home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / phrack1 / phrack22.012 < prev    next >
Encoding:
Text File  |  2003-06-11  |  25.5 KB  |  473 lines
  1.                                 ==Phrack Inc.==
  2.  
  3.                      Volume Two, Issue 22, File 12 of 12
  4.  
  5.             PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN
  6.             PWN                                                 PWN
  7.             PWN        P h r a c k   W o r l d   N e w s        PWN
  8.             PWN        ~~~~~~~~~~~   ~~~~~~~~~   ~~~~~~~        PWN
  9.             PWN                Issue XXII/Part 4                PWN
  10.             PWN                                                 PWN
  11.             PWN           Created by Knight Lightning           PWN
  12.             PWN                                                 PWN
  13.             PWN              Written and Edited by              PWN
  14.             PWN         Knight Lightning and Taran King         PWN
  15.             PWN                                                 PWN
  16.             PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN
  17.  
  18.  
  19. Networks Of Computers At Risk From Invaders                    December 3, 1988
  20. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  21. By John Markoff  (New York Times)
  22.  
  23. Basic security flaws similar to the ones that let intruders gain illegal entry
  24. to military computer networks in recent weeks are far more common than is
  25. generally believed, system designers and researchers say.
  26.  
  27. And there is widespread concern that computer networks used for everyday
  28. activities like making airline reservations and controlling the telephone
  29. system are highly vulnerable to attacks by invaders considerably less skilled
  30. than the graduate student whose rogue program jammed a nationwide computer
  31. network last month.
  32.  
  33. For example, the air traffic control system could be crippled if someone
  34. deliberately put wrong instructions into the network, effectively blinding
  35. controllers guiding airplanes.
  36.  
  37. The two recent episodes have involved military computers:  One at the Mitre
  38. Corporation, a company with Pentagon contracts, and the other into Arpanet, a
  39. Defense Department network with links to colleges.  But illegal access to
  40. computer systems can compromise the privacy of millions of people.
  41.  
  42. In 1984, TRW Inc. acknowledged that a password providing access to 90 million
  43. credit histories in its files had been stolen and posted on a computerized
  44. bulletin board system.  The company said the password may have been used for as
  45. long as a month.
  46.  
  47. This year an internal memorandum at Pacific Bell disclosed that sophisticated
  48. invaders had illegally gained access to telephone network switching equipment
  49. to enter private company computers and monitor telephone conversations.
  50.  
  51. Computer security flaws have also been exploited to destroy data.  In March
  52. 1986 a computer burglar gained access by telephone to the office computer of
  53. Rep. Ed Zschau of California, destroyed files and caused the computer to break
  54. down.  Four days later, staff workers for Rep. John McCain of Arizona, now a
  55. senator, told the police they had discovered that someone outside their office
  56. had reached into McCain's computer and destroyed hundreds of letters and
  57. mailing addresses.
  58.  
  59. In Australia last year, a skilled saboteur attacked dozens of computers by
  60. destroying an underground communication switch.  The attack cut off thousands
  61. of telephone lines and rendered dozens of computers, including those at the
  62. country's largest banks, useless for an entire day.
  63.  
  64. Experts say the vulnerability of commercial computers is often compounded by
  65. fundamental design flaws that are ignored until they are exposed in a glaring
  66. incident.  "Some vulnerabilities exist in every system," said Peter Neumann, a
  67. computer scientist at SRI International in Menlo Park, California.  "In the
  68. past, the vendors have not really wanted to recognize this."
  69.  
  70. Design flaws are becoming increasingly important because of the rapidly
  71. changing nature of computer communications. Most computers were once isolated
  72. from one another.  But in the last decade networks expanded dramatically,
  73. letting computers exchange information and making virtually all large
  74. commercial systems accessible from remote places.  But computer designers
  75. seeking to shore up security flaws face a troubling paradox:  By openly
  76. discussing the flaws, they potentially make vulnerabilities more known and thus
  77. open to sabotage.
