home *** CD-ROM | disk | FTP | other *** search
/ Play and Learn 2 / 19941.ZIP / 19941 / PUBE / CUD328.TXT < prev    next >
Encoding:
Text File  |  1994-02-05  |  50.5 KB  |  952 lines
  1.  
  2.  
  3. Computer Underground Digest--Thu Aug 1, 1991 (Vol #3.28)
  4.              >> SPECIAL ISSUE: RESPONSE TO FORESTER ARTICLE <<
  5.  
  6.        Moderators: Jim Thomas and Gordon Meyer (TK0JUT2@NIU.BITNET)
  7.  
  8. Contents, #3.28 (August 1, 1991)
  9. Subject: File 1--SPECIAL ISSUE: THE TOM FORESTER ARTICLE
  10. Subject: File 2--CuD Review of _Computer Ethics_ (Reprint)
  11. Subject: File 3--Re: Hackers - Clamp Down NOW!
  12. Subject: File 4--Reply to Tom Forester Article
  13.  
  14. Administratia:
  15.  
  16.            ARCHIVISTS: BRENDAN KEHOE
  17.                        BOB KUSUMOTO
  18.             SCANMEISTER: BOB KRAUSE
  19.  
  20. CuD is available via electronic mail at no cost. Printed copies are
  21. available by subscription.  Single copies are available for the costs
  22. of reproduction and mailing.
  23.  
  24. Issues of CuD can be found in the Usenet alt.society.cu-digest news
  25. group, on CompuServe in DL0 and DL4 of the IBMBBS SIG, DL1 of LAWSIG,
  26. and DL0 and DL12 of TELECOM, on Genie, on the PC-EXEC BBS at (414)
  27. 789-4210, and by anonymous ftp from ftp.cs.widener.edu,
  28. chsun1.uchicago.edu, and dagon.acc.stolaf.edu.  To use the U. of
  29. Chicago email server, send mail with the subject "help" (without the
  30. quotes) to archive-server@chsun1.uchicago.edu.
  31.  
  32. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  33. information among computerists and to the presentation and debate of
  34. diverse views.  CuD material may  be reprinted as long as the source
  35. is cited.  Some authors do copyright their material, and they should
  36. be contacted for reprint permission.  It is assumed that non-personal
  37. mail to the moderators may be reprinted unless otherwise specified.
  38. Readers are encouraged to submit reasoned articles relating to the
  39. Computer Underground.  Articles are preferred to short responses.
  40. Please avoid quoting previous posts unless absolutely necessary.
  41.  
  42. DISCLAIMER: The views represented herein do not necessarily represent
  43.             the views of the moderators. Digest contributors assume all
  44.              responsibility for ensuring that articles submitted do not
  45.              violate copyright protections.
  46.  
  47. ----------------------------------------------------------------------
  48.  
  49. Date: July 31, 1991
  50. From: "The Moderators" <tk0jut2@mvs.cso.niu.edu>
  51. Subject: File 1--SPECIAL ISSUE: THE TOM FORESTER ARTICLE
  52.  
  53. A recently publicly posted reprint of a letter in an Australian
  54. newspaper, apparently originally done for the letter's author for the
  55. purpose of generating discussion on the nets, has provoked
  56. considerable discussion on usenet.  The author of the letter, Tom
  57. Forester, has written several books on computers, including _Computer
  58. Ethics: Cautionary Tales and Ethical Dilemmas in Computing_; _High
  59. Tech Society: The Story of the Information Technology Revolution_; and
  60. (as editor) _Computers in the Human Context:  Information Technology,
  61. Productivity, and People_.
  62.  
  63. Because of the stature of the author in some circles, and because of
  64. his gross inaccuracies, simplistic generalizations, flawed logic, and
  65. inflammatory call for "get-tough" measures against "hackers," we
  66. devote this issue to the letter and invite responses that we will
  67. print in a second special issue.
  68.  
  69. Because Forester's comments deviate so wildly from his book _Computer
  70. Ethics_, we thought the post might be a hoax, but upon checking were
  71. assured that it was indeed the same Tom Forester and that the post was
  72. legitimate. Despite the criticisms of the post on Usenet's
  73. comp.org.eff.talk, and despite the fact that the article was
  74. originally reported to be posted at his request as a way of generated
  75. discussion, he has not participated in the discussion.
  76.  
  77. Below, we first reprint the CuD review of _Computer Ethics_, which we
  78. liked, then a response to selected aspects of the public post by Mike
  79. Godwin, and finally a detailed reply by Jim Thomas, writing wearing
  80. his "professor of criminology" hat rather than CuD editor.
  81.  
  82. ------------------------------
  83.  
  84. Date: July 31, 1991
  85. From: "The Moderators" <tk0jut2@mvs.cso.niu.edu>
  86. Subject: File 2--CuD Review of _Computer Ethics_ (Reprint)
  87.  
  88. <Moderators' note: CuD reviewed _Computer Ethics_ in March. The review
  89. was intended for a general rather than technical audience, and did not
  90. dig deeply into the technical issues, and the review was quite
  91. positive. Neither the review nor the contents of the book foreshadowed
  92. what seems to be either a total turn-about in thinking, or an
  93. intellectually dishonest letter by a scholar whose public opinions
  94. seem to have little correspondence to his scholarly research. As a
  95. basis of comparison between the book and the letter, we reprint the
  96. original review here.>
  97.  
  98. Date: March 8, 1991
  99.  
  100. ********************************************************************
  101. ***  CuD #3.07: File 5 of 6: Book Review: Computer Ethics        ***
  102. ********************************************************************
  103.  
  104. Review of COMPUTER ETHICS: CAUTIONARY TALES AND ETHICAL DILEMMAS IN
  105. COMPUTING, by Tom Forester and Perry Morrison. 1990. Oxford (Eng.): Basil
  106. Blackwell. 193 pp. (np). (Reviewed by Jim Thomas, Northern Illinois
  107. University).
  108.  
  109. The questions raised in the U.S. by Secret Service procedures in so-called
  110. "computer crime" investigations such as Operation Sun Devil, the growth in
  111. public computer literacy, and the general public recognition that computers
  112. are moving from the periphery to the center of social control and
  113. organizational operations make COMPUTER ETHICS a timely and worthwhile
  114. tome. Although both authors resided in Australia when the book was written
  115. (Tom Forester remains at Griffith University in Queensland and Perry
  116. Morrison is now at the University of Singapore), the work focuses primarily
  117. on the U.S. for examples, but draws as well from international data to
  118. argue that society has yet to confront the twin dilemmas of hardware and
  119. software malfunctions and misuse by humans.
