Hoe een telescoopforumvete eindigde met gevangenistijd

Toen de FBI in augustus 2016 bij David Goodyear op de stoep verscheen, begonnen ze hem vragen te stellen over telescopen. De 42-jarige IT-specialist en fervent sterrenkijker had een astronomieforum bezocht met de naam Cloudy Nights. Nu had iemand het forum offline gehaald met een denial-of-service-aanval, en het bewijs wees naar Goodyear.

Goodyear zwoer eerst onschuldig te zijn, maar na steeds puntiger vragen, bekende hij. Een van zijn accounts was een paar weken geleden verbannen, zei hij. In een plotselinge woede, had hij de site gespamd met pornografie, en vervolgens het adres ervan op een site genaamd HackForums.net geplaatst, met de vraag of iemand het wilde aanvallen. “Ik was gewoon, zoals, waarom word ik verdomme verbannen? Ik was gewoon kwaad,” vertelde hij zijn bezoekers – een van het Federal Bureau of Investigation en een andere van de Los Angeles Police Department. “Ik ging er gewoon in op, gewoon in het heetst van de strijd.”

Zijn bezoekers leken mild geamuseerd door het forumdrama, en hij babbelde met hen over zijn $100.000 telescoopcollectie voordat ze vertrokken. Maar een jaar later werd Goodyear gearresteerd. In december 2018 werd hij veroordeeld tot meer dan twee jaar gevangenisstraf voor het schenden van de Computer Fraud and Abuse Act.

Het is een straf die zelfs Goodyear’s slachtoffers niet willen dat hij uitzit. Een enkele forumpost was genoeg om een tijdelijk verwoestende aanval op een klein bedrijf te leiden, terwijl de federale computercriminaliteitswetten betekenen dat diezelfde post nu met levensveranderende gevolgen kan komen.

Distributed denial of service (of DDoS) -aanvallen zijn een van de eenvoudigste cyberaanvallen: ze overspoelen een site met enorme hoeveelheden verkeer totdat deze niet langer pagina’s aan echte gebruikers kan serveren. Op grote schaal kunnen deze aanvallen ongelooflijk ontwrichtend zijn. De Mirai DDoS van 2016 legde grote delen van het web plat, waarbij onveilige slimme apparaten werden gekaapt om een leger van bots te creëren. Zelfs op kleinere schaal kunnen ze echte schade aanrichten – zoals het verzoek van Goodyear deed bij de eigenaren van het Cloudy Nights-forum.

Cloudy Nights wordt gerund door Astronomics, een in Oklahoma gevestigd bedrijf dat telescopen en andere astronomische spullen verkoopt. Vice-voorzitter Michael Bieler schat dat het forum ongeveer 115.000 geregistreerde gebruikers heeft die advies, ruimtefoto’s en meningen over telescopen uitwisselen. Bieler beschrijft Cloudy Night als “een vredig randje van het internet” waar de moderators in de 15 jaar dat het forum actief is minder dan een dozijn levenslange bannen hebben uitgedeeld. Politiek is verboden, behalve op een forum voor het bespreken van wetten over lichtvervuiling.

Op 13 augustus postte iemand met de naam HawaiiAPUser een screenshot van een mislukte inlogpoging, waaruit bleek dat hij onder een andere naam was verbannen. Daaronder stond een reeks seksuele beledigingen en pornolinks. “Mods en admins kunnen me niet tegenhouden!” schreef de gebruiker. “Ik denk dat ik met mijn contacten ga praten en deze site gewoon D0S, evenals A55stronomics,” een duidelijke verwijzing naar een denial-of-service-aanval.

De volgende dag begon de website van Cloudy Nights en Astronomics overbelast te raken met verkeer, waardoor de forums onbetrouwbaar werden en Astronomics.com bijna volledig offline bleef. “We zijn gewoon een klein familiebedrijf, en hij sloot ons in wezen voor twee weken,” vertelt Bieler aan The Verge. “Ik had nul inkomen. Het was bijna niet bestaand.”

Toen de aanval doorging, belde Bieler de lokale politie en een advocaat die hem vertelde contact op te nemen met de FBI. “Ik had zoiets van: ‘Nou, ze gaan me uitlachen als ik ze vertel dat iemand boos werd op een forum en heeft besloten om mijn website neer te halen,'” zegt hij nu. Maar op dat moment was hij bloedserieus. Bieler vertelde het agentschap dat hij bang was dat zijn bedrijf failliet zou gaan als de aanvallen zouden aanhouden, en dat zijn vader – de oprichter van het bedrijf – naar het ziekenhuis was gegaan met hartproblemen door de stress. “Het is letterlijk zijn dood,” schreef hij in een e-mail.

