------
  66.  
  67. Date: Sun, 21 Nov 1993 14:12:31 EST
  68. From: Sue D'Onym <sdo@anon.omous.com>
  69. Subject: File 1--Michael Elansky ("Ionizer") Sentenced / Saga ends
  70.  
  71. ((MODERATORS' NOTE: The Elansky case has ended.  Michael Elansky was
  72. sentenced to 28 months in prison, which--with "good time" and credit
  73. for time served--should make him eligible for release under
  74. Connecticut law in about 10 months. The charges relating to First
  75. Amendment issues that bothered many of us were not pursued by the
  76. prosecution, perhaps in part because of the incisive and accurate
  77. reporting by John Moran of the Hartford Courant. Moran's work
  78. established him as one of the rare media reporters whose knowledge of
  79. computers and related issues gives them considerable credibility.
  80. Thanks to the Connecticut readers who sent over the edited story)).
  81.  
  82.                SOURCE: Hartford Courant (Nov. 20, 1993)
  83.                By: John M. Moran, Courant Staff Writer
  84.  
  85.      Michael Elansky's volatile mixture of computers and pyrotechnics
  86. backfired Friday when a Superior Court judge sentenced him to 28
  87. months in prison.
  88.  
  89.    Judge Thomas P. Miano said Elansky, a 21-year-old West Hartford
  90. resident, remains dangerous because he still hasn't curbed his impulse
  91. to dabble in explosives.
  92.  
  93.    "You've got to accept responsibility for what you do, it's that
  94. simple," Miano said.
  95.  
  96.    Elansky has been jailed at Hartford Correctional Center since
  97. August on charges of illegally maintaining bomb-making instructions on
  98. his computer bulletin board.
  99.  
  100.    At the time, he also was facing other charges, including conspiracy
  101. to commit burglary and two counts of violating his probation. Bail was
  102. set at $500,000, which Elansky could not meet.
  103.  
  104. ((The article explains that Elansky pled guilty in October, agreeing
  105. to terms that included no more than three years in prison, and that
  106. prosecution and defense attorneys have spend the last few weeks
  107. debating the final sentence)).
  108.  
  109.    In recent weeks, friends and family testified that Elansky was
  110. interested in odd topics, but that he was not dangerous or
  111. destructive. Prosecution witnesses, however, painted a far different
  112. picture of a man they said repeatedly broke the law while
  113. experimenting with explosives.
  114.  
  115.    In reaching his decision, Miano said he was troubled by evidence
  116. that Elansky had lied to police, to the court, to his parents and to
  117. others. But Miano also was disturbed at the prospect of sending to
  118. prison someone who had the potential to straighten out his life.
  119.  
  120.    "I can candidly say... that I have agonized more over this matter
  121. than any other matter that I can remember," the judge said.
  122.  
  123. ((The article explains that the judge decided on imprisonment
  124. and long probation as necessary for Elansky to "change his ways."))
  125.  
  126.    On both probation violations, Elansky was sentenced to 28 months in
  127. prison and probation for five years. Conditions of his probation
  128. include the following:
  129.  
  130.         * A ban on Elansky allowing anyone under 18 years old to use
  131.      his computer bulletin board, which was known as "The Ware
  132.      House."
  133.  
  134.         * A ban on Elansky, whose computer nickname is the
  135.      "Ionizer," placing pyrotechnic information or another other
  136.      harmful information on his bulletin board.
  137.  
  138.         * A requirement that a probation officer have complete
  139.      freedom to search Elansky's computer system to ensure the
  140.      requirements have not been violated.
  141.  
  142.    * Evaluation by a mental health counselor.
  143.  
  144.    * 100 hours of community service for each year on probation.
  145.  
  146.    Throughout the sentencing, a pale and thin Elansky stood silently
  147. at the defense table. His father, David Elansky, and grandmother,
  148. Debra Elansky, sat behind him in the courtroom.
  149.  
  150.    "I know you're not happy with it," Miano told Elansky after the
  151. sentence was pronounced. "I know you expected to walk out with your
  152. parents. No more."
  153.  
  154.    The conspiracy to commit burglary charges and the charges relating
  155. to bomb-making instructions on the computer bulletin board were not
  156. pursued.
  157.  
  158.    Elansky will almost certainly get credit for the 3 1/2 months he's
  159. already served in jail. In addition, he will be able to apply for
  160. parole after he has served half of the prison term.
  161.  
  162. was surprised and disappointed by the sentencing. "It's not going to
  163. make him a better person by keeping him in jail," he said.
  164.  
  165.    Brown, the defense attorney, said he had asked for a lesser
  166. sentence, but respected the judge's treatment of the case.
  167.  
  168.    "It was obvious to me that the judge certainly spent a great deal
  169. of time on this case, which is all a defendant can really ask for," he
  170. said.
