Jak spor na fóru o teleskopy skončil vězením

Když se v srpnu 2016 u Davida Goodyeara objevila FBI, začala se ho vyptávat na teleskopy. Dvaačtyřicetiletý IT specialista a vášnivý hvězdář navštěvoval astronomické fórum s názvem Oblačné noci. Nyní někdo fórum vyřadil z provozu útokem typu denial-of-service a důkazy ukazovaly na Goodyeara.

Goodyear nejprve přísahal na nevinu, ale po stále ostřejších výsleších se přiznal. Jeden z jeho účtů byl podle jeho slov před několika týdny zablokován. V náhlém vzteku ho zaspamoval pornografií a pak zveřejnil jeho adresu na webu HackForums.net s žádostí, aby na něj někdo zaútočil. „Prostě jsem si říkal, za co mě kurva zabanovali? Byl jsem prostě nasranej,“ řekl svým návštěvníkům – jednomu z Federálního úřadu pro vyšetřování a druhému z losangeleské policie. „Prostě jsem se do toho pustil, prostě horko těžko.“

Jeho návštěvníci vypadali, že je drama na fóru mírně pobavilo, a než odešli, povídal si s nimi o své sbírce teleskopů za 100 000 dolarů. O rok později byl však Goodyear zatčen. V prosinci 2018 byl odsouzen k více než dvěma letům vězení za porušení zákona o počítačových podvodech a zneužití počítačů.

Tento trest si nepřejí ani Goodyearovy oběti. Jediný příspěvek na fóru stačil k tomu, aby nasměroval dočasně ničivý útok na malou firmu, zatímco federální zákony o počítačové kriminalitě znamenají, že tentýž příspěvek nyní může mít následky, které změní život.

Útoky typu DDoS (Distributed Denial of Service) jsou jedním z nejjednodušších kybernetických útoků: zaplaví web obrovským množstvím provozu, dokud už nedokáže servírovat stránky skutečným uživatelům. Ve velkém měřítku mohou být tyto útoky neuvěřitelně rušivé. Útok DDoS Mirai z roku 2016 vyřadil z provozu velké části webu tím, že se zmocnil nezabezpečených chytrých zařízení a vytvořil armádu botů. I v menším měřítku mohou způsobit skutečné škody – jako požadavek společnosti Goodyear majitelům fóra Cloudy Nights.

Fórum Cloudy Nights provozuje společnost Astronomics z Oklahomy, která prodává dalekohledy a další astronomické vybavení. Viceprezident Michael Bieler odhaduje, že fórum má asi 115 000 registrovaných uživatelů, kteří si vyměňují rady, fotografie z vesmíru a názory na dalekohledy. Bieler popisuje Cloudy Night jako obecně „příjemný klidný okraj internetu“, kde moderátoři za více než 15 let fungování udělili méně než tucet doživotních zákazů. Politika je zakázána s výjimkou fóra pro diskusi o zákonech o světelném znečištění.

13. srpna někdo jménem HawaiiAPUser zveřejnil snímek obrazovky s neúspěšným pokusem o přihlášení, který naznačuje, že byl zabanován pod jiným jménem. Pod ním byl řetězec sexuálních urážek a odkazů na porno. „Mods and admins can’t stop me!“ napsal uživatel. „Myslím, že se domluvím se svými kontakty a prostě D0S tuto stránku i A55stronomics,“ což byla zjevná narážka na útok typu „denial-of-service attack“.

Další den začaly být webové stránky Cloudy Nights a Astronomics přetížené provozem, takže fórum bylo nespolehlivé a stránka Astronomics.com byla téměř úplně offline. „Jsme jen malý rodinný podnik a on nás v podstatě na dva týdny odstavil,“ říká Bieler pro The Verge. „Měl jsem nulový příjem. Téměř neexistoval.“

Když útok pokračoval, Bieler zavolal místní policii a právníkovi, který mu řekl, aby kontaktoval FBI. „Říkal jsem si: ‚No, budou se mi smát, až jim řeknu, že se někdo naštval na fóru a rozhodl se zničit můj web,'“ říká nyní. Tehdy to ale myslel smrtelně vážně. Bieler agentuře řekl, že se bál, že jeho společnost zkrachuje, pokud budou útoky pokračovat, a že jeho otec – zakladatel společnosti – šel ze stresu do nemocnice se srdečními problémy. „Doslova ho to zabíjí,“ napsal v e-mailu.

