home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 1 / HACKER1.ISO / cud3 / cud314c.txt < prev    next >
Text File  |  1992-09-11  |  13KB  |  234 lines
  1. ------------------------------
  2.  
  3. From: Moderators (Jim Thomas)
  4. Subject: Moving toward Common Ground? Reply to Gene Spafford
  5. Date: April 26, 1991
  6.  
  7. ********************************************************************
  8. ***  CuD #3.14: File 3 of 6: Moving toward Common Ground?        ***
  9. ********************************************************************
  10.  
  11. Gene Spafford's comments raise a number of issues, and my guess is
  12. that he and other "moderates" are not that far apart from those of us
  13. considered "extremists." His post was sent in March, but we received
  14. it on April 24, so some of his comments about Len Rose have already
  15. received sufficient response (see Mike Godwin in CuD 3.13).  We are
  16. more concerned with the potential points of converenge on which
  17. "moderates" and "radicals" might agree.
  18.  
  19. Gene raises several issues:  1) The tone of some critics of recent
  20. "hacker" cases tends to be divisive and inhibits coming together on
  21. common ground; 2) There exists a danger in "crying wolf" in that cases
  22. in which legitimate abuses may have occured or that directly raise
  23. important issues about civil liberties will be ignored because of
  24. excessive concern with cases that are perceived as less meritorious or
  25. in which the defendants may not seem sympathetic; c) An aggressive
  26. social response is required to reverse the apparent trend in computer
  27. abuse. We disagree with none of these issues. There is, however, room
  28. for legitimate disagreement on how these issues should be addressed,
  29. and there is room for conciliation and compromise.
  30.  
  31. Although many cases of law enforcement response to alleged computer
  32. abuse have been reported, only a few have generated any significant
  33. attention.  These cases have not generally centered around issues of
  34. guilt or innocence, but on broader concerns. Other than general
  35. reporting of cases, CuDs own attention has been limited to:
  36.  
  37. STEVE JACKSON GAMES: Few, if any, think the search of Steve Jackson's
  38. company and seizure of his equipment was acceptable.  The seizure
  39. affidavit indicated that the justification for the raid was grossly
  40. exaggerated and its implementation extreme.  There have been no
  41. arrests resulting from that raid, but the questions it raised have not
  42. yet been resolved.
  43.  
  44. LEN ROSE:  Whatever one thinks of Len Rose's behavior, the actions of
  45. AT&T and law enforcement raise too many issues to be ignored whatever
  46. Len's own culpability (or lack of it).  The initial indictments, press
  47. releases, and prosecutor media comments connected Len to E911, the
  48. Legion of Doom, and computer security when the case was actually about
  49. possesion of unlicensed proprietary software. We have never denied the
  50. importance of either issue. Our concern continues to be the
  51. misconceptions about the nature of the case, what we see as an extreme
  52. response to a relatively minor incident, and the way the laws were used
  53. to inflate charges. These are all debatable issues, but the nets were
  54. buzzing with claims of Len's guilt, the need to "send a message to
  55. hackers," and other claims that reinforced the legitimacy of charges
  56. and sanctions that still seem inappropriate.  The fact that some still
  57. see it as a security case, others as a piracy case, others as
  58. justice-run-amok, and still others as a signal to examine the limits
  59. of criminalization illustrates the significance of the events: If we
  60. can't agree on the issues involved without yelling at each other, then
  61. how can we even begin to address the issues?
  62.  
  63. 3. CRAIG NEIDORF/PHRACK: When the prosecution dropped the case against
  64. Craig Neidorf for publishing alleged proprietary information valued at
  65. nearly $80,000 when it was found that the information was available to
  66. the public for under $14, most people thought it was a victory.
  67. However, the logic that impelled prosecution did not stop with Craig,
  68. and our concern continues to be over the apparent unwillingness of
  69. some law enforcement agents to recognize that this was not just a
  70. prosecutorial "mistake," but part of a pattern in which excessive
  71. claims are made to justify raids, indictments, or prosecution.
  72.  
  73. THE HOLLYWOOD HACKER: Again, this is not a case of guilt or innocence,
  74. but one in which existing laws are sufficiently vague to
  75. over-criminalize relatively minor alleged acts. The apparent
  76. philosophy of prosecutors to "send a message" to "hackers" in a case
  77. that is not a hacker case but the sting of an investigative journalist
  78. seems another use of over-prosecution. There is also the possibility
  79. of a vindictive set-up by Fox of a freelance reporter who is alleged
  80. to have done what may be a common practice at Fox (see the post, this
  81. issue, citing Murray Povich).
