home *** CD-ROM | disk | FTP | other *** search
/ The Hacker Chronicles - A…the Computer Underground / The Hacker Chronicles - A Tour of the Computer Underground (P-80 Systems).iso / intro / author.txt next >
Text File  |  1993-01-07  |  10KB  |  148 lines
  1.        Words from the author:
  2.  
  3.            Over the last 12 years I have worn many hats.  That of a
  4.        Phone Phreak/Hacker, Sysop of one of the oldest BBS's in the
  5.        world, and that of technical security consultant. To some there
  6.        might seem a conflict of interest in the hats I have worn.  But,
  7.        my belief is that the material found in the underground computer
  8.        sub-culture of Hackers & Phone Phreaks should be considered a form
  9.        of educational service to systems designers/administrators, as
  10.        well as programmers, law enforcement and others involved in the
  11.        design, improvement, and policeing of the electronic frontier.
  12.            True, there will always be that certain percentage of people
  13.        who would use this (or any other information) maliciously.  It
  14.        is also my belief that these people are in the minority. These
  15.        people while usually teenagers with more ego than intellect can
  16.        if desired find the majority of this information in any library,
  17.        magazine, or newsletter already in print. Most of this style of
  18.        material doesnt originate on underground BBS's, but rather ends
  19.        up there as a compilation of like materials. However to some,
  20.        such as law enforcement for example, a threat is perceived and
  21.        derived from seeing the compilation of this style material all
  22.        in one place and accessable via computer. Just the fact that it
  23.        comes from a computer some how makes it more ominous than if read
  24.        from some obscure techno underground newsletter. This is nothing
  25.        more than a perception problem.
  26.            A case in point is the Craig Neidorf case where he was raided
  27.        and had all of his personal computer equipment taken and charged
  28.        with tens of thousands of damage and losses, because of releaseing
  29.        what was at the time 'perceived' as critical 911 services
  30.        information. Only to have the case thrown out later and discovering
  31.        the self same 911 material was available publicly (if you knew where
  32.        to look) for $30 dollars. While I personally have no great love
  33.        for Craig and was badly and unjustly chastised by him once, he still
  34.        should not have been left with the loss of thousands in personal
  35.        property/equipment, not to mention a hundred thousand (I think that
  36.        was the figure I heard quoted) in attorney's fees. This doesnt
  37.        include the hundreds of thousands in lost tax payer dollars that
  38.        were needlessly squandered on that case.
  39.            My point is that the first thing that needs done is to clean up
  40.        the problem, not the person. For example, my first major systems
  41.        consulting contract was for a long distance telco who was lossing
  42.        $450,000 a month in New York City alone. When hired, the first words
  43.        out of my mouth were 'I'm not a head hunter', as this practice would
  44.        only cost them 3-5 more dollars in investigative and legal fees in
  45.        order to aquire and prosecute for every dollar they lost in fraud.
  46.        The solution I offered was to fix the problem at its source (their
  47.        system).
  48.            After reviewing their setup from top to bottom It didnt
  49.        take long to discover their billing code/PIN structure was at the
  50.        heart of the problem. They had given a secretary a pad and pencil
  51.        and said, we need some codes, here's how many digits they need to be
  52.        so write down some and turn them in for use. In addition they were
  53.        only using 4 digit codes at the time. To make matters worse the codes
  54.        were only spaced a few digits apart thanks to the secratary who had
  55.        no idea the significance of what she was doing. All this by a branch
  56.        of what was then the 4th largest long distance company in the
  57.        country. Gross negligence at best. But, who is the first to cry foul
  58.        when their ineptitude was taken advantage of.
  59.            From someone such as myself who bore the title of Phone Phreak
  60.        proudly, this entire situation was nothing short of hilarious.
  61.        However it was quite simple to fix. I needed only apply basic
  62.        and common knowledge I had aquired from my studies around the
  63.        computer/telecomm subculture. A task that should be promoted by the
  64.        security powers that be, inorder to educate themselves, instead
  65.        of going out and hiring ex-FBI and Ex-Police officers with an
  66.        investigative/rubber hose mentality who didnt even have a true
  67.        understanding of the problem they were hired to fix, to run their
  68.        security departments. Who often like the very people they were
  69.        chasing were operating on ego rather than intellect (not to mention
  70.        authority). As potentially dangerous a combination to individual rights
  71.        enjoyed in this country as the dangers provided by the malicious types
  72.        within the computer underground itself. The point here is that
  73.        there are problems within both the law enforcement and underground.
