home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / cud / cud949.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  37.0 KB  |  786 lines
  1.  
  2. Computer underground Digest    Tue  June 24, 1997   Volume 9 : Issue 49
  3.                            ISSN  1004-042X
  4.  
  5.        Editor: Jim Thomas (cudigest@sun.soci.niu.edu)
  6.        News Editor: Gordon Meyer (gmeyer@sun.soci.niu.edu)
  7.        Archivist: Brendan Kehoe
  8.        Shadow Master: Stanton McCandlish
  9.        Shadow-Archivists: Dan Carosone / Paul Southworth
  10.                           Ralph Sims / Jyrki Kuoppala
  11.                           Ian Dickinson
  12.        Field Agent Extraordinaire:   David Smith
  13.        Cu Digest Homepage: http://www.soci.niu.edu/~cudigest
  14.  
  15. CONTENTS, #9.49 (Tue, June 24, 1997)
  16.  
  17. File 1--Senate Votes to Block Bomb-Making Info
  18. File 2--PGP: Breaking the Crypto Barrier
  19. File 3--ACLU Cyber-Liberties Update, June 19, 1997
  20. File 4--Notes from the Underground: 2 interviews with Se7en
  21. File 5--Cu Digest Header Info (unchanged since 7 May, 1997)
  22.  
  23. CuD ADMINISTRATIVE, EDITORIAL, AND SUBSCRIPTION INFORMATION APPEARS IN
  24. THE CONCLUDING FILE AT THE END OF EACH ISSUE.
  25.  
  26. ---------------------------------------------------------------------
  27.  
  28. Date: Fri, 20 Jun 1997 16:13:32 -0400 (EDT)
  29. From: Thomas Grant Edwards <tedwards@Glue.umd.edu>
  30. To: fight-censorship@vorlon.mit.edu
  31. Subject: File 1--Senate Votes to Block Bomb-Making Info
  32.  
  33. From WIRED news www.wired.com:
  34.  
  35.        Senate Votes to Block Bomb-Making Info
  36.            by Rebecca Vesely
  37.  
  38.            12:09pm  20.Jun.97.PDT The Senate has voted 94-0 to tack onto a
  39.            Defense Department spending bill an amendment that would
  40.            prohibit the distribution of bomb-making instructions in the United
  41.            States.
  42.  
  43.            Although the word "Internet" is not mentioned in the four-page
  44.            amendment, the legislation would outlaw Web sites, newspapers,
  45.            zines, and books that publish instructions on how to make a
  46.            bomb - such as The Anarchist's Cookbook and The Terrorist
  47.            Handbook. Violators would face fines and prison sentences of
  48.            up to 20 years.
  49.  
  50.            Sponsored by Senator Dianne Feinstein (D-California), who has
  51.            been trying to get the legislation on the books since 1995, the
  52.            amendment passed Thursday is narrowly written to include only
  53.            the distribution of material that has an "intent to harm."
  54.  
  55. ...
  56. [see the rest at www.wired.com]
  57.  
  58. ------------------------------
  59.  
  60. Date: Fri, 20 Jun 1997 12:53:37 -0800
  61. From: "--Todd Lappin-->" <telstar@wired.com>
  62. Subject: File 2--PGP: Breaking the Crypto Barrier
  63.  
  64. Source - fight-censorship@vorlon.mit.edu
  65.  
  66. An interesting wrinkle to this story...
  67.  
  68. Last Wednesday, during the Bernstein hearing here in SF, a debate took
  69. place between  the DoJ's lawyer and Judge Patel regarding the "publication"
  70. of source code in printed form vs. electronic form.  The DoJ lawyer argued
  71. that the printed code was not considered much of a threat, because it is a
  72. laborious and time-consuming process to compile the code into software.
  73.  
  74. The irony, of course, is that even as he was speaking to Judge Patel, the
  75. source code to PGP 5.0 was being scanned into computers in Holland.
  76.  
  77. --Todd-->
  78.  
  79.  
  80. From Wired News: www.wired.com
  81.  
  82. Breaking the Crypto Barrier
  83. by Chris Oakes
  84.  
  85. 5:03am  20.Jun.97.PDT
  86.  
  87. Amid a striking convergence of events bearing on
  88. US encryption policy this week, one development underlined what many see
  89. as the futility of the Clinton administration's continuing effort to
  90. block the export of strong encryption: The nearly instantaneous movement
  91. of PGP's 128-bit software from its authorized home on a Web server at
  92. MIT to at least one unauthorized server in Europe.
  93.  
  94. Shortly after Pretty Good Privacy's PGP 5.0 freeware was made available
  95. at MIT on Monday, the university's network manager, Jeffrey Schiller,
  96. says he read on Usenet that the software had already been transmitted to
  97. a foreign FTP server. Ban or no ban, someone on the Net had effected the
  98. instant export of a very strong piece of code. On Wednesday, Wired News
  99. FTP'd the software from a Dutch server, just like anyone with a
  100. connection could have.
