home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / cud / cud649.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  38.5 KB  |  838 lines
  1.  
  2. Computer underground Digest    Sun  June 5, 1994   Volume 6 : Issue 49
  3.                            ISSN  1004-042X
  4.  
  5.        Editors: Jim Thomas and Gordon Meyer (TK0JUT2@NIU.BITNET)
  6.        Archivist: Brendan Kehoe
  7.        Retiring Shadow Archivist: Stanton McCandlish
  8.        Shadow-Archivists: Dan Carosone / Paul Southworth
  9.                           Ralph Sims / Jyrki Kuoppala
  10.                           Ian Dickinson
  11.        Copy Dittoer:          Etaoian Shrdlu
  12.  
  13. CONTENTS, #6.49 (June 5, 1994)
  14.  
  15. File 1--AT&T Lab Scientist Discovers Flaw in Clipper Chip
  16. File 2--Jacking in from the SNAFU Port (Clipper Snafu update)
  17. File 3--Jacking in from the "We Knew It All Along" Port (Clipper)
  18. File 4--Crackdown on Italian BBSes Continues
  19. File 5--Norwegian BBS Busts / BitPeace
  20. File 6--BSA: Software Piracy  Problem Shows no Sign of Easing
  21. File 7--Re: "Problems at TCOE" (CuD 6.47)
  22. File 8--Is there an MIT/NSA link-up for PGP 2.6? Some Info
  23.  
  24. Cu-Digest is a weekly electronic journal/newsletter. Subscriptions are
  25. available at no cost electronically.
  26.  
  27. CuD is available as a Usenet newsgroup: comp.society.cu-digest
  28.  
  29. Or, to subscribe, send a one-line message:  SUB CUDIGEST  your name
  30. Send it to LISTSERV@UIUCVMD.BITNET or LISTSERV@VMD.CSO.UIUC.EDU
  31. The editors may be contacted by voice (815-753-0303), fax (815-753-6302)
  32. or U.S. mail at:  Jim Thomas, Department of Sociology, NIU, DeKalb, IL
  33. 60115, USA.
  34.  
  35. Issues of CuD can also be found in the Usenet comp.society.cu-digest
  36. news group; on CompuServe in DL0 and DL4 of the IBMBBS SIG, DL1 of
  37. LAWSIG, and DL1 of TELECOM; on GEnie in the PF*NPC RT
  38. libraries and in the VIRUS/SECURITY library; from America Online in
  39. the PC Telecom forum under "computing newsletters;"
  40. On Delphi in the General Discussion database of the Internet SIG;
  41. on RIPCO BBS (312) 528-5020 (and via Ripco on  internet);
  42. and on Rune Stone BBS (IIRGWHQ) (203) 832-8441.
  43. CuD is also available via Fidonet File Request from
  44. 1:11/70; unlisted nodes and points welcome.
  45.  
  46. EUROPE:   from the ComNet in LUXEMBOURG BBS (++352) 466893;
  47.           In ITALY: Bits against the Empire BBS: +39-461-980493
  48.  
  49.   UNITED STATES:  etext.archive.umich.edu (141.211.164.18)  in /pub/CuD/
  50.                   ftp.eff.org (192.88.144.4) in /pub/Publications/CuD
  51.                   aql.gatech.edu (128.61.10.53) in /pub/eff/cud/
  52.                   world.std.com in /src/wuarchive/doc/EFF/Publications/CuD/
  53.                   uceng.uc.edu in /pub/wuarchive/doc/EFF/Publications/CuD/
  54.                   wuarchive.wustl.edu in /doc/EFF/Publications/CuD/
  55.   EUROPE:         nic.funet.fi in pub/doc/cud/ (Finland)
  56.                   ftp.warwick.ac.uk in pub/cud/ (United Kingdom)
  57.  
  58.   JAPAN:          ftp.glocom.ac.jp /mirror/ftp.eff.org/
  59.  
  60. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  61. information among computerists and to the presentation and debate of
  62. diverse views.  CuD material may  be reprinted for non-profit as long
  63. as the source is cited. Authors hold a presumptive copyright, and
  64. they should be contacted for reprint permission.  It is assumed that
  65. non-personal mail to the moderators may be reprinted unless otherwise
  66. specified.  Readers are encouraged to submit reasoned articles
  67. relating to computer culture and communication.  Articles are
  68. preferred to short responses.  Please avoid quoting previous posts
  69. unless absolutely necessary.
  70.  
  71. DISCLAIMER: The views represented herein do not necessarily represent
  72.             the views of the moderators. Digest contributors assume all
  73.             responsibility for ensuring that articles submitted do not
  74.             violate copyright protections.
  75.  
  76. ----------------------------------------------------------------------
  77.  
  78. Date: Thu, 2 June, 1994 23:54:21 EDT
  79. From: anon <cudigest@mindvox.phantom.com>
  80. Subject: File 1--AT&T Lab Scientist Discovers Flaw in Clipper Chip
  81.  
  82. (The government's proposed encryption technology may not be as
  83. secure as proponents want us to think. This might be of interest
  84. to you--anon).
  85.  
