home *** CD-ROM | disk | FTP | other *** search
/ Play and Learn 2 / 19941.ZIP / 19941 / PUBE / CUD324.TXT < prev    next >
Encoding:
Text File  |  1994-02-05  |  42.8 KB  |  911 lines
  1.  
  2.  
  3.   ****************************************************************************
  4.                   >C O M P U T E R   U N D E R G R O U N D<
  5.                                 >D I G E S T<
  6.               ***  Volume 3, Issue #3.24 (July 3, 1991)   **
  7.   ****************************************************************************
  8.  
  9. MODERATORS:   Jim Thomas / Gordon Meyer  (TK0JUT2@NIU.bitnet)
  10. PHILEMEISTER: Bob Krause // VACATIONMEISTER: Bob Kusumoto
  11. MEISTERMEISTER: Brendan Kehoe
  12.  
  13.             +++++     +++++     +++++     +++++     +++++
  14.  
  15. CONTENTS THIS ISSUE:
  16. File 1: From the Mailbag  (Response to "Cyberpunk" definition)
  17. File 2: Bill Vajk, Len Rose, Gene Spafford
  18. File 3: Comsec Security Press Release
  19. File 4: Comments on ComSec Data Security
  20. File 5: Police Confiscations and Police Profit
  21. File 6: House Crime Bill (1400) and its Threat to Modemers
  22. File 7: Law Panel Recommends Computer Search Procedures
  23. File 8: The CU in the News (data erasing; cellular fraud)
  24. +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  25. CuD is available via electronic mail at no cost. Hard copies are available
  26. through subscription or single issue requests for the costs of reproduction
  27. and mailing.
  28.  
  29. USENET readers can currently receive CuD as alt.society.cu-digest.
  30.    Back issues of Computer Underground Digest on CompuServe can be found
  31. in these forums:
  32.             IBMBBS, DL0 (new uploads) and DL4 (BBS Management)
  33.             LAWSIG, DL1 (Computer Law)
  34.             TELECOM, DL0 (New Uploads) and DL12 (Electronic Frontier)
  35. Back issues are also available from:
  36. GEnie, PC-EXEC BBS (414-789-4210), and at 1:100/345 for those on FIDOnet.
  37. Anonymous ftp sites: (1) ftp.cs.widener.edu (192.55.239.132);
  38.                      (2) cudarch@chsun1.uchicago.edu;
  39.                      (3) dagon.acc.stolaf.edu (130.71.192.18).
  40. E-mail server: archive-server@chsun1.uchicago.edu.
  41.  
  42. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  43. information among computerists and to the presentation and debate of
  44. diverse views.  CuD material may be reprinted as long as the source is
  45. cited.  Some authors, however, do copyright their material, and those
  46. authors should be contacted for reprint permission.  It is assumed
  47. that non-personal mail to the moderators may be reprinted unless
  48. otherwise specified. Readers are encouraged to submit reasoned
  49. articles relating to the Computer Underground.  Articles are preferred
  50. to short responses.  Please avoid quoting previous posts unless
  51. absolutely necessary.
  52. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  53. DISCLAIMER: The views represented herein do not necessarily represent
  54.             the views of the moderators. Contributors assume all
  55.             responsibility for assuring that articles submitted do not
  56.             violate copyright protections.
  57.  
  58. ********************************************************************
  59.                            >> END OF THIS FILE <<
  60. ***************************************************************************
  61.  
  62. ----------------------------------------------------------------------
  63.  
  64. Date: July 3, 1991
  65. From: Various
  66. Subject: From the Mailbag  (Response to "Cyberpunk" definition)
  67.  
  68. ********************************************************************
  69. ***  CuD #3.24: File 1 of 8: From the Mailbag                   ***
  70. ********************************************************************
  71.  
  72. Date: Tue, 2 Jul 91 12:44:22 cdt
  73. From:  <accidentally garbled by editors>
  74. Subject: Brad Hicks and Cyber Definitions
  75.  
  76. I commend Brad Hicks for his generally concise set of definitions of
  77. definitions of computer underground types which make it clear that
  78. there are many different motivations and categories.  However, I would
  79. modify his following definition:
  80.  
  81. > CYBERPUNK: (n)  A cyberpunk is to hackers/phreaks/crackers/crashers
  82. > what a terrorist is to a serial killer; someone who insists that their
  83. > crimes are in the public interest and for the common good, a
  84. > computerized "freedom fighter" if you will.
  85.  
  86. In the works of Bruce Sterling, William Gibson, and others, cyberpunks
  87. are not terrorists in the conventional sense of the term, and the
  88. analogy to serial killers strikes me as a bit extreme. Cyberpunks are
  89. characterized by their resistance to oppressive authority (which makes
  90. them a form of freedom fighter), but the resistance tends to be highly
  91. individualistic. I wonder if cyberpunks might be based on the
  92. anti-hero model of westerns (Shane) or earlier science fiction in
  93. which the marginal but basically decent outsider steps in to use
  94. marginal skills to save the town, country, or civilization?
  95.  
  96. I hope Mr. Hicks' comments generate some needed discussion along these
  97. lines.
  98.  
  99. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  100.  
  101. Date: Tue, 2 Jul 91 14:34:38 edt
  102. From: wex@PWS.BULL.COM
  103. Subject: Cyberpunks (response to Brad Hicks in Cu Digest, #3.23)
  104.  
