home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / phrack2 / phrack41.012 < prev    next >
Encoding:
Text File  |  2003-06-11  |  47.8 KB  |  888 lines
  1.  
  2.                                 ==Phrack Inc.==
  3.  
  4.                   Volume Four, Issue Forty-One, File 12 of 13
  5.  
  6.               PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN
  7.               PWN                                             PWN
  8.               PWN              Phrack World News              PWN
  9.               PWN                                             PWN
  10.               PWN           Issue 41 / Part 2 of 3            PWN
  11.               PWN                                             PWN
  12.               PWN        Compiled by Datastream Cowboy        PWN
  13.               PWN                                             PWN
  14.               PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN
  15.  
  16.  
  17.  Government Cracks Down On Hacker                              November 2, 1992
  18.  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  19.  by Donald Clark (The San Francisco Chronicle)(Page C1)
  20.  
  21.          "Civil Libertarians Take Keen Interest In Kevin Poulsen Case"
  22.  
  23. Breaking new ground in the war on computer crime, the Justice Department plans
  24. to accuse Silicon Valley's most notorious hacker of espionage.
  25.  
  26. Kevin Lee Poulsen, 27, touched off a 17-month manhunt before being arrested on
  27. charges of telecommunications and computer fraud in April 1991.  A federal
  28. grand jury soon will be asked to issue a new indictment charging Poulsen with
  29. violating a law against willfully sharing classified information with
  30. unauthorized persons, assistant U.S. attorney Robert Crowe confirmed.
  31.  
  32. A 1988 search of Poulsen's Menlo Park storage locker uncovered a set of secret
  33. orders from a military exercise, plus evidence that Poulsen may have tried to
  34. log onto an Army data network and eavesdropped on a confidential investigation
  35. of former Philippine President Ferdinand Marcos.  It is not clear whether the
  36. new charge stems from these or other acts.
  37.  
  38. Poulsen did not hand secrets to a foreign power, a more serious crime, Crowe
  39. noted.  But by using an espionage statute against a U.S. hacker for the first
  40. time, prosecutors raise the odds of a record jail sentence that could be used
  41. to deter other electronic break-ins.
  42.  
  43. They could use a stronger deterrent.  Using personal computers connected to
  44. telephone lines, cadres of so-called cyberpunks have made a sport of tapping
  45. into confidential databases and voicemail systems at government agencies and
  46. corporations.  Though there is no reliable way to tally the damage, a 1989
  47. survey indicated that computer crimes may cost U.S. business $500 million a
  48. year, according to the Santa Cruz-based National Center for Computer Crime
  49. Data.
  50.  
  51. Telephone companies, whose computers and switching systems have long been among
  52. hackers' most inviting targets, are among those most anxious to tighten
  53. security.  Poulsen allegedly roamed at will through the networks of Pacific
  54. Bell, for example, changing records and even intercepting calls between Pac
  55. Bell security personnel who were on his trail.
  56.  
  57. The San Francisco-based utility has been intimately involved in his
  58. prosecution; Poulsen was actually captured in part because one of the company's
  59. investigators staked out a suburban Los Angeles supermarket where the fugitive
  60. shopped.
  61.  
  62. "Virtually everything we do these days is done in a computer --your credit
  63. cards, your phone bills," said Kurt von Brauch, a Pac Bell security officer who
  64. tracked Poulsen, in an interview last year. "He had the knowledge to go in
  65. there and alter them."
  66.  
  67.  
  68. BROAD LEGAL IMPACT
  69.  
  70. Poulsen's case could have broad impact because of several controversial legal
  71. issues involved.  Some civil libertarians, for example, question the Justice
  72. Department's use of the espionage statute, which carries a maximum 10-year
  73. penalty and is treated severely under federal sentencing guidelines.  They
  74. doubt the law matches the actions of Poulsen, who seems to have been motivated
  75. more by curiosity than any desire to hurt national security.
  76.  
  77. "Everything we know about this guy is that he was hacking around systems for
  78. his own purposes," said Mike Godwin, staff counsel for the Electronic Frontier
  79. Foundation, a public-interest group that has tracked Poulsen's prosecution.  He
  80. termed the attempt to use the statute against Poulsen "brain-damaged."
  81.  
  82. Poulsen, now in federal prison in Pleasanton, has already served 18 months in
  83. jail without being tried for a crime, much less convicted.  Though federal
  84. rules are supposed to ensure a speedy trial, federal judges can grant extended
  85. time to allow pretrial preparation in cases of complex evidence or novel legal
  86. issues.
  87.  
  88. Both are involved here.  After he fled to Los Angeles to avoid prosecution,
  89. for example, Poulsen used a special scrambling scheme on one computer to make
  90. his data files unintelligible to others.  It has taken months to decode that
  91. data, and the job isn't done yet, Crowe said.  That PC was only found because
  92. authorities intercepted one of Poulsen's phone conversations from jail, other
  93. sources said.
  94.  
  95.  
  96. CHARGES LABELED ABSURD
  97.  
  98. Poulsen declined requests for interviews.  His attorney, Paul Meltzer, terms
  99. the espionage charge absurd.  He is also mounting several unusual attacks on
  100. parts of the government's original indictment against Poulsen, filed in 1989.
  101.  
  102. He complains, for example, that the entire defense team is being subjected to
  103. 15-year background checks to obtain security clearances before key documents
  104. can be examined.
  105.  
  106. "The legal issues are fascinating," Meltzer said. "The court will be forced to
  107. make law."
  108.  
  109. Poulsen's enthusiasm for exploring forbidden computer systems became known to
  110. authorities in 1983.  The 17-year-old North Hollywood resident, then using the
  111. handle Dark Dante, allegedly teamed up with an older hacker to break into
  112. ARPAnet, a Pentagon-organized computer network that links researchers and
  113. defense contractors around the country. He was not charged with a crime because
  114. of his age.
  115.  
