home *** CD-ROM | disk | FTP | other *** search
/ 2,000 Greater & Lesser Mysteries / 2,000 Greater and Lesser Mysteries.iso / computer / mys00343.txt < prev    next >
Encoding:
Text File  |  1994-06-10  |  19.6 KB  |  346 lines
  1. The Secret Service, UUCP,and The Legion of Doom
  2. by Kevin Mullet, University of North Texas (KEV@VAXB.ACS.UNT.EDU)
  3.  
  4.  
  5. UUCP and UNT
  6.  
  7. Back in 1978, a couple of bright fellows at AT&T's Bell Labs, where the Unix 
  8. operating system was developed, wondered if computer files could just be 
  9. copied from one computer to another over a cable.  State of the art data
  10. transfer back then meant writing data to paper cards or magnetic tape and 
  11. reading them in on another computer. 
  12.  
  13. The chaps with the bright idea were M.E. Lesk and A.S. Cohen and the program 
  14. they wrote to implement the idea was Unix to Unix Copy, or UUCP.  The idea 
  15. caught on just about the same time Unix was taking off in popularity.
  16.  
  17. As the number of computers that could UUCP to each other grew, the first 
  18. wide-area network was born.  It slowly grew to the size it has today of over 
  19. 11,000 nodes, or individual computers.  The UUCP network, named
  20. after the primary software used for communication across the network in its 
  21. early days, now provides much more than simple file copying. The UUCP network
  22. now provides electronic mail, network-based news services
  23. and, of course, file transfer services between each computer on the network. 
  24.  
  25. Electronic mail, or e-mail, is a kind of computer-based postal system where
  26. people can send messages back and forth to each other electronically without 
  27. ever having to print them out on paper.
  28.  
  29. UUCP news is not unlike e-mail.  The network of computers where people read, 
  30. write and distribute news is called Usenet.  Most, although not all, of this 
  31. service takes place on UUCP.  Because of its popularity, though, the service 
  32. is also available from the NSF-Internet and BITNET wide area networks.  
  33. Usenet news is comprised of several hundred newsgroups.  These newsgroups are 
  34. forums for ongoing discussions on an endless variety of topics ranging from 
  35. specific computer languages and architectures to cooking, horseback riding, 
  36. politics and religion.  When a person sends e-mail to a news group, the  
  37. message is automatically sent out to every computer on the network that 
  38. subscribes to that particular news group.  That way, each person who reads and 
  39. posts to a news group is literally carrying on a dialogue with hundreds, often
  40. thousands, of other people at the same time.
  41.  
  42. At NT, the most popular way to be a part of these Usenet news groups is with 
  43. the ANU program on the VAX Cluster.  Through ANU, anyone with a VAX Cluster 
  44. userid can take part in up to 366 different newsgroups. 
  45. Messages from all over the world can be read from the user's terminal.
  46.  
  47. Usually this system works flawlessly, but a few weeks ago something happened.  
  48. A computer and UUCP network node partially operated by AT&T called ATTCTC was 
  49. seized by the US Secret Service as evidence in an ongoing nation-wide 
  50. investigation of data piracy, credit card and long distance dialing abuse, and 
  51. computer security violation called Operation Sun Devil.  When that happened, 
  52. the umbilical cord between NT and UUCP was severed.
  53.  
  54. An understanding of why this impacted NT requires an understanding of how UUCP 
  55. works.  The great strength and weakness of many wide area networks is their 
  56. reliance on "store and forward" technology.  Wide area networks which use 
  57. store and forward schemes typically communicate only with computers, or nodes, 
  58. that are geographically close to them.  If a node on one side of the world has
  59. some e-mail, news or a file to send to a node on the other end of the world, 
  60. it simply passes the data to a computer close to it along with instructions
  61. about the eventual destination.  That computer, in turn, passes the data on to
  62. a computer close to it until, many nodes later, the e-mail, news or files 
  63. reach their intended destination.
  64.  