Moderátoři společnosti Cloudy Nights mezitím tušili, kdo za útokem stojí. Goodyear byl pravidelným návštěvníkem až do roku 2013, kdy byl zabanován za to, že – jak se vyjádřil – moderátorům „nadával“. (Soudní dokumenty vykreslují temnější obrázek a uvádějí, že následovala výhružná zpráva, v níž jednoho z nich „žádal o rvačku“). Od té doby si vytvořil několik dalších účtů a moderátoři je stále zakazovali. Snímek obrazovky HawaiiAPUser měl časové razítko, takže zkontrolovali, které účty byly v danou chvíli aktivní a zda se ze stejné IP adresy nepřihlásili další lidé. Objevily se Goodyearovi staré účty.

31. srpna navštívila FBI a losangeleská policie Goodyearův dům v kalifornském El Segundu. Goodyear vyznával zmatek nad tím, proč přišli, a tvrdil, že za příspěvkem nestojí. „Tak nějak jsem si nad tou webovou stránkou umyl ruce,“ řekl a naznačil, že jeho síť mohl použít nějaký zaměstnanec nebo hacker.

Agentům pohrozil, že začnou podávat žádosti o povolení k prohlídce. „FBI ví, co dělá,“ varoval jeden z nich zlověstně. „Chytili jsme Usámu bin Ládina, ne? Můžeme chytit i někoho, kdo dělá DDoS.“

Tento argument Goodyeara zřejmě přesvědčil. „Vždyť jsem napsal ty kecy o tom, že na ně udeřím. Taky jsem dal na hackerské fórum: ‚Hele, můžeš sundat tuhle stránku?“ přiznal. „Myslím, že to možná zašlo dál, než mělo.“ Trval však na tom, že nemá žádné hackerské znalosti a za útok nikomu nezaplatil. Na otázku, zda by dokázal útoky zastavit, odpověděl, že „to dost dobře neví.“

Není zcela jasné, jak kampaň DDoS skutečně skončila. Podle snímku obrazovky Goodyearova účtu na HackForums.net ze září 2016 se naposledy přihlásil – alespoň pod svým původním uživatelským jménem – 29. srpna. Poslední úspěšný pokus o DDoS se odehrál 30. srpna, tedy den předtím, než Goodyear promluvil s FBI. Je možné, že útočníci poté dobrovolně přestali, nebo je mohla zbrzdit nová obrana společnosti Astronomics, protože Bieler si na pomoc najal odborníka na kybernetickou bezpečnost.

V tiskové zprávě ministerstvo spravedlnosti zdůraznilo „důležitost odrazování od sofistikovaných kybernetických zločinů, které je obtížné vystopovat, a proto je obzvláště důležité je trestat“. Ale způsob, jakým Goodyear popsal svůj zločin, byl až směšně nesofistikovaný. Při výslechu u FBI uvedl, že na Googlu hledal způsoby, jak se mračné noci pomstít. „Hledal jsem další způsoby, jak zjistit, jestli bych je mohl zlikvidovat, jestli bych se mohl nabourat… získat botnet nebo něco podobného.“ Našel stránky HackForums.net, řekl si „kašlu na to“ a zaregistroval se.

Tak či onak, porota shledala Goodyeara odpovědným za jeden případ „úmyslného poškození chráněného počítače“. Soudce ho odsoudil k pokutě 2 500 dolarů, náhradě škody ve výši 27 352 dolarů a 26 měsícům vězení.

Bieler se domníval, že případ je uzavřen, dokud FBI o rok později Goodyeara nezatkla a nepředvolala Bielera k soudu. Když se dozvěděl o délce trestu, byl šokován. Nikdy nechtěl, aby byl Goodyear vůbec uvězněn, natož na dva roky. „Upřímně řečeno, myslím, že to, co se stalo, je extrémní,“ říká. „V dopise jsme vlastně žádali, aby nedostal trest odnětí svobody. Chtěli jsme jen, aby přestal útočit na naše webové stránky.“

34 let starý zákon o počítačových podvodech a zneužívání počítačů (CFAA), který odborník na technologickou politiku Tim Wu označil za „nejhorší zákon v oblasti technologií“, je kontroverzní z mnoha důvodů. Jedním z nejčastějších jsou jeho přísná pravidla pro ukládání trestů.