  116. Despite those exploits, Poulsen was later hired by SRI International, a Menlo
  117. Park-based think tank and government contractor, and given an assistant
  118. programming job with a security clearance.  Though SRI won't comment, one
  119. source said Poulsen's job involved testing whether a public data network, by
  120. means of scrambling devices, could be used to confidentially link classified
  121. government networks.
  122.  
  123. But Poulsen apparently had other sidelines.  Between 1985 and 1988, the Justice
  124. Department charges, Poulsen burglarized or used phony identification to sneak
  125. into several Bay Area phone company offices to steal equipment and confidential
  126. access codes that helped him monitor calls and change records in Pac Bell
  127. computers, prosecutors say.
  128.  
  129.  
  130. CACHE OF PHONE GEAR
  131.  
  132. The alleged activities came to light because Poulsen did not pay a bill at the
  133. Menlo/Atherton Storage Facility.  The owner snipped off a padlock on a storage
  134. locker and found an extraordinary cache of telephone paraphernalia.  A 19-count
  135. indictment, which also named two of Poulsen's associates, included charges of
  136. theft of government property, possession of wire-tapping devices and phony
  137. identification.
  138.  
  139. One of Poulsen's alleged accomplices, Robert Gilligan, last year pleaded guilty
  140. to one charge of illegally obtaining Pac Bell access codes.  Under a plea
  141. bargain, Gilligan received three years of probation, a $25,000 fine, and agreed
  142. to help authorities in the Poulsen prosecution.  Poulsen's former roommate,
  143. Mark Lottor, is still awaiting trial.
  144.  
  145. A key issue in Poulsen's case concerns CPX Caber Dragon, a code name for a
  146. military exercise in Fort Bragg, North Carolina.  In late 1987 or early 1988,
  147. the government charges, Poulsen illegally obtained classified orders for the
  148. exercise.  But Meltzer insists that the orders had been declassified by the
  149. time they were seized, and were reclassified after the fact to prosecute
  150. Poulsen.  Crowe said Meltzer has his facts wrong. "That's the same as saying
  151. we're framing Poulsen," Crowe said. "That's the worst sort of accusation I can
  152. imagine."
  153.  
  154. Another dispute focuses on the charge of unauthorized access to government
  155. computers.  FBI agents found an electronic copy of the banner that a computer
  156. user sees on first dialing up an Army network called MASNET, which includes a
  157. warning against unauthorized use of the computer system.  Meltzer says Poulsen
  158. never got beyond this computer equivalent of a "No Trespassing" sign.
  159.  
  160. Furthermore, Meltzer argues that the law is unconstitutional because it does
  161. not sufficiently define whether merely dialing up a computer qualifies as
  162. illegal "access."
  163.  
  164. Meltzer also denies that Poulsen could eavesdrop on calls.  The indictment
  165. accuses him of illegally owning a device called a direct access test unit,
  166. which it says is "primarily useful" for surreptitiously intercepting
  167. communications.  But Meltzer cites an equipment manual showing that the system
  168. is specifically designed to garble conversations, though it allows phone
  169. company technicians to tell that a line is in use.
  170.  
  171. Crowe said he will soon file written rebuttals to Meltzer's motions.  In
  172. addition to the new indictment he is seeking, federal prosecutors in Los
  173. Angeles are believed to be investigating Poulsen's activities while a fugitive. 
  174. Among other things, Poulsen reportedly taunted FBI agents on computer bulletin
  175. boards frequented by hackers.
  176.  
  177.  
  178. PHONE COMPANIES WORRIED
  179.  
  180. Poulsen's prosecution is important to the government -- and phone companies --
  181. because of their mixed record so far in getting convictions in hacker cases.
  182.  
  183. In one of the most embarrassing stumbles, a 19-year-old University of Missouri
  184. student named Craig Neidorf was indicted in February 1990 on felony charges for
  185. publishing a memorandum on the emergency 911 system of Bell South.  The case
  186. collapsed when the phone company information -- which the government said was
  187. worth $79,940 -- was shown by the defense to be available from another Bell
  188. system for just $13.50.
  189.  
  190. Author Bruce Sterling, whose "The Hacker Crackdown" surveys recent high-tech
  191. crime and punishment, thinks the phone company overstates the dangers from
  192. young hackers.  On the other hand, a Toronto high school student electronically
  193. tampered with that city's emergency telephone dispatching system and was
  194. arrested, he noted.
  195.  
  196. Because systems that affect public safety are involved, law enforcement
  197. officials are particularly anxious to win convictions and long jail sentences
  198. for the likes of Poulsen.
  199.  
  200. "It's very bad when the government goes out on a case and loses," said one
  201. computer-security expert who asked not to be identified.  "They are desperately
  202. trying to find something to hang him on."
  203.  
  204. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
  205.  
  206.  Computer Hacker Charged With Stealing Military Secrets        December 8, 1992
  207.  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  208.  Taken from the Associated Press
  209.  
  210. SAN FRANCISCO -- A computer hacker has been charged with stealing Air Force
  211. secrets that allegedly included a list of planned targets in a hypothetical
  212. war.
  213.  
  214. Former Silicon Valley computer whiz Kevin Poulsen, who was accused in the early
  215. 1980s as part of a major hacking case, was named in a 14-count indictment
  216. issued Monday.
  217.  
  218. He and an alleged accomplice already face lesser charges of unlawful use of
  219. telephone access devices, illegal wiretapping and conspiracy.
  220.  
  221. Poulsen, 27, of Los Angeles, faces 7-to-10 years in prison if convicted of the
  222. new charge of gathering defense information, double the sentence he faced
  223. previously.
  224.  
  225. His lawyer, Paul Meltzer, says the information was not militarily sensitive and
  226. that it was reclassified by government officials just so they could prosecute
  227. Poulsen on a greater charge.
  228.  
  229. A judge is scheduled to rule February 1 on Meltzer's motion to dismiss the
  230. charge.
  231.  
  232. In the early 1980s, Poulsen and another hacker going by the monicker Dark Dante
  233. were accused of breaking into UCLA's computer network in one of the first
  234. prosecutions of computer hacking.
  235.  
  236. He escaped prosecution because he was then a juvenile and went to work at Sun
  237. Microsystems in Mountain View.
  238.  
