home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 1 / HACKER1.ISO / cud3 / cud300b.txt < prev    next >
Text File  |  1992-08-18  |  14KB  |  289 lines
  1.  
  2.  
  3.   ****************************************************************************
  4.                   >C O M P U T E R   U N D E R G R O U N D<
  5.                                 >D I G E S T<
  6.               ***  Volume 3, Issue #3.00 (January 6, 1991)   **
  7.   ****************************************************************************
  8.  
  9. MODERATORS:   Jim Thomas / Gordon Meyer  (TK0JUT2@NIU.bitnet)
  10. ARCHIVISTS:   Bob Krause / Alex Smith / Bob Kusumoto
  11. BYTEMASTER:  Brendan Kehoe
  12.  
  13. USENET readers can currently receive CuD as alt.society.cu-digest.
  14. Anonymous ftp sites: (1) ftp.cs.widener.edu (2) cudarch@chsun1.uchicago.edu
  15. E-mail server: archive-server@chsun1.uchicago.edu.
  16.  
  17. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  18. information among computerists and to the presentation and debate of
  19. diverse views.  CuD material may be reprinted as long as the source is
  20. cited.  Some authors, however, do copyright their material, and those
  21. authors should be contacted for reprint permission.
  22. It is assumed that non-personal mail to the moderators may be reprinted
  23. unless otherwise specified. Readers are encouraged to submit reasoned
  24. articles relating to the Computer Underground.
  25. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  26. DISCLAIMER: The views represented herein do not necessarily represent the
  27.             views of the moderators. Contributors assume all responsibility
  28.             for assuring that articles submitted do not violate copyright
  29.             protections.
  30. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  31. ------------------------------
  32.  
  33. From: Various
  34. Subject: From the Mailbag
  35. Date: January 6, 1991
  36.  
  37. ********************************************************************
  38. ***  CuD #3.00: File 2 of 6: From the Mailbag                    ***
  39. ********************************************************************
  40.  
  41. From: wayner@SVAX.CS.CORNELL.EDU(Peter Wayner)
  42. Subject: Re: Cu Digest, #2.19
  43. Date: Thu, 3 Jan 91 14:27:26 -0500
  44.  
  45. This is in reply to John Debert's note in CuDigest #2.19:
  46.  
  47. He writes:
  48. "Now, suppose that someone has used this method to encrypt files on his/her
  49. system and then suppose that Big Brother comes waltzing in with a seizure
  50. warrant, taking the system along with all the files but does not take the
  51. code keys with them. Knowing Big Brother, he will really be determined to
  52. find evidence of a crime and is not necessarily beneath (or above) fudging
  53. just a bit to get that evidence. What's to keep him from fabricating such
  54. evidence by creating code keys that produce precisely the resultsthat they
  55. want-evidence of a crime? Would it not be a relatively simple procedure to
  56. create false evidence by creating a new key using the encrypted files and a
  57. plaintext file that says what they want it to? Using that new key, they
  58. could, in court, decrypt the files and produce the desired result, however
  59. false it may be. How can one defend oneself against such a thing? By
  60. producing the original keys? Whom do you think a court would believe in
  61. such a case?
  62.  
  63. One should have little trouble seeing the risks posed by encryption."
  64.  
  65. This is really unlikely, because in practice most people only use one-time
  66. pads for communication. They are not in any way practical for on-site
  67. encryption. Imagine you have 40 megabytes of data. If you want to encrypt
  68. it with a one-time pad, you need 40 megabytes of key. If you did this,
  69. it would be very secure because there exists a perfectly plausible 40 Meg key
  70. for each possible 40 meg message.
  71.  
  72. But, if you were going to keep the 40 megs of encrypted data handy, you
  73. would need to keep the 40 megs of key just as handy. When the government
  74. came to call, they would get the key as well. That is why it is only
  75. practical to use systems like DES and easy to remember, relatively short
  76. keys to do the encryption. That way there is nothing to seize but your
  77. brain.
  78.  
  79. ---Peter Wayner
  80. Dept. of Computer Science, Cornell Univ.
  81. (wayner@cs.cornell.edu)
  82.  
  83. ++++++++++++++++++++++++++
  84.  
  85. From: CuD Dump Account <works!cud@UUNET.UU.NET>
  86. Subject:   BBSs as Business Phones?
  87. Date: Thu, 03 Jan 91 15:57:49 EDT
  88.  
  89. Ok this is just a quick question.
  90.  
  91. How can it be legal to make BBS' operators shell out extra money for a
  92. hobby, answering machines aren't something people have to pay extra for,
  93. and in some cases thats what BBS's are used for. If its a public BBS, it is
  94. receiving no true income from its users, unless they pay a standard,
  95. billable time, (ie. A commercial BBS) What gives them the right to charge
  96. us now? They don't force you to pay for special business class lines/fiber
  97. optic lines to call lond distance do they? No its by choice. Most SysOps
  98. buy the cheapest line available which is usually local only, no dial out,
  99. etc. SysOp's in the long run absorb most, if not all the costs of running a
  100. BBS, that means power, servicing, and the phone. The phone line at minimum,
  101. is going to cost at least a hundred or so per year. Then power, its absurd.