  86.           Scientist Insists U.S. Computer Chip has Big Flaw
  87.                            By John Markoff
  88.            Extracted from the New York Times, June 2, 1994
  89.  
  90. Technology that the Clinton administration has been promoting for use
  91. by law enforcement officials to eavesdrop on electronically scrambled
  92. telephone and computer conversations is flawed and can be defeated, a
  93. computer scientist says.
  94.  
  95. Someone with sufficient computer skills can defeat the government's
  96. technology by using it to encode messages so that not even the
  97. government can crack them, according to AT&T Bell Laboratories
  98. researcher Matthew Blaze.
  99.  
  100.      (The article explains the background to the fight to implement
  101.      Clipper by the Clinton Adminstration as a means to help
  102.      law enforcment, and notes that the technolgoy has been
  103.      widely criticized by communications executives and others)
  104.  
  105. The industry also fears foreign customers might shun equipment if
  106. Washington keeps a set of electronic keys.  But now Blaze. as a result
  107. of his independent testing of Clipper, is putting forth perhaps the
  108. most compelling criticism yet:  The technology simply doesn't work as
  109. advertised.
  110.  
  111. Blaze spelled out his findings in a draft report that he has been
  112. ciculat-ing quietly among computer researchers and federal agencies in
  113. recent weeks.
  114.  
  115. "The government is fighting an uphill battle," said Martin Hellman. a
  116. Stanford University computer scientist who has read Blaze's paper and
  117. who is an expert in data encryption.  "People who want to work around
  118. Clipper will be able to do it."
  119.  
  120. But the National Security Agency. the government's electronic spying
  121. agency, said Wednesday that Clipper remained useful, despite the flaw
  122. uncovered by Blaze.
  123.  
  124. "Anyone interested in circumventing law enforcement access would most
  125. likely choose simpler alternatives," Michael Smith, the agency's
  126. director of policy. said in a written statement.
  127.  
  128. "More difficult and time consuming efforts. like those discussed in
  129. the Blaze paper, are very unlikely to be employed."
  130.  
  131.  
  132.    (The article summarizes the government's defense for Clipper)
  133.  
  134. But industry executives have resisted adopting Clipper.  Because the
  135. underlying mathematics of the  technology remain a classified
  136. government secret, industry officials say there is no way to be
  137. certain that it is as secure as encoding techniques already on the
  138. market.
  139.  
  140. They also fear that Clipper's electronic back door, which is designed
  141. for legal wiretapping of communications. could make it subject to
  142. abuse by the government or civilian computer experts.  Privacy-rights
  143. advocates have cited similar concerns.
  144.  
  145. Industry executives also have worried that making Clipper a fed-eral
  146. government standard would be a first step toward prescribing the
  147. technology for private industry or requiring that it be included in
  148. sophisticated computing and communications devices that are to be
  149. exported.
  150.  
  151. Blaze said that the flaw he discovered in the Clipper design would not
  152. permit a third party to break a coded computer conversation.
  153.  
  154. But it would enable two people to have a secret conversation that law
  155. enforcement officials could not unscramble.  And that could render
  156. Clipper no more useful to the government than encryption technology
  157. already on the market to which it does not hold the mathematical keys.
  158.  
  159. "Nothing I've found affects the security of the Clipper system from
  160. the point of view of people who might want to break the system." Blaze
  161. said. "This does quite the opposite. Somebody can use it to circumvent
  162. the law enforcement surveillance mechanism."
  163.  
  164.      The article concludes by noting that Blaze said that several
  165.      simple changes to the Clipper design could fix the flow, but that
  166.      this might be difficult because the changes would require the
  167.      government to start over in designing clipper. The governmetn has
  168.      already started ordering telephones containing the Clipper chip
  169.      for federal agencies.
  170.  
  171. ------------------------------
  172.  
  173. Date: Thu, Jun 2 1994 17:33:21 PDT
  174. From: Brock Meeks <brock@well.sf.ca.us>
  175. Subject: File 2--Jacking in from the SNAFU Port (Clipper Snafu update)
  176.  
  177. ((Moderators' Note: The following article may not be reprinted or
  178. reproduced without the explicit consent of the author)).
  179.  
  180.              CyberWire Dispatch // Copyright (c) 1994 //
  181.                    Jacking in from the SNAFU Port:
  182.  
  183. Washington, DC -- Matthew Blaze never intended to make the front page
  184. of the New York Times.  He was just doing his job:  Nose around inside
  185. the government's most secret, most revered encryption code to see if
  186. he could "break it." Blaze, a researcher for AT&T Bell Labs, was good
  187. at this particular job. Maybe a bit too good.  Although he didn't
  188. actually "break" the code, he did bend the fuck out of it.  That feat
  189. landed him a front page story in the June 2 issue of the New York
  190. Times.
  191.  
  192. What Blaze found -- and quietly distributed among colleagues and
  193. federal agencies in a draft paper -- was that design bugs in Skipjack,
  194. the computer code that underlies the Clipper Chip encryption scheme,
  195. can be jacked around, and re-scrambled so that not even the Feds can
  196. crack it.  This of course defeats the whole purpose of the Clipper
  197. Chip, which is to allow ONLY the government the ability to eavesdrop
  198. on Clipper encoded conversations, faxes, data transmissions, etc.