  239. While working for Sun, Poulsen illegally obtained a computer tape containing a
  240. 1987 order concerning a military exercise code-named Caber Dragon 88, the
  241. government said in court papers.  The order is classified secret and contains
  242. names of military targets, the government said.
  243.  
  244. In 1989, Poulsen and two other men were charged with stealing telephone access
  245. codes from a Pacific Bell office, accessing Pacific Bell computers, obtaining
  246. unpublished phone numbers for the Soviet Consulate in San Francisco; dealing in
  247. stolen telephone access codes; and eavesdropping on two telephone company
  248. investigators.
  249.  
  250. Poulsen remained at large until a television show elicited a tip that led to
  251. his capture in April 1991.
  252.  
  253. He and Mark Lottor, 27, of Menlo Park, are scheduled to be tried in March.  The
  254. third defendant, Robert Gilligan, has pleaded guilty and agreed to pay Pacific
  255. Bell $25,000.  He is scheduled to testify against Lottor and Poulsen as part of
  256. a plea bargain.
  257.  
  258. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
  259.  
  260.  CA Computer Whiz Is First Hacker Charged With Espionage      December 10, 1992
  261.  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  262.  by John Enders (The Associated Press)
  263.  
  264. SAN JOSE, California -- A 28-year-old computer whiz who reportedly once tested
  265. Department of Defense security procedures has become the first alleged computer
  266. hacker to be charged with espionage.
  267.  
  268. The government says Kevin Lee Poulsen stole classified military secrets and
  269. should go to prison.  But his lawyer calls him "an intellectually curious
  270. computer nerd."
  271.  
  272. Poulsen, of Menlo Park, California, worked in the mid-1980s as a consultant
  273. testing Pentagon computer security.  Because of prosecution delays, he was held
  274. without bail in a San Jose jail for 20 months before being charged this week.
  275.  
  276. His attorney, Paul Meltzer, says that Poulsen did not knowingly possess
  277. classified information.  The military information had been declassified by the
  278. time prosecutors say Poulsen obtained it, Meltzer said.
  279.  
  280. "They are attempting to make him look like Julius Rosenberg," Meltzer said of
  281. the man executed in 1953 for passing nuclear-bomb secrets to the Soviet Union. 
  282. "It's just ridiculous."
  283.  
  284. Poulsen was arrested in 1988 on lesser but related hacking charges. He
  285. disappeared before he was indicted and was re-arrested in Los Angeles in April
  286. 1991.  Under an amended indictment, he was charged with illegal possession of
  287. classified government secrets.
  288.  
  289. Poulsen also is charged with 13 additional counts, including eavesdropping on
  290. private telephone conversations and stealing telephone company equipment.
  291.  
  292. If convicted on all counts, he faces up to 85 years in prison and fines
  293. totaling $3.5 million, said Assistant U.S. Attorney Robert Crowe in San
  294. Francisco.
  295.  
  296. On Monday (12/7), Poulsen pleaded innocent to all charges.  He was handed over
  297. to U.S. Marshals in San Jose on Wednesday (12/9) and was being held at a
  298. federal center in Pleasanton near San Francisco.
  299.  
  300. He hasn't been available for comment, but in an earlier letter from prison,
  301. Poulsen called the charges "ludicrous" and said the government is taking
  302. computer hacking too seriously.
  303.  
  304. U.S. Attorney John A. Mendez said Wednesday (12/9) that Poulsen is not
  305. suspected of turning any classified or non-classified information over to a
  306. foreign power, but he said Poulsen's alleged activities are being taken very
  307. seriously.
  308.  
  309. "He's unique.  He's the first computer hacker charged with this type of
  310. violation -- unlawful gathering of defense information," Mendez said.
  311.  
  312. Assistant U.S. Attorney Robert Crowe said the espionage charge was entered only
  313. after approval from the Justice Department's internal security section in
  314. Washington.
  315.  
  316. The indictment alleges that Poulsen:
  317.  
  318. - Tapped into the Pacific Bell Co.'s computer and collected unpublished
  319.   telephone numbers and employee lists for the Soviet Consulate in San
  320.   Francisco.
  321.  
  322. - Stole expensive telephone switching and other equipment.
  323.  
  324. - Retrieved records of phone company security personnel and checked records of
  325.   their own calls to see if they were following him.
  326.  
  327. - Eavesdropped on telephone calls and computer electronic mail between phone
  328.   company investigators and some of his acquaintances.
  329.  
  330. - Tapped into an unclassified military computer network known as Masnet.
  331.  
  332. - Obtained a classified document on flight orders for a military exercise
  333.   involving thousands of paratroopers at the Army's Fort Bragg in North
  334.   Carolina.
  335.  
  336. The offenses allegedly took place between 1986 and 1988.
  337.  
  338. In 1985, the Palo Alto, California, think tank SRI International hired Poulsen
  339. to work on military contracts, including a sensitive experiment to test
  340. Pentagon computer security, according to published reports.  SRI has declined
  341. to comment on the case.
  342. _______________________________________________________________________________
  343.  
  344.  Hacker For Hire                                               October 19, 1992
  345.  ~~~~~~~~~~~~~~~
  346.  by Mark Goodman and Allison Lynn (People)(Page 151)
  347.  
  348.         "Real-life Sneaker Ian Murphy puts the byte on corporate spies."
  349.  
  350. THERE'S NO PRIVACY THESE DAYS," says Ian Murphy.  "Just imagine going into GM's
  351. or IBM's accounts and wiping them out.  You can bring about economic collapse
  352. by dropping in a virus without them even knowing it."  Scoff at your peril,
  353. Corporate America.  Captain Zap -- as Murphy is known in the electronic
  354. underworld of computer hackers -- claims there's no computer system he can't
  355. crack, and hence no mechanical mischief he can't wreak on corporations or
  356. governments.  And Murphy, 35, has the track record -- not to mention the
  357. criminal record -- to back up his boasts.
  358.  
