home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / phrack2 / phrack38.014 < prev    next >
Encoding:
Text File  |  2003-06-11  |  32.4 KB  |  588 lines
  1.  
  2.                                 ==Phrack Inc.==
  3.  
  4.                  Volume Four, Issue Thirty-Eight, File 14 of 15
  5.  
  6.               PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN
  7.               PWN                                             PWN
  8.               PWN              Phrack World News              PWN
  9.               PWN                                             PWN
  10.               PWN      Issue XXXVIII / Part Two of Three      PWN
  11.               PWN                                             PWN
  12.               PWN        Compiled by Dispater & Friends       PWN
  13.               PWN                                             PWN
  14.               PWN     Special Thanks to Datastream Cowboy     PWN
  15.               PWN                                             PWN
  16.               PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN
  17.  
  18.  
  19.  What's Wrong With The Computer Crime Statute?                February 17, 1992
  20.  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  21.  By Thomas A. Guidoboni (ComputerWorld)(Page 33)
  22.  
  23.              "Defense and prosecution agree the 1986 Computer Fraud
  24.               and Abuse Act is flawed but differ on how to fix it."
  25.  
  26. It has become an annual ritual, since the birth of the Internet worm, for
  27. Congress to consider amendments to the 1986 Computer Fraud and Abuse Act.  At
  28. this point, the U.S. Department of Justice can be expected to advocate three
  29. things: an expansion of the federal role in the investigation and prosecution
  30. of computer crimes, the creation of new categories of offenses, and harsher
  31. penalties, including perhaps the current darling of the department, forfeiture
  32. of property.
  33.  
  34. Since the law is of recent origin, was substantially revised in 1986 and proved
  35. more than adequate to prosecute and convict Robert T. Morris, there seems
  36. little justification for expansion of its coverage.
  37.  
  38. Nevertheless, if Congress is determined to review and revise the provisions of
  39. the act, there are several narrow, but significant, amendments that are clearly
  40. warranted.  Of primary importance is the definition of terms.  The core of the
  41. law suffers from a lack of clarity.  Offenses are described by reference to
  42. "authorized" or "unauthorized access," yet these terms are not defined
  43. anywhere.
  44.  
  45. Perilously Vague
  46.  
  47. In a universe that consists of broad computer networks, bulletin boards, E-mail
  48. and anonymous file-transfer protocols, and one in which permissions and rights
  49. are established by custom, usage and private understandings, a person is left
  50. to speculate at his peril as to what conduct is permitted and what is
  51. prohibited by this vague language.
  52.  
  53. The Computer Fraud and Abuse Act should be amended to give precise content to
  54. the concepts of "access" and "authorization," thereby providing fair warning of
  55. illegal conduct.
  56.  
  57. A second change for the better regarding the act would be to create a
  58. distinction between those computer intruders who unintentionally cause a
  59. monetary loss and those who maliciously cause such harm.
  60.  
  61. The present law, as interpreted in the Morris case, recognizes no such
  62. distinction.  This is contrary to long-standing notions of fairness in our
  63. system of criminal law, which acknowledges that between two persons who cause
  64. the same harm, the one who intended that result is more culpable than the one
  65. who did not.
  66.  
  67. A third part of the statute that needs revision relates to computerized medical
  68. records.  It is too broad because it includes as felonious conduct the
  69. unauthorized access to such records that "potentially modifies or impairs"
  70. medical treatment or care.  Virtually every unauthorized access to computers
  71. containing medical records carries this potential.  A better solution would be
  72. simply to make any "unauthorized access" of computerized medical records data a
  73. misdemeanor, with the intentional modification or destruction of such data
  74. designated as a felony.
  75.  
  76. Amend, But Don't Expand
  77.  
  78. These slight but important amendments would serve to clarify and improve a
  79. basically sound law without stifling the creativity of persons akin to those
  80. who have been responsible for many of the advances in computer technology in
  81. this country.  More expansive revisions are ill-advised, as they may
  82. unnecessarily encroach on evolving privacy and free-expression interests.
