Kuinka kaukoputkifoorumin riita päättyi vankilaan

Kun FBI ilmestyi David Goodyearin ovelle elokuussa 2016, he alkoivat kysellä häneltä kaukoputkista. 42-vuotias IT-asiantuntija ja innokas tähtitieteilijä oli käynyt Cloudy Nights -nimisellä tähtitieteen foorumilla. Nyt joku oli ottanut foorumin offline-tilaan palvelunestohyökkäyksellä, ja todisteet viittasivat Goodyeariin.

Goodyear vannoi aluksi syyttömyyttä, mutta yhä kärkevämpien kuulustelujen jälkeen hän tunnusti. Yksi hänen tileistään oli bannattu pari viikkoa sitten, hän sanoi. Äkillisessä raivossaan hän oli lähettänyt sivustolle pornoa ja sitten laittanut sen osoitteen HackForums.net-nimiselle sivustolle ja pyytänyt jotakuta hyökkäämään sen kimppuun. ”Olin vain niinku, että miksi vitussa minut on bannattu? Olin vain vihainen”, hän kertoi vierailijoilleen, joista yksi oli liittovaltion poliisilaitokselta ja toinen Los Angelesin poliisilaitokselta. ”Menin vain ylös, ihan vain hetken kuumuudessa.”

Vierailijat vaikuttivat lievästi huvittuneilta foorumidraamasta, ja hän jutteli heidän kanssaan 100 000 dollarin teleskooppikokoelmastaan ennen kuin he lähtivät. Mutta vuotta myöhemmin Goodyear pidätettiin. Joulukuussa 2018 hänet tuomittiin yli kahden vuoden vankeusrangaistukseen tietokonepetosten ja väärinkäytösten torjumisesta annetun lain rikkomisesta.

Tuomiota eivät edes Goodyearin uhrit halua hänen istuvan. Yksittäinen foorumikirjoitus riitti ohjaamaan väliaikaisesti tuhoisan hyökkäyksen pienyritystä vastaan, kun taas liittovaltion tietokonerikoksia koskevat lait merkitsivät sitä, että samasta kirjoituksesta voi nyt seurata elämää muuttavia seurauksia.

Distributed denial of service (tai DDoS) -hyökkäykset ovat yksi yksinkertaisimmista verkkohyökkäyksistä: ne tulvivat sivustoa valtavilla määrillä liikennettä, kunnes se ei enää pysty palvelemaan sivuja todellisille käyttäjille. Suuressa mittakaavassa nämä hyökkäykset voivat olla uskomattoman häiritseviä. Vuonna 2016 Mirai DDoS -hyökkäys sulki suuria osia verkosta ja kaappasi turvattomia älylaitteita luodakseen bottien armeijan. Pienemmässäkin mittakaavassa ne voivat aiheuttaa todellista vahinkoa – kuten Goodyearin pyyntö teki Cloudy Nights -foorumin omistajille.

Cloudy Nightsin ylläpitäjä on Astronomics, oklahomalainen yritys, joka myy teleskooppeja ja muita tähtitieteen tarvikkeita. Varatoimitusjohtaja Michael Bieler arvioi, että foorumilla on noin 115 000 rekisteröitynyttä käyttäjää, jotka vaihtavat neuvoja, avaruuskuvia ja mielipiteitä kaukoputkista. Bieler kuvailee Cloudy Night -foorumia yleisesti ”mukavaksi ja rauhalliseksi internetin laidaksi”, jossa moderaattorit ovat antaneet alle tusinan elinikäisiä porttikieltoja yli 15 toimintavuoden aikana. Politiikka on kielletty, paitsi keskustelupalstalla, jossa keskustellaan valosaastetta koskevista laeista.

Elokuun 13. päivänä joku HawaiiAPUser niminen henkilö lähetti kuvakaappauksen epäonnistuneesta kirjautumisyrityksestä, joka osoitti, että hänet oli bannattu toisella nimellä. Alla oli sarja seksuaalisia loukkauksia ja pornolinkkejä. ”Modit ja ylläpitäjät eivät voi pysäyttää minua!” käyttäjä kirjoitti. ”Luulen, että puhun kontaktieni kanssa ja vain D0S tämän sivuston sekä A55stronomicsin”, ilmeinen viittaus palvelunestohyökkäykseen.

