home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 1 / HACKER1.ISO / cud3 / cud314b.txt < prev    next >
Text File  |  1992-09-11  |  7KB  |  130 lines
  1. ------------------------------
  2.  
  3. From: Gene Spafford <spaf@CS.PURDUE.EDU>
  4. Subject: Comments on your comments on Len Rose
  5. Date: Sat, 30 Mar 91 14:41:02 EST
  6.  
  7. ********************************************************************
  8. ***  CuD #3.14: File 2 of 6: Comments on Len Rose Articles       ***
  9. ********************************************************************
  10.  
  11. {Moderators' comment: Spaf just sent his latest book, PRACTICAL UNIX
  12. SECURITY, co-authored with Simson Garfinkel to the publishers
  13. (O'Reilly and Associates ((the Nutshell Handbook people). It's
  14. approximately 475 pages and will available in mid-May. From our
  15. reading of the table of contents, and from preview comments
  16. ("definitive," destined to be the "standard reference"), it looks like
  17. something well-worth the $29.95 investment.}
  18.  
  19. There is little doubt that law enforcement has sometimes been
  20. overzealous or based on ignorance.  That is especially true as
  21. concerns computer-related crimes, although it is not unique to that
  22. arena. Reporting of some of these incidents has also been incorrect.
  23. Obviously, we all wish to act to prevent future such abuses,
  24. especially as they apply to computers.
  25.  
  26. However, that being the case does not mean that everyone accused under
  27. the law is really innocent and the target of "political" persecution.
  28. That is certainly not reality; in some cases the individuals charged
  29. are clearly at fault.  By representing all of them as innocents and
  30. victims, you further alienate the moderates who would otherwise be
  31. sympathetic to the underlying problems.  By trying to represent every
  32. individual charged with computer abuse as an innocent victim, you are
  33. guilty of the same thing you condemn law enforcement of when they
  34. paint all "hackers" as criminals.
  35.  
  36. In particular, you portray Len Rose as an innocent whose life has been
  37. ruined through no fault of his own, and who did nothing to warrant
  38. Federal prosecution.  That is clearly not the case.  Len has
  39. acknowledged that he was in possession of, and trafficing in, source
  40. code he knew was proprietary.  He even put multiple comments in the
  41. code he modified stating that, and warning others not to get caught
  42. with it.  The patch he made would surreptitiously collect passwords
  43. and store them in a hidden file in a public directory for later use.
  44. The argument that this patch could be used for system security is
  45. obviously bogus; a system admin would log these passwords to a
  46. protected, private file, not a hidden file in a public directory.
  47. Further, your comments about having root access are not appropriate,
  48. either, for a number of reasons -- sometimes, root access can be
  49. gained temporarily without the password, so a quick backdoor is all
  50. that can be planted.  Usually, crackers like to find other ways on
  51. that aren't as likely to be monitored as "root", so getting many user
  52. passwords is a good idea.  Finally, if passwords got changed, this
  53. change would still allow them to find new ways in, as long as the
  54. trojan wasn't found.
  55.  
  56. The login changes were the source of the fraud charge.  It is
  57. certainly security-related, and the application of the law appears to
  58. be appropriate.  By the comments Len made in the code, he certainly
  59. knew what he was doing, and he knew how the code was likely to be
  60. used: certainly not as a security aid.  As somebody with claimed
  61. expertise in Unix as a consultant, he surely knew the consequences of
  62. distributing this patched code.
  63.  
  64. An obvious claim when trying to portray accused individuals as victims
  65. is that their guilty pleas are made under duress to avoid further
  66. difficulties for their family or some other third party.  You made
  67. that claim about Len in your posting.  However, a different
  68. explanation is just as valid -- Len and his lawyers realized that he
  69. was guilty and the evidence was too substantial, and it would be more
  70. beneficial to Len to plead guilty to one charge than take a chance
  71. against five in court.  I am inclined to believe that both views are
  72. true in this case.
  73.  
  74. Your comments about Len's family and career are true enough, but they
  75. don't mean anything about his guilt or innocence, do they?  Are bank
  76. robbers or arsonists innocent because they are the sole means of
  77. support for their family?  Should we conclude they are "political"
  78. victims because of their targets?  Just because the arena of the
  79. offenses involves computers does not automatically mean the accused is
  80. innocent of the charges.  Just because the accused has a family which
  81. is inconvenienced by the accused serving a possible jail term does
  82. not mean the sentence should be suspended.
  83.  
  84. Consider that Len was under Federal indictment for the login.c stuff,
  85. then got the job in Illinois and knowingly downloaded more source code
  86. he was not authorized to access (so he has confessed).  Does this
  87. sound like someone who is using good judgement to look out for his
  88. family and himself?  It is a pity that Len's family is likely to
  89. suffer because of Len's actions.  However, I think it inappropriate to
  90. try and paint Len as a victim of the system.  He is a victim of his
  91. own poor judgement.  Unfortunately, his family has been victimized by
  92. Len, too.
  93.  
  94. I share a concern of many computer professionals about the application
  95. of law to computing, and the possible erosion of our freedoms.
  96. However, I also have a concern about the people who are attempting to
  97. abuse the electronic frontier and who are contributing to the decline
  98. in our freedoms.  Trying to defend the abusers is likely to result in
  99. a loss of sympathy for the calls to protect the innocent, too.  I
  100. believe that one reason the EFF is still viewed by some people as a
  101. "hacker defense fund" is because little publicity has been given to
  102. the statements about appropriate laws punishing computer abusers;
  103. instead, all the publicity has been given to their statements about
  104. defending the accused "hackers."
  105.  
  106. In the long term, the only way we will get the overall support we need
  107. to protect innocent pursuits is to also be sure that we don't condone
  108. or encourage clearly illegal activities.  Groups and causes are judged
  109. by their icons, and attempts to lionize everyone accused of computer
  110. abuse is not a good way to build credibility -- especially if those
  111. people are clearly guilty of those abuses.  The Neidorf case is
  112. probably going to be a rallying point in the future.  The Steve
  113. Jackson Games case might be, once the case is completed (if it ever
  114. is).  However, I certainly do not want to ask people to rally around
  115. the cases of Robert Morris or Len Rose as examples of government
  116. excess, because I don't think they were, and neither would a
  117. significant number of reasonable people who examine the cases.
  118.  
  119. I agree that free speech should not be criminalized.  However, I also
  120. think we should not hide criminal and unethical behavior behind the
  121. cry of "free speech."   Promoting freedoms without equal promotion of
  122. the responsibility behind those freedoms does not lead to a greater
  123. good.  If you cry "wolf" too often, people ignore you when the wolf is
  124. really there.
  125.  
  126. ********************************************************************
  127.                            >> END OF THIS FILE <<
  128. ***************************************************************************
  129.  
  130.