  83.  
  84. A broadening of federal involvement is also inappropriate.  Nearly every state
  85. has enacted laws against computer fraud and abuse and, as Congress recognized
  86. in 1986, federal jurisdiction should be limited to cases where there is a
  87. compelling federal interest.  This might include instances where computers
  88. belonging to the federal government or to financial institutions are involved,
  89. or cases where the crime itself is interstate in nature.  Furthermore, other
  90. computer crimes should be left to prosecution by the individual states, as is
  91. presently the case.
  92.  
  93. In sum, the 1986 Computer Fraud and Abuse Act would benefit from some
  94. clarification, but expansion of its coverage and wholesale revisions are both
  95. ill-advised and unnecessary.
  96.  
  97. Note:  Thomas A Guidoboni is an attorney with Bonner & O'Connell in Washington,
  98.        D.C.  He represented Robert T. Morris in the Internet virus case.
  99. _______________________________________________________________________________
  100.  
  101.  Private Social Security Data Sold to Information Brokers     February 29, 1992
  102.  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  103.  By R.A. Zaldivar (San Jose Mercury News)
  104.  
  105. Washington, D.C. -- The privacy of 200 million Americans with records at the
  106. Social Security Administration is threatened by an illegal trade in pilfered
  107. computer files.  Computerization has dramatically improved our ability to serve
  108. the public," Social Security Deputy Commissioner Louis Enoff told a Senate
  109. panel.  "However, it has also made confidentiality more difficult."
  110.  
  111. Two executives of Nationwide Electronic Tracking, a Tampa, Florida, company,
  112. pleaded guilty to conspiracy charges in January for their part in a national
  113. network selling Social Security records.  Twenty-three people, including agency
  114. employees and police officials, have been indicted in the case -- the largest
  115. known theft of government computer data.  "Information brokers" will pay Social
  116. Security employees $25 for a person's earnings history and then sell the data
  117. for as much as $300.  Their growing list of customers includes lawyers, private
  118. investigators, employers, and insurance companies.
  119.  
  120. Social Security records contain a mother lode of information that includes not
  121. only a person's past earnings but names of employers, family history and even
  122. bank account numbers of people who receive benefits by direct deposit.  The
  123. information can be used to find people or to make decisions on hiring, firing,
  124. suing or lending, said Larry Morey, deputy inspector general of the Health and
  125. Human Services Department.
  126.  
  127. "Here we have a large-scale invasion of the Social Security system's
  128. confidentiality," said Senator Daniel P. Moynihan, D-N.Y., chairman of the
  129. Social Security subcommittee.
  130.  
  131. Information from other government data bases with records on individuals --
  132. such as the FBI's National Criminal Information Center -- is also available on
  133. the underground market.  All a broker needs is the cooperation of a clerk at a
  134. computer terminal.
  135.  
  136. Congress may revise privacy laws to increase penalties for illegally disclosing
  137. information in the private files of individuals.
  138.  
  139. Enoff said Social Security is studying ways to improve computer security, as
  140. well as keeping closer tabs on employees with access to files, and stressing to
  141. its workers that unauthorized disclosure of information is a federal crime.
  142.  
  143. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
  144.  
  145. Related articles can be found in Phrack World News, Issue 37, Part One:
  146.  
  147.  Indictments of "Information Brokers"                              January 1992
  148.  Taken from The Privacy Journal
  149.  
  150.  SSA, FBI Database Violations Prompt Security Evaluations      January 13, 1992
  151.  By Kevin M. Baerson (Federal Computer Week)(Pages 1, 41)
  152. _______________________________________________________________________________
  153.  
  154.  Back to Act I                                                    March 3, 1992
  155.  ~~~~~~~~~~~~~
  156.  Taken from Communications Daily (Page 2)
  157.  