  199.  
  200. What Blaze's research attacks is something called the LEAF, short for
  201. "Law Enforcement Access Field."  The LEAF contains the secret access
  202. code needed by law enforcement agents to decode the scrambled
  203. messages.  Blaze discovered that the LEAF uses only a 16- bit
  204. checksum, which is a kind of self-checking mathematical equation.
  205. When the checksum equations match up, the code is valid and
  206. everything's golden.  The cops get to unscramble the conversations and
  207. another kiddie porn ring is brought to justice.  (This is what the FBI
  208. will tell you... again and again and again and... ) But you can
  209. generate a valid 16-bit checksum in about 20 minutes, according to
  210. those crypto-rebels that traffic the Internet's Cypherpunks mailing
  211. list.  "A 16-bit checksum is fucking joke," one cryptographic expert
  212. from the list told Dispatch.  "If it weren't so laughable, I'd be
  213. insulted that all this tax payer money has gone into the R&D of
  214. something so flawed."
  215.  
  216. But the New York Times got the story *wrong* or at least it gave only
  217. part of the story.  "What the New York Times story didn't say was that
  218. the findings... had nothing to do with the Government standard, which
  219. covers voice, facsimile and low-speed data transmission," said an AT&T
  220. spokesman.  AT&T was the first company to publicly support the Clipper
  221. Chip.  A stance that was essentially bought and paid for by the U.S.
  222. government with the promise it would get big government contracts to
  223. sell Clipper equipped phones to Uncle Sam, according to documents
  224. previously obtained by Dispatch.
  225.  
  226. The AT&T spokesman said the "frailty" that Blaze discovered doesn't
  227. actually exist in the Clipper Chip applications.  "Our scientists,
  228. working with National Security Agency (NSA) scientists, were
  229. conducting research on proposed future extensions of the standard," he
  230. said.
  231.  
  232. Those "future extensions" are the so-called Tessera chip, intended to
  233. be embedded in a PCMCIA credit card sized device that fits into a slot
  234. in your computer.
  235.  
  236. When the NSA trotted out its Tessera card, it invited Blaze, among
  237. others, to review the technology, essentially becoming a beta-tester
  238. for the NSA.  No formal contract was signed, no money changed hands.
  239. Blaze took on the job in a volunteer role.  Using a prototype Tessera
  240. chip installed on a PCMCIA card, he broke the damn thing.
  241.  
  242. AT&T claims the whole scenario is different from the Clipper because
  243. the LEAF generated by Clipper "is a real time application... with
  244. Tessera it's static," the spokesman said.  He said Tessera would be
  245. used to encrypt stored communications or Email.  "And with Tessera,
  246. the user has the ability to get at the LEAF," he said, "with Clipper,
  247. you don't."
  248.  
  249. Blaze will deliver his paper, titled "Protocol Failure in the Escrowed
  250. Encryption Standard," this fall during the Fairfax Conference.  His
  251. findings "should be helpful" to the government "as it explores future
  252. applications," of its new encryption technology the AT&T spokesman
  253. said.  In our view, it's better to learn a technology's limitations
  254. while there's time to make revisions before the Government spends
  255. large sums to fund development programs."
  256.  
  257. This is an important, if subtle statement.  The Clipper Chip never
  258. underwent this type of "beta-testing," a fact that's drawn the ire of
  259. groups such as Computer Professionals for Social Responsibility (CPSR)
  260. and the Electronic Frontier Foundation (EFF).  When the White House
  261. began to take hits over this ugly situation, it agreed to have an
  262. independent panel of experts review the classified code to check for
  263. any trapdoors.
  264.  
  265. Those experts claim they found nothing fishy, but their report -- alas
  266. --has also been classified, leading to further demands for openness
  267. and accountability.  The White House is stalling, naturally.
  268.  
  269. But in an apparent about face, the NSA allowed an "open" beta- testing
  270. for Tess and -- surprise -- we find out there are bugs in the design.
  271.  
  272. Okay, Pop Quiz time: Does the existence of "Blaze Bug" make you feel:
  273. (A) More secure about the government's claim that Clipper will only be
  274. used to catch criminals and not spy on the citizenry. (B) Less secure
  275. about everything you've ever been told about privacy and encryption by
  276. the Clinton Administration.  (C)  Like this entire episode is really
  277. an extended "Stupid Pet Tricks" gag being pulled by David Letterman.
  278.  
  279. If you're still unsure about Clipper, check this quote from the AT&T
  280. spokesman:  "It's worth noting that Clipper Chip wasn't subjected to
  281. this type of testing."  Ah-huh... any questions?
  282.  
  283. The NSA is trying to downplay the news.  "Anyone interested in
  284. circumventing law enforcement access would most likely choose simpler
  285. alternatives," said Michael Smith, the agency's planning director, as
  286. quoted by the New York Times.  "More difficult and time-consuming
  287. efforts, like those discussed in the Blaze paper, are very unlikely to
  288. be employed."
  289.  
