home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / phrack2 / phrack35.003 < prev    next >
Encoding:
Text File  |  2003-06-11  |  16.9 KB  |  335 lines
  1.  
  2.                                 ==Phrack Inc.==
  3.  
  4.                 Volume Three, Issue Thirty-five, File 3 of 13
  5.  
  6.                  -*[  P H R A C K  XXXV  P R O P H I L E  ]*-
  7.  
  8.                              -=>[  Presents  ]<=-      
  9.  
  10.                         Sincerely Yours, Chris Goggans
  11.                         -===--===--===--===--===--===-
  12.                              by S. Leonard Spitz
  13.                              Associate Publisher
  14.                           INFOSecurity Product News
  15.  
  16. "A provocative interview with a former member of the "Legion of Doom" suggests
  17. that the ethics of hacking (or cracking) are often in the eye of the beholder."
  18.  
  19. Malicious hackers, even though most operate undercover, are often notorious for
  20. the colorful pseudonyms they travel under.  Reformed hackers, however, prefer a
  21. low profile so as to shed their image of perceived criminality.  Kevin Mitnick,
  22. infamous for the DEC caper, is one of the foremost advocates of this strategy.
  23.  
  24. Now comes Chris Goggans, trailing his former "Legion of Doom" moniker, Erik
  25. Bloodaxe, behind him, to try it his way.  Goggans insists that where once he
  26. may have bent the rules, he is now ready to give something back to society.
  27. And coming across with a high degree of sincerity, he affirms his intention to
  28. try.  Are he and his colleagues, wearing their newly acquired information
  29. security consultants hats, tilting at windmills, or does their embryonic,
  30. cracker-breaking start-up, Comsec Data Security Co., stand a fighting chance?
  31. We thought we would ask him.
  32.  
  33. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
  34.  
  35. ISPNews: I am going to ask several legitimate questions.  Please answer them
  36.           completely, truthfully, and honestly.
  37.  
  38. Chris Goggans:  OK.
  39.  
  40.  
  41. JUDGEMENT BY THE MEDIA
  42.  
  43. ISPNews: Would you react to Computerworld's July 29 piece, "Group Dupes
  44.           Security Experts," <also seen in Phrack World News issue 33, part 2
  45.           as part of the article called "Legion of Doom Goes Corporate> in
  46.           which members of your organization were accused of masquerading as
  47.           potential customers to obtain information, proposals, and prices from
  48.           other security consultants?
  49.  
  50.      CG: We were all amazed that something like that would ever be printed
  51.           because, as we understand common business practices, we weren't doing
  52.           anything unusual.
  53.  
  54. ISPNews:  Computerworld reported that the Legion of Doom was "one of the
  55.           nation's most notorious hacker groups, according to federal law
  56.           enforcers."  Can you respond to that?
  57.  
  58.      CG: Notorious is a relative term.  There has always been a shroud of
  59.           mystery covering the Legion of Doom, because it was an organization
  60.           whose membership was private.  When you keep people in the dark about
  61.           the activities of something, there is always going to be the
  62.           perception that more is going on than there really is.
  63.  
  64. ISPNews: Would you say then that the characterization of being notorious is
  65.           unfair?
  66.  
  67.      CG: To some degree, yes.  There certainly was activity going on within
  68.           the group that could be considered illegal.  But most of this was
  69.           taking place when members of the group were all between the ages
  70.           of 14 and 17.  While I don't want to blame immaturity, that's
  71.           certainly a factor to be considered.
  72.  
  73.           The Legion of Doom put out four <issues of an> on-line electronic
  74.           newsletter <called the Legion of Doom Technical Journals> composed
  75.           of different files relating to various types of computer systems
  76.           or netware.  They explained different operating systems or
  77.           outlined different procedures used by networks.  They were always
  78.           informative and explained how to use a computer.  We never said
  79.           "This is a computer and this is how to break into it."