Soudci vyměřují tresty odnětí svobody v rozmezí definovaném pomocí rubriky United States Sentencing Guideline, která vypočítává číslo představující závažnost trestného činu. CFAA umožňuje toto číslo neobyčejně snadno nadsadit. Státní zástupci mohou odhadované náklady na hackerský útok navýšit o volně související výdaje nebo je snížit, pokud obžalovaný spolupracuje. Mohou přidat další tresty za použití „sofistikovaných prostředků“ a „zvláštních dovedností“, a to i za poměrně jednoduché akce, jako je spuštění skriptu.

„Podle mě je to nepřiměřeně přísný trest,“ říká advokát Tor Ekeland o trestu 26 měsíců pro Goodyeara. „Bohužel je to tak trochu typické.“ Ekeland zastupoval v případech kybernetické kriminality osobnosti, jako je bezpečnostní výzkumník Justin Shafer nebo novinář Matthew Keys, a je jedním z nejvýraznějších kritiků zákona CFAA. Říká, že pro odsouzení osob za útoky DDoS neexistuje žádný pevný právní rámec, protože tento trestný čin je poměrně nový. Myslí si však, že státní zástupci často dostávají k soudu i zjevně slabé případy, a to jednak proto, že je relativně snadné je obhájit, a jednak proto, že počítačové zločiny mají „faktor sexy“.

Ministerstvo spravedlnosti se za Trumpovy vlády ukázalo jako obzvláště zdatné při stíhání DDoS útoků, když stíhalo tvůrce botnetu Mirai a nedávno i muže, který stojí za několika útoky na velké herní sítě. Ty nevedou vždy k dlouhým trestům, ale jak naznačuje tisková zpráva ministerstva spravedlnosti, soudy trestají některé jednotlivé kybernetické zločiny tvrdě jako odstrašující prostředek, protože dopaden je jen zlomek pachatelů.

Online zločiny je těžké vystopovat, a to je skutečný problém pro lidi, kteří bojují proti online hrozbám, swattingovým hoaxům nebo operacím ransomwaru. A orgány činné v trestním řízení a soudy zdaleka nereagují přehnaně na všechny internetové trestné činy, ale mohou například ignorovat nebo bagatelizovat online obtěžování.

Ekeland se domnívá, že soudy považují mnoho „hackerských“ trestných činů za nepřiměřeně ohrožující, nicméně ve srovnání s nepočítačovými trestnými činy, které způsobují finanční škody – nebo špatné chování firem. Zvláště „absurdní“ je podle něj věta o sofistikovanosti DDoS útoku. „Nešlo o sofistikovaný počítačový zločin. A skutečnost, že si to soud myslel, poukazuje na problém těchto typů případů.“

CFAA je samozřejmě jen jedním aspektem problémů amerického justičního systému. Spousta jiných trestných činů než počítačová kriminalita může vést k nepřiměřeným trestům. A problémem nejsou jen příliš dlouhé tresty odnětí svobody. Jde o nelidské podmínky v amerických věznicích, které postihují miliony lidí, kteří jsou mnohem méně privilegovaní než Goodyear a z nichž někteří ani nebyli odsouzeni za trestný čin.

V podstatě všichni, kdo se podíleli na dopadení Goodyeara, vypadali z celé ságy poněkud rozpačitě. „Jak to, že vám zakázali přístup na astronomické stránky?“ podivil se agent FBI, který ho přijel vyslechnout. „Probíhá nějaká debata o desáté planetě nebo tak něco?“ A podle Goodyearova odhadu se jen přihlásil na fórum, zeptal se: „Hele, nemůžete to hacknout?“ a vrátil se do života jako obvykle. Souhlasil s tím, že to, co udělal, bylo špatné, ale zdálo se, že ho překvapilo, že by za to mohl mít skutečné problémy.

Dnes Bieler považuje za „šílené“, že by člověk tři roky choval zášť vůči astronomickému fóru tak rozhořčeně, že by se z pomsty pokusil fakticky přivést společnost na mizinu. „Kdyby se lidé dokázali na pět vteřin vzdálit od svých klávesnic, mnoho z toho by se nestalo,“ říká. Ale když se případ blíží ke konci, je mu prostě líto všech zúčastněných – včetně společnosti Goodyear.

„Podívejte, přijít o peníze je na nic. Mít několik týdnů nefunkční firmu je na nic. Nevědět, co se bude dít, protože vám nepřicházejí žádné příjmy na výplaty lidí, je na nic,“ říká Bieler. „Ztratit dva roky života, protože jste udělali nějakou hloupost, je na nic.“