  101.  
  102. A Commerce Department spokesman said his office was unaware of the
  103. breach.
  104.  
  105. The event neatly coincided with the appearance of a new Senate bill that
  106. seeks to codify the administration's crypto policy, and an announcement
  107. Wednesday that an academic/corporate team had succeeded in breaking the
  108. government's standard 56-bit code.
  109.  
  110. The software's quick, unauthorized spread to foreign users might have an
  111. unexpected effect on US law, legal sources noted.
  112.  
  113. "If [Phil] Zimmermann's [original PGP] software hadn't gotten out on the
  114. Internet and been distributed worldwide, unquestionably we wouldn't have
  115. strong encryption today," said lawyer Charles Merrill, who chairs his
  116. firm's computer and high-tech law-practice group. Actions like the PGP
  117. leak, he speculated, may further the legal flow of such software across
  118. international borders.
  119.  
  120. Said Robert Kohn, PGP vice president and general counsel: "We're
  121. optimistic that no longer will PGP or companies like us have to do
  122. anything special to export encryption products."
  123.  
  124. The Web release merely sped up a process already taking place using a
  125. paper copy of the PGP 5.0 source code and a scanner - reflecting the
  126. fact it is legal to export printed versions of encryption code.
  127.  
  128. On Wednesday, the operator of the International PGP Home Page announced
  129. that he had gotten his hands on the 6,000-plus-page source code, had
  130. begun scanning it, and that a newly compiled version of the software
  131. will be available in a few months.
  132.  
  133. Norwegian Stale Schumaker, who maintains the site, said several people
  134. emailed and uploaded copies of the program to an anonymous FTP server he
  135. maintains. But he said he deleted the files as soon as he was aware of
  136. them, because he wants to "produce a version that is 100 percent legal"
  137. by scanning the printed code.
  138.  
  139. The paper copy came from a California publisher of technical manuals and
  140. was printed with the cooperation of PGP Inc. and its founder, Phil
  141. Zimmermann. Schumaker says he does not know who mailed his copy.
  142.  
  143. "The reason why we publish the source code is to encourage peer review,"
  144. said PGP's Kohn, "so independent cryptographers can tell other people
  145. that there are no back doors and that it is truly strong encryption."
  146.  
  147. Schumaker says his intentions are farther-reaching.
  148.  
  149. "We are a handful of activists who would like to see PGP spread to the
  150. whole world," his site reads, alongside pictures of Schumaker readying
  151. pages for scanning. "You're not allowed to download the program from
  152. MIT's Web server because of the archaic laws in the US. That's why we
  153. exported the source-code books."
  154.  
  155. Copyright  1993-97 Wired Ventures, Inc. and affiliated companies.
  156. All rights reserved.
  157.  
  158. ------------------------------
  159.  
  160. Date: Thu, 19 Jun 1997 21:33:35 GMT
  161. From: "ACLU Cyber-Liberties Update Owner"@newmedium.com
  162. Subject: File 3--ACLU Cyber-Liberties Update, June 19, 1997
  163.  
  164. Setback in Efforts to Secure Online Privacy
  165.  
  166.      FOR IMMEDIATE RELEASE
  167.      Thursday, June 19, 1997
  168.  
  169. WASHINGTON -- A Senate committee today setback legislative efforts to
  170. secure online privacy, approving legislation that would restrict the right
  171. of businesses and individuals both to use encryption domestically and to
  172. export it.
  173.  
  174.      On a voice vote, the Senate Commerce Committee adopted legislation that
  175. essentially reflects the Clinton Administration's anti-encryption policies.
  176.  
  177.      The legislation approved today on a voice vote by the Senate Commerce
  178. Committee was introduced this week by Senate Commerce Committee Chairman
  179. John McCain, Republican of Arizona, and co-sponsored by Democrats Fritz
  180. Hollings of South Carolina; Robert Kerry of Nebraska and John Kerry of
  181. Massachusetts.
  182.  
  183.      Encryption programs scramble information so that it can only be read
  184. with a "key" -- a code the recipient uses to unlock the scrambled
  185. electronic data.  Programs that use more than 40 bits of data to encode
  186. information are considered "strong" encryption. Currently, unless these
  187. keys are made available to the government, the Clinton Administration bans
  188. export of hardware or software containing strong encryption, treating
  189. these products as "munitions."
  190.  
  191.      Privacy advocates continue to criticize the Administration's
  192. stance, saying that the anti-cryptography ban has considerably
  193. weakened U.S. participation in the global marketplace, in addition
  194. to curtailing freedom of speech by denying users the right to "speak"
  195. using encryption. The ban also violates the right to privacy by
  196. limiting the ability to protect sensitive information in the new
  197. computerized world.