  105. Hicks' gratuitous slap at cyberpunks tacked on to the end of his
  106. definitions of hackers, crackers and phreaks should not be allowed to
  107. pass.
  108.  
  109. He refers to cyberpunks as being more extreme forms of the above, with
  110. an added dash of morality.  I'd love to know where he got this idea.
  111.  
  112. The cyberpunks I know are those who, as the word implies, have taken
  113. the punk ethic of disrespect for authority (and often for self, even
  114. to the point of nihilism) and applied it to the cyber world.
  115. Cyberpunks are those who think that the street has its own uses for
  116. technology (they're out there decoding the signals from Mattel
  117. Powergloves).  They think that corporations are often a bigger threat
  118. than governments, though they dis both - sometimes to the point of
  119. breaking laws.
  120.  
  121. The only freedom these people are interested in is the freedom to be
  122. left alone, both physically and, in the data world, to be left out of
  123. the ubiquitous info files being accumulated on us all.
  124.  
  125. This combination often leads to a "fuck you, jack" attitude, not the
  126. platitudinous %%freedom fighter'' ethos Hicks talks about.
  127.  
  128. ********************************************************************
  129.                            >> END OF THIS FILE <<
  130. ***************************************************************************
  131.  
  132. ------------------------------
  133.  
  134. Date: Mon, 24 Jun 91 23:58:37 EDT
  135. From: Jerry Leichter <@mp.cs.niu.edu:leichter@LRW.COM>
  136. Subject: Bill Vajk, Len Rose, Gene Spafford
  137.  
  138. ********************************************************************
  139. ***  CuD #3.24: File 2 of 8: Vill Vajk, Len Rose, Gene Spafford  ***
  140. ********************************************************************
  141.  
  142. In CuD 3.22, Bill Vajk writes an (overly long, repetitive) note in
  143. response to an earlier note of Gene Spafford's.  I don't want to go
  144. into the details of everything he has to say; I'll make one comment on
  145. fact, and another a general observation.
  146.  
  147. On fact:  Vajk tries to attack the claim that Rose violated a trade
  148. secret or copyright of AT&T's by saying that AT&T claims both trade
  149. secret and copyright protection on the Unix source code, and they are
  150. incompatible because copyright protection requires deposit of a copy
  151. of the code with the Library of Congress, where the copy is available
  152. freely to the public.
  153.  
  154. This is dead wrong.  First of all, deposit is required within 3 months
  155. of PUBLICATION; however, even unpublished material can be protected by
  156. copyright, and AT&T can reasonably claim that they never published the
  157. source code.
  158.  
  159. Second, there are exceptions to the requirements for deposit which
  160. will usually cover software.  In any case, as a matter of law, even if
  161. the copyright owner disregards the deposit requirement, the copyright
  162. remains enforceable (though the owner may be subject to fines or other
  163. penalties.)
  164.  
  165. Third, even where deposit is required - as when one wishes to register
  166. the copyright, a necessary first step in defending it in court - the
  167. Copyright Office has recognized the issue of trade secrecy, and does
  168. not require the entire program to be deposited.  There are a couple of
  169. choices - e.g., you can deposit the entire first and last 10 pages of
  170. source code, or the first and last 25 pages with no more than half of
  171. the text blacked out, etc.  (Note:  This is taken from a Notice of
  172. Proposed Rulemaking issued in 1986, as quoted in a 1990 book.
  173. Apparently it is the policy that is being followed, although it has
  174. yet to be made completely official.)
  175.  
  176. Finally, while it is true that copyright infringement as such is not a
  177. criminal matter, the copyright law does provide criminal penalties for
  178. fraudulent copyright notices and false representation.  Also, going
  179. beyond copyrights as such, once a property right exists, it can be
  180. stolen.  Depending on the circumstances, the theft may or may not be a
  181. criminal matter.  If you leave your car at my service station for some
  182. repair work and I start using it and refuse to return it, you can sue
  183. me civilly for conversion; I am probably also guilty of auto theft.
  184. Civil and criminal law are not necessarily mutually exclusive.
  185.  
  186. On philosophy:  Vajk is right in commenting that some of the pain
  187. people are feeling is from seeing the law applied to "nice middle
  188. class white kids" in a way it is usually applied to poor black ones.
  189. The fact of the matter is that, for the most part, the law leaves the
  190. nice white middle class alone.  Its instincts and modes of operation
  191. are developed for a much rougher atmosphere, where a kid being
  192. rousted, whether for good reasons or bad, is quite likely to be armed,
  193. or at least potentially dangerous.  Sure, a cracker - or a whitecolor
  194. criminal - is unlikely to attack the police who've arrested him; but
  195. policy says that those under arrest will be handcuffed, because it's
  196. safer (for the police) that way, and their safety outweighs the
  197. arrestee's dignity.
  198.  
  199. Presumption of innocence or no, the gut feeling that police,
  200. prosecuters, and probably most defense attornies have is that those
  201. arrested are probably guilty, if not of the particular offense
  202. charged, then of SOME offense.  Guilt and innocence are of much less
  203. importance than making sure the legal rules are followed - and those
  204. legal rules can and do play rough.  Innocent or guilty, you DON'T want
  205. to be caught up in the criminal justice system.
  206.  
