home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / cud / cud557.txt < prev    next >
Text File  |  1995-01-03  |  42KB  |  855 lines

  1.  
  2.  
  3. Computer underground Digest    Sun  Aug 1 1993   Volume 5 : Issue 57
  4.                            ISSN  1004-042X
  5.  
  6.        Editors: Jim Thomas and Gordon Meyer (TK0JUT2@NIU.BITNET)
  7.        Archivist: Brendan Kehoe
  8.        Shadow-Archivists: Dan Carosone / Paul Southworth
  9.                           Ralph Sims / Jyrki Kuoppala
  10.                           Ian Dickinson
  11.        Coop Eitidor: Etaoin Shrdlu, Senior
  12.  
  13. CONTENTS, #5.57 ( Aug 1 1993)
  14. File 1--Re: Hacker sentencing
  15. File 2--Criminal Records Subject to Abuse
  16. File 3--UPDATE: Ideas-Exchange listserv/ Legis Data Programmers
  17. File 4--Observations from a "non-cyberhead"
  18. File 5--Response to "Observations from a 'non-cyberhead'"
  19. File 6--Response to Rep. Markey's Letter
  20.  
  21. Cu-Digest is a weekly electronic journal/newsletter. Subscriptions are
  22. available at no cost electronically from tk0jut2@mvs.cso.niu.edu. The
  23. editors may be contacted by voice (815-753-6430), fax (815-753-6302)
  24. or U.S. mail at:  Jim Thomas, Department of Sociology, NIU, DeKalb, IL
  25. 60115.
  26.  
  27. Issues of CuD can also be found in the Usenet comp.society.cu-digest
  28. news group; on CompuServe in DL0 and DL4 of the IBMBBS SIG, DL1 of
  29. LAWSIG, and DL1 of TELECOM; on GEnie in the PF*NPC RT
  30. libraries and in the VIRUS/SECURITY library; from America Online in
  31. the PC Telecom forum under "computing newsletters;"
  32. On Delphi in the General Discussion database of the Internet SIG;
  33. on the PC-EXEC BBS at (414) 789-4210; and on: Rune Stone BBS (IIRG
  34. WHQ) (203) 832-8441 NUP:Conspiracy; RIPCO BBS (312) 528-5020
  35. CuD is also available via Fidonet File Request from 1:11/70; unlisted
  36. nodes and points welcome.
  37. EUROPE:   from the ComNet in LUXEMBOURG BBS (++352) 466893;
  38.           In ITALY: Bits against the Empire BBS: +39-461-980493
  39.  
  40. ANONYMOUS FTP SITES:
  41.   UNITED STATES:  ftp.eff.org (192.88.144.4) in /pub/cud
  42.                   uglymouse.css.itd.umich.edu (141.211.182.53) in /pub/CuD/cud
  43.                   halcyon.com( 202.135.191.2) in /pub/mirror/cud
  44.                   aql.gatech.edu (128.61.10.53) in /pub/eff/cud
  45.   AUSTRALIA:      ftp.ee.mu.oz.au (128.250.77.2) in /pub/text/CuD.
  46.   EUROPE:         nic.funet.fi in pub/doc/cud. (Finland)
  47.                   ftp.warwick.ac.uk in pub/cud (United Kingdom)
  48.  
  49. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  50. information among computerists and to the presentation and debate of
  51. diverse views.  CuD material may  be reprinted for non-profit as long
  52. as the source is cited. Authors hold a presumptive copyright, and
  53. they should be contacted for reprint permission.  It is assumed that
  54. non-personal mail to the moderators may be reprinted unless otherwise
  55. specified.  Readers are encouraged to submit reasoned articles
  56. relating to computer culture and communication.  Articles are
  57. preferred to short responses.  Please avoid quoting previous posts
  58. unless absolutely necessary.
  59.  
  60. DISCLAIMER: The views represented herein do not necessarily represent
  61.             the views of the moderators. Digest contributors assume all
  62.             responsibility for ensuring that articles submitted do not
  63.             violate copyright protections.
  64.  
  65. ----------------------------------------------------------------------
  66.  
  67. Date:    Fri, 30 Jul 1993 13:41:55 -0700
  68. From: mcmullen@MINDVOX.PHANTOM.COM(John F. McMullen)
  69. Subject: File 1--Re: Hacker sentencing
  70.  
  71. The following appeared on Newsbytes, a commercial copyrighted
  72. international news service on July 29th. It is reposted here with the
  73. express consent of the author (This notice must accompany any subsequent
  74. re-postings which I am authorizing here)
  75.  
  76. ========================================================================
  77. (EDITORIAL) (GOVERN) (NYC)
  78. Reflections On Hacker Sentencing 07/29/93
  79. NEW YORK, NEW YORK, U.S.A.(NB) 072993 --  I sat in federal court
  80. this week and watched two young men be sentenced to prison. It was not a
  81. pleasant experience.
  82.  
  83. The young men, Elias Ladopoulos, known in the hacker world as "Acid
  84. Phreak", and Paul Stira, a/k/a "Scorpion", were each sentenced to six
  85. months imprisonment, six months home detention, seven hundred fifty
  86. hours of community service, and $50 assessment charge for conspiracy to
  87. commit computer crimes. Both had pled guilty on March 17th on this
  88. charge so there was not a question of guilt or innocence.