  171. ((The article concludes by summarizing the disappointment that the
  172. parents and defense attorney expressed)).
  173.  
  174. ------------------------------
  175.  
  176. Date: 12 Nov 1993 16:34:28 U
  177. From: "Anne" <harwell@BANDW.PANAM.EDU>
  178. Subject: File 2--Electronic Bill Of Rights and Responsibilities
  179.  
  180. [I'm forwarding this to CuD with the permission of Frank Connolly of
  181. The American University. Information on how to contact him is at the
  182. end of this document.
  183. -abh]
  184.  
  185. ++++++++++++++++++
  186. The following document might be of interest to members of the Computer
  187. Underground Digest.  Called the  Bill of Rights and Responsibilities
  188. for Electronic Learners,  it is a model policy statement regarding the
  189. rights and responsibilities of individuals and institutions regarding
  190. computers and electronic networks in education. Although the project
  191. was begun as part of EDUCOM, it is now an initiative of the American
  192. Association of Higher Education (AAHE).
  193.  
  194. Your comments and suggestions for gaining consideration and discussion
  195. of the Bill on campuses, in school districts and professional forums
  196. would be appreciated.
  197.  
  198. To retrieve the text via ftp do the following:
  199.  
  200.  1. FTP to ftp.american.edu
  201.  2. Give your id as . . . . . .         anonymous
  202.  3. As your password use  . . .         your email address
  203.     Once accepted to the system,
  204.  4. Change directories by entering      cd au
  205.  5. To retrieve the file type           get brrec.text
  206.  
  207. ===============    TEXT OF BILL FOLLOWS  ===========================
  208.  
  209.  
  210. PREAMBLE
  211.  
  212. In order to protect the rights and recognize the responsibilities of
  213. individuals and institutions, we, the members of the educational
  214. community, propose this Bill of Rights and Responsibilities for the
  215. Electronic Community of Learners.  These principles are based on a
  216. recognition that the electronic community is a complex subsystem of
  217. the educational community founded on the values espoused by that
  218. community.  As new technology modifies the system and further empowers
  219. individuals, new values and responsibilities will change this culture.
  220. As technology assumes an integral role in education and lifelong
  221. learning, technological empowerment of individuals and organizations
  222. becomes a requirement and right for students, faculty, staff, and
  223. institutions, bringing with it new levels of responsibility that
  224. individuals and institutions have to themselves and to other members
  225. of the educational community.
  226.  
  227.  
  228. ARTICLE I: INDIVIDUAL RIGHTS
  229.  
  230. The original Bill of Rights explicitly recognized that all individuals
  231. have certain fundamental rights as members of the national community.
  232. In the same way, the citizens of the electronic community of learners
  233. have fundamental rights that empower them.
  234.  
  235. Section 1.
  236. A citizen's access to computing and information resources shall
  237. not be denied or removed without just cause.
  238.  
  239. Section 2.
  240. The right to access includes the right to appropriate training and
  241. tools required to effect access.
  242.  
  243. Section 3.
  244. All citizens shall have the right to be informed about personal
  245. information that is being and has been collected about them, and
  246. have the right to review and correct that information,.  Personal
  247. information about a citizen shall not be used for other than the
  248. expressed purpose of its collection without the explicit
  249. permission of that citizen.
  250.  
  251. Section 4.
  252. The constitutional concept of freedom of speech applies to
  253. citizens of electronic communities.
  254.  
  255. Section 5.
  256. All citizens of the electronic community of learners have
  257. ownership rights over their own intellectual works.
  258.  
  259.  
  260. ARTICLE II: INDIVIDUAL RESPONSIBILITIES
  261.  
  262. Just as certain rights are given to each citizen of the electronic
  263. community of learners, each citizen is held accountable for his
  264. or her actions.  The interplay of rights and responsibilities
  265. within each individual and within the community engenders
  266. the trust and intellectual freedom that form the heart of our
  267. society. This trust and freedom are grounded on each person's
  268. developing the skills necessary to be an active and contributing
  269. citizen of the electronic community. These skills include an
  270. awareness and knowledge about information technology and
  271. the uses of information and an understanding of the roles in the
  272. electronic community of learners.
  273.  
  274. Section 1.
  275. It shall be each citizen's personal responsibility to actively
  276. pursue needed resources: to recognize when information is
  277. needed, and to be able to find, evaluate, and effectively use
  278. information.
  279.  
  280. Section 2.
  281. It shall be each citizen's personal responsibility to recognize
  282. (attribute) and honor the intellectual property of others.
  283.  
  284. Section 3.
  285. Since the electronic community of learners is based upon the
  286. integrity and authenticity of information, it shall be each
  287. citizen's personal responsibility to be aware of the potential for
  288. and possible effects of manipulating electronic information: to
  289. understand the fungible nature of electronic information; and to
  290. verify the integrity and authenticity, and assure the security of
  291. information that he or she compiles or uses.