  207. Vajk is incensed that police officers are "learning on the job" how to
  208. deal with computers.  In "To Engineer is Human", a wonderful book,
  209. Henry Petrofsky points out that engineering never learns much from
  210. successes, only from failures.  The law acts the same way.  It's not
  211. only police officers and prosecutors and judges who are "learning on
  212. the job"; it's the entire legal system.  Much of the law is based on
  213. precedent; before a precedent is established, there IS no settled law
  214. in a particular area.  Even law that is based on statute doesn't come
  215. out of nowhere:  Laws are usually drafted in response to perceived
  216. problems.  Only rarely are they anticipatory, and then they often turn
  217. out to be wrong.
  218.  
  219. What we are seeing right now is the legal system learning what the
  220. right way to deal with "computer crimes" is.  It tried ignoring them;
  221. that eventually proved unsatisfactory.  Now it is reacting, and as is
  222. to be expected, it is doing so by pushing as hard as it can.  The
  223. eventual boundaries of the law will be determined by the sum of the
  224. various pushes - by overzealous prosecuters, by defense attornies, by
  225. citizens enraged by computer crimes and citizens enraged by government
  226. over-reaction.  One way or the other, the Steve Jackson case will
  227. establish some of the boundaries of search and seizure of computers.
  228. Had the Neidorf case gone through a full trial, it might well have
  229. established something about First Amendment protections for electronic
  230. publication.  As it is, it made the prosecuters look stupid and AT&T
  231. look like liars.  The next time around, a prosecuter will think twice
  232. about putting his reputation on the line based on some unverifiable
  233. AT&T claims.  That, too, is part of the education of the legal system.
  234.  
  235. The courts deliberately avoid deciding issues until they are forced to
  236. by actual cases.  (There are some minor exceptions to this rule.)  In
  237. practice, this means that if you want to challenge, say, an abortion
  238. law in court, you have to violate it - and be prepared to go to jail
  239. (as many challengers did) if your challenge fails.  This method has
  240. worked reasonably well over hundreds of years, but it has the
  241. unfortunate property that while the boundaries of the law are being
  242. paved, some people will end up in the wrong place at the wrong time
  243. and will end up being squashed by an on-coming steamroller.  The
  244. steamroller may have to roll back later, but that doesn't do the
  245. flattened fellow much good.
  246.  
  247. So ... don't look at the current problems as a sign that the legal
  248. system is incapable of dealing with computer and communication
  249. technology.  That's not at all what is going on.  Within a couple of
  250. years we'll be on pretty firm ground on these issues.  The important
  251. things to do now are (a) help provide pressure to push the law in the
  252. right directions before it "sets"; (b) help support the relatively few
  253. casualties of the process.  I applaud EFF's efforts to do (a) (even if
  254. I don't always agree with the particular positions they may choose to
  255. take).  As far as I can see, EFF isn't deliberately doing (b), though
  256. that will be a side-effect of some of their other actions; but in
  257. general (b) is more effectively done by concerned individuals in any
  258. case.
  259.  
  260. ********************************************************************
  261.                            >> END OF THIS FILE <<
  262. ***************************************************************************
  263.  
  264. ------------------------------
  265.  
  266. Date: June 11, 1991
  267. From: COMSEC Press Release
  268. Subject: Comsec Security Press Release
  269.  
  270. ********************************************************************
  271. ***  CuD #3.24: File 3 of 8: Comsec Security Press Release       ***
  272. ********************************************************************
  273.  
  274.  
  275.                            COMSEC PRESS RELEASE
  276.  
  277.  June 11, 1991
  278.  
  279.  For future release
  280.  
  281.  Contact Scott Chasin or Chris Goggins
  282.  713-721-6500
  283.  
  284.  Houston, TX, Comsec Data Security announced its entrance into the
  285.  field of computer security consulting.  Comsec, comprised mainly of
  286.  the now defunct computer group "The Legion of Doom," plans to offer a
  287.  full-scale security package to private industry.
  288.  
  289.  The firm's officers are Scott Chasin, Robert Cupps, Chris Goggins and
  290.  Ken Shulman.  The three key computer specialists Chasin, Goggins and
  291.  Shulman, all ex-members of LOD, each have over eight years experience
  292.  dealing with computer security.  Cupps, a graduate of Emory School of
  293.  Business and former securities trader, will operate as the firm's
  294.  administrative partner and concentrate on the firm's marketing
  295.  efforts.
  296.  
  297.  Since it's formation in the summer of 1984, the Legion of Doom had
  298.  been the object of much controversy in the media.  Often referred to
  299.  as "the most notorious hacker group in America," LOD underwent four
  300.  major reorganizations of members.  Goggins, one of the original nine
  301.  founding members of the group said of the final reorganization, "we
  302.  were looking for individuals who had the skills and desire to move
  303.  the group specifically to this point.
  304.  
  305.  "We feel that we are bringing a fresh approach to security consulting
  306.  in the corporate marketplace.  We were all the cream of the crop of
  307.  the computer underground and know precisely how systems are
  308.  compromised and what actions to take to secure them," said Goggins.
  309.  In fact, the group feels its success rate in the area of system
  310.  penetration is 80 to 85 percent.
  311.  
  312.  Comsec will offer security penetration testing and full auditing
  313.  services to corporate clients.  In addition, the firm aims to endorse
  314.  a wide range of software and hardware security products. "Our firm
  315.  has taken a unique approach to its sales strategy and is confident
  316.  that contracts currently under negotiation will firm up within the
  317.  next 30 days," said Cupps.
  318.  
  319.  Aware of the possible shockwave among the hacking underground over
  320.  this venture, the firm maintains that they are security consultants
  321.  and not informants or hacker-trackers.  "We are not going to go after
  322.  people, we are going to ensure that no one, hacker or corporate spy,
  323.  can compromise the security of our clients computers," said Chasin.