  120.  
  121. In some ways, the book is misnamed. The themes are not restricted to those
  122. of ethics, but include as well risks to society by over-reliance on
  123. computer technology (especially when it fails) and to thornier social
  124. issues, such as privacy, the social implications of artificial
  125. intelligence, and the potential problems of the increasingly computerized
  126. workplace. The authors organize each of the eight chapters around a specific
  127. issue (Our Computerized Society, Computer Crime, Software Theft, Hacking
  128. and Viruses, Unreliable Computers, The Invasion of Privacy, AI and Expert
  129. System, and Computerizing the Workplace), summarize the problems by drawing
  130. from an impressive wealth of data from conventional and other media, and
  131. conclude each chapter with a hypothetical example and set of questions that
  132. enhance the value of the work for college graduate and undergraduate
  133. classes.
  134.  
  135. About one third of the book directly confronts computer crime and "computer
  136. underground" activities, such as piracy and hacking. There is no obvious
  137. ax-grinding, and especially with piracy the authors raise issues in a
  138. generally non-judgmental manner. They observe that an increasing number of
  139. software authors have recognized the general ineffectiveness of
  140. program-protecting their products and have increasingly moved away from the
  141. practice. However, the focus of the discussion avoids the type of "warez
  142. sharing" that occurs on pirate BBSs and begs the issue of swapping
  143. copyright programs without purchasing them. The discussion example focuses
  144. on the ethical issue of copy-protecting programs with a disk-wiping virus
  145. rather than using an example that teases out the nuances of using
  146. unpurchased software. I am also a bit troubled by the cursory attention
  147. given to the different types of piracy. Participants enmeshed in the
  148. "pirate culture" on BBSs would agree that theft of proprietary source code
  149. for profit or reselling copied programs is clearly wrong. Further, even
  150. within the computer underground, pirates range from "kids" who crack and
  151. swap games to older and more sophisticated users who simply enjoy
  152. collecting and examining various types of programs. Without teasing out the
  153. complexity of the pirate culture, many of the important issues are glossed
  154. over, such as the ethics of "fair use" to pre-test a program, the harm (or
  155. lack of it) in using a program that would not have been purchased, but
  156. whose use expands a product's visibility and reputation (thereby expanding
  157. the market), and the problem of an increasing array of available software
  158. that if purchased would be exceed the resources of all but the most
  159. affluent computerists.  In fairness, not all relevant ideas can be
  160. addressed in a single chapter, and the authors satisfactorily provoked
  161. enough questions to make this an interesting and useful section.
  162.  
  163. The most troublesome chapter, "Hacking and Viruses," simplifies the
  164. phreak/hacking community and alludes to studies that do not accurately
  165. reflect the computer underground. Although a relatively short and seemingly
  166. innocuous discussion, the section "why do hackers 'hack'?" cites studies
  167. suggesting that "severe social inadequacy" typifies many hackers. The
  168. authors do make it clear that there is no simple answer to explain
  169. motivation, they tend to ignore the primary reasons cited by most hackers:
  170. The challenge, the excitement, and the satisfaction of success and
  171. increased knowledge. Granted, these reasons, too, are simplistic as a
  172. satisfactory explanation but they provide an antidote to the general
  173. imagery portrayed by law enforcement officials that hackers are dangerous
  174. social misfits and criminals who should be prosecuted to the full extent of
  175. the law.
  176.  
  177. Also troublesome is the inclusion of virus writers and spreaders with
  178. hacking activity. Hackers are as vehemently opposed to spreading viruses as
  179. law enforcement. In fact, hackers, because of their use of networks and
  180. reliance on smoothly functioning hardware, have far more to lose than the
  181. average computer user by their spread. Nonetheless, the authors do raise a
  182. few questions about the differences in the various types of activity,
  183. asking, for example, whether system-browsing should be criminalized in the
  184. same way as other predatory behavior.  The degree to which this chapter
  185. provokes disagreement and challenge to some of the claims (or vehement
  186. responses to some of the questions) is simply an indicator of the utility
  187. of this work both for stimulating thought and for generating discussion.
  188.  
  189. Although the remainder of the book is not as directly relevant to the CU
  190. community, it nonetheless provides interesting reading.  The authors
  191. continually remind the reader that despite their benefits, computers
  192. possess numerous demonstrable dangers. The value of the work is not simply
  193. the admonition of the risks of computer misuse, but more importantly, that
  194. social attitudes, ethical issues, governmental policies, and social control
  195. strategies have lagged far behind in the need to be aware of how computers
  196. change our lives and how these changes may usher in new forms of social
  197. interaction for which we are unprepared as we cross into the
  198. cyber-frontier.
  199.  
  200. The authors' scholarship and documentation, although impressive, does not
  201. tempt them to fall back into academicese.  The volume reads like a novel
  202. and--even where one might disagree with claims or conclusions--the
  203. provocations are stimulating rather than combatative. In short, Computer
  204. Ethics is fun and worth reading.
  205.  
  206. ------------------------------
  207.  
  208. From: mnemonic@eff.org (Mike Godwin)
  209. Subject: File 3--Re: Hackers - Clamp Down NOW!
  210. Date: 16 Jul 91 23:41:11 GMT
  211.  
  212. I am astonished both at the moral simplicity and the factual inaccuracy
  213. of Tom Forester's newspaper column. For details, see below.
  214.  
  215. In article <2118@limbo.Intuitive.Com> geo@manta.mel.dit.csiro.au (George Bray)
  216.  writes [posting for Tom Forester]:
  217.  
  218. >It's about time we got tough with hackers and exposed them for
  219. >the irresponsible electronic vandals they really are.
  220.  
  221. It certainly is time we got tough on "vandals." But it is
  222. well-established, in Tom Forester's own book COMPUTER ETHICS among
  223. other places, that there is more than one motivation for computer
  224. trespass. A "vandal," according to my dictionary at hand, is one who
  225. "willfully or maliciously defaces or destroys public or private
  226. property." Few if any of the particular cases Forester cites below are
  227. cases that a native speaker of the English language would normally
  228. call "vandalism" ... unless his intent were to provoke an emotional
  229. reaction rather than a reasoned assessment of a problem.