Cloudy Nights’ moderators, ondertussen, hadden een goed idee wie er achter de aanval zat. Goodyear was een regelmatige bezoeker tot 2013, toen hij werd verbannen voor – zoals hij het uitdrukte – “een grote mond opzetten” tegen moderators. (Rechtbankdocumenten schetsen een donkerder beeld, en zeggen dat hij een dreigbericht stuurde “met de vraag om te vechten” met een van hen). Sindsdien had hij nog een aantal accounts aangemaakt, die de moderators bleven verbannen. De schermafbeelding van HawaiiAPUser had een tijdstempel, dus werd gekeken welke accounts op dat moment actief waren en of andere mensen vanaf hetzelfde IP-adres hadden ingelogd. Goodyear’s oude accounts werden gevonden.

Op 31 augustus brachten de FBI en de LAPD een bezoek aan Goodyear’s huis in El Segundo, Californië. Goodyear was verbijsterd over hun komst en beweerde dat hij niet achter de post zat. “Ik heb mijn handen in onschuld gewassen,” zei hij, suggererend dat een werknemer of hacker zijn netwerk zou kunnen hebben gebruikt.

De agenten dreigden huiszoekingsbevelen in te dienen. “De FBI weet wat ze doen,” waarschuwde er een onheilspellend. “We hebben Osama Bin Laden toch ook gepakt? We kunnen iemand pakken die een DDoS uitvoert.”

Het argument overtuigde Goodyear blijkbaar. “Ik heb die onzin over hen te raken gepost. Ik heb ook op een hackforum gezegd: ‘Hé, kunnen jullie deze site neerhalen?'”, gaf hij toe. “Ik denk dat het misschien verder ging dan wat het had moeten doen.” Maar hij hield vol dat hij geen expertise had in hacken en niemand had betaald voor de aanval. Op de vraag of hij de aanvallen kon laten stoppen, zei hij dat hij “het niet goed genoeg wist.”

Het is niet helemaal duidelijk hoe de DDoS-campagne wel is afgelopen. Volgens een screenshot van september 2016 van Goodyear’s HackForums.net-account, was de laatste keer dat hij inlogde – althans onder zijn oorspronkelijke gebruikersnaam – 29 augustus. De laatste succesvolle DDoS-poging was op 30 augustus, de dag voordat Goodyear met de FBI sprak. Het kan zijn dat de aanvallers daarna vrijwillig zijn gestopt, maar het kan ook zijn dat ze zijn tegengehouden door de nieuwe verdediging van Astronomics, omdat Bieler een cyberbeveiligingsexpert had ingehuurd om te helpen.

In een persbericht benadrukte het ministerie van Justitie “het belang van het afschrikken van geavanceerde cybermisdaden, die moeilijk te traceren zijn en daarom bijzonder belangrijk zijn om te bestraffen.” Maar de manier waarop Goodyear zijn misdaad beschreef was bijna belachelijk ongeraffineerd. In zijn FBI-interview zei hij dat hij op Google had gezocht naar manieren om Cloudy Night terug te pakken. “Ik zocht naar andere manieren om te zien of ik ze kon uitschakelen, of ik ze kon hacken… een botnet of zoiets krijgen.” Hij vond HackForums.net, zei “de pot op” en meldde zich aan. Hoe dan ook, een jury achtte Goodyear verantwoordelijk voor één aanklacht wegens “opzettelijke schade aan een beveiligde computer”. Een rechter veroordeelde hem tot een boete van $2500, $27.352 aan restitutie en 26 maanden gevangenisstraf.

Bieler was ervan uitgegaan dat de zaak gesloten was totdat de FBI Goodyear een jaar later arresteerde en Bieler voor de rechter daagde. Hij was geschokt toen hij hoorde over de lengte van de straf. Hij had nooit gewild dat Goodyear überhaupt gevangen zou worden gezet, laat staan voor twee jaar. “Eerlijk gezegd vind ik het extreem, wat er gebeurd is,” zegt hij. “We hebben eigenlijk in onze brief gevraagd om hem geen gevangenisstraf te geven. We wilden alleen dat hij zou stoppen met het aanvallen van onze website.”

De 34 jaar oude Computer Fraud and Abuse Act (CFAA), die tech-beleidsdeskundige Tim Wu “de slechtste wet in de technologie” heeft genoemd, is om vele redenen controversieel. Een van de meest voorkomende is de strenge strafmaat.

