home *** CD-ROM | disk | FTP | other *** search
/ Play and Learn 2 / 19941.ZIP / 19941 / PUBE / CUD209.TXT < prev    next >
Encoding:
Text File  |  1994-02-05  |  45.1 KB  |  914 lines
  1.  
  2.  
  3.   ****************************************************************************
  4.                   >C O M P U T E R   U N D E R G R O U N D<
  5.                                 >D I G E S T<
  6.               ***  Volume 2, Issue #2.09 (October 27, 1990)   **
  7.   ****************************************************************************
  8.  
  9. MODERATORS:   Jim Thomas / Gordon Meyer  (TK0JUT2@NIU.bitnet)
  10. ARCHIVISTS:   Bob Krause / Alex Smith
  11. USENET readers can currently receive CuD as alt.society.cu-digest.
  12.  
  13. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  14. information among computerists and to the presentation and debate of
  15. diverse views.  CuD material may be reprinted as long as the source is
  16. cited.  It is assumed that non-personal mail to the moderators may be
  17. reprinted, unless otherwise specified. Readers are encouraged to submit
  18. reasoned articles relating to the Computer Underground.
  19. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  20. DISCLAIMER: The views represented herein do not necessarily represent the
  21.             views of the moderators. Contributors assume all responsibility
  22.             for assuring that articles submitted do not violate copyright
  23.             protections.
  24. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  25.  
  26. CONTENTS:
  27. File 1: Moderators' Corner
  28. File 2: Len Rose Arrest
  29. File 3: Mars was not "Censored"
  30. File 4: Response to Mars "Censoring"
  31. File 5: Steve Jackson Games (SJG) Update
  32. File 6: The Future of Hacking and the System Security Profession
  33. File 7: The Ultimate Interface: Hackers and the Private Sector
  34. File 8: CU in the News: "Hackers" and Bank Blackmail in England
  35.  
  36. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  37.  
  38. ----------------------------------------------------------------------
  39.  
  40. ********************************************************************
  41. ***  CuD #2.09, File 1 of 8: Moderator's corner                  ***
  42. ********************************************************************
  43.  
  44. From:      Moderators
  45. Subject:   Moderators' Corner
  46. Date:      October 27, 1990
  47.  
  48. ++++++++++
  49. In this file:
  50. 1. COPYRIGHT ARTICLE INFORMATION
  51. 2. BIBLIOGRAPHIC RESOURCES
  52.  
  53. +++++++++++++++
  54. Copyright Article Information
  55. +++++++++++++++
  56.  
  57. CuD is *NOT* copyright, and articles by moderators, anonymous articles, and
  58. other articles may be reprinted as long as the source is attributed.
  59. However, occasionally an individual article is copyright protected. The
  60. article in CuD 2.08 by Jim Warren on "PCs and Political Organizing" is an
  61. example of a submission that is copyprotected but remains freely available
  62. for others' use. We have heard horror tales of authors who make public
  63. posts and then later find their material plagiarized and copyright
  64. protected under another's name. So, do not copyright others' material as
  65. your own. That's tacky--very, very tacky.  If a CuD article is listed as
  66. copyright (this notice was excluded from Jim Warren's article), you should
  67. check directly with that author (not CuD) for permission to reprint it.
  68.  
  69. ++++++++++++++++++
  70. Bibliographic Resources
  71. +++++++++++++++++++
  72.  
  73. We are trying to compile a list of bibliographic sources related to the CU
  74. to eventually place in the archives. If you are writing term paper,
  75. conference papers, or articles, or if you come across books, legal cases,
  76. or other references that seem relevant, send the full citation over to us.
  77. If you come across new books, or better, if you do a book review, send the
  78. titles or the review along as well.
  79.  
  80. ********************************************************************
  81.                            >> END OF THIS FILE <<
  82. ***************************************************************************
  83.  
  84. ------------------------------
  85.  
  86. From:      Moderators
  87. Subject:   Len Rose Arrest
  88. Date:      October 26, 1990
  89.  
  90. ********************************************************************
  91. ***  CuD #2.09: File 2 of 8: Len Rose Arrest                     ***
  92. ********************************************************************
  93.  
  94. Len Rose was arrested on state charges of "computer tampering" in
  95. Naperville, Ill., Naperville police confirmed Monday night. Len obtained
  96. a job at Interactive Systems Corporation, a software consulting firm, in
  97. Naperville and began Monday, October 15. Friday, he was fired.  Bail was
  98. initially set at $50,000, and as of late Friday afternoon, he remained
  99. in jail.
  100.  
  101. Len's wife speaks little English and is stuck in Naperville, lacking both
  102. friends and resources. Len currently has no money to post bond, and this
  103. leaves he and his family in a dreadful situation.
  104.  
  105. We caution readers to remember that, under our Constitution, Len is
  106. *innocent* unless proven otherwise, but there is something quite
  107. troublesome about this affair.  Hopefully, we'll soon learn what specific
  108. charges and what evidence led to those charges. Even if a "worst case"
  109. scenario evolves, there are surely better ways to handle such cases in less
  110. intrusive and devastating ways.  Devastated lives and full invocation of
  111. the CJ process are simply not cost effective for handling these types of
  112. situations.
  113.  
  114. ********************************************************************
  115.                            >> END OF THIS FILE <<
  116. ***************************************************************************
  117.  
  118. ------------------------------
  119.  
  120. From: Gene Spafford <spaf@CS.PURDUE.EDU>
  121. Subject: Mars was not "Censored"
  122. Date: Sat, 20 Oct 90 14:11:52 EST
  123.  