Seuraavana päivänä Cloudy Nightsin ja Astronomicsin verkkosivut alkoivat ylikuormittua liikenteestä, mikä teki foorumeista epäluotettavia ja piti Astronomics.com-sivuston melkein kokonaan offline-tilassa. ”Olemme vain pieni perheyritys, ja hän sulki meidät käytännössä kahdeksi viikoksi”, Bieler kertoo The Vergelle. ”Tein nollatuloja. Se oli lähes olematonta.”

Hyökkäyksen jatkuessa Bieler soitti paikalliselle poliisille ja asianajajalle, joka kehotti häntä ottamaan yhteyttä FBI:hin. ”Ajattelin, että he nauravat minulle, kun kerron heille, että joku suuttui foorumilla ja on päättänyt kaataa verkkosivustoni”, hän sanoo nyt. Mutta tuolloin hän oli tosissaan. Bieler kertoi virastolle, että hän pelkäsi yrityksensä menevän konkurssiin, jos hyökkäykset jatkuisivat, ja että hänen isänsä – yrityksen perustaja – oli joutunut sairaalaan stressin aiheuttamien sydänongelmien vuoksi. ”Se kirjaimellisesti tappaa hänet”, hän kirjoitti sähköpostissa.

Cloudy Nightsin moderaattoreilla oli puolestaan hyvä käsitys siitä, kuka hyökkäyksen takana oli. Goodyear oli ollut säännöllinen kävijä vuoteen 2013 asti, jolloin hänet bannattiin, koska hän oli – kuten hän asian ilmaisi – ”suututtanut” moderaattoreita. (Tuomioistuinasiakirjat piirtävät synkempää kuvaa, sillä niissä sanotaan, että hän jatkoi uhkaavalla viestillä, jossa hän ”pyysi tappelemaan” yhtä heistä vastaan.) Sen jälkeen hän oli luonut useita uusia tilejä, ja moderaattorit kielsivät ne jatkuvasti. HawaiiAPUserin kuvakaappauksessa oli aikaleima, joten he tarkistivat, mitkä tilit olivat olleet aktiivisia kyseisellä hetkellä ja olivatko muut henkilöt kirjautuneet sisään samasta IP-osoitteesta. Goodyearin vanhat tilit tulivat esiin.

31. elokuuta FBI ja LAPD kävivät Goodyearin kotona El Segundossa, Kaliforniassa. Goodyear ilmoitti olevansa ymmällään siitä, miksi he olivat tulleet, ja väitti, ettei hän ollut postin takana. ”Olen tavallaan pessyt käteni tästä sivustosta”, hän sanoi ja vihjasi, että työntekijä tai hakkeri olisi saattanut käyttää hänen verkkoaan.

Agentit uhkasivat ryhtyä hakemaan etsintälupia. ”FBI tietää, mitä he tekevät”, yksi varoitti pahaenteisesti. ”Me nappasimme Osama bin Ladenin, eikö niin? Voimme napata jonkun, joka tekee DDoS-toimintaa.”

Argumentti ilmeisesti vakuutti Goodyearin. ”Kirjoitin kyllä sen paskan siitä, että löisin heitä. Laitoin myös hakkerifoorumille viestin: ’Hei, voisitteko kaataa tämän sivuston?'” hän myönsi. ”Luulen, että se meni ehkä pidemmälle kuin olisi pitänyt.” Hän kuitenkin vakuutti, ettei hänellä ollut hakkerointiosaamista eikä hän ollut maksanut kenellekään hyökkäyksestä. Kun häneltä kysyttiin, voisiko hän saada hyökkäykset loppumaan, hän sanoi, ettei ”tiedä tarpeeksi hyvin.”