Judges baseren gevangenisstraffen op een bereik dat is gedefinieerd met de United States Sentencing Guideline-rubriek, die een getal berekent dat de ernst van een misdrijf weergeeft. De CFAA maakt dat getal ongewoon gemakkelijk op te blazen. Aanklagers kunnen de geschatte kosten van een hack opdrijven met kosten die er los van staan, of ze verlagen als een beklaagde meewerkt. Ze kunnen extra straffen opleggen voor het gebruik van “geraffineerde middelen” en “speciale vaardigheden”, zelfs voor vrij eenvoudige handelingen zoals het uitvoeren van een script.

“Dit is voor mij een onevenredig zware straf”, zegt advocaat Tor Ekeland over de termijn van 26 maanden die Goodyear opgelegd heeft gekregen. “Helaas, het is typisch.” Ekeland heeft figuren als beveiligingsonderzoeker Justin Shafer en journalist Matthew Keys bijgestaan in zaken over cybercriminaliteit, en hij is een van de meest uitgesproken critici van de CFAA. Hij zegt dat er geen kant-en-klaar juridisch kader is voor het veroordelen van mensen die DDoS-aanvallen hebben gepleegd, omdat het misdrijf vrij nieuw is. Maar hij denkt dat aanklagers zelfs duidelijk zwakke zaken vaak voor de rechter brengen, zowel omdat ze relatief eenvoudig te beargumenteren zijn als omdat er een “sexy factor” zit aan computermisdrijven.

Het ministerie van Justitie is onder Trump bijzonder bedreven gebleken in DDoS-vervolging, door de makers van het Mirai-botnet te vervolgen en, meer recentelijk, de man achter verschillende aanvallen op grote gamingnetwerken. Dit leidt niet altijd tot lange straffen, maar zoals het persbericht van het ministerie van Justitie suggereert, straffen rechtbanken sommige individuele cyberdelicten hard als afschrikmiddel, omdat slechts een fractie van de overtreders wordt gepakt.

Online-misdrijven zijn moeilijk op te sporen, en dat is een reëel probleem voor de mensen die online bedreigingen bestrijden, hoaxes uitwissen of ransomware-operaties uitvoeren. En in plaats van overdreven te reageren op alle internetdelicten, kunnen rechtshandhavingsinstanties en rechtbanken bijvoorbeeld online pesterijen negeren of bagatelliseren.

Ekeland denkt dat rechtbanken veel “hacker”-delicten echter als te bedreigend behandelen, vergeleken met niet-computercriminaliteit die financiële schade veroorzaakt – of slecht gedrag van bedrijven. De regel over de geavanceerdheid van de DDoS-aanval is bijzonder “absurd”, zegt hij. “Dit was geen geraffineerd computermisdrijf. En het feit dat de rechtbank dat dacht, benadrukt het probleem met dit soort zaken.”

De CFAA is natuurlijk maar één facet van de problemen van het Amerikaanse rechtssysteem. Veel overtredingen naast cybermisdrijven kunnen leiden tot onevenredige straffen. En het probleem is niet alleen de te lange gevangenisstraffen. Het zijn de onmenselijke omstandigheden in Amerikaanse gevangenissen, die miljoenen mensen treffen die veel minder bevoorrecht zijn dan Goodyear, van wie sommigen niet eens veroordeeld zijn voor een misdaad.

Virtueel iedereen die betrokken was bij het vangen van Goodyear leek een beetje verbijsterd door de hele saga. “Hoe worden jullie van een astronomiesite verbannen?” vroeg de FBI-agent zich af die hem kwam ondervragen. “Is er een discussie over een tiende planeet of zo?” En volgens Goodyear had hij alleen maar ingelogd op een forum, gevraagd “Hé, kunnen jullie dit hacken ?” en was hij weer overgegaan tot de orde van de dag. Hij was het ermee eens dat wat hij had gedaan fout was, maar hij leek verbaasd te horen dat hij er echt problemen mee kon krijgen.

Vandaag de dag vindt Bieler het “krankzinnig” dat een man een drie jaar durende wrok tegen een astronomieforum zo bitter zou koesteren dat hij effectief zou proberen een bedrijf failliet te laten gaan als wraak. “Als mensen gewoon eens vijf seconden afstand zouden nemen van hun toetsenbord, zou veel van dit soort dingen niet gebeuren,” zegt hij. Maar nu de zaak op zijn einde loopt, voelt hij zich gewoon rot voor alle betrokkenen – inclusief Goodyear.

“Kijk, geld verliezen is klote. Dat mijn bedrijf een paar weken plat ligt, is waardeloos. Niet weten wat er gaat gebeuren omdat je geen inkomsten hebt om de salarissen van mensen te betalen is klote,” zegt Bieler. “Twee jaar van je leven verliezen omdat je iets stoms hebt gedaan, is nog erger.”

Bekijk alle verhalen in Beleid