  290. He's right.  Those "simpler alternatives" include everything from
  291. private encryption methods to not using a Clipper equipped phone or
  292. fax in the first place.  (Of course, the FBI keeps insisting that
  293. criminals won't use any of this "simpler" knowledge because they are
  294. "dumb.")
  295.  
  296. Despite the NSA's attempt to blow off these findings, the agency is
  297. grinding its gears.  One NSA source told Dispatch that the Blaze paper
  298. is "a major embarrassment for the program."  But the situation is
  299. "containable" he said.  "There will be a fix." Dispatch asked if there
  300. would be a similar review of the Clipper protocols to see if it could
  301. be jacked around like Tess.  "No comment," was all he said.
  302.  
  303. Meeks out...
  304.  
  305. ------------------------------
  306.  
  307. Date: Thu, Jun 2 1994 17:33:21 PDT
  308. From: Brock Meeks <brock@well.sf.ca.us>
  309. Subject: File 3--Jacking in from the "We Knew It All Along" Port (Clipper)
  310.  
  311. ((Moderators' Note: The following article may not be reprinted or
  312. reproduced without the explicit consent of the author)).
  313.  
  314.              CyberWire Dispatch // Copyright (c) 1994 //
  315.            Jacking in from the "We Knew It All Along" Port:
  316.  
  317. Washington, DC -- The key technology underlying the Administration's
  318. Tessera "Crypto Card" was fatally flawed from its inception, Dispatch has
  319. learned.  Government researchers working for the National Security Agency
  320. have known for months about the flaw, but purposefully withheld that
  321. information from the public, a government official acknowledged today to
  322. Dispatch.
  323.  
  324. Cryptographic researchers at the super-secret NSA have known all along that
  325. the program used to scramble a key part of the government's Clipper system
  326. could be thwarted by a computer savvy user with 28 minutes of free time,
  327. according to an NSA cryptographic expert that spoke to Dispatch under the
  328. condition he not be identified.
  329.  
  330. "Everyone here knew that the LEAF (Law Enforcement Access Field) could be
  331. fucked with if someone knew what they were doing," the NSA expert said.
  332. "We knew about the flaw well before it became public knowledge.  What we
  333. didn't know is how long it would take an outside source to discover the
  334. flaw."
  335.  
  336. In essence, the NSA decided to play a kind of high-tech cat and mouse game
  337. with a technology being hailed as the most secure in the world.  So secure,
  338. the White House is asking the public to give up a degree of privacy because
  339. there's no chance it can be abused.
  340.  
  341. "We figured [the presense of the flaw] was an acceptable risk," the NSA
  342. expert said.  "If no one found out, we probably would have fixed it sooner
  343. or later," he said.  "I can't imagine that we would have let that one slip
  344. through."
  345.  
  346. But someone spoiled the end game.  A 33-year-old AT&T scientist Matthew
  347. Blaze discovered the crack in the White House's increasingly crumbling spy
  348. vs. citizen technology.
  349.  
  350. Acting as a kind of beta-tester, Blaze found several techniques that could
  351. be used to successfully thwart the LEAF, the encrypted data stream needed
  352. by law enforcement officers in order to identify what amounts to a social
  353. security number for each Clipper or Tessera chip.
  354.  
  355. Once the LEAF is in hand, law enforcement agents then submit it to the
  356. "key escrow agents." These escrow agents are two government authorized
  357. agencies that keep watch over all the keys needed to descramble Clipper
  358. or Tessera encoded conversations, faxes or data transmissions. Without the
  359. keys from these two agencies, the law enforcement agents hear nothing but
  360. static. Without the LEAF, the agencies won't cough up the keys.
  361.  
  362. Bottom line:  If the LEAF is fucked, so is access to the scrambled
  363. communications.
  364.  
  365. What Blaze so eloquently discovered is that someone with a modicum of
  366. knowledge could do was jack around with the LEAF, rendering it unusable.
  367. What Blaze didn't realize is that he was merely acting as an NSA stooge.
  368.  
  369. But the methods discovered by Blaze, and outlined in a draft paper he'll
  370. later present this month during a high brow security shindig known as the
  371. Fairfax conference, are cumbersome.  "The techniques used to implement
  372. (the work arounds) carry enough of a performance penalty, however, to limit
  373. their usefulness in real-time voice telephony, which is perhaps the
  374. government's richest source of wiretap-based intelligence," Blaze writes in
  375. his paper.
  376.  
  377. Notice he says "limit" not "completely render useless."  Important
  378. distinction.  Are there other, faster, more clever ways to circumvent the
  379. LEAF?  "If there are, I wouldn't tell you," the NSA crypto expert said.
  380.  
  381. Shut Up and Chill Out
  382. =====================
  383.  
  384. The National Institute of Standards and Technology (NIST), the agency
  385. walking point for the White House on the Clipper issue, takes these
  386. revelations all in stride.  Sort of a "shut up and chill out" attitude.
  387.  
  388. The techniques described by Blaze "are very unlikely to be used in actual
  389. communications," a NIST spokeswoman said.  Does that mean they could never
  390. be used?  "It's very unlikely."
  391.  