Ei ole täysin selvää, miten DDoS-kampanja loppui. Goodyearin HackForums.net-tililtä syyskuussa 2016 otetun kuvakaappauksen mukaan hän kirjautui sisään – ainakin alkuperäisellä käyttäjätunnuksellaan – viimeksi 29. elokuuta. Viimeinen onnistunut DDoS-yritys oli 30. elokuuta, päivää ennen kuin Goodyear puhui FBI:lle. Hyökkääjät saattoivat lopettaa vapaaehtoisesti tämän jälkeen, tai Astronomicsin uudet puolustukset saattoivat jarruttaa heitä, koska Bieler oli palkannut kyberturvallisuusasiantuntijan avukseen.

Lehdistötiedotteessa oikeusministeriö korosti, että ”on tärkeää ehkäistä kehittyneitä tietoverkkorikoksia, joita on vaikea jäljittää ja joista on siksi erityisen tärkeää rangaista”. Mutta tapa, jolla Goodyear kuvaili rikostaan, oli melkein naurettavan epäsuoraviivainen. FBI:n haastattelussaan hän kertoi etsineensä Googlesta keinoja kostaa Cloudy Nightille. ”Etsin muita tapoja nähdä, voisinko tuhota heidät, voisinko hakkeroida… saada botnetin tai jotain.” Hän löysi HackForums.net-sivuston, sanoi ”vitut siitä” ja ilmoittautui.

Kummassakin tapauksessa valamiehistö totesi Goodyearin olevan vastuussa yhdestä syytekohdasta ”suojatun tietokoneen tahallisesta vahingoittamisesta”. Tuomari tuomitsi hänet 2 500 dollarin sakkoihin, 27 352 dollarin korvauksiin ja 26 kuukauden vankeusrangaistukseen.

Bieler oli olettanut tapauksen olevan loppuun käsitelty, kunnes FBI pidätti Goodyearin vuotta myöhemmin ja kutsui Bielerin oikeuteen. Hän järkyttyi kuullessaan tuomion pituudesta. Hän ei koskaan halunnut Goodyearin joutuvan vankilaan lainkaan, saati sitten kahdeksi vuodeksi. ”Rehellisesti sanottuna minusta on äärimmäistä, mitä tapahtui”, hän sanoo. ”Me itse asiassa pyysimme kirjeessämme, ettei hän saisi vankilatuomiota. Halusimme vain, että hän lopettaisi hyökkäämisen verkkosivujemme kimppuun.”

34 vuotta vanha Computer Fraud and Abuse Act (CFAA), jota teknologiapolitiikan asiantuntija Tim Wu on kutsunut ”tekniikan pahimmaksi laiksi”, on kiistanalainen monesta syystä. Yksi yleisimmistä on sen ankarat rangaistussäännöt.

Tuomarit perustavat vankeusrangaistukset vaihteluväliin, jotka on määritelty Yhdysvaltojen rangaistusohjeiden (United States Sentencing Guideline rubric) avulla, joka laskee rikoksen vakavuutta kuvaavan luvun. CFAA:n ansiosta tätä lukua on poikkeuksellisen helppo paisuttaa. Syyttäjät voivat korottaa hakkeroinnin arvioitua hintaa löyhästi siihen liittyvillä kuluilla tai alentaa sitä, jos vastaaja tekee yhteistyötä. He voivat lisätä ylimääräisiä rangaistuksia ”kehittyneiden keinojen” ja ”erityistaitojen” käytöstä, jopa melko yksinkertaisista toimista, kuten skriptin suorittamisesta.

”Minusta tämä on suhteettoman ankara rangaistus”, sanoo asianajaja Tor Ekeland Goodyearin 26 kuukauden tuomiosta. ”Valitettavasti se on tavallaan tyypillinen.” Ekeland on edustanut tietoturvatutkija Justin Shaferin ja toimittaja Matthew Keysin kaltaisia henkilöitä tietoverkkorikostapauksissa, ja hän on yksi CFAA:n suorasukaisimmista kriitikoista. Hänen mukaansa DDoS-hyökkäyksistä tuomitsemiselle ei ole olemassa yksiselitteistä oikeudellista kehystä, koska rikos on melko uusi. Hän kuitenkin uskoo, että syyttäjät vievät usein jopa selvästi heikkoja tapauksia oikeuteen, sekä siksi, että niitä on suhteellisen helppo perustella, että siksi, että tietokonerikoksissa on ”seksikkyystekijä”.