  158. "Supreme Court Lets Stand Ruling That FCC Ban On Indecency Is Unconstitutional"
  159.  
  160. FCC's 24-hour ban on indecent programming is unconstitutional, U.S. Supreme
  161. Court ruled in refusing to consider unanimous U.S. Appeals Court, D.C.,
  162. decision.  Supreme Court action also effectively overruled December 1988 rider
  163. to Senate appropriations bill directing FCC to ban all indecent programming.
  164. Last summer, en banc Appeals Court had refused to reconsider May decision by
  165. unanimous 3-judge panel that FCC ban is unconstitutional.
  166.  
  167. FCC, with support of Justice Department, had asked Supreme Court to reconsider
  168. case.  Coalition of 14 intervenors, including Action for Children's TV (ACT),
  169. had opposed FCC in Appeals Court and Supreme Court.  En banc Appeals Court said
  170. that none of 13 judges who participated "requested the taking of a vote" on
  171. whether to rehear case.  On Supreme Court, Justices Sandra O'Connor and Byron
  172. White voted to reconsider case. FCC's definition of indecency:  "Language or
  173. material that depicts or describes, in terms patently offensive as measured by
  174. contemporary community standards . . . sexual or excretory activities or
  175. organs."  Agency has fined several stations for indecent programming in the
  176. last year.
  177.  
  178. With loss in Supreme Court, FCC official told us "we don't have any choices
  179. left" but to permit such programming to be broadcast.  "We're back to Act I."
  180. Source predicted, and other FCC officials agreed, that agency soon will issue
  181. rulemaking to make a ban on indecent programming later than 8 p.m.  Same
  182. sources expect Congress once again to take up issue.
  183.  
  184. ACT President Peggy Charren said: "It's very exciting for ACT to have won one
  185. for the First Amendment.  We always knew it's preposterous for the FCC to try
  186. to ban speech at 3 o'clock in the morning to protect children . . . It's very
  187. satisfying to have this particular [conservative] Supreme Court agree with us."
  188. NAB (which also was intervernor in case) Associate General Counsel Steve
  189. Bookshester said Supreme Court "correctly" acted in not reviewing lower court
  190. decision:  "Now, it's up to the Commission to adopt new procedures to determine
  191. when such material is permitted to be broadcast."  Washington attorney Timothy
  192. Dyk, who represented intervenors, said: "I think it's a very happy result . . .
  193. The Court of Appeals decision is exactly where it should be in terms of a safe
  194. harbor."
  195. _______________________________________________________________________________
  196.  
  197.  Drug Enforcement Data Are Vulnerable Through Phone Lines         March 4, 1992
  198.  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  199.  Taken from Communications Daily (Page 5)
  200.  
  201. Classified information in computers of Drug Enforcement Administration (DEA) is
  202. at risk, General Accounting Office (GAO) said in a report.  It said DEA doesn't
  203. provide adequate protection of classified information because too many people
  204. have access to computers that store data, and computers with classified
  205. information are hooked into nonsecure telephone lines, making them vulnerable
  206. to outside intrusion.
  207.  
  208. Report, Computer Security:  DEA Is Not Adequately Protecting National Security
  209. Information (GAO/IMTEC-92-31), said it found several instances of lax physical
  210. and electronic security at DEA computers in several locations.  Although there
  211. are no known instances of security breaches, "these disturbing security
  212. weaknesses pose serious risks that could potentially hinder DEA's mission and
  213. threaten the lives of federal agents," the report said.  The report found that
  214. DEA isn't complying with standard security guidelines outlined by National
  215. Security Agency.
  216.  
  217. In preliminary findings, GAO was so concerned with security weaknesses that it
  218. called in Department of Justice on January 9 and furnished it with a "limited
  219. official use" version of its report to give DEA time to correct problems, said
  220. Rep. Wise (D-W.Va.), chairman of House Government Operations Subcommittee, who
  221. ordered the investigation.  He said other government agencies should be wary of
  222. sharing information with DEA until security problems have been eliminated.