  324.  
  325.  Comsec is ready to assume normal operations and is looking to provide
  326.  the business community with a much needed service.  Comsec is located
  327.  at 60 Braeswood Square, in Houston, Texas, and can be reached at
  328.  713-721-6500 or 713-683-5742 (A/ hrs).
  329.  
  330. ********************************************************************
  331.                            >> END OF THIS FILE <<
  332. ***************************************************************************
  333.  
  334. ------------------------------
  335.  
  336. Date: Tue, 25 Jun 91 14:12:25 EST
  337. From: Gene Spafford <spaf@CS.PURDUE.EDU>
  338. Subject: Comments on ComSec Data Security
  339.  
  340. ********************************************************************
  341. ***  CuD #3.24: File 4 of 8: Comments on ComSec                  ***
  342. ********************************************************************
  343.  
  344. I have a quick comment on the report of the start-up of Comsec Data
  345. Security.  I have been quoted as asking people if they would hire a
  346. confessed/convicted arsonist to install their fire alarm system when
  347. talking about hiring "reformed" system crackers to do computer
  348. security.  Personally and professionally, I think it is a dangerous
  349. decision from a business perspective and from a professional
  350. perspective.
  351.  
  352. From a business perspective, you need to ask yourself the following
  353. questions:
  354.    * If these guys know how to break through certain kinds of
  355.    security, does that prove they know how to make the security
  356.    better?
  357.  
  358. Using an analogy to start with, does someone who has experience
  359. putting sugar in the gas tank know how to tune the engine?  Or, more
  360. closely, does someone who has shown expertise at stealing cars with
  361. the keys left in the ignition know how to tell you something more
  362. valuable than not to leave the keys in the ignition?  They can guess
  363. at telling you to leave the doors locked and windows rolled up.  But
  364. can they tell you about car alarms, various forms of
  365. insurance, removable stereos, LoJac (sic?) tracers, cost/benefit of
  366. using various other models of car, etc?
  367.  
  368. Likewise, with computer security, because some people have had good
  369. luck breaking weak passwords and circumventing poorly-placed controls,
  370. that does not make them experts in security.  What do these guys know
  371. about formal risk assessment models, information theoretical background
  372. of ComSec evaluation, formal legal requirements for security, business
  373. resumption planning, employee training, biometric systems, .....?
  374.  
  375.    *  How do you know they are reformed?
  376.  
  377. Just because they claim they have reformed and hang a shingle out,
  378. does that mean they have *really* reformed?  If your business presents
  379. a very tempting target, how do you know they aren't casing the system
  380. to make a single big haul and then skip town?  How do you know they
  381. aren't going to traffic info on your system with their friends?  One
  382. big haul and a quick trip to another country with no extradition, and
  383. that's it.
  384.  
  385. The literature is full of instances where people with clean records
  386. couldn't resist the temptation to take advantage of their access to
  387. the system to make a quick buck.  How much more can you trust people
  388. who have already shown they aren't particularly interested in niceties
  389. of the law and ethics?
  390.  
  391. Ask the folks at SRI if hiring "reformed" crackers/phreakers is
  392. ultimately a sound business decision....
  393.  
  394.    * Can you be sure if these guys find some of their former
  395.      associates playing with your system, they will act in your best
  396.      interests?
  397.  
  398. This is a standard problem in a new realm -- will these guys really
  399. turn in their former buddies if they find that they have penetrated a
  400. client's system?
  401.  
  402.    * If they miss a problem, or cause a problem, will your business
  403. insurance pay off?  Will you be immune from prosecution or
  404. stock-holder's lawsuits?
  405.  
  406. These guys and others like them have a checkered history.  Hiring them
  407. to protect your systems against loss could be grounds for negligence
  408. suits in the case of loss, or be sufficient to cause non-payment of
  409. insurance policies.  In the case of various state & federal laws, you
  410. might be responsible for not showing a concerted effort to really
  411. protect your data.
  412.  
  413. Are these guys bondable?  If so, for how much?  Can they receive
  414. security clearances?
  415.  
  416. The decision is also a bad one professionally.  What kind of statement
  417. does hiring these guys send to the rest of the world?  It says "Gee,
  418. build up some experience hacking into other people's (or our ) systems
  419. without permission, and we'll give you a job!"
  420.  
  421. That's a bad statement to make.
  422.  
  423. Furthermore, it says to the true professionals in the field, the
  424. people who study the material, act professionally and ethically their
  425. whole careers, and who make every attempt to be responsible: "We will
  426. hire people who behave improperly instead; your training is equivalent
  427. (or less than) experience gained from acting unethically."
  428.  
  429. That is a worse statement to make.  Most of the professionals in the
  430. field could easily break in to business systems because of lax
  431. security, but would never dream of doing so.  To prefer confessed
  432. crackers over honorable professionals is quite an insult.
  433.  
  434. As a professional, I would refuse to do business with firms who hire
  435. these guys as security consultants.  They show surprisingly poor
  436. business sense, and an (indirect) contempt for the people who work
  437. hard and *ethically* their whole careers.
  438.  
  439. Note that I'm not stating that these three, in particular, are less
  440. than honorable now or will commit any crimes in the future.  I'm
  441. stating that, in the general case, such "reformed" individuals are a
  442. very poor choice for security consulting.  Neither am I making the
  443. statement (incorrectly attributed to me in CACM a year ago) that
  444. people like these three should never be employed in computing-related
  445. jobs.    I am disturbed, however, that they would be hired *because*
  446. of their unethical and illegal behavior-past.