  292.  
  293. Section 4.
  294. Each citizen, as a member of the electronic community of
  295. learners, is responsible to all other citizens in that community:
  296. to respect and value the rights of privacy for all; to recognize and
  297. respect the diversity of the population and opinion in the
  298. community; to behave ethically; and to comply with legal
  299. restrictions regarding the use of information resources.
  300.  
  301. Section 5.
  302. Each citizen, as a member of the electronic community of
  303. learners, is responsible to the community as a whole to
  304. understand what information technology resources are
  305. available, to recognize that the members of the community
  306. share them, and to refrain from acts that waste resources or
  307. prevent others from using them.
  308.  
  309.  
  310. ARTICLE III: RIGHTS OF EDUCATIONAL INSTITUTIONS
  311.  
  312. Educational institutions have legal standing similar to that of
  313. individuals.  Our society depends upon educational institutions
  314. to educate our citizens and advance the development of
  315. knowledge.  However, in order to survive, educational
  316. institutions must attract financial and human resources.
  317. Therefore, society must grant these institutions the rights to the
  318. electronic resources and information necessary to accomplish
  319. their goals.
  320.  
  321. Section 1.
  322. The access of an educational institutions to computing and
  323. information resources shall not be denied or removed without
  324. just cause.
  325.  
  326. Section 2.
  327. Educational institutions in the electronic community of learners
  328. have ownership rights over the intellectual works they create.
  329.  
  330. Section 3.
  331. Each educational institution has the authority to allocate
  332. resources in accordance with its unique institutional mission.
  333.  
  334.  
  335. ARTICLE IV: INSTITUTIONAL RESPONSIBILITIES
  336.  
  337. Just as certain rights are assured to educational institutions in
  338. the electronic community of learners, so too each is held
  339. accountable for the appropriate exercise of those rights to foster
  340. the values of society and to carry out each institution's mission.
  341. This interplay of rights and responsibilities within the
  342. community fosters the creation and maintenance of an
  343. environment wherein trust and intellectual freedom are the
  344. foundation for individual and institutional growth and success.
  345.  
  346. Section 1.
  347. The institutional members of the electronic community of
  348. learners have a responsibility to provide all members of their
  349. community with legally acquired computer resources (hardware,
  350. software, networks, data bases, etc.) in all instances where access
  351. to or use of the resources is an integral part of active
  352. participation in the electronic community of learners.
  353.  
  354. Section 2.
  355. Institutions have a responsibility to develop, implement, and
  356. maintain security procedures to insure the integrity of
  357. individual and institutional files.
  358.  
  359. Section 3.
  360. The institution shall treat electronically stored information as
  361. confidential.  The institution shall treat all personal files as
  362. confidential, examining or disclosing the contents only when
  363. authorized by the owner of the information, approved by the
  364. appropriate institutional official, or required by local, state or
  365. federal law.
  366.  
  367. Section 4.
  368. Institutions in the electronic community of learners shall train
  369. and support faculty, staff, and students to effectively use
  370. information technology.  Training includes skills to use the
  371. resources, to be aware of the existence of data repositories and
  372. techniques for using them, and to understand the ethical and
  373. legal uses of the resources.
  374.  
  375.                                                  August, 1993
  376.  
  377. *  Frank Connolly                         The American University      *
  378. *  FRANK@American.EDU                     119 Clark Hall               *
  379. *  (202) 885-3164                         Washington, D.C  20016       *
  380.  
  381. ------------------------------
  382.  
  383. Date: Sun, 14 Nov 93 10:51:37 CST
  384. From: peterson@ZGNEWS.LONESTAR.ORG(Bob Peterson)
  385. Subject: File 3--Student sues to regain Internet access
  386.  
  387. The August 17, 1993 (Volume 5, Issue 62) issue of CuD contained a
  388. brief mention of Microsoft's termination of Mr. Gregory Steshenko,
  389. apparently due to political statements he made in newsgroups and email.
  390. Today's Dallas Morning News (Nov. 14, 1993: Vol. 145, No. 45) published
  391. a front page article, with a jump to an interior page dedicated to the
  392. story, describing Gregory Steshenko's encounter with the University of
  393. Texas at Dallas over essentially the same issue.
  394.  
  395. Below I quote from the article.  I enclosed my summarizations in
  396. square brackets.  A sidebar on the interior page describes, at a high
  397. level, how messages flow in the Internet.  (I didn't include anything
  398. from that sidebar.)
  399.  
  400.          Free-speech suit focuses on E-mail
  401.         Emigre at UTD lost access to network
  402.  
  403.     By Tom Steinert-Threlkeld
  404.     Staff Writer of The Dallas Morning News
  405.  
  406. Gregory N. Steshenko is not sure freedom of expression will survive
  407. the digital age in the Western world.