  223. Calls to DEA on progress of follow-up security procedures weren't returned.
  224. Findings are "indicative" of typical "apathetic security attitude" that the
  225. government has, said David Banisar, security expert for Computer Professionals
  226. for Social Responsibility.
  227.  
  228. GAO investigators found DEA couldn't adequately identify what computers used
  229. classified information.  "DEA cannot ensure that adequate safeguards are in
  230. place for protecting national security information," report said.  In spite of
  231. federal guidelines, GAO found that DEA hasn't "completed a risk analysis" of
  232. computer system.  Some classified computers were found to be operated in areas
  233. where contractors -- with no security clearances -- moved around with no
  234. restrictions.  No computers were found to be "tempest" hardened, meaning
  235. electronic emissions from keyboards can't be picked up.
  236.  
  237. In light of concern on outside intrusion from "hackers," GAO found several DEA
  238. computers were connected by phone lines "that are not encrypted" -- which it
  239. described as clear violation of national security guidelines.  The report said
  240. "unauthorized individuals can intercept or monitor information emanating from
  241. and transmitted by" the agency without being detected.  Classified information
  242. was found to be stored on hard disks in an "inadvertent" manner, allowing for
  243. the possibility that computers, when resold, still might hold data.  One such
  244. occurrence, recorded by GAO in its report, occurred last year when sensitive
  245. grand jury information on informants was left on surplus computers sold by DoJ
  246. at a public auction.
  247.  
  248. The report said that DEA has acknowledged weaknesses "and is taking action to
  249. correct them."
  250. _______________________________________________________________________________
  251.  
  252.  BBS Controversy Brews Close To Home                                 March 1992
  253.  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  254.  Taken from Puget Sound Computer User
  255.  Special Thanks: Peter Marshall in Telecom Digest
  256.  
  257. In a case before the Public Utility Commission of Oregon, US West is
  258. maintaining three phone lines connected to a free-access BBS in a residence
  259. should be billed at business rates.  Because of the similarities in tariffs
  260. >from state to state and US West's position in the case, many are predicting
  261. that if US West prevails, the company will be authorized to raise all Oregon
  262. BBS lines to business rates and try to raise rates for BBS lines in US West's
  263. remaining 13 states.
  264.  
  265. The case started when Tony Wagner, a Portland system operator, received a
  266. letter from US West in October, 1991.  In the letter, Communications Consultant
  267. Sandi Ouelette said "Bulletin board services are considered a business,
  268. therefore, subject to business rates ..."
  269.  
  270. One Seattle attorney interested in telecommunications said these attempts by
  271. the phone companies to raise rates for BBSes are "just another attempt to swipe
  272. people's communication."
  273. _______________________________________________________________________________
  274.  
  275.  1-800-54-PRIVACY                                                March 10, 1992
  276.  ~~~~~~~~~~~~~~~~
  277.  Taken from Communications Daily
  278.  
  279. American Newspaper Publishers Association (ANPA) President Cathleen Black asked
  280. American Paper Institute to support the newspaper industry's fight against
  281. RHCs, warning that the market for paper could drop if phone companies are
  282. allowed to expand activities into information services.  Increased electronic
  283. classified ads and other services could lead to cutbacks in demand for
  284. newsprint, Black said.  Newspaper producers, traditionally allied with ANPA,
  285. said they would study the matter.
  286.  
  287. Meanwhile, full-page newspaper ads placed by ANPA and allied Consumer
  288. Federation, Graphic Communications International Union, National Newspaper
  289. Association, and Weatherline have generated thousands of calls to an 800 number
  290. >from readers concerned about potential invasions of privacy by telephone
  291. companies.  The latest ad ran in the March 7 Washington Post, under the
  292. headline:  "Unless they're stopped, the Bells will know more about you than
  293. even the IRS." The ad advised callers to dial 1-800-547-7482, referred to in
  294. the telephone message as "1-800-54-privacy."