  359. Murphy's fame in his subterranean world is such that he worked as a consultant
  360. for Sneakers, the hit film about a gang of computer-driven spies (Robert
  361. Redford, Sidney Poitier, Dan Aykroyd) lured into doing some high-risk
  362. undercover work for what they believe is the National Security Agency.
  363.  
  364. Murphy loved the way the movie turned out.  "It's like a training film for
  365. hackers," he says, adding that he saw much of himself in the Aykroyd character,
  366. a pudgy, paranoid fantasist named Mother who, like Murphy, plows through
  367. people's trash for clues.  In fact when Aykroyd walked onscreen covered with
  368. trash, Murphy recalls, "My friends turned to me and said, 'Wow, that's you!'" 
  369. If that sounds like a nerd's fantasy, then check out Captain Zap's credentials.
  370. Among the first Americans to be convicted of a crime involving  computer break-
  371. ins, he served only some easy community-service time in 1983 before heading
  372. down the semistraight, not necessarily narrow, path of a corporate spy.
  373.  
  374. Today, Murphy, 35, is president of IAM Secure Data Systems, a security
  375. consultant group he formed in 1982.  For a fee of $5,000 a day plus expenses,
  376. Murphy has dressed up as a phone-company employee and cracked a bank's security
  377. system, he has aided a murder investigation for a drug dealer's court defense,
  378. and he has conducted a terrorism study for a major airline.  His specialty,
  379. though, is breaking into company security systems -- an expertise he applied
  380. illegally in his outlaw hacker days and now, legally, by helping companies
  381. guard against such potential break-ins.  Much of his work lately, he says,
  382. involves countersurveillance -- that is, finding out if a corporation's
  383. competitors are searching its computer systems for useful information.  "It's
  384. industrial spying," Murphy says, "and it's happening all over the place."
  385.  
  386. Murphy came by his cloak-and-daggerish calling early.  He grew up in Gladwyne,
  387. Pennsylvania, on Philadelphia's Main Line, the son of Daniel Murphy, a retired
  388. owner of a stevedoring business, and his wife, Mary Ann, an advertising
  389. executive.  Ian recalls, "As a kid, I was bored.  In science I did wonderfully.
  390. The rest of it sucked.  And social skills weren't my thing."
  391.  
  392. Neither was college.  Ian had already begun playing around with computers at
  393. Archbishop Carroll High School; after graduation he joined the Navy.  He got an
  394. early discharge in 1975 when the Navy didn't assign him to radio school as
  395. promised, and he returned home to start hacking with a few pals.  In his
  396. heyday, he claims, he broke into White House and Pentagon computers.  "In the
  397. Pentagon," he says, "we were playing in the missile department, finding out
  398. about the new little toys they were developing and trying to mess with their
  399. information. None of our break-ins had major consequences, but it woke them the
  400. hell up because they [had] all claimed it couldn't be done."
  401.  
  402. Major consequences came later.  Murphy and his buddies created dummy
  403. corporations with Triple-A credit ratings and ordered thousands of dollars'
  404. worth of computer equipment.  Two years later the authorities knocked at
  405. Murphy's door.  His mother listened politely to the charges, then earnestly
  406. replied, "You have the wrong person.  He doesn't know anything about
  407. computers."
  408.  
  409. Right.  Murphy was arrested and convicted of receiving stolen property in 1982.
  410. But because there were no federal computer-crime laws at that time, he got off
  411. with a third-degree felony count.  He was fined $1,000, ordered to provide
  412. 1,000 hours of community service (he worked in a homeless shelter) and placed
  413. on probation for 2 1/2 years.  "I got off easy," he concedes.
  414.  
  415. Too easy, by his own mother's standards.  A past president of Republican Women
  416. of the Main Line, Mary Ann sought out her Congressman, Larry Coughlin, and put
  417. the question to him: "How would you like it if the next time you ran for
  418. office, some young person decided he was going to change all of your files?" 
  419. Coughlin decided he wouldn't like it and raised the issue on the floor of
  420. Congress in 1983.  The following year, Congress passed a national computer-
  421. crime law, making it illegal to use a computer in a manner not authorized by
  422. the owner.
  423.  
  424. Meanwhile, Murphy, divorced in 1977 after a brief marriage, had married Carol
  425. Adrienne, a documentary film producer, in 1982.  Marriage evidently helped set
  426. Murphy straight, and he formed his company -- now with a staff of 12 that
  427. includes a bomb expert and a hostage expert.  Countersurveillance has been
  428. profitable (he's making more than $250,000 a year and is moving out of his
  429. parents' house), but it has left him little time to work on his social skills -
  430. - or for that matter his health.  At 5 ft.6 in. and 180 lbs., wearing jeans,
  431. sneakers and a baseball cap, Murphy looks like a Hollywood notion of himself.
  432. He has suffered four heart attacks since 1986 but unregenerately smokes a pack
  433. of cigarettes a day and drinks Scotch long before the sun falls over the
  434. yardarm.
  435.  
  436. He and Carol divorced in April 1991, after 10 years of marriage.  "She got
  437. ethics and didn't like the work I did," he says.  These days Murphy dates --
  438. but not until he thoroughly "checks" the women he goes out with.  "I want to
  439. know who I'm dealing with because I could be dealing with plants," he explains. 
  440. "The Secret Service plays games with hackers."
  441.  
  442. Murphy does retain a code of honor.  He will work for corporations, helping to
  443. keep down the corporate crime rate, he says, but he won't help gather evidence
  444. to prosecute fellow hackers.  Indeed his rogue image makes it prudent for him
  445. to stay in the background.  Says Reginald Branham, 23, president of Cyberlock
  446. Consulting, with whom Murphy recently developed a comprehensive antiviral
  447. system: "I prefer not to take Ian to meetings with CEOs.  They're going to
  448. listen to him and say, 'This guy is going to tear us apart.'"  And yet Captain
  449. Zap, for all his errant ways, maintains a certain peculiar charm.  "I'm like
  450. the Darth Vader of the computer world," he insists.  "In the end I turn out to
  451. be the good guy."
  452.  