  65. The great strength of this scheme lies in its economy.  Any particular site 
  66. need only pay for connections to a nearby neighbor to access the rest of the 
  67. world.  This way, a large number of sites can affordably interconnect
  68. in a global wide area network.
  69.  
  70. The frailty of this technology is its weakness.  On a network where the cost 
  71. is so low to connect, many sites don't arrange redundant routing in case a 
  72. critical node goes down.  NT was such a site.  When ATTCTC was seized, all the
  73. nodes "downstream" from it, including NT, lost their UUCP access.  All these 
  74. sites had to scramble to contact other geographically close UUCP nodes that 
  75. were "upstream" of ATTCTC to arrange for new UUCP access.  Three days later, 
  76. thanks to the Computer Science department at the University of Texas at Austin,
  77. NT was back online to UUCP, but for some other sites on the UUCP network, the 
  78. story was just beginning.
  79.  
  80.  
  81. The rest of the story
  82.         
  83.         This account is based largely on the grand jury indictments 
  84.         against alleged Legion of Doom members and accounts by actual Legion 
  85.         of Doom members who posted to the Usenet group comp.dcom.telcom
  86.  
  87. Sometime in December of 1988, Robert Riggs, a 20 year-old student of DeVry 
  88. Technical School, hacked his way into a computer at Bell South telephone 
  89. company headquarters in Atlanta.  Bell South provides telephone
  90. service for Alabama, Missippi, Georgia, Tennessee, Kentucky, Louisiana, North 
  91. Carolina, South Carolina and Florida. 
  92.  
  93. Riggs was a member of a group called the Legion of Doom.  Members of this 
  94. organization are hackers who illegally compromise the security of various 
  95. computer and telecommunications installations on a regular basis in
  96. order to enhance their reputation within the computer underground.
  97.  
  98. Once he gained access to the Bell South computer, Riggs stole a document 
  99. describing some of the workings of the emergency 911 service.  On 23 January, 
  100. 1989 Riggs copied the file through the UUCP network to Jolnet, a public access 
  101. Unix system in Lockport, Illinois and made it available to Craig Neidorf, an 
  102. editor of an underground on-line magazine for hackers and phreakers 
  103. (hackers who specialize in compromising telecommunications security).
  104.  
  105. Phrack, the magazine edited by Neidorf, is published electronically through 
  106. the UUCP and NSF-Internet networks and on numerous BBS's across the country 
  107. which specialize in disseminating information about hacking and
  108. phreaking.  The magazine, a mainstream publication in the computer underground,
  109. is generally considered required reading for hackers and phreakers.  The 
  110. content of Phrack ranges from actual and fictional accounts of breaking into 
  111. computer systems to technical details of computer security and 
  112. telecommunications systems.  Sources close to the Phrack publishers assert 
  113. that the magazine has always been careful to avoid publishing anything that 
  114. was overtly illegal.
  115.  
  116. Neidorf, a 19 year old political science major at the University of Missouri, 
  117. used his userid on a school unix system to retrieve the Bell South 911 file 
  118. from Jolnet.  Once he got the file, he edited it, as advised by Riggs,
  119. to conceal its source.  Neidorf and Riggs intended to eventually write an 
  120. article about the 911 system in Phrack.
  121.  
  122. The actual 911 file in question is a six page, 20 kilobyte document describing
  123. some technical and administrative details of the emergency 911 system that 
  124. Bell South uses for its nine state service area.  
  125.  
  126. Through the 911 system, Bell South customers can dial 911 and be instantly 
  127. connected with a Public Safety Answering Point (PSAP).  Computers called 
  128. Electronic Switching Systems (ESS's) are critical to telephone routing.  Once 
  129. someone in the Bell South service area calls 911, an ESS ensures they are 
  130. connected with an appropriate PSAP.  The 911 system then allows an emergency 
  131. operator to determine automatically what number and address the caller is 
  132. calling from and alert the appropriate emergency service dispatchers.
  133.  
  134. Obviously, the details of security around such a system should be very closely
  135. guarded.  The potential for loss of life and property if such a system were 
  136. maliciously compromised is enormous.
  137.  