  408.  
  409. Twice in the last five months, authorities in the United States have
  410. pulled the plug on his comments on Ukrainian and Russian politics that
  411. he has posted on the Internet, a network of computer networks that
  412. spans the globe.
  413.  
  414. In June, he was fired from Microsoft Corp. after the big supplier of
  415. personal computer software fielded dozens of complaints that his
  416. messages were offensive and even obscene.
  417.  
  418. In October, he was disconnected again from the Internet by the
  419. University of Texas at Dallas, where he is a graduate student in
  420. electrical engineering.
  421.  
  422. [Note: One of Microsoft's regional telephone support centers is
  423. located in the Dallas area, so Gregory probably didn't move after
  424. leaving Microsoft. -BP)
  425.  
  426. The university withdrew his privileges after a barrage of complaints,
  427. saying his electronic messages strayed from any possible educational
  428. purposes.  Mr. Steshenko has countered with a lawsuit that seeks $2
  429. million for damages to his career.
  430.  
  431. [Here the article jumps to page 28A, with the headline _Student sues
  432. UTD over access to computer network_. -BP)
  433.  
  434. [... Steshenko asserts this is a First Amendment issue. -BP]
  435.  
  436. The university says the matter is more basic.  Mr. Steshenko simply
  437. did not follow its rules, which limit use of the Internet to exchanges
  438. related to coursework.
  439.  
  440. +++
  441.  
  442. "What makes it unique is that we're talking about a brand new
  443. medium," said Shari Steele, counsel for the Electronic Frontier
  444. Foundation, a group that tries to protect the freedom of individuals
  445. who communicate by computer.
  446.  
  447. She and other legal experts say that government-funded institutions,
  448. such as UTD, can't infringe First Amendment rights, even in electronic
  449. forums.
  450.  
  451. [... Omitted text describing the school's position that they have the
  452. right to control how their facilities are used, the absence of relevant
  453. court rulings, the issue of permissible language in newsgroups, and the
  454. general anarchy of newsgroups.]
  455.  
  456. Mr. Steshenko also retaliates against "denunciators."  He has sent
  457. copies of what he says are personal attacks by on-line adversaries to
  458. the chief executive officers of their employers, such large industrial
  459. companies as Bell Communications Research Inc. and WilTel Inc.
  460.  
  461. "I can take a lot in stride, but if someone sends a posting to the
  462. CEO of Bellcore (threatening) a lawsuit about me calling (him) a fool
  463. and it has implications with my position here at the company, then I'm
  464. going to get a little bit upset," said Andre Stynyk, a systems engineer
  465. at Bell Communications Research Inc., the research arm of regional Bell
  466. telephone companies.
  467.  
  468. Mr. Stynyk responded by complaining to UTD.  The university won't
  469. acknowledge the sources of the complaints it received.
  470.  
  471. "Let's just say he (Mr. Steshenko) was not following the rules and we
  472. received complaints from the outside.  After review, we determined that
  473. he should not have the privileges anymore," said UTD president Robert
  474. H. Rutford.
  475.  
  476. "The rules," in this case are not those of the Internet, but those of
  477. UTD.  Like other universities, UTD becomes part of the Internet by
  478. allowing outsiders into its computers and paying for the maintenance of
  479. its on-campus computing and communications network.
  480.  
  481. When it allows students access to the Internet, the university
  482. requires them to sign an agreement that they only use the resources of
  483. the Internet for instructional, research or administrative purposes.
  484.  
  485. [... The article quotes (acting executive director of the Internet
  486. Society) Howard Funk's assertion that the university can control how
  487. its facilities are used.  Mr. Steshenko, in turn, asserts the
  488. university's interpretation of "instructional" is too narrow.  -BP]
  489.  
  490. In hallways, classrooms and dormitories, for instance, students are
  491. not limited to talking only about the classes they sign up for, notes
  492. Marc Rotenberg, director of the Washington office of the Computer
  493. Professionals for Social Responsibility.
  494.  
  495. "It's a little bit like taking a classroom for a club meeting after
  496. classes end.  Maybe the university doesn't want you doing that," but it
  497. may be hard to say students can't.
  498.  
  499. This could make the Steshenko case "a good test of free speech on
  500. computer networks," he and Ms. Steele said, because the university not
  501. only is an academic institution, but receives funding from state
  502. government.
  503.  
  504. [... Comments about current case law extending prohibitions on laws
  505. abridging free expression to "government-run institutions" and how the
  506. Steshenko case may expand the prohibition to electronic exchanges of
  507. ideas.  The article then describes the self-regulation of Usenet,
  508. Compuserve, mailing lists, et al.]
  509.  