  78.  
  79. Dr. Fred Cohen, a computer scientist at the University of Cincinnati, said most
  80. computer networks were dangerously vulnerable.  "The basic problem is that we
  81. haven't been doing networks long enough to know how to implement protection,"
  82. Cohen said.
  83.  
  84. The recent rogue program was written by Robert Tappan Morris, a 23-year-old
  85. Cornell University graduate student in computer science, friends of his have
  86. said.  The program appears to have been designed to copy itself harmlessly from
  87. computer to computer in a Department of Defense network, the Arpanet.  Instead
  88. a design error caused it to replicate madly out of control, ultimately jamming
  89. more than 6,000 computers in this country's most serious computer virus attack.
  90.  
  91. For the computer industry, the Arpanet incident has revealed how security flaws
  92. have generally been ignored.  Cohen said most networks, in effect, made
  93. computers vulnerable by placing entry passwords and other secret information
  94. inside every machine.  In addition, most information passing through networks
  95. is not secretly coded.  While such encryption would solve much of the
  96. vulnerability problem, it would be costly.  It would also slow communication
  97. between computers and generally make networks much less flexible and
  98. convenient.
  99.  
  100. Encryption of data is the backbone of security in computers used by military
  101. and intelligence agencies. The Arpanet network, which links computers at
  102. colleges, corporate research centers and military bases, is not encrypted.
  103.  
  104. The lack of security for such information underscored the fact that until now
  105. there has been little concern about protecting data.
  106.  
  107. Most commercial systems give the people who run them broad power over all parts
  108. of the operation.  If an illicit user obtains the privileges held by a system
  109. manager, all information in the system becomes accessible to tampering.
  110.  
  111. The federal government is pushing for a new class of military and intelligence
  112. computer in which all information would be divided so that access to one area
  113. did not easily grant access to others, even if security was breached.  The goal
  114. is to have these compartmentalized security systems in place by 1992.
  115.  
  116. On the other hand, one of the most powerful features of modern computers is
  117. that they permit many users to share information easily; this is lost when
  118. security is added.
  119.  
  120. In 1985 the Defense Department designed standards for secure computer systems,
  121. embodied in the Orange Book, a volume that defines criteria for different
  122. levels of computer security.  The National Computer Security Center, a division
  123. of the National Security Agency, is now charged with determining if government
  124. computer systems meet these standards.
  125.  
  126. But academic and private computer systems are not required to meet these
  127. standards, and there is no federal plan to urge them on the private sector. But
  128. computer manufacturers who want to sell their machines to the government for
  129. military or intelligence use must now design them to meet the Pentagon
  130. standards.
  131.  
  132. Security weaknesses can also be introduced inadvertently by changes in the
  133. complex programs that control computers, which was the way Morris's program
  134. entered computers in the Arpanet.  These security weaknesses can also be
  135. secretly left in by programmers for their convenience.
  136.  
  137. One of the most difficult aspects of maintaining adequate computer security
  138. comes in updating programs that might be running at thousands of places around
  139. the world once flaws are found.
  140.  
  141. Even after corrective instructions are distributed, many computer sites often
  142. do not close the loopholes, because the right administrator did not receive the
  143. new instructions or realize their importance.
  144. _______________________________________________________________________________
  145.  
  146. Computer Virus Eradication Act of 1988                         December 5, 1988
  147. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  148. The following is a copy of HR-5061, a new bill being introduced in the House by
  149. Wally Herger (R-CA) and Robert Carr (D-Mich.).
  150. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
  151. 100th Congress 2D Session                                             H.R. 5061
  152.  
  153. To amend title 18, United States Code, to provide penalties for persons
  154. interfering with the operations of computers through the use of programs
  155. containing hidden commands that can cause harm, and for other purposes.
  156.  
  157. IN THE HOUSE OF REPRESENTATIVES                                   July 14, 1988
  158. Mr. Herger (for himself and Mr. Carr) introduced the following bill; which was
  159. referred to the Committee on the Judiciary
  160.  