  447.  
  448. ********************************************************************
  449.                            >> END OF THIS FILE <<
  450. ***************************************************************************
  451.  
  452. ------------------------------
  453.  
  454. Date: June 30, 1991
  455. From: Moderators
  456. Subject: Police Confiscations and Police Profit
  457.  
  458. ********************************************************************
  459. ***  CuD #3.24: File 5 of 8: Police Confiscations and Profit     ***
  460. ********************************************************************
  461.  
  462. The policy of indiscriminant confiscation of computer property in
  463. search and seizure operations has drawn criticism. The roots of the
  464. policy stem from RICO and anti-drug enforcement policies.  A recent
  465. article in _Law Enforcement News_ suggests that the police may be
  466. significant beneficiaries of seized assets when they are "donated" to
  467. the seizing agency. This creates the risk of police expansion of the
  468. (ab)use of seizure power by providing an incentive to increase the
  469. stockpiles of "forfeited" assets.  The risky logic might run something
  470. like this: "Our agency is need, so if we seize enough assets that we
  471. can use, we can meet our needs." Although the seizure of assets in
  472. drug raids far exceeds seizures in computer raids, the danger remains
  473. the same: There is incentive for police to confiscate as much as they
  474. can if they will be the ultimate recipients.  Two blurbs from _Law
  475. Enforcement News_ (April 30, 1991, p. 1, "Seized-asset funds prove
  476. tempting") underscore this point.
  477.  
  478. One article subhead, "Mass. city seeks drug funds to avert layoffs of
  479. officers," begins:
  480.  
  481.      "The Mayor of a Massachusetts city says revenue shortfalls
  482.      are forcing him to lay off police officers, and he believes
  483.      he has a temporary solution to the bind: using forfeited
  484.      assets and cash from drug busts to forestall layoffs or
  485.      rehire furloughed officers."
  486.  
  487. According to the article, Somerville Mayoer Michael Capuano
  488. introduced a petition to the Massachusetts Legislation in April to
  489. allow police agencies to use funds for personnel. Fund are currently
  490. restricted to drug enforcement expenditures.
  491.  
  492. A second subhead, "Illinois audit eyes using funds to upgrade
  493. police wardrobe," indicates that:
  494.  
  495.      "The Illinois State Police spent $408,000 in seized drug
  496.      assets to buy new uniforms--in an apparent violation of
  497.      provisions of the state's asset-forfeiture laws--but State
  498.      Police officials defended the purchase on the grounds that
  499.      the money was spent before an amendment went into effect
  500.      last year to require that such funds be spent only for drug
  501.      enforcement."
  502.  
  503. Liberal interpretation of law, expansion of policies intended for one
  504. type of crime (drugs) to other types of crime (e.g., computers), and
  505. the possibility that those who do the seizing have the most to gain by
  506. incentives that reward more seizures, poses a threat to Constitutional
  507. protections against deprivation of property.  Given the erosion of
  508. First and Fourth Amendment protections in a variety of areas, the
  509. broader definitions of "criminal behavior" related to computer
  510. behavior, and the sweeping scope of equipment eligible for seizure in
  511. computer cases, expanding the profit motive for law enforcement
  512. agencies strikes us as a continuation of the danger trend of "Big
  513. Brotherism."
  514.  
  515. ********************************************************************
  516.                            >> END OF THIS FILE <<
  517. ***************************************************************************
  518.  
  519. ------------------------------
  520.  
  521. Date: June 30, 1991
  522. From: Moderators
  523. Subject: House Crime Bill (1400) and its Threat to Modemers
  524.  
  525. ********************************************************************
  526. ***  CuD #3.24: File 6 of 8: Threat of HR 1400 to Modemers       ***
  527. ********************************************************************
  528.  
  529. Why should modemers be concerned about the Bush "war on crime?"
  530. Proposed anti-crime legislation could, if passed, increase the risk
  531. of intrusion of government into the lives of law-abiding citizens.
  532. Among the provisions of HR 1400 (_The Comprehensive Violent Crime
  533. Control Act of 1991_) is a change in 18 USSC (sect) 2709 that expands
  534. the power of the FBI to intrude into the privacy of citizens. An
  535. article in _First Principles_ (June, 1991, p. 6) describes the
  536. proposed revision this way:
  537.  
  538.      "Sections 743 and 744 %of HR 1400% would grant the FBI
  539.      authority to obtain subscriber information on persons with
  540.      nonpublished telephone numbers, as well as credit records,
  541.      simply by certifying in writing to the telephone company
  542.      or credit bureau that such information is relevant to an
  543.      authorized foreign counterintelligence investigation. The
  544.      proposals would seriously erode current privacy protections
  545.      by giving the FBI authority to obtain these records without
  546.      a subpoena or court order and without notice to the
  547.      individuals that their records have been obtained by
  548.      the bureau."
  549.  
  550.     %/%/%/%/%/%/%/%/%/%/%/%/Current law%/%%/%/%/%/%/%/%/%/%/%/%/%
  551.  
  552.   CHAPTER 121.  STORED WIRE AND ELECTRONIC COMMUNICATIONS AND
  553.                   TRANSACTIONAL RECORDS ACCESS
  554.  