  198.  
  199.      Today's committee action knocked out of consideration the so-called
  200. "Pro-CODE" legislation, a pro-encryption bill introduced by Senator
  201. Conrad Burns, Republican of Montana. Although the Burns legislation
  202. raised some civil liberties concerns, it would have lifted export
  203. controls on encryption programs and generally protected individual
  204. privacy.
  205.  
  206.      "Privacy, anonymity and security in the digital world depend on
  207. encryption," said Donald Haines, legislative counsel on privacy and
  208. cyberspace issues for the ACLU's Washington National Office. "The aim
  209. of the Pro-CODE bill was to allow U.S. companies to compete with
  210. industries abroad and lift restrictions on the fundamental right to
  211. free speech, the hallmark of American democracy."
  212.  
  213.      "Sadly, no one on the Commerce Committee, not even Senator Burns,
  214. stood up and defended the pro-privacy, pro-encryption effort," Haines
  215. added.
  216.  
  217.      In the House, however, strong encryption legislation that would add
  218. new privacy protections for millions of Internet users in this country and
  219. around the world has been approved by two subcommittees.
  220.  
  221.      The legislation -- H.R. 695, the "Security and Freedom Through
  222. Encryption Act" or SAFE -- would make stronger encryption products
  223. available to American citizens and users of the Internet around the
  224. world. It was introduced by Representative Robert W. Goodlatte, Republican
  225. of Virginia.
  226.  
  227.      "We continue to work toward the goal of protecting the privacy of all
  228. Internet users by overturning the Clinton Administration's unreasonable
  229. encryption policy," Haines concluded
  230.  
  231.  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  232.  
  233. ACLU Cyber-Liberties Update Editor:
  234. Lisa Kamm (kamml@aclu.org)
  235. American Civil Liberties Union National Office
  236. 125 Broad Street
  237. New York, New York 10004
  238.  
  239. To subscribe to the ACLU Cyber-Liberties Update, send a message
  240. to majordomo@aclu.org with "subscribe Cyber-Liberties" in the
  241. body of your message. To terminate your subscription, send a
  242. message to majordomo@aclu.org with "unsubscribe Cyber-Liberties"
  243. in the body.
  244.  
  245. ------------------------------
  246.  
  247. Date: Sun, 22 Jun 1997 19:30:57
  248. From: Richard Thieme <rthieme@THIEMEWORKS.COM>
  249. Subject: File 4--Notes from the Underground: 2 interviews with Se7en
  250.  
  251. NOTES FROM UNDERGROUND
  252.  
  253.                  AN INTERVIEW WITH SE7EN BY RICHARD THIEME
  254.  
  255.  
  256.  
  257. At DefCon IV, the annual hackers' convention in Las Vegas this
  258. July, they called him "se7en." He's twenty-eight years old, an
  259. old man of the hacker scene, and he has just "come out" into the
  260. public eye after seventeen years underground. It's the second day
  261. of DefCon and Se7en has already given more than a dozen
  262. interviews to television crews. The attention is wearing him
  263. down.
  264.      "Don't call me se7en," he said as we entered Spago's, an
  265. upscale restaurant in Caesar's Palace for dinner. "I don't want
  266. to be hassled."
  267.      "What should we call you?" I said. "Nine?"
  268.      Before he could answer, a young waiter approached our table.
  269.      "Good evening. Are you all here for a convention?
  270.      Yes, we said, opening our menus.
  271.      The waiter leaned closer and said in a conspiratorial
  272. whisper, "I understand the elevators at the Tropicana [site of
  273. DefCon III] still don't stop at the right floor. The blueprints
  274. for the Monte Carlo [this year's hotel] disappeared two weeks
  275. ago. The management is in a panic."
  276.      So much for anonymity.
  277.      Waiters, taxi drivers, desk clerks -- everybody in Vegas
  278. knew DefCon was back in town.
  279.  
  280.      Why did se7en come out? Why did he leave the hacker
  281. underground and tunnel up at the age of twenty-eight into the
  282. bright lights of camera crews, the blank pitiless glare of the
  283. desert sun?
  284.  
  285. "I'd been playing around with the idea of retiring for a long
  286. time. I wanted to come out before I retired. There are a lot of
  287. things I want to say, a lot of people I want to know -- I didn't
  288. have a game plan, exactly, but I wanted to be above ground for
  289. six months before I dropped out. At DefCon I wanted to meet a lot
  290. of people whose email addresses I had seen for years."
  291.  
  292. ? Does it weigh on you, being underground?
  293.  
  294. "It does, yes. It's very isolating. You don't quite know what
  295. else is going on out there, you feel like you're in your own
  296. little world, and as your world starts to fall apart, as mine did
  297. -- people going above ground, people retiring -- my world was
  298. getting a lot smaller. We needed new talent, more than the little
  299. group we had left, and I was getting older. I wanted to mentor
  300. some of the younger hackers. Help them the way others helped me."