  89.  
  90. The six months imprisonment also does not seem draconian -- six months
  91. doesn't seem very long unless you happen to be the one serving it. Time is
  92. extremely relative as I found out when I spent five years at Fort Sill,
  93. Oklahoma between January 1963 and April 1963. It is safe to say that these
  94. young men will find the six months loss of freedom to be a very long
  95. period.
  96.  
  97. The penalty, however, may be reasonable. It is certainly well within the
  98. sentencing guidelines for the infraction (The maximum sentence quoted for
  99. the crime pled to is five years in prison and a $250,000 fine).
  100.  
  101. If I think that the sentencing may be just, or at least defensible, then
  102. what is the problem? Well, first, I have known the young men for over
  103. three years and like them both. I would have preferred that they not go to
  104. prison. I also personally feel that Stira never should have been a part of
  105. the indictment; a view shared by some law enforcement folks that I have
  106. spoken to (he is only mentioned in the papers twice and any illegal
  107. activities seeming stopped in January 1990; the activities enumerated
  108. involved possession a "trap door" program and a list of user passwords to
  109. systems).
  110.  
  111. I recognize that is a personal feeling and that all people want their
  112. friends not to bear hardship. Some place Ted Bundy probably had a friend
  113. who wanted him loose and running around.
  114.  
  115. Another problem relates to the procedures that got the defendants to the
  116. sentence. Stira and Ladopoulos (along with Mark Abene a/k/a "Phiber Optik")
  117.  were the subjects of a search and seizure by Secret Service agents in
  118. January 1990. Stira and Ladopoulos' fate then languished until July 1992
  119. when they were indicted along with Abene and two new players, John Lee
  120. a/k/a "Corrupt" and Julio Fernandez a/k/a "Outlaw", on conspiracy to
  121. commit computer crimes.
  122.  
  123. During the over three years that have gone by, Stira and Ladopoulos have
  124. undergone changes. They are both college students -- Stira would have
  125. graduated had his college not pulled his computer account when he pled
  126. guilty; an action which prevented him from completing his last course
  127. requirement.
  128.  
  129. Both have performed community service through contacts provided by
  130. Robert Ambrose, a director of the New York Amateur Computer Club
  131. (NYACC). Ladopoulos is employed by a major New York broadcasting
  132. company and has impressed his employer to the extent that the employer
  133. wrote a letter to the judge, asking for leniency, and came to the sentencing.
  134.  
  135. Ladopoulos' attorney, Scott Tulman, speaking at the hearing, said "He goes
  136. to school, works and donates time to working with the handicapped,
  137. teaching them to use computers. He acknowledges his culpability and has
  138. been attempting to atone for it. His probation officer noted his sincere
  139. efforts to rehabilitate himself. The stupid young person, 'Acid Phreak',
  140. who was involved with other person's computers no longer exists. It is
  141. Elias Ladopoulos who will be sentenced and that will cause a hardship to
  142. his family."
  143.  
  144. There are those who may say "It doesn't matter how long ago they did
  145. something wrong. They did it and they have to pay the piper." They may
  146. well be right in some cases but these are not past serial killers; they
  147. are two young men who have been under tremendous pressure for a
  148. substantial part of their lives (3 years out of 21 is significant) since
  149. the indictment.  Perhaps that should have been considered sufficient
  150. punishment.
  151.  
  152. There is, further, an overriding problem. From day 1 of the case, the
  153. judge, Richard Owen, showed a complete lack of understanding of the
  154. technology related to the case. At the initial scheduling meeting, then-
  155. Assistant US Attorney Steve Fishbein pointed out that the discovery
  156. process might take a long time as the government had intercepted over "50
  157. megabytes" of electronic evidence. The judge asked what a megabyte was
  158. and, when told it was a million characters, seemed to look rather panicked
  159. when he said "You're not going to show all that to a jury are you?"
  160. Fishbein assured him that he would not.
  161.  
  162. It seemed obvious to those of us in attendance that Judge Owen had visions
  163. of 50 million pieces of paper being delivered to a jury. He was
  164. understandably concerned.
  165.  
  166. That was only day one and a federal judge may not be computer literate at
  167. the start of such a case. That would certainly be a lot to expect. One
  168. might expect, however, that, a year later, at the conclusion of the case,
  169. knowledge would have been acquired. Sadly, that did not seem to be the
  170. case.
  171.  
  172. One of the charges made against Stira and Ladopoulos (and Abene) was
  173. that they both pulled a prank and caused damage to a computer system
  174. belong to WNET, the PBS television channel in New York. While Stira and
  175. Ladopoulos admitted being on the system, both deny causing any damage
  176. (it is a common belief that another hacker, known for malicious actions,
  177. left unindicted by the federal government because of his age, knowingly
  178. committed the damage). A major part of the sentencing dialogue between
  179. Ladopoulos and Judge Owen had to do with this incident. Newsbytes
  180. reported it this way:
  181.  
  182. "In response to questions from Judge Owen concerning his involvement with
  183. the damage to the WNET system, Ladopoulos said 'Another hacker whose name
  184. I have already provided to the government was the one who took the system
  185. down. When I saw the problem, I called the station and left my own phone
  186. number and offered to help. If I had caused the damage, I would not have
  187. done that. The person who caused the damage is a very deranged person.'