  392. NIST, when confronted with the fact that NSA researchers knew all along
  393. that the technology was broken, was unapologetic.  "All sound cryptographic
  394. designs and products consider tradeoffs of one sort or another when design
  395. complexities, costs, time and risks are assessed," the NIST spokeswoman
  396. said.  The Clipper family of encryption technologies "is no exception,"
  397. she said.
  398.  
  399. NIST said that the Tessera card "isn't a standard yet, so the process of
  400. testing it's integrity is ongoing."  The technology in Tess is known as
  401. the Capstone chip, which, unlike the Clipper Chip, hasn't yet been accepted
  402. as a standard, NIST said.
  403.  
  404. Flaws, therefore, are assumably just part of an ongoing game.
  405.  
  406. The fact that the NSA knew about this flaw when it asked people like Blaze
  407. to test it was "just part of the ongoing testing procedure," the
  408. spokeswoman said.  And if Blaze or some other idea hamster hadn't
  409. discovered the flaw?  You make the call.
  410.  
  411. What about Clipper?  Are there such flaws in it?  NIST says "no" because
  412. it has already been through "independent testing" and accepted as a
  413. standard.  If there are flaws there, they stay put, or so it seems.
  414.  
  415. Clipper's My Baby
  416. =================
  417.  
  418. Beyond the high risk crypto games the NSA has decided to play, there's
  419. another disturbing circumstance that could torpedo the Clipper before it's
  420. given its full sailing orders.  This obstacle comes in the form of a patent
  421. dispute.
  422.  
  423. Silvio Micali, a scientist at the massachusetts Institute of Technology
  424. says the Clipper is his baby.  He claims to hold two crucial patents that
  425. make the Clipper tick.
  426.  
  427. "We are currently in discussions with Mr. Micali," NIST said.  "We are
  428. aware of his patent claims and we're in the process of addressing those
  429. concerns now," a NIST spokeswoman said.
  430.  
  431. She wouldn't go into details about as to the extent of the talks, but
  432. obviously, the government is worried.  They haven't flatly denied Micali's
  433. claims.
  434.  
  435. If this all sounds like a bad nightmare, you're right.  NIST ran into the
  436. same problems with its Digital Signature Standard, the technology they've
  437. adopted as a means to "sign" and verify the validly of electronic mail
  438. messages.  Others jumped on the government's DSS standard, claiming they
  439. were owed royalties because they held patents on the technology.  These
  440. discussions are still "ongoing" despite the government's adoption of the
  441. standard.
  442.  
  443. The same situation is now happening with Clipper.  One could make a case
  444. that Yogi Berra is the policy wonk for the Clipper program:  "It's like
  445. deja vu all over again," Berra once said.
  446.  
  447. So it is, Yogi... so it is.
  448.  
  449. Meeks out...
  450.  
  451. ------------------------------
  452.  
  453. Date: Sat, 4 Jun 1994 00:02:27 -0700
  454. From: Bernardo Parrella <berny@WELL.SF.CA.US>
  455. Subject: File 4--Crackdown on Italian BBSes Continues
  456.  
  457. Twenty-four days after the first major crackdown on Fidonet Italia
  458. BBSes, on Friday June 3, the Taranto Finance Police visited Taras
  459. Communications BBS, the main National Peacelink node and data-bank.
  460. Acting after a warrant issued by the Prosecutor of the same city,
  461. Giovanni Pugliese and his wife were charged for the possession of
  462. "illegally copied software and electronic equipment suitable to
  463. falsification." After searching their apartment for more than 5 hours
  464. (from 5 pm to 10.30 pm), Finance officials sealed off the PC on which
  465. the BBS run and seized 174 floppy disks - leaving behind the monitor
  466. and the only available modem. Because the Taranto node hosts most of
  467. the network archives and all the email traffic, at the moment the
  468. entire national Peacelink net is down. Giovanni Pugliese is currently
  469. working to start again his system as soon as possible - probably in
  470. the next 48 hours.
  471.  
  472. With more than 30 nodes throughout the country, several Fidonet
  473. gateways, and a project currently underway to connect directly to
  474. Comlink and the other APC Networks,  Peacelink is completely dedicated
  475. to peace, human rights and ecology issues. Founded in1992 as a
  476. specialized conference of Fidonet Italia network, Peacelink became
  477. quickly independent and well known even outside Italy. Recently the
  478. network hosted a national conference on peace-related matters,
  479. becoming also the only communication link for people in the
  480. former-Yugoslavia and the outside world.
  481.  
  482. "Taras Communications BBS has never had anything to do with software
  483. piracy and is well know for its activities related to humanitarian,
  484. peace, social issues," Giovanni Pugliese said. "Peacelink and its
  485. sister Fidonet Italia network had always pursued a very restrictive
  486. policy against any illegally copied software on their systems. Because
  487. Taras Communications BBS is the main National node of Peacelink
  488. network, its forced closure, hopefully very short, will result in a
  489. great damage for those hundreds of people - including journalists,
  490. activists, volunteers - that were widely relying upon its everyday
  491. services."
  492.  