  301.  
  302. [In the world of hacking, a generation lasts about a decade. Many
  303. hackers go on to work as computer professionals in security,
  304. intelligence, or business. Participating whole-heartedly in the
  305. community of hackers, with its rigorous code of ethics, networks
  306. of mentors, and accumulated expertise, is often the only way to
  307. learn what no school knows how to teach.]
  308.  
  309. "There's a lot to be learned from people, not just in the hacking
  310. underground, but life in general. In respect to the technology
  311. and the knowledge I had, it was limiting to relate to so few
  312. people. There were new things to learn, new perspectives - so
  313. much to get being out there and I was missing that. It was
  314. isolating."
  315.  
  316. ? How old were you when you got into computers?
  317.  
  318. "I was eleven when I got my first computer, a TRS-80. Seventeen
  319. years ago. First thing I did was play games. Remember, this was
  320. new to the entire world, and all you could do was play games at
  321. that point. I had no interest in programming then. The computer
  322. was a fancy expensive toy. It wasn't something to use to balance
  323. your checkbook or use as a communications device."
  324.  
  325. ? When did you become aware of communications as a possibility?
  326.  
  327. "About 1982, using an Apple IIe. I heard of modems, that you
  328. could use them to call up other computers and talk to them. That
  329. was exciting.
  330.  
  331. I was into game cracking before bulletin boards. We were messing
  332. around with Apples with machine language, just screwing around
  333. with very little knowledge of what we were doing. We cracked our
  334. first game by accident. We started playing with different call
  335. registers, and next thing we knew, we had something. Copy
  336. protection was very simple then so it was not very impressive as
  337. a technical feat but when you're eleven years old and you cracked
  338. your first game and it was an accident on top of that ..."
  339.  
  340. ? It was a power rush, wasn't it?
  341.  
  342. "That's what it was. A power rush.
  343.  
  344. There was a big apple computer store that opened then in my home
  345. town. It was mom-and-pop store, not a franchise or a chain. They
  346. hosted Apple clubs. One group talked about new hardware, another
  347. about software, arguing about language and coding, then there was
  348. a little circle of warez kiddies copying games they had cracked.
  349. We were a precursor to hacking groups, phreaking groups, 2600,
  350.  
  351. No one thought of it as crime then. It was a new technology that
  352. was like a great big toy. The difference between cracking games,
  353. cracking programs and cracking systems was very little. They were
  354. all part of a big complex puzzle we wanted to solve. It was just
  355. a question of how big a chunk of the puzzle did you want to
  356. tackle? We wanted to break games, that's what was interesting to
  357. us then, Engineers wanted to break the whole system. They wanted
  358. to know everything about it. These were people that by every
  359. definition of the word were hackers. They never called themselves
  360. that, but they were going to get into that system, no matter
  361. what.
  362.  
  363. The words that are feared today -- crackers, phreakers -- were
  364. never brought up in the press back then. The TRS-80. the apple
  365. IIe was still brand new to the world. Very few people had them,.
  366. It was not like Nintendo today where everybody gets one. They
  367. were expensive game machines. They were new and people didn't
  368. know quite what to make of them. The only people who really knew
  369. them were people who used them at work."
  370.  
  371. ? When did you become conscious of yourself as a hacker or
  372. phreaker?
  373.  
  374. "Not for many years. I had my own group of friends through
  375. bulletin boards or school, we were just doing our own thing. We
  376. never thought of ourselves as hackers or crackers or a conspiracy
  377. or the underground or trying to be elite. We thought of ourselves
  378. as friends. We kept to ourselves and didn't cause trouble. We
  379. never consciously thought of ourselves as hackers or crackers but
  380. in retrospect we fit the definition. We were our own little mini-
  381. software piracy ring. No one ever questioned photocopying
  382. something - obviously not defense secrets or corporate secrets,
  383. of course. But what we meant by "information wants to be free"
  384. is, we would email it to ourselves or send a friend a disk. In
  385. seventeen years of hacking I never made a cent until I made a
  386. speech this week."
  387.  
  388. ? What kinds of speaking are you doing?
  389.  
  390. "I define the various types and sub-types that the media labels
  391. hacker, cracker or phreaker. I describe the types of people in
  392. each group, their motivations, how they differ from one another,
  393. their ideologies."
  394.  
  395. ? Do you discuss technique?
  396.  
  397. "No, these [his recent talk was for engineers in a space program]
  398. are UNIX-heads. They know UNIX is inherently weak. One joke I
  399. heard when I came in was, "UNIX and security are an oxymoron."