  230.  
  231. But the use of this term is among the smallest of the faults in
  232. Forester's piece.
  233.  
  234. >Breaking into a computer is no different from breaking into your
  235. >neighbour's house. It is burglary plain and simple - though often
  236. >accompanied by malicious damage and theft of information.
  237.  
  238. Nothing is "plain" or "simple" about analogizing computer trespass
  239. to burglary. The English common law that informs the British,
  240. American, and Australian legal systems has always treated burglary
  241. harshly, primarily because it involves a threat to the victim's
  242. *residence* and to his *person*.
  243.  
  244. But computer intrusion in general, and the cases Forester discusses
  245. in particular, pose neither threat. A mainframe computer at a
  246. university or business, while it clearly ought to be protected
  247. "space" under the law, is not a house "plain and simple." The kind
  248. of invasion and the potential threat to traditional property interests
  249. is not the same.
  250.  
  251. Consider this: anyone who has your phone number can dial your home--
  252. can cause an electronic event to happen *inside your house*. That
  253. "intruder" can even learn things about you from the attempt (especially
  254. if you happen to answer, in which case he learns your whereabouts).
  255. Do we call this attempted burglary? Do we call it spying or information
  256. theft? Of course not--because we're so comfortable with telephone
  257. technology that we no longer rely on metaphors to do our thinking
  258. for us.
  259.  
  260. Whenever anyone glibly asserts that computer intrusion is just
  261. like burglary ("plain and simple"), he is showing that he knows
  262. very little, if anything, about the history and character of the
  263. concept of burglary.
  264.  
  265. This is not a semantic quibble. It is a dispute about metaphors.
  266. The metaphor you choose dictates your emotional response. Is
  267. computer intrusion *truly* like burglary "plain and simple"?
  268. Or is it like trespass--the kind in which the neighborhood kid
  269. leaps your fence to swim in your private pool at midnight. Both
  270. acts should be illegal, but one is taken far more seriously than
  271. the other.
  272.  
  273. This is not to say that all computer intrusion is innocuous.
  274. Some of it is quite harmful--as when a true "vandal" runs programs
  275. that damage or delete important information. But it is important
  276. to continue to make moral and legal distinctions, based on the
  277. intent of the actor and the character of the damage.
  278.  
  279. Tom Forester seems to want to turn his back on making such
  280. distinctions. This, to me, is a shameful position to take.
  281.  
  282. So much for the moral argument--let's look at Forester's
  283. factual errors. There are many egregious ones.
  284.  
  285. >Last year, the so-called 'Legion of Doom' managed to completely
  286. >stuff up the 911 emergency phone system in nine US states, thus
  287. >endangering human life. They were also later charged with trading
  288. >in stolen credit card numbers, long-distance phone card numbers
  289. >and information about how to break into computers.
  290.  
  291. Only a person who is willfully ignorant of the record could
  292. make these statements. The so-called Legion of Doom never
  293. damaged or threatened to damage the E911 system. If Forester
  294. had done even minimal research, he could have discovered this.
  295. What they did, of course, was copy a bureaucratic memo from
  296. an insecure Bell South computer and show it to each other.
  297.  
  298. At the trial of Craig Neidorf, who was charged along with
  299. Legion of Doom members, it was revealed that the information
  300. in that memo was publicly available in print.
  301.  
  302. Thus, there was no proprietary information involved, much
  303. less a threat to the E911 system. Forester is simply inventing
  304. facts in order to support his thesis. For an academic, this
  305. is the gravest of sins.
  306.  
  307. >Leonard Rose Jr. was charged with selling illegal
  308. >copies of a US $77,000 AT&T operating system.
  309.  
  310. Len Rose was never charged with "selling" anything.
  311.  
  312. >Robert Morris, who launched the disastrous Internet worm, got a
  313. >mere slap on the wrist in the form of a US $10,000 fine and 400
  314. >hours' community service.
  315.  
  316. If Forester had investigated the case, he might have discovered
  317. an explanation for the lightness of Robert Morris Jr.'s sentence:
  318. that Morris never intended to cause any damage to the networks.
  319. In any case, Morris hardly qualifies as a "hacker" in the sense
  320. that Forester uses the word; by all accounts, he was interested neither
  321. in "theft" nor "burglary" nor "vandalism." The interference with the
  322. functioning of the network was (again, by all accounts) accidental.
  323.  
  324. Of course, making such subtle distinctions would only blunt
  325. the force of Forester's thesis, so he chooses to ignore them.
  326.  
  327. >Instead, he tends to spend his time with the computer, rising at
  328. >2pm, then working right through to 6am,, consuming mountains of
  329. >delivered pizza and gallons of soft drink.
  330.  
  331. This is the kind of stereotyping that Forester should be embarrassed
  332. to parrot in a public forum.
  333.  
  334. >Some suffer from what Danish doctors are now calling "computer
  335. >psychosis" - an inability to distinguish between the real world
  336. >and the world inside the screen.
  337. >
  338. >For the hacker, the machine becomes a substitute for human
  339. >contact, because it responds in rational manner, uncomplicated by
  340. >feelings and emotions.
  341.  
  342. And here Forester diagnoses people whom he has never met.
  343. One is forced to wonder where Forester acquired his medical
  344. or psychiatric training. Of the people whose names he blithely
  345. cites above, I have met or spoken to half a dozen. None of them
  346. has been confused about the difference between computers and
  347. reality, although it may be understandable that they prefer
  348. working with computers to working with people who prejudge
  349. them out of hatred, ignorance, or fear.
  350.  
  351. >One day, these meddlers will hack into a vital military, utility
  352. >or comms system and cause a human and social catastrophe. It's
  353. >time we put a stop to their adolescent games right now.
  354.  
  355. History suggests that we have far more to fear from badly
  356. designed or overcomplex software than from hackers. Recent
  357. failures of phone networks in the United States, for example,
  358. have been traced to software failures.
  359.  
  360. Even if we grant that there are some hackers with the ability
  361. to damage critical systems, the question Forester fails to
  362. ask is this: Why hasn't it happened already? The answer seems
  363. to be that few hackers want to damage or destroy the very
  364. thing they are interested in exploring.
  365.  
