home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 1 / HACKER1.ISO / cud2 / cud207f.txt < prev    next >
Text File  |  1992-09-26  |  16KB  |  280 lines

  1. ------------------------------
  2.  
  3. Date: Thu, 11 Oct 90 22:04:28 CDT
  4. From: "Craig M. Neidorf" <C483307@UMCVMB.BITNET>
  5. Subject: 13th Annual National Computer Security Conference (Part 2)
  6.  
  7. ********************************************************************
  8. ***  CuD #2.07: File 6 of 8: NCSC Conference (part 2)            ***
  9. ********************************************************************
  10.  
  11. 13th Annual National Computer Security Conference
  12. October 1-4, 1990
  13. Omni Shoreham Hotel
  14. Washington, D.C.
  15. A "Knight Lightning" Perspective
  16. by Craig M. Neidorf
  17.  
  18. Dr. Dorothy Denning first hinted at inviting me to take part on her panel
  19. "Hackers:  Who Are They?" in May 1990 when we first came into contact while
  20. preparing for my trial.  At the time I did not feel that it was a very good
  21. idea since no one knew what would happen to me over the next few months.  At
  22. the conclusion of my trial I agreed to participate and surprisingly, my
  23. attorney, Sheldon Zenner (of Katten, Muchin, & Zavis), accepted an invitation
  24. to speak as well.
  25.  
  26. A few weeks later there was some dissension to the idea of having me appear at
  27. the conference from some professionals in the field of computer security.  They
  28. felt that my presence at such a conference undermined what they stood for and
  29. would be observed by computer "hackers" as a reward of sorts for my notoriety
  30. in the hacker community.  Fortunately Dr. Denning stuck to her personal values
  31. and did not exclude me from speaking.
  32.  
  33. Unlike Gordon Meyer, I was unable to attend Dr. Denning's presentation
  34. "Concerning Hackers Who Break Into Computer Systems" and the ethics sessions,
  35. although I was informed upon my arrival of the intense interest from the
  36. conference participants and the reactions to my now very well known article
  37. announcing the "Phoenix Project."
  38.  
  39. Not wishing to miss any more class than absolutely necessary, I arrived in
  40. Washington D.C. late in the day on Wednesday, October 4th.  By some bizarre
  41. coincidence I ended up on the same flight with Sheldon Zenner.
  42.  
  43. I had attended similar conventions before such as the Zeta Beta Tau National
  44. Convention in Baltimore the previous year, but there was something different
  45. about this one.  I suppose considering what I have been through it was only
  46. natural for me to be a little uneasy when surrounded by computer security
  47. professionals, but oddly enough this feeling soon passed as I began to
  48. encounter friends both old and new.
  49.  
  50. Zenner and I met up with Dorothy and Peter Denning and soon after I met Terry
  51. Gross, an attorney hired by the Electronic Frontier Foundation who had helped
  52. with my case in reference to the First Amendment issues.  Emmanuel Goldstein,
  53. editor of 2600 Magazine and probably the chief person responsible for spreading
  54. the news and concern about my indictment last Spring, and Frank Drake, editor
  55. of W.O.R.M. showed up.  I had met Drake once before.  Finally I ran into Gordon
  56. Meyer.
  57.  
  58. So for a while we all exchanged stories about different events surrounding our
  59. lives and how things had changed over the years only to be interrupted once by
  60. a odd gentleman from Germany who inquired if we were members of the Chaos
  61. Computer Club.  At the banquet that evening, I was introduced to Peter Neumann
  62. (who among many other things is the moderator of the Internet Digest known as
  63. "RISKS") and Marc Rotenberg (Computer Professionals for Social Responsibility).
  64.  