  80.  
  81.           Colorful names and words used to describe groups also add to
  82.           notoriety.  If we had been the "Legion of Flower Pickers," the
  83.           "Legion of Good Guys," or the "SuperFriends," there probably
  84.           wouldn't be this dark cloud hanging over the group.
  85.  
  86. ISPNews:  Could you be charged with intent to provide information to others
  87.           which would make it easier to gain unauthorized access?
  88.  
  89.      CG: I don't see how that could be a charge.  There's the first amendment.
  90.           I maintain that talking about something and encouraging or forcing
  91.           someone to do it are completely different.
  92.  
  93.  
  94. EARNING AN "A" IN INFOSECURITY
  95.  
  96. ISPNews:  What attracted you to computer security?
  97.  
  98.      CG: The same thing that would attract anybody to being a hacker.  For
  99.           half of my life I've been in front of a computer every day.
  100.           Sometimes from early in the morning until the wee hours of the night.
  101.           And my particular focus has been on computer security.
  102.  
  103. ISPNews:  At least the dark side of that coin.
  104.  
  105.      CG:  I wouldn't say the dark side.  I'd say the flip side.  If you do
  106.           something for 11 years, you are going to pick up a lot of knowledge.
  107.           And I've always wanted to find some kind of productive career that I
  108.           thoroughly enjoyed.  So this was just an obvious progression.  No one
  109.           wants to be a 40-year-old hacker living in fear of the Secret
  110.           Service.
  111.  
  112. ISPNews: When you first applied to enter college, did you feel that it was the
  113.           right place to learn about information security?
  114.  
  115.      CG: Yes, I thought it was the right place, mainly because college is the
  116.           most obvious choice to pursue an education in any field.  I just
  117.           assumed that I would be able to find formal training leading to
  118.           certification or a degree in this field.  Yet, at the University of
  119.           Texas, there wasn't anything along those lines.
  120.  
  121. ISPNews:  Did you graduate from the University of Texas?
  122.  
  123.      CG: No, I changed majors and then moved to Houston.  I had started out in
  124.           computer science but it was completely unrelated to any kind of
  125.           career I wanted to pursue.  I eventually changed my major to
  126.           journalism.  There are only two things I like to do:  Work on
  127.           computers, and write.  So, if I wasn't going to get a degree in one,
  128.           it was going to be in the other.  I'm a semester away, and I do plan
  129.           on finishing.
  130.  
  131. ISPNews:  If you were to structure a college curriculum for studies in
  132.           information security, would you design it to focus on technical
  133.           issues, ethics, business issues, or legal matters?
  134.  
  135.      CG: I would try to focus on all of these.  If you don't have a technical
  136.           background, you can't understand the way the operating system works,
  137.           and you really can't focus on some of the issues that need to be
  138.           addressed with information security.
  139.  
  140.           Ethics certainly come into play ass well for obvious reasons.  I
  141.           don't think hackers are going to go away.  Even with the advent of
  142.           newer technology, there are always going to be people who have an
  143.           interest in that technology and will learn how to manipulate it.
  144.  
  145.  
  146. ETHICS, INTELLECTUAL PROPERTY RIGHTS, AND THE LAW
  147.  
  148. ISPNews:  What is your definition of a hacker?
  149.  
  150.      CG: A Hacker is someone who wants to find out everything that there is to
  151.           know about the workings of a particular computer system, and will
  152.           exhaust every means within his ability to do so.
  153.  
  154. ISPNews:  Would you also comment on the ethics of hacking?
  155.  
  156.      CG: There is an unwritten code of ethics that most people tend to adhere
  157.           to.  It holds that: no one would ever cause damage to anything; and
  158.           no one would use any information found for personal gain of any kind.
  159.  
  160.           For the most part, the only personal gain that I have ever seen from
  161.           any sort of hacking activity is the moderate fame from letting others
  162.           know about a particular deed.  And even in these cases, the total
  163.           audience has been limited to just a few hundred.
