Como uma rixa de fórum de telescópio terminou com tempo de prisão

Quando o FBI apareceu na porta de David Goodyear em agosto de 2016, eles começaram a perguntar-lhe sobre telescópios. O especialista em TI de 42 anos e ávido observador de estrelas tinha frequentado um fórum de astronomia chamado Noites Nubladas. Agora, alguém havia tirado o fórum do ar com um ataque de negação de serviço, e as evidências apontavam para Goodyear.

Goodyear jurou inocência no início, mas depois de cada vez mais questionamentos apontados, ele confessou. Uma das suas contas tinha sido banida há algumas semanas atrás, disse ele. Em uma raiva súbita, ele tinha feito spam no site com pornografia, depois postou seu endereço em um site chamado HackForums.net, pedindo para alguém atacá-lo. “Eu estava apenas, tipo, por que caralho estou a ser banido? Eu só estava chateado”, disse aos seus visitantes – um do Federal Bureau of Investigation e outro do Departamento de Polícia de Los Angeles. “Acabei de entrar, apenas o calor do momento.”

Os seus visitantes pareceram ligeiramente divertidos pelo drama do fórum, e ele conversou com eles sobre a sua colecção de telescópio de 100.000 dólares antes de saírem. Mas um ano depois, Goodyear foi preso. Em dezembro de 2018, ele foi condenado a mais de dois anos de prisão por violar a Lei de Fraude e Abuso de Computador.

É uma sentença que mesmo as vítimas de Goodyear não querem que ele sirva. Um único post no fórum foi suficiente para dirigir um ataque temporariamente devastador a uma pequena empresa, enquanto as leis federais de crime informático significavam que o mesmo post poderia agora vir com consequências que mudam a vida.

Ataques de negação de serviço (ou DDoS) distribuídos são um dos ataques cibernéticos mais simples: eles inundam um site com enormes quantidades de tráfego até que ele não possa mais servir páginas para usuários reais. Em grande escala, estes ataques podem ser incrivelmente perturbadores. O Mirai DDoS 2016 fechou grandes seções da web, seqüestrando dispositivos inteligentes inseguros para criar um exército de bots. Mesmo em uma escala menor, eles podem causar danos reais – como o pedido da Goodyear fez aos donos do fórum Cloudy Nights.

Cloudy Nights é administrado pela Astronomics, uma empresa sediada em Oklahoma que vende telescópios e outros equipamentos de astronomia. O vice-presidente Michael Bieler estima que o fórum tem cerca de 115.000 utilizadores registados a trocar conselhos, fotos espaciais e opiniões sobre telescópios. Bieler descreve a Noite Nublada como, em geral, “uma agradável ponta pacífica da internet”, onde os moderadores distribuíram menos de uma dúzia de proibições vitalícias em mais de 15 anos de funcionamento. Política é proibida exceto em um quadro para discutir leis de poluição leve.

Em 13 de agosto, alguém chamado HawaiiAPUser postou uma captura de tela de uma tentativa falhada de login, indicando que eles tinham sido banidos com outro nome. Abaixo estava uma série de insultos sexuais e links pornográficos. “Mods e admins não podem me impedir!” o usuário escreveu. “Acho que vou falar com meus contatos e apenas D0S este site assim como A55stronomics”, uma aparente referência a um ataque de negação de serviço.

No dia seguinte, o site de Cloudy Nights e Astronomics começou a ficar sobrecarregado de tráfego, tornando os fóruns pouco confiáveis e mantendo Astronomics.com quase completamente offline. “Somos apenas um pequeno negócio familiar, e ele nos fechou essencialmente por duas semanas”, diz Bieler ao The Verge. “Eu ganhei zero de rendimento. Era quase inexistente”

Como o ataque continuou, Bieler chamou a polícia local e um advogado que lhe disse para entrar em contato com o FBI. “Eu estava tipo, ‘Bem, eles vão rir-se de mim quando eu lhes disser que alguém se zangou num fórum e decidiu derrubar o meu site'”, diz ele agora. Mas, na época, ele estava muito sério. Bieler disse à agência que tinha medo que a sua empresa fosse à falência se os ataques continuassem, e que o seu pai – fundador da empresa – tinha ido para o hospital com problemas cardíacos devido ao stress. “Está literalmente matando-o”, escreveu ele em um e-mail.

