<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html; charset=UTF-8" http-equiv="Content-Type">
  <title></title>
</head>
<body text="#000000" bgcolor="#ffffff">
Hi all,<br>
<br>
I scanned over that article.  It's both interesting and frightening.  I
found the summary section, quoted below, to be most interesting.<br>
<br>
&lt;quote on&gt;<br>
<br>
The moral is obvious. You can't trust code that you did not totally
create yourself. (Especially code from companies that employ people
like me.) No amount of source-level verification or scrutiny will
protect
you from using untrusted code. In demonstrating the possibility of this
kind of attack, I picked on the C compiler. I could have picked on any
program-handling program such as an assembler, a loader, or even
hardware microcode. As the level of program gets lower, these bugs will
be
harder and harder to detect. A well installed microcode bug will be
almost
impossible to detect.
<p>After trying to convince you that I cannot be trusted, I wish to
moralize. I would like to criticize the press in its handling of the
"hackers,"
the 414 gang, the Dalton gang, etc. The acts performed by these kids
are
vandalism at best and probably trespass and theft at worst. It is only
the
inadequacy of the criminal code that saves the hackers from very
serious
prosecution. The companies that are vulnerable to this activity (and
most
large companies are very vulnerable) are pressing hard to update the
criminal code. Unauthorized access to computer systems is already a
serious crime in a few states and is currently being addressed in many
more
state legislatures as well as Congress.
</p>
<p>There is an explosive situation brewing. On the one hand, the press,
television, and movies make heroes of vandals by calling them whiz
kids.
On the other hand, the acts performed by these kids will soon be
punishable by years in prison.
</p>
<p>I have watched kids testifying before Congress. It is clear that
they
are completely unaware of the seriousness of their acts. There is
obviously a cultural gap. The act of breaking into a computer system
has to
have the same social stigma as breaking into a neighbor's house. It
should not matter that the neighbor's door is unlocked. The press must
learn that misguided use of a computer is no more amazing than drunk
driving of an automobile.
</p>
&lt;/quote off&gt;<br>
<br>
Remembering what we learned in kindergarten, or preferably before
kindergarten, would help: you don't violate another person's body,
space, property, rights; because it's wrong, because you hurt the other
party in some way, and / or cost them money, or just scare them.  You
don't violate their computer or their car either, whether or not you
can.  If you do violate those things, you're subject to get punished. 
We, as a culture, have to resume teaching our children basic values of
right and wrong and hold them to those standards before they get to the
criminal level.  I especially like the last paragraph of the quote.<br>
<br>
I listened to the audio book of Kevin Mitnick's Ghost In The Wires.  It
was a truly scary tale of what a malicious cracker can do.  It was
fascinating from a technological point of view.  It was scary from a
social point of view.  While he's since turned over a new leaf and is
apparently a white hat, perhaps as long as he gets paid to be, he did
much harm on the way from being a black hat to becoming a white hat. 
Some may mention that he restrained himself and didn't, for example,
steal millions of credit card numbers, even when he could.  That's all
well and good, but he still hurt people, and companies; and that's
wrong.  This activity is not the type of thing that should be
glamorized or idolized.  It should be condemned.<br>
<br>
And yes, the companies that are vulnerable to attack SHOULD do security
audits and tighten up their defenses.<br>
<br>
Ron<br>
<br>
<br>
On 9/7/2013 10:26 AM, Boris Borisov wrote:
<blockquote
 cite="mid:CABo2fvBjdb+qrv4vVMSwnO_OaZLSdiqrYRA==-xH72wPJwc48g@mail.gmail.com"
 type="cite">
  <div dir="ltr">
  <div><a moz-do-not-send="true"
 href="http://cm.bell-labs.com/who/ken/trust.html" target="_blank">http://cm.bell-labs.com/who/ken/trust.html</a><br>
  <br>
  </div>
This story really makes your head spinning ...<br>
  </div>
  <div class="gmail_extra"><br>
  <br>
  <div class="gmail_quote">On Fri, Sep 6, 2013 at 5:17 PM, Jim Kinney <span
 dir="ltr">&lt;<a moz-do-not-send="true"
 href="mailto:jim.kinney@gmail.com" target="_blank">jim.kinney@gmail.com</a>&gt;</span>
wrote:<br>
  <blockquote class="gmail_quote"
 style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
    <p dir="ltr">I think the Intel compiler will make the kernel but
it's closed source.<br>
It's not in RedHat's best interest to ship a trojaned compiler but I
don't know who does 3rd party checks of their binary. This underscores
the need to not use binary blobs in kernel code.</p>
    <div class="gmail_quote">
    <div>
    <div class="h5">On Sep 6, 2013 3:33 PM, "Michael B. Trausch" &lt;<a
 moz-do-not-send="true" href="mailto:mbt@naunetcorp.com" target="_blank">mbt@naunetcorp.com</a>&gt;
wrote:<br type="attribution">
    </div>
    </div>
    <blockquote class="gmail_quote"
 style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
      <div>
      <div class="h5">
      <div bgcolor="#FFFFFF" text="#000000">
      <div>On 09/06/2013 12:25 PM, Jim Kinney wrote:<br>
      </div>
      <blockquote type="cite">NSA started the selinux process but does
not participate any more.</blockquote>
      <br>
I'd make a crack about checking out the compiler, but we have more than
one.... no, wait, wait, just one compiler that can compile Linux. 
Hrm...<br>
      <br>
      <a moz-do-not-send="true"
 href="http://cm.bell-labs.com/who/ken/trust.html" target="_blank">http://cm.bell-labs.com/who/ken/trust.html</a><br>
      <br>
    — Mike<br>
      <br>
      <div>-- <br>
      <table border="0">
        <tbody>
          <tr>
            <td> <img
 src="cid:part1.08090804.02090800@techstarship.com"
 alt="Naunet Corporation Logo"> </td>
            <td> Michael B. Trausch<br>
            <br>
President, <strong>Naunet Corporation</strong><br>
☎ <a moz-do-not-send="true" href="tel:%28678%29%20287-0693%20x130"
 value="+16782870693" target="_blank">(678) 287-0693 x130</a> or <a
 moz-do-not-send="true" href="tel:%28888%29%20494-5810%20x130"
 value="+18884945810" target="_blank">(888) 494-5810 x130</a><br>
FAX: <a moz-do-not-send="true" href="tel:%28678%29%20783-7843"
 value="+16787837843" target="_blank">(678) 783-7843</a><br>
            </td>
          </tr>
        </tbody>
      </table>
      </div>
      </div>
      <br>
      </div>
      </div>
      <br>
    </blockquote>
    </div>
  </blockquote>
  </div>
  </div>
</blockquote>
<br>
<br>
<pre class="moz-signature" cols="72">-- 

(PS - If you email me and don't get a quick response, you might want to
call on the phone.  I get about 300 emails per day from alternate energy
mailing lists and such.  I don't always see new email messages very quickly.)

Ron Frazier
770-205-9422 (O)   Leave a message.
linuxdude AT techstarship.com
Litecoin: LZzAJu9rZEWzALxDhAHnWLRvybVAVgwTh3
Bitcoin: 15s3aLVsxm8EuQvT8gUDw3RWqvuY9hPGUU
</pre>
</body>
</html>