Juridiikkaministeriö on Trumpin aikana osoittautunut erityisen taitavaksi DDoS-oikeudenkäynneissä, sillä se on asettanut syytteeseen Mirai-bottiverkon luojat ja hiljattain myös useiden suuriin peliverkkoihin kohdistuneiden hyökkäysten takana olevan miehen. Nämä eivät aina johda pitkiin tuomioihin, mutta kuten oikeusministeriön lehdistötiedotteesta käy ilmi, tuomioistuimet rankaisevat joistakin yksittäisistä tietoverkkorikoksista ankarasti pelotteena, koska vain murto-osa rikoksentekijöistä jää kiinni.

Verkkorikoksia on vaikea jäljittää, ja se on todellinen ongelma henkilöille, jotka taistelevat verkkouhkia, huijaushuijauksia tai lunnasohjelmaoperaatioita vastaan. Eivätkä lainvalvontaviranomaiset ja tuomioistuimet suinkaan reagoi ylireagoiden kaikkiin nettirikoksiin, vaan voivat jättää huomiotta tai vähätellä esimerkiksi nettikiusaamista.

Ekelandin mielestä tuomioistuimet kuitenkin kohtelevat monia ”hakkeririkoksia” kohtuuttoman uhkaavina verrattuna muihin kuin tietokonerikoksiin, jotka aiheuttavat taloudellista vahinkoa – tai yritysten huonoa käytöstä. Linjaus DDoS-hyökkäyksen kehittyneisyydestä on erityisen ”absurdi”, hän sanoo. ”Tämä ei ollut kehittynyt tietokonerikos. Ja se, että tuomioistuin ajatteli niin, korostaa tämäntyyppisten tapausten ongelmaa.”

CFAA on tietysti vain yksi puoli Yhdysvaltain oikeusjärjestelmän ongelmista. Monet muutkin rikokset kuin tietoverkkorikokset voivat johtaa suhteettomiin tuomioihin. Eikä ongelma ole vain liian pitkät vankeusrangaistukset. Kyse on amerikkalaisten vankiloiden epäinhimillisistä olosuhteista, jotka vaikuttavat miljooniin ihmisiin, jotka ovat paljon vähemmän etuoikeutettuja kuin Goodyear, ja joista osaa ei ole edes tuomittu rikoksesta.

Vähän kaikki Goodyearin kiinniottoon osallistuneet näyttivät olevan hieman hämmentyneitä koko saagasta. ”Miten te saatte porttikiellon tähtitieteen sivustolle?” ihmetteli FBI:n agentti, joka saapui kuulustelemaan häntä. ”Käydäänkö keskustelua kymmenennestä planeetasta tai jotain?” Goodyearin arvion mukaan hän ei ollut tehnyt muuta kuin kirjautunut foorumille, kysynyt ”Hei, osaatteko hakkeroida tämän?” ja palannut normaaliin elämäänsä. Hän oli samaa mieltä siitä, että hänen tekonsa oli väärin, mutta vaikutti yllättyneeltä kuullessaan, että hän saattoi joutua siitä oikeisiin vaikeuksiin.

Nykyään Bieler pitää ”mielettömänä” sitä, että mies vaalisi kolme vuotta kestänyttä kaunaa astronomiafoorumia kohtaan niin katkerasti, että hän yrittäisi käytännössä ajaa yrityksen konkurssiin kostoksi. ”Jos ihmiset voisivat astua pois näppäimistöiltään viiden sekunnin ajaksi, paljon tällaista ei tapahtuisi”, hän sanoo. Mutta tapauksen lähestyessä loppuaan hänestä tuntuu yksinkertaisesti pahalta kaikkien asianosaisten – myös Goodyearin – puolesta.

”Rahan menettäminen on syvältä. Yritykseni pysähtyminen muutamaksi viikoksi on syvältä. Se, ettei tiedä, mitä tapahtuu, koska tuloja ei ole tulossa ihmisten palkkojen maksuun, on syvältä”, Bieler sanoo. ”Kahden vuoden menettäminen elämästäsi, koska teit jotain tyhmää, on vielä pahempaa.”