  102. In my case, I run a BBS to share information, and I allow everyone on for
  103. free.  I've seen the old FCC proposals to have people using modems pay
  104. more, but I don't rightly see why. If I am not mistaken this is bordering
  105. on their greed to make more money for the growing modem populous.
  106.  
  107. Do they have a right to charge us? are they providing any type of special
  108. service because we have a modem on the line, instead of an answering
  109. machine, FAX, phone, or other? we are private citizens, it should be up to
  110. us how we use the phones. TelCo's still a monopoly
  111.  
  112. There are a lot of rumours about this type of thing, only I've never seen
  113. it actually put into action.
  114.  
  115. +++++++++++++++++++++++++
  116.  
  117. From: Paul Cook <0003288544@MCIMAIL.COM>
  118. Suject: Response to "Hackers as a software development tool"
  119. Date: Fri, 4 Jan 91 06:44 GMT
  120.  
  121. %Andy Jacobson <IZZYAS1@UCLAMVS.BITNET> writes:%
  122. >
  123. >I received one of those packs of postcards you get with comp.  subscription
  124. >magazines (Communications Week) that had an unbelievable claim in one of
  125. >the ads. I quote from the advertisement, but I in no way promote,
  126. >recommend, or endorse this.
  127. >
  128. >"GET DEFENSIVE!
  129. >YOU CAN'S SEE THEM BUT YOU KNOW THEY'RE THERE.
  130. >Hackers pose an invisible but serious threat to your information system.
  131. >Let LeeMah DataCom protect your data with the only data security system
  132. >proven impenetrable by over 10,000 hackers in LeeMah Hacker Challenges I
  133. >and II. For more information on how to secure your dial-up networks send
  134. >this card or call, today!" (Phone number and address deleted.)
  135. >
  136. >So it seems they're claiming that 10,000 hackers (assuming there are that
  137. >many!) have hacked their system and failed. Somehow I doubt it. Maybe they
  138. >got 10,000 attempts by a team of dedicated hackers, (perhaps employees?)
  139. >but has anyone out there heard of the LeeMah Hacker Challenges I and II?
  140.  
  141. Yes, Lee Mah is for real.  They make a some nice computer security
  142. equipment to stop folks from trying to gain access to your dialup modems.
  143.  
  144. The "Hacker Challenge" is for real too.  They publicized it for a long
  145. time, and I recall reading about it in PC Week, Byte, and possibly
  146. InfoWorld.  I don't know how accurate the "10,000" hackers is (maybe it was
  147. 10,000 call attempts?) but they ran a couple of contests where they gave a
  148. phone number of one of their devices, and offered some kind of a prize to
  149. anyone who could figure out how to get in.  I have seen the Lee Mah
  150. catalog, and I don't recall how they provide security, but I think some of
  151. their gear uses dialback modems that call pre-programmed user numbers when
  152. the right code is entered.
  153.  
  154. ++++++++++++++++++++++
  155.  
  156. From: stanley@PHOENIX.COM(John Stanley)
  157. Subject: Re: a.k.a. freedom of expression
  158. Date: Fri, 04 Jan 91 23:45:31 EST
  159.  
  160. In CuD 2.19, balkan!dogface!bei@CS.UTEXAS.EDU(Bob Izenberg) writes:
  161.  
  162. > I read this in issue 2.16 of the Computer Underground Digest:
  163. >
  164. >          [ quoted text follows ]
  165. >
  166. >           ADAM E. GRANT, a/k/a The             :
  167. >           Urvile, and a/k/a Necron 99,         :
  168. >           FRANKLIN E. DARDEN, JR., a/k/a       :
  169. >           The Leftist, and                     :
  170. >           ROBERT J. RIGGS, a/k/a               :
  171. >           The Prophet                          :
  172. >           [ quoted text ends ]
  173. >
  174. > The assumption here, that an alias employed in computer communications is
  175. > the same as an alias used to avoid identification or prosecution, doesn't
  176. > reflect an awareness of the context within which such communications
  177. > exist.
  178.  
  179. The only reason "The Prophet" was used was to avoid identification.
  180. But, that doesn't really matter. The reason it was included in the
  181. Government doohicky was to identify the one legal name and alternates
  182. chosen by the defendant used by him as his sole identification at specific
  183. times.
  184.  
  185. > The very nature of some computer operating systems demands some
  186. > form of alias from their users. Management policy also affects how you
  187. > can identify yourself to a computer, and to anyone who interacts with you
  188. > through that computer.
  189.  
  190. How you identify yourself in communications is entirely up to you.  You
  191. do not need to use your computer User ID as your sole identity. Note that
  192. the From: line of your original post identified you, as does mine.  If I
  193. add a .sig that identifies me as "Draken, Lord of Trysdil", and remove the
  194. From: comment name, then you know me as Draken, and bingo, I have an a.k.a.
  195. Am I doing it to commit a crime? Probably not. It doesn't really matter.
  196.  