  161. A BILL
  162. To ammend title 18, United States Code, to provide penalties for persons
  163. interfering with the operations of computers through the use of programs
  164. containing hidden commands that can cause harm, and for other purposes.
  165.  
  166.                                    -   -   -
  167.  
  168. Be it enacted by the Senate and House of Representatives of the United States
  169. of America in Congress assembled,
  170.  
  171. SECTION 1. SHORT TITLE.
  172.            This Act may be cited as the "Computer Virus Eradication Act of
  173.            1988".
  174.  
  175. SECTION 2. TITLE 18 AMENDMENT.
  176.            (A) IN GENERAL.- Chapter 65 (relating to malicious mischief) of
  177.            title 18, United States Code, is amended by adding at the end the
  178.            following:
  179.  
  180.            S 1368.  Disseminating computer viruses and other harmful computer
  181.                     programs
  182.           (a) Whoever knowingly --
  183.              (1) inserts into a program for a computer information or commands,
  184.                  knowing or having reason to believe that such information or
  185.                  commands will cause loss to users of a computer on which such
  186.                  program is run or to those who rely on information processed
  187.                  on such computer; and
  188.              (2) provides such a program to others in circumstances in which
  189.                  those others do not know of the insertion or its effects; or
  190.                  attempts to do so, shall if any such conduct affects
  191.                  interstate or foreign commerce, be fined under this title or
  192.                  imprisoned not more than 10 years, or both.
  193.           (b) Whoever suffers loss by reason of a violation of subsection (a)
  194.               may, in a civil action against the violator, obtain appropriate
  195.               relief.  In a civil action under this section, the court may
  196.               award to the prevailing party a reasonable attorney's fee and
  197.               other litigation expenses.
  198.  
  199.  
  200.            (B) CLERICAL AMENDMENT.- The table of sections at the begining of
  201.            chapter 65 of title 18, United States Code, is amended by adding at
  202.            the end the following:
  203.            S 1368.  Disseminating computer viruses and other harmful computer
  204.                     programs.
  205.  
  206. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
  207. NOTE:  The above text was typed in by hand from a printed copy of HR5 061.
  208.        There is a possibility that there may be typographical errors which
  209.        could affect the nature of the bill.
  210.  
  211.        For an official copy of the bill, please contact:
  212.  
  213.                                 Mr. Doug Riggs
  214.                               1108 Longworth Bldg
  215.                             Washington D.C.  20515
  216.  
  217.                            Information Presented by
  218.                Don Alvarez of the MIT Center For Space Research
  219. _______________________________________________________________________________
  220.  
  221. Virus Conference In Arlington, Virginia                        December 5, 1988
  222. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  223. Entitled "Preventing and Containing Computer Virus Attacks", it takes place
  224. January 30-31, in Arlington, VA.  Speakers include Representative Wally Herger
  225. (R-CA), a special agent from the FBI, John Landry (ADAPSO virus committee
  226. chairman), Patricia Sission from NASA, as well as a collection of attorneys and
  227. business folk.  The conference is chaired by Dave Douglass, no information
  228. provided.  It supposedly costs $695.
  229.  
  230. The address provided is:
  231.  
  232.                          United Communications Group
  233.                          4550 Montgomery Avenue
  234.                          Suite 700N
  235.                          Bethesda, MD   20814-3382
  236.  
  237.  
  238.                     Information Provided By Gregg Tehennepe
  239. _______________________________________________________________________________
  240.  
  241. New York Times Reviews Novel About Computer Sabotage           December 7, 1988
  242. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  243. The Sunday, December 4, 1988 issue of the New York Times Book Review (their
  244. Christmas Books issue) prominently reviews a new novel, 'Trapdoor,' by Bernard
  245. J. O'Keefe.  The premise (from the review by Newgate Callender, NYT's crime
  246. fiction reviewer):
  247.  