  74.            Let me now give a couple of examples of how I used underground
  75.        experience to fix this monumental snafu. First the obvious. Myself
  76.        and a programmer friend (The Researcher) sat down and designed and
  77.        wrote software to generate a new code network which was not 4 but
  78.        but 7 digits in length, and only permitted one 'possible'
  79.        (if assigned) good code in every 10,000 possible combinations.
  80.        Ironically this software was written and tested and run on the very
  81.        BBS machine that ran what was at the time (and still is) the oldest
  82.        underground BBS in the world (P-80 Systems).
  83.            Next, knowing that computers were used to do the majority of
  84.        the code hacking at this time, it made the task simple to fix the
  85.        switching equipment. Before I tell you how this was accomplished,
  86.        a little advance training is in order. When you are dialing a number
  87.        through any phone company local or national when you do something
  88.        wrong (or even right for that matter) you get whats called a
  89.        'treatment' such as a recording or a 'fast busy' signal. With
  90.        this in mind I first had to deal with the problem of the existing
  91.        older codes that had not been converted to my 7 digit system and
  92.        were still highly open to to fraud (it takes awhile to assign
  93.        thousands of customers new codes). This was done by adding 6 new
  94.        treatment ports to the switching equipment. On the first two ports
  95.        I put ring generators (the device that provides the sound of the
  96.        phone ringing in your earpiece) to create a ring with no possible
  97.        answer situation when a bad code was dialed. Since the fraudulent
  98.        codes were being reassigned on a daily basis with new 7 digit codes
  99.        it provided a lot confusion for people still in posession of the
  100.        older 4 digit codes. they couldnt tell if it was a dead code or
  101.        the person they were calling just wasnt home, while not hampering
  102.        the legitimate customer who simply misdialed his code. On the next
  103.        2 treatment ports I placed Hayes modems, which were like the other
  104.        two ports in so much as they were a two in 6 chance of being aquired
  105.        as a treatment for a bad code being dialed. This action gave the most
  106.        effective security of the time due to the fact that people hacking via
  107.        computer relied on a modem carrier to distinguish when they had gotten
  108.        a good code. SO I GAVE THEM ONE. This made it almost impossible to
  109.        distinguish a good code from a false carrier I was sending out.
  110.        Thus making it difficult and near (but not) impossible to hack
  111.        codes from that network. It also provided nothing more than a
  112.        'hey I wonder what I did wrong' thought to a legit customer who just
  113.        misdialed and simply dials again as they normally would. Also one
  114.        of there big problems was New York City was so big, that a call to
  115.        another part of town could be long distance. New York City alone had
  116.        five area codes. This meant that by simply blocking any calls who's
  117.        area code is 'local or local long distance' I.E. in the city but a
  118.        long distance call,  which they should have been doing anyway in order
  119.        not to be trafficing local calls (a big nono in the long distance world)
  120.        they could stop this problem and significantly reduce the impact of the
  121.        of the old 4 digit codes already comprimised and being used
  122.        specifically for the purpose of local calls at the same time.
  123.             Within 6 months their losses went from $450,000 a month to zero.
  124.        The net cost in equipment for switch changes, and the new code network
  125.        was about $5,000. Pennies for an operation of this size. When compared
  126.        against the hundreds of thousands in investigative and legal fee's
  127.        as well as tax dollars and additional taxation of the court system,
  128.        which is already overburdoned. How many people are not in jail and
  129.        being supported by the american tax dollar. I guess the moral to
  130.        the story is work smart not hard. Someone took the time to
  131.        trust me and to take a look at themselves and make the decision to use
  132.        the underground as a tool for solving the 'real' problem rather than
  133.        using it to track and apprehend people (which in case no one caught on,
  134.        doesnt fix the problem in the example above).  At the risk of stating
  135.        the obvious, many of these people could be of great benifit to society
  136.        if properly utilized (as opposed to stigmatized). If the time was
  137.        taken to invite them in the front door, your less likely to see them
  138.        around at the back door. As a matter of fact they might be quite an
  139.        appropriate individual to protect the back door. Most of these guys
  140.        would jump at the chance.....
  141.  
  142.            In closing I would like to take time to repeat the warning voiced
  143.        elsewhere on this disk, Please DO NOT attempt to use any material
  144.        found on this disk unless you are certain it is both legal and safe.
  145.  
  146.                                                 Scan Man
  147.  
  148.