  366. Of course, there are some "vandals" out there, and they should
  367. be dealt with harshly. But there are far more "hackers" interested
  368. in exploring and understanding systems. While they may well
  369. violate the law now and then, the punishments they earn should
  370. take into account both their intentions and their youth.
  371.  
  372. It has been noted many times that each generation faces the
  373. challenge of socializing a wave of barbarians--its own
  374. children. We will do our society little good if we decide
  375. to classify all our half-socialized children into criminals.
  376. For an ethicist, Forester seems to have given little thought
  377. to the ethics of lumping all computer trespass into one
  378. category of serious crime.
  379.  
  380. Mike Godwin is staff counsel for the Electronic Frontier Foundation
  381. and has written on the topic of law and cyberspace.
  382.  
  383. ------------------------------
  384.  
  385. Date: July 31, 1991
  386. From: jthomas@well.sf.ca.us
  387. Subject: File 4--Reply to Tom Forester Article
  388.  
  389. The post by Tom Forester is surprising both for its strident tone and
  390. ill-conceived agenda.  Normally, there will be consistency between
  391. scholars' findings and the pronouncements they make derived from such
  392. findings.  This is not simply an intellectually ethical practice, but
  393. responsible discourse as well.  We all succumb to occasional
  394. hyperbole, factual faux pas, or miswordings that create ambiguity or
  395. misunderstandings--a gap between what we intend to say and what we
  396. actually do say.  However, the Forester article is recklessly flawed
  397. and is compounded by the fact that his errors are in an area in which
  398. he claims special expertise.  His claims require a detailed response
  399. lest his readers grant the post more credibility than is justified.
  400.  
  401. It appears that the letter is quite at odds with his book,
  402. (co-authored with Perry Morrison). It is always possible that the
  403. co-author wrote the passages cited below, but when any work
  404. is co-authored, the norm is to assume joint responsibility for
  405. the entirety unless otherwise indicated. There is no indication
  406. that Tom Forester detached himself from any of the book's contents.
  407. What is troublesome is not that Forester seems to disassociate
  408. himself from passages in the work, but that he actually seems
  409. unaware of arguments that bear his name.
  410.  
  411. The post, as it appeared publicly in several sources on the net,
  412. began as follows:
  413.  
  414.      >A colleague recently published this article in the computer section
  415.      >of 'The Australian' newspaper last week.  He thought it might interest
  416.      >newspaper form.
  417.      >
  418.      >George Bray [posting for Tom Forester]
  419.      >
  420.      >
  421.      >
  422.      >Opinion:  "Hackers: 'Clamp Down Now' "
  423.      >
  424.      >The Australian, 2 July 1991, page 34.
  425.      >
  426.  
  427. Forester's point is quite clear:
  428.  
  429.      >It's about time we got tough with hackers and exposed them for
  430.      >the irresponsible electronic vandals they really are.
  431.      >
  432.      >Jailing a few of these malicious meddlers would set an example to
  433.      >other would-be data thieves and help stem the tide of
  434.      >computerized anarchism which is threatening to engulf the IT
  435.      >industry.
  436.  
  437. In the space of a few sentences, Forester categorically reduces the
  438. meaning of the term "hacker" to one denoting "vandals," "meddlers,"
  439. "data thieves," and "anarchism." "Hackers" is a broad term referring
  440. on one hand to what Bob Bickford describes as "any person who derives
  441. joy from discovering ways to circumvent limitations" to, on the other,
  442. the cybervandals who trash systems. The broad use of the term to
  443. define any computer behavior that displeases us contributes to public
  444. misunderstanding and to law-enforcement excesses by expanding
  445. categories of people eligible for prosecution. For example, if I have
  446. committed no violation of law, but publicly call myself a "hacker" in
  447. Bob Bickford's sense, such a claim could be adduced as evidence
  448. against me in the event I were to come under investigation.
  449.  
  450. No definitions are written in stone. However, words have meanings, and
  451. meanings connote images and metaphors. Forester's metaphors reinforce
  452. the ill-considered images reflected in the most abusive search
  453. warrants in several 1990 raids in the U.S. (e.g., Craig Neidorf, Steve
  454. Jackson Games, Len Rose, Ripco BBS).  The hacker imagery painted by
  455. Forester has no hues or shades--only black and white icons reflecting
  456. the ancient battle between the forces of light and darkness.
  457. Most hackers aren't "meddlers" or data thieves. Like most crimes,
  458. there is a continuum ranging from simple curiosity to harmful intrusion.
  459.  
  460. Forester also fails to mention that, whatever the excesses of even the
  461. most malicious intruders, "hackers" are not responsible for the bulk
  462. of computer crime.  According to virtually all studies, most "computer
  463. crime" is done from the inside (estimates range from 60-80 pct).  A
  464. significant proportion of the remainder is done by computer literate
  465. rip-off artists whose purpose is larceny rather than exploratory
  466. curiosity or illicit--but still relatively benign--behavior. One need
  467. not approve of intrusions to recognize that there are differences
  468. between types of abuse and methods of responding to these different
  469. types.
  470.  
  471. In his article, Forester makes no distinctions between categories of
  472. "hacker" or types of hacks. He refers simply to "electronic vandals,"
  473. hardly a value-neutral (or accurate) label.  This is a radical
  474. departure from _Computer Ethics_ (pp 40-44), in which clear distinctions
  475. are made, an even-handed treatment of the risks and problems is
  476. presented, and "hacking is explicitly distinguished from computer
  477. crime, something not done in his article.
  478.  
  479.      >Breaking into a computer is no different from breaking into your
  480.      >neighbour's house. It is burglary plain and simple--though often
  481.      >accompanied by malicious damage and theft of information.
  482.      >Sometimes--as in the case of stolen credit card numbers--it is
  483.      >followed by fraud.
  484.      >
  485.      >The essence of hacking is that it is about gaining unauthorized
  486.      >access to other peoples' systems. It is an activity which has not
  487.      >been sanctioned by or approved of by the system's owner, be they
  488.      >private or public.
  489.  