A moderadores do Cloudy Nights, enquanto isso, tinham uma boa idéia de quem estava por trás do ataque. Goodyear tinha sido um visitante regular até 2013, quando ele foi banido por – como ele disse – “boca a boca” para os moderadores. (Documentos da corte pintam um quadro mais escuro, dizendo que ele seguiu com uma mensagem ameaçadora “pedindo para lutar” uma delas). Ele tinha criado vários outros relatos desde então, e os moderadores continuaram a bani-los. O screenshot do HawaiiAPUser tinha um carimbo de data/hora, então eles verificaram quais contas tinham estado ativas naquele momento e se outras pessoas tinham feito login a partir do mesmo endereço IP. As contas antigas da Goodyear surgiram.

Em 31 de agosto, o FBI e a LAPD visitaram a casa da Goodyear em El Segundo, Califórnia. Goodyear confessou perplexidade sobre o motivo de terem vindo, alegando que ele não estava por trás do posto. “Eu meio que lavei minhas mãos deste site”, disse ele, sugerindo que um funcionário ou hacker poderia ter usado sua rede.

Os agentes ameaçaram começar a arquivar mandados de busca. “O FBI sabe o que está a fazer”, avisou um deles sinistramente. “Apanhámos o Osama bin Laden, certo? Podemos apanhar alguém a fazer um DDoS.”

O argumento aparentemente convenceu a Goodyear. “Eu postei aquela porcaria sobre bater-lhes. Também coloquei num fórum de hackers, a dizer: ‘Ei, podes derrubar este site?'” admitiu ele. “Acho que talvez tenha ido mais longe do que devia.” Mas ele insistiu que não tinha experiência em hacking e não tinha pago a ninguém pelo ataque. Quando perguntado se ele podia fazer os ataques pararem, ele disse que “não sabia o suficiente”.

Não está totalmente claro como a campanha DDoS terminou. De acordo com uma imagem de Setembro de 2016 da conta HackForums.net da Goodyear, a última vez que ele entrou – pelo menos com o seu nome de utilizador original – foi no dia 29 de Agosto. A última tentativa de sucesso do DDoS foi em 30 de agosto, um dia antes de Goodyear falar com o FBI. Os atacantes podem ter parado voluntariamente depois disso, ou podem ter sido impedidos pelas novas defesas da Astronomics desde que Bieler contratou um especialista em segurança cibernética para ajudar.

Em um comunicado de imprensa, o Departamento de Justiça enfatizou “a importância de dissuadir criminosos cibernéticos sofisticados, que são difíceis de rastrear e, portanto, particularmente importantes de punir”. Mas a forma como Goodyear descreveu o seu crime foi quase ridiculamente pouco sofisticada. Na sua entrevista ao FBI, ele disse que tinha procurado no Google formas de se vingar da Noite Nublada. “Estava à procura de outras formas de ver se os podia eliminar, se podia piratear… arranjar uma botnet ou assim.” Ele encontrou o HackForums.net, disse “que se lixe” e inscreveu-se.

De qualquer forma, um júri encontrou a Goodyear responsável por uma contagem de “danos intencionais a um computador protegido”. Um juiz condenou-o a uma multa de 2.500 dólares, 27.352 dólares em restituição e 26 meses de prisão.

Bieler tinha assumido que o caso estava encerrado até que o FBI prendeu Goodyear um ano depois e convocou Bieler para o tribunal. Ele ficou chocado quando soube da duração da sentença. Ele nunca quis que Goodyear fosse preso, muito menos durante dois anos. “Honestamente, acho que é extremo, o que aconteceu”, diz ele. “Na verdade, pedimos na nossa carta que ele não fosse preso. Só queríamos que ele parasse de atacar o nosso site”.”

A Lei da Fraude e Abuso de Computadores (CFAA), de 34 anos, que o especialista em política tecnológica Tim Wu chamou de “a pior lei em tecnologia”, é controversa por muitas razões. Uma das mais comuns é a severidade das penas.