  493. The first phase of the crackdown (May 11-13) targeted Fidonet Italia
  494. network in several cities in the northern and cental regions of the
  495. country. While a still inaccurate number of BBSes (probably from 30 to
  496. 60) were searched and dozens were closed down, on May 25 an official
  497. press-release of the Finance Police in Torino claimed a seizure "for a
  498. value of more than 4 billion of Italian lire (about US $2,5 million),
  499. including 17 personal computers; 13,690 floppy disks of illegally
  500. copied software," dozens of modems and electronic devices.14 people
  501. were charged with "conspiracy with unknown for the crime of software
  502. piracy" - but no arrests were made.
  503.  
  504. The new raid hit the online community at the exact moment when sysops,
  505. users, media and citizens were waiting for a relaxing and clarifier
  506. signal from investigators, including the first decisions about the
  507. seized hardware scheduled in these days.
  508.  
  509. Right now, activists are coordinating a series of quick answers,
  510. including the foundation of a National association dedicated to the
  511. protection of civil rights for Electronic Citizens.
  512.  
  513. - Bernardo Parrella
  514.  
  515. <berny@well.sf.ca.us>
  516. <b.parrella@agora.stm.it>
  517.  
  518. < - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - >
  519.   electronic distribution of this posting is greatly encouraged,
  520. preserving its original version, including the header and this notice
  521. < - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - >
  522.  
  523. ------------------------------
  524.  
  525. Date: Sat, 4 Jun 1994 00:02:27 -0700
  526. From: Bernardo Parrella <berny@WELL.SF.CA.US>
  527. Subject: File 5--Norwegian BBS Busts / BitPeace
  528.  
  529.  
  530. Norwegian Bust
  531.  
  532. ==== fwd msg ====
  533.  
  534. >From svaar@math.uio.no Fri Jun  3 12:40:21 1994
  535.  
  536. General Briefing from BitPeace - the Norwegian BBS Scene
  537.   --------------------------------------------------------
  538.  
  539. The Norwegian police acting on initiative from the Ministry of Cultural
  540. Affairs has been exasperatingly aggressive since May 25th. Since
  541. Tuesday, 3 bulletin boards have been busted, named Zilent BBS,
  542. Byte BBS and Scheen BBS.
  543.  
  544. The operator of Zilent BBS is 12 years old, and got busted for a receipe
  545. on making your own firecrackers. The police stormed his house, took his
  546. equipment and left..:-)
  547.  
  548. Byte BBS got busted for having one (ONE) illegal pornographic picture.
  549. Rumours go that this was planted there by a Norwegian computer firm that
  550. collaborates with the Oslo District Attorney - as his "experts". Anyway,
  551. the SysOp in question was on a 14-day vacation when some luna uploaded
  552. the illegal picture to his BBS. Then some other luna (or was it the same
  553. guy??) tipped off the Norwegian police, which waited for the poor SysOp
  554. when he returned home. He winded up in police custody, and is due to
  555. appear before a local magistrate in a few weeks time. These legal
  556. proceedings are going to constitute a case of paramount importance - and
  557. if the SysOp is acquitted, this law suit would set legal precedence
  558. and of course be a great victory for us all. A legal success would lay
  559. down precedence for that a Sysop is not responsible for what the users
  560. upload, at least not when he's not home, but that the USER has to take
  561. this responsibility. Currently one takes a great risk putting up a board
  562. up, you may risk loosing all your equipment, which may or may not be
  563. returned with or without the whole or parts of the software intact; all
  564. according to the free discretion of the local police. (That is, if you
  565. can't afford having someone watching the system 24 hours a day.)
  566.  
  567. We are trying to organize some kind of association to protect SysOp rights.
  568. We also produce software to reduce the damage for the sysop if he or she
  569. gets busted. We are also to organize political protests, and many
  570. Sysops have requested political asylum in the Italian embassy. (Because
  571. that was the only embassy that even allowed us to TALK with them.)
  572.  
  573. Politicians in Norway have moved a law proposal that would make Norwegian
  574. sysops editorially responsible to the law for whatever software or
  575. messages happening to be present at his / her board at any time.
  576.  
  577. Preventing this bill from being passed is our main objective - and we
  578. have a hard fight ahead if we are to avoid this. That's what we've got
  579. to do, and I hope that you organize and work against the same type of
  580. political sencorship and random ransacking and confiscations at the
  581. free will and discretion of any local police attorney. We would also
  582. be extremely glad if you helped us - if you're an Italian citizen,
  583. please address your letter of protest to the Royal Norwegian Embassy
  584. in Rome. If writing from outside Italy, you may direct your letters
  585. to the Royal Norwegian Foreign Office in Oslo. The adresses are as
  586. follows:
  587.  
  588. Reale Ambasciata di Norvegia
  589. Via delle Terme Deciane 7
  590. I-00153 Roma
  591. ITALY
  592.  
  593. Royal Norwegian Foreign Office
  594. Haakon VII's plass
  595. Oslo 1
  596. NORWAY
  597.  
  598. The authors of this briefing is availiable through mail;
  599. Peter Svaar <svaar@math.uio.no>
  600. Jac. Aallsgt.21
  601. 0364 Oslo 3
  602.  
  603. BBS: +47 22 567 008 (Bulletronics BBS)
  604. Voice: +47 22 69 59 94 (Between 15:00 and 23:00 CET)
  605.  