  188.  
  189. "Owen said that he could not believe that it was merely a coincidence that
  190. the damage was done to the WNET system in the same time frame that
  191. Ladopoulos was on the system. Ladopoulos replied by saying that the
  192. system log showed that he was off the system when the damage occurred. A
  193. discussion followed on the entire incident."
  194.  
  195. The discussion actually had knowledgeable persons in the court room
  196. shaking their heads. The judge didn't understand. He said that there was
  197. too much work for this mysterious hacker to have done to copy messages
  198. from Ladopoulos, add destructive material to it and shut down the system
  199. all on the same day -- just too much typing. Ladopoulos tried to explain
  200. about capture routines, editors, etc. and then, seeming to realize the
  201. futility of it, just gave up.
  202.  
  203. Speaking later to Newsbytes about the experience, Ladopoulos said "It was
  204. terribly frustrating. The judge just didn't understand about WNET. I tried
  205. to explain that I did not damage the system but he didn't understand."
  206.  
  207. Now it certainly is not clear that the judge based his sentencing on the
  208. WNET episode. He may not have -- at John Lee's sentencing, the same
  209. judge mentioned that evidence showed that Lee had insulted someone's
  210. mother on the net. One suspects and hopes that this social transgression
  211. played no part in Lee's yearand-a-day sentence; there were, after all,
  212. substantive charges against Lee.
  213.  
  214. We will never know whether or how much this misunderstanding influenced
  215. the sentence -- and it is a light sentence under the guidelines. So,
  216. perhaps, no harm was done.
  217.  
  218. No harm? Not quite! At a minimum, the dialogue shook the confidence of
  219. everyone in the room about the sentence. Perhaps the prosecution was
  220. satisfied because the defendants were being punished for their illegal
  221. acts -- perhaps the defense took it in stride because of the relative
  222. lightness of the sentence -- perhaps it was a good sentence. However, any
  223. one with an understanding of computers and telecommunications had to feel
  224. that the judge had no grasp of these issues.
  225.  
  226. So what happens next? Organizations like the Electronic Frontier
  227. Foundation (EFF), the Society for Electronic Access (SEA), and Computer
  228. Professionals for Social Responsibility (CPSR) are trying to close the
  229. knowledge gap between public officials and technologists. Congress is
  230. holding hearings on technology issues. There is recognition at the
  231. national level on the importance of understanding the changes that the
  232. telecommunications revolution has brought.
  233.  
  234. Progress may be made. I hope so. Can you imagine if it were your case --
  235. or that of a member of your family being sentencing? Scary, isn't it?
  236.  
  237. John F. McMullen/19930729)
  238.  
  239.  
  240. John F. McMullen           mcmullen@mindvox.phantom.com    Consultant,
  241. knxd@maristb.bitnet        mcmullen@well.sf.ca.us            Writer,
  242. 70210.172@compuserve.com   mcmullen@panix.com                 Student,
  243. GEnie - nb.nyc             mcmullen@eff.org                     Teacher
  244.  
  245. ------------------------------
  246.  
  247. Date: Thu, 29 Jul 93 21:21:45 EDT
  248. From: trader@CELLAR.ORG
  249. Subject: File 2--Criminal Records Subject to Abuse
  250.  
  251. I thought that this might interest you and other CuD readers.
  252.  
  253. Philadelphia Inquirer - 07/29/93
  254.  
  255. CRIMINAL RECORDS ARE VULNERABLE TO ABUSE, CONGRESS IS WARNED
  256.  
  257. Sometimes the information is for sale, the GAO said.  It called for
  258. greater security.
  259.  
  260. By Lawrence L. Knutson
  261. ASSOCIATED PRESS
  262.  
  263. WASHINGTON -- In Arizona, a former police officer gained access to
  264. print-outs from the FBI's National Crime Information Center, tracked
  265. down his estranged girlfriend and murdered her.
  266.  
  267. In Pennsylvania, a computer operator used the system to conduct
  268. background searches for her drug-dealer boyfriend, who wanted to learn
  269. if new clients were undercover agents.
  270.  
  271. In colorado, Connecticut, Florida, Maryland and other states, private
  272. investigators bought data from insiders with authorized access to the
  273. criminal-record system.
  274.  
  275. These examples were presented to the House Judiciary and Government
  276. Operations Committees yesterday by the General Accounting Office,
  277. which con-cluded that the criminal-records system is vulnerable to
  278. widespread misuse.
  279.  
  280. The GAO recommended that Congress enact legislation with "strong
  281. criminal sanctions" barring the misuse of the criminal record files
  282. and that the FBI encourage state users to enhance security.
  283.  
  284. Laurie E. Ekstrand, the GAO's associate director for administration of
  285. justice issues, said that while the FBI and the states do not keep
  286. adequate records, "we did obtain sufficient examples of misuse to
  287. indicate that such misuse occurred throughout the system."
  288.  
  289. "Furthermore, all the reported misuse incidents involve insiders,
  290. while none involved outside [computer] hackers," she said.
  291.  
  292. "It appears that there are employers, insurers, lawyers or
  293. investigators who are willing to pay for illegal access to personal
  294. information, and there are insiders who are willing to supply the
  295. data," said Rep. Gary Condit (D., Calif.) summing up the GAO's
  296. findings.