  555. s 2709.  Counterintelligence access to telephone toll and
  556. transactional records
  557.  
  558. (a) Duty to provide. A wire or electronic communication service
  559. provider shall comply with a request for subscriber information and
  560. toll billing records information, or electronic communication
  561. transactional records in its custody or possession made by the
  562. Director of the Federal Bureau of Investigation under subsection
  563. (b) of this section.
  564.  
  565. (b) Required certification. The Director of the Federal Bureau of
  566. Investigation (or an individual within the Federal Bureau of
  567. Investigation designated for this purpose by the Director) may
  568. request any such information and records if the Director (or the
  569. Director's designee) certifies in writing to the wire or electronic
  570. communication service provider to which the request is made that
  571.  
  572.    (1) the information sought is relevant to an authorized foreign
  573. counterintelligence investigation; and
  574.  
  575.    (2) there are specific and articulable facts giving reason to
  576. believe that the person or entity to whom the information sought
  577. pertains is a foreign power  or an agent of a foreign power as
  578. defined in section 101 of the Foreign Intelligence Surveillance Act
  579. of 1978 (50 U.S.C. 1801).
  580.  
  581. (c) Prohibition of certain disclosure. No wire or electronic
  582. communication service provider, or officer, employee, or agent
  583. thereof, shall disclose to any  person that the Federal Bureau of
  584. Investigation has sought or obtained access to information or
  585. records under this section.
  586.  
  587. (d) Dissemination by bureau. The Federal Bureau of Investigation
  588. may disseminate information and records obtained under this section
  589. only as provided in guidelines approved by the Attorney General for
  590. foreign intelligence collection  and foreign counterintelligence
  591. investigations conducted by the Federal Bureau of Investigation,
  592. and, with respect to dissemination to an agency of the United
  593. States, only if such information is clearly relevant to the
  594. authorized responsibilities of such agency.
  595.  
  596. (e) Requirement that certain Congressional bodies be informed. On
  597. a semiannual basis the Director of the Federal Bureau of
  598. Investigation shall fully inform the Permanent Select Committee on
  599. Intelligence of the House of Representatives and the Select
  600. Committee on Intelligence of the Senate concerning all requests
  601. made  under subsection (b) of this section.
  602.  
  603.  
  604. %/%/%/%/%/%/%/%/%/%/%/%proposed law%/%/%/%/%/%/%/%/%/%/%/%/%
  605.  
  606.  
  607. SEC. 743. COUNTERINTELLIGENCE ACCESS TO TELEPHONE RECORDS.
  608.  
  609.   Section 2709 of title 18 of the United States Code is amended by-
  610.  
  611.       (1) striking out subsections (b) and (c); and
  612.  
  613.       (2) inserting the following new subsections (b) and (c):
  614.  
  615.   "(b) REQUIRED CERTIFICATION.-The Director of the Federal Bureau of
  616.  
  617. Investigation (or an individual within the Federal Bureau of
  618.  
  619. Investigation designated for this purpose by the Director) may:
  620.  
  621.       "(1) request any such information and records if the Director (or
  622.  
  623.     the Director's designee) certifies in writing to the wire or
  624.  
  625.     electronic communication service provider to which the request is
  626.  
  627.     made that-
  628.  
  629.           "(A) the information sought is relevant to an authorized
  630.  
  631.         foreign counterintelligence investigation; and
  632.  
  633.           "(B) there are specific and articulable facts giving reason to
  634.  
  635.         believe that the person or entity about whom information is
  636.  
  637.         sought is a foreign power or an agent of a foreign power as
  638.  
  639.         defined in section 101 of the Foreign Intelligence Surveillance
  640.  
  641.         Act of 1978 (50 U.S.C. 1801);
  642.  
  643.       "(2) request subscriber information regarding a person or entity if
  644.  
  645.     the Director (or the Director's designee certifies in writing to the
  646.  
  647.     wire or electronic communications service provider to which the
  648.  
  649.     request is made that-
  650.  
  651.           "(A) the information sought is relevant to an authorized
  652.  
  653.         foreign counterintelligence investigation; and
  654.  
  655.           "(B) that information available to the FBI indicates there is
  656.  
  657.         reason to believe that communication facilities registered in the
  658.  
  659.         name of the person or entity have been used, through the services
  660.  
  661.         of such provider, in communication with a foreign power or an
  662.  
  663.         agent of a foreign power as defined in section 101 of the Foreign
  664.  
  665.         Intelligence Surveillance Act of 1978 (50 U.S.C. 1801).
  666.  
  667.   "(c) PENALTY FOR DISCLOSURE.-No wire or electronic communication
  668.  
  669. service provider, or officer, employee, or agent thereof, shall disclose
  670.  
  671. to any person that the Federal Bureau of Investigation has sought or
  672.  
  673. obtained access to information under this section. A knowing violation of
  674.  
  675. this section is punishable as a class A misdemeanor.".
  676.  
  677.             /%/%/%/%/%//%//%the end/%/%/%/%/%/%/%/%/%/%//%
  678.  
  679. David Cole (_The Nation_, May 6, 1991, "The Secret Tribunal", p. 581)
  680. describes aspects of the Crime Bill as a return to the seventeenth
  681. century Star Chamber.  We agree with his concern that the expanded
  682. interpretation of the word "terrorism" creates new categories of
  683. people vulnerable to investigation--not on the basis of what they have
  684. done--but rather on the basis of who they may have associated with.