  248. "A brilliant American woman of Lebanese descent has developed the computer code
  249. that controls the operation of all our nuclear devices.  Turned down for the
  250. job she has sought, convinced male chauvinism is the reason, she is ripe to be
  251. conned by a Lebanese activist.  At his suggestion she inserts a virus into the
  252. computer system that in a short time will render the entire American nuclear
  253. arsenal useless.  ... The Lebanese President ... demands that Israel withdraw
  254. from the West Bank, or else he will tell the Russians that the United States
  255. will lie helpless for a week or so."
  256.  
  257. Callender's review begins with the lead sentence, "November 2, 1988, was the
  258. day computers in American went mad, thanks to the 'virus' program inserted by
  259. the now-famous, fun-loving Robert T. Morris, Jr."
  260.  
  261. Some background on the author, also from the review:
  262.  
  263. "Bernard J. O'Keefe (is) chairman of the high-tech company EG&G and of an
  264. international task force on nuclear terrorism ... (and is) the author
  265. of a nonfiction book called 'Nuclear Hostages.'  O'Keefe says, "I wrote this
  266. parable to point out the complexity of modern technology and to demonstrate
  267. how one error, one misjudgment, or one act of sabotage could lead to actions
  268. that would annihilate civilization.""
  269.  
  270. Callender also says "...the execution is less brilliant than the idea.  The
  271. book has the usual flashbacks, the usual stereotyped characters, the usual
  272. stiff dialogue."
  273.  
  274. Although the reviewer doesn't say so, the premise of this novel is quite
  275. similar to a 1985 French thriller, published in the U.S. as 'Softwar.'  That
  276. novel was also based on the idea that a nation's arsenal could be completely
  277. disabled from a single point of sabotage, although in 'Softwar' it was the
  278. Soviet Union on the receiving end.  Popular reviewers of both books apparently
  279. find nothing implausible in the premise.
  280. _______________________________________________________________________________
  281.  
  282. Hacker Enters U.S. Lab's Computers                            December 10, 1988
  283. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  284. By Thomas H. Maugh II  (Los Angeles Times Service)
  285.  
  286. A computer hacker has entered computers at the government's Lawrence Livermore
  287. Laboratory in the San Francisco Bay area eight times since last Saturday, but
  288. has not caused any damage and has not been able to enter computers that contain
  289. classified information, Livermore officials said Friday.  [Do they ever admit
  290. to anyone gaining access to classified data? -KL]
  291.  
  292. Nuclear weapons and the Star Wars defense system are designed at Livermore, but
  293. information about those projects is kept in supercomputers that are physically
  294. and electronically separate from other computers at the laboratory.
  295.  
  296. The hacker, whose identitiy remains unknown, entered the non-classified
  297. computer system at Livermore through Internet, a nationwide computer network
  298. that was shut down at the beginning of November by a computer virus.  Chuck
  299. Cole, Livermore's chief of security, said the two incidents apparently are
  300. unrelated.
  301.  
  302. The hacker entered the computers through an operating system and then through a
  303. conventional telephone line, he gave himself "super-user" status, providing
  304. access to virtually all functions of the non-classified computer systems.
  305.  
  306. Officials quickly limited the super-user access, although they left some
  307. computers vulnerable to entry in the hope of catching the intruder.
  308.  
  309. "There has been no maliciousness so far," Cole said.  "He could have destroyed
  310. data, but he didn't.  He just looks through data files, operating records, and
  311. password files...It seems to be someone doing a joy-riding thing."
  312. _______________________________________________________________________________
  313.  
  314. Shattering Revelations                                        December 11, 1988
  315. ~~~~~~~~~~~~~~~~~~~~~~
  316. Taken from the RISKS Digest (Edited for this presentation)
  317.  
  318. [Shatter is a hacker based in England, he is currently accused of breaking into
  319. computers at Massachusetts Institute of Technology.  -KL]
  320.  
  321. (In this article, "IT" seems to refer to the computer community as a whole -KL)
  322.  