  297.  
  298. The National Crime Information Center, with 24 million records, is the
  299. nation's largest computerized criminal justice information system.
  300. Its 14 separate files contain an extensive range of data, including
  301. information about fugitives, stolen vehicles and missing persons.
  302.  
  303. The largest single file, known as "the III file" gives users access to
  304. 17 million criminal-history information records maintained in separate
  305. state systems.
  306.  
  307. The GAO said more than 19,000 federal, state and local law enforcement
  308. agencies in the U.S. and Canada, using 97,000 terminals, have direct
  309. access to the system.
  310.  
  311. The GAO called the Arizona case the most extreme example of misuse it
  312. uncovered.
  313.  
  314. The agency said investigators learned that the former police officer
  315. was able to locate his estranged girlfriend using data provided from
  316. the national records system by three people working in different law
  317. enforcement agencies.
  318.  
  319. "After an investigation, the printouts provided by the three
  320. individuals were discovered and they were identified, prosecuted and
  321. convicted," the GAO said.
  322.  
  323. Other examples provided by the GAO:
  324.  
  325.     - In Maine, a police officer used the system to conduct a background
  326.       check on one of his wife's employees who was then fired for not
  327.       disclosing his criminal record
  328.  
  329.     - In Iowa, a dozen cases of misuse were reported over the last two
  330.       years.  All involved computer operators conducting background
  331.       searches on friends or relatives.
  332.  
  333.     - In New York state, an employee of a law enforcement agency provided
  334.       criminal history information to be used by a local politician against
  335.       political opponents.
  336.  
  337.     - In Pennsylvania, a police officer "accessed and widely disseminated"
  338.       a fellow officer's criminal history record.
  339.  
  340.     - In South Carolina, a law enforcement agency conducted background
  341.       searches on members of the City Council.
  342.  
  343. ------------------------------
  344.  
  345. Date:   Fri, 30 Jul 1993 16:29:35 -0700
  346. From: Jim Warren <jwarren@WELL.SF.CA.US>
  347. Subject: File 3--UPDATE: Ideas-Exchange listserv/ Legis Data Programmers
  348.  
  349. July 30, 1993
  350.  
  351. On July 22nd, I broadcast details [Update #19] about a number of
  352. sample files of legislative data, in the various forms used internally
  353. by the Legislative Data Center and Office of State Printing, that are
  354. available for anonymous ftp, with which volunteer-programmers could
  355. begin experimenting.
  356.  
  357. Just before flying off to a tele-community conference in Colorado, Al
  358. Whaley of cpsr.org (one of the volunteers) proposed an online
  359. discussion group to facilitate the shared programming effort -
  360. excellent idea!  I had planned on broadcasting this message before
  361. now, but was first distracted by the c onference, then came home with
  362. a massive head code.  Blushing apologies!
  363.  
  364. LEGISLATIVE-DATA PROGRAMMERS' INFORMATION EXCHANGE
  365. This list is intended only for those who are developing software to
  366. process the state legislative data - display it, print it, index it,
  367. etc. Anyone, including non-subscribers, can send to this list.
  368. Neither subscribers nor submissions are moderated.  Subscribers'
  369. identities are not currently concealed, but can be after subscribing.
  370.  
  371. TO SUBSCRIBE:
  372.     Send email to  listserv@cpsr.org.
  373.     (The Subject is ignored.)
  374.     The email message should state:
  375.     SUBSCRIBE LDC-SW firstname lastname
  376.     where firstname and lastname are, of course, yours.
  377.  
  378. FOR HELP:
  379. Send email as above, with the message  HELP
  380.  
  381. Note:  ldc-sw-request@cpsr.org  is equivalent to  listserv@cpsr.org.
  382.  
  383. SOFTWARE SUCCESSES WOULD BE HELPFUL AT AUGUST 18th HEARING
  384. It would be *great* to flaunt printouts of the sample legislative data
  385. along with a listing of the freeware source-code that created them at the
  386. Aug. 18th Senate Rules Committee.
  387.  
  388. ------------------------------
  389.  
  390. Date: Tue, 27 Jul 93 06:47:00 EST
  391. From: "Straw, Scott F." <sfs0@PHPMTS1.EM.CDC.GOV>
  392. Subject: File 4--Observations from a "non-cyberhead"
  393.  
  394.      With reference to the FOIA inquiry and the USSS affidavit
  395. response, what is "the 2600 case?" (CuD 5.52)  Having only subscribed
  396. since issue 5.51, I probably just missed this important filler info.
  397. You might consider the journalistic practice of briefing newcomers to
  398. background material, even if only a sentence.
  399.  
  400.      With regard to the E-fingerprinting of welfare recipients, and
  401. its potential long range spread to other social service provisions, I
  402. say here, here!  Would we hesitate to issue a photo-ID to these
  403. individuals to verify that the intended recipient is actually
  404. receiving the aid?  If not, why not a
  405. fingerprint record?  More unique than a photograph, and infinitely easier to
  406. store electronically (being quasi-two dimensional and devoid of subtle
  407. nuances of character), fingerprinting will allow positive, definitive
  408. identification.  Yes, it will detect and deter "double-dipping" fraud, but it
  409. will also prevent unauthorized procurement/theft as well.
  410.  