  685. Although looking at a different, but related, provision of the Bill,
  686. Cole's warning is sound: The current crime Bill contains changes that
  687. expand the power of government to curtail fundamental rights.  In
  688. cloaking the rationale and the language in fears of terrorism,
  689. something most rationale people oppose, the Bill, if passed, reduces
  690. jeopardizes a broader number of law-abiding citizens to intrusion and
  691. potential harm by zealous law enforcement agents, and makes it a crime
  692. for other citizens to warn innocent folk of their vulnerability.
  693. Secret police tactics are not the way to create a safe society in
  694. a Constitutional democracy.
  695.  
  696. Questions about HR1400 can be directed to Ted Vandermede, staff attorney
  697. for the House Criminal Justice subcommittee, at (202) 225-0600.
  698.  
  699. ********************************************************************
  700.                            >> END OF THIS FILE <<
  701. ***************************************************************************
  702.  
  703. ------------------------------
  704.  
  705. Date: July 2, 1991
  706. From: Barbara E. McMullen and John F. McMullen (Newsbytes Reprint)
  707. Subject: Law Panel Recommends Computer Search Procedures
  708.  
  709. ********************************************************************
  710. ***  CuD #3.24: File 7 of 8: Law Panel and Search Procedures     ***
  711. ********************************************************************
  712.  
  713.  LAW PANEL RECOMMENDS COMPUTER SEARCH PROCEDURES
  714.  
  715.  WASHINGTON, D.C., U.S.A., 1991 JULY 2 (NB) -- A panel of lawyers and
  716.  civil libertarians, meeting at the Computer Professionals for Social
  717.  Responsibility (CPSR) Washington roundtable, "Civilizing Cyberspace",
  718.  have proposed procedures for police searches and seizures which they
  719.  feel will both allow adequate investigations and protect the
  720.  constitutional rights of the subject of the investigation.
  721.  
  722.  The panel, composed of Mike Godwin, staff counsel of Electronic
  723.  Frontier Foundation; Sharon Beckman attorney with  Silverglate &
  724.  Good; David Sobel of CPSR, Jane Macht, attorney with Catterton, Kemp
  725.  and Mason; and Anne Branscomb of Harvard University, based its
  726.  proposals on the assumption that a person, in his use of computer
  727.  equipment, has protection under both the Fourth Amendment and the
  728.  free speech and association provisions of the first amendment.
  729.  
  730.  The panel first addressed the requirements for a specific warrant
  731.  authorizing the search and recommended that the following guidelines
  732.  be observed:
  733.  
  734.  1. The warrant must contain facts establishing probable cause to
  735.  believe that evidence of a particular crime or crimes will be found
  736.  in the computers or disks sought to be searched.
  737.  
  738.  2. The warrant must describe with particularity both the data to be
  739.  seized and the place where it is to be found ("with particularity" is
  740.  underlined).
  741.  
  742.  3. The search warrant must be executed so as to minimize the
  743.  intrusion of privacy, speech and association.
  744.  
  745.  4. Officers may search for and seize only the data, software, and
  746.  equipment specified in the warrant.
  747.  
  748.  5. The search should be conducted on-site.
  749.  
  750.  6. Officers must employ available technology to minimize the
  751.  intrusive of data searches.
  752.  
  753.  The panel then recommended limitations on the ability of officials to
  754.  actually seize equipment by recommending that "Officers may not seize
  755.  hardware unless there is probable cause to believe that the computer
  756.  is used primarily as an instrumentality of a crime or is the fruit of
  757.  a crime; or the hardware is unique and required to read the data; or
  758.  examination of hardware is otherwise required." The panel further
  759.  recommended that, in the event hardware or an original and only copy
  760.  of data has been seized, an adversary post-seizure hearing be held
  761.  before a judge within 72 hours of the seizure.
  762.  
  763.  Panel member Sharon Beckman commented to Newsbytes on the
  764.  recommendations, saying "It is important that we move now to the
  765.  implementation of these guidelines. They may be implemented either by
  766.  the agencies themselves through self-regulation or through case law
  767.  or legislation. It would be a good thing for the agencies t o take
  768.  the initiative."
  769.  
  770.  The panels recommendations come at a time in which procedures used in
  771.  computer investigations have come under criticism from computer and
  772.  civil liberties groups. The seizure of equipment by the United Secret
  773.  Service from Steve Jackson Games has become the subject of litigation
  774.  while the holding of equipment belonging to New York hacker "Phiber
  775.  Optic" for more than a year before his indictment has prompted calls
  776.  from law enforcement personnel as well as civil liberties for better
  777.  procedures and technologies.
  778.  
  779. ********************************************************************
  780.                            >> END OF THIS FILE <<
  781. ***************************************************************************
  782.  
  783. ------------------------------
  784.  
  785. Date: July 3, 1991
  786. From: Various
  787. Subject: The CU in the News (data erasing; cellular fraud)
  788.  
  789. ********************************************************************
  790. ***  CuD #3.24: File 8 of 8: The CU in the News                  ***
  791. ********************************************************************
  792.  
  793. From: <garbled>
  794. Subject: Ex-employee Attacks Data-base
  795. Date: Thu, 27 Jun 91 17:19:23 CDT
  796.  
  797. "Ex-Employee Guilty of Erasing Data"
  798. By Joseph Sjostrom
  799. CHICAGO TRIBUNE, June 27, 1991, Section 2, p. 2
  800.  
  801. A computer technician pleaded guilty Wednesday in Du Page County Court
  802. to erasing portions of his former employer's database last November in
  803. anger over the firing of his girlfriend.
