Hvordan en fejde på et teleskopforum endte med fængselsstraf

Da FBI dukkede op ved David Goodyears dørtrin i august 2016, begyndte de at spørge ham om teleskoper. Den 42-årige it-specialist og ivrige stjernekigger havde frekventeret et astronomiforum kaldet Cloudy Nights. Nu havde nogen taget forummet offline med et denial-of-service-angreb, og beviserne pegede på Goodyear.

Goodyear svor først på sin uskyld, men efter stadig mere spidse afhøringer tilstod han. En af hans konti var blevet bannet for et par uger siden, sagde han. I et pludseligt raseri havde han spammet webstedet med pornografi og derefter lagt dets adresse ud på et websted kaldet HackForums.net og bedt om at få nogen til at angribe det. “Jeg var bare sådan, hvad fanden er jeg blevet banned for? Jeg var bare pissed,” fortalte han sine besøgende – en fra Federal Bureau of Investigation og en anden fra Los Angeles Police Department. “Jeg gik bare op i, bare i øjeblikkets hede.”

Hans besøgende virkede mildt morede af forumdramaet, og han sludrede med dem om sin teleskopsamling på 100.000 dollars, inden de gik. Men et år senere blev Goodyear arresteret. I december 2018 blev han idømt mere end to års fængsel for overtrædelse af Computer Fraud and Abuse Act.

Det er en straf, som selv Goodyears ofre ikke ønsker, at han skal afsone. Et enkelt forumindlæg var nok til at lede et midlertidigt ødelæggende angreb på en lille virksomhed, mens føderale love om computerkriminalitet betød, at det samme indlæg nu kunne få livsforandrende konsekvenser.

Distributed denial of service (eller DDoS-angreb) er et af de enkleste cyberangreb: De oversvømmer et websted med enorme mængder trafik, indtil det ikke længere kan betjene sider til rigtige brugere. I stor skala kan disse angreb være utroligt forstyrrende. Mirai DDoS-angrebet fra 2016 lukkede store dele af internettet ned og kaprede usikre smarte enheder for at skabe en hær af robotter. Selv i mindre målestok kan de forårsage reel skade – som Goodyears anmodning gjorde mod ejerne af Cloudy Nights-forummet.

Cloudy Nights drives af Astronomics, en Oklahoma-baseret virksomhed, der sælger teleskoper og andet astronomiudstyr. Vicepræsident Michael Bieler anslår, at forummet har omkring 115.000 registrerede brugere, som udveksler råd, rumfotos og meninger om teleskoper. Bieler beskriver Cloudy Night som generelt “en dejlig fredelig kant af internettet”, hvor moderatorerne har uddelt færre end et dusin livstidsforbud i løbet af de 15 år, hvor forummet har eksisteret. Politik er forbudt, undtagen på et forum til diskussion af love om lysforurening.

Den 13. august postede en person ved navn HawaiiAPUser et skærmbillede af et mislykket loginforsøg, hvilket indikerede, at vedkommende var blevet banned under et andet navn. Herunder var der en række seksuelle fornærmelser og pornolinks. “Mods og admins kan ikke stoppe mig!” skrev brugeren. “Jeg tror, jeg vil tale med mine kontakter og bare D0S dette websted samt A55stronomics,” en tilsyneladende henvisning til et denial-of-service-angreb.

Den næste dag begyndte Cloudy Nights og Astronomics’ websted at blive overbelastet med trafik, hvilket gjorde forummet upålideligt og holdt Astronomics.com næsten helt offline. “Vi er bare en lille familieejet virksomhed, og han lukkede os stort set ned i to uger”, fortæller Bieler til The Verge. “Jeg havde ingen indtægt. Den var næsten ikke-eksisterende.”

Medens angrebet fortsatte, ringede Bieler til det lokale politi og en advokat, som bad ham kontakte FBI. “Jeg tænkte: “Jamen, de vil grine af mig, når jeg fortæller dem, at nogen blev sure på et forum og har besluttet at tage mit websted ned,” siger han nu. Men på det tidspunkt var han dødseriøs. Bieler fortalte bureauet, at han var bange for, at hans virksomhed ville gå konkurs, hvis angrebene fortsatte, og at hans far – virksomhedens stifter – havde været på hospitalet med hjerteproblemer som følge af stress. “Det er bogstaveligt talt ved at slå ham ihjel,” skrev han i en e-mail.