  295.  
  296. Gary Slack, of the Chicago PR firm Slack, Brown & Myers, which is coordinating
  297. the 800 campaign, said that the angle in the ad has become an effective weapon
  298. against RHCs because "there are a lot of people concerned about privacy."
  299. Callers are sent a 4-page letter signed by Black and "action guidelines" for
  300. asking legislators to support bills by Representative Cooper (D-Tenn.)
  301. (HR-3515) and Senator Inouye (D-Hawaii) (S-2112) that would restrict RHC entry
  302. into information services.  ANPA has argued that, through data on telephone
  303. bills, information can be collected about callers.
  304.  
  305. RHCs didn't have the incentive to use that data before, but now with the
  306. ability to offer information services, they do, ANPA said.  ANPA generally
  307. doesn't pay for ads, but offers them to newspapers to run when they have space,
  308. a spokesman said.  Pacific Telesis Vice-President Ronald Stowe said ANPA ads
  309. "show desperation and questionable ethics."  He said ANPA is using some of same
  310. tactics it has accused RHCs of using, including collecting information on
  311. subscribers.  ANPA ads are "really sewer-level stuff," Stowe said:  "There are
  312. enough legitimate issues that ought to be debated."
  313.  
  314. *** Editor's Note:  For more information on this story, please see "Standing Up
  315.     To Fight The Bells" by Knight Lightning in this issue of Phrack.
  316.  
  317. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
  318.  
  319.  Missouri Bulletin Board Case Settled                            March 24, 1992
  320.  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  321.  Taken from Communications Daily (Page 6)
  322.  
  323. Southwestern Bell in Missouri has filed a new tariff with the Missouri Public
  324. Service Commission (PSC) to allow computer bulletin board (BBS) operators to
  325. use residential lines.  The tariff would take effect April 10 if there are no
  326. complications.  Under proposal, the BBS operators at homes would be allowed to
  327. continue to use residence lines if they don't "solicit or require any
  328. remuneration, directly or indirectly, in exchange for access" and use 4 or
  329. fewer residential lines priced at flat rates.
  330.  
  331. BBSes that don't meet those requirements would be required to use business
  332. lines.  The tariff, negotiated between SWB and representatives of BBS
  333. operators, defines a BBS as "a data calculating and storage device(s) utilized
  334. as a vehicle to facilitate the exchange of information through the use of
  335. Southwestern Bell Telephone Company facilities."  BBS language is part of a
  336. high-grade Information Terminal Service originally aimed at business users with
  337. computers, but interpreted by BBS operators as targeted at them.  SWB
  338. originally had wanted to make the new service mandatory for computers with
  339. modems, but the new proposal, submitted March 11, makes it optional.
  340.  
  341. *** Editor's Note:  For more information, please see the numerous articles on
  342.     this topic in Phrack World News, Issue 37, Part 3.
  343. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
  344.  
  345. In a surprising turn of events, the April 14, 1992 issue of Communications
  346. Daily reports that U.S. West in the state of Washington has decided not to
  347. follow the example of Oregon attempt to raise rates for electronic bulletin
  348. board (BBS) hobbyists.
  349.  
  350. Patsy Dutton, consumer affairs manager for Washington Utilities &
  351. Transportation Commission (WUTC), asked U.S. West about its policy after
  352. receiving request from BBS operators.
  353.  
  354. In a letter dated March 31 to system operator Bruce Miller, Dutton said she had
  355. reviewed U.S. West tariff and had talked with company representatives as to
  356. current and future plans for BBS service:  "The company indicates it has no
  357. intention of changing its current procedure."  Residential service would be
  358. available for hobbyists, with business rates applying under other conditions.
  359.  
