home *** CD-ROM | disk | FTP | other *** search
/ The Hacker Chronicles - A…the Computer Underground / The Hacker Chronicles - A Tour of the Computer Underground (P-80 Systems).iso / cud1 / cud103c.txt < prev    next >
Text File  |  1992-09-26  |  6KB  |  111 lines
  1.  
  2.  
  3.   ****************************************************************************
  4.                   >C O M P U T E R   U N D E R G R O U N D<
  5.                                 >D I G E S T<
  6.                ***  Volume 1, Issue #1.03 (April 8, 1990)   **
  7.   ****************************************************************************
  8.  
  9. MODERATORS:   Jim Thomas / Gordon Meyer
  10. REPLY TO:     TK0JUT2@NIU.bitnet
  11.  
  12. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  13. information among computerists and to the presentation and debate of
  14. diverse views.
  15. --------------------------------------------------------------------
  16. DISCLAIMER: The views represented herein do not necessarily represent the
  17.             views of the moderators. Contributors assume all responsibility
  18.             for assuring that articles submitted do not violate copyright
  19.             protections.
  20. --------------------------------------------------------------------
  21.  
  22.  
  23. ***************************************************************
  24. ***  Computer Underground Digest Issue #1.03 / File 3 of 6  ***
  25. ***************************************************************
  26.  
  27. (Contributed by Ellis Dea)
  28.  
  29.         The March 19, 1990 issue of The Scientist contains an article
  30. titled "NASA Network Faulted for Security Gaps" (2, 12).  An interesting
  31. heading of the page twelve continuation of the article is "NASA Says Best
  32. Defense Against Hackers is Prosecution" (12).  The Scientist, as usual,
  33. maintains its objectivity through the novel approach of supporting BOTH
  34. sides of the issue.  Although I find it difficult to raise ambivalence and
  35. equivocation to the level of objectivity, the publication should at least
  36. be commended for at least mentioning the faulty security, especially as
  37. almost everybody reading this knows full well that the system password for
  38. NASA's computer system was for a long time 3210 (cleaver?  who would ever
  39. think of trying that?).
  40.  
  41.         SPAN (Space Physics Analysis Network) is an unclassified network on
  42. which research scientists share information that is vital to their work.
  43. Much of the information could be of general interest, but much of it would
  44. be far over the head of the average "hacker."  SPAN investigates every
  45. violation of security, it says, but one wonders why.  None of the alleged
  46. incidents have resulted in any loss of data, thus proving that those who
  47. did gain access illegally had no malice in mind.  If they had resulted in
  48. loss of data, however, I would strongly question why that information was
  49. not backed up.  Better yet, why is the information restricted at all?  Why
  50. not simply make this information available to the general public, perhaps
  51. on a duplicate machine?
  52.  
  53.         What is happening here is a conflict between the General Accounting
  54. Office (GAO) and the people who are trying to maintain the computer system.
  55. The GAO is pointing out, quite correctly, that they are doing their jobs.
  56. NASA is countering that it is much better to prosecute than to prevent (not
  57. quite in those words, but that is the point that emerges).  The truth of
  58. the matter is that those who are supposed to preventing unauthorized access
  59. to the SPAN network are incompetent.  The best way to cover up incompetence
  60. is to hide behind some sort of moral or legal shield.
  61.  
  62.         Actually, what the GAO says in its report makes perfect sense which
  63. may be one reason why NASA is resisting it and posturing instead:  "Suppose
  64. a SPAN user at university X taps into the system and is connected with the
  65. Johnson Space Center.  And suppose he figures out how to bypass the files
  66. he is pointed to and taps into another database.  Could he cause
  67. significant damage to that system is he tried to change it?  And what's the
  68. information worth?  That's what we think NASA should be trying to find
  69. out."  Suppose the system is such that he could NOT cause significant
  70. damage?  Why worry about it then?  Suppose the information is worthless?
  71. Why bother?  Why not try to find out?  Because this "hacker" could cause
  72. significant damage and NASA knows it.  Furthermore, NASA is incapable, at
  73. the present time, of preventing it.  If NASA had enough brains, it would
  74. hire some of these "hackers" as consultants and fix their systems rather
  75. than expecting our penal system to do it for them.
  76.  
  77.          At the present time, it seems that NASA is relying on the threat
  78. of prosecution to prevent unauthorized access to SPAN.   One of NASA's
  79. arguments is that to increase security would make access more difficult.
  80. Since their database is designed primarily for scientists, especially
  81. astrophysicists, one can not expect them to make the system too complicated
  82. and thus above the heads of their users, but one can expect at least of
  83. modicum of expertise in these areas from them.  Certainly, the threat of
  84. prosecution seems absurd.
  85.  
  86.         We can realize its absurdity by making a simple analogy to everyday
  87. life.  Of course, it may be considered a bit unfair by NASA for us to
  88. expect them to take reality into consideration, but a bit of common sense
  89. can not always be out of place.  The situation seems to me analogous to
  90. saying that we will no longer lock the doors to our homes or automobiles
  91. when we leave them --we will henceforth rely on law enforcement to protect
  92. our belongings.  From now on, we will impose draconian penalties on anyone
  93. who steals anything from us without our permission.  We will cut their
  94. fingers or hands off, castrate them, etc.  Even under these conditions,
  95. even with a tremendous influx of money for enforcement of these penalties,
  96. I am sure that we would continue to lock our doors and I am somewhat
  97. certain that even those speaking for NASA in this case would continue to
  98. lock their doors.
  99.  
  100.         If I could humbly offer a bit of advice to NASA:  lock your doors.
  101. Furthermore, if you find that a hacker has opened your door, why not seek
  102. his advice on how to lock it better?  Why not even sponsor some sort of
  103. contest?  See who does the best job of getting around your security (for
  104. they will anyway) and reward that person.  Or perhaps punish him by putting
  105. HIM in charge of your computer security.  He could certainly do a damn
  106. better job of it than you are doing now and you could go back to your
  107. research.
  108.  
  109. 
  110. Downloaded From P-80 International Information Systems 304-744-2253 12yrs+
  111.