  323. Some of you may have already heard of me via articles in the Wall Street
  324. Journal, New York Times, etc, but for those of you who do not have access to
  325. copies of these newspapers I am a hacker of over 10 years activity who is based
  326. near Nottingham, England [Rumored to be a false statement].  My specialities
  327. are the various packet switched networks around the world such as PSS, Telepac,
  328. Transpac, etc with various forays into UNIX, NOS/VE VMS, VM/SP, CMS, etc.
  329.  
  330. I feel that as a hacker with so much activity and expirience I am qualified to
  331. make the following points on behalf of the whole hacking community.
  332.  
  333. Hackers are not the vandals and common criminals you all think we are in fact
  334. most of the "TRUE" hackers around have a genuine respect and love for all forms
  335. of computers and the data that they contain.  We are as a community very
  336. responsible and dedicated to the whole idea of IT, but we also have a strong
  337. dislike to the abuse of IT that is perpetrated by various governments and
  338. organizations either directly or indirectly.  There is of course a small
  339. minority of so called hackers who do cause trouble and crash systems or steal
  340. money, but these people on the whole are dealt with by other hackers in a way
  341. that most of you could not even think of and most never repeat their "crimes"
  342. again.
  343.  
  344. The term "HACKER" is still one to be very proud of and I am sure that in days
  345. past, anyone with a computer was called a hacker and they were very proud of
  346. the fact that someone felt that you had a great technical expertise that
  347. warrented the use of the term.  However, all of the accusers out there now
  348. suffer from the standard problem that nearly all people involved within IT have
  349. and that is non-communication.  You never pass on the information that you pick
  350. up and teach to others within IT [American Government organizations and
  351. Educational Institutes are among the greatest offenders] and this allows the
  352. hacking community [who do communicate] to be at least one step ahead of the
  353. system administrators when it comes to finding security problems and finding
  354. the cause and solution for the problem.
  355.  
  356. A case in point is the recent Arpanet Worm and the FTP bug.  Both these
  357. problems have been known for many months if not years but, when talking to
  358. various system administrators recently, not one of them had been informed about
  359. them and this left their systems wide open even though they had done all they
  360. could to secure them with the information they had.
  361.  
  362. An interesting piece of information is that hackers in England knew about
  363. Morris's Worm at least 12 hours before it became public knowledge and although
  364. England was not able to be infected due to the hardware in use, we were able to
  365. inform the relevent people and patrol Internet to Janet gateways to look for
  366. any occurance of the Worm and therefore we performed a valuble service to the
  367. computing community in England -- although we did not get any thanks or
  368. acknowledgement for this service.
  369.  
  370. Hackers should be nurtured and helped to perform what they consider a hobby.
  371. Some people may do crosswords for intelectual challenge -- I study computers
  372. and learn about how things interact together to function correctly (or
  373. incorrectly as the case may be).  The use of a group of hackers can perform a
  374. valuable service and find problems that most of you could not even start to
  375. think of or would even have the inclination to look for.
  376.  
  377. So please don't treat us like lepers and paupers.  Find yourself a "TAME"
  378. hacker and show him the respect he deserves.  He will perform a valuble service
  379. for you.  Above all COMMUNICATE with each other don't keep information to
  380. yourselves.
  381.  
  382. Bst Rgrds
  383. Shatter
  384. _______________________________________________________________________________
  385.  
  386. IBM Sells Rolm To Siemens AG                                  December 14, 1988
  387. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  388. International Business Machines Corp. (IBM) announced on Tuesday that it was
  389. selling its Rolm telephone equipment subsidiary to West Germany's Siemens AG.
  390.  
  391. Rolm has lost several hundred million dollars since IBM bought it in 1984 for
  392. $1.5 billion.  Rolm was the first, or one of the first companies to market
  393. digital PBX systems.
  394.  
  395. As most telecom hobbyists already know, the PBX market has been very soft for
  396. years.  It has suffered from little or no growth and very bitter price
  397. competition.