  453. (Photograph 1 = Ian Murphy)
  454. (Photograph 2 = River Phoenix, Robert Redford, Dan Aykroyd, and Sidney Poitier)
  455. (Photograph 3 = Mary Ann Murphy <Ian's mom>)
  456. _______________________________________________________________________________
  457.  
  458.  Yacking With A Hack                                                August 1992
  459.  ~~~~~~~~~~~~~~~~~~~
  460.  by Barbara Herman (Teleconnect)(Page 60)
  461.  
  462.                  "Phone phreaking for fun, profit & politics."
  463.  
  464. Ed is an intelligent, articulate 18 year old.  He's also a hacker, a self-
  465. professed "phreak" -- the term that's developed in a subculture of usually
  466. young, middle-class computer whizzes.
  467.  
  468. I called him at his favorite phone booth.
  469.  
  470. Although he explained how he hacks as well as what kinds of hacking he has been
  471. involved in, I was especially interested in why he hacks.
  472.  
  473. First off, Ed wanted to make it clear he doesn't consider himself a
  474. "professional" who's in it only for the money.  He kept emphasizing that
  475. "hacking is not only an action, it's a state of mind."
  476.  
  477. Phreaks even have an acronym-based motto that hints at their overblown opinions
  478. of themselves.  PHAC.  It describes what they do: "phreaking," "hacking,"
  479. "anarchy" and "carding."  In other words, they get into systems over the
  480. telecom network (phreaking), gain access (hacking), disrupt the systems
  481. (political anarchy) and use peoples' calling/credit cards for their personal
  482. use.
  483.  
  484. Throughout our talk, Ed showed no remorse for hacking.  Actually, he had
  485. contempt for those he hacked.  Companies were "stupid" because their systems'
  486. were so easy to crack.  They deserved it.
  487.  
  488. As if they should have been thankful for his mercy, he asked me to imagine what
  489. would have happened if he really hacked one railway company's system (he merely
  490. left a warning note), changing schedules and causing trains to collide.
  491.  
  492. He also had a lot of disgust for the "system," which apparently includes big
  493. business (he is especially venomous toward AT&T), government, the FBI, known as
  494. "the Gestapo" in phreak circles, and the secret service, whose "intelligence
  495. reflects what their real jobs should be, secret service station attendants."
  496.  
  497. He doesn't really believe any one is losing money on remote access toll fraud.
  498.  
  499. He figures the carriers are angry not about money lost but rather hypothetical
  500. money, the money they could have charged for the free calls the hackers made,
  501. which he thinks are overpriced to begin with.
  502.  
  503. He's also convinced (wrongly) that companies usually don't foot the bill for
  504. the free calls hackers rack up on their phone systems.  "And, besides, if some
  505. multi-million dollar corporation has to pay, I'm certainly not going to cry for
  506. them."
  507.  
  508. I know.  A twisted kid.  Weird.  But besides his skewed ethics, there's also a
  509. bunch of contradictions.
  510.  
  511. He has scorn for companies who can't keep him out, even though he piously warns
  512. them to try.
  513.  
  514. He dismisses my suggestion that the "little guy" is in fact paying the bills
  515. instead of the carrier.  And yet he says AT&T is overcharging them for the
  516. "vital" right to communicate with each other.
  517.  
  518. He also contradicted his stance of being for the underdog by calling the
  519. railway company "stupid" for not being more careful with their information.
  520.  
  521. Maybe a railway company is not necessarily the "little guy," but it hardly
  522. seems deserving of the insults Ed hurled at it.  When I mentioned that a
  523. hospital in New York was taken for $100,000 by hackers, he defended the hackers
  524. by irrelevantly making the claim that doctors easily make $100,000 a year. 
  525. Since when did doctors pay hospital phone bills?
  526.  
  527. What Ed is good at is rationalizing.  He lessens his crimes by raising them to
  528. the status of political statements, and yet in the same breath, for example, he
  529. talks about getting insider info on the stock market and investing once he
  530. knows how the stock is doing.  He knows it's morally wrong, he told me, but
  531. urged me to examine this society that "believes in making a buck any way you
  532. can.  It's not a moral society."
  533.  
  534. Amazingly enough, the hacker society to which Ed belongs, if I can
  535. unstatistically use him as a representative of the whole community, is just as
  536. tangled in the contradictions of capitalism as the "system" they supposedly
  537. loathe.  In fact, they are perhaps more deluded and hypocritical because they
  538. take a political stance rather than recognizing their crimes for what they are. 
  539. How can Ed or anyone else in the "phreaking" community take seriously their
  540. claims of being against big business and evil capitalism when they steal
  541. people's credit-card and calling-card numbers and use them for their own
  542. profit?
  543.  
  544. The conversation winded down after Ed rhapsodized about the plight of the
  545. martyred hacker who is left unfairly stigmatized after he is caught, or "taken
  546. down."
  547.  
  548. One time the Feds caught his friend hacking ID codes, had several phone
  549. companies and police search his house, and had his computer taken away.  Even
  550. though charges were not filed, Ed complained, "It's not fair."
  551.  
  552. That's right, phreak.  They should have thrown him in prison.
  553. _______________________________________________________________________________
  554.  
  555.  Computer Hacker On Side Of Law                              September 23, 1992
  556.  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  557.  by Shelby Grad (Los Angeles Times)(Page B3)
  558.  
  559. COSTA MESA, CA -- Philip Bettencourt's formal title is photo lab supervisor for
  560. the Costa Mesa Police Department.  But on Tuesday afternoon, he served as the
  561. department's official computer hacker.
  562.  
  563. Bettencourt, pounding the keyboard excitedly as other officers looked on, was
  564. determined to find information within a stolen computer's vast memory that
  565. would link the machine to its owner.
  566.  
  567. So far, he had made matches for all but two of the 26 computers recovered
  568. earlier this month by police as part of a countywide investigation of stolen
  569. office equipment.  This would be number 25.
  570.  
  571. First, he checked the hard drive's directory, searching for a word-processing
  572. program that might include a form letter or fax cover sheet containing the
  573. owner's name, address or phone number.