  400. That made me feel good, because I knew I was talking to people
  401. who knew that you can't fix security in UNIX. The public is
  402. screaming, "Oh my god, hackers are getting in, they need to fix
  403. security," but they're clueless! UNIX is insecure, period. End of
  404. story.
  405.  
  406. The engineers' concerns about security were twofold: (1) Their
  407. approach to security has been to be as obscure as possible. They
  408. wanted to be invisible. They had very few problems because their
  409. systems aren't even on the books. At this point, they don't
  410. exist. Now their program is about to get a lot of press and they
  411. will no longer enjoy obscurity, so they want to tighten their
  412. system up as much as possible. They know that some people will
  413. still get in, but if people are going to get in, it will only be
  414. people who are talented enough to do it. Not someone who
  415. accidentally got in or used a simple hole to get in. (2) When
  416. they do catch a person inside the system, how do they know what
  417. their intention is? The biggest fear of hackers and crackers
  418. everywhere is, what is their intention? You find one, you don't
  419. know what the hell they're doing and that scares the hell out of
  420. you.
  421.  
  422. They felt a lot more comfortable after I told them the basic
  423. types of hackers. Now, they see someone in their system, they're
  424. more likely after a few minutes of tracking them to know who they
  425. are, what they're after, whether to worry about them or not.
  426.  
  427. You can usually tell what a hacker's after from what they do when
  428. they get in. They start to look for directories like "nuke" and
  429. "secret" that might be a problem. But then again it might not.
  430. These guys knew the concept of "trophy-grabbing." There might be
  431. a kid who downloads the plans for a Stealth fighter to his
  432. computer and puts them on a diskette and throws it up on the
  433. wall. 'Hey, I got a trophy!' He isn't going to sell it to a spy.
  434. He wouldn't know who to sell it to if his life depended on it. To
  435. him, it's just, 'Hey, I got a copy of a stealth fighter sitting
  436. on my bookshelf!'"
  437.  
  438. se7en was a well-known phreaker who knew his way around the
  439. telephone system. I asked how he got into phreaking.
  440.  
  441. "My introduction to phreaking was being taken around by someone a
  442. few years older than me who said, hey, we're going to go dig in
  443. the trash of the telephone company. I was like, well what the
  444. hell for? He goes, 'Trust me. This will blow your mind.' Well, it
  445. did, it blew my mind for the next ten years.
  446.  
  447. We went through the trash, and in my eyes, all we had was a bunch
  448. of paper. I was not impressed. But he was sorting them and
  449. saying, OK, these are good, these are bad, these are good. He was
  450. trying to get me interested in something I saw no interest in. I
  451. was young,. I was about fifteen years old. To me it was basically
  452. worthless, looking at a hunch of food and trash, and it wasn't
  453. until I went over to the guy's house the next night, and he says,
  454. remember these five or six pieces of paper I grabbed? He fires it
  455. up and boom! there we are, we're in the phone company. 'We're in
  456. the phone company?' Yeah, he said. I can do anything I want in
  457. here. He had found a dialup. He already knew quite a bit about
  458. the phone system. But he warned me, Don't be one of those punks
  459. or lusers that makes free phone calls. Learn how it works. Be one
  460. of the people who learns how it works.
  461.  
  462. That was our goal: to understand how things work.
  463.  
  464. The things we did used to be considered normal teenage behavior,
  465. remember, teenage pranks, Now it's a felony. Now you're part of a
  466. conspiracy. It's more complex today.
  467.  
  468. Even if they don't send you to jail, they'll confiscate your
  469. equipment. They like to scare the hell out of you. You become an
  470. annoyance, they'll take your computers and you'll never get them
  471. back, no matter what you do. That's pretty good for knocking a
  472. lot of kids out. But it can have the opposite effect. Some people
  473. like the Legion of Doom or the other hackers that have gotten
  474. busted, the government did that to shut them up, but they all
  475. came back and they came back angry. The last thing the government
  476. needs is someone they don't understand coming back with an
  477. agenda.
  478.  
  479. There were a lot of great discoveries through the years, but for
  480. me, the greatest was how I grew in knowledge and power in my own
  481. eyes. The giant telephone company and many of the all-knowing
  482. corporations really had very little clue as to what they were
  483. doing. The government, the all-powerful government -- starting
  484. wars, controlling your life -- did not have a clue as to what a
  485. computer is or what it can do.
  486.  
  487. The realization that all these people that as a kid you're told
  488. to respect and fear, in a lot of ways you have it more together
  489. and are a lot smarter than many of these people....
  490.  
  491. It's a power rush, that's what it is. You find out there's
  492. absolutely nothing special about these people. Here you are, some
  493. little fifteen or sixteen year old kid, you can do things that
  494. the phone company can't even do, or the government can't even do.
  495. The phone company doesn't even know what you're talking about
  496. when you tell them something you've been doing for years. That's
  497. the greatest discovery.