  360. An Oregon PUC law judge is currently considering complaint against U.S. West
  361. for raising rates of bulletin board operators there.
  362. _______________________________________________________________________________
  363.  
  364.  Congress Explores Dropping Subsidy of Federal Science Network   March 13, 1992
  365.  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  366.  Taken from Communications Daily (Page 6)
  367.  
  368.                           "Fairness For All Is Urged"
  369.  
  370. In hearing, Representative Boucher (D-Va.) questioned National Science
  371. Foundation (NSF) on its management policies and future direction of NSFnet,
  372. national research network.  He said it's "essential" that NSFnet be structured
  373. so all commercial providers of network services "receive equal treatment" and
  374. that government policy for managing the network "not favor any provider" or set
  375. of providers.
  376.  
  377. The current process of using federal money to subsidize NSFnet is "obsolete"
  378. said Mitchell Kapor, representing Commercial Internet Exchange (CIX)
  379. Association, a consortium of commercial network services suppliers.  Although
  380. federal money was necessary in the "early stages," when technology for building
  381. the network still was "experimental," now that the network is in place,
  382. government subsidy should stop, Kapor said.  He said CIX members can provide
  383. "any level of service" needed by the same community served by NSFnet --
  384. research and education.  Kapor said CIX members could build and service
  385. national backbones with "off-the-shelf" technology; however, he said, because
  386. federal money goes to support the current network backbone, NSFnet users are
  387. allowed on the network free and don't have an incentive to use commercial
  388. services.
  389.  
  390. William Schrader, president of Performance Systems International (PSI), said
  391. government could level the playing field by providing money directly to
  392. individual universities and letting them choose, on a "free-market" basis,
  393. which network service provider to use.  That system, he said, would provide
  394. incentive for several suppliers to upgrade networks in efforts to corral most
  395. customers.  Kapor said it also would "push the envelope" of technology to an
  396. even greater level.  With the current system in place, the technological level
  397. of the network will evolve more slowly because there would be no incentive to
  398. provide a higher level of service, he said.
  399.  
  400. Current users of NSFnet spoke against changing the status quo.  Michael
  401. Roberts, VP-networking for Educom, a task force of 48 universities, said that
  402. removing funding for the network would be "horrendous."  By requiring
  403. individual universities to seek out their own service providers, he said,
  404. government would have to institute another level of bureaucracy, creating
  405. "thousands of entitlements," which would be impossible logistically.  Douglas
  406. Van Houweling, speaking for NSFnet manager Merit, said removal of funding most
  407. likely would upset the networks' level of stability, leading to disruption in
  408. service that "millions of users" have become accustomed to.  By letting "any
  409. number" of commercial providers supply network services, there would be no
  410. guarantee of level of service, which is a "vital" mission of research labs,
  411. universities and federal agencies now using the network, Van Houweling said.
  412.  
  413. Federal agencies would rather have a stable network than improved service, said
  414. Stephen Wolff, director of NSF's Networking & Communications Division.  He told
  415. Boucher that federal agencies didn't want the network open to competition
  416. because they feared it would degrade the quality of service.  Wolff said NSF
  417. would proceed with its plan to commercialize network "within 5 years" as
  418. requested under the recently voted High-Performance Computing Act.  He also
  419. said he had presented to universities the idea of providing them with federal
  420. money and letting them purchase network services in the free market.  The
  421. proposal was "soundly rejected," he said, because universities didn't feel they
  422. were able to make such decisions. Instead, they supported NSF's current
  423. proposal of rebidding network management so that 2 network providers would be
  424. in place.  The new system would operate on model of government's FTS 2000
  425. program. NSF would grant awards for network services to 2 companies and have an
  426. independent 3rd party act as "traffic manager" to ensure one network provider
  427. wasn't favored over another.
  428. _______________________________________________________________________________
  429.  