  411.      I would hope that CPSR (Computer Professionals for Social
  412. Responsibility) would reconsider their stance in light of their tenet that
  413. reads:
  414.  
  415.      "We encourage the use of computer technology to improve the
  416.       quality of life."  - Principle #5, CuD 5.55, File 1 (What is
  417.       CPSR and how can we join?)
  418.  
  419.      If the social service recipient were, by the use of this
  420. technology to eliminate fraud and theft (and because of the
  421. elimination of these losses) able to receive a higher, more focused
  422. and therefore, enhanced level of service, that could have strong
  423. positive implications on that recipients quality of life.
  424.  
  425.      I fail to see this as a "Big Brother" issue.  After all, isn't
  426. the goal of social services in a majority of the cases to provide
  427. assistance temporarily?  Once the assistance is no longer needed, the
  428. recipient is no longer tracked.
  429.  
  430. ------------------------------
  431.  
  432. ((MODERATORS' NOTE: Jim Davis's reply clarifies the relevance of
  433. computer technology as a cyberspace concern. The issues include the
  434. power of technology to invade privacy and the problem of using
  435. technology on groups lacking a strong constituency to protect
  436. themselves. The fingerprinting policy seems to isolate a particular
  437. group for more stringent monitoring. And, the possibility that
  438. discretionary fingerprint IDS might spread to other states is noted by
  439. joec@CFCSYS.LINET.ORG(Joseph Christie):
  440.  
  441.     I noticed the article on fingerprinting public assistance
  442.     recipients in the San Francisco area and just wanted to
  443.     report that Suffolk County, New York is also considering
  444.     setting up a similar system and they are using the
  445.     "phenomenal" savings by the LA system as justification.
  446.  
  447. +++++
  448.  
  449. Date: Wed, 28 Jul 1993 10:47:50 -0700
  450. From: "James I. Davis" <jdav@WELL.SF.CA.US>
  451. Subject: File 5--Response to "Observations from a 'non-cyberhead'"
  452.  
  453. People concerned with privacy have always resisted the idea of a
  454. national ID card, no matter how technically efficient it is. One could
  455. possibly argue that having and requiring a positive ID for all social
  456. transactions wd improve the quality of life, but I "using technology
  457. to eliminate fraud wd result in a higher quality of life" could
  458. include universal activities like shopping (more technology to prevent
  459. shoplifting), recreation (more technology to monitor parks and
  460. streets) or work (more technology to combat employee theft of
  461. employers' supplies, "time", computer resources, etc.) and so on.
  462. People who don't steal and don't defraud might enjoy cheaper goods,
  463. safer streets and parks; and for the employers', higher profits;
  464. everyone else could be put in prison or unemployment lines (a detour
  465. on the way to prison). The question becomes how do we want to balance
  466. the right to privacy and the freedom to go about our lives with a
  467. desire to combat fraud and theft? At what point do we say, "this looks
  468. like the road to a police state"?
  469.  
  470. As to whether such technology should be used only for poor people, or
  471. only for people who need public assistance, it raises some obvious
  472. problems about singling out a particular section of the population for
  473. "special treatment."
  474.  
  475. Lest one should say, "well, they're only welfare recipients; what's
  476. that got to do with me" (ignoring for the moment what a brutal and
  477. short-sighted statement that would be), one should keep in mind that
  478. some of the most serious breaches in overall privacy vis-a-vis
  479. computer systems have started with the bogeyman of welfare fraud, and
  480. then extended to more general use after the precedence is set. Jeffrey
  481. Rothfeder, in _Privacy_at_Risk_, describes how federal computer
  482. matching, where agencies go on data-fishing expeditions by matching up
  483. different government databases, was initially considered outside of
  484. what was allowed under the 1974 Privacy Act. Pressure from the
  485. Department of Health, Education and Welfare under the Carter
  486. administration stretched the rules, so to speak, to allow them to hunt
  487. for people "double-dipping." The program was later extended to other
  488. types of matches, including matching IRS returns and Social Security
  489. records. All along, the benefits from these dragnet searches have been
  490. questionable. In 1988, the House Committee on Government Operations
  491. noted that "the cost-effectiveness of computer matching has yet to be
  492. demonstrated." (Rothfeder pp 140 - 146) "Cost-effectiveness" of course
  493. does not include the additional cost of the loss of privacy such
  494. searches imply.
  495.  
  496. ------------------------------
  497.  
  498. Date: Mon, 26 Jul 1993 19:21:33
  499. From: CuD Moderators <cudigest@mindvox.phantom.com>
  500. Subject: Representative Markey's Letter in re AIS BBS
  501.  
  502. ((MODERATORS' NOTE: Like the flooding Mississippi, the AIS BBS
  503. incident just keeps over-flowing the levees and spreading beyond
  504. reasonable boundaries.  CuD readers will recall that AIS ("Automated
  505. Information Systems," a BBS operated by the Treasury Department's
  506. Bureau of Public Debt) was the target of an "anonymous" posting in
  507. RISKS Digest.  The poster objected particularly to the availability of
  508. virus source code on the board. The post was routed to government
  509. officials (see Crypt Newsletter #16 for details) and the offending
  510. files, along with "underground" text files--including CuD--were
  511. removed from the board.  Perhaps, thanks to media hyperbole, CuDs are
  512. perceived as nearly as dangerous as virus source code.