  498.  
  499. ? Today the real power belongs to people who have knowledge, who
  500. know how to do things. The others are hiding behind an illusion
  501. of power? Behind smoke and mirrors?
  502.  
  503. Exactly.
  504.  
  505. (c) Richard Thieme 1997. All Rights reserved
  506.  
  507.  
  508.  
  509.  
  510. Se7en: The Sequel
  511.  
  512.                               Richard Thieme
  513.  
  514.      Se7en is out in the light and air now, up from seventeen
  515. years underground. He's one of the new variety of human being --
  516. homo sapiens hackii -- who has learned from working with
  517. computers at every level, from code language to point-and-click,
  518. to think in ways that fit how computers organize information.
  519.      Se7en is on the road now, delivering seminars to technicians
  520. about hackers -- how they think, how they behave. He works with
  521. organizations that are favorite targets of hackers because of
  522. their work or status.
  523.      He speaks to groups of 30-50 people at a time, cross-
  524. disciplinary groups consisting of engineers, security personnel,
  525. administrators -- people who deal with the Internet on a daily
  526. basis. Naturally, they're concerned about security.
  527.      On his first round of talks, he discussed basic security,
  528. making his clients aware of what's out there. He helped them
  529. distinguish hackers in search of trophies from thieves working
  530. for governments and businesses.
  531.      On his second round of seminars, Se7en is focused on the
  532. details of security, the technical end. The technicians are set
  533. up in networks and shown how to scan their own services,
  534. searching their networks for security holes.
  535.      "Basically we set up our own network of fifteen machines and
  536. taught them how to break root, showing them how easy it was with
  537. UNIX. It was important for them to get hands on experience, get
  538. the feel of it. We showed them how to grab a password file and
  539. run it through Crack. We introduced them to SYN flooding and
  540. explained the concept behind it. We showed them some of the
  541. scripts that are NOT available out there. We didn't launch an
  542. attack, because that would have been lethal, but we got them to
  543. the point from which they could launch it."
  544.      They set up encrypted Internet sessions and ran them through
  545. the whole gamut of hacker behaviors. It was all hands-on,
  546. technical training.
  547.  
  548.      The engineers are learning a lot. They return to work more
  549. capable of securing their systems and also better equipped to
  550. talk to the managers who make decisions.
  551.      Se7en believes as a result of his experience on the road
  552. that the hands-on technical people who work on the front lines of
  553. the Internet and understand it are seldom promoted into
  554. management positions where decisions are made. So managers often
  555. lack experience on the front lines. Because they don't deal with
  556. the issues on a day to day basis, they often don't understand the
  557. problems brought to them. Ironically that makes them hesitant to
  558. promote technical experts into management positions. They would
  559. leave no one to fix things when they break.
  560.  
  561.      Se7en is seeing similar problems at all of the places he
  562. visits. Most come from outsiders scanning the system, port-
  563. sniffing, testing for vulnerabilities. It's a big inconvenience.
  564. The systems operated by multi-national corporations or government
  565. organizations are immense, incorporating numerous protocols and
  566. computers. They're too complicated for fledgling hackers to
  567. penetrate as a rule. Even more experienced ones have trouble
  568. getting in. That means that the ones who do break through are
  569. seriously talented hackers. The ones to watch are the ones you
  570. never hear about.
  571.  
  572.      Se7en thinks hackers in the "visible underground" make an
  573. essential contribution to computing. He laughed at some of the
  574. conversation among technicians about firewalls, because he knows
  575. that systems always have holes.
  576.      Hacking organizations such as the LOpht, TNo, and the Guild
  577. (the current publishers of Phrack Magazine) release UNIX security
  578. vulnerability scripts to the public all the time. Their research
  579. into SecurID's (a one-time password hardware product) and most
  580. recently, the SYN flooder script, have been devastating. Now
  581. they're looking into Windows NT. They promise results.
  582.      These genuinely "elite" groups have friendly script wars
  583. with one another. They compete to see who can release the most
  584. scripts the fastest. The LOpht in particular has promised to put
  585. out five new vulnerability scripts per week. They accumulate
  586. scripts, waiting until they have about a dozen, then drop them in
  587. one big bombshell.
  588.      Companies like Microsoft know, of course, that there are
  589. numerous holes in their operating systems, but don't know what
  590. they are. As applications are developed, working versions are
  591. periodically compiled for testers. The testers try to find as
  592. many bugs as they can, but the testing environment can never
  593. reveal the problems that will be found in the real world. A
  594. million people using Windows NT for a year will turn up bugs that
  595. a controlled environment will never find.
  596.      Mainstream hackers keep the global network as clean and
  597. secure as it can be kept. It's a yin yang kind of thing.
