home *** CD-ROM | disk | FTP | other *** search
/ Play and Learn 2 / 19941.ZIP / 19941 / PUBE / CUD216.TXT < prev    next >
Encoding:
Text File  |  1994-02-05  |  37.2 KB  |  801 lines
  1.  
  2.  
  3.   ****************************************************************************
  4.                   >C O M P U T E R   U N D E R G R O U N D<
  5.                                 >D I G E S T<
  6.               ***  Volume 2, Issue #2.16 (December 10, 1990)   **
  7.         *> SPECIAL ISSUE: "ATLANTA THREE" SENTENCING MEMORANDUM <*
  8.   ****************************************************************************
  9.  
  10. MODERATORS:   Jim Thomas / Gordon Meyer  (TK0JUT2@NIU.bitnet)
  11. GENERALIST:   Brendan Kehoe (BRENDAN@CS.WIDENER.EDU)
  12. ARCHIVISTS:   Bob Krause / Alex Smith
  13.  
  14. USENET readers can currently receive CuD as alt.society.cu-digest.
  15.  
  16. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  17. information among computerists and to the presentation and debate of
  18. diverse views.  CuD material may be reprinted as long as the source is
  19. cited.  Some authors, however, do copyright their material, and those
  20. authors should be contacted for reprint permission.
  21. It is assumed that non-personal mail to the moderators may be reprinted
  22. unless otherwise specified. Readers are encouraged to submit reasoned
  23. articles relating to the Computer Underground.
  24. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  25. DISCLAIMER: The views represented herein do not necessarily represent the
  26.             views of the moderators. Contributors assume all responsibility
  27.             for assuring that articles submitted do not violate copyright
  28.             protections.
  29. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  30.  
  31. The following is the prosecution's sentencing memorandum submitted to the
  32. judge. Although it specifies that the defendants were cooperative and
  33. requests a "downward" departure from the sentencing guidelines, it
  34. nonetheless requests prison time. In our view, the sentence was unduly
  35. harsh, and the memorandum reflects a number of substantial inaccuracies,
  36. distortions, and questionable arguments in making the claim that prison is
  37. necessary. In the next issue of CuD (2.17), we will print two responses to
  38. this memo, including that of the EFF.
  39.  
  40. The first issue of EFF NEWS, the official newsletter of the Electronic
  41. Frontier Foundation, will be distributed this week.  More detailed
  42. information on this, including how to obtain it, will be in the next issue.
  43.  
  44. The sentence was imposed Friday, November 16, 1990.  Robert Riggs received
  45. a sentence of 21 months incarceration.  Franklin E. Darden, Jr., and Adam
  46. E. Grant each received 14 months incarceration (seven months of it to be
  47. served in a half-way house).  All were additionally required to pay
  48. $233,000 each in restitution, but all are responsible for the full sum of
  49. about $700,000 should any of the others default.  For a complete discussion
  50. of the sentence, see John and Barbara McMullen's article in CuD 2.14.
  51.  
  52.    ********************************************************************
  53.  
  54.                     IN THE UNITED STATES DISTRICT COURT
  55.  
  56.                    FOR THE NORTHERN DISTRICT OF GEORGIA
  57.  
  58.                              ATLANTA DIVISION
  59.  
  60. UNITED STATES OF AMERICA             :
  61.                                      :     CRIMINAL ACTION
  62.          v.                          :
  63.                                      :     NO. 1:90-CR-31
  64.                                      :
  65. ADAM E. GRANT, a/k/a The             :
  66. Urvile, and a/k/a Necron 99,         :
  67. FRANKLIN E. DARDEN, JR., a/k/a       :
  68. The Leftist, and                     :
  69. ROBERT J. RIGGS, a/k/a               :
  70. The Prophet                          :
  71.  
  72.         GOVERNMENT'S SENTENCING MEMORANDUM AND S.G. SS 5K1.1 MOTION
  73.  
  74.      Now comes the United States of America, by and through counsel
  75. Joe D. Whitley, United States Attorney for the Northern District
  76. of Georgia, and Kent B. Alexander, Assistant United States Attorney
  77. for the Northern District of Georgia, and shows the court the
  78. following:
  79.  
  80.      From September 1987 through July 21, 1989, the defendants
  81. regularly broke into proprietary telephone computer systems, stole
  82. access information, distributed that information toothers
  83. throughout the country, and, in the process, regularly used
  84. unauthorized long distance/data network services. In all, they
  85. stole approximately $233,880 worth of logins/passwords and connect
  86. addresses (i.e., access information) from BellSouth. BellSouth
  87. spend approximately $1.5 million in identifying the intruders into
  88. their system and has since then spent roughly $3 million more to
  89. further secure their network.