Judge baseia as penas de prisão em um intervalo definido com a rubrica Diretrizes de Sentença dos Estados Unidos, que calcula um número representando a severidade de um crime. O CFAA torna esse número invulgarmente fácil de inflar. Os promotores podem aumentar o custo estimado de um hack com despesas relacionadas com o hack, ou baixá-lo se um réu cooperar. Eles podem adicionar penalidades extras por usar “meios sofisticados” e “habilidades especiais”, mesmo para ações bastante simples como executar um script.

“Isto, para mim, é uma sentença desproporcionalmente punitiva”, diz o advogado Tor Ekeland do mandato de 26 meses da Goodyear. “Infelizmente, é um pouco típico.” Ekeland tem representado figuras como o pesquisador de segurança Justin Shafer e o jornalista Matthew Keys em casos de crimes cibernéticos, e ele é um dos críticos mais falados da CFAA. Ele diz que não há uma estrutura legal para condenar pessoas por ataques de DDoS, uma vez que o crime é bastante novo. Mas ele acha que os promotores freqüentemente trazem casos claramente fracos ao tribunal, tanto porque eles são relativamente fáceis de argumentar quanto porque há um “fator de sensualidade” nos crimes de computador.

O Departamento de Justiça provou ser particularmente hábil em processos de DDoS sob Trump, processando os criadores da botnet Mirai e, mais recentemente, o homem por trás de vários ataques às principais redes de jogos. Estes nem sempre resultam em sentenças longas, mas como sugere o comunicado de imprensa do Departamento de Justiça, os tribunais punem duramente alguns cibercrimes individuais como um dissuasor, uma vez que apenas uma fração dos infratores são capturados.

Os crimes online são difíceis de rastrear, e isso é um problema real para as pessoas que estão lutando contra as ameaças online, golpeando embustes, ou operações de resgate. E longe de exagerar em todos os crimes na internet, as autoridades policiais e os tribunais podem ignorar ou minimizar o assédio online, por exemplo.

Ekeland pensa que os tribunais tratam muitos crimes de “hackers” como sendo indevidamente ameaçadores, no entanto, em comparação com crimes não informáticos que causam danos financeiros – ou mau comportamento por parte das empresas. A linha sobre a sofisticação do ataque DDoS é particularmente “absurda”, diz ele. “Isto não foi um crime informático sofisticado. E o fato de o tribunal ter pensado que isso destaca o problema com esses tipos de casos”

O CFAA é apenas uma faceta dos problemas do sistema de justiça americano, é claro. Muitas ofensas além dos crimes cibernéticos podem resultar em sentenças desproporcionais. E o problema não é apenas o de penas de prisão demasiado longas. São as condições desumanas das prisões americanas, que afectam milhões de pessoas que são muito menos privilegiadas do que a Goodyear, algumas das quais nem sequer foram condenadas por um crime.

Virtualmente, todos os envolvidos na captura da Goodyear pareciam um pouco incomodados com toda esta saga. “Como estão a ser banidos de um site de astronomia?” questionou o agente do FBI que chegou para o interrogar. “Há algum debate sobre um décimo planeta ou algo assim?” E na estimativa da Goodyear, tudo o que ele fez foi entrar num fórum, perguntar “Ei, vocês podem piratear isto?” e voltar à vida como sempre. Ele concordou que o que tinha feito era errado, mas parecia surpreso ao ouvir que poderia se meter em sérios problemas por isso.

Hoje, Bieler acha “insano” que um homem alimentasse um rancor de três anos contra um fórum de astronomia tão amargamente que efetivamente tentaria falir uma empresa em vingança. “Se as pessoas pudessem se afastar de seus teclados por cinco segundos, muito disso não aconteceria”, diz ele. Mas quando o caso chega ao fim, ele simplesmente se sente mal por todos os envolvidos – incluindo Goodyear.

“Olha, perder dinheiro é uma droga”. Ter o meu negócio em baixo durante algumas semanas é uma treta. Não saber o que vai acontecer porque você não tem renda para pagar os salários das pessoas é uma droga”, diz Bieler. “Perder dois anos da sua vida porque fez algo estúpido é uma porcaria pior.”