  65. Because of the great interest in the ethics sessions and comments I had heard
  66. from people who had attended, I felt a strange irony come into play.  I've
  67. hosted and attended numerous "hacker" conventions over the years, the most
  68. notable being "SummerCon".  At these conventions one of the main time consuming
  69. activities has always been to play detective and attempt to solve the mystery
  70. of which one of the guests or other people at the hotel were there to spy on us
  71. (whether they were government agents or some other form of security personnel).
  72.  
  73. So where at SummerCon the youthful hackers were all racing around looking for
  74. the "feds," at the NCSC I wondered if the security professionals were reacting
  75. in an inverse capacity... Who Are The Hackers?  Despite this attitude or maybe
  76. because of it, I and the other panelists, wore our nametags proudly with a
  77. feeling of excitement surrounding us.
  78.  
  79. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
  80.  
  81. October 4, 1990
  82.  
  83. Dorothy Denning had gathered the speakers for an early morning brunch and I
  84. finally got a chance to meet Katie Hafner in person.  The panelists discussed
  85. some possibilities of discussion questions to start off the presentation and
  86. before I knew it, it was time to meet the public.
  87.  
  88. As we gathered in the front of the conference room, I was dismayed to find that
  89. the people in charge of the setting up the nameboards (that would sit in front
  90. of each panelist) had attended the Cook school of spelling and labeled me as
  91. "Neirdorf."  Zenner thought this was hysterical.  Luckily they were able to
  92. correct the error before we began.
  93.  
  94.                             Hackers:  Who Are They?
  95.  
  96. Dr. Denning started the presentation by briefly introducing each panelist and
  97. asking them a couple of questions.
  98.  
  99. Katie Hafner disputed the notion that her work has caused a glorification
  100. of hacking because of the severe hardships the people she interviewed had to
  101. endure.  I found myself sympathizing with her as I knew what it was like to
  102. be in their positions.  Many people commented later that her defense of Mitnick
  103. seemed a little insincere as he had indeed committed some serious acts.  Not
  104. knowing all of the details surrounding Mitnick's case and not relying on the
  105. general newsmedia as a basis for opinion I withheld any sort of judgment.
  106.  
  107. Emmanuel Goldstein and Frank Drake appeared to take on the mantle of being the
  108. spokespersons for the hackers, although I'm unsure if they would agree with
  109. this characterization.  Drake's main point of view dealt with the idea that
  110. young hackers seek to be able to use resources that they are otherwise excluded
  111. from.  He claimed to once have been a system intruder, but now that he is in
  112. college and has ample computing resources available to him, he no longer sees a
  113. need to "hack."
  114.  
  115. Goldstein on the other hand sought to justify hacking as being beneficial to
  116. society because the hackers are finding security holes and alerting security to
  117. fix these problems before something catastrophic occurs.
  118.  
  119. Gordon Meyer tried to explain the hacker mind-set and how the average hackers
  120. does not see using corporate resources as having a real financial burden to
  121. today's companies.  Some people misunderstood his remarks to be speaking from a
  122. factual position and took offense, stating that the costs are great indeed.
  123. He also explained the differences between Phrack and the Computer Underground
  124. Digest.  Most notable is that CuD does not print tutorials about computer
  125. systems.
  126.  
  127. Sheldon Zenner focused on the freedom of the speech and press issues.  He also
  128. spoke about technical details of the U.S. v. Neidorf case and the court rulings
  129. that resulted from it.  One major point of interest was his quite reasonable
  130. belief that the courts will soon be holding companies financially liable for
  131. damages that may occur because of illegal intrusion into their systems.  This
  132. was not to suggest that a criminal defense strategy could be that a company did
  133. not do enough to keep an intruder out, but instead that the company could be
  134. held civilly liable by outside parties.
  135.  