  90.  
  91. Although the government is going to recommend a downward
  92. departure from the Sentencing Guidelines, the three defendants
  93. are clearly criminals who have caused a significant amount of damage
  94.  
  95.  
  96.                                    - 1 -
  97.  
  98. and should be punished accordingly. Moreover, the computer
  99. "hacker"%1% world is watching this case very closely, and the Court
  100. should send a message that illegal computer hacking activities will
  101. not be tolerated.
  102.  
  103. In this sentencing memorandum the government will describe the
  104. investigation in the case, summarize some of the evidence that
  105. would have been presented at trial, and describe the defendants'
  106. cooperation. Finally, the government will emphasize the role this
  107. case has played and will continue to play in curbing abuses in the
  108. hacker community.
  109.  
  110. I. _THE INVESTIGATION_
  111.  
  112. In June of 1989, a computer threat and a computer intrusion sparked
  113. a massive federal investigation into the computer hacking
  114. activities of a self-proclaimed elite group of roughly 20 hackers
  115. called "Legion of Doom." The threat involved an anonymous all to
  116. an Indiana Bell security representative from a computer hacker. The
  117. hacker, who has since been identified as an associate of the
  118. defendants, will e called "John Doe" for purposes of this
  119. memorandum. John Doe said that five telephone switches (telephone
  120. company computers that route calls) would be programmed to shut
  121. down the telephone system throughout the country. AT&T
  122. investigators conducted a nationwide search and discovered "logic"
  123.  
  124.  
  125. ________________________
  126. %1%The government uses the term "hacker" to describe a person
  127. who uses computers for criminal activity. The Court should note,
  128. however, that the term "hacker" can also be used to describe
  129. legitimate computer users. At one time all computer users were
  130. known as "hackers," and some computer users still identify
  131. themselves as "hackers."
  132.  
  133.                                    - 2 -
  134.  
  135. bombs" (time delayed programs) in AT&T computers located in
  136. Colorado, Georgia, and New Jersey. The logic bombs were programmed
  137. to shut down service in portions of those states.
  138.  
  139. Aside from the hacker logic bomb threat, a June 1989 intrusion into
  140. the BellSouth network also prompted the federal investigation.
  141. A computer hacker broke into the BellSouth network and rerouted
  142. calls from a probation office in Delray Beach, Florida to a New
  143. York Dial-A-Porn number. Although creative and comical at first
  144. blush, the rerouting posed a serious threat to the security of the
  145. telephone system. If a hacker could reroute all calls to the
  146. probation office, he or she could do the same to calls placed to
  147. this Court, a fire station, a police station or any other telephone
  148. customer in the country. Again, none of the three defendants are
  149. implicated in this dangerous prank, though an investigation of the
  150. intrusion ultimately led investigators to the illegal activities
  151. of the three defendants and other members of a self-proclaimed
  152. elite group of hackers called the Legion of Doom. The Legion of
  153. Doom is described in a hacker "magazine" article filed separately
  154. as _Government Exhibit A_.
  155.  
  156. In mid-June 1989, BellSouth%2% assembled a major security task
  157. force consisting of 42 full-time employees to investigate the
  158. intrusions. It assigned the employees to work 12-hour round-the-
  159. clock shifts for nearly a month. To BellSouth's credit, the
  160. management decided to go public with the intrusions by alerting the
  161.  
  162. ________________________
  163.  
  164. %2%For purposes of this memorandum, "BellSouth" also refers to
  165. Southern bell Telephone and Telegraph Company and BellSouth
  166. Advanced Network, subsidiaries of BellSouth.
  167.  
  168.                                    - 3 -
  169.  
  170. United States Secret Service%3%.
  171.  
  172. On June 21, 1990 %sic%, a confidential "hacker" informant admited
  173. that "The Urvile" in Atlanta (defendant Adam Grant) had provided
  174. him with the access information necessary to break into the
  175. BellSouth computer network. Based on that evidence and further
  176. investigation, this office and the Secret Service arranged for a
  177. court-authorized dial number recorder ("DNR") (i.e., pen register)
  178. to be placed on the telephone lines of defendants Adam E. Grant,
  179. Franklin E. Darden, Jr., and Robert J. Riggs.
  180.  