  430.  MCI and Sprint Take Steps To Cut Off Swindlers                   April 1, 1992
  431.  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  432.  By Kent Gibbons (The Washington Times)(Page C1)
  433.  
  434. MCI and Sprint are cracking down on telephone fraud.
  435.  
  436. The two long-distance carriers are tackling different kinds of swindles,
  437. though:
  438.  
  439.     * MCI said it will stop sending out bills for pay-per-call operators who
  440.       promise help getting a loan, credit, a credit card or a job.
  441.  
  442.     * Sprint said it will offer large business customers a form of liability
  443.       insurance against unauthorized use of corporate switchboard lines.
  444.  
  445. MCI Communications Corporation of the District said it wanted to protect
  446. consumers who might be gulled into overpaying for some "900-number" services
  447. during economic troubles.
  448.  
  449. But long-distance carriers are also guarding their own bottom lines by
  450. tightening up pay-per-call standards, said telecommunications analyst James
  451. Ivers.
  452.  
  453. "They're acting fiscally responsibly because traditionally, these were the
  454. types of programs that created a high level of uncollectible" bills when
  455. ripped-off consumers refused to pay, said Mr.  Ivers, senior analyst with
  456. Strategic Telemedia, a consulting firm in New York.
  457.  
  458. Last September, Sprint Corporation, of Kansas City, MO, told more than 90
  459. percent of its 900-number customers it would no longer do their billing.  Long-
  460. distance firms cannot refuse to carry pay-per-call services, but most 900-
  461. number operators do not want the expense and trouble of doing their own
  462. collections.
  463.  
  464. American Telephone & Telegraph Co., of New York, said it has set up strict
  465. guidelines for all 900-number firms, such as disclosing in advertising any fees
  466. charged for credit processing.
  467.  
  468. AT&T spokesman Bob Nersesian said:  "We still think there are legitimate
  469. providers of this kind of service and our guidelines keep the dishonest guys
  470. off the network."
  471.  
  472. Sprint's switchboard-fraud liability protection is aimed at big customers,
  473. whose Sprint bills are more than $30,000 per month.
  474.  
  475. For an installation fee (up to $5,000) and a monthly charge (also up to
  476. $5,000), Sprint will absorb fraudulent phone charges above $25,000 per
  477. switchboard.  The customer pays the first $25,000.  Sprint's liability ends at
  478. $1 million.
  479.  
  480. Large and medium-sized companies can rack up huge bills if their private
  481. switches, known as private branch exchanges or PBXes, are broken into and used
  482. to make calls to other countries.
  483.  
  484. In a recent case, more than 20,000 calls were made on a company's PBX over a
  485. weekend, with the charges estimated at more than $1 million, said M.R. Snyder,
  486. executive director of Communications Fraud Control Association, a Washington
  487. trade group.
  488.  
  489. "It is certainly a fraud target that is ripe for being abused," Ms. Snyder
  490. said, especially since telephone carriers have improved their ability to spot
  491. unauthorized credit-card calls more quickly.
  492.  
  493. Overall, telecommunications fraud costs phone carriers and customers an
  494. estimated $1.2 billion per year, although the figure is really just a
  495. "guesstimate," Ms. Snyder said.
  496.  
  497. Company PBXes often have features that allow traveling employees, or distant
  498. customers, to call in and tap an outgoing line.  With computer programs,
  499. hackers can randomly dial numbers until they hit security codes.
  500.  
  501. Sometimes the codes are only four digits, so hackers don't even need a
  502. computer, said Bob Fox, Sprint's assistant vice president of corporate
  503. security.
  504.  
  505. Along with the fees, customers must agree to take certain precautions.  Those
  506. include using security codes at least eight digits long and eliminating the
  507. ability to tap outside lines through voice mail.  In return, Sprint will also
  508. monitor PBX use every day, instead of the five days per week currently done
  509. free for customers, Mr. Fox said.
  510.  
