Come una faida su un forum di telescopi è finita in prigione

Quando l’FBI si è presentata alla porta di David Goodyear nell’agosto 2016, hanno iniziato a chiedergli dei telescopi. Il 42enne specialista IT e appassionato di stelle aveva frequentato un forum di astronomia chiamato Cloudy Nights. Ora, qualcuno aveva portato il forum offline con un attacco denial-of-service, e le prove indicavano Goodyear.

Goodyear ha giurato innocenza in un primo momento, ma dopo un interrogatorio sempre più puntuale, ha confessato. Uno dei suoi account era stato bannato un paio di settimane fa, ha detto. In una rabbia improvvisa, aveva spammato il sito con pornografia, poi ha pubblicato il suo indirizzo su un sito chiamato HackForums.net, chiedendo a qualcuno di attaccarlo. “Ero solo, tipo, per quale cazzo di motivo sono stato bannato? Ero solo incazzato”, ha detto ai suoi visitatori – uno del Federal Bureau of Investigation e un altro del Los Angeles Police Department. “

I suoi visitatori sembravano leggermente divertiti dal dramma del forum, e lui ha chiacchierato con loro della sua collezione di telescopi da 100.000 dollari prima che se ne andassero. Ma un anno dopo, Goodyear è stato arrestato. Nel dicembre 2018, è stato condannato a più di due anni di carcere per aver violato il Computer Fraud and Abuse Act.

È una sentenza che nemmeno le vittime di Goodyear vogliono che lui sconti. Un singolo post sul forum è stato sufficiente per dirigere un attacco temporaneamente devastante su una piccola impresa, mentre le leggi federali sui crimini informatici significavano che quello stesso post poteva ora venire con conseguenze che cambiano la vita.

Gli attacchi DDoS (Distributed Denial of Service) sono uno dei più semplici cyberattacchi: inondano un sito con enormi quantità di traffico fino a quando non può più servire pagine agli utenti reali. Su larga scala, questi attacchi possono essere incredibilmente dirompenti. Il Mirai DDoS del 2016 ha chiuso ampie sezioni del web, dirottando dispositivi intelligenti insicuri per creare un esercito di bot. Anche su scala più piccola, possono causare danni reali – come la richiesta di Goodyear ha fatto ai proprietari del forum Cloudy Nights.

Cloudy Nights è gestito da Astronomics, una società con sede in Oklahoma che vende telescopi e altre attrezzature astronomiche. Il vicepresidente Michael Bieler stima che il forum abbia circa 115.000 utenti registrati che si scambiano consigli, foto spaziali e opinioni sui telescopi. Bieler descrive Cloudy Night come generalmente “un bordo pacifico di internet” dove i moderatori hanno distribuito meno di una dozzina di divieti a vita in oltre 15 anni di attività. La politica è proibita tranne che su un forum per discutere le leggi sull’inquinamento luminoso.

Il 13 agosto, qualcuno chiamato HawaiiAPUser ha postato uno screenshot di un tentativo di login fallito, indicando che era stato bannato con un altro nome. Sotto c’era una serie di insulti sessuali e link porno. “I mod e gli amministratori non possono fermarmi!” ha scritto l’utente. “Penso che parlerò con i miei contatti e semplicemente D0S questo sito così come A55stronomics,” un apparente riferimento ad un attacco denial-of-service.

Il giorno dopo, Cloudy Nights e il sito web di Astronomics hanno iniziato ad essere sovraccaricati di traffico, rendendo i forum inaffidabili e mantenendo Astronomics.com quasi completamente offline. “Siamo solo una piccola azienda a conduzione familiare, e ci ha chiuso essenzialmente per due settimane”, dice Bieler a The Verge. “Ho fatto zero entrate. Era quasi inesistente.”

Mentre l’attacco continuava, Bieler ha chiamato la polizia locale e un avvocato che gli ha detto di contattare l’FBI. “Ero come, ‘Beh, rideranno di me quando dirò loro che qualcuno si è arrabbiato su un forum e ha deciso di tirare giù il mio sito web'”, dice ora. Ma all’epoca era terribilmente serio. Bieler ha detto all’agenzia che aveva paura che la sua azienda sarebbe fallita se gli attacchi fossero continuati, e che suo padre – il fondatore dell’azienda – era andato in ospedale con problemi cardiaci per lo stress. “Lo sta letteralmente uccidendo”, ha scritto in una e-mail.