  124. ********************************************************************
  125. ***  CuD #2.09: File 3 of 8: Mars was not "Censored"             ***
  126. ********************************************************************
  127.  
  128. I'm against censorship in pretty much any guise.  I'm opposed to people who
  129. try to have gif images pulled from sites soley because of their
  130. sexually-oriented content.
  131.  
  132. However, if I were running a news site, I would not carry the current
  133. alt.sex.pictures newsgroup, nor would I have an archive of the images.
  134.  
  135. This is not a contradiction in terms.
  136.  
  137. First off, I am not trying to have anyone else's collection of images
  138. pulled because of the subject matter, nor am I trying to prevent others
  139. from seeing those images.
  140.  
  141. So, if I'm not against the subject matter of the material, why would I
  142. prevent their transmission through my site and storage on my disk?
  143.  
  144. Reason number 1 is most of those images were scanned in from magazines and
  145. films that have active copyright protection.  Scanning them in and
  146. transmitting them around is a violation of copyright.  Not only is that not
  147. legal, I don't view it as proper to infringe on copyright.  Storing those
  148. images is an infringement.
  149.  
  150. Reason #2 is the quality of most of those images is poor compared with the
  151. original.  If you want stuff like that, almost any bookstore or videotape
  152. rental place has the originals.  Or, you can order by mail.  I don't see
  153. the value of tying up bandwidth and storage to transmit poor copies of
  154. material that is generally available elsewhere.
  155.  
  156. If the machine was a personal machine, I wouldn't keep the images because I
  157. have no use for them.  They may (or may not) be interesting to look at some
  158. of them once, but after that I don't see any use for them.  And as things
  159. go, I barely have enough free disk on most of machines as it is.   If the
  160. machine was a shared machine, this reason would need to be explored with
  161. the other users, but it holds with most people I've talked with about these
  162. images.
  163.  
  164. The bottom line is that there may be legitimate reasons not to have these
  165. images or carry newsgroups or mailing lists containing them.  I think
  166. prudes are dangerous, but I also realize that everyone declining to have
  167. these images online is not automatically bowing to censorship or forbidding
  168. their presence because of content.
  169.  
  170. ********************************************************************
  171.                            >> END OF THIS FILE <<
  172. ***************************************************************************
  173.  
  174. ------------------------------
  175.  
  176. From: portal!cup.portal.com!dan-hankins@SUN.COM
  177. Subject: Response to Mars "Censoring"
  178. Date: Sun, 21 Oct 90 00:04:25 PDT
  179.  
  180. ********************************************************************
  181. ***  CuD #2.09: File 4 of 8: Response to Mars "Censoring"       ***
  182. ********************************************************************
  183.  
  184. In article <CuD #2.08 #3>, Karl Lehenbauer <karl@sugar.hackercorp.com> writes,
  185.  
  186. >I used Prodigy several times, and it is a heavily censored system,...
  187.  
  188. This is inaccurate.  Prodigy is not censored, it is _edited_.  There is a
  189. significant difference.  When newspaper articles are removed by government
  190. order, that's censorship.  When the newspaper owners decide to not run an
  191. article because it is counter to their editorial policies (or personal
  192. prejudices), then that's editing.
  193.  
  194. The difference is that in the first case, the State is telling a citizen (by
  195. threat of force) what she can and cannot do with her own property.  In the
  196. second, a citizen is disposing of his property as he sees fit.
  197.  
  198. The Prodigy situation is far more like the second case than the first.
  199. Prodigy resources are owned by IBM and Sears.  Since Prodigy is their
  200. property, they may dispose of it as they see fit.  This includes editing their
  201. databases to remove any information inconsistent with their policies.
  202.  
  203. Some may argue that the $10 a month (plus fees for other services provided)
  204. gives the Prodigy subscriber the right to post anything she desires. This
  205. isn't the case.  The subscriber is paying for the right to use the resources
  206. as provided for in the contract.  Unless IBM and Sears agree in the contract
  207. not to edit or abridge information residing on Prodigy, they continue to have
  208. the right, both morally and legally, to do so.
  209.  
  210. Censorship is when some organization says, "You may not say X.".  Editing is
  211. when some organization says, "You may not use _my property_ to say X."  This
  212. is an important distinction to make explicit; there is an increasing tendency
  213. for people to believe that they have not only the right to say whatever they
  214. want, but also the unlimited right to use the property of others to do so.
  215.  
  216. Mr. Lehenbauer also writes,
  217.  
  218. >If this is IBM's view of the future of personal electronic communications...
  219. >it is a bleak future indeed... every message must be so inoffensive that
  220. >*nobody* is going to be offended by it... and that is censorship.
  221.  
  222. IBM doesn't control electronic communications in this country;  the Prodigy
  223. subscriber is certainly free to go elsewhere to express his views.  This is
  224. what many of them are doing.  BIX is getting a lot of former Prodigy users
  225. these days.
  226.  
  227. It's not censorship.
  228.  
  229. It's also worth mentioning here that although the Prodigy bulletin board
  230. system is edited, Sears and IBM have agreed to not edit email.  Users are free
  231. to form email groups (like Internet mailing lists) to discuss whatever they
  232. want, from sex to explosives.  They just have to pay extra for it.
  233.  
  234. In article <CuD #2.08 #4), the moderators write,
  235.  
  236. >In the MARS incident, the NSF flexed its fiscal muscles (according to those
  237. >on the receiving end).
  238.  