  574.  
  575. When that failed, he tapped into an accounting program, checking for clues on
  576. the accounts payable menu.
  577.  
  578. "Bingo!"  Bettencourt yelled a few minutes into his work.  He found an invoice
  579. account number to a Fountain Valley cement company that might reveal the
  580. owner's identity.  Seconds later, he came across the owner's bank credit-card
  581. number.
  582.  
  583. And less than a minute after that, Bettencourt hit pay dirt: The name of a
  584. Santa Ana building company that, when contacted, revealed that it had indeed
  585. been the victim of a recent computer burglary.
  586.  
  587. "This is great," said Bettencourt, who has been interested in computers for
  588. nearly two decades now, ever since Radio Shack put its first model on the
  589. market.  "I love doing this.  This is hacking, but it's in a good sense, not
  590. trying to hurt someone.  This is helping people."
  591.  
  592. Few computer owners who were reunited with their equipment would contest that.
  593. When Costa Mesa police recovered $250,000 worth of computers, fax machines,
  594. telephones and other office gadgets, detectives were faced with the difficult
  595. task of matching machines bearing few helpful identifying marks to their
  596. owners, said investigator Bob Fate.
  597.  
  598. Enter Bettencourt, who tapped into the computers' hard drives, attempting to
  599. find the documents that would reveal from whom the machines were taken.
  600.  
  601. As of Tuesday, all but $50,000 worth of equipment was back in owners' hands.
  602. Investigators suggested that people who recently lost office equipment call the
  603. station to determine if some of the recovered gadgetry belongs to them.
  604.  
  605. Ironically, the alleged burglars tripped themselves up by not erasing the data
  606. from the computers before reselling the machines, authorities said.  A college
  607. student who purchased one of the stolen computers found data from the previous
  608. owner, whom he contacted.  Police were then called in, and a second "buy" was
  609. scheduled in which several suspects were arrested, Fate said.
  610.  
  611. Three people were arrested September 15 and charged with receiving and
  612. possessing stolen property.  Police are still searching for the burglars.
  613.  
  614. The office equipment was recovered from an apartment and storage facility in
  615. Santa Ana.
  616.  
  617. Bettencourt matched the final stolen computer to its owner before sundown
  618. Tuesday.
  619. _______________________________________________________________________________
  620.  
  621.  CuD's 1992 MEDIA HYPE Award To FORBES MAGAZINE
  622.  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  623.  by Jim Thomas (Computer Underground Digest)
  624.  
  625. In recent years, media depiction of "hackers" has been criticized for
  626. inaccurate and slanted reporting that exaggerates the public dangers of the
  627. dread "hacker menace." As a result, CuD annually recognizes the year's most
  628. egregious example of media hype.
  629.  
  630. The 1992 annual CuD GERALDO RIVERA MEDIA HYPE award goes to WILLIAM G. FLANAGAN
  631. AND BRIGID McMENAMIN for their article "The Playground Bullies are Learning how
  632. to Type" in the 21 December issue of Forbes (pp 184-189).  The authors improved
  633. upon last year's winner, Geraldo himself, in inflammatory rhetoric and
  634. distorted narrative that seems more appropriate for a segment of "Inside
  635. Edition" during sweeps week than for a mainstream conservative periodical.
  636.  
  637. The Forbes piece is the hands-down winner for two reasons.  First, one reporter
  638. of the story, Brigid McMenamin, was exceptionally successful in creating for
  639. herself an image as clueless and obnoxious. Second, the story itself was based
  640. on faulty logic, rumors, and some impressive leaps of induction.  Consider the
  641. following.
  642.  
  643.  
  644.                          The Reporter: Brigid McMenamin
  645.  
  646. It's not only the story's gross errors, hyperbole, and irresponsible distortion
  647. that deserve commendation/condemnation, but the way that Forbes reporter Brigid
  648. McMenamin tried to sell herself to solicit information.
  649.  
  650. One individual contacted by Brigid McM claimed she called him several times
  651. "bugging" him for information, asking for names, and complaining because
  652. "hackers" never called her back.  He reports that she explicitly stated that
  653. her interest was limited to the "illegal stuff" and the "crime aspect" and was
  654. oblivious to facts or issues that did not bear upon hackers-as-criminals.
  655.  
  656. Some persons present at the November 2600 meeting at Citicorp, which she
  657. attended, suggested the possibility that she used another reporter as a
  658. credibility prop, followed some of the participants to dinner after the
  659. meeting, and was interested in talking only about illegal activities. One
  660. observer indicated that those who were willing to talk to her might not be the
  661. most credible informants.  Perhaps this is one reason for her curious language
  662. in describing the 2600 meeting.
  663.  
  664. Another person she contacted indicated that she called him wanting names of
  665. people to talk to and indicated that because Forbes is a business magazine, it
  666. only publishes the "truth."  Yet, she seemed not so much interested in "truth,"
  667. but in finding "evidence" to fit a story.  He reports that he attempted to
  668. explain that hackers generally are interested in Unix and she asked if she
  669. could make free phone calls if she knew Unix.  Although the reporter stated to
  670. me several times that she had done her homework, my own conversation with her
  671. contradicted her claims, and if the reports of others are accurate, here claims
  672. of preparation seem disturbingly exaggerated.
  673.  
  674. I also had a rather unpleasant exchange with Ms. McM.  She was rude, abrasive,
  675. and was interested in obtaining the names of "hackers" who worked for or as
  676. "criminals." Her "angle" was clearly the hacker-as-demon.  Her questions
  677. suggested that she did not understand the culture about which she was writing.
  678. She would ask questions and then argue about the answer, and was resistant to
  679. any "facts" or responses that failed to focus on "the hacker criminal." She
  680. dropped Emmanuel Goldstein's name in a way that I interpreted as indicating a
  681. closer relationship than she had--an incidental sentence, but one not without
  682. import -- which I later discovered was either an inadvertently misleading
  683. choice of words or a deliberate attempt to deceptively establish credentials. 