  136. Zenner and Denning alike discussed the nature of Phrack's articles.  They found
  137. that the articles appearing in Phrack contained the same types of material
  138. found publicly in other computer and security magazines, but with one
  139. significant difference.  The tone of the articles.  An article named "How to
  140. Hack Unix" in Phrack usually contained very similar information to an article
  141. you might see in Communications of the ACM only to be named "Securing Unix
  142. Systems."  But the differences were more extreme than just the titles.  Some
  143. articles in Phrack seemed to suggest exploiting security holes while the
  144. Communications of the ACM concentrated more on fixing the problem.  The
  145. information in both articles would be comparable, but the audiences reading and
  146. writing these articles were often very different.
  147.  
  148. I explained the concept and operation of Phrack and wandered into a discussion
  149. about lack of privacy concerning electronic mail on the Internet from
  150. government officials, system managers, and possibly even by hackers.  I went on
  151. to remark that the security professionals were missing the point and the
  152. problem.  The college and high-school students while perhaps doing some
  153. exploration and causing some slight disturbances are not the place to be
  154. focusing their efforts.  The real danger comes from career criminals and
  155. company insiders who know the systems very well from being a part of it.  These
  156. people are the source of computer crime in this country and are the ones who
  157. need to be dealt with.  Catching a teenage hacker may be an easier task, but
  158. ultimately will change nothing.  To this point I agreed that a hacker gaining
  159. entry and exposing holes on computer systems may be a service to some degree,
  160. but unlike Goldstein, I could not maintain that such activity should bring
  161. prosecutorial immunity to the hacker. This is a matter of discretion for
  162. security personnel and prosecutors to take into consideration.  I hope they do.
  163.  
  164. To a large degree I was rather silent on stage.  Perhaps because I was cut off
  165. more than once or maybe even a little stagefright, but largely because many of
  166. the questions posed by the audience were wrong on their face for me to answer.
  167. I was not going to stand and defend hacking for its own sake nor was I there to
  168. explain the activities of every hacker in existence.
  169.  
  170. So I let Goldstein and Drake handle questions geared to be answered by a system
  171. intruder and I primarily only spoke out concerning the First Amendment and
  172. Phrack distribution.  In one instance a man upset both by Drake's comments
  173. about how the hackers just want to use resources they can't get elsewhere and
  174. by Goldstein's presentation of the Operation Sun-Devil raids and the attack on
  175. "Zod" in New York spoke up and accused us of being viciously one sided.
  176.  
  177. He said that none of us (and he singled me out specifically) look to be age 14
  178. (he said he could believe I was 18) and that "our" statement that its ok for
  179. hackers to gain access to systems simply because they lacked the resources
  180. elsewhere meant it was ok for kids to steal money to buy drugs.
  181.  
  182. I responded by asking him if he was suggesting that if these "kids" were rich
  183. and did not steal the money, it would be ok to purchase drugs?  I was sure that
  184. it was just a bad analogy so I changed the topic afterwards.  He was right to a
  185. certain extent, all of the hackers are not age 14 or even in highschool or
  186. college, but is this really all that important of a distinction?
  187.  
  188. The activities of the Secret Service agents and other law enforcement officials
  189. in Operation Sun-Devil and other investigations have been overwhelming and very
  190. careless.  True this is just their standard way of doing business and they may
  191. not have even singled out the hackers as a group to focus excess zeal, but
  192. recognizing that the hackers are in a worst case scenario "white-collar
  193. offenders," shouldn't they alter their technique?  Something that might be
  194. important to make clear is that in truth my indictment and the indictments on
  195. members of the Legion of Doom in Atlanta had absolutely nothing to do with
  196. Operation Sun-Devil despite the general media creation.
  197.  
  198. Another interesting point that was brought out at the convention was that there
  199. was so much activity and the Secret Service kept so busy in the state of
  200. Arizona (possibly by some state official) concerning the hacker "problem" that
  201. perhaps this is the reason the government did not catch on to the great Savings
  202. & Loan multi-Billion dollar loss.
  203.  