  510. The Internet Society's Mr. Funk, for instance, says Mr. Steshenko
  511. would have avoided trouble at Microsoft and the university if he had
  512. only used a personal account to access the Internet.  But Mr. Steshenko
  513. rejects that as costly and says the primary issue is the exercise of
  514. First Amendment privileges at a state-run institution.
  515.  
  516. Regardless, cooler commentary may be inevitable.  Mr. Stynyk, the
  517. Bell systems engineer, believes that arguments on the Internet will
  518. have to take on more "politically correct" terminology, as millions of
  519. new, nontechnical subscribers log in to the Internet.
  520.  
  521. But Houston environmental scientist Larisa Streeter, whose husband's
  522. employer was also contacted by Mr. Steshenko, says the Dallas site's
  523. discourse does not "have anything to do with political correctness at
  524. all.  It has to do with civil discussion."
  525.  
  526. She draws the analogy to allowing a member of the Ku Klux Klan to
  527. participate in a forum on African-American affairs.
  528.  
  529. "It's fine.  You can have the Klan member there listening and
  530. participating and having a discussion," she said.  But, Ms. Streeter
  531. says, limits should be set if racial epithets start flying because
  532. nothing is added to the discussion.
  533.  
  534. Ultimately, canceling access to the Internet altogether is seen by
  535. Mr. Steshenko as an unfair abrogation of his rights as a student.
  536.  
  537. He maintains that other students using their Internet accounts can
  538. join "news groups" that discuss anything from events in Haiti to sex.
  539. If he is cut off from talking about Russia and Ukraine, he feels other
  540. students shouldn't be permitted to participate in forums not related to
  541. their coursework.
  542.  
  543. While the university does have a right to provide resources only for
  544. particular purposes, "it really hinges on whether or not they really
  545. don't permit the accounts to be used for anything other than the
  546. studies," Ms. Steele said.
  547.  
  548. W.O. Shultz, associate general counsel for the University of Texas
  549. system, says he does not know how the accounts are used by other
  550. students or whether they have formed news groups or lists of their own.
  551.  
  552. If the university consistently enforces its limits on the use of the
  553. Internet for instructional, research and administrative purposes, then
  554. it is likely on safe ground, said Henry H. Perritt Jr., a Villanova
  555. University professor of information technology law.
  556.  
  557. [... UTD investigates student use of the Internet only when they get a
  558. complaint, which could leave an opening for Mr. Steshenko's suit, which
  559. he drafted and filed himself. -BP]
  560.  
  561. If the university does not know how its students are using the
  562. Internet, it is "going to have a very hard time saying" it is not
  563. granting students the right to participate in electronic forums on
  564. whatever subjects they please, Mr. Perritt said.
  565.  
  566. "If the university's argument is that "we claim the power to control
  567. the use of our resources and direct the resources only for certain
  568. purposes," then I don't see what that has to do with the complaints.
  569. Then they have a duty to know what's going on,"  he said.
  570.  
  571. [End of article, which also features a four column by 5" photo of Mr.
  572. Steshenko in front of an IBM PS/2.  The writer, Mr. Tom
  573. Steinert-Threlkeld, covers technology stories for the paper. -BP]
  574.  
  575. Bob Peterson              Waffle BBS: peterson@ZGNews.LoneStar.Org
  576. P.O. Box 865132           Internet: peterson@csc.ti.com  TelCo: 214 995-6080
  577. Plano, Tx USA 75086-5132  BBS: 214 596-3720 @ speeds to 14400 (HST & V.32bis)
  578.  
  579.  
  580. ------------------------------
  581.  
  582. Date: Tue, 16 Nov 93 14:48:59 EST
  583. From: cccf@ALTERN.COM(cccf)
  584. Subject: File 4--Toll Fraud on French PBXs--Phreaking
  585.  
  586.                 Toll Fraud on French PBXs - Phreaking
  587.  
  588. In France it is estimated that PBX trunk fraud (toll fraud) costs
  589. companies over $220 million a year. Criminal phreakers figure out how
  590. to access PBXs owned by businesses and then sell long-distance calling
  591. capacities provided by these systems to the public. In European
  592. markets where PSTN to PSTN connections are illegal it has not to date
  593. been such an issue. However, for a number of reasons this is likely to
  594. change.
  595.  
  596. Trunk to trunk connection barring through PBXs is expected to be
  597. deregulated throughout Europe.
  598.  
  599. The telecom industry has done more this year to prevent toll fraud
  600. than any other time. Yet, toll fraud losses will top more than $2
  601. billion again this year. If you aren't doing anything to prevent being
  602. hit, it's not a matter of if you'll be hit, it's when you'll be hit
  603. and for how much. So, here are some low-cost ways to stop toll
  604. fraud-or at least lessen the blow if you do get hit.
  605.  
  606. Increasing numbers of international companies have private networks
  607. and provide DISA (Direct Inward System Access) access to employees.