  138. The Plot Thickens
  139.  
  140. Unknown to Riggs and Neidorf, Richard Andrews, the system administrator of 
  141. Jolnet discovered the Bell South 911 file on his computer soon after it was 
  142. transferred there.  Andrews sent a copy of the file through the UUCP network 
  143. to another computer system called "Killer" that was owned and operated by an 
  144. AT&T employee, Charles Boykin.  Andrews requested that Boykin forward the 
  145. file to the appropriate authorities.  Andrews didn't prevent further access to
  146. the file, delete it or frustrate the efforts of Riggs and Neidorf.  He also 
  147. kept a copy of the file for himself.
  148.  
  149. Several months later, Andrews received a call from someone at AT&T who asked 
  150. for another copy of the file. Not soon after that, the United States Secret 
  151. Service came paid him a visit.  Andrews has been cooperating with the 
  152. authorities ever since.  It is largely through his cooperation that federal 
  153. indictments have been returned against five alleged members of the Legion of 
  154. Doom: Robert Riggs, Craig Neidorf, Adam Grant, Franklin Darden, Jr., and 
  155. Leonard Rose.
  156.  
  157. On February 3rd, 1990, after receiving Andrews' cooperation for over a year, 
  158. the Secret Service raided Jolnet and seized it as evidence.
  159.  
  160. Killer Falls
  161.  
  162. In 1989, the privately-owned UUCP node known as Killer, through which Richard 
  163. Andrews alerted AT&T of the stolen 911 file, was moved to the Dallas Infomart.
  164. It was used by its owner, Charles Boykin and AT&T as a public demonstration 
  165. system.  It was given a new name, AT&T Customer Technology Center, or ATTCTC.
  166. In the years since 1985, when it began operation, Killer/ATTCTC became a 
  167. critical node on the national UUCP backbone.  Computers throughout the 
  168. southwest, and people who used them, depended on ATTCTC for Usenet news, 
  169. electronic mail and UUCP file transfer services.  On the 20th of February, 
  170. 1990, without any advance notice, ATTCTC was permanently shut down, leaving NT
  171. with no UUCP access.
  172.  
  173. AT&T claims that the closure was due to lack of funds, although the system was
  174. privately owned and operated by Charles Boykin.  Sources close to the Texas 
  175. Unix community assert that ATTCTC was shut down and seized by the US Secret 
  176. Service because two of its userids belonged to suspected members of the Legion
  177. of Doom.  Various credit card numbers and long distance dialing codes were 
  178. allegedly found in files owned by these userids.
  179.  
  180. The Next Dominoes to Fall
  181.  
  182. In Austin, there's a small company called Steve Jackson Games that makes role 
  183. playing games (a kind of grown-up make believe).  In their offices, SJG ran a 
  184. computer called Illuminati.  This system was used by staff and customers to 
  185. develop new game ideas.  SJG ran a BBS on Illuminati though which customers 
  186. could provide feedback based on testing of potential new games.  One of these 
  187. games was called GURPS Cyberpunk, named after the Cyberpunk genre of science 
  188. fiction in which the plot often involves extensive penetration of computer
  189. security.
  190.  
  191. The author of GURPS Cyberpunk, Loyd Blankenship, researched ways in which to 
  192. lend a realistic "look and feel" to his game.  In his research, he developed 
  193. extensive contacts with the hacker and phreaker underground, and acquired a 
  194. comprehensive library of Phrack magazines, which he stored on Illuminati.
  195.  
  196. On the morning of March 1st, 1990, the staff of Steve Jackson Games arrived 
  197. at work to find that the Secret Service had forced their way into the 
  198. building and were searching and seizing "computer hardware and software
  199. and records relating to computer hardware and software" for evidence in a 
  200. "nationwide data piracy case" which Steve Jackson later learned was the Bell 
  201. South 911 case.
  202.  
  203. When all was said and done that day, the Secret Service had taken the 
  204. Illuminati computer, all staff personal computers and printers, modems, 
  205. software, spare hardware, all material related to GURPS Cyberpunk, a laser
  206. printer, a bag of nuts and bolts and some candy off the desk of Creede Lambard, 
  207. who ran the Illuminati BBS.