  684. She claimed she was an avowed civil libertarian.  I asked why, then, she didn't
  685. incorporate some of those issues. She invoked publisher pressure.  Forbes is a
  686. business magazine, she said, and the story should be of interest to readers.
  687. She indicated that civil liberties weren't related to "business."  She struck
  688. me as exceptionally ill-informed and not particularly good at soliciting
  689. information.  She also left a post on Mindvox inviting "hackers" who had been
  690. contacted by "criminals" for services to contact her.
  691.  
  692.      >Post: 150 of 161
  693.      >Subject: Hacking for Profit?
  694.      >From: forbes (Forbes Reporter)
  695.      >Date: Tue, 17 Nov 92 13:17:34 EST
  696.      >
  697.      >Hacking for Profit?  Has anyone ever offered to pay you (or
  698.      >a friend) to get into a certain system and alter, destroy or
  699.      >retrieve information?  Can you earn money hacking credit
  700.      >card numbers, access codes or other information? Do you know
  701.      >where to sell it?  Then I'd like to hear from you.  I'm
  702.      >doing research for a magazine article.  We don't need you
  703.      >name.  But I do want to hear your story.  Please contact me
  704.      >Forbes@mindvox.phantom.com.
  705.  
  706. However, apparently she wasn't over-zealous about following up her post or
  707. reading the Mindvox conferences.  When I finally agreed to send her some
  708. information about CuD, she insisted it be faxed rather than sent to Mindvox
  709. because she was rarely on it.  Logs indicate that she made only six calls to
  710. the board, none of which occurred after November 24.
  711.  
  712. My own experience with the Forbes reporter was consistent with those of others. 
  713. She emphasized "truth" and "fact-checkers," but the story seems short on both. 
  714. She emphasized explicitly that her story would *not* be sensationalistic. She
  715. implied that she wanted to focus on criminals and that the story would have the
  716. effect of presenting the distinction between "hackers" and real criminals.
  717. Another of her contacts also appeared to have the same impression.  After our
  718. less-than-cordial discussion, she reported it to the contact, and he attempted
  719. to intercede on her behalf in the belief that her intent was to dispel many of
  720. the media inaccuracies about "hacking."  If his interpretation is correct, then
  721. she deceived him as well, because her portrayal of him in the story was
  722. unfavorably misleading.
  723.  
  724. In CuD 4.45 (File #3), we ran Mike Godwin's article on "How to Talk to the
  725. Press," which should be required reading. His guidelines included:
  726.  
  727.      1) TRY TO THINK LIKE THE REPORTER YOU'RE TALKING TO.
  728.      2) IF YOU'RE GOING TO MEET THE REPORTER IN PERSON, TRY TO
  729.         BRING SOMETHING ON PAPER.
  730.      3) GIVE THE REPORTER OTHER PEOPLE TO TALK TO, IF POSSIBLE.
  731.      4) DON'T ASSUME THAT THE REPORTER WILL COVER THE STORY THE WAY
  732.         YOU'D LIKE HER TO.
  733.  
  734. Other experienced observers contend that discussing "hacking" with the press
  735. should be avoided unless one knows the reporter well or if the reporter has
  736. established sufficient credentials as accurate and non-sensationalist.  Using
  737. these criteria, it will probably be a long while before any competent
  738. cybernaught again speaks to Brigid McMenamin.
  739.  
  740.  
  741.                                    The Story
  742.  
  743. Rather than present a coherent and factual story about the types of computer
  744. crime, the authors instead make "hackers" the focal point and use a narrative
  745. strategy that conflates all computer crime with "hackers."
  746.  
  747. The story implies that Len Rose is part of the "hacker hood" crowd.  The lead
  748. reports Rose's prison experience and relates his feeling that he was "made an
  749. example of" by federal prosecutors.  But, asks the narrative, if this is so,
  750. then why is the government cracking down? Whatever else one might think of Len
  751. Rose, no one ever has implied that he as a "playground bully" or "hacker hood." 
  752. The story also states that 2600 Magazine editor Emmanuel Goldstein "hands
  753. copies <of 2600> out free of charge to kids.  Then they get arrested." (p. 188-
  754. -a quote attributed to Don Delaney), and distorts (or fabricates) facts to fit
  755. the slant:
  756.  
  757.      According to one knowledgeable source, another hacker brags
  758.      that he recently found a way to get into Citibank's
  759.      computers. For three months he says he quietly skimmed off a
  760.      penny or so from each account. Once he had $200,000, he quit.
  761.      Citibank says it has no evidence of this incident and we
  762.      cannot confirm the hacker's story.  But, says computer crime
  763.      expert Donn Parker of consultants SRI International: "Such a
  764.      'salami attack' is definitely possible, especially for an
  765.      insider" (p. 186).
  766.  
  767. Has anybody calculated how many accounts one would have to "skim" a few pennies
  768. from before obtaining $200,000?  At a dime apiece, that's over 2 million.  If
  769. I'm figuring correctly, at one minute per account, 60 accounts per minute non-
  770. stop for 24 hours a day all year, it would take nearly 4 straight years of on-
  771. line computer work for an out-sider.  According to the story, it took only 3
  772. months.  At 20 cents an account, that's over a million accounts.
  773.  
  774. Although no names or evidence are given, the story quotes Donn Parker of SRI as
  775. saying that the story is a "definite possibility."  Over the years, there have
  776. been cases of skimming, but as I remember the various incidents, all have been
  777. inside jobs and few, if any, involved hackers.  The story is suspiciously
  778. reminiscent of the infamous "bank cracking" article published in Phrack as a
  779. spoof several years ago.
  780.  
  781. The basis for the claim that "hacker hoods" (former "playground bullies") are
  782. now dangerous is based on a series of second and third-hand rumors and myths.
  783. The authors then list from "generally reliable press reports" a half-dozen or
  784. so non-hacker fraud cases that, in context, would seem to the casual reader to
  785. be part of the "hacker menace." I counted in the article at least 24 instances
  786. of half-truths, inaccuracies, distortions, questionable/spurious links, or
  787. misleading claims that are reminiscent of 80s media hype. For example, the
  788. article attributes to Phiber Optik counts in the MOD indictment that do not
  789. include him, misleads on the Len Rose indictment and guilty plea, uses second
  790. and third hand information as "fact" without checking the reliability, and
  791. presents facts out of context (such as attributing the Morris Internet worm to
  792. "hackers).