  608. Such companies are prime victims for Phreaking. For example, a phone
  609. hacker can access the network in the UK, France, or Germany and break
  610. out in another country where it is legal to make trunk to trunk calls,
  611. and from that point they can call anywhere in the world.
  612.  
  613. Voice Mail is taking off across Europe. This, together with DISA, is
  614. one of the most common ways phreakers enter a company's PBX.
  615.  
  616. Raising these issues now and detailing precautionary measures will
  617. enable companies to take steps to reduce such frauds.  The following
  618. looks at the current situation in France.
  619.  
  620. In France a whole subculture, like a real phone underground culture,
  621. of these technology terrorists is springing up on city streets. Stolen
  622. access codes are used to run call-sell operations from phone booths or
  623. private phones. The perpetrators offer international calls for circa
  624. FF 20, which is considerably less than it could cost to dial direct.
  625. When calls are placed through corporate PBXs rather than carrier
  626. switches, the companies that own the PBXs end up footing the bill.
  627.  
  628. What are the warning signs that your own communication systems are
  629. being victimised by toll fraud? In inbound call detail records, look
  630. for long holding times, an unexplained increased in use, frequent use
  631. of the system after normal working hours, or a system that is always
  632. busy. In records of outbound calls, look for calls made to unusual
  633. locations or international numbers, high call volumes, long duration
  634. of calls, frequent calls to premium rate numbers and frequently
  635. recurring All Trunks Busy (ATB) conditions.
  636.  
  637. Toll fraud is similar to unauthorised access to mainframe computers or
  638. hacking. Manufacturers such as Northern Telecom have developed
  639. security features that minimise the risk of such theft.
  640.  
  641. Telecommunication managers, however, are the only ones who are ensure
  642. that these features are being used to protect their systems from
  643. fraud.
  644.  
  645.               Areas of Intrusion Into Corporate Systems
  646.  
  647. PBX features that are vulnerable to unauthorised access include call
  648. forwarding, call prompting and call processing features. But the most
  649. common ways phreakers enter a company's PBX is through DISA and voice
  650. mail systems.  They often search a company's rubbish for directories
  651. or call detail reports that contain a companies own 05 numbers and
  652. codes. They have also posed as system administrators or France Telecom
  653. technicians and conned employees into telling them PBX authorisation
  654. codes. More sophisticated hackers use personal computers and modems to
  655. break into data bases containing customer records showing phone
  656. numbers and voice mail access codes, or simply dial 05 numbers with
  657. the help of sequential number generators and computers until they find
  658. one that gives access to a phone system.
  659.  
  660. Once these thieves have the numbers and codes, they can call into the
  661. PBX and place calls out to other locations. In many cases, PBX is only
  662. the first point of entry for such criminals. They can also use the PBX
  663. to access company's data system. Call-sell operators can even hide
  664. their activities from law enforcement officials by using
  665. PBX-looping-using one PBX to place calls out through another PBX in
  666. another state.
  667.  
  668.             Holding the Line-Steps That Reduce Toll Fraud
  669.  
  670. Northern Telecom's Meridian 1 systems provide a number of safety
  671. features to guard against unauthorised access. It is the most popular
  672. PBX phreaked in France. The following information highlights Meridian
  673. 1 features that can minimise such abuse.
  674.  
  675.                             DISA Security
  676.  
  677. The DISA feature allows users to access a company's PBX system from
  678. the public network by dialling a telephone number assigned to the
  679. feature. Once the system answers the DISA call, the caller may be
  680. required to enter a security code and authorisation code. After any
  681. required codes are entered, the caller, using push button tone
  682. dialling, is provided with the calling privileges, such as Class of
  683. Service (COS), Network Class of Service (NCOS) and Trunk Group Access
  684. Restrictions (TGAR), that are associated with the DISA DN or the
  685. authorisation code entered.
  686.  
  687. To minimise the vulnerability of the Meridian 1 system to unauthorised
  688. access through DISA, the following safeguards are suggested:
  689.  
  690.      1) Assign restricted Class of Service, TGAR and NCOS to the DISA DN;
  691.      2) Require users to enter a security code upon reaching the DISA DN;
  692.      3) In addition to a security code, require users to enter an
  693.      authorisation code. The calling privileges provided will be those
  694.      associated with the specific authorisation code;
  695.      4) Use Call Detail Recording (CDR) to identify calling activity
  696.      associated with individual authorisation codes. As a further
  697.      precaution, you may choose to limit printed copies of these
  698.      records;
  699.      5) Change security codes frequently;
  700.      6) Limit access to administration of authorisation codes to a
  701.      few, carefully selected employees.
  702.  
  703.                         Meridian Mail Security
  704.  