Cloudy Nights’ moderatorer havde i mellemtiden en god idé om, hvem der stod bag angrebet. Goodyear havde været en regelmæssig besøgende indtil 2013, hvor han blev udelukket for – som han udtrykte det – at “snakke i munden” på moderatorer. (Retsdokumenter tegner et mørkere billede, idet de siger, at han fulgte op med en truende besked, hvor han “bad om at slås” med en af dem). Han havde oprettet flere andre konti siden da, og moderatorerne blev ved med at forbyde dem. HawaiiAPUser’s skærmbillede havde et tidsstempel, så de undersøgte, hvilke konti der havde været aktive på det pågældende tidspunkt, og om andre personer havde logget ind fra den samme IP-adresse. Goodyears gamle konti dukkede op.

Den 31. august besøgte FBI og LAPD Goodyears hus i El Segundo, Californien. Goodyear erklærede sig forvirret over, hvorfor de var kommet, og hævdede, at han ikke stod bag posten. “Jeg har ligesom vasket mine hænder i forbindelse med dette websted”, sagde han og antydede, at en ansat eller en hacker måske havde brugt hans netværk.

Agenterne truede med at begynde at indgive ransagningskendelser. “FBI ved, hvad de laver,” advarede en af dem ildevarslende. “Vi fangede Osama bin Laden, ikke sandt? Vi kan fange nogen, der laver en DDoS.”

Argumentet overbeviste tilsyneladende Goodyear. “Jeg postede jo det lort om at ramme dem. Jeg skrev også på et hackerforum, hvor jeg sagde: ‘Hey, kan du tage dette websted ned?'”, indrømmede han. “Jeg tror, at det måske gik videre, end det burde have gjort.” Men han insisterede på, at han ikke havde nogen hackerekspertise, og at han ikke havde betalt nogen for angrebet. Da han blev spurgt, om han kunne få angrebene til at stoppe, sagde han, at han “ikke vidste det godt nok.”

Det er ikke helt klart, hvordan DDoS-kampagnen endte. Ifølge et skærmbillede fra september 2016 af Goodyears konto på HackForums.net var sidste gang, han loggede ind – i hvert fald under sit oprindelige brugernavn – den 29. august. Det sidste vellykkede DDoS-forsøg var den 30. august, dvs. dagen før Goodyear talte med FBI. Angriberne kan være stoppet frivilligt efter det, eller de kan være blevet bremset af Astronomics’ nye forsvar, da Bieler havde hyret en cybersikkerhedsekspert til at hjælpe.

I en pressemeddelelse understregede justitsministeriet “vigtigheden af at afskrække fra sofistikerede cyberkriminalitet, som er vanskelig at spore og derfor er særlig vigtig at straffe”. Men den måde, som Goodyear beskrev sin forbrydelse på, var næsten latterligt usofistikeret. I sit FBI-interview sagde han, at han havde søgt på Google efter måder at tage hævn over Cloudy Night på. “Jeg ledte efter andre måder at se, om jeg kunne slå dem ud, om jeg kunne hacke… få et botnet eller noget i den retning.” Han fandt HackForums.net, sagde “fuck det” og tilmeldte sig.

Også en jury fandt Goodyear ansvarlig for et anklagepunkt for “forsætlig skade på en beskyttet computer”. En dommer idømte ham en bøde på 2.500 dollars, 27.352 dollars i tilbagebetaling og 26 måneders fængsel.

Bieler havde antaget, at sagen var afsluttet, indtil FBI anholdt Goodyear et år senere og indkaldte Bieler i retten. Han var chokeret, da han hørte om straffens længde. Han havde aldrig ønsket, at Goodyear skulle fængsles i det hele taget, og da slet ikke i to år. “Jeg synes ærlig talt, at det er ekstremt, hvad der er sket,” siger han. “Vi bad faktisk i vores brev om, at han ikke skulle have fængselsstraf. Vi ønskede blot, at han skulle holde op med at angribe vores websted.”

Den 34 år gamle Computer Fraud and Abuse Act (CFAA), som den teknologipolitiske ekspert Tim Wu har kaldt “den værste lov inden for teknologi”, er kontroversiel af mange årsager. En af de mest almindelige er dens strenge regler for strafudmåling.