  82.  
  83. RIPCO: Dr. Ripco's equipment was seized and his BBS shut down, but no
  84. charges have been filed against him. He remains in limbo, his
  85. equipment has not been returned, and he still does not know why.
  86. Here, the issue of sysop liability, the reliability of informants, and
  87. the legal status of private e-mail are raised.
  88.  
  89. THE "ATLANTA THREE:" The Riggs, Darden, and Grant case became an issue
  90. after the guilty verdict.  We can think of no instance of anybody ever
  91. defending their actions for which they were indicted or in proclaiming
  92. them innocent after (or even before) their plea.  At state in the
  93. debates was not that of guilt or a defense of intrusions, but of
  94. sentencing and the manner in which it was done.
  95.  
  96. OPERATION SUN DEVIL:  Operation Sun Devil, according to those
  97. participating in it, began in response to complaints of fraudulent
  98. credit card use and other forms of theft. The "hacking community"
  99. especially has been adamant in its opposition to "carding" and
  100. rip-off. Here, the issue was the intrusive nature of searches and
  101. seizures and the initial hyperbole of law enforcement in highly
  102. visible press releases in their initial euphoria following the raids.
  103. In an investigation that began "nearly two years" prior to the May 8,
  104. 1990 raids, and in the subsequent 12 months of "analysis of evidence,"
  105. only two indictments have been issued. Both of those were relegated to
  106. state court, and the charges are, in the scheme of white collar crime,
  107. are relatively minor. There have also been questions raised about
  108. whether the evidence for prosecution might not have either already
  109. existed prior to Sun Devil or that it could have readily been obtained
  110. without Sun Devil. The key to the indictment seems to be a ubiquitous
  111. informant who was paid to dig out dirt on folks. For some, Sun Devil
  112. raises the issue of use of informants, over-zealousness of
  113. prosecutors, and lack of accountability in seizures. We fully agree
  114. that if there is evidence of felonious activity, there should be a
  115. response.  The question, however, is how such evidence is obtained and
  116. at what social and other costs.
  117.  
  118. Many may disagree with our perspective on these cases, but several
  119. points remain: 1) Each of them raises significant issues about the
  120. methods of the criminal justice system in a new area of law; 2) Each
  121. of them serves as an icon for specific problems (privacy, evidence,
  122. ethics, language of law, media images, sysop liability to name just a
  123. few); and 3) In each of them, whatever the culpable status of the
  124. suspects, there exists an avenue to debate the broader issue of the
  125. distinction between criminal and simply unethical behavior.
  126.  
  127. Among the issues that, if discussed and debated, would move the level
  128. of discussion from personalities to common concerns are:
  129.  
  130. 1. Overzealous law enforcement action: Prosecutors are faced with the
  131. difficult task of enforcing laws that are outstripped by technological
  132. change. Barriers to this enforcement include lack of resources and
  133. technical expertise, ambiguity of definitions, and vague laws that
  134. allow some groups (such as AT&T) who seem to have a history of
  135. themselves attempting to use their formidable economic and corporate
  136. power to jockey for legal privilege.  Legal definitions of and
  137. responses to perceived inappropriate behavior today will shape how
  138. cyberspace is controlled in the coming decades.  Questionable actions
  139. set bad precedents. That is why we refer to specific cases as ICONS
  140. that symbolize the dangers of over-control and the problems
  141. accompanying it.
  142.  
  143. 2. Media distortions:  This will be addressed in more detail in a
  144. future CuD, because it is a critically important factor in the
  145. perpetuation of public and law enforcements' misconceptions about the
  146. CU.  However, concern for distortion should be expanded to include how
  147. we all (CuD included) portray images of events, groups, and
  148. individuals.  Some law enforcers have complained about irresponsible
  149. media accuracy when the alleged inaccuracies have in fact come from
  150. law enforcement sources.  But, media (and other) distortions of CU news
  151. is not simply a matter of "getting the facts straight." It also
  152. requires that we all reflect on how we ourselves create images that
  153. reinforce erroneous stereotypes and myths that in turn perpetuate the
  154. "facts" by recursive rounds of citing the errors rather than the
  155. reality.