  705. Northern Telecom's Meridian Mail voice messaging system is also
  706. equipped with a number of safeguarding features. The features that
  707. allow system users to dial out; Through Dial, Operator Revert and
  708. Remote Notification (Outcalling) should be controlled to reduce the
  709. likelihood of unauthorised access. The following protective measures
  710. can be used to minimise tool fraud:
  711.  
  712. Voice Security Codes
  713.  
  714. Set security parameters for ThroughDial using the Voice Security
  715. Options prompt from the Voice Systems Administration menu. This prompt
  716. will list restricted access codes to control calls placed using the
  717. Through-Dial function of Meridian Mail. An access code is a prefix for
  718. a telephone number or a number that must be dialled to access outside
  719. lines or long-distance calling. If access cides are listed as
  720. restricted on the Meridian Mail system, calls cannot be placed through
  721. Meridian Mail to numbers beginning with the restricted codes. Up to 10
  722. access codes can be defined.
  723.  
  724. Voice Menus
  725.  
  726. With the Through-Dial function of Voice Menus, the system
  727. administrator can limit dialling patterns using restricted dialling
  728. prefixes. These access codes, which are defined as illegal, apply only
  729. to the Through-Dial function of each voice menu. Each Through-Dial
  730. menu can have its own restricted access codes. Up to 10 access codes
  731. can be programmed.
  732.  
  733. Meridian Mail also allows system administrators to require that users
  734. enter an Access Password for each menu. In this way, the Through-Dial
  735. menu can deny unauthorised callers access to Through-Dial functions,
  736. while allowing authorised callers access.
  737.  
  738. Additional Security Features
  739.  
  740. The Secured Messaging feature can be activated system-wide and
  741. essentially blocks external callers from logging to Meridian Mail. In
  742. addition, the system administrator can establish a system-wide
  743. parameter that forces user to change their Meridian Mail passwords
  744. within a defined time period. Users can also change their passwords at
  745. any time when logged in to Meridian Mail.
  746.  
  747. System administrator can define a minimum acceptable password length
  748. for Meridian Mail users. The administrators can also determine the
  749. maximum number of times an invalid password can be entered before a
  750. log-on attempt is dropped and the mailbox log-on is disabled.
  751.  
  752. Some of the features that provide convenience and flexibility are also
  753. vulnerable to unauthorised access. However, Meridian 1 products
  754. provide a wide array of features that can protect your system from
  755. unauthorised access.
  756.  
  757. In general, you can select and implement the combinaison of features
  758. that best meets your company's needs.
  759.  
  760.                       General Security Measures
  761.  
  762. Phone numbers and passwords used to access DISA and Meridian Mail
  763. should only be provided to authorised personnel. In addition, call
  764. detail records and other reports that contain such numbers should be
  765. shredded or disposed of in an appropriate manner for confidential
  766. material. To detect instances of trunk fraud and to minimise the
  767. opportunities for such activity, the system administrator should take
  768. the following steps frequently (the frequency is determined on a per
  769. site basis according to need):
  770.  
  771.     1) Monitor Meridian 1 CDR output to identify sudden unexplained
  772.     increases in trunk calls. Trunk to trunk/Tie connections should
  773.     be included in CDR output;
  774.     2) Review the system data base for unauthorised changes;
  775.     3) Regularly change system passwords, and DISA authorisation and
  776.     security codes;
  777.     4) Investigate recurring All Trunks Busy (ATB) conditions to determine the
  778.     cause;
  779.     5) If modems are used, change access numbers frequently, and
  780.     consider using dial-back modems;
  781.     6) Require the PBX room to be locked at all times. Require a
  782.     sign-in log and verification of all personnel entering the PBX
  783.     room.
  784.  
  785.                          Two Practical Cases
  786.  
  787. Bud Collar, electronic systems manager with Plexus in Neenah, Wis.,
  788. transferred from its payphone operations branch. As the PBX manager,
  789. he's blocked all outside access to his Northern Telecom Meridian 1 and
  790. meridian Mail. Just in case a phreaker does again access, Collar
  791. bought a $600, PC-based software package from Tribase Systems in
  792. Springfield, NJ, called Tapit. With Tapit, Collar runs daily reports
  793. on all overseas call attempts and completions. But the drawback to
  794. Tapit is that by itself it has no alarm features, so if a phreaker
  795. does get in, Collar won't know about it until he runs the next report.
  796. Tribase does offer Fraud Alert with alarms for $950, but Collar chose
  797. not to use it.
  798.  