  513.  
  514. That should have ended the matter. Sadly, the Washington Post picked
  515. up on the story and printer a slanted, simplistic, and rather
  516. hyperbolic version of events in an account that raises serious
  517. questions of journalistic ethics (see CuD #5.51). Even that should
  518. have ended things. However, Rep. Edward J. Markey (D., Mass), Chair of
  519. the House Committee on Energy and Commerce's Subcommittee on
  520. Telecommunications and Finance, read the Post article and was
  521. sufficiently concerned to write Lloyd Bentsen, Secretary of the
  522. Treasury, demanding to know why AIS made certain types of files
  523. available. Rep. Markey linked the AIS BBS files with other security
  524. issues that the GAO found--even though the other alleged problems were
  525. unrelated to the board.  The impetus for the article, according to
  526. Markey staffer Jeff Duncan, was the Washington Post depiction of
  527. events, and the letter builds on the Post's narrative to substantiate
  528. its own concerns. The letter assumes "guilt" without looking beyond
  529. the media depiction. Sadly, it does not reflect well on the knowledge
  530. of Rep. Markey or his staffers either about the technology or the
  531. broader issues of freedom of information.  We reprint below the
  532. relevant two pages of the
  533. four page letter)).
  534.  
  535. +++++
  536.  
  537.                     U.S. House of Representatives
  538.                    Committee on Energy and Commerce
  539.             SUBCOMMITTEE ON TELECOMMUNICATIONS AND FINANCE
  540.                       Washington, DC 20515-6119
  541.                              July 6, 1993
  542.  
  543. The Honorable Lloyd Bentsen
  544. Secretary
  545. Department of the Treasury
  546. 1300 Pennsylvania Ave., N.W.
  547. Washington, D.C. 20220
  548.  
  549. Dear Mr.Secretary:
  550.  
  551. I am writing with regard to recent reports about a computer
  552. bulletin board service run under the auspices of the Department's
  553. Bureau of Public Debt in Parkersburg, W.V. The Washington Post
  554. reported on June 19, 1993, that the now-terminated service made
  555. publicly available information about computer viruses and other
  556. "hacker" information that could potentially inflict damage on
  557. computer systems and data.
  558.  
  559. On June 9, 1993, the Subcommittee held a hearing on data and
  560. network security. Testimony received by the Subcommittee at that
  561. time revealed that the computer hacking and telecommunications
  562. toll fraud problem in the United States is increasing. In
  563. addition, the average computer site will spend more than
  564. $176,000 on computer virus clean-up and the cost of virus damage
  565. to all U.S. computer users has been over a Billion dollars over
  566. the last three years.
  567.  
  568. While it is true that many such virus programs as well as
  569. hacker and "phone phreak" information is available on other
  570. bulletin board systems, I am troubled that the Treasury
  571. Department would play a role in disseminating such information
  572. publicly, especially in light of the fact that viruses and
  573. toll fraud together are estimated to inflict $4 to $6 Billion in
  574. economic loss annually to U.S. consumers and industry. Such
  575. dissemination goes well beyond any precautionary security measure the
  576. Department might take in testing the integrity of its computer
  577. systems.
  578.  
  579. Moreover, in a recent report to Congress, the General Accounting
  580. Office (GAO) raised concerns that the Department's Treasury
  581. Automated Auction Processing System (TAAPS) had "skipped certain
  582. system development steps necessary to ensure that the risks
  583. associated with building and operating a system are adequately
  584. controlled" and may not achieve anticipated benefits such as
  585. reducing auction processing time.  Specifically, the GAO
  586.  
  587. The Honorable Lloyd Bentsen
  588. July 6, 1993
  589. Page 2
  590.  
  591. raised concerns about the fact that neither the Department nor
  592. the Federal Reserve Bank of New York (FRBNY) -- which serves as
  593. Treasury's agent in conducting the auctions -- had performed risk
  594. analysis, documented detailed functional requirements, or tested
  595. the TAAPS system thoroughly. In addition, GAO questioned whether
  596. the system would reduce the time it takes Treasury to process
  597. auctions and announce winners.
  598.  
  599. Treasury's willingness to disseminate data regarding computer
  600. viruses and other hacker information is particularly troubling in
  601. light of its failure to perform a full risk analysis of its
  602. automated auction system. Any catastrophic failure of this
  603. system, or branch of its security by computer hackers or viruses,
  604. could have a serious adverse effect on the orderly functioning
  605. of the secondary market for Treasury securities.
  606.  
  607. As the country embarks on plans to upgrade the national
  608. telecommunications infrastructure over the next few years, data
  609. and network security issues will increasingly need to be
  610. addressed. To assist the subcommittee in its ongoing analysis of
  611. these issues and its ongoing oversight and legislative
  612. activities, please respond to the following questions by July 27,
  613. 1993:
  614.  
  615. 1. Why was the Department's Automated Information System bulletin
  616. board, where the virus codes were resident, advertised as "open
  617. to the public" and the telephone number for the board made publicly
  618. available through a listing in the Computer Underground Digest?
  619. What was the rationale behind making such potentially harmful
  620. information generally available?
  621.  
  622. 2. Why were "dissected" viruses, which may be easily altered to
  623. produce variations capable of eluding current virus detection
  624. tools, also made publicly available?