  606. Ingar Holst
  607. Niels Juelsgt. 41a
  608. 0257 Oslo
  609.  
  610. ------------------------------
  611.  
  612. Date: Thu, 2 Jun 1994 21:18:43 PDT
  613. From: Anonymous <cudigest@mindvox.phantom.com>
  614. Subject: File 6--BSA: Software Piracy  Problem Shows no Sign of Easing
  615.  
  616. This came across the nets and should be of interested to CuD
  617. readers -- anon
  618. ======================
  619.  
  620. From: Computer Age
  621.  
  622. New worldwide piracy estimates just released by the Business Software
  623. Alliance show that massive global theft of software continues unabated
  624. with annual losses to publishers and distributors of at least $12
  625. billion.
  626.  
  627. Use of pirated software ranges in some Asian countries up to 99
  628. percent. In Europe, estimates run as high as 86 percent.  They are 85
  629. percent in some parts of Latin America.
  630.  
  631. To help fight the problem, the Washington, D.C.based trade group has
  632. just expanded its European Regional Program to offer membership -- at
  633. no cost for the first year -- to small European software publishers
  634. with less than $10 million in worldwide revenues.
  635.  
  636. The new program offers publishers BSA's help through public policy
  637. proposals to strengthen copyright protection for software, legal
  638. action to enforce copyright laws against infringers, and market
  639. projects to promote use of original software.
  640.  
  641. The following chart provides a country-by-country breakdown of the
  642. estimated percentage of software in use that is pirated, and the
  643. dollar losses this represents to software makers:
  644.  
  645.         Percentage        Dollar
  646. Country of Piracy         Losses
  647.  
  648. Australia/New Zealand      45%  160 million
  649. Benelux                    66%  419 million
  650. France                     73%  1.2 billion
  651. Germany                    62%  1 billion
  652. Italy                      86%  550 million
  653. Japan                      92%  3 billion
  654. Korea                      82%  648 million
  655. Singapore                  41%  24 million
  656. Spain                      86%  362 million
  657. Sweden                     60%  171 million
  658. Taiwan                     93%  585 million
  659. Thailand                   99%  181 million
  660. UK                         54%  685 million
  661. United States              35%  1.9 billion
  662. Argentina                  80%  38 million
  663. Brazil                     80%  91 million
  664. Chile                      75%  28 million
  665. Colombia                   85%  18 million
  666. Mexico                     85%  206 million
  667. Venezuela                  85%  91 million
  668. Other Latin American
  669. Countries                       72 million
  670.  
  671. ------------------------------
  672.  
  673. Date: Thu, 02 Jun 1994 07:07:36 -0700 (MST)
  674. From: Joel M Snyder <Joel_M_Snyder@OPUS1.COM>
  675. Subject: File 7--Re: "Problems at TCOE" (CuD 6.47)
  676.  
  677. I'm writing to respond to the message by Jim Maroon, forwarded by Stanton
  678. McCandlish (mech@eff.org).
  679.  
  680. This sort of conjecture and hearsay really does the cause of electronic
  681. freedom (if there is such a thing) more harm than good.  It's obvious that
  682. there's some sort of problem going on at the Tulare County Office of
  683. Education, but posting this one-sided diatribe probably won't help the
  684. situation there or anywhere.
  685.  
  686. In any case, the larger problem with this post is a dive into "amateur
  687. lawyer" which seems to happen so often in USENET news. This paragraph
  688. begins with "TCOE is bound by the First Amendment" (which we know not to be
  689. true), stomps through a whole series of very complex issues involving use
  690. of public facilities, with a variety of incorrect statements, ending with
  691. "The courts have found that publicly funded universities could not remove
  692. Internet listservs based on objection the content of those listservs..."
  693. (which we know not to be true) and coming to the conclusion that:
  694.  
  695. >        A BBS is just a bunch of folks sitting around talking. You can't
  696. > dictate what speech is allowed and what speech is not allowed on a BBS
  697. > run by a government institution.
  698.  
  699. This final statement is specifically unsupportable in this context.
  700.  
  701. My response is simple: this is not a legal issue.  It is a political issue.
  702.  
  703. If you truly believe that the TCOE is obligated to offer an unfettered
  704. forum (if it offers a forum at all), then the way to fight for your beliefs
  705. is using exactly the same technique you found objectionable in the first
  706. place: political pressure.  Threatening legal action where none can be
  707. brought forward will only bring you the jeers and annoyance of the system
  708. operators.  However, using the traditional political weapons of publicity,
  709. public meetings, and "going over your head" will most likely create one of
  710. two results:
  711.  
  712.         1- the system will be shut down, as no one wants to be in such a
  713.                 mess, or,
  714.         2- some obscure set of conditions where the sysop erred will be
  715.                 found and he will be appropriately wrist-slapped -- with
  716.                 that example serving to draw the line at what is
  717.                 appropriate and what is inappropriate behavior.
  718.  
  719. Without knowing anything about the particulars, I suspect that (1) is the
  720. most likely candidate.
  721.  
  722. ------------------------------
  723.  
