home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / cud / cud454b.txt < prev    next >
Text File  |  1995-01-03  |  11KB  |  187 lines
  1. Date: Sat, 31 Oct 92 16:11:58 CST
  2. >From: Jim Thomas <well@sf.ca.us>
  3. Subject: File 2--Some comments on NBC Dateline's "Hacker" Segment
  4.  
  5. About a month ago, Susan Adams, producer of NBC's Dateline called me.
  6. She indicated that Dateline was going to do a story on hackers, and
  7. she wanted to know how many "hacker busts" had gone to court.  She
  8. limited the term "hacker" to teenaged computer intruders, and did not
  9. seem interested in the more serious crimes of professional
  10. criminals who ply their trade with computers or with computer abusers
  11. who prey on their employers.  Suspecting a pre-defined slant to the
  12. story, I attempted to make it clear that, despite increased visibility
  13. of attention to computer abuse, there have been relatively few
  14. indictments.  Operation Sun Devil, I explained, was mostly smoke and
  15. served more to dramatize "hacker activity" far more than its success
  16. in apprehending them.  I provided some basic background in the Sun
  17. Devil, Len Rose, and Phrack cases, some  of which she seemed to know.
  18. I emphasized the civil rights issues, the complexity of the "hacker
  19. phenomenon," and the hyperbole of law enforcement and media that
  20. distorts the nature of the problem and thereby obstructs solutions.
  21. At some length I attempted to explain the problem of media
  22. sensationalism, the problems of balancing Constitutional rights with
  23. legitimate law enforcement interests and the potential for abuse that
  24. created by an imbalance, and the need for responsible and incisive
  25. reporting by the media.  Ms. Adams indicated that she had talked to
  26. Mike Godwin of the EFF, who I presumed would have told her the same
  27. thing, and others who claimed to have been contacted by Dateline staff
  28. indicated that they, too, cautioned against sensationalism. Believing
  29. that NBC would like to think that its quality of programming exceeds
  30. that of Geraldo's "Now it can be Told" (See CuD #3.37 special issue on
  31. "Mad Hacker's Key Party"), I anticipated a balanced, accurate, and
  32. non-sensationalized depiction of "hackers." To paraphrase H.L.
  33. Mencken, nobody ever went broke underestimating the accuracy of tv
  34. tabloid journalism.  The program that aired on Tuesday, October 27,
  35. 1992, could have been worse, but that's hardly a sound way to evaluate
  36. a program.
  37.  
  38. The teaser to the "Are Your Secrets Safe" segment framed the story
  39. around the potential dangers that "hackers" pose: They can wipe-out
  40. your bank account, crash the E911 system, and destroy the nation's
  41. telephone networks. In case we missed the point, footage from
  42. Sneaker's linked Ben Kingsly's scene, in which he discussed his mad
  43. scheme of "bringing down the whole damn system" with the activities of
  44. "hackers." The opening shoscreen shot of nic.ddn.mil and UFO information has a piscine
  45. smell--there was no evidence that it was anything more than a file
  46. readily obtained either by ftp or even (shades of Cliff Stoll) a file
  47. inserted in a computer system to trap intruders. Either way, the
  48. mystery of Quintin's identity seemed the message, and he provided
  49. nothing of any substance not known to anybody who roams the Internet.
  50.  
  51. Brief interviews with Kent Alexander, the prosecutor in the "Atlanta
  52. 3" case, and with Scott Ticer of BellSouth, elicited the
  53. corporate/law-enforcement view of hackers as dangerous criminals who
  54. should be prosecuted. For them, the issues are black and white,
  55. simple, and unequivocal. The solutions to the problem are clear, as
  56. the Atlanta Legion of Doom cases indicated:  Put 'em in prison.
  57.  
  58. The moderator, Jon Scott, then informed the audience that, to learn
  59. more about the hacker world, he went "underground." Dramatic
  60. terminology, but grossly inaccurate.  To go "underground" presumably
  61. would mean hooking up with people surreptitiously involved in on-going
  62. intrusion who could clearly demonstrate how one might break into
  63. military computers, access and re-program the E911 system, or shift
  64. money from one bank account to another. Scott did none of this.
  65. Instead, he interviewed two former LoD participants, both of whom are
  66. visible and quite "above ground," and neither of whom demonstrated
  67. much of value, let alone anything that could be considered dangerous.
  68. Adam Grant, sentenced to a brief stint in Federal prison in the
  69. "Atlanta 3" case, and Scott Chasin, a former LoD participant who, with
  70. some LoD friends, were partners in ComSec, a short-lived  computer
  71. security consulting firm, demonstrated a few "hacker tricks," but
  72. nothing that could even remotely be considered dangerous.
  73.  
  74. Grant explained "trashing"--rummaging through trash to find useful
  75. information--to Scott. Grant took Scott to a BellSouth trashbin to
  76. illustrate how he used to trash. Although BellSouth presumably
  77. implemented policies requiring locks on trashbins, on one side of the
  78. bin the lock was unlocked and there was no lock on the other side. One
  79. presumes nothing of interest was found, or it would have become another
  80. prop in the show. In Hacker Crackdown, Bruce Sterling provides an
  81. account of his own trashing experience during a moment of boredom at a
  82. law enforcement computer security conference (pp. 197-202) that was
  83. far more interesting and produced far more detailed information.
  84.  
  85. The interview with Scott Chasin was equally misleading.  Chasin typed
  86. what appeared to by a simple "whois" command that lists the Internet
  87. addresses of the target. "whois NSA" would produce a list of all
  88. accessible NSA addresses.  For example, typing "whois jthomas" would
  89. produce the following addresses on military computers:
  90.  