  239. This is again not censorship.  The NSF pays for the Internet, and has the
  240. right to say how those monies are spent.  Since MARS resided on an Internet
  241. node, the NSF had the right to refuse to pay for those files to be transmitted
  242. across its network.  In fact, the NSF has the right to refuse to pay for
  243. network connections for any site for any reason whatsoever, unless it has made
  244. a contract to the contrary.  If this is "flexing its fiscal muscles", then so
  245. be it.
  246.  
  247. The quoted article quotes some other postings.  I reproduce here the relevant
  248. portions:
  249.  
  250. >I also don't like the idea of the university having to censor this board to
  251. >suit the narrow-minded leanings of a few people...
  252.  
  253. >Again i am sorry that CENSORSHIP found its way into another democratic haven
  254. >of society...
  255.  
  256. This is just more of the sort of illogic I referred to earlier.  If these
  257. folks want their X-rated pictures, then they can have them.  They just can't
  258. expect somebody else (the NSF or their University) to pay for them.  They are
  259. certainly free to start their own BBS or post the material on a private BBS or
  260. Usenet mail server that allows such stuff.
  261.  
  262. >Can a few angry letters to a federal bureaucrat invoke threats of fiscal
  263. >blackmail?
  264.  
  265.      If I boycott your business because I find some of your activities
  266. objectionable, am I threatening you with fiscal blackmail?   Why should the
  267. NSF or a university be any different?  The NSF is just boycotting sites that
  268. carry material it finds offensive, and the universities are just exercising
  269. their right to control use of their property.
  270.  
  271. >It would seem that officials could confiscate the equipment of a sysop who
  272. >maintained adult .gif/.gl files.
  273.  
  274.      If you are concluding this on the basis of the "federal prosecutions and
  275. application of RICO" referred to earlier, then I agree with you that it's
  276. something to be worried about.  It would be a violation of various First
  277. Amendment rights.
  278.  
  279.      If you're concluding this by extension from the NSF actions, I must
  280. disagree.  A government agency deciding what it wants to spend its money on is
  281. hardly analogous to confiscating someone's property.  The legal right to do
  282. one does not provide the legal right to do the other.
  283.  
  284. >A recent article... raised the spectre of "licensing" BBSs.
  285.  
  286.      Now _this_ is something to worry about.  This reminds me of the situation
  287. in oppressive regimes, where printing presses and photocopiers are "licensed".
  288. Somehow I don't think they'll get away with this one.  Any such regulation
  289. would be a clear violation of First (and other) Amendment rights.
  290.  
  291. CLARIFICATION:
  292.  
  293. When an organization is funded by extortion (i.e. taxes), those who fund it
  294. have a moral right to say how those funds will be spent, over and above the
  295. organization's aims.  The receivers of the service _still_ don't have any
  296. rights of control, unless they have entered into a contract with the provider
  297. that gives them that right.
  298.  
  299. In a constitutionally limited republic such as ours, that taxpayer control is
  300. exerted in one of two ways.  The first is by electing to government those we
  301. believe will implement the policies we want.  The second (and far more rare
  302. option) is referendum.
  303.  
  304. As long as its decisions remain within the policies set for it by elected
  305. officials and referendum, the NSF has the right to spend (or refuse to spend)
  306. its money as it likes.
  307.  
  308. If the article I read in CuD is any indication, the purpose of the NSFnet is
  309. to only support the exchange of "scholarly" information.  X-rated GIFs don't
  310. belong in that category, in most folks' eyes.
  311.  
  312. :END CLARIFICATION
  313.  
  314. By the way, with PC-Pursuit costs, I pay $40 a month for Net access.  Yet at
  315. work there is an Internet gateway I could sign up for access to and use to
  316. make my posts (for free!).  The reason I don't is that I don't think it's
  317. moral to use IBM resources for purposes IBM wouldn't approve of, such as
  318. expressing disapproval of their policies; it's their property.  So I'm not
  319. just spouting rhetoric that doesn't cost me anything.
  320.  
  321. +++++++++
  322.  
  323. Dan Hankins
  324.  
  325. dan-hankins@cup.portal.com
  326. dan-hankins@pro-realm.cts.com
  327.  
  328. Complete the following: Pro is to Con as Progress is to ________.
  329.  
  330. Disclaimer: I don't work for the NSF or Sears.  Although I have a contract
  331. with IBM to provide programming services to them in return for a salary, this
  332. does not constitute approval for their policies.  In particular, I think that
  333. their Prodigy policies, while not immoral, are particularly stupid.  The kind
  334. of editing they do on the bulletin board, their ridiculously high email
  335. charges, and their complete lack of upload/download capability will simply
  336. drive customers to other services.  I am not a Prodigy subscriber, nor do I
  337. intend to become one.  For the same $10 a month, I like Portal much better.
  338. And I post things in alt.individualism that you'd never see on Prodigy BBS.
  339. I defend your right to freedom of expression.  Just don't ask me or anyone
  340. else to foot the bill.
  341.  
  342. ********************************************************************
  343.                            >> END OF THIS FILE <<
  344. ***************************************************************************
  345.  
  346. ------------------------------
  347.  
  348. From:     Steve Jackson
  349. Subject:  Steve Jackson Games (SJG) Update
  350. Date:     October 23, 1990
  351.  
  352. ********************************************************************
  353. ***  CuD #2.09: File 5 of 8: Steve Jackson Games Update          ***
  354. ********************************************************************
  355.  
  356. %The following, by Steve Jackson, is reprinted with permission
  357. from two posts on The Well--moderators%.