  490. The phrase "plain and simple" usually reflects an attempt to silence
  491. differing views by rejecting at the outset any possibility of
  492. alternative meanings or points of view.  The complexity of computer
  493. abuse and the failure of law to catch up with rapidly changing
  494. technology and the problems this creates for law enforcement and
  495. others is plainly obvious but hardly simply resolved by crude
  496. categories and retributionist thinking.  Forester forces extreme
  497. examples of disparate behavior into neat bundles, forces a metaphor
  498. (breaking and entering) onto them, and then argues from the metaphor,
  499. not the original behavior.  This is legitimate when metaphors are used
  500. to make something unfamiliar more understandable, but when the
  501. metaphor is flawed, or when the metaphor becomes the thing itself,
  502. distortion results.  Computer invasion, even in the worst case, is not
  503. analogous to home invasion.  Physical presence of an offender and the
  504. corresponding dangers it poses is absent.
  505.  
  506. A better analogy would be a kid setting up a lemonade stand on
  507. your yard when you weren't looking, or somebody peeking through your
  508. window from their own property across the street with binoculars. The
  509. problem with viewing all inappropriate computer behavior as of the same
  510. magnitude is that it leads to silly analogies.  Consider "automotive
  511. technology." We don't have a general category of crime called "auto
  512. crime" and argue that we should lock "auto offenders up." There are
  513. many "auto offenses," ranging from parking tickets, moving violations,
  514. auto-theft, burglarizing autos, using autos in the commission of
  515. another crime, stealing the trade-secrets of auto manufacturers, and
  516. as most teenaged minors know, getting it on in the back seats of them.
  517. Some of these auto-related acts are simply nuisances, others are quite
  518. serious. We distinguish between them and don't call for "setting
  519. examples" by jailing young lovers in a back seat *as well as* drunk
  520. drivers or auto thieves.
  521.  
  522. Instead of the term "hacker," Forester's argument would be better
  523. served by term "computer intruder," which would allow him to make
  524. distinctions between kinds of intrusion. In law, there are similar
  525. distinctions, and there is nothing *PLAIN AND SIMPLE* about such acts.
  526. Computer intrusion is *NOT* burglarly, even if information is copied.
  527. Forester's inaccurate analogy reflects either the incompetence of one
  528. ignorant of law--rather strange for a self-styled expert on "computer
  529. ethics"--or a cavalier disregard for accuracy which is anathema to
  530. responsible scholarship.
  531.  
  532. Forester again seems to ignore his own book, which explicitly
  533. challenges such a "plain and simple" analogy:
  534.  
  535.           "Unfortunately, the legal basis of system break-ins
  536.      languishes in the dark ages of real locks and doors and
  537.      physical forms of information such as blueprints and
  538.      contracts. Equally, the law as it applies to breaking and
  539.      entering--the destruction of physical locks--and the theft
  540.      of information a it exists in paper form, IS A POOR ANALOGY
  541.      WHEN APPLIED TO THE ELECTRONIC LOCKS THAT MODEMS AND
  542.      PASSWORD SYSTEMS PROVIDE AND THE HIGHLY MUTABLE FORMS OF
  543.      INFORMATION THAT COMPUTER FILES REPRESENT <emphasis
  544.      added--jt     >. After all, when one 'breaks' into a system,
  545.      nothing has been broken at all--hence there is no obvious
  546.      intent to cause harm (p. 60)."
  547.  
  548. Forester's intent here is hardly to justify hacking, but in context,
  549. he is attempting to raise questions by showing the complexity of
  550. computer intrusion and the gap between law and new technology. By
  551. contrast, his letter reflects the reverse.  Which Tom Forester should
  552. we take seriously? The one who writes thoughtfully for academics, or
  553. the one who incites the public with supercilious rhetoric that is
  554. totally at odds with his scholarly discourse?
  555.  
  556.      >Hackers are often portrayed as 'brilliant' or glamourized in the
  557.      >media as 'whiz-kids,' but often they are only mediocre
  558.      >programmers. Most 'great' hacks have in fact involved very little
  559.      >in the way of intellectual ability--you don't have to be an
  560.      >expert to work an autodialler and Unix systems--a favourite
  561.      >target of the hacker--have notoriously poor security.
  562.      >
  563.      >Far from being budding computer geniuses, hackers are often so
  564.      >incompetent and clumsy that they frequently cause more
  565.      >unintentional damage than intentional damage when blundering
  566.      >around inside someone else's system.
  567.      >
  568.      >Far from being heroes of the computer revolution, hackers are
  569.      >little more than common thieves. Their modus operandi involves
  570.      >stealing log-in names and passwords and then stealing information
  571.      >expensively collected by the victim.
  572.  
  573. The author confuses the term "hacker" with "phreaks," those who
  574. attempt to avoid toll charges. The author displays no knowledge of his
  575. topic or of the diversity of hacker activities, and seems totally
  576. unaware that "hackers" who explore systems generally oppose predatory
  577. behavior of any kind.  Further, in his book, Forester does not equate
  578. "great hacks" with auto-dialing or mundane incidents, as he does in
  579. his letter.  By "great hack" he seems to mean "publicized hacks,"
  580. because the examples of "great hacks" in the book (p. 51-52) refer to
  581. Marcus Hess and the Chaos Computer Club, and a group of British
  582. hackers who penetrated  a license centre. These would hardly be
  583. described as "great hacks" by most observers, although they did
  584. captivate media attention.  I can recall no media story in the U.S. in
  585. recent years that has portrayed hackers, as a category, as uniformally
  586. "brilliant" or as "whiz kids." This claim is simply a straw icon
  587. Forester sets up for purposes of hacker-bashing. Further, Forester is
  588. as guilty as those he criticizes for alluding to the "brilliance" of
  589. hackers. In his book, he attempts to account for the shift from licit
  590. to illicit computer activity by "THE BEST AND THE BRIGHTEST" (p. 43)
  591. and suggests the emergence of value conflict that the current breed of
  592. hacker as made more sinister. Granted, Forester was alluding to a
  593. different crop of computerists with his term, but so to are most
  594. others who have used that description in the past.  Forester seems to
  595. want to hold others responsible for past laudatory language, but is
  596. unwilling to hold himself to that same standard.
  597.  
  598. With the expansion of computer users, some hackers, like some
  599. scholars, will be bright, principled, and imaginative. Others won't.
  600. As in any distribution of valued characteristics, there will be far
  601. more of the latter than the former. If Forester's point is that we
  602. should not romanticize predators, then he should be willing to provide
  603. examples and examine his own role in perpetuating those images he
  604. criticizes.  If, however, he merely intends to say that most "hackers"
  605. possess modest talent, then this is a truism that few would dispute
  606. and one wonders: So what?