  197. > If we strip the implication from those three letters
  198. > that the party of the leftmost part is calling themselves the party of the
  199. > rightmost part to avoid getting nabbed with the goods, what's left?
  200.  
  201. You are left with the fact that they are also known as ..., which is
  202. just what the a.k.a stands for. It does NOT stand for Alias for Kriminal
  203. Activity, as you seem to think it does. The "implication" you speak of is
  204. an incorrect inferance on your part. Guilty conscience?
  205.  
  206. > In using a computer communications medium, particularly an informal one
  207. > like a BBS, the name you choose can set the tone for the aspect of your
  208. > personality that you're going to present (or exaggerate.)
  209.  
  210. You mean, like, the name you chose is how you will be known? Like, you
  211. will be known to some as "Bob Izenberg", but on the BBS you will be also
  212. known as "Krupkin the Gatherer"? Like a.k.a.?
  213.  
  214. > Are radio
  215. > announcers using their "air names" to avoid the law?  How about people with
  216. > CB handles?  Movie actors and crew members?  Fashion designers?  Society
  217. > contains enough instances of people who, for creative reasons, choose
  218. > another name by which they're known to the public.
  219.  
  220. And if any of them go to court, they will have a.k.a., too. There will
  221. be their legal name, followed by the a.k.a. There is no implication of
  222. criminal activity from just having an a/k/a, just the indication that the
  223. prosecution wants to make sure the defendants are identified. "Him.  That
  224. one, right there. His legal name is X, but he is also known as Y and Z. All
  225. the evidence that says that Y did something is refering to him, X, because
  226. the witness knows him by that."
  227.  
  228. > Whenever somebody uses a.k.a., correct them%!
  229.  
  230. Ok, consider this a correction, at your own demand.
  231.  
  232. +++++++++++++++++++++++
  233.  
  234. From: 6600mld@UCSBUXA.BITNET
  235. Subject: Response to Encryption dangers in seizures
  236. Date: Sat, 5 Jan 91 14:19:07 PST
  237.  
  238. >Subject: Encryption dangers in Seizures
  239. >Date: Sat, 29 Dec 90 11:20 PST
  240.  
  241. [misc background on encryption and its use to thwart Big Brother deleted.]
  242.  
  243. >Now, suppose that someone has used this method to encrypt files on his/her
  244. >system and then suppose that Big Brother comes waltzing in with a seizure
  245. >warrant, taking the system along with all the files but does not take the
  246. >code keys with them. Knowing Big Brother, he will really be determined to
  247. >find evidence of a crime and is not necessarily beneath (or above) fudging
  248. >just a bit to get that evidence. What's to keep him from fabricating such
  249. >evidence by creating code keys that produce precisely the results that they
  250. >want-evidence of a crime? Would it not be a relatively simple procedure to
  251. >create false evidence by creating a new key using the encrypted files and a
  252. >plaintext file that says what they want it to? Using that new key, they
  253. >could, in court, decrypt the files and produce the desired result, however
  254. >false it may be. How can one defend oneself against such a thing? By
  255. >producing the original keys? Whom do you think a court would believe in
  256. >such a case?  > >One should have little trouble seeing the risks posed by
  257. encryption.
  258.  
  259. I think it unlikely that if the Feds wanted to frame you or fabricate
  260. evidence that they would bother to use the encrypted data found at your
  261. site.  Instead, I think, they would fabricate the whole wad -- plaintext,
  262. key, and ciphertext.  For this reason, it is not only one-time key
  263. encryption that is threatened, but iterative algorithms as well.
  264.  
  265. So, if I have data encrypted, and the feds are going to "fix" it, why is
  266. this any more dangerous than having NO DATA?  If they want to frame me,
  267. they're going to (try), regardless of whether they found encrypted data or
  268. not!  Thus, I see encryption as preventing the feds from really KNOWING
  269. what you do and do not have.  This is very valuable.  I think that even in
  270. our mostly corrupt government that it would be difficult to fabricate
  271. evidence to the tune of posession of AT&T source code.
  272.  
  273. Similar tactics can be applied JUST AS EASILY to physical crimes.  The
  274. crime lab finds a dead guy with a .44 slug in him.  The suspect owns a .44,
  275. but not the one used in the shooting.  What is to prevent the (now seized)
  276. .44 of the suspect to be fired and the slug swapped for the slug discovered
  277. in the body?  This is trivial to accomplish, assuming the poeple involved
  278. are sufficiently crooked.
  279.  
  280. Now, I'm not saying that the Feds don't fabricate evidence.  But I do not
  281. think that encrypting one's data makes one a more vulnerable target to such
  282. injustice.
  283.  
  284. >jd / onymouse@netcom.UUCP     netcom!onymouse@apple.com
  285.  
  286. ********************************************************************
  287.                            >> END OF THIS FILE <<
  288. ***************************************************************************
  289.