  799. Erica Ocker, telecom supervisor at Phico Insurance in Mechaniscsburg,
  800. PA, also wanted to block all of her outside ports. But she has
  801. maintenance technicians who need routine access, so she needed a way
  802. to keep her remote access ports open, without opening up her Rolm 9751
  803. to toll fraud. The solution is to buy LeeMah DataCom Security Corps's
  804. TraqNet 2001. For $2,000, Ocker got two secured modems that connect to
  805. her maintenance port on her PBX and to her Rolm Phone Mail port. When
  806. someone wants to use these features, they dial into the TraqNet and
  807. punch in their PIN number. TraqNet identifies the user by their PIN
  808. and asks them to punch in a randomly selected access code that they
  809. can only get from a credit card-sized random number generator, called
  810. an InfoCard. That access code matches the codes that are generated
  811. each time the TraqNet is accused. The TraqNet 2001 is a single-line
  812. model that supports up to 2,304 users for $950. More upscale can
  813. support up to 32 lines and run call detail reports, but they cost as
  814. much as $15,000.  InfoCards each cost an additional $50.
  815.  
  816.                              Conclusions
  817.  
  818. The ultimate solution will be, as I read in a French consultancy
  819. review, <to program the PBX ACD agent ports as toll denied.>
  820.  
  821. The more pleasant story directly linked with French phreaking was the
  822. night that I see on my TV screen in Paris a luxurious computer ad for
  823. the Dell micro-computers. At the end of the ad, a toll-free number
  824. will be present in green: 05-444-999. I immediately phone to this
  825. number... and found the well-known voice of all French Northern
  826. Telecom's Meridian Mail saying in English language: "For technical
  827. reasons, your call cannot be transferred to the appropriate person.
  828. Call later or leave a message after the tune." The dial of 0* give the
  829. open door to more than... Dell informations. My letter to this company
  830. already is without (free voice-) answer!
  831.  
  832. --
  833. Jean-Bernard Condat, General Secretary
  834. Chaos Computer Club France [cccf]
  835. First European Hacking, Phreaking & Swapping Club
  836. Address: B.P. 8005, 69351 Lyon cedex 08, France.
  837. Phone: +33 1 47874083; Fax: +33 1 47874919; E-mail: cccf@altern.com
  838.  
  839. ------------------------------
  840.  
  841. Date: Tue, 16 Nov 93 03:08:47 EST
  842. From: gronez@AOL.COM
  843. Subject: File 5--Brendan Kehoe
  844.  
  845. Hello to everyone behind the scenes at CuD.. For anyone who didn't see
  846. it, I'd like to acknowledge Brendan Kehoe and his excellent appearance
  847. on Computer Chronicle's. Imagine my surprise as the name I have known
  848. for months now was finally given a voice. Great idea-- the more people
  849. on the Internet the better for our virtual communities. I have one
  850. question though. Why wasn't DELPHI, probably the most popular gateway
  851. to the Internet not featured on the show?
  852.  
  853. I hope that you or one of you colleagues may be able to shed some
  854. light on this,
  855.  
  856. Thank You
  857.  
  858. ------------------------------
  859.  
  860. Date: Thu, 18 Nov 1993 22:49:17 +0000
  861. From: 3W - Global Networking Newsletter <3W@UKARTNET.DEMON.CO.UK>
  862. Subject: File 6--Advertise your skills!
  863.  
  864.             3W MAGAZINE OFFERS FREE ADVERTS FOR NETWORKERS
  865.  
  866. 3W Global Networking Newsletter is offering free small ads for
  867. individuals who provide services relating to the global networks.
  868.  
  869. In an attempt to widen knowledge about how to access and use the
  870. networks, 3W is starting a free adverts section as from Issue 3,
  871. Jan/Feb 1993. This section will be open to any individuals who wish to
  872. advertise their professional skills to potential users. This covers
  873. consultancy, teaching, training, info-searching, research, writing,
  874. development, setup, maintenance, management or any others that pertain
  875. directly to the new global networks.
  876.  
  877. These ads will run in a section called NETWORKERS within the
  878. (Re)Source section of the magazine.
  879.  
  880. All ads will consist of a Heading (max 4 words) and text (max 30
  881. words).  All ads must contain an e-mail contact address, though they
  882. may contain other contact information.  All submissions must have a
  883. subject line of NETWORKERS.  Mail ads to
  884. networkers@ukartnet.demon.co.uk
  885.  
  886. Please note that there is no guarantee of inclusion, due to space
  887. limitations. Publishers decision is final.  For information about
  888. other advertising in 3W please mail ads@ukartnet.demon.co.uk
  889.  
  890. Ivan Pope
  891. Editor
  892. ivan@ukartnet.demon.co.uk
  893. +----------------------------
  894. 3W - Global Networking Newsletter           +44 (0)81 533 0818
  895. 13 Brett Rd                            Fax: +44 (0)81 533 0818
  896. London  E8 1JP                              3W@ukartnet.demon.co.uk
  897. UK
  898. ++++++++++++++++++++++++
  899. 3W is a bi-monthly paper-based subscription newsletter that covers the new
  900. global networks.
  901.  
  902. ------------------------------
  903.  
  904.  
  905. ------------------------------
  906.  
  907. End of Computer Underground Digest #5.88
  908. ************************************
  909.