  598.      If hackers didn't know that and wanted to keep
  599. vulnerabilities from the companies themselves, they wouldn't
  600. release scripts publically through so many different loops.
  601.      When the Guild discovered the SYN flood exploit and wrote
  602. the corresponding script for it, for example, they published it
  603. in Phrack, on the Internet, and in other magazines. That's not
  604. something a hacker would do if he's looking for a way to exploit
  605. the vulnerability.
  606.      The Network, then, including the Internet, is the REAL
  607. testing environment, and that's where groups like the LOpht are
  608. performing a valuable service. Either the holes will be found by
  609. groups looking for them and making them public or they'll be
  610. found by more dangerous crackers working behind the scenes.
  611.      Hard core crackers, engaging in serious crime and espionage,
  612. will not publish articles in 2600 or Phrack. That's why, Se7en
  613. says, you never hear of the people who do hard crime. When
  614. someone is forced to the surface, he says, it's always someone
  615. the underground has never heard of before. After years in the
  616. business, he knows the rosters as well as anyone.
  617.  
  618.      Se7en described an intrusion of a particular server in
  619. detail, then went on to discuss the organizational response. He
  620. was not surprised when they responded the way Se7en and his
  621. friends responded when someone tried to mailbomb their list.
  622.      The organization asked them politely to stop their annoying
  623. activity, and when they didn't, they cut them off.
  624.      The best way to respond to nuisance intrusions is the
  625. legitimate way. Try to reason with the intruders, then talk to
  626. the systems administrators in charge of the computers they're
  627. using. Most often, the sysadmins don't know what's going on, and
  628. once they find out, they shut them down.
  629.  
  630.      Se7en lived and worked in South Africa when he was younger
  631. and thinks the "official" (i.e. non-governmental) hacking scene
  632. is just coming alive.
  633.      South Africans have not generally had wide access to the
  634. Internet or hacking publications,  Now everyone has access to
  635. hacker web sites, but Se7en thinks most of those are a waste of
  636. time -- links to other sites, doctrinal positioning, and a lot of
  637. old warez for "warez puppies" to download and use without
  638. creativity or insight. Contrary to the image of hackers as anti-
  639. social, Se7en is keenly aware of the social systems that keep the
  640. flow of information free and open -- frequent hacking
  641. conventions, mailing lists, magazines, and the vast informal
  642. network of contacts.
  643.      Some of the resources on the Net are useful, but the good
  644. ones are harder and harder to find. Se7en finds five or six
  645. useful web sites or mailing lists in a year, and he has to wade
  646. through a lot of garbage to get there.
  647.      But that's no different, he acknowledges, than the hours he
  648. spent sifting through trash in rubbish bins.
  649.      Persistence! he says, sounding like an experienced
  650. businessman. "Honestly, that's what it takes: Persistence. Doing
  651. it weekend after weekend after weekend, every Sunday night, going
  652. through the trash knowing that if you miss a week, that's the
  653. week when all the dial-ins for the switches are thrown away.
  654. Eventually you'll find some gold that you can use. The same thing
  655. goes for web searches. You have to wade through tons of garbage,
  656. but if you're persistent and just keep at it and at it and at it,
  657. eventually you'll find little gold nuggets here and there."
  658.      He has been impressed with the increasing number of South
  659. Africans interfacing with the mailing lists. They're connecting
  660. with people who have been hacking ten or fifteen years, he
  661. cautions. Naturally, with only one or two years experience, they
  662. have a lot of questions. He understands where they are -- he
  663. remembers being there himself -- but has some advice for those
  664. who encounter flames when they ask too many questions or the
  665. wrong ones.
  666.      Basic netiquette requires that you research thoroughly
  667. everything you can before you ask questions. RTFM. Read the
  668. fucking manual. Learn everything you can FIRST, and only when
  669. you're stuck, ask a question. Do your best to answer it yourself
  670. before putting it on a mailing list going to fifteen hundred
  671. people. Don't expect others to do your homework. Tell the list
  672. you tried to find the answer and couldn't. Don't just go out
  673. there saying, where can I find this or that? That's a sure way to
  674. get flamed.
  675.  
  676.      In the end, it comes down to people, not technology.
  677.      Ultimately, Se7en says with a laugh, computer security is a
  678. hopeless pursuit. The Internet is just too big, too complicated,
  679. too specialized, for every system to be secure. Security is
  680. inconvenient, and inconvenience makes people uncomfortable.  It's
  681. always a trade off between convenience and security. The moment
  682. you allow legitimate users onto a site from outside the system,
  683. you're doomed. All someone has to do is duplicate what that
  684. legitimate user is allowed to do.
  685.      The weakest link in any chain is and always has been people.
  686.      "You can have the most secure system in the world, and if I
  687. call up and pretend to be from the help desk and ask for your
  688. log-in password, and you give it to me, then the best security in
  689. the world won't help you. "If you don't know anything about
  690. computers, and don't know that the System Administrator never
  691. needs to know your password, how can you know if someone's
  692. conning you?"