Dommerne baserer fængselsstraffe på et interval, der er defineret med United States Sentencing Guideline rubric, som beregner et tal, der repræsenterer en forbrydelses alvorlighed. CFAA gør det usædvanligt let at opblæse dette tal. Anklagere kan øge de anslåede omkostninger ved et hackerangreb med løst relaterede udgifter eller sænke dem, hvis en anklaget samarbejder. De kan tilføje ekstra straffe for brug af “sofistikerede midler” og “særlige færdigheder”, selv for forholdsvis enkle handlinger som f.eks. at køre et script.

“Det er efter min mening en uforholdsmæssig hård straf”, siger advokat Tor Ekeland om Goodyears straf på 26 måneder. “Desværre er det en slags typisk.” Ekeland har repræsenteret personer som sikkerhedsforsker Justin Shafer og journalist Matthew Keys i sager om cyberkriminalitet, og han er en af CFAA’s mest åbenmundede kritikere. Han siger, at der ikke er nogen skåret juridisk ramme for domfældelse af folk for DDoS-angreb, da forbrydelsen er ret ny. Men han mener, at anklagere ofte bringer selv klart svage sager for retten, både fordi de er relativt lette at argumentere for, og fordi der er en “sexiness-faktor” ved computerforbrydelser.

Justitsministeriet har vist sig særligt dygtigt til DDoS-anklager under Trump og har retsforfulgt skaberne af Mirai-botnettet og for nylig manden bag flere angreb på store spilnetværk. Disse resulterer ikke altid i lange straffe, men som det fremgår af justitsministeriets pressemeddelelse, straffer domstolene nogle individuelle cyberkriminalitet hårdt som afskrækkende middel, da kun en brøkdel af lovovertræderne bliver fanget.

Onlineforbrydelser er svære at spore, og det er et reelt problem for de mennesker, der bekæmper onlinetrusler, swatting hoaxes eller ransomware-operationer. Og langt fra at overreagere på alle internetforbrydelser kan de retshåndhævende myndigheder og domstolene f.eks. ignorere eller nedtone onlinechikane.

Ekeland mener dog, at domstolene behandler mange “hacker”-forbrydelser som unødigt truende sammenlignet med ikke-computerforbrydelser, der forårsager økonomisk skade – eller dårlig opførsel af virksomheder. Linjen om DDoS-angrebets sofistikerethed er særlig “absurd”, siger han. “Dette var ikke en sofistikeret computerkriminalitet. Og det faktum, at retten mente det, understreger problemet med denne type sager.”

CFAA er naturligvis kun én facet af det amerikanske retssystems problemer. Masser af lovovertrædelser ud over cyberkriminalitet kan resultere i uforholdsmæssigt store straffe. Og problemet er ikke kun for lange fængselsstraffe. Det er de umenneskelige forhold i amerikanske fængsler, som rammer millioner af mennesker, der er langt mindre privilegerede end Goodyear, og hvoraf nogle ikke engang er blevet dømt for en forbrydelse.

Nærmest alle, der var involveret i at fange Goodyear, virkede lidt forvirrede over hele sagaen. “Hvordan kan I fyre blive bandlyst fra et astronomisite?” undrede den FBI-agent, der ankom for at afhøre ham. “Er der en debat om en tiende planet eller noget?” Og efter Goodyears vurdering var det eneste, han havde gjort, at logge ind på et forum, spørge “Hey, kan I hacke det her?” og gå tilbage til sit sædvanlige liv. Han var enig i, at det, han havde gjort, var forkert, men han virkede overrasket over at høre, at han kunne få reelle problemer for det.

I dag finder Bieler det “vanvittigt”, at en mand ville nære et tre år langt nag mod et astronomisk forum så bittert, at han rent faktisk ville forsøge at ruinere et firma som hævn. “Hvis folk bare kunne træde væk fra deres tastaturer i fem sekunder, ville meget af det her ikke ske,” siger han. Men da sagen nærmer sig sin afslutning, har han simpelthen ondt af alle involverede – inklusive Goodyear.

“Hør, det er surt at miste penge. Det er surt at have min virksomhed nede i et par uger. Det er surt ikke at vide, hvad der vil ske, fordi man ikke har nogen indtægt til at betale folks lønninger”, siger Bieler. “At miste to år af sit liv, fordi man har gjort noget dumt, er endnu mere surt.”