home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 1 / HACKER1.ISO / cud3 / cud333b.txt < prev    next >
Text File  |  1992-10-10  |  7KB  |  122 lines
  1. ------------------------------
  2.  
  3. Date: 08 Sep 91 17:44:51 CDT
  4. From: Jim Thomas <tk0jut1@mvs.cso.niu.edu>
  5. Subject: File 2--Clarification of "Boycott" Comment
  6.  
  7. In my review of _Cyberpunk_ (CuD 3.32), I quoted a passage that
  8. referred to a "national computer security expert's" call for a boycott
  9. of any company that hired Robert Morris. In context, the passage would
  10. appear to be less than charitable.  Gene Spafford, the person
  11. associated with the boycott call, never made this claim, and he has
  12. tried without success to clarify what was actually said.  He was
  13. misquoted in a speech, and the misquote has become a reality of its
  14. own.  Although it seems like a relatively minor point, the continued
  15. circulation of the quotation error perpetuates an unjustified aura of
  16. extra-legal professional retaliation.  Sometimes the slightest
  17. transposition of words leads to quite different meanings, and it
  18. appears that Gene is the victim of a shift of phrases that distorted
  19. his message.  We discussed this with him, and the following scenario
  20. seems to be the source of the error. We have included a response he
  21. wrote to the CACM to correct the error, but it was also garbled by the
  22. editor to whom it was sent.
  23.  
  24. In March 1990 at the DPMA Computer Virus & Security Conference in NYC,
  25. Gene gave the keynote address.  He discussed community ethics
  26. and made a statement like "We should boycott any company that hires
  27. someone like Morris *because of* what he did."  This was heard by at
  28. least one person present as meaning, "Because of what he did, we
  29. should boycott any company that hires Morris."  What he meant, and
  30. what he thought was clear from context, was "We should boycott any
  31. company that believes what Morris did was a reason to hire him."
  32.  
  33. The quote was reported in CACM and Spaf wrote a letter (published in
  34. the October 1990 issue) pointing out the error, but they misunderstood
  35. the way it was supposed to have text boldfaced to indicate the emphasis.
  36. The point did not get across clearly and was also incorrectly
  37. paraphrased in Peter Denning's editorial in the August 1990 CACM.
  38.  
  39. Enclosed is the text of the letter he sent to CACM and which was
  40. published in the September 1990 issue without the indicated emphasis:
  41.  
  42.      [ The following uses TeX conventions:  {\it text} is italics, and
  43.      {\bf text} is boldface.]
  44.  
  45.      To the editor:
  46.  
  47.      The May issue of {\it Communications} contained a ``News Track''
  48.      account of some of my remarks on hiring known hackers/crackers.
  49.      I believe the report was derived from my keynote presentation at
  50.      the 3rd DPMA Virus Workshop, held March 14 in New York.
  51.      Unfortunately, the item in question did not report the full
  52.      context of my remarks, and thus the actual intent was obscured.
  53.  
  54.      It is my contention that we should not do business with companies
  55.      that hire known computer miscreants {\bf because of their
  56.      criminal escapades}.  There are two reasons for this, one
  57.      grounded in good business sense, and the other grounded in
  58.      professional ethics.
  59.  
  60.      From a business standpoint, hiring a known computer criminal
  61.      because of his criminal past is likely to be a liabilty.  The
  62.      individual has already shown that he (or she) has not felt
  63.      constrained to respect legal and ethical boundaries, or that he
  64.      has exhibited poor judgment in not thinking about adverse
  65.      consequences.  What indication is there that such behavior will
  66.      not be repeated?  Furthermore, there is no indication that
  67.      someone who breaks into a system knows how to protect the system
  68.      or make it better -- he has only shown that he knows how to break
  69.      in.  This is the origin of my ``arsonist'' statement, quoted in
  70.      the article.  As a customer of such a firm, it is possible I
  71.      would never be as confident about the integrity of its products
  72.      as if the hacker had not been hired.
  73.  
  74.      From a professional standpoint, I view the hiring of computer
  75.      criminals {\bf because of their notoriety or criminal success} to
  76.      be insulting and unconscionable.  Consider that there are many
  77.      tens of thousands of people who have worked for years to become
  78.      knowledgeable and responsible members of the profession, and many
  79.      thousands more currently studying the discipline.  What will it
  80.      mean to them if a criminal is hired to a position of
  81.      responsibility because of a violation of professional standards?
  82.      Should the rest of us seek distinguished appointments by
  83.      spectacular violations of the law?  What would it say to all of
  84.      us that a business would value unethical behavior above a record
  85.      of accomplishment and professionalism?  To ignore or accept such
  86.      behavior is to allow our profession to be besmirched.  I view it
  87.      as an insult, and to acquiesce quietly would appear to be a
  88.      violation of our Code of Professional Conduct.
  89.  
  90.      Note that I am {\bf not} in any way suggesting that we act to
  91.      prevent these individuals from being employed in a
  92.      computing-related profession.  If the individual involved has the
  93.      necessary training and background, and is as qualified as other
  94.      applicants, then he should be treated as any other individual
  95.      applying for a position.  This is especially true once an
  96.      individual has served a sentence for their [sic] crimes.  Robert
  97.      T. Morris, for instance, has demonstrated a keen interest and
  98.      more than moderate facility with computers.  To protest his
  99.      taking a computing-related job would be to unfairly embellish the
  100.      sentence already imposed by the federal court.  We should not
  101.      seek to second-guess our legal system, nor extract revenge above
  102.      and beyond the punishment already meted out.  To do so would be
  103.      petty and mean-spirited.
  104.  
  105.      In summary, my remarks at the Virus Workshop argued that we
  106.      should protest if businesses reward these offenders for their
  107.      actions; I did not mean to suggest that we forbid these
  108.      individuals from ever working in computing-related jobs.  I also
  109.      did not suggest that we devise any additional punishment for Mr.
  110.      Morris.  He has been sentenced for his crime, and it is not for
  111.      us to seek to augment his punishment.  It is time for all of us
  112.      to move on and put that whole incident behind us.
  113.  
  114.      Eugene Spafford
  115.      Dept. of Computer Sciences
  116.      Purdue University
  117.      W. Lafayette, IN 47907-2004
  118.      spaf@cs.purdue.edu
  119.  
  120.  
  121. Downloaded From P-80 International Information Systems 304-744-2253
  122.