  804.  
  805. Robert J. Stone, 30, of 505 W. Front St., Wheaton, entered the plea on
  806. a charge of computer fraud to Associate Judge Ronald Mehling.  In
  807. exchange for the guilty plea, prosecutors dismissed a burglary charge.
  808. Mehling scheduled sentencing for Aug. 8.
  809.  
  810. Defense lawyer Craig Randall said after the hearing that Stone still
  811. has a 30-day appeal period during which he can seek to withdraw the
  812. guilty plea.
  813.  
  814. "I don't think he erased anything as alleged, and I don't think the
  815. %prosecution% would be able to prove that he did," Randall said.
  816.  
  817. Stone was indicted last January for one count of burglary and one
  818. count of computer fraud for entering the office of his former
  819. employer, RJN Environmental, 202 W. Front St., Wheaton, and deleting
  820. eight programs from the company computer.
  821.  
  822. Assistant Du Page County State's Atty. David Bayer, who prosecuted the
  823. case along with Assistant State's Atty. Brian Ruxton, said the progams
  824. were part of a company project for the state of Florida in which RJN
  825. was, in effect, redrawing maps in digital form and storing them in a
  826. computer.
  827.  
  828. Bayer said Stone had left the company the previous April and that his
  829. girlfriend, who was not identified, worked there too but was fired in
  830. November.
  831.  
  832. Bayer said Stone entered the firm's office last Nov. 24, a Saturday
  833. when nobody else was there.
  834.  
  835. Employees who came to work on Sunday discovered that data had been
  836. erased and a quantity of data storage disks were missing.
  837.  
  838. Bayer said the disks contained several months' worth of work, but were
  839. recovered. It took about a week to restore the rest of the missing
  840. computer information, Bayer said.
  841.  
  842. Bayer said Wheaton police Detective Kenneth Watt interviewed Stone the
  843. following Monday, and said Stone admitted to erasing data and taking
  844. the disks. Bayer said Stone told the detective where to find the disks,
  845. which he had left under a stairwell at RJN.
  846.  
  847. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  848.  
  849. Date: Tue, Jul 2, 1991 (22:30)
  850. From: Barbara E. McMullen and John F. McMullen (Newsbytes Reprint)
  851. Subject: Arrests in "Multi-Million" Cellular Phone Fraud
  852.  
  853.  ****ARRESTS IN "MULTI-MILLION" CELLULAR PHONE FRAUD 07/01/91
  854.  
  855.  ALBANY, NEW YORK U.S.A., 1991 JUL 1 (NB) -- The New York State Attorney
  856.  General's office has announced the arrest and arraignment of four individuals
  857.  for allegedly illegally utilizing Metro One's cellular service for
  858.  calls totalling in excess of $1 million per month.
  859.  
  860.  According to the charges, the arrested individuals duplicated a Metro
  861.  One customer's electronic serial number (ESN) -- the serial number
  862.  that facilitates customer billing -- and installed the chip in a
  863.  number of cellular phones. Th defendants then allegedly installed the
  864.  phones in cars which they parked in a location near a Metro One cell
  865.  site in the Elmhurst section of Queens in New York City.
  866.  
  867.  From these cars, the defendants allegedly sold long distance service
  868.  to individuals, typically charging $10 for a 20 minute call. Metro
  869.  One told investigators that many of the calls were made to South
  870.  American locations an that its records indicate that more than $1
  871.  million worth of calls were made in this manner in May 1991.
  872.  
  873.  The arrests were made by a joint law enforcement force composed of
  874.  investigators from The New York State Police, New York City Police
  875.  Special Frauds Squad, United States Service, and New York State
  876.  Attorney General's office. The arrests were made after undercover
  877.  officers, posing as customers, made phone calls from the cellular
  878.  phones to out-of-state locations. The arrests were, according to a
  879.  release from the Attorney General's office, the culmination of an
  880.  investigation begun in September 1990 as the result of complaints
  881.  from Metro One.
  882.  
  883.  The defendants, Carlos Portilla, 29, of Woodside, NY; Wilson
  884.  Villfane, 33, of Jackson Heights, NY; Jaime Renjio-Alvarez, 29, of
  885.  Jackson Heights, NY and Carlos Cardona, 40, of Jackson Heights, NY,
  886.  were charged with computer tampering in the first degree and
  887.  falsifying business records in the first degree, both Class E
  888.  felonies,- and theft of services, a Class A misdemeanor.
  889.  Additionally, Portilla and Villfane were charged were possession of
  890.  burglar tools, also a Class A misdemeanor. At the arraignment,
  891.  Portilla and Renjio-Alvarez pleaded guilty to computer tampering and
  892.  the additional charges against those individuals were dropped.
  893.  
  894.  New York State Police Senior Investigator Donald Delaney, commenting
  895.  on the case to Newsbytes, said "This arrest is but the tip of the
  896.  iceberg. There is an on-going investigation in the area of cellular
  897.  phone fraud and we are looking for those that are organizing this
  898.  type of criminal activity."
  899.  
  900.  (Barbara E. McMullen & John F. McMullen/Press Contact: Edward
  901.  Barbini, NYS Department of Law, 518-473-5525/19910701)
  902.  
  903. ********************************************************************
  904.  
  905. ------------------------------
  906.  
  907.                          **END OF CuD #3.24**
  908. ********************************************************************
  909.  
  910.  
  911.