  625.  
  626. 3. Why were steps not taken to limit access to the bulletin board
  627. services? For instance, why were steps not taken to limit or
  628. effectively prohibit the ability of individuals to download
  629. information off the bulletin board? Were passwords needed to
  630. access data? If not, why not?
  631.  
  632. 4. GAO reports that neither the Department nor the FRBNY
  633. performed a risk assessment of TAAPS because "they believed the
  634. Federal Reserve telecommunication and computer system selected
  635. for the system is already safe and secure." GAO further reports that
  636. shortly before issuance of its report, the FRBNY provided the GAO with a
  637. "risk assessment" which "did not contain many of the key elements of a
  638. risk assessment such as valuation of
  639.  
  640. The Honorable Lloyd Bentsen
  641. July 6, 1993
  642. Page 3
  643.  
  644. assets, probability of risk occurrance, and annualized loss
  645. expectancy." In addition, the report "did not describe how risks would
  646. be adequately controlled." Please provide responses to the following
  647. questions:
  648.  
  649. <Eight questions on pages 3 and 4 of letter related to TAAPS deleted>
  650.  
  651. Thank you in advance for our time and attention in responding to this
  652. request. If you have any questions, please have
  653. your staff contact Jeff Duncan or Colin Crowell of the
  654. Subcommittee staff at 226-2424.
  655.  
  656.                                  Sincerely,
  657.  
  658.  
  659.                                  Edward J. Markey
  660.                                  Chairman
  661.  
  662. ------------------------------
  663.  
  664. Date: Thu, 21 July 1993 22:51:01 EDT
  665. From: Jim Thomas <tk0jut2@mvs.cso.niu.edu>
  666. Subject: File 6--Response to Rep. Markey's Letter
  667.  
  668. 18 July, 1993
  669.  
  670.  
  671. Representative Edward J. Markey
  672. Chair, Subcommittee on Telecommunications and Finance
  673. Committee on Energy and Commerce
  674. U.S. House of Representatives
  675. 2133 Rayburn Building
  676. Washington, DC 10515-2107
  677.  
  678. Dear Representative Markey:
  679.  
  680. I am writing in response to your letter of 6 July, 1993 to
  681. Secretary of Treasury Lloyd Bentsen. In that letter, you
  682. expressed concerns about available files on the AIS BBS, a
  683. computer bulletin board run by the Department of Treasury's
  684. Bureau of Public Debt.  I am informed by Jeff Duncan, a staff
  685. contact for questions regarding your letter, that the primary,
  686. indeed the only, basis for your letter was an article authored
  687. by Joel Garreau that appeared in the Washington Post on June 19,
  688. 1993.  As we wrote in a recent issue of Cu Digest, the Post
  689. article suffered from hyperbole and misinformation. It also
  690. raised serious issues of journalistic ethics (See CuD 5.51).
  691. Because Computer underground Digest (or CuD, of which I am
  692. co-editor) is named in both the Post article and in your letter,
  693. I feel compelled clarify several issues.
  694.  
  695. You pose several questions in your letter. The first, in which
  696. you mentioned Cu Digest, states:
  697.  
  698.      1. Why was the Department's Automated Information System
  699.      bulletin board, where the virus codes were resident,
  700.      advertised as "open to the public" and the telephone
  701.      number for the board made publicly available through a
  702.      listing in the Computer Underground <sic> Digest?  What was
  703.      the rationale behind making such potentially harmful
  704.      information generally available?
  705.  
  706. As I am sure you are aware, there are many government BBSes open
  707. to the public that provide access to files.  I myself have used
  708. several that have been invaluable in my work as a criminal
  709. justice professional.  The available resources, in the form of
  710. software programs, text files, press releases, and a broad menu
  711. of other services, vary.  The available information on other
  712. public government boards, which some might argue could help drug
  713. dealers, fraud perpetrators, and others, is by some standards as
  714. "sensitive" as the information to which you allude on the AIS
  715. BBS.  However, if one applies the same standards to these boards
  716. as you would apply to the AIS BBS, questions of propriety of the
  717. accessible information could be raised of all of them.
  718.  
  719. There is nothing unusual about an open and public BBS being run
  720. by the government. What strikes me as unusual is to single out
  721. one particular BBS and demand a justification for a common
  722. practice.  It should also be noted that at the time we wrote our
  723. story on the AIS BBS (20 August, 1992, CuD #4.37/File 4), we
  724. were impressed with the professionalism and competence by which
  725. the board was run. At the time of our calls, users were required
  726. to sign on, were not given immediate access (as they are to some
  727. government boards, such as the Bureau of Justice Statistics'
  728. BBS), and--contrary to some media reports--real names, not
  729. "handles," were required.
  730.  
  731. Both the Post article and your letter indicate that AIS BBS
  732. personnel "advertised" the board in CuD, and your letter demands
  733. an explanation.  However, contrary to the report in the
  734. Washington Post and the wording of your letter, AIS BBS
  735. personnel did not make the number available to CuD. Nor did AIS
  736. BBS personnel solicit publicity or advertise that the board was
  737. public.  I came across the BBS through my professional
  738. activities.  Ironically, my initial interest in AIS BBS occurred
  739. because of rumors that it was a U.S. Secret Service "sting"
  740. operation created to identify and apprehend callers.  After
  741. calling the board, I found it potentially helpful in my own
  742. sphere of academia, which includes computer
  743. crime/security/culture, and I requested more information from
  744. AIS BBS personnel. They agreed to a short interview. Had they
  745. not agreed, we still would have run a story.  In fact, had your
  746. staff engaged in minimal research, the answers to the bulk of
  747. the AIS-related questions you pose were published in CuD
  748. #4.37/File 4.