  358.  
  359. ++++++++++++
  360. UPDATE ON SJ GAMES
  361. ++++++++++++
  362.  
  363. We were raided on March 1. Most people here have heard that story, though
  364. I'm working on an article for upload. This is an excerpt, because I don't
  365. know when I'll have time to finish the whole thing.
  366.  
  367. The brief story: The Secret Service took 3 computers, a laser printer, lots
  368. of assorted hardware, lots of disks and papers, and lots of my business
  369. data.  In particular, they took every current copy, on paper or disk, of
  370. the new book we were about to send to the printer.
  371.  
  372. Because of the confiscation of the GURPS Cyberpunk book, our business came
  373. to a standstill for six weeks - the time it took us to reconstruct it and
  374. get it to the printer.
  375.  
  376. THE RETURN
  377.  
  378. In early June, we started talking to the people setting up the EFF, and
  379. word leaked out; I got several inquiries from reporters. On June 20, quite
  380. suddenly, the Secret Service called to say we could have our property back.
  381. So we went to pick it up. They really did give most of our stuff back. They
  382. kept one hard disk and some assorted hardware, as well as some papers. Of
  383. the things they returned, one computer required $200 in repairs before it
  384. would work. Another has so much visible damage that I don't even want to
  385. turn it on.
  386.  
  387. Loyd hasn't gotten ANY of his things back.
  388.  
  389. And we still don't know why they raided us. They took our book; they took
  390. our BBS computer; they took a lot of things. And their application for a
  391. search warrant is STILL sealed. So we can speculate, but that's all.
  392.  
  393. Nobody connected with the business has been arrested. Nobody has been
  394. indicted. Nobody has been charged. Nobody has even been QUESTIONED again.
  395. And these guys are still saying "No comment." Well, if I were in their
  396. shoes, I wouldn't have any comment, either.
  397.  
  398. OUR CURRENT STATUS (SIGH)
  399.  
  400. We're not a big business, and the cost of the raid (now well over $125,000)
  401. pushed us to the wall. We have been squeaking by ever since then -
  402. sometimes things look more hopeful, sometimes less. The problem is cash
  403. flow.
  404.  
  405. We have kept up with our long-term debt (in fact, we've cleared all but
  406. $50K of it up, making most payments on the last day of the grace period),
  407. but we have been very slow-paying with current suppliers. We simply have no
  408. margin for error; any unexpected expense or failure of income will knock us
  409. off.  As I write this, a couple of big receivables didn't come in when they
  410. should have; we're about to default on a note payment, and our big printers
  411. are demanding CASH NOW OR NO MORE PRINTING, for which I can't blame them.
  412.  
  413. So the current news is not good. We should still be all right if we make it
  414. into 1991, but current cash is tighter than it has been for months.
  415.  
  416. +++++++++++++
  417. SIGNIFICANT STATUS UPDATE:
  418. +++++++++++++
  419.  
  420. The warrant application under which my offices were raided has been
  421. unsealed. It was unsealed a month ago! Apparently this was just after the
  422. last request from Silverglate and Good, but they were not informed that it
  423. had been unsealed. (Question of etiquette here?)
  424.  
  425. At any rate, I got a copy today in a package from Senator Bentsen's office,
  426. in reply to my last letter asking if the Senator could help get this
  427. information. He could and did.
  428.  
  429. Ver-r-r-r-y interesting. A copy has gone to Silverglate and Good, who
  430. should have comments shortly. Brief answers to oft-repeated questions, now
  431. that I really do know what's going on:
  432.  
  433. Yes, this was connected to the Neidorf case. Specifically, my managing
  434. editor was being "accused" of receiving a copy of the Phrack issue with the
  435. E911 file and posting it on the BBS, Phoenix Project.  The description of
  436. the E911 file included the same wild allegations that were exploded during
  437. the Phrack trial.
  438.  
  439. No, there is nothing in the application to indicate that the GURPS
  440. CYBERPUNK game was a target when they came in the door (which does not
  441. mitigate the seriousness of their effective suppression of the text).
  442.  
  443. Yes, they definitely knew that they were raiding a BBS system; it was one
  444. of the things they were after. The application specifically defined what a
  445. BBS is - though it did not mention the ECPA or the protections granted
  446. therein.
  447.  
  448. No, they alleged no criminal behavior on my part or on the company's part.
  449. SJ Games was invaded because Loyd Blankenship was an employee and a
  450. co-sysop and frequent user of our BBS.
  451.  
  452. No, there's nothing there to change my attitude toward Loyd. He is a valued
  453. employee, innocent until proven guilty, and they haven't even STARTED to
  454. prove anything.
  455.  
  456. I am, no doubt, oversimplifying in my attempt to boil a large stack of
  457. paper down to a short update - but that does seem to me to be the gist of
  458. it. I'm sure the attorneys will have more to add soon.
  459.  
  460. ********************************************************************
  461.                            >> END OF THIS FILE <<
  462. ***************************************************************************
  463.  
  464. ------------------------------
  465.  
  466. From:  BORGVM
  467. Subject: The Future of Hacking and the System Security Profession
  468. Date: 22 Oct., '90
  469.  
  470. ********************************************************************
  471. ***  CuD #2.09: File 6 of 8: Hacking and System Security         ***
  472. ********************************************************************
  473.  