  511. MCI spokesman John Houser said his company will be watching Sprint to see if
  512. the program is a success.  Spokesman Andrew Myers said AT&T offers fraud
  513. protection to some corporate customers, but is not considering extending that
  514. to cover PBX abuse.
  515.  
  516. AT&T is currently involved in several lawsuits over disputed PBX charges that
  517. total "many millions" of dollars, Mr. Myers said.  Sprint officials said they
  518. have not sued any customers to collect on PBX fraud bills.
  519. _______________________________________________________________________________
  520.  
  521.  Sprint Offers Liability Limit For Corporate Phone Fraud          April 1, 1992
  522.  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  523.  By Edmund L. Andrews (New York Times)(Page D4)
  524.  
  525. The Sprint Communications Company, the nation's third-largest long-distance
  526. carrier, said that it would limit the liability of large corporate customers
  527. for the huge bills rung up by phone-service thieves who manipulate a company's
  528. telephone switching equipment and voice-mail systems.
  529.  
  530. Typically, such thieves call into a company on one of its toll-free "800"
  531. numbers and then figure out the codes necessary to obtain an outgoing line that
  532. can be used to call anywhere in the world.  These telephone "hackers" often
  533. sell plundered telephone codes to illegal operators who then sell overseas
  534. calls to hundreds of people at a time.  Sprint officials said this sort of
  535. fraud approached $1 billion a year.
  536.  
  537. The new Sprint plan would be available to companies that signed two-year
  538. contracts to buy at least $30,000 of international long-distance service a
  539. month and agreed to adopt a series of protective measures.  These include
  540. installing longer telephone codes that are harder for thieves to crack and new
  541. limits on the ability of voice-mail systems to obtain outgoing lines.
  542.  
  543. In exchange, customers would be held responsible for no more than $25,000 in
  544. stolen calls for each round of break-ins, and a maximum limit of $1 million a
  545. year.  Although that is still a substantial sum, it is much less than many
  546. companies have lost in recent years from theft of service by telephone hackers.
  547.  
  548. A Point of Contention
  549.  
  550. Thieves broke into the switchboard of Mitsubishi International in New York in
  551. 1990, for example, and ran up $430,000 in overseas telephone calls.  Procter &
  552. Gamble lost $300,000 in a similar incident in 1988.  Had either company been
  553. operating under the new Sprint plan, its liability would have been limited to
  554. $25,000.
  555.  
  556. Long-distance carriers and their corporate customers have long argued over who
  557. should bear responsibility for the huge bills caused by service theft.  The
  558. carriers have maintained that their customers are responsible for these bills,
  559. even if fraud is undisputed, arguing that the thieves took advantage of
  560. weaknesses in the customers' equipment, rather than in the weaknesses of the
  561. long-distance network itself.
  562.  
  563. But some corporate victims have argued that they had no idea their systems were
  564. vulnerable, while others contend that they incurred big losses even after
  565. adopting special security procedures.
  566.  
  567. MCI Moves Against '900' Fraud
  568.  
  569. In a separate issue involving telephone fraud, MCI Communications Corporation
  570. said it would no longer provide billing services for companies that use "900"
  571. numbers to offer credit cards, and that it would place tough new restrictions
  572. on the use of 900 numbers to sell job-placement services, contests and
  573. sweepstakes.
  574.  
  575. The long-distance company said its decision was based on numerous complaints
  576. about abusive and fraudulent sales practices.  Companies that provide
  577. information through the use of telephone numbers with the 900 area code charge
  578. callers a fee each time they call the number.  MCI and other long-distance
  579. companies carry these calls and bill customers on behalf of the company that
  580. provides the information service.
  581.  
  582. Pam Small, an MCI spokeswoman, declined to say how much revenue the company
  583. would lose because of the suspension.  But she said the 900 services that would
  584. be affected represented a small part of its pay-per-call business.
  585. _______________________________________________________________________________
  586.  
  587.  
  588.