  749.  
  750. It strikes me as odd that you would demand an accounting from a
  751. government official explaining the motivation and content of a
  752. media story that AIS BBS personnel did not initiate and over
  753. which they had no control.  This poses a chilling effect to free
  754. speech by intimidating the legitimate flow of information and by
  755. implicitly self-censoring journalists and others lest even an
  756. innocent story have repercussions for the subordinates of
  757. government officials who may not like what is written.  An
  758. example of this "chilling effect" in fact occurred with AIS BBS.
  759. The apparent fear of repercussions for carrying so-called
  760. "underground" electronic publications and other files, most of
  761. which were of no value for criminal activity, but of
  762. considerable value to computer professionals and scholars, were
  763. removed.  Cu Digest, classified as an "underground" publication
  764. (presumably because of the name), was among them. When removal
  765. of legitimate publications occurs because because of subtle
  766. intimidation, valuable sources of information are lost through
  767. informal (albeit "voluntary") censorship.  Both the tone and
  768. content of your letter contribute to this form of censorship.
  769. The stigma attached to certain types of electronic messages,
  770. created by an apparent lack of understanding of their content,
  771. spills over into other forums and shapes policies, public
  772. images, and law in ways that subvert freedom of speech in
  773. electronic media.
  774.  
  775. Your letter also expresses concern for some of the files,
  776. including virus source code, found on the AIS BBS. There is
  777. considerable room for honest disagreement over the
  778. "dangerousness" of such files.  I tend to find the concern
  779. grossly exaggerated.  Yes, it is always possible for isolated
  780. individuals to abuse information. However, if we are to stifle
  781. the flow of information because of the excesses of the
  782. occasional predator, then we ought also be concerned about
  783. government-funded public libraries, computer science and other
  784. courses in public institutions, and other sources of information
  785. that might be twisted for the perverse ends of a rare
  786. malcontent. There is considerable evidence that users of AIS BBS
  787. found the available files to be significant in enhancing
  788. computer security and performing other computer-related
  789. functions.  To assume that useful information in so-called
  790. "underground" files ought be restricted because some may find
  791. that information objectionable seems a dangerous precedent that
  792. restricts freedom of speech and information flow in electronic
  793. media. The intimidation created by the accusatory nature of your
  794. letter suppresses both information and public dialogue of what
  795. is or is not appropriate by imposing an arbitrary litmus test of
  796. "correctness."
  797.  
  798. In sum, I am concerned about several issues raised by your
  799. letter.  First, your staff's understanding of AIS BBS and its
  800. files seems partial.  Basing an accusatory letter of inquiry on
  801. an unchecked media source and linking disparate security issues
  802. in the letter raises serious concerns about the credibility of
  803. your staff's competency in matters of computer security and
  804. technology.  Your staff apparently did not do its homework.
  805.  
  806. Second, your letter seems to close off debate about the role of
  807. the government in information dissemination, rather than invite
  808. rigorous discussion of the issues.  It assumes impropriety
  809. rather than invite discussion about the role of government BBSes
  810. and the nature of information that ought be made available to
  811. the public.
  812.  
  813. Finally, your letter suggests that you extend to electronic
  814. media a lower threshold of protection of information
  815. dissemination than hardprint media, such as can be found in
  816. libraries or government documents.  Am I incorrect in inferring
  817. from your letter that you do not extend to "cyberspace" the same
  818. First Amendment and other protections granted print media?
  819.  
  820. As a taxpayer and as a criminal justice professional, I am
  821. disturbed by the implications of your letter, and especially by
  822. its failure to recognize the technological and social issues it
  823. raises.  In my opinion, by isolating and attacking AIS BBS for
  824. carrying electronic versions of hardprint information available
  825. through other government sources, you seem to be discriminating
  826. against electronic media in general and AIS BBS in particular in
  827. a way that potentially limits Constitutional rights in what is
  828. known as "cyberspace." The underlying concerns you raise in your
  829. letter are legitimate, but the implications of the manner in
  830. which you raise them and the assumptions you appear to make may
  831. have the unanticipated consequence of contributing to dangerous
  832. precedents in the relationship between government control and
  833. freedom of information.
  834.  
  835.  
  836. Sincerely,
  837.  
  838.  
  839. Jim Thomas, Professor
  840. Sociology/Criminal Justice
  841. Co-editor, Cu Digest
  842. Northern Illinois University
  843. DeKalb, IL 60115
  844. Voice: (815) 756-3839  /  Fax: (815) 753-6302
  845. Internet: tk0jut1@mvs.cso.niu.edu / jthomas@well.sf.ca.us
  846.  
  847. ------------------------------
  848.  
  849. End of Computer Underground Digest #5.57
  850. ************************************
  851.  
  852.  
  853. 
  854. Downloaded From P-80 International Information Systems 304-744-2253
  855.