  474. Before I begin the discussion of my views on the future of hacking and the
  475. system security profession, I feel it necessary to offer an introduction
  476. which I hope will aid in the understanding of my views.  I am an ex-hacker,
  477. yet in saying so I do not rule out a few things which I associate with my
  478. personal perspective on hacking.  To begin with, I have always associated
  479. hacking with a genuine lust for knowledge.  Whether or not that knowledge
  480. was restricted solely depends on the views of the individual.  For me,
  481. however, hacking was an acquisition of knowledge a form the military likes
  482. to give as a good reason to join it.  You know, hands-on training, of
  483. course!
  484.  
  485. It was an attempt to learn as many operating systems as possible.  Their
  486. strengths in comparison to one another, their weaknesses, and their
  487. nuances.   When I was hacking, data was sacred.  It was something which
  488. must not be harmed.  I can say with genuine conviction that every time  I
  489. heard of destructive viruses, malicious crashes, or the like, I would
  490. become enraged far more than would your common security professional, who
  491. would most likely eye the event as a possibility to acquire cash,
  492. reputation in the foiling of the plot, or as leverage to gain funding and
  493. public support.
  494.  
  495. Although my respect towards data is still very healthy, my urge to hack is
  496. not.  After entering higher education, I have been granted an account on
  497. the mainframe with internet and bitnet access.  This situation had served
  498. as a fuel towards my already healthy paranoia of law enforcement and their
  499. new technologies:  its just not worth the risk.
  500.  
  501. After my 'retirement', however, I began to ponder the devices available
  502. during the apex of my hacking career such as ANI (Automatic Number
  503. Identification) and CLID (Caller Line Identification) which could
  504. instantaneously register the number of any 800 caller, and processes
  505. inherent in some  digital switching systems which register calls to local
  506. packet-switched networks, that about 20% of my hacks could be traced right
  507. to my doorstep by the right investigator.
  508.  
  509. I also noted the increase in these types of investigators and the
  510. development of more organized computer-security networks involving FBI,
  511. Secret Service, and private computer security enterprises which developed
  512. highly efficient training methods:  the numbers of security representatives
  513. in the telephone companies and computer networks has increased
  514. dramatically, and to a point where telephone company toll fraud is no
  515. longer convenient, for danger and convenience rarely coexist.
  516.  
  517. I believe that the future will offer much protection from hacking, but only
  518. to a certain extent.  One needs only to examine the header of a message
  519. originating from some microcomputer host which UUCP's it through half a
  520. dozen Usenet sites, the Internet, and finally to its BITNET destination to
  521. visualize, quite realistically, a phone number tagged onto the end of the
  522. originating userid.
  523.  
  524. With digital technology advancing at its current rate, the possibilities
  525. are endless.  It is for these reasons that the private computer security
  526. profession (at its current size) is only a short-term success sparked by
  527. mass press-generated hysteria, and blatant disinformation.  The computer
  528. security profession did not receive its recognition from the voices of
  529. concerned individuals or even gluttonous corporations: it received the
  530. necessary attention and nurturing due to the paranoias of a corrupt
  531. military-minded government which knows exactly what it keeps on its systems
  532. and exactly why no one else must.  You see, its a matter of 'national'
  533. security!  Any good real hacker who has been around a few nets knows this.
  534.  
  535. The time will come when a hacker will sit down at his terminal to hack a
  536. computer somewhere far away.  This hacker might dial up a local network
  537. such as Tymnet or Telenet and connect to a computer somewhere.  That remote
  538. computer's standard issue security drivers will sense an intrusion (user
  539. John Doe calling form a network address originating in California which is
  540. inconsistent with Mr. Doe's schedule,) request the network's CLID result,
  541. and forward the information directly to Mr. Hacker's local police
  542. department which is, in this day and age, fully equipped with the ability
  543. to centrally tap telco lines (data or otherwise.)  The expert system at
  544. the police department verifies that the local data tap is indeed consistent
  545. with the victim computer's John Doe Session and sends out a dispatch.
  546.  
  547. Sound like fantasy?  Every bit of it is perfectly possible with our
  548. existing technology, and upon review of the chronology of computer security
  549. over the last three years, certainly probable.
  550.  
  551. Data security professionals are as easily replacable by computers as are
  552. assembly-line workers.  In this day (which will be, incidentally, just
  553. prior to the banning of Orwell's "1984") there will be a small but very
  554. knowledgeable and powerful group of hackers able to circumvent some of
  555. these security mechanisms.  A group of hackers not large enough to present
  556. an obvious threat, but powerful enough to give a self-perpetuating
  557. technological dictatorship and its docile society a nice, re-asserting slap
  558. on the rear.
  559.  
  560. ********************************************************************
  561.                            >> END OF THIS FILE <<
  562. ***************************************************************************
  563.  
  564. ------------------------------
  565.  
  566. Subject: The Ultimate Interface: Hackers and the Private Sector
  567. From: Dark Adept
  568. Date: Tue, 23 Oct 90 22:19 CDT
  569.  
  570. ********************************************************************
  571. ***  CuD #2.09: File 7 of 8: Hackers and the Private Sector      ***
  572. ********************************************************************
  573.  
  574.           The Ultimate Interface:  Hackers and The Private Sector
  575.  