  181. From July 11 through July 21, 1989, a pattern emerged showing
  182. that all three defendants were making outgoing calls and "looping"
  183. the calls around the country and into the BellSouth computer
  184. network. "Looping" is a system hackers use to transfer their calls
  185. through a number of telephone companies and data networks (e.g.,
  186. Telenet) to gain free telephone service and to avoid detection by
  187. the authorities. The defendants would often start their loops by
  188. patching into the Georgia Tech computer system, courtesy of access
  189. numbers provided by defendant Grant. After looping the calls,
  190. defendants used unauthorized connect addresses and logins/passwords
  191. to break into the BellSouth system. Connect addresses are the
  192. computer equivalent of a street address and logins/passwords are
  193. like keys to houses (computers) on the street. The DNR records
  194.  
  195. ________________________
  196.  
  197. %3%All computer systems using modems (telephone computer links)
  198. are susceptible to computer hacker break-ins, but most companies
  199. do not "go public" when break-ins occur for fear of bad publicity.
  200. Unfortunately, when companies pretend such problems do not exist,
  201. other companies develop a false sense of security with regard to
  202. hacker intrusions. Fortunately, BellSouth took the public route.
  203.  
  204.                                    - 4 -
  205.  
  206. also revealed that the defendants were speaking with one another
  207. and with backs from all around the country. Once BellSouth pin-
  208. pointed the break-ins and determined that the hackers were
  209. downloading BellSouth information (i.e., stealing information and
  210. copying it into their own system), the Secret Service had enough
  211. information to obtain a search warrant.
  212.  
  213. On July 21, 1989, the Secret Service executed search warrants
  214. on all of the defendants' residences. At the same time, the Secret
  215. Service executed a search warrant in Indiana on the home of the
  216. "John Doe" hacker mentioned above. That hacker has since been
  217. charged and convicted on computer fraud charges.
  218.  
  219. During the searches, the Secret Service uncovered thousands
  220. of pages of proprietary telephone industry information, hundreds
  221. of diskettes, a half-dozen computers and reams of incriminating
  222. notes. After BellSouth and the Secret Service analyzed all the
  223. evidence and interviewed the defendants and other hackers, the
  224. government was able to piece the case together and seek an
  225. indictment from the grand jury.
  226.  
  227. II. _THE EVIDENCE_
  228.  
  229.      A. _What the Evidence Generally Shows_
  230.  
  231. If the case had gone to trial, the evidence would have shown
  232. that defendants Grant, Darden and Riggs used a variety of methods
  233. to break into the BellSouth telephone systems. To start, they and
  234. other Legion of Doom ("LOD") members would go "trashing" or
  235. "dumpster diving" (i.e., scavenging through dumpsters) behind
  236. BellSouth offices, usually in the dead of night. They took memos,
  237.  
  238.                                    - 5 -
  239.  
  240. printouts, and other documents. Additionally, when back at their
  241. personal computers, they created hacking programs to break into the
  242. BellSouth systems and obtained access information from fellow
  243. hackers. Using all of these tools, the defendants broke into over
  244. a dozen BellSouth computer systems. Once in the systems, the
  245. defendants would scan the files for information they wanted to
  246. steal and get into other computer systems of other entities,
  247. including Credit Bureaus, hospitals, banks%4% and other private
  248. corporations.
  249.  
  250. Among other information, the defendants downloaded BellSouth
  251. passwords and connect addresses which they could later use to
  252. return into the particular system they were scanning or to get into
  253. other systems. Defendants also downloaded subscriber information
  254. on individual customers. By getting subscriber information, the
  255. defendants could change customer services (e.g., call waiting) and
  256. obtain access to Credit Bureau information. Defendants Grant and
  257. Darden also figured out how to wire tap telephone calls using a
  258. BellSouth computer system called LMOS. Darden admits monitoring
  259. friends' calls, but claims to have only done it with the knowledge
  260. of the friends. Evidence recovered from Grant's dorm room
  261. indicates that he monitored calls as well. The government has no
  262. direct evidence that defendant Riggs monitored calls, though the
  263. Secret Service did recover LMOS access information in the search
  264. of Riggs' residence.
  265.  
  266. ________________________
  267.  
  268. %4%During a meeting with the Secret Service, defendant Grant
  269. admitted breaking into a bank in the State of Texas and altering
  270. deposit records.
  271.  
  272.                                    - 6 -
  273.  
  274. The defendants and other LOD members freely exchanged
  275. information they stole from BellSouth. Although it does not appear
  276. that defendants themselves used this information to transfer any
  277. money to themselves, they clearly exploited the services of the
  278. telephone companies and data networks when making and receiving
  279. hundreds of hours of free long distance service.
  280.  
  281. During the course of the conspiracy, the defendants and other
  282. LOD members illegally amassed enough knowledge about the
  283. telecommunications computer systems to jeopardize the entire
  284. telephone industry. During one interview, defendant Darden
  285. nonchalantly revealed that the defendants could have easily shut
  286. down telephone service throughout the country.