  91.      whois jthomas
  92.      Thomas, James (JT276)jthomas@TECNET1.JCTE.JCS.MIL
  93.             (703) 695-1565 225-1565
  94.      Thomas, James (JT5)jthomas@WSMR-EMH82.ARMY.MIL
  95.       (505) 678-5048 (DSN) 258-5048
  96.      Thomas, Jeffery (JT21)jthomas@TACHOST.AF.MIL
  97.        (804) 764-6610 (DSN)574-6610
  98.      Thomas, Jeffrey K. (JKT9)jthomas@WSMR-EMH02.ARMY.MIL
  99.       (505) 678-4597 (DSN) 258-4597
  100.      Thomas, Jennifer L. (JLT9)jthomas@APG-EMH5.APG.ARMY.MIL
  101.       (301) 671-2619 (DSN) 584-2619
  102.      Thomas, Joseph, Jr. (JT168)jthomas@REDSTONE-EMH2.ARMY.MIL
  103.       (205) 876-7407 (DSN) 746-7407
  104.      Thomasovich, John L. (JLT5)jthomas@PICA.ARMY.MIL
  105.       (201) 724-3760 (DSN) 880-3760
  106.  
  107. Or, "whois 162.45.0.0" would give:
  108.  
  109.      Central Intelligence Agency (NET-CIA)
  110.         Central Intelligence Agency
  111.         OIT/ESG/DSED
  112.         Washington, DC 20505
  113.  
  114.         Netname: CIA
  115.         Netnumber: 162.45.0.0
  116.  
  117.         Coordinator:
  118.            703-281-8087
  119.  
  120.         Record last updated on 22-Jul-92.
  121.  
  122. Or, "ftp nic.ddn.mil" would connect us to the Network Information
  123. Center, which was shown on Quintin's screen, a military system that
  124. allows anonymous ftp privileges, where the command "cd /pub ; ls"
  125. would produce a list of the documents that one could (legally) rummage
  126. through.  One could "grep" or "find"  "UFO" or any other key word
  127. quite legitimately. Dateline did a major disservice to viewers by not
  128. explaining at least minimal basics of computer technology and the
  129. workings of Internet.  Nothing portrayed by Chasin or Scott or on the
  130. screen necessarily indicated wrong doing, and in fact it seemed
  131. nothing more than a routine use of commands available to anyone with a
  132. Unix system and Internet access.  In fact, we learned nothing that
  133. isn't explained in Krohl's "The Whole Internet" or Kehoe's "Zen and
  134. the Art of the Internet." Dateline took basic information and made it
  135. appear arcane, dangerous, and of special significance.
  136.  
  137. Chasin next demonstrated "social engineering," in which a telephone
  138. caller attempts to con useful information from somebody through
  139. deception. Chasin was given a week to access any point of a system
  140. belonging to a corporation identified only as one of the "Fortune
  141. 500." Posing as a company computer operator, it took only a few calls
  142. and 90 minutes (collapsed for dramatic effect into about a minute on
  143. the program) to con a receptionist out of her password. Whether this
  144. access would allow deeper penetration into the computers or simply
  145. allow the intruder to read the secretary's private mail remains
  146. unknown. Although a convincing demonstration of social engineering, it
  147. also emphasizes a point that Dateline glossed over, which hackers and
  148. security personnel have been saying for years: The greatest threat to
  149. computer security is the individual user.
  150.  
  151. Computer crime is serious. It is unacceptable. Computer predations are
  152. wrong. But, the Dateline description did little to illustrate its
  153. nature and complexity and did much to re-inforce public technophobia
  154. and fears of computer literate teenagers.  The issue here isn't
  155. whether the term "hacker" is again abused, whether "hackers" receive
  156. good or bad press, or whether a program develops a slant that is
  157. merely not to one's liking. Dateline's error was far more serious than
  158. any of these trivial cavils.  At root, Dateline presented
  159. misinformation, seemed to have a story carved out in advance and
  160. merely sought detail for it, and depicted little of substance in
  161. contriving a fear-mongering story organized around assertion rather
  162. than evidence.  It only confused the nature of computer crime, and
  163. confused perceptions lead to bad laws, bad law enforcement, and no
  164. solutions.
  165.  
  166. As Adam Grant pointed out, the fact that people have the ability to
  167. intrude upon a system or to shoot somebody does not mean they are
  168. necessarily social threats. To exaggerate a "hacker threat" feeds the
  169. folly of excessive punishment for computer delinquents, and it
  170. suggests that the answer to the "hacker problem" is to apprehend the
  171. hacker rather than address the broader questions of computer
  172. responsibility, computer security, and computer literacy.  Even with
  173. its hyperbole, Dateline could have salvaged some respectability if it
  174. had concluded by informing users that computer systems generally are
  175. intended to be open, that *trust* is a crucial element of computer
  176. use, and that users themselves can take significant steps to increase
  177. security little effort.
  178.  
  179. Dateline seemed uninterested in its responsibility to the public.  It
  180. seemed more interested in presenting a sexy story.  When Geraldo
  181. presented "Mad Hacker's Key Party," the producer had the class to
  182. engage in a dialogue with critics and seemed genuinely interested in
  183. learning from criticism. I wonder if Susan Adams, producer of this
  184. Dateline segment, will do the same?
  185.  
  186. Downloaded From P-80 International Information Systems 304-744-2253
  187.