Hur en fejd på ett teleskopforum slutade med fängelse

När FBI dök upp vid David Goodyears dörr i augusti 2016 började de fråga honom om teleskop. Den 42-årige IT-specialisten och ivriga stjärnskådaren hade frekventerat ett astronomiforum som heter Cloudy Nights. Nu hade någon tagit forumet offline med en överbelastningsattack, och bevisen pekade på Goodyear.

Goodyear svor först på sin oskuld, men efter alltmer tillspetsade frågor erkände han. Ett av hans konton hade förbjudits för ett par veckor sedan, sade han. I ett plötsligt raseriutbrott hade han spammat webbplatsen med pornografi och sedan lagt ut dess adress på en webbplats som heter HackForums.net och bett någon att attackera den. ”Jag tänkte bara: Varför i helvete blir jag bannlyst för? Jag var bara förbannad”, berättade han för sina besökare – en från Federal Bureau of Investigation och en annan från Los Angeles Police Department. ”Jag gick bara upp i hettan.”

Hans besökare verkade lätt roade av forumdramat, och han pratade med dem om sin teleskopsamling på 100 000 dollar innan de gick. Men ett år senare arresterades Goodyear. I december 2018 dömdes han till mer än två års fängelse för brott mot Computer Fraud and Abuse Act.

Det är ett straff som inte ens Goodyears offer vill att han ska avtjäna. Ett enda foruminlägg räckte för att rikta en tillfälligt förödande attack mot ett litet företag, medan federala lagar om datorbrott innebar att samma inlägg nu kunde få livsavgörande konsekvenser.

Distribuerade överbelastningsattacker (DDoS-attacker) är en av de enklaste cyberattackerna: de översvämmar en webbplats med enorma mängder trafik tills den inte längre kan visa upp sidor för riktiga användare. I stor skala kan dessa attacker vara otroligt störande. Mirai DDoS från 2016 stängde ner stora delar av webben och kapade osäkra smarta enheter för att skapa en armé av robotar. Även i mindre skala kan de orsaka verklig skada – som Goodyears begäran gjorde mot ägarna av forumet Cloudy Nights.

Cloudy Nights drivs av Astronomics, ett Oklahomabaserat företag som säljer teleskop och annan astronomiutrustning. Vice VD Michael Bieler uppskattar att forumet har cirka 115 000 registrerade användare som utbyter råd, rymdbilder och åsikter om teleskop. Bieler beskriver Cloudy Night som generellt sett ”en trevlig fredlig sida av Internet” där moderatorerna har delat ut färre än ett dussin livstidsförbud under de 15 år som forumet har funnits. Politik är förbjuden utom på ett forum för att diskutera lagar om ljusförorening.

Den 13 augusti postade en person vid namn HawaiiAPUser en skärmdump av ett misslyckat inloggningsförsök, vilket visade att han eller hon hade blivit bannlyst under ett annat namn. Nedan fanns en rad sexuella förolämpningar och porrlänkar. ”Mods och admins kan inte stoppa mig!” skrev användaren. ”Jag tror att jag ska prata med mina kontakter och bara D0S den här sajten samt A55stronomics”, en uppenbar hänvisning till en överbelastningsattack.

Dagen därpå började Cloudy Nights och Astronomics webbplats att överbelastas med trafik, vilket gjorde att forumen blev opålitliga och att Astronomics.com höll Astronomics.com nästan helt offline. ”Vi är bara ett litet familjeföretag, och han stängde ner oss i princip i två veckor”, säger Bieler till The Verge. ”Jag hade ingen inkomst. Den var nästan obefintlig.”

När attacken fortsatte ringde Bieler den lokala polisen och en advokat som sa åt honom att kontakta FBI. ”Jag tänkte: ”De kommer att skratta åt mig när jag säger att någon blev arg på ett forum och har bestämt sig för att ta ner min webbplats”, säger han nu. Men vid den tidpunkten var han dödligt allvarlig. Bieler berättade för byrån att han var rädd att hans företag skulle gå i konkurs om attackerna fortsatte, och att hans far – företagets grundare – hade åkt till sjukhuset med hjärtproblem på grund av stressen. ”Det dödar honom bokstavligen”, skrev han i ett mejl.

Cloudy Nights moderatorer hade under tiden en god uppfattning om vem som låg bakom attacken. Goodyear hade varit en regelbunden besökare fram till 2013 då han förbjöds för att han – som han uttryckte det – ”skällde ut” moderatorerna. (Rättegångsdokumenten målar upp en mörkare bild och säger att han följde upp med ett hotfullt meddelande där han ”bad om att slåss” mot en av dem). Han hade skapat flera andra konton sedan dess, och moderatorerna fortsatte att förbjuda dem. HawaiiAPUser’s skärmdump hade en tidsstämpel, så de kontrollerade vilka konton som hade varit aktiva vid den tidpunkten och om andra personer hade loggat in från samma IP-adress. Goodyears gamla konton dök upp.

Den 31 augusti besökte FBI och LAPD Goodyears hus i El Segundo, Kalifornien. Goodyear förklarade sig förbryllad över varför de hade kommit och hävdade att han inte låg bakom inlägget. ”Jag har liksom tvättat mina händer på den här webbplatsen”, sade han och antydde att en anställd eller en hackare kan ha använt hans nätverk.

Agenterna hotade med att börja lämna in husrannsakningsorder. ”FBI