  287.  
  288. The defendants freely and recklessly disseminated access
  289. information they had stolen. By doing so, they paved the way for
  290. others to easily commit fraud. For instance, in early 1989, Adam
  291. Grant introduced defendants Robert Riggs and Frank Darden to a 15-
  292. year old hacker, already identified as "John Doe." Based largely
  293. on the information from the defendants, John Doe managed to steal
  294. approximately $10,000. Basically, Doe used the information from
  295. the defendants to reroute calls, enter Credit Bureaus, and have
  296. Western Union ire money from credit card accounts captured from
  297. the Credit Bureau records.
  298.  
  299. Defendants claimed that they never personally profited from
  300. their hacking activities, with the exception of getting
  301. unauthorized long distance and data network service. At the very
  302. least, however they should have foreseen the activity of people
  303.  
  304.                                    - 7 -
  305.  
  306. like John Doe, particularly in light of articles on computer
  307. hacking, stealing and fraud which they collected and authored (some
  308. of which are described in Section B below).
  309.  
  310. Defendants disseminated much of their knowledge and stolen
  311. information posting the information on electronic bulletin board
  312. services ("BBS's"). A BBS is a computerized posting service
  313. allowing hackers to post messages to one another, usually 24 hours
  314. a day. Most BBS's around the country are perfectly legal and allow
  315. legitimate computer users to communicate with each other. The LOD
  316. created a BBS named "Black Ice," however, primarily to foster
  317. fraudulent computer activities. Excerpts from the Black Ice BBS
  318. are filed separately hereto as _Government Exhibit B. A review of
  319. the Black Ice printouts reveals that defendants all realized that
  320. braking into the telephone computer systems was illegal and that
  321. they took precautions not to get caught. Of great concern are the
  322. frequent references to law enforcement and national security
  323. computer systems.
  324.      B. _Specific Examples of Items Recovered from Each Defendant_
  325.  
  326. A brief review of some of the evidence recovered from each of
  327. the defendants' residences during the July 21, 1989, searches will
  328. shed further light on the criminal nature of their conduct. Please
  329. bear in mind, however, that what follows is a description of only
  330. a very small portion of the immense amount of material recovered
  331. from each defendant.
  332.           1. _ADAM E. Grant_
  333.              --Hundreds of telephone numbers, connect addresses,
  334.                logins/passwords, and loops for various Bell
  335.  
  336.                                    - 8 -
  337.  
  338.                computer systems.
  339.  
  340.             -- Files on how to hack voice mail, how to hack Bell
  341.                company passwords, war dialing programs, time bombs,
  342.                Georgia Tech computer accounts.
  343.  
  344.             -- Articles and tutorials on a number of topics. The
  345.                articles outline information about a topic, while
  346.                tutorials outline how-to steps to accomplish
  347.                specific objectives (e.g., stealing access codes).
  348.                Grant had articles and tutorials on hacking into the
  349.                telephone system, building blue boxes (i.e., devices
  350.                that simulate computer tones and allow free
  351.                telephone access), using "loops," using Telenet,
  352.                getting "root" access to BellSouth systems, (i.e.,
  353.                free run of the system), planting "trojan horses"
  354.                into UNIX (a trojan horse is essentially a time lapsed
  355.                computer program and UNIX is the computer system
  356.                used by BellSouth). Some article/tutorials titles
  357.                include "Building Blue Boxes," "How to Rip off Pay
  358.                Stations," "Hacking Telco Outside Plant," "Hacking
  359.                Satellite Transponders," Defeating the Total
  360.                Network," "UNIX Security Issues," and "UNIX for the
  361.                Educated" by Urvile.
  362.  
  363.             -- One article specifically addressed malicious damage
  364.                to and slowing down of a UNIX system. This article
  365.                is noteworthy because it includes details on how to
  366.                bring a central office of the telephone system "to
  367.                its knees" by inserting a program to continually
  368.                make directories on a disk until the switch (i.e.,
  369.                BellSouth office computer that routes phone calls)
  370.                runs out of disk space.
  371.  
  372.             -- Three letters to Grant from Georgia Tech complaining
  373.                about his abuse of the system. The letters,
  374.                attached as _Exhibit C_, indicate that Georgia Tech
  375.                was very concerned about Grant's abuses of their
  376.                system.
  377.  
  378.             -- Credit Bureau report on Bruce Dalrymple. Grant
  379.                tutored the former Georgia Tech basketball star and
  380.                broke into the Credit Bureau to get Dalrymple's
  381.                credit history. Grant and the other defendants
  382.                essentially had the power to review millions of
  383.                citizens' credit histories by breaking into Credit
  384.                Bureaus.
  385.  