  693.      It comes down, Se7en says, to awareness and accountability -
  694. - managers who understand the real issues and insist on
  695. accountability throughout the system for knowledge about the
  696. network and procedures that must be followed. Without that, all
  697. it takes is a little "social engineering" and the most expensive
  698. firewall won't mean a thing.
  699.  
  700.  
  701. Richard Thieme
  702.  
  703.                               ThiemeWorks ... professional speaking and
  704.                                               business consulting:
  705. ThiemeWorks
  706. P. O. Box 17737                        the impact of computer technology
  707. Milwaukee Wisconsin                    on people in organizations:
  708. 53217-0737                             helping people stay flexible
  709. voice: 414.351.2321                          and effective
  710.                                        during times of accelerated change.
  711.  
  712. ------------------------------
  713.  
  714. Date: Thu, 7 May 1997 22:51:01 CST
  715. From: CuD Moderators <cudigest@sun.soci.niu.edu>
  716. Subject: File 5--Cu Digest Header Info (unchanged since 7 May, 1997)
  717.  
  718. Cu-Digest is a weekly electronic journal/newsletter. Subscriptions are
  719. available at no cost electronically.
  720.  
  721. CuD is available as a Usenet newsgroup: comp.society.cu-digest
  722.  
  723. Or, to subscribe, send post with this in the "Subject:: line:
  724.  
  725.      SUBSCRIBE CU-DIGEST
  726. Send the message to:   cu-digest-request@weber.ucsd.edu
  727.  
  728. DO NOT SEND SUBSCRIPTIONS TO THE MODERATORS.
  729.  
  730. The editors may be contacted by voice (815-753-6436), fax (815-753-6302)
  731. or U.S. mail at:  Jim Thomas, Department of Sociology, NIU, DeKalb, IL
  732. 60115, USA.
  733.  
  734. To UNSUB, send a one-line message:   UNSUB CU-DIGEST
  735. Send it to  CU-DIGEST-REQUEST@WEBER.UCSD.EDU
  736. (NOTE: The address you unsub must correspond to your From: line)
  737.  
  738. Issues of CuD can also be found in the Usenet comp.society.cu-digest
  739. news group; on CompuServe in DL0 and DL4 of the IBMBBS SIG, DL1 of
  740. LAWSIG, and DL1 of TELECOM; on GEnie in the PF*NPC RT
  741. libraries and in the VIRUS/SECURITY library; from America Online in
  742. the PC Telecom forum under "computing newsletters;"
  743. On Delphi in the General Discussion database of the Internet SIG;
  744. on RIPCO BBS (312) 528-5020 (and via Ripco on  internet);
  745. CuD is also available via Fidonet File Request from
  746. 1:11/70; unlisted nodes and points welcome.
  747.  
  748.          In ITALY: ZERO! BBS: +39-11-6507540
  749.  
  750.   UNITED STATES: ftp.etext.org (206.252.8.100) in /pub/CuD/CuD
  751.     Web-accessible from: http://www.etext.org/CuD/CuD/
  752.                   ftp.eff.org (192.88.144.4) in /pub/Publications/CuD/
  753.                   aql.gatech.edu (128.61.10.53) in /pub/eff/cud/
  754.                   world.std.com in /src/wuarchive/doc/EFF/Publications/CuD/
  755.                   wuarchive.wustl.edu in /doc/EFF/Publications/CuD/
  756.   EUROPE:         nic.funet.fi in pub/doc/CuD/CuD/ (Finland)
  757.                   ftp.warwick.ac.uk in pub/cud/ (United Kingdom)
  758.  
  759.  
  760. The most recent issues of CuD can be obtained from the
  761. Cu Digest WWW site at:
  762.   URL: http://www.soci.niu.edu/~cudigest/
  763.  
  764. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  765. information among computerists and to the presentation and debate of
  766. diverse views.  CuD material may  be reprinted for non-profit as long
  767. as the source is cited. Authors hold a presumptive copyright, and
  768. they should be contacted for reprint permission.  It is assumed that
  769. non-personal mail to the moderators may be reprinted unless otherwise
  770. specified.  Readers are encouraged to submit reasoned articles
  771. relating to computer culture and communication.  Articles are
  772. preferred to short responses.  Please avoid quoting previous posts
  773. unless absolutely necessary.
  774.  
  775. DISCLAIMER: The views represented herein do not necessarily represent
  776.             the views of the moderators. Digest contributors assume all
  777.             responsibility for ensuring that articles submitted do not
  778.             violate copyright protections.
  779.  
  780. ------------------------------
  781.  
  782. End of Computer Underground Digest #9.49
  783. ************************************
  784.  
  785.  
  786.