  398.  
  399. Siemens, a leading PBX supplier in Europe wants to bolster its sales in the
  400. United States, and believes it can do so by aquiring Rolm's sales and service
  401. operations.  Quite obviously, it will also gain access to some of the lucrative
  402. IBM customers in Europe.
  403.  
  404. Rolm was an early leader in digital PBX's, but they were surpassed in 1984 by
  405. AT&T and Northern Telecom Ltd. of Canada.  Part of the strategy behind IBM's
  406. purchase of Rolm was IBM's belief that small personal computers would be linked
  407. through digital PBX's. Although this has happened, most businesses seem to
  408. prefer ethernet arrangements; something neither IBM or Rolm had given much
  409. thought to.  IBM was certain the late 1980's would see office computers
  410. everywhere hooked up through PBX's.
  411.  
  412. IBM made a mistake, and at a recent press conference they admitted it and
  413. announced that Rolm was going bye-bye, as part of the corporate restructuring
  414. which has seen IBM divest itself of numerous non-computer related businesses in
  415. the past several months.  From its beginning until 1984, Rolm could not run
  416. itself very well; now IBM has washed its corporate hands.  Time will tell how
  417. much luck the Europeans have with it.
  418.  
  419.                   Information Contributed by Patrick Townson
  420. _______________________________________________________________________________
  421.  
  422. Virus Invades The Soviet Union                                December 19, 1988
  423. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  424. >From The San Francisco Chronicle (P. A16)
  425.  
  426. (UPI) - The Soviet Union announced on Decemeber 18, 1988 that that so-called
  427. computer viruses have invaded systems in at least five government-run
  428. institutions since August, but Soviet scientists say they have developed a way
  429. to detect known viruses and prevent serious damage.
  430.  
  431. In August 1988, a virus infected 80 computers at the Soviet Academy of Sciences
  432. before it was brought under control 18 hours later.  It was traced to a group
  433. of Soviet and foreign schoolchildren attending the Institute's summer computer
  434. studies program, apparently resulting from the copying of game programs.
  435.  
  436. Sergei Abramov of the Soviet Academy of Sciences claims they have developed a
  437. protective system, PC-shield, that protects Soviet computers against known
  438. virus strains.  It has been tested on IBM computers in the Soviet Union.  "This
  439. protective system has no counterpart in the world," he said (although the
  440. details remain a state secret).
  441. _______________________________________________________________________________
  442.  
  443. Phrack World News Quicknotes                                         Issue XXII
  444. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  445. 1.  Rumor has it that the infamous John Draper aka Captain Crunch is currently
  446.     running loose on the UUCP network.  Recently, it has been said that he has
  447.     opened up some sort of information gateway to Russia, for reasons unknown.
  448. -------------------------------------------------------------------------------
  449. 2.  Information Available For A Price
  450.     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  451. A company called Credit Checker and Nationwide SS says that anyone can;
  452.     o Take a lot of risk out of doing business.
  453.     o Check the credit of anyone, anywhere in the United States
  454.     o Pull Automobile Drivers License information from 49 states
  455.     o Trace people by their Social Security Number
  456.  
  457. By "Using ANY computer with a modem!"
  458.  
  459. To subscribe to this unique 24-hour on-line network call 1-800-255-6643.
  460.  
  461. Can your next door neighbor really afford that new BMW ?
  462. -------------------------------------------------------------------------------
  463. 3.  Reagan Signs Hearing-Aid Compatibility Bill
  464.     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  465. There is new legislation recently passed which requires all new phones to be
  466. compatible with hearing aids by next August.  The law requires a small device
  467. to be included in new phones to eliminate the loud squeal that wearers of
  468. hearing aids with telecoils pick up when using certain phones.  Importers are
  469. not exempted from the law.  Cellular phones and those manufactured for export
  470. are exempt.
  471. _______________________________________________________________________________
  472. =========================================================================
  473.