  607.  
  608.      >Some hackers have even become infamous by betraying their
  609.      >country. Members of the Chaos Computer Club of Hamburg, in then
  610.      >West Germany,were caught selling United States military secrets
  611.      >to the KGB--the charred body of one of their number, Karl Koch,
  612.      >was later found in a forest outside Hanover.
  613.  
  614. If Forester refers here to Pengo, Hess, and the others, this claim is
  615. false. Despite the espionage element, there was no evidence that this
  616. group betrayed its country, Germany, by selling German military
  617. secrets. Nor is there evidence that they sold U.S. military secrets.
  618. In fact, I can think of no "hacker" known to have sold military
  619. secrets in the U.S. According to the Hafner and Markoff book,
  620. _Cyberpunk_, the Soviets received commercial software and some
  621. relatively inconsequential other files, and according to one source
  622. they cited, the Soviets "got rooked."  The author's statement is pure
  623. hyperbole. While it is fully appropriate to identify the dangers of
  624. computer intrusion to national security, to raise it as a way of
  625. stigmatizing all forms of intrusion and to justify a "crackdown" by
  626. incarcerating a few examples moves from reasonable concern to
  627. unthinking hysteria. And, what is the point of mentioning Hagbard's
  628. charred body? Is this apparent suicide supposed to show that hacking
  629. leads to violence? To murder? Hagbard, according to all accounts, was
  630. a psychologically unstable substance abuser.  Images of violence make
  631. good copy, no matter how irrelevant, and perhaps charred bodies just
  632. go with the territory.  Forester's swipe at Chaos Computer Club also
  633. seems at odds with his book (p. 49), in which he, with seeming
  634. approval, observes:
  635.  
  636.      Indeed, we now know that at the time of the Chernobyl nuclear
  637.      power station disaster in the Soviet Union, hackers from the
  638.      Chaos COmputer Club released more information to the public
  639.      about developments than did the West German government
  640.      itself. All of this information was gained by illegal
  641.      break-ins carried out in government computer installations.
  642.  
  643.      >Other hackers, such as the group that infiltrated six London
  644.      >banks in 1989, have swiftly turned to blackmail. Yet some
  645.      >misguided persons have sought to justify this despicable crime by
  646.      >claiming hackers are really only helping 'test system security.'
  647.  
  648. Can Forester name anybody who claims that blackmail, ripping of money
  649. from banks, or similar kinds of behavior is justifiable as a security
  650. test? I have never heard a single instance of such a justification of
  651. this type of predatory behavior, other than, perhaps, by the culprits
  652. as a defense during trial. But, then, I've also heard murderers claim
  653. that junkfood made them kill, a defense hardly supported
  654. by "some misguided persons".  Some may attempt to justify computer
  655. intrusion by appealing to "security interests," "freedom of
  656. information," or other grounds.  But there is near universal loathing
  657. for predators of this type. Forester moves from justifying computer
  658. intrusion to justifying bank robbery quite easily, proving that the
  659. shallower the water, the quicker the pace.
  660.  
  661.      >A second justification of hacking is that hackers safeguard our
  662.      >civil liberties by keeping a check on the activities of
  663.      >governments. I know of no cases where revealing the contents of a
  664.      >state database has done good rather than harm.
  665.  
  666. Is this the *same* Tom Forester who wrote:
  667.  
  668.      "We might therefore ask ourselves whether, for the sake of
  669.      balance, a truly democratic society should possess a core of
  670.      technically gifted but recalcitrant people. Given that more and
  671.      more information about individuals is now being stored on
  672.      computers, often without our knowledge or consent,  is it not
  673.      reassuring that some citizens are able to penetrate
  674.      these databases to find out what is going on? Thus it
  675.      could be argued that hackers represent one way in which we
  676.      can help avoid the creation of a more centralized, even
  677.      totalitarian  government (p. 49).
  678.                        . . .
  679.      Given this background and the possibility of terrorist acts
  680.      becoming more and more technologically sophisticated,
  681.      perhaps we can look to hackers as a resource to be used to
  682.      foil such acts and to improve our existing security
  683.      arrangements. TO SOME EXTENT, THIS IS ALREADY HAPPENING:
  684.      <emphasis added> (p. 49).
  685.  
  686. Poor Tom. He doesn't seem to be able to figure out what position he
  687. wants to take. The danger is not that he selects one over the other,
  688. but that he seems to continually contradict himself.  The
  689. contradictions lead to public statements that do no service to
  690. clarifying the issues in ways that result in resolving the risks of
  691. computer intruders in a just, yet effective way.
  692.  
  693.      >If hacking cannot be defended, then virus creation is wholly
  694.      >unforgivable.  Enormous time and effort has been spent in recent
  695.      >years making good the damage caused by the pranksters who gave us
  696.      >the 'Stoned,' 'Bouncing Ball,' 'Pakistani Brain' and 'Israeli'
  697.      >viruses, to name but a few.
  698.      >
  699.      >Such computer anarchists have caused mayhem in recent years in
  700.      >the US. The famous Internet worm let loose by Cornell University
  701.      >student Robert Morris in late 1988 infected no less than 6,000
  702.      >systems and cost thousands of dollars to contain.
  703.  
  704. In his book, Forester offers a defense of hackers as well as posing
  705. some of their dangers. As a consequence, his "if-then" logic seems
  706. odd.  Has he recanted? Has he elsewhere offered a reasoned treatise
  707. defending the "if" premise? Nobody defends viruses, a very special and
  708. destructive form of computer intrusion. His statement is analogous to
  709. saying, "If trespassing cannot be defended, then arson is
  710. unforgivable." Trespassing can be forgiven (if we are in metaphysical,
  711. rather than legal mode), but arson cannot be.  Whether hacking is
  712. defensible or not, it has no bearing on the claim that computer
  713. viruses are indefensible.  To say that we should jail hackers because
  714. those who spread computer viruses are highly destructive is a major
  715. non sequitor.  They are different sorts of acts with different
  716. consequences.  Viruses are made for one purpose only: To disrupt or
  717. destroy.  The Morris worm, although disruptive and totally
  718. irresponsible, was not so-intended, and it was hardly the result of a
  719. "computer anarchist." Forester seems to be grabbing any and all
  720. examples to justify his claim that hackers should be jailed.  No
  721. matter that these examples reflect behaviors ranging from benign
  722. innocence to conscious malice.  Just lump 'em all together in a barrel
  723. and chuck 'em into the fire.