  576. A major problem in Cyberspace is the lack of communication between hackers
  577. and non-hackers.  Corporations are fully entitled to their privacy, and so
  578. they feel threatened by the hacker "menace."  They view the hacker as the
  579. enemy, and so they persecute him. This is a valid belief since history
  580. shows that when a group does not understand another group, they try to
  581. destroy it.  Saying this is valid does not make it right.  If hackers and
  582. corporations and security companies and software companies, etc., etc.,
  583. etc. were to overcome their differences much could be done.  By trading
  584. bits and pieces of knowledge, the two opposing groups could together
  585. develop revolutionary advances in computing that would benefit all.  The
  586. problem is to get the two groups to trust one another.  In some upcoming
  587. G-Philes and submissions to CuD, I hope to break down this barrier of
  588. resentment by crossing over the lines of the Underground into the "real"
  589. world and providing valuable information about systems, security,
  590. interfacing, etc. from a hacker's/member-of-the-underground's point of
  591. view.  I hope others will follow suit, and that the private sector will
  592. reciprocate by allowing technical information to flow into the Underground.
  593. Ultimately, I hope that there will be a rapport between hackers and members
  594. of the private sector so that we may learn from each other and make the
  595. best use possible of this greatest of inventions, the computer.  Without
  596. further delay, then, I present the first of what I hope will be a long and
  597. successful series of articles.  These must be short since they are merely
  598. articles, but I have planned a few full-length works that will be more
  599. in-depth; I will send them to the CuD archives as they become available.  I
  600. hope you enjoy them.
  601. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
  602.  
  603.             System Security:  Security Levels and Partitioning
  604.  
  605.                              by The Dark Adept
  606.  
  607. Traditionally, security levels are used to prevent a user from gaining
  608. access to areas where he lacked legitimate interest.  They also have
  609. another very useful purpose that is seldom recognized.  They can be used as
  610. a firewall of sorts to stop the spread of viruses and the destruction of
  611. files by an intruder.  A good analogy of this theory is ship design.  When
  612. a ship is designed, the lower compartments are designed separate from each
  613. other so that if the hull is punctured, the flooding compartment may be
  614. sealed off thus localizing the damage and stopping the ship from sinking.
  615. In the same way accounts should be assigned security levels.  However, if
  616. the accounts are fully isolated from one another, it is too restrictive to
  617. be of any real use.  A user in Accounting would not be able to access the
  618. records from Personnel to find an employee's rate of pay, for example.
  619. Optimally, then, one would want a balance between freedom and security.
  620. This optimal assignment of security levels is accomplished through a
  621. two-stage step.
  622.  
  623. The first stage is the creation of generic accounts.  Many computer
  624. systems, such as those of schools, use generic accounts as their sole
  625. source of security.  This is VERY dangerous.  By generic accounts, I mean a
  626. set of basic accounts where each member has certain privileges assigned to
  627. it that differ from the other members.  For example, in schools the
  628. teachers often receive one type of account, and students another.  Besides
  629. the systems operator's account, these are the only two types of accounts
  630. available.  The teachers have a wide-range of freedoms including being able
  631. to look into files that don't belong to their department since they can be
  632. trusted. The students have a limited amount of ability, mostly restricted
  633. to accessing their files only.  But what happens if an intruder grabs a
  634. teacher's account?  You got it, he has access to A LOT of stuff!
  635. Obviously, this won't do.  However, generic accounts are useful if used in
  636. combination with other devices.  This leads to the implementation of the
  637. second stage: security levels.
  638.  
  639. Example:  Let X, Y, and Z be generic accounts in system S with the
  640. following maximum abilities:
  641.  
  642. X can access file areas A, B, C, D
  643. Y can access file areas B, D, J, K
  644. Z can access file areas B, C, J, L
  645.  
  646. Assume some User, u, needs access to file areas B and L alone.  Assign him
  647. account type Z with security modifications such that he may access only
  648. file areas B and L.
  649.  
  650. This results in User u being restricted to the proper file areas, B and L,
  651. but allows ease of modification later if he needs access to areas C or J.
  652. It also allows for the greatest amount of security since his account type
  653. is Z so by definition he cannot access file areas A, D, or K without
  654. receiving a new account.  Therefore, if an intruder takes control of
  655. account u, he cannot destroy more than areas B and L without modification.
  656. The most he can modify account u to have access to is areas B, C, J, and L.
  657. Therefore the damage will be localized to file areas B, C, J, and L.  The
  658. only way he can enter the other areas is to get a new account. This is much
  659. more difficult than modifying one he already has.
  660.  
  661. The same sort of setup may be applied to commands, usage times, dialup
  662. ports, etc.  For example, say the editor of a newspaper has account Z that
  663. has maximum port capability of T, t1, t2, t3 where T is a terminal in his
  664. office and t1, t2, and t3 are outside lines.  At first he is assigned a
  665. security level that allows access to T only so his account cannot be
  666. accessed from intruders outside thus stopping someone from deleting all of
  667. tomorrow's edition.  Now, if he must go on location somewhere, it would be
  668. a simple matter to modify his account to give him access to t1 so he can
  669. call up and review the submissions.  Yet, again, if there exist ports t4,
  670. t5, etc., these would NEVER be able to access the files since account type
  671. Z is incapable of being accessed through these ports.
  672.  
  673. What follows here is a mathematical model of account partitioning using
  674. concepts of discrete mathematics.  Since this is a text file and cannot use
  675. graphics characters, some common mathematical symbols must be defined using
  676. regular characters.
  677.  
  678. Symbols:
  679. --------
  680.  
  681. |    = "such that" (ordinarily a vertical bar)
  682. %e%  = "is an element of"  (ordinarily an emphasized epsilon)
  683. <==> = "if and only if"
  684.  
  685. Model:
  686. -----
  687.  
  688. Let S represent a computer system.
  689.  
  690. Let S1 be a set of different areas of interest in a computer system.  This
  691. is modelled by S1=%a1,a2,a3,...,an% where n is some integer, and a1,a2,
  692. a3,... are the areas of interest in S.