  164.  
  165. ISPNews:  Are you unaware of hackers who have in fact accessed information,
  166.           then sold it or massaged it for money?
  167.  
  168.      CG: No, certainly not.  I am just acknowledging and defining a code of
  169.           ethics.  We of the Legion of Doom tried to adhere to that code of
  170.           ethics.  For example, members of the original nine who acted
  171.           unethically were removed from the group.
  172.  
  173. ISPNews:  Do you believe that penetrating a computer system without either
  174.           making changes or removing information is ethical, or a least is not
  175.           unethical?
  176.  
  177.      CG:  At one time in the past I may have held that belief, but now I
  178.           certainly must not, because the whole idea of being involved in the
  179.           formation of my new company, Comsec Data Security, would show
  180.           otherwise.
  181.  
  182. ISPNews:  So today, you believe that unauthorized entry is unethical.
  183.  
  184.      CG:  Exactly.  As a hacker, I didn't particularly hold that.  But as
  185.           things such as invasion of privacy, even though I never caused any
  186.           damage, and breach of trust became more apparent to me, I was able to
  187.           step back, see the picture, and realize it was wrong.
  188.  
  189. ISPNews:  Can I conclude that you are speaking for you company and its
  190.           principals?
  191.  
  192.      CG:  Yes, I am speaking for all of the principals.
  193.  
  194. ISPNews:  What are your views on the ownership of information?
  195.  
  196.      CG:  I feel that proprietary information, national-security-related
  197.           information, information that could be considered a trade secret, all
  198.           definitely have ownership, and access should be restricted.
  199.  
  200.           In the past, I felt that information that affected me or had some
  201.           relevance to my life should be available to me.  I felt that
  202.           information should be available to the people it affected, whether
  203.           that be phone company information, credit bureau information, banking
  204.           information, or computer system information in general.  I am saying
  205.           this in the past tense.
  206.  
  207.           In the present tense, I feel that the public is entitled only to
  208.           information in the public domain.  Information not available legally
  209.           through normal channels is just going to have to be left at that.
  210.  
  211. ISPNews:  Do you believe that software should always be in the public
  212. domain.?
  213.  
  214.      CG: No, I do not.  If I wrote something as wonderful as Lotus, or any of
  215.           the Microsoft programs, or Windows, I would want people to pay for
  216.           them.
  217.  
  218. ISPNews:  Then you do believe in private ownership of and protection for
  219.           software?
  220.  
  221.      CG:  Yes, definitely.
  222.  
  223. ISPNews:  What are you views on current U.S.  Computer crime laws?
  224.  
  225.      CG:  I think that the current laws are too broad.  They do not make
  226.           distinctions between various types of computer crimes.  I consider
  227.           breaking into a computer akin to trespassing.  If someone simply
  228.           walks across my lawn, I might be upset because they trampled my
  229.           grass, but I would leave it at that.  If someone drives across my
  230.           lawn and leaves big trenches, and then comes over and kicks down my
  231.           rosebush, well that's another thing.  Then, if someone drives up my
  232.           steps, goes through my house, through my kitchen, steals all my
  233.           silverware, and then leaves, that's something completely different.
  234.           And while these physical representations of trespassing can't be
  235.           applied directly to an electronic format, distinctions are still
  236.           necessary.
  237.  
  238. ISPNews: And the present computer crime laws do not make these distinctions?
  239.  
  240.      CG: I am no lawyer, but from my understanding they do not.  They need to
  241.           be brought into focus.
  242.  
  243. ISPNews: If they were brought into the kind of focus you suggest, would they
  244.           be fair and equitable?
  245.  