  156.  
  157. CuD AS PRO HACKER:  The CuD moderators are seen by some as defending
  158. cybercrime of all kinds, and as opposing *any* prosecution of
  159. "computer criminals.  Why must we constantly repeat that a) we have
  160. *never* said that computer intrusion is acceptable, and b) we fully
  161. believe that laws protecting the public against computer abuse are
  162. necessary.  This, so I am told, "turns many people off." We have been
  163. clear about our position.  There are occasions when discussion can
  164. reflect a variety of rhetorical strategies, ranging from reason to
  165. hyperbole. As long as the issues remain forefront, there seems nothing
  166. wrong with expressing outrage as a legitimate response to outrageous
  167. acts.
  168.  
  169. 4. Crime and ethics in the cyber-frontier:  These issues, although
  170. separate, raise the same question.  Which behaviors should be
  171. sanctioned by criminal or civil penalties, and which sanctioned by
  172. collective norms and peer pressure? Unwise acts are not necessarily
  173. criminal acts, and adducing one's lack of wisdom as "proof" of
  174. criminality, and therefore sanctionable, is equally unwise.  There are
  175. degrees of abuse, some of which require criminal penalties, others of
  176. which do not. The CU has changed largely because the number of
  177. computer users has dramatically increased make the "bozo factor" (the
  178. point at which critical mass of abusing bozos has been reached making
  179. them a group unto themselves) has a significant impact on others.
  180. There are also more opportunities not only to abuse, but to identify
  181. and apprehend abusers, which increases the visibility of the bozos.  We
  182. can, as we did with the problems of crime, poverty, drugs, and other
  183. ills, declare a "war" on it (which most certainly means that we've
  184. lost before we've begun). Or, we can peruse a more proactive course
  185. and push for equitable laws and just responses to computer abuse while
  186. simultaneously emphasizing ethics.  We fully agree that netethics
  187. should occur in schools, on the nets, in articles, and every other
  188. place where cybernauts obtain models and images of their new world.
  189. But, just as we should identify and work toward ethical behavior
  190. within the CU, we must also demand that others, such as AT&T, some law
  191. enforcement agents, BellSouth, et. al., do the same.  It is hardly
  192. ethical to claim that a commodity valued at under $14 is worth over
  193. $79,000, and it is hardly ethical to compare possession of proprietary
  194. software with index crimes such as theft, arson, or embezzlement.
  195. Whether our own perspective is correct or not, the point is that what
  196. does or does not count as ethical behavior can no longer be assumed,
  197. but requires a level of debate the extends beyond netlynchings of
  198. individual suspects.
  199.  
  200. Gene Spafford, like many others who share his view, is a productive
  201. and competent computer specialist who sees the dark side of computer
  202. abuse because he defends against it. I, like many others who share my
  203. view, see the dark side of law enforcement because, as a
  204. criminologist, I have been immersed in the abuses and fight against
  205. them.  Our different experiences give us different demons to fight, an
  206. occasional windmill or two with which to joust, and a dissimilar
  207. arsenal that we use in our battles.  Nonetheless, even though there is
  208. not total agreement on precisely which is a windmill and which a
  209. monster, Gene suggests that there is shared agreement on a minimal
  210. common reality and some common goals for making it more manageable. I
  211. fully, absolutely, and unequivocally agree with Gene:
  212.  
  213.       I agree that free speech should not be criminalized.
  214.       However, I also think we should not hide criminal and
  215.       unethical behavior behind the cry of "free speech.
  216.       Promoting freedoms without equal promotion of the
  217.       responsibility behind those freedoms does not lead to a
  218.       greater good.  If you cry "wolf" too often, people ignore
  219.       you when the wolf is really there.
  220.  
  221. I would only respond that his observation be taken to heart by all
  222. sides.
  223.  
  224. ********************************************************************
  225.                            >> END OF THIS FILE <<
  226. ***************************************************************************
  227.  
  228. ------------------------------
  229.  
  230. Date: Thu, 18 Apr 91 16:57:35 EDT
  231. From: CERT Advisory <cert-advisory-request@CERT.SEI.CMU.EDU>
  232. Subject: CERT Advisory - Social Engineering
  233.  
  234.