  386.             -- Numerous phone numbers of military installations.
  387.  
  388.             -- Detailed information on LMOS, the system through
  389.                which Darden and Grant tapped into other parties'
  390.  
  391.                                    - 9 -
  392.  
  393.  
  394.               computer systems.
  395.  
  396.  
  397.             -- AT&T Mail access numbers.
  398.  
  399.             -- MCI credit card access numbers.
  400.  
  401.             -- Telenet system addresses.
  402.  
  403.             -- List of user accounts on the Georgia Tech computer
  404.                system.
  405.  
  406.      2. _FRANKLIN E. DARDEN
  407.  
  408.             -- Hundreds of telephone numbers, connect addresses,
  409.                logins/passwords, and loops for various Bell
  410.                computer systems.
  411.  
  412.             -- Files on Secret Service interrogation methods,
  413.                computer-related laws/arrests, methods to defraud
  414.                long distance carriers, and social engineering
  415.                (getting information by pretending to work for the
  416.                 phone company).
  417.  
  418.             -- Articles and tutorials on blue and silver boxing,
  419.                hacking voice mail systems, tapping a neighbors'
  420.                phone, blue boxing, "military boxing" installing
  421.                small transmitters on neighbors' terminal boxes.
  422.                Titles of some of the articles included "How to Make
  423.                Flash Bombs," "Hacking Voice Mail Systems," Hacking
  424.                the Hewlett-Packard 3000 Computer," and "Art of Blue
  425.                Box Construction."
  426.  
  427.             -- Extensive information on LMOS, including tutorials
  428.                and handwritten notes concerning illegally wire
  429.                tapping telephone lines.
  430.  
  431.             -- Sprint codes and Telenet addresses and passwords.
  432.  
  433.             -- Unauthorized Credit Bureau reports on other
  434.                individuals stolen from CBI.
  435.  
  436.             -- Information on credit card fraud using Western
  437.                Union. Interestingly, the John Doe mentioned above
  438.                spoke with Darden many times concerning computer
  439.                information and ultimately devised a credit card
  440.                fraud scheme using Western Union Wires.
  441.  
  442.             -- A listing of credit card fraud laws in Michigan.
  443.  
  444.                                   - 10 -
  445.  
  446.             -- UNIX tutorial by The Urvile.
  447.  
  448.           3.   _ROBERT RIGGS_
  449.  
  450.             -- Hundreds of telephone numbers, connect addresses,
  451.                logins/passwords, and loops for various Bell
  452.                computer systems.
  453.  
  454.             -- File on "netcatch.c" a program designed to
  455.                eavesdrop on computer-to-computer communications.
  456.  
  457.             -- Articles and tutorials concerning hacking passwords,
  458.                understanding telephone security systems, and
  459.                understanding voicemail systems. The articles
  460.                tutorial titles included "Hacking COSMOS Part 2,"
  461.                "BellSouth's central System for Main Frame
  462.                Operations," "MVS from the Ground Up" by Riggs, and
  463.                "UNIX Use and Security from the Ground Up" by Riggs.
  464.  
  465.             -- The E911 file. This file which is the subject of
  466.                the Chicago indictment, is noteworthy because it
  467.                contains the program for the emergency 911 dialing
  468.                system. As the court knows, any damage to that very
  469.                sensitive system could result in a dangerous
  470.                breakdown in police, fire, and ambulance services.
  471.                The evidence indicates that Riggs stole the E911
  472.                program from BellSouth's centralized automation
  473.                system, AIMSX. Riggs also managed to get "root"
  474.                privileges to the system (i.e., free run of the
  475.                system). Bob Kibler of BellSouth Security estimates
  476.                the value of the E911 file, based on R&D costs, is
  477.                $24,639.05.
  478.  
  479.             -- Handwritten note listing Riggs' top three goals:
  480.                "Learn LMOS" %the system connected to monitoring
  481.                phone lines%; "Learn PREDICTOR" %the BellSouth
  482.                mechanized system concerning maintenance of
  483.                telephone systems outside of the main office%; and
  484.                %Learn C Programming" %computer programming%.
  485.  
  486.             -- Sprint access information
  487.  
  488.             -- Password hacking programs.
  489.  
  490.             -- Urvile's COSNIX tutorial (a how-to lesson relating
  491.                to breaking into a BellSouth system).
  492.  
  493. All three defendants obviously stored significant amounts of
  494. information in their home relating to illegal activities. In
  495.  
  496.                                   - 11 -
  497.  