  208.  
  209. On the 20th of February, a member of the Legion of Doom who identified himself
  210. as "Erik Bloodaxe" posted an anonymous electronic mail message to the Usenet 
  211. news group Comp.dcom.telcom saying, among other things, that: 
  212.  
  213.     "Frank [Darden, Jr.], Rob [Riggs] and Adam [Grant] were all definately 
  214.     [sic] into very hairy systems.  The had basically total control of a 
  215.     packet-switched network owned by Southern Bell (SBDN) ... through this 
  216.     network they had access to every computer Southern Bell owned [...]"
  217.  
  218. On April 1st, in New York Newsday, a story appeared saying:
  219.  
  220.     "A government affidavit alleged that in June hackers believed to be Legion
  221.     of Doom members planted software ""time bombs"" in AT&T's 5 ESS switching
  222.     computers in Denver, Atlanta and New Jersey.  These programs . . .  were 
  223.     defused by AT&T security personnel before they could disrupt phone service."
  224.  
  225.  
  226. Elsewhere, Leonard Rose, sysop of a computer system called Netsys, was out 
  227. driving his car one day when federal authorities pulled him over and arrested 
  228. him.  On the 15th of May, he was indicted with five felony counts and charged 
  229. with various violations of interstate transportation laws and the federal 
  230. Computer Fraud and Abuse act.  Federal prosecutors allege that Rose hacked his
  231. way into an AT&T computer and stole some of the source code for version 3.2 of
  232. the Unix operating system.  He is also charged with distributing two "trojan
  233. horse" programs that would infiltrate a Unix computer and replace the 
  234. legitimate login program.  Once in place, the trojan horses acquired a valid 
  235. userid and password each time a new person logged into the system.  Rose,
  236. it is alleged, would later retrieve the list of stolen userids and passwords 
  237. and gain any degree of access to a system that he wanted.
  238.  
  239. So far, during the course of their investigation, the US Secret Service and 
  240. the FBI have raided 27 computer sites across the US and have seized the 
  241. equivalent of 23,000 computer disks from suspects accused of contributing to
  242. over $50 million in system thefts and damages.  The investigation continues 
  243. into people who have violated the security of federal research centers, 
  244. schools and private businesses, and extends far beyond the theft of a single
  245. six page text file from Bell South headquarters.
  246.  
  247. Craig Neidorf, the 19 year old University of Missouri student who allegedly 
  248. received the 911 file from Robert Riggs, has pleaded not guilty to charges of 
  249. violating the federal Computer Fraud and Abuse Act of 1986.
  250.  
  251. Charlie Boykin, the AT&T employee who ran Killer/ATTCTC and was initially 
  252. alerted by Richard Andrews about the 911 file theft was previously an active 
  253. member of the Texas Unix community.  He hasn't been seen at any Unix function 
  254. since the closure of ATTCTC.
  255.  
  256. According to the Associated Press, U.S. Attorney William Cook was granted a 
  257. motion to prevent the 911 text file from becoming part of the public record 
  258. during the trial.  The trial of Riggs and Neidorf began on April 16, 1990.
  259.  
  260. The Austin-based company Steve Jackson Games has been devastated by this 
  261. affair.  In the days since the Secret Service seizure, SJG has suffered a 
  262. monetary loss of $100,000, had to lay off 8 of their 17 staffers, and cancel
  263. sixty percent of their 1990 product releases.  Jackson has approached the 
  264. American Civil Liberties Union for assistance.
  265.  
  266.  
  267. The Real Issues: What's the big deal?
  268.  
  269. That depends on who you ask.  
  270.  
  271. The Secret Service would probably tell you that any violation of computer 
  272. security is a serious affair.  Unfortunately, the current criminal justice 
  273. system evaluates all property crime in monetary terms: if it doesn't
  274. cost a lot of money, then there's not a big crime involved.
  275.  