  724. Date: Mon, 30 May 1994 18:04:50 -0500 (CDT)
  725. From: tlawless@WHALE.ST.USM.EDU(Timothy Mark Lawless)
  726. Subject: File 8--Is there an MIT/NSA link-up for PGP 2.6? Some Info
  727.  
  728. For the past week our Unix machine has been down (Might have gotten
  729. some mail bounces) because of a security violation. Durring that week
  730. i re-discovered bbs's. One peice of info i found (And also got the
  731. authors's permission to reprint (At the end) relevent to pgp I thought
  732. i would pass on.
  733.  
  734. D Area: CypherMail DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD
  735.   Msg#: 19                                           Date: 05-24-94  19:47
  736.   From: Leland Ray                                   Read: Yes    Replied: No
  737.     To: All                                          Mark:
  738.   Subj: More on PGP 2.5 & 2.6
  739. DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD
  740. -----BEGIN PGP SIGNED MESSAGE-----
  741.  
  742. The following is the complete, unedited plaintext of a message I
  743. received via CompuServe from Christopher W. Geib, a software developer
  744. who spent several years as a military intelligence officer.  Chris has
  745. written a very fine Windows interface for PGP which I'll be uploading
  746. as soon as I get the newest release (with Chris's permission, of
  747. course).  I trust his judgment on this one.
  748.  
  749.  ~~~ =====(Begin plaintext)=====
  750.  
  751. Leland,
  752.  
  753. I sent this to Mich Kabay of the NCSA Forum.  Thought you might find it of
  754. interest. Note that 2.5 is also a MIT/NSA concoction.
  755.  
  756. Chris
  757. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  758.  
  759. Mich,
  760.  
  761. As I reflected on more and more on this posting, it occurred to me
  762. that I was smelling a rat.  The NCSA Forum members and others who
  763. visit here should give thought to this issue.  A puzzle of sorts seems
  764. to be developing regarding PGP in general, and private possession of
  765. crypto in particular.  Let me provide some pieces to this puzzle, and
  766. perhaps you and others may begin to see the bigger picture that seems
  767. to be unfolding.
  768.  
  769. Piece #1:  As you may already know, MIT is the single largest ($'s)
  770. outside contractor to the NSA.
  771.  
  772. Piece #2:  MIT is frustrated they feel that they have been somehow
  773. cheated financially by the proliferation of PGP 2.3a as freeware. (I
  774. still think that is insane as RSA was developed using public funding)
  775.  
  776. Piece #3:  NSA is frustrated because of the apparent strength of the
  777. imported Idea(tm) cipher.
  778.  
  779. Piece #4:  NSA is pushing the Clipper crypto technology so that Big
  780. Brother can have a free and easy backdoor to violate the privacy of
  781. Americans.  Note too, that Clipper technology was assisted along by
  782. MIT.
  783.  
  784. Piece #5:  PGP 2.6 will *not* be compatible with 2.3a after Sept 1994
  785. for 2-way encryption.  This accomplishes reduced international secure
  786. traffic by private individuals and businesses.  This is exactly the
  787. same problem that Clipper has.
  788.  
  789. Have you begun to see the big Puzzle Palace picture yet?  Unless my
  790. eyes deceive me, I would say this, MIT and NSA have teamed up together
  791. on PGP 2.6!  This version, until proven otherwise (through examination
  792. of the source code, etc.), is likely to contain a backdoor big enough
  793. to drive a Mack truck through it.  The back door is likely similar to
  794. Clipper and for the same intent.  Given how much flak NSA has gotten
  795. over Clipper, NSA will very likely stay very mum about the whole
  796. issue.  The big winners are NSA and MIT.  They both get exactly what
  797. each has wanted all along.  MIT gets royalties they think they
  798. deserve, NSA gets what they intend to have anyway, a means to continue
  799. listening into citizens private conversations.  NSA also wins on the
  800. international front by reducing it's workload of analyzing
  801. international encrypted traffic.  Business and the citizens lose
  802. because it isolates the US from Europe and the international
  803. marketplace.
  804.  
  805. I strongly recommend that anyone who acquires PGP 2.6 do so with a
  806. jaundiced eye.  Until the private sector can review, and analyze this
  807. new MIT/NSA system, one *must* assume that it is as if it contained a
  808. virus, one you may never know it has.  I for one will continue with
  809. the present version as it's inventors have no reason to capture
  810. private communications.
  811.  
  812. If you think appropriate, please upload to Internet Risks with my
  813. blessings.
  814.  
  815. Respectfully,
  816.  
  817. Christopher W. Geib
  818.  
  819.  ~~~ =====(End of plaintext)=====
  820.  
  821. So you decide, guys.  Is it worth the risk?  Again, just some
  822. thoughts, but remember this:  if you go to either ver. 2.5 or 2.6,
  823. you'll probably have to revoke your ver. 2.3 keys and start afresh
  824. with new ones, which might not be secure in the first place.
  825.  
  826. LR
  827.  
  828. ... If the Pope's phones weren't secure, PGP would be a sacrament.
  829.  
  830. ((Post obtaining reprint permission deleted))
  831.  
  832. ------------------------------
  833.  
  834. End of Computer Underground Digest #6.49
  835. ************************************
  836.  
  837.  
  838.