  498. fairness to defendant Riggs, however, the Court should know that
  499. Rigs had less evidence of illegal activity than Grant and Darden.
  500. Apparently, defendant Riggs temporarily ceased illegal computer
  501. activities after his computer fraud conviction in North Carolina
  502. and parted company with some of his records. Eventually, however,
  503. he again started to break into the BellSouth computer systems. By
  504. the time of the search on July 21, 1989, rant, Darden and Riggs
  505. were breaking into bellSouth computer systems and other computer
  506. systems at will and were routinely downloading information.
  507.  
  508. III. _DEFENDANTS' PRIOR CONDUCT_
  509.  
  510. All of the defendants have been "hacking" for several years.
  511. Defendant Riggs, however, is the only one with a prior conviction.
  512. That conviction is described in _Government Exhibit D_ (filed
  513. separately).
  514.  
  515. IV. _DEFENDANT'S COOPERATION AND THE GOVERNMENT'S RECOMMENDATION
  516.      OF A DOWNWARD DEPARTURE_
  517.  
  518. All three defendants have provided significant cooperation
  519. that has fueled further investigation into the activities of a
  520. number of computer hackers around the country. In light of the
  521. substantial assistance each defendant has provided, as described
  522. below, the government movees for this Court to make a downward
  523. departure pursuant to S.G. 5K1 in the amount of three levels for
  524. defendants Grant and Darden and two levels for defendant Riggs.
  525.  
  526.      A. _Cooperation of Adam E. Grant_
  527.  
  528.         1. July 21, 1989 - After the search of his residence,
  529. Grant gave a statement to the United States Secret Service. He was
  530.  
  531.                                   - 12 -
  532.  
  533. not forthcoming and generally denied any wrongdoing. By the time
  534. he pled guilty, however, Grant had realized the severity of the
  535. crime and was very forthcoming with helpful information.
  536.  
  537.         2. July 16, 1990 - Grant spent approximately 2-3 hours
  538. meeting with Assistant United States Attorneys from Chicago
  539. regarding the Craig Neidorf Case. Grand provided valuable
  540. information to assist in the prosecution of the case. Grant agreed
  541. to testify, though when the prosecutors called him at the last
  542. minute to fly to Chicago, he declined because of his school
  543. schedule. Ultimately, the Chicago office did not need him to
  544. testify.
  545.  
  546.         3. August 9, 1990 - Grant met with a number of Secret
  547. Service agents and representatives of BellSouth to discuss all
  548. aspects of the investigation in Atlanta and divulge information
  549. about other members of the Legion of Doom. The meeting lasted more
  550. than 8 hours and Grant provided a substantial amount of helpful
  551. information. Special Agent William Gleason says that Grant was
  552. very cooperative.
  553.  
  554.         4. October 8, 1990  through October 10, 1990 - Grant
  555. traveled to Detroit, Michigan to meet with investigators and a
  556. prosecutor there regarding the investigation of a fellow Legion of
  557. Doom member. While there, he testified before the grand jury.
  558. According to Assistant United States Attorney David Debold, Grant
  559. was cooperative.
  560.  
  561.         5. October 12, 1990 - Grant met for approximately 4
  562. hours with BellSouth security officers. He discussed a number of
  563.  
  564.                                   - 13 -
  565.  
  566. matters, including what he believed could be future hacking efforts
  567. against BellSouth and measures BellSouth should take to protect
  568. their system.
  569.  
  570.                                   - 14 -
  571.  
  572.      B.  _Cooperation of Franklin E. Darden, Jr._
  573.  
  574.          1. July 21, 1989 - After the search of his residence,
  575. Darden provided a very detailed statement to the United States
  576. Secret Service describing his activities and the activities of the
  577. Legion of Doom. Based in part on that statement, the Secret
  578. Service and BellSouth were able to further their investigation into
  579. the identities and illegal acts of other members of the Legion of
  580. Doom.
  581.  
  582.          2. July 24, and July 28 - Darden volunteered to
  583. meet and did meet with the Secret Service and the undersigned
  584. counsel and thoroughly answered all questions posed to him.
  585. Particularly in the early stages of cooperation, Darden provided
  586. more helpful information than any defendant.
  587.  
  588.          3. July 1990 - Darden traveled to Chicago and spent
  589. three days waiting to testify and occasionally meeting with
  590. Assistant United States Attorneys. The Chicago authorities called
  591. him one morning during work, and Darden flew to Chicago by that
  592. evening. Although Darden did not have to testify, he was ready and
  593. willing to do so. Also, he had met with the Chicago prosecutors
  594. a week or so earlier in Atlanta.