  724.  
  725.      >Last year, the so-called 'Legion of Doom' managed to completely
  726.      >stuff up the 911 emergency phone system in nine US states, thus
  727.      >endangering human life. They were also later charged with trading
  728.      >in stolen credit card numbers, long-distance phone card numbers
  729.      >
  730.      >In another case, Leonard DeCicco was charged with stealing US $1
  731.      >million worth of security software from Digital Equipment
  732.      >Corporation. Leonard Rose Jr. was charged with selling illegal
  733.      >copies of a US $77,000 AT&T operating system.
  734.      >
  735.      >One group of phone hackers was charged with stealing more than US
  736.      >$1.6 million worth of free long-distance phone calls, while
  737.      >another group was caught manipulating voice-mail boxes and 008
  738.      >toll-free numbers to the tune of millions of dollars.
  739.  
  740. These claims are totally false. As Mike Godwin (above) notes, the
  741. "Atlanta 3" were not charged with "stuffing up" the E911 system,
  742. period. Nor were they charged with the other allegations.  Leonard
  743. "DeCicco" presumably refers to Kevin Mitnick's confederate described
  744. in the Hafner/Markoff book who cooperated with the FBI in apprehending
  745. Mitnick. Spokespersons at DEC had no knowledge of any such infraction
  746. by DiCicco. Los Angeles U.S. Attorney's Office spokesperson Carole
  747. Levitzky indicated that there were no such federal charges against
  748. him, and that if he were involved in a subsequent offense of such
  749. magnitude after the Mitnick affair, it would show up in their records.
  750. DiCicco pleaded guilty on Nov. 29, 1989, to one count of aiding and
  751. abetting Mitnick's theft and was sentenced to five years probation,
  752. 750 hours of community service, and restitution of $13,000. If
  753. Forester refers to the DiCicco of the Mitnick and DiCicco incident,
  754. this claim is blatantly false. If there is a similarly named "Leonard
  755. DeCicco" who has stolen $1 million from DEC, Forester seems to be the
  756. only one who knows about it.
  757. apprehend Kevin Mitnick and they make no mention of Forester's
  758. charges, nor have such charges been made public. Leonard Rose was not
  759. charged with stealing but with possession of unlicensed UNIX software,
  760. not uncommon among some programmers. Phone phreaks and others have,
  761. indeed, freely utilized illicit means of avoiding long distance
  762. charges.  Such acts are wrong, but, as Gail Thackeray, a prosecutor of
  763. computer crime, has convincingly argued, jail is not necessarily the
  764. best sanction for these delinquents.
  765.  
  766. What's troublesome here is that Forester seems to have no grasp of
  767. facts and is not troubled by generalizations based on inaccuracies. He
  768. nonetheless calls for changes in public policy on the basis of his
  769. errors. If Forester were a common citizen, these flaws would be
  770. understandable. But, because he claims to be knowledgeable in the area
  771. of computer ethics and crime, his misinformation borders on
  772. professional negligence.  These are not just small matters of detail:
  773. His errors reflect consistent lack of knowledge of the most basic
  774. information accessible in media and across the nets.
  775.  
  776.      >Unfortunately, attempts by US authorities to nail these delinquent
  777.      >nerds have not always been successful. This is because the law is
  778.      >unclear, and police lack the expertise in dealing with the
  779.      >crimes.
  780.      >
  781.      >For example, last year's Operation Sun Devil, which involved
  782.      >raids in 14 cities and the seizure of 42 systems and 23, 000
  783.      >disks, has yet to result in any major prosecutions.
  784.      >
  785.      >Robert Morris, who launched the disastrous Internet worm, got a
  786.      >mere slap on the wrist in the form of a US $10,000 fine and 400
  787.      >hours' community service         Only in Britain--where the
  788.      >Computer Misuse Act became law in 1990--do the authorities seem
  789.      >to winning the war against hackers: 'mad' hacker Nicholas
  790.      >Whiteley was recently jailed for four months for a series of
  791.      >malicious attacks on university computers.
  792.  
  793. Perhaps in Forester's logic a single example of a four month sentence
  794. for attacks on university computers signifies "winning a war" in a
  795. country with a much smaller population and proportionately fewer
  796. personal computers.  Perhaps he actually believes in the power of such
  797. a superficial example, or perhaps he is just an Anglophile who is too
  798. lazy to ferret out the successful intervention of law enforcement and
  799. others in responding to "hacking" related crimes in the U.S. That
  800. quibble aside, Mike Godwin (above) addressed the Morris sentence.
  801. Operation Sun Devil was not successful largely because it was
  802. ill-conceived, poorly executed and misdirected. By contrast,
  803. prosecutors such as Gail Thackeray, Ken Rosenblatt, and Don Ingraham
  804. have all had considerable success prosecuting computer crime.
  805. Forester also fails to explain how a single example of a four month
  806. jail sentence, relatively short, reflects more success than the
  807. sentences of imprisonment given to Riggs, Darden, Grant, Rose, Zinn, and
  808. others, the imprisonment of non-hacking computer criminals, and the
  809. substantial probations given to many, many others (including Mitnick,
  810. Majette, DiCicco, Morris, Goldman, and countless others). Whether we
  811. agree with each individual indictment or sentence, the fact is that U.S.
  812. law enforcement is prosecuting and prosecuting successfully in most
  813. cases. The trend also seems to be that U.S. law enforcement, thanks
  814. largely to the efforts of EFF and prosecutors such as Don Ingraham,
  815. Gail Thackeray, and others, are--despite whatever other criticisms
  816. some may have--demonstrating an explicit willingness to move away from
  817. the Draconian measurese espoused by Forester and balance the needs of
  818. law enforcement and security with those of Constitutional protections
  819. against First and Fourth Amendment abuses and "justice as fairness."
  820. It is true that law enforcement is not particularly knowledgeable and
  821. that laws are vague, but they are vague on the side of
  822. over-criminalization. Nonetheless, the primary answer to resolving the
  823. problem of computer abuse does not lie in strengthening law
  824. enforcement, but rather in expanding public education and awareness.