  693.  
  694. Let S2 be a set of different user accounts in a computer system.  This is
  695. modelled by S2=%u1,u2,u3,...,uq% where q is some integer, and u1,u2,
  696. u3,... are the user accounts in S.
  697.  
  698. Let x %e% S2.  Let y %e% S1. Let r be a relation on S defined as this:
  699.  
  700. xry <==>  x %e% S2 | x has access to y.
  701.  
  702. Now r becomes a partitioning relation on S2.  The function that defines r
  703. is determined by how the operator wants his accounts set up.
  704.  
  705. Further, the equivalence class of x, [x], defines the generic account.
  706.  
  707. Example: Say S has accounts u1, and u2.  It also has areas of interest a1,
  708. a2,a3.  Now say the operator wants u1 to have access to a1 and a2, and u2 to
  709. have access to a1 and a3.  By defining r in the proper manner he gets:
  710. r =%(u1,a1), (u1,a2), (u2,a1), (u2,a3)%.  Now [u1]=%a1, a2% and
  711. [u2] = %a2, a3%.  Thereby defining the generic accounts.
  712.  
  713. Now let G be the set of all of the equivalence classes determined by xry
  714. that define generic accounts in S.  This is seen as G=%[x]|x /e/ S2%.
  715.  
  716. For clarity, let g1 = [u1], g2 = [u2], ... so we have G=%g1,g2,...gq% where
  717. q is some integer.
  718.  
  719. Now let d %e% G.  We define w to be a relation as such:
  720.  
  721. dwy <==> d %e% G | d has access to y.
  722.  
  723. Now w becomes a partitioning relation on G.  The function that defines w
  724. is determined by how the operator wants to implement a generic account
  725. for a particular user.
  726.  
  727. Further, the equivalence class of d, [d], defines the specific user
  728. account.
  729.  
  730. Example:  Say S has generic account g1 set up.  It has areas of interest
  731. a1, a2, and a3.  g1 is partitioned in such a way that it can only access a1
  732. and a3.  Now say the operator wants a certain holder of a generic account
  733. type g1 to have access only to a1.  By defining w in the proper manner he
  734. obtains: w=%(g1,a1)%.  Now [g1]=%a1% thereby defining an appropriate user
  735. account.
  736.  
  737. As some may have noticed, accounts can be partitioned ad infinitum.  In
  738. most cases I have found two partitions to be sufficient.  An interesting
  739. adaptation is also to use this method to define what users have access to
  740. which commands.  It again allows much room for change while keeping things
  741. safely separate.
  742.  
  743. The ultimate safety would come when the first partition is defined in the
  744. operating/timesharing system itself.  For example, if Unix (Tm of AT&T)
  745. came with say 30 different file areas and accounts accessing those areas in
  746. specialized ways, then even if an intruder grabbed the root account, he
  747. could not change the first level of partitioning to access all those
  748. accounts.
  749.  
  750. As I hope I have shown, the proper use of generic accounts and security
  751. levels allows the optimum balance of security and ability.  By properly
  752. partitioning accounts, the system operator can isolate a problem to a
  753. relatively small area allowing faster restructuring afterward.
  754.  
  755. I hope you have enjoyed this article.  I can be reached for comments,
  756. criticism, and E-mail bombs at Ripco BBS (312)-528-5020.  Also, if you
  757. liked this article, you may comment to Jim Thomas (editor of CuD) and he
  758. can pass the general reception on to me.
  759.  
  760. Written 10/21/90 in Chicago, IL -- The Dark Adept
  761.  
  762. ********************************************************************
  763.                            >> END OF THIS FILE <<
  764. ***************************************************************************
  765.  
  766. ------------------------------
  767.  
  768. From:        P.A.Taylor@EDINBURGH.AC.UK
  769. Subject:     CU in the News: "Hackers" and Bank Blackmail in England
  770. Date:        24 Oct 90  12:59:34 bst
  771.  
  772. ********************************************************************
  773. ***  CuD #2.09: File 8 of 8: CU in the News: Hackers/English Banks**
  774. ********************************************************************
  775.  
  776. Taken from: "The Independent On Sunday," October 14, '90:
  777. Mysterious computer experts demand money to reveal how they penetrated
  778. sophisticated security.
  779.  
  780.              HACKERS BLACKMAIL FIVE BANKS  by Richard Thomson
  781.  
  782. At least four British clearing banks and one merchant bank in the City are
  783. being blackmailed by a mysterious group of computer hackers who have broken
  784. into their central computer systems over the last six months.  These
  785. breaches of computer security may be the largest and most sophisticated
  786. ever among British Banks.
  787.  
  788. The electronic break-ins which began last May, could cause chaos for the
  789. banks involved. Once inside their systems, the hackers could steal
  790. information or indulge in sabotage, such as planting false data or damaging
  791. complex computer programs.It is unlikely, however, they would be able to
  792. steal money.  So far, the hackers have contented themselves with demanding
  793. substantial sums of money in return for showing the banks how their systems
  794. where penetrated.  None of the banks has yet paid.
  795.  
  796. The break-ins are evidence of the rapid growth in computer fraud and
  797. manipulation in Britain. Although most hacking is relatively trivial, the
  798. latest cases show much sophistication. The hackers have concentrated on
  799. tapping the banks' electronic switching systems which, among other things,
  800. control the routing of funds around the world.
  801.  