  595.  
  596.          4.  August 7, 1990 - Darden met in the Atlanta field
  597. office of the Secret Service with Secret Service agents, BellSouth
  598. representatives and other investigators. The meeting lasted most
  599. of the day. According to Special Agent William Gleason,Darden was
  600. very forthcoming and provided valuable leads for other cases.
  601.          5. October 1990 - Darden traveled to Detroit Michigan
  602.  
  603.                                   - 15 -
  604.  
  605. to meet with investigators and the prosecutors there regarding the
  606. investigation of a fellow Legion of Doom Member. He also testified
  607. before the grand jury. According to Assistant United States
  608. Attorney David Debold, Darden was very cooperative and offered
  609. evidence that will be very useful in prosecuting the Detroit
  610. hacker.
  611.  
  612.      C. _Cooperation of Robert J. Riggs_
  613.  
  614.         1. July 21, 1989 - After the search of his residence,
  615. defendant Riggs provided a very detailed statement to the United
  616. States Secret Service describing his activities and the activities
  617. of the Legion of Doom.  Based in part on that statement, the Secret
  618. Service and BellSouth were able to further their investigation into
  619. the identities and illegal acts of other members of the Legion of
  620. Doom.
  621.  
  622.         2. May 23, 1990 - Defendant Riggs met with Chicago
  623. Assistant United States Attorneys and the undersigned counsel to
  624. discuss the case generally and the activities of other Legion of
  625. Doom members. Mr. Riggs provided helpful leads in pursuing other
  626. hackers.
  627.  
  628.  
  629.         3. July 17, 1990 - Riggs met again with two Assistant
  630. United States Attorneys from Chicago who were in Atlanta and spent
  631. several hours discussing the prosecution of Craig Neidorf and
  632. related computer hacker matters. The prosecutors found Mr. Riggs'
  633. statements very helpful.
  634.  
  635.         4. July 1990 - Riggs traveled to Chicago and was there
  636. for several days before his testimony in that case. The testimony
  637.  
  638.                                   - 16 -
  639.  
  640. was somewhat helpful, though the prosecutors felt defendant Riggs
  641. was holding back and not being as open as he had been in the
  642. earlier meeting.
  643.  
  644.         5. August 8, 1990 - Riggs met in the Atlanta field
  645. office of the Secret Service agents, BellSouth representatives, and
  646. other investigators from around the country. The meeting lasted
  647. roughly 5 hours. According to Special Agent William Gleason, Riggs
  648. was less forthcoming than either Darden or Grant and seemed to have
  649. more of a problem recalling details. He did, however, provide some
  650. helpful information.
  651.  
  652.  
  653.         6. October 13, 1990 - Riggs traveled to Detroit,
  654. Michigan to meet with investigators and the prosecutor there
  655. regarding the activities of a fellow member of the Legion of Doom.
  656. He also testified before the grand jury. According to Assistant
  657. United States Attorney David Debold, Riggs was helpful, but Mr.
  658. Debold had a difficult time prying information from Riggs without
  659. asking very specific questions. Mr. Debold said he did not know
  660. whether Riggs was evasive or simply quiet.
  661.  
  662. Defendant Riggs strikes the undersigned counsel as an
  663. unusually quiet and pensive person. Throughout the investigation,
  664. he has been cooperative, but because of his nature, he sometimes
  665. comes across as uninterested and evasive. The bottom line is that
  666. he provided helpful information that furthered several
  667. investigations around the country, though his assistance was not
  668. as substantial as that of Grant and Darden; hence the
  669. recommendation of only a two-level departure.
  670.  
  671.                                   - 17 -
  672.  
  673. V. _DEFENDANTS' MOTIVATION_
  674.  
  675. All three defendants belonged to the self-proclaimed elite
  676. group of hackers called Legion of Doom. As described in _Exhibit_
  677. _A_, 15 members of this group lived in cities throughout the country
  678. and used personal computers and modems to break into a host of
  679. other computer systems. Their main motivation: To obtain power
  680. through information and intimidation. Basically, they wanted to
  681. own "Ma Bell."
  682.  
  683. In their quest for power, the defendants and other LOD members
  684. in the group fixated on the telephone industry for two reasons.
  685. First, the telephone industry has one of the most complicated and
  686. challenging computer systems in the world. Second, telephones link
  687. all computers throughout the world to each other and a mastery of
  688. the telephone system would allow the defendants to break into
  689. computer systems virtually anywhere. The defendants and other LOD
  690. members engaged in an arcane game of technological one-upmanship.