  793.  
  794. Featured as a key "hacker hood" is "Kimble," a German hacker said by some to be
  795. sufficiently media-hungry and self-serving that he is ostracized by other
  796. German hackers. His major crime reported in the story is hacking into PBXes.
  797. While clearly wrong, his "crime" hardly qualifies him for the "hacker
  798. hood/organized crime" danger that's the focus of the story. Perhaps he is
  799. engaged in other activities unreported by the authors, but it appears he is
  800. simply a run-of-the-mill petty rip-off artist. In fact, the authors do not make
  801. much of his crimes. Instead, they leap to the conclusion that "hackers" do the
  802. same thing and sell the numbers "increasingly" to criminals without a shred of
  803. evidence for the leap.  To be sure the reader understands the menace, the
  804. authors also invoke unsubstantiated images of a hacker/Turkish Mafia connection
  805. and suggest that during the Gulf war, one hacker was paid "millions" to invade
  806. a Pentagon computer and retrieve information from a spy satellite (p. 186).
  807.  
  808. Criminals use computers for crime. Some criminals may purchase numbers from
  809. others. But the story paints a broader picture, and equates all computer crime
  810. with "hacking."  The authors' logic seems to be that if a crime is committed
  811. with a computer, it's a hacking crime, and therefore computer crime and
  812. "hackers" are synonymous.  The story ignores the fact that most computer crime
  813. is an "inside job" and it says nothing about the problem of security and how
  814. the greatest danger to computer systems is careless users.
  815.  
  816. One short paragraph near the end mentions the concerns about civil liberties,
  817. and the next paragraph mentions that EFF was formed to address these concerns.
  818. However, nothing in the article articulates the bases for these concerns.
  819. Instead, the piece promotes the "hacker as demon" mystique quite creatively.
  820.  
  821. The use of terms such as "new hoods on the block," "playground bullies," and
  822. "hacker hoods" suggests that the purpose of the story was to find facts to fit
  823. a slant.
  824.  
  825. In one sense, the authors might be able to claim that some of their "facts"
  826. were accurate.  For example, the "playground bullies" phrase is attributed to
  827. Cheshire Catalyst.  "Gee, *we* didn't say it!"  But, they don't identify
  828. whether it's the original CC or not.  The phrase sounds like a term used in
  829. recent internecine "hacker group" bickering, and if this was the context, it
  830. hardly describes any new "hacker culture."  Even so, the use of the phrase
  831. would be akin to a critic of the Forbes article referring to it as the product
  832. of "media whores who are now getting paid for doing what they used to do for
  833. free," and then applying the term "whores" to the authors because, hey, I
  834. didn't make up the term, somebody else did, and I'm just reporting (and using
  835. it as my central metaphor) just the way it was told to me.  However, I suspect
  836. that neither Forbes' author would take kindly to being called a whore because
  837. of the perception that they prostituted journalistic integrity for the pay-off
  838. of a sexy story.  And this is what's wrong with the article: The authors take
  839. rumors and catch-phrases, "merely report" the phrases, but then construct
  840. premises around the phrases *as if* they were true with little (if any)
  841. evidence.  They take an unconfirmed "truth" (where are fact checkers when you
  842. need them) or an unrelated "fact" (such as an example of insider fraud) and
  843. generalize from a discrete fact to a larger population. The article is an
  844. excellent bit of creative writing.
  845.  
  846.  
  847.                             Why Does It All Matter?
  848.  
  849. Computer crime is serious, costly, and must not be tolerated.  Rip-off is no
  850. joke.  But, it helps to understand a problem before it can be solved, and lack
  851. of understanding can lead to policies and laws that are not only ineffective,
  852. but also a threat to civil liberties.  The public should be accurately informed
  853. of the dangers of computer crime and how it can be prevented. However, little
  854. will be served by creating demons and falsely attributing to them the sins of
  855. others.  It is bad enough that the meaning" of the term "hacker" has been used
  856. to apply both to both computer delinquents and creative explorers without also
  857. having the label extended to include all other forms of computer criminals as
  858. well.
  859.  
  860. CPSR, the EFF, CuD, and many, many others have worked, with some success, to
  861. educate the media about both dangers of computer crime and the dangers of
  862. inaccurately reporting it and attributing it to "hackers."  Some, perhaps most,
  863. reporters take their work seriously, let the facts speak to them, and at least
  864. make a good-faith effort not to fit their "facts" into a narrative that--by one
  865. authors' indication at least -- seems to have been predetermined.
  866.  
  867. Contrary to billing, there was no evidence in the story, other than
  868. questionable rumor, of "hacker" connection to organized crime.  Yet, this type
  869. of article has been used by legislators and some law enforcement agents to
  870. justify a "crackdown" on conventional hackers as if they were the ultimate
  871. menace to society.  Forbes, with a paid circulation of over 735,000 (compared
  872. to CuDs unpaid circulation of only 40,000), reaches a significant and
  873. influential population.  Hysterical stories create hysterical images, and these
  874. create hysteria-based laws that threaten the rights of law-abiding users.  When
  875. a problem is defined by irresponsibly produced images and then fed to the
  876. public, it becomes more difficult to overcome policies and laws that restrict
  877. rights in cyberspace.
  878.  
  879. The issue is not whether "hackers" are or are not portrayed favorably.  Rather,
  880. the issue is whether images reinforce a witch-hunt mentality that leads to the
  881. excesses of Operation Sun Devil, the Steve Jackson Games fiasco, or excessive
  882. sentences for those who are either law-abiding or are set up as scapegoats. 
  883. The danger of the Forbes article is that it contributes to the persecution of
  884. those who are stigmatized not so much for their acts, but rather for the signs
  885. they bear.
  886. _______________________________________________________________________________
  887. ^L
  888.