  204. One gentleman spoke about his son being in a hospital where all his treatments
  205. were being run by computer.  He added that a system intruder might quite by
  206. accident disrupt the system inadvertently endangering his son's life.  Isn't
  207. this bad?  Obviously yes it is bad, but what was worse is that a critical
  208. hospital computer system would be hooked up to a phoneline anyway.  The main
  209. reason for treatment in a hospital is so that the doctors are *there* to
  210. monitor and assist patients.  Could you imagine a doctor dialing in from home
  211. with a modem to make his rounds?
  212.  
  213. There was some discussion about an editor's responsibility to inform
  214. corporations if a hacker were to drop off material that he/she had breached
  215. their security.  I was not entirely in opposition to the idea, but the way I
  216. would propose to do it was probably in the pages of a news article.  This may
  217. seem a little roundabout, but when you stop and consider all of the private
  218. security consultants out there, they do not run around providing information to
  219. corporations for free.  They charge enormous fees for their services.  There
  220. are some organizations that do perform services for free (CERT comes to mind),
  221. but that is the reason they were established and they receive funding from the
  222. government which allows them to be more generous.
  223.  
  224. It is my belief that if a hacker were to give me some tips about security holes
  225. and I in turn reported this information to a potential victim corporation, the
  226. corporation would be more concerned with how and from whom I got the
  227. information than with fixing the problem.
  228.  
  229. One of the government's expert witnesses from U.S. v. Neidorf attended this
  230. session and he prodded Zenner and I with questions about the First Amendment
  231. that were not made clear from the trial.  Zenner did an excellent job of
  232. clarifying the issues and presenting the truth where this Bellcore employee
  233. sought to show us in a poor light.
  234.  
  235. During the commentary on the First Amendment, Hafner, Zenner, and I discussed a
  236. July 22, 1988 article containing a Pacific Bell telephone document copied by a
  237. hacker and sent to John Markoff that appeared on the front page of the New York
  238. Times.  A member of the audience said that this was ok, but the Phrack article
  239. containing the E911 material was not because Phrack was only sent to hackers.
  240. Zenner went on to explain that this was far from true since private security,
  241. government employees, legal scholars, reporters, and telecom security personnel
  242. all received Phrack without discrimination.  There really is a lot that both
  243. the hackers and security professionals have to learn about each other.
  244.  
  245. It began to get late and we were forced to end our session.  I guess what
  246. surprised me the most were all of the people that stayed behind to speak with
  247. us.  There were representatives from NASA, U.S. Sprint, Ford Aerospace, the
  248. Department of Defense, a United States Army Lt. Colonel who all thanked us
  249. for coming to speak.  It was a truly unique experience in that a year ago I
  250. would have presumed these people to be fighting against me and now it seems
  251. that they are reasonable, decent people, with an interest in trying to learn
  252. and help end the problems.  I also met Mrs. Gail Meyer for the first time in
  253. person as well.
  254.  
  255. I was swamped with people asking me how they could get Phrack and for the most
  256. part I referred them to Gordon Meyer and CuD (and the CuD ftp).  Just before we
  257. went to lunch I met Donn Parker and Art Brodsky, an editor from Communications
  258. Daily.  So many interesting people to speak with and so little time.  I spent a
  259. couple hours at the National Gallery of Art with Emmanuel Goldstein, flew back
  260. to St. Louis, and returned to school.
  261.  
  262. It was definitely an enLightening experience.
  263.  
  264. ++++++++++++++++++++++++++++++
  265.  
  266. A very special thank you goes to Dorothy Denning, a dear friend who made it
  267. possible for me to attend the conference.
  268.  
  269. :Craig M. Neidorf a/k/a Knight Lightning
  270.  
  271.  C483307 @ UMCVMB.MISSOURI.EDU
  272.  C483307 @ UMCVMB.BITNET
  273.  
  274. ********************************************************************
  275.                            >> END OF THIS FILE <<
  276. ***************************************************************************
  277.  
  278.  
  279. Downloaded From P-80 International Information Systems 304-744-2253 12yrs+
  280.