  825. There are an overwhelming number of cases in the U.S. in which
  826. computer and telephone abusers have been apprehended, either by law
  827. enforcement or by other officials.  Forester's implied claim that
  828. somehow law enforcement needs to be tougher, rather than wiser,
  829. is--like the rest of his article--totally inaccurate.
  830.  
  831.      >To some extent hacking has attracted individuals who are not at
  832.      >ease socially--the classic "nerd," if you like. They may relate
  833.      >better to machines than other humans.
  834.      >
  835.      >One image of the hacker is of an adolescent male, who, for
  836.      >reasons of shyness or "spots" does not get on with girls.
  837.      >
  838.      >Instead, he tends to spend his time with the computer, rising at
  839.      >2pm, then working right through to 6am,, consuming mountains of
  840.      >delivered pizza and gallons of soft drink.
  841.      >
  842.      >Some suffer from what Danish doctors are now calling "computer
  843.      >psychosis"--an inability to distinguish between the real world
  844.      >and the world inside the screen.
  845.      >
  846.      >For the hacker, the machine becomes a substitute for human
  847.      >contact, because it responds in rational manner, uncomplicated by
  848.      >feelings and emotions.
  849.  
  850. Again, Forester is at odds with his own work, where he indicates that
  851. there are different types of hackers and motivations.  He seems to
  852. draw from Sherry Turkle's _The Second Self_, in his cartoon depiction
  853. of hackers. Turkle's data were limited to MIT students and a few
  854. interviews from Internet users.  Turkle's study, published in 1984,
  855. well before the "hacking craze" of the late 1980s, was more a study of
  856. computer enthusiasts rather than "hackers," and her descriptions were
  857. partly ironic and hardly "scientific," although this did not undermine
  858. the value of her book.
  859.  
  860. The "hackers" depicted in in _Cyberpunk_ range from seemingly normal
  861. (whatever that might mean) to certifiably loony, much as participants
  862. in any other collection of avid enthusiasts, including sports fans or
  863. researchers.  From our own (Gordon Meyer and Jim Thomas) studies of
  864. the computer underground, "hackers" are a diverse lot, and Forester's
  865. grotesque imagery is as simplistic as would be dismissing his article
  866. because of Australian inbreeding from the days when it was a penal
  867. colony. Psychological explanations for any behavior can be helpful in
  868. contributing to our understanding, but data-free generalizations that
  869. reduce complex behaviors to simple-minded categories, especially when
  870. done by one who makes a living as a scholar, do a disservice to the
  871. scholarly community.
  872.  
  873.      >In some senses, one can't help but feel sorry for hackers, but by
  874.      >taking out their hang-ups on society they do enormous damage and
  875.      >we all end up paying for their anarchic antics.
  876.      >
  877.      >One day, these meddlers will hack into a vital military, utility
  878.      >or comms system and cause a human and social catastrophe. It's
  879.      >time we put a stop to their adolescent games right now.
  880.      >
  881.      >TOM FORESTER
  882.      >
  883.      >
  884.      >
  885.      >*Tom Forester is co-author, with Perry Morrison, of Computer
  886.      >Ethics: Cautionary Tales and Ethical Dilemmas in Computing
  887.      >(Blackwell / Allen & Unwin, 1990,).
  888.                            <end of article     >
  889.  
  890. Hollinger and Lanza-Kaduce argued in their 1988 article in
  891. _Criminology_ that legislative testimony leading to anti-computer
  892. abuse law relied heavily on anecdotal evidence, hyperbolic assertions
  893. lacking empirical support, and media accounts. For this reason,
  894. Forester's letter, which fits all three categories, subverts the
  895. problem-solving process and hampers effective legislation and
  896. sanctions intended to address the problem of technologically-created
  897. offenses.  Few people justify indiscriminate computer intrusions, so
  898. the question does not center on a defense of computer abuse.  The
  899. issue is what do we do about it. Forester argues for increased
  900. criminalization and incarceration.  There is little evidence that
  901. incarceration deters crime. It is unlikely that "setting examples"
  902. will resolve anything.  Those most likely to be deterred those not
  903. engaged in serious misbehavior and are therefore the least risk to
  904. society. In the US, at least, sentencing is supposed to be
  905. "offense-drive," not "policy-driven." We sanction on the basis of an
  906. act, not on the basis of establishing social a political policy.
  907. "Setting examples" is not justice, but a political policy.
  908.  
  909. Neither Forester's call for heavier example-setting sanctions nor the
  910. logic of his call serve the debates surrounding the problem of
  911. computer abuse. He muddies the waters, inflames the passions of the
  912. non-computer literate public with false information, and apparently
  913. fails to recognize the lesson of his own writing, which is that
  914. reasoned dialogue rather than strident demagoguery is the ethical
  915. approach to problem solving. This seems a rather glaring lapse for one
  916. who writes on computer ethics.
  917.  
  918. Former prosecutor Gail Thackeray, in an interview with NEWSBYTES,
  919. offered a sound justification for temperance in incarceration to
  920. explain her reasons for opposing a five year prison sentence for "Doc
  921. Savage:"
  922.  
  923.      "Usually computer hackers who get into trouble for activities of
  924.      this nature are kids or young adults who are not the type to be
  925.      in trouble for any other criminal activities. The point of
  926.      sentencing in these cases should be rehabilitation. If we can
  927.      break the pattern of illegal behavior, society will benefit from
  928.      Majette's participation. If we simply locked him up for 5 years,
  929.      neither he nor society would benefit."
  930.  
  931. None can doubt her passion for deterring computer abuse, but she also
  932. recognizes the complexity of the problems and the value of social
  933. responses that benefit society, set *productive* examples, and
  934. simultaneously improve the security and harmony of the nets.  The
  935. views reflected in the Forester post would return us to the dark ages
  936. of repression based on ignorance.  Perhaps somebody should send
  937. Forester a copy of _Computer Ethics_ along with the suggestion that he
  938. read it.
  939.  
  940. Jim Thomas is a professor of sociology/criminal justice at
  941. Northern Illinois University. With Gordon Meyer, he has conducted
  942. research on the computer underground culture. His specialty is
  943. the culture of the dreadful enclosures that we call prisons, where
  944. some feel hackers belong.
  945.  
  946. ------------------------------
  947.  
  948. End of Computer Underground Digest #3.28
  949. ************************************
  950.  
  951.  
  952.