  246.      CG: Definitely, depending on the punishment that went along with them.  I
  247.           don't think that people who own and operate computer systems would
  248.           view someone who has logged into their system using a guest account
  249.           that was deliberately left with no password to be as serious an
  250.           intrusion as someone who got the system administrator password and
  251.           then went through and deleted all the files.  I don't think that
  252.           simple intrusion would be considered as serious as unauthorized
  253.           penetration along with the wholesale theft and sale to a competitor
  254.           of marketing information, and advertising plans, and financial
  255.           projections for the next quarter.
  256.  
  257. ISPNews:  What are your views on security training for users?
  258.  
  259.      CG: People need to be taught what the computer operating system is and
  260.           how it works.  After that, they need to establish some sort of
  261.           channel by which information can be transmitted to others. Direct
  262.           physical contact between communicating parties, covered by official,
  263.           standard company procedures, is the best way to do this.
  264.  
  265.           People need to be aware that their account, no matter the level of
  266.           importance, is a link in a chain that makes up the security of the
  267.           system.  Information from one account can be used as a springboard to
  268.           other, more powerful accounts.  All users within a network must
  269.           understand that their information is just as important in the
  270.           security chain as is that of the next person.
  271.  
  272. ISPNews: Given where you are coming from, why should a potential client trust
  273.           you?
  274.  
  275.      CG: I know that is a natural question.  Just the very nature of creating
  276.           a company should project an image that we are trying to come out of
  277.           the shadows, out of the underground.  We are saying, "Look everybody,
  278.           we've been doing this for a long time, now we want to help.  We have
  279.           11 years of working information about how people compromise existing
  280.           security, and we can help with your particular situation."
  281.  
  282. ISPNews: I am sure that you understand the natural suspicion that people have.
  283.  
  284.      CG:  No, that's what I don't understand.  If we at Comsec were out to
  285.           compromise information from an existing company's computer network,
  286.           we wouldn't have incorporated.  We could have done that, and someone
  287.           else out there probably has already done so.  Then the information
  288.           would be available to from one hacker to another.
  289.  
  290. ISPNews: Are you suggesting there is no system out there that you can't break
  291.           into?
  292.  
  293.      CG: No, I'm not suggesting that.  But I am saying the vast majority can
  294.           be penetrated.
  295.  
  296. ISPNews:  Which system is easiest to crack; and which is most difficult?
  297.  
  298.      CG:  It is hard to say which system is more inherently penetrable than
  299.           another.  From the initial log-in, it's not the operating system;
  300.           rather it's the system's operating environment that is the problem.
  301.           Users may not have addressed security measures.  Certain types of
  302.           security holes may not have been closed.  That's where a technical
  303.           background comes into play: to understand the way the applications
  304.           work; how different systems are accessed; to close holes in the
  305.           system which have become apparent.  You have to deal with human
  306.           factors and technical issues.  You must understand the way the
  307.           computer works and the way programs are run.
  308.  
  309. ISPNews:  What is the best way to foil hackers?
  310.  
  311.      CG: It depends on the hacker.  There are different types.  Some people
  312.           hack with modems.  The casual hacker may just stumble across your
  313.           particular computer system, and may be foiled with something as
  314.           simple as good external security.  He may be turned off by physical
  315.           security devices such as a call-back modem, some sort of code access,
  316.           or smart card.
  317.  
  318.           These measures will not stop a serious hacker who is after your
  319.           company specifically.  In this case, you have to beef up security,
  320.           and take additional steps to ensure the safety of your computer.  And
  321.           you must make certain that security on the inside is as tight as on
  322.           the outside.
  323.  
  324. ISPN Editor's Note:  Chris Goggans will respond, in every other issue of
  325.                      ISPNews, to your questions on hacking computer systems.
  326.                      His answers promise to be problem-solving, interesting,
  327.                      and even entertaining.  We invite you to write Chris c/o:
  328.  
  329.                      "Hackers' Mailbag"
  330.                      ISPNews
  331.                      498 Concord Street
  332.                      Framingham, MA  01701-2357
  333. _______________________________________________________________________________
  334.  
  335.