I moderatori di Cloudy Nights, nel frattempo, avevano una buona idea di chi ci fosse dietro l’attacco. Goodyear era stato un visitatore regolare fino al 2013, quando è stato bannato per – come ha detto lui – “parlare male” ai moderatori. (I documenti del tribunale dipingono un quadro più oscuro, dicendo che ha seguito con un messaggio minaccioso “chiedendo di combattere” uno di loro). Da allora ha creato diversi altri account, e i moderatori hanno continuato a bannarli. Lo screenshot di HawaiiAPUser aveva un timestamp, così hanno controllato quali account erano stati attivi in quel momento e se altre persone avevano fatto il login dallo stesso indirizzo IP. Vennero fuori i vecchi account di Goodyear.

Il 31 agosto, l’FBI e la polizia di Los Angeles visitarono la casa di Goodyear a El Segundo, California. Goodyear si dichiarò perplesso sul perché fossero venuti, sostenendo che non c’era lui dietro il post. “Mi sono lavato le mani di questo sito”, ha detto, suggerendo che un dipendente o un hacker potrebbe aver usato la sua rete.

Gli agenti hanno minacciato di iniziare a presentare i mandati di perquisizione. “L’FBI sa cosa sta facendo”, uno ha avvertito minacciosamente. “Abbiamo catturato Osama bin Laden, giusto? Possiamo prendere qualcuno che fa un DDoS.”

L’argomento apparentemente ha convinto Goodyear. “Ho postato quella stronzata di colpirli. Ho anche messo su un forum di hacker, dicendo, ‘Ehi, puoi togliere questo sito?'” ha ammesso. “Penso che forse è andato oltre quello che avrebbe dovuto”. Ma ha insistito che non aveva alcuna competenza di hacking e non aveva pagato nessuno per l’attacco. Quando gli è stato chiesto se poteva far cessare gli attacchi, ha detto che “non lo sapeva abbastanza bene.”

Non è del tutto chiaro come la campagna DDoS sia finita. Secondo uno screenshot di settembre 2016 dell’account HackForums.net di Goodyear, l’ultima volta che ha effettuato l’accesso – almeno con il suo nome utente originale – era il 29 agosto. L’ultimo tentativo DDoS riuscito è stato il 30 agosto, il giorno prima che Goodyear parlasse con l’FBI. Gli attaccanti potrebbero essersi fermati volontariamente dopo questo, o potrebbero essere stati ostacolati dalle nuove difese di Astronomics, dato che Bieler aveva assunto un esperto di cybersecurity per aiutarlo.

In un comunicato stampa, il Dipartimento di Giustizia ha sottolineato “l’importanza di scoraggiare i crimini informatici sofisticati, che sono difficili da tracciare e quindi particolarmente importanti da punire”. Ma il modo in cui Goodyear ha descritto il suo crimine era quasi ridicolmente non sofisticato. Nella sua intervista all’FBI, ha detto di aver cercato su Google i modi per vendicarsi di Cloudy Night. “Stavo cercando altri modi per vedere se potevo farli fuori, se potevo hackerare… ottenere una botnet o qualcosa del genere”. Ha trovato HackForums.net, ha detto “al diavolo”, e si è iscritto.

In ogni caso, una giuria ha trovato Goodyear responsabile di un’accusa di “danno intenzionale a un computer protetto”. Un giudice lo condannò a una multa di 2.500 dollari, 27.352 dollari di restituzione e 26 mesi di prigione.

Bieler aveva pensato che il caso fosse chiuso fino a quando l’FBI arrestò Goodyear un anno dopo e convocò Bieler in tribunale. Rimase scioccato quando seppe della lunghezza della sentenza. Non avrebbe mai voluto che Goodyear fosse imprigionato, tanto meno per due anni. “Onestamente, penso che sia estremo, quello che è successo”, dice. “Abbiamo chiesto nella nostra lettera che non venisse incarcerato. Volevamo solo che smettesse di attaccare il nostro sito web.”

Il Computer Fraud and Abuse Act (CFAA) di 34 anni, che l’esperto di politica tecnologica Tim Wu ha chiamato “la peggiore legge nella tecnologia”, è controverso per molte ragioni. Uno dei più comuni è il suo duro regolamento di condanna.

