home *** CD-ROM | disk | FTP | other *** search

---

/ Hackers Underworld 2: Forbidden Knowledge / Hackers Underworld 2: Forbidden Knowledge.iso / UNDERGRD / VOL_3 / CUD314B.TXT

< prev

next >

Wrap

Text File  |  1994-11-01  |  7KB  |  130 lines

---

1. ------------------------------
2.  
3. From: Gene Spafford <spaf@CS.PURDUE.EDU>
4. Subject: Comments on your comments on Len Rose
5. Date: Sat, 30 Mar 91 14:41:02 EST
6.  
7. ********************************************************************
8. ***  CuD #3.14: File 2 of 6: Comments on Len Rose Articles       ***
9. ********************************************************************
10.  
11. {Moderators' comment: Spaf just sent his latest book, PRACTICAL UNIX
12. SECURITY, co-authored with Simson Garfinkel to the publishers
13. (O'Reilly and Associates ((the Nutshell Handbook people). It's
14. approximately 475 pages and will available in mid-May. From our
15. reading of the table of contents, and from preview comments
16. ("definitive," destined to be the "standard reference"), it looks like
17. something well-worth the $29.95 investment.}
18.  
19. There is little doubt that law enforcement has sometimes been
20. overzealous or based on ignorance.  That is especially true as
21. concerns computer-related crimes, although it is not unique to that
22. arena. Reporting of some of these incidents has also been incorrect.
23. Obviously, we all wish to act to prevent future such abuses,
24. especially as they apply to computers.
25.  
26. However, that being the case does not mean that everyone accused under
27. the law is really innocent and the target of "political" persecution.
28. That is certainly not reality; in some cases the individuals charged
29. are clearly at fault.  By representing all of them as innocents and
30. victims, you further alienate the moderates who would otherwise be
31. sympathetic to the underlying problems.  By trying to represent every
32. individual charged with computer abuse as an innocent victim, you are
33. guilty of the same thing you condemn law enforcement of when they
34. paint all "hackers" as criminals.
35.  
36. In particular, you portray Len Rose as an innocent whose life has been
37. ruined through no fault of his own, and who did nothing to warrant
38. Federal prosecution.  That is clearly not the case.  Len has
39. acknowledged that he was in possession of, and trafficing in, source
40. code he knew was proprietary.  He even put multiple comments in the
41. code he modified stating that, and warning others not to get caught
42. with it.  The patch he made would surreptitiously collect passwords
43. and store them in a hidden file in a public directory for later use.
44. The argument that this patch could be used for system security is
45. obviously bogus; a system admin would log these passwords to a
46. protected, private file, not a hidden file in a public directory.
47. Further, your comments about having root access are not appropriate,
48. either, for a number of reasons -- sometimes, root access can be
49. gained temporarily without the password, so a quick backdoor is all
50. that can be planted.  Usually, crackers like to find other ways on
51. that aren't as likely to be monitored as "root", so getting many user
52. passwords is a good idea.  Finally, if passwords got changed, this
53. change would still allow them to find new ways in, as long as the
54. trojan wasn't found.
55.  
56. The login changes were the source of the fraud charge.  It is
57. certainly security-related, and the application of the law appears to
58. be appropriate.  By the comments Len made in the code, he certainly
59. knew what he was doing, and he knew how the code was likely to be
60. used: certainly not as a security aid.  As somebody with claimed
61. expertise in Unix as a consultant, he surely knew the consequences of
62. distributing this patched code.
63.  
64. An obvious claim when trying to portray accused individuals as victims
65. is that their guilty pleas are made under duress to avoid further
66. difficulties for their family or some other third party.  You made
67. that claim about Len in your posting.  However, a different
68. explanation is just as valid -- Len and his lawyers realized that he
69. was guilty and the evidence was too substantial, and it would be more
70. beneficial to Len to plead guilty to one charge than take a chance
71. against five in court.  I am inclined to believe that both views are
72. true in this case.
73.  
74. Your comments about Len's family and career are true enough, but they
75. don't mean anything about his guilt or innocence, do they?  Are bank
76. robbers or arsonists innocent because they are the sole means of
77. support for their family?  Should we conclude they are "political"
78. victims because of their targets?  Just because the arena of the
79. offenses involves computers does not automatically mean the accused is
80. innocent of the charges.  Just because the accused has a family which
81. is inconvenienced by the accused serving a possible jail term does
82. not mean the sentence should be suspended.
83.  
84. Consider that Len was under Federal indictment for the login.c stuff,
85. then got the job in Illinois and knowingly downloaded more source code
86. he was not authorized to access (so he has confessed).  Does this
87. sound like someone who is using good judgement to look out for his
88. family and himself?  It is a pity that Len's family is likely to
89. suffer because of Len's actions.  However, I think it inappropriate to
90. try and paint Len as a victim of the system.  He is a victim of his
91. own poor judgement.  Unfortunately, his family has been victimized by
92. Len, too.
93.  
94. I share a concern of many computer professionals about the application
95. of law to computing, and the possible erosion of our freedoms.
96. However, I also have a concern about the people who are attempting to
97. abuse the electronic frontier and who are contributing to the decline
98. in our freedoms.  Trying to defend the abusers is likely to result in
99. a loss of sympathy for the calls to protect the innocent, too.  I
100. believe that one reason the EFF is still viewed by some people as a
101. "hacker defense fund" is because little publicity has been given to
102. the statements about appropriate laws punishing computer abusers;
103. instead, all the publicity has been given to their statements about
104. defending the accused "hackers."
105.  
106. In the long term, the only way we will get the overall support we need
107. to protect innocent pursuits is to also be sure that we don't condone
108. or encourage clearly illegal activities.  Groups and causes are judged
109. by their icons, and attempts to lionize everyone accused of computer
110. abuse is not a good way to build credibility -- especially if those
111. people are clearly guilty of those abuses.  The Neidorf case is
112. probably going to be a rallying point in the future.  The Steve
113. Jackson Games case might be, once the case is completed (if it ever
114. is).  However, I certainly do not want to ask people to rally around
115. the cases of Robert Morris or Len Rose as examples of government
116. excess, because I don't think they were, and neither would a
117. significant number of reasonable people who examine the cases.
118.  
119. I agree that free speech should not be criminalized.  However, I also
120. think we should not hide criminal and unethical behavior behind the
121. cry of "free speech."   Promoting freedoms without equal promotion of
122. the responsibility behind those freedoms does not lead to a greater
123. good.  If you cry "wolf" too often, people ignore you when the wolf is
124. really there.
125.  
126. ***************************************************************************
127.                            >> END OF THIS FILE <<
128. ***************************************************************************
129.  
130.