  276. The Chicago indictment against Riggs and Neidorf charges them with the theft 
  277. and interstate transport of something valued over $5,000, namely the 911 file.
  278. In other words, the crime lies in stealing something worth a lot of money, not
  279. potentially endangering the safety of people in nine states.  Typically, 
  280. computer crime is only investigated if a large monetary loss can be proven.
  281.  
  282. Some users and system operators of networked large multi-user systems would 
  283. probably tell you that the big deal is that such computer systems aren't 
  284. traditionally covered by common carrier statutes.  Common Carrier laws are
  285. the laws that say if someone plots a crime over the telephone or through the 
  286. US mail, the telephone company and the US Postal System cannot be held 
  287. accountable for what was plotted over their common carrier. 
  288.  
  289. This is not the case with computer bulletin boards and network nodes, however. 
  290. Federal authorities are placing a burden of responsibility on owners and 
  291. operators of such computers to know the legality of everything stored on their
  292. computer system.  On a system such as the NT VAX Cluster, that means knowing 
  293. completely what's on 4.3 gigabytes of disk storage, and reading over 100 
  294. megabytes of wide area network traffic each week.  In other words, someone 
  295. would have to read up to sixty four thousand pages of text each week in order 
  296. to be completely appraised just on new information that is either stored on 
  297. the VAX cluster or passes through it on their way to another computer each 
  298. week.  If the NT Computing Center employed five people who could read
  299. 100 words a second to do this, and they worked twenty four hours a day without
  300. stopping, it would still take them twenty three days to read a week's worth 
  301. of wide-area network traffic.
  302.  
  303. And to make matters worse, NT is, for all practical purposes, an end node on 
  304. the wide area network circuit.  Most traffic that passes through here is 
  305. eventually bound for someone at NT.  For most wide area network nodes, this is
  306. not the case.  A site like UT at Austin, or Rice University has traffic 
  307. passing through it, briefly being stored before being forwarded, for many 
  308. national as well as international sites.  For those sites, not only would they 
  309. need to hire many more people, but they would need to be foreign language 
  310. interpreters as well.
  311.  
  312. Imagine a company that owns a telecommunications satellite being held 
  313. responsible for all the conversations in all the languages that are going 
  314. through it at all times.  It's a ridiculous thought and no legal authority would
  315. expect that of RCA or NASA.  However, the equivalent is expected of every BBS
  316. in the country and every wide area network node at this moment.
  317.  
  318. Unless lawmakers grant the same legal protection to computer bulletin boards 
  319. and network nodes as the US Mail and telephone carriers, computer users in 
  320. the not-to-distant future will only be able to look back at the age of
  321. electronic mail and Usenet news.
  322.  
  323. People like the Legion of Doom have forced federal authorities to make apply 
  324. existing laws to computers before they have sufficient technical preparation 
  325. to do so.  Unfortunately, it looks like the only solution to inappropriate
  326. seizures of computers by the Secret Service and FBI is the education that 
  327. lawmakers and law enforcers will receive through the courts.  Once more 
  328. phreakers and hackers are arrested and tried will it become apparent that
  329. seizing the computers they use as conduits makes as much practical sense as 
  330. seizing the laser printer at Steve Jackson Games not to mention the candy on 
  331. Creede Lambard's desk.
  332.  
  333. In the case of computer security, the best and only effective offense is a
  334. good defense.  No computer system is impregnable, but there is a point at 
  335. which every hacker will decide that penetrating a system is more trouble than
  336. it's worth.  It is especially important that all managers and system 
  337. administrators of computer BBS's and network nodes be mindful of this.  
  338.  
  339. Just as barbed wire spawned a burgeoning wire cutter market, the popularity 
  340. and usefulness of computer-based communication will ensure that there are 
  341. always going to be hackers and phreakers.  There is a fine line between
  342. making a computer secure enough to avoid compromise by a hacker, and 
  343. accessible enough not to discourage legitimate use.  The best managers of 
  344. computer systems will continue to walk that line without disturbing the
  345. network of trust that makes such systems the powerful tools they are.
  346.