  802. Some of the hackers are in contact with each other, but they are believed
  803. to be operating individually. One computer expert described their level of
  804. expertise and knowledge of the clearing bank computer systems as "truly
  805. frightening". They are not believed to have links with organised crime,
  806. which has become heavily involved in computer hacking in the US over the
  807. last two to three years.
  808.  
  809. It is a severe embarrassment for the banking community which is frightened
  810. that public awareness of the security breach could undermine public
  811. confidence. As a result, they have not called in the police but have hired
  812. a firm of private investigators, Network Security Management, which is
  813. owned by Hambros Bank and specialises in computer fraud. It is common for
  814. banks not to report fraud and security failures to the police for fear of
  815. damaging publicity.
  816.  
  817. All the banks approached either denied that they were victims of the
  818. blackmail attempt or refused to comment.  The hunt for the hackers is being
  819. led by David Price, managing director of NSM, who confirmed his firm was
  820. investigating computer security breaches at five British banks. "I am
  821. confident of success in catching the hackers," he said.  "The amount of
  822. information they can get from the banks will vary depending on the computer
  823. systems and the ways the hackers broke into them," he added.  "They could
  824. go back in and sabotage the systems, but they are not threatening to do
  825. so."
  826.  
  827. The ease with which the hackers appear to have penetrated the systems
  828. highlights the vulnerability of the computer data. Clearing banks in
  829. particular rely on huge computer systems to control their operations, from
  830. cash dispenser payments to massive international transfers of funds.
  831. Security measures were tightened after a large computer fraud at a leading
  832. City bank three years ago Although the bank involved was never named, it is
  833. understood the money was never recovered.
  834.  
  835. Nevertheless, the speed with which computer technology has developed in the
  836. last few years has made the detection of security breaches more difficult.
  837. According to an expert, who recently advised one of the big four clearers
  838. on its computer systems, there are few people who understand the banks
  839. system well enough even to detect a break-in.
  840.  
  841. Computer-related fraud has boomed over the last decade as businesses have
  842. come to rely more heavily on electronic information. According to some
  843. reputable UK and US estimates, up to 5% of the gross national product of
  844. western economies disappears in fraud. Experts say that the senior managers
  845. of many companies simply do not appreciate the need for tight security.
  846.  
  847. The British legal system has been slow to respond. The Computer Misuse Act
  848. which makes it illegal to access a computer without authorisation, came
  849. into effect only at the end of August this year.
  850.                                (end article)
  851.  
  852. ++++++++++++++++++++++++++++++++++++++++++++
  853.  
  854. The follow-up article (from The Independent on Oct 21), also by Richard
  855. Thomson, is basically much of the same thing.  He quotes a hacker from the
  856. US who's computer "nom de guerre" is Michael Jordan who makes the following
  857. points.
  858.  
  859. 1.One large US bank is notorious for lax security and it has effectively
  860. become a training ground for hackers.
  861.  
  862. 2. Guessing passwords is sometimes "absurdly simple", they tend to choose
  863. words like "Sex, Porsche, or Password"
  864.  
  865. 3.Social Engineering techniques are used and he would spend approx 6 weeks
  866. trying to suss out from a manager's secretary etc. anything he could find
  867. out that would help him have a better chance of accessing a bank's system.
  868.  
  869. The main body of the article is pretty glib; it has the usual stock phrases
  870. like..."Hackers and Bank employees have always been a danger, but now there
  871. are signs that yesterdays bank robbers have hung up their sawn-off
  872. shot-guns and are turning to computers instead." and even more hypey is ...
  873. " Mr Jordan claims to have been shown pictures of people in organised
  874. crime.
  875.  
  876. "They're East End lads who've become more sophisticated now. I've been told
  877. that if they ask you to help them and you refuse, it's baseball bats at
  878. dawn."
  879.  
  880. There's also a discussion of the reliability of fraud figures, a mention of
  881. how various definitions can exaggerate the actual role played by the
  882. computer. Detective Chief Superintendent Perry Nove head of the city fraud
  883. squad defines "computer fraud" as ... "It is when the computer system
  884. itself is attacked rather than just used to facilitate an offence" The main
  885. conclusion on the whole area of fraud is "...the subject remains cloaked in
  886. mythology and mystery.Naturally, no one knows how many frauds are commited
  887. that are never discovered. Matters are further obscured because banks
  888. fearful of bad publicity, sometimes do not report frauds to the police- a
  889. situation that Mr Nove accepts with resignation. There is general agreement
  890. among hackers and other experts that it is more widespread and more
  891. sophisticated in the US, that it is growing in Britain, but that British
  892. Banks are more secure than those in America and the Continent. That is
  893. about as reliable as the detailed information gets."
  894.  
  895. I hope I've summed up the general tone of the whole article, it was in the
  896. business section of The Independent On Sunday, 21st Oct. The paper's
  897. normally a very good one, so the generally bad coverage this bloke Thomson
  898. gave to the subject of hacking, and the amount of what I'd call "casual
  899. empiricism" he used to back up his arguments, is sadly probably indicative
  900. of what the CU is up against in the way of ignorance and bad reporting.  I
  901. thought it was quite ironic that he recognised the role of mystery and
  902. mythology, since he seemed to be doing his best to add to it. Finally, if
  903. he'd of mentioned the word expert once more ..grrrrrrr.... Cheers for now,
  904.  
  905. P.A.T.
  906.  
  907. ********************************************************************
  908.  
  909. ------------------------------
  910.  
  911.                            **END OF CuD #2.09**
  912. ********************************************************************
  913.  
  914.