I giudici basano le pene detentive su una gamma definita con la rubrica United States Sentencing Guideline, che calcola un numero che rappresenta la gravità di un crimine. Il CFAA rende quel numero insolitamente facile da gonfiare. I procuratori possono aumentare il costo stimato di un hacking con spese vagamente correlate, o abbassarlo se un imputato collabora. Possono aggiungere pene extra per l’utilizzo di “mezzi sofisticati” e “abilità speciali”, anche per azioni abbastanza semplici come l’esecuzione di uno script.

“Questa, per me, è una sentenza sproporzionatamente punitiva”, dice l’avvocato Tor Ekeland del termine di 26 mesi di Goodyear. “Purtroppo, è un po’ tipico”. Ekeland ha rappresentato figure come il ricercatore di sicurezza Justin Shafer e il giornalista Matthew Keys in casi di criminalità informatica, ed è uno dei critici più schietti della CFAA. Egli dice che non c’è un quadro giuridico tagliato per condannare le persone di attacchi DDoS, dal momento che il crimine è abbastanza nuovo. Ma pensa che i procuratori spesso portano in tribunale anche casi chiaramente deboli, sia perché sono relativamente facili da argomentare e perché c’è un “fattore di sensualità” per i crimini informatici.

Il Dipartimento di Giustizia si è dimostrato particolarmente abile nei procedimenti DDoS sotto Trump, perseguendo i creatori della botnet Mirai e, più recentemente, l’uomo dietro diversi attacchi alle principali reti di gioco. Questi non si traducono sempre in lunghe condanne, ma come suggerisce il comunicato stampa del Dipartimento di Giustizia, i tribunali puniscono alcuni singoli crimini informatici duramente come deterrente, poiché solo una frazione dei trasgressori viene catturata.

I crimini online sono difficili da tracciare, e questo è un problema reale per le persone che stanno combattendo le minacce online, gli swatting hoax, o le operazioni ransomware. E lungi dal reagire in modo eccessivo a tutti i crimini di internet, le forze dell’ordine e i tribunali possono ignorare o minimizzare le molestie online, per esempio.

Ekeland pensa che i tribunali trattino molti crimini “hacker” come indebitamente minacciosi, tuttavia, rispetto ai crimini non informatici che causano danni finanziari – o il cattivo comportamento delle aziende. La linea sulla sofisticazione dell’attacco DDoS è particolarmente “assurda”, dice. “Questo non era un sofisticato crimine informatico. E il fatto che la corte ha pensato che mette in evidenza il problema con questi tipi di casi.”

Il CFAA è solo un aspetto dei problemi del sistema giudiziario americano, naturalmente. Un sacco di reati oltre ai crimini informatici possono portare a sentenze sproporzionate. E il problema non è solo la durata eccessiva del carcere. Sono le condizioni disumane delle prigioni americane, che colpiscono milioni di persone che sono molto meno privilegiate di Goodyear, alcune delle quali non sono nemmeno state condannate per un crimine.

Tutti coloro che sono coinvolti nella cattura di Goodyear sembrano un po’ confusi dall’intera saga. “Come fate a essere bannati da un sito di astronomia?” si chiedeva l’agente dell’FBI arrivato per interrogarlo. “C’è un dibattito su un decimo pianeta o qualcosa del genere?”. E nella stima di Goodyear, tutto quello che aveva fatto era entrare in un forum, chiedere “Ehi, potete hackerare questo?” e tornare alla vita di sempre. Era d’accordo che quello che aveva fatto era sbagliato, ma sembrava sorpreso di sentire che poteva finire in guai seri per questo.

Oggi, Bieler trova “folle” che un uomo possa nutrire un rancore di tre anni contro un forum di astronomia in modo così amaro da cercare effettivamente di far fallire una società per vendetta. “Se le persone potessero solo allontanarsi dalle loro tastiere per cinque secondi, molte di queste cose non accadrebbero”, dice. Ma mentre il caso raggiunge la sua fine, si sente semplicemente male per tutte le persone coinvolte, inclusa la Goodyear.

“Guarda, perdere soldi fa schifo. Avere la mia attività ferma per qualche settimana fa schifo. Non sapere cosa succederà perché non hai entrate per pagare gli stipendi delle persone fa schifo”, dice Bieler. Perdere due anni della tua vita perché hai fatto qualcosa di stupido fa ancora più schifo”.”