  691. Whoever could break into the most systems and steal the most
  692. information would be considered the superior hacker. For instance,
  693. LOD members were designated at certain levels (e.g., The Urvile,
  694. Level 8) to reflect their degree of expertise.
  695.  
  696. Once the defendants figured out how to master a computer
  697. system, they would often assert their bragging rights by
  698. documenting their methods of break-ins and sharing the information
  699. with hackers around the country. Although each defendant claims
  700. to have carefully restricted access to the information, there could
  701. be no realistic safeguards. From the start, the information was
  702.  
  703.                                   - 18 -
  704.  
  705. stolen and, by definition, no longer safeguarded. Moreover, the
  706. defendants commonly made the information available to all hackers
  707. who happened to access the computer bulletin board service they
  708. were using. A case in point is John Doe of Indiana who stole the
  709. approximately $10,000 by using information provided by the
  710. defendants.
  711.  
  712. In essence, stolen information equalled power, and by that
  713. definition, all three defendants were becoming frighteningly
  714. powerful.
  715.  
  716. VI. _THE GOVERNMENT'S RECOMMENDATION AND THE NEED TO SEND A MESSAGE_
  717.     _TO THE COMMUNITY_
  718.  
  719. Computer hackers around the country are closely following the
  720. outcome of this case in light of the probated sentence of the last
  721. federally prosecuted adult criminal hacker, Rober Morris, Jr.
  722. Any sentence that does not include incarceration would send the
  723. wrong message to the hacking community; that is, that breaking into
  724. computer systems and stealing information is not really a crime.
  725.  
  726. As the Court may recall, Mr. Morris created a computer virus
  727. which began multiplying out of control and infected hundreds of
  728. computers around the country. The case garnered national attention
  729. because it was one of the first computer fraud prosecutions to
  730. focus the public's eye on the very real dangers of computer
  731. hacking.
  732.  
  733. Computer bulletin board services (BBS's) around the country
  734. were buzzing about the _Morris_ case. For instance, two printout
  735. pages of one BBS, filed separately as _Government Exhibit E_, will
  736.  
  737.                                   - 19 -
  738.  
  739. give the Court an idea of how closely hackers follow these matters.
  740. A hacker named The Mentor noted that if Morris was sentenced to do
  741. time, "it'll be a *very* bad precedent." Another hacker, Eric
  742. Bloodaxe, responded "Hell, maybe it IS time to start doing all the
  743. terrible things I always had the capabilities to do..." A hacker
  744. named Ravage commented that he heard the prosecution had had a hard
  745. time showing Morris' malicious intent and noted that if that was
  746. true, "I doubt he will get any time. Probably a fine, community
  747. service, or probated time." The Urvile (the hacker name used by
  748. defendant Grant) aid, "The virus will hurt us (the hacking
  749. community) a tremendous among in the future." He went on to say
  750. that "even if the courts are lax on him (orris), which is the only
  751. silver lining i can think of, then security on all systems is going
  752. to increase. we don't need that. not one bit."
  753.  
  754. The government does not have ready access to any printouts
  755. from BBS's following the Morris sentencing, thought hackers and
  756. computer experts recall general hacker jubilation when the judge
  757. imposed a probated sentence. Clearly, the sentence had little
  758. effect on defendants Grant, Riggs, and Darden.
  759.  
  760. The undersigned counsel met with each of the three defendants,
  761. and all three have been very cooperative and remorseful. The
  762. defendants, however, have literally caused BellSouth millions of
  763. dollars in expenses by their actions. Moreover, they knew
  764. throughout their hacking activities that they were engaging in
  765. illegal conduct as they broke into untold numbers of telephone and
  766. non-telephone computer systems. Because of that conduct and the
  767.  
  768.                                   - 20 -
  769.  
  770. message that the hackers around the country need to hear, the
  771. government strongly urges this Court to include incarceration as
  772. part of the sentence. The government will make a more specific
  773. recommendation at the time of sentencing.
  774.  
  775.  
  776.                                    Respectfully submitted,
  777.  
  778.                                    JOE D. WHITLEY
  779.                                    UNITED STATES ATTORNEY
  780.  
  781.  
  782.                                    KENT B. ALEXANDER
  783.                                    ASSISTANT UNITED STATES ATTORNEY
  784.                                    1800 United States Courthouse
  785.                                    75 Spring Street, S.W.
  786.                                    Atlanta, Georgia 30335
  787.  
  788.                                    Georgia Bar No. 008893
  789.  
  790.  
  791.                                     - 21 -
  792.  
  793. ********************************************************************
  794.  
  795. ------------------------------
  796.  
  797.                            **END OF CuD #2.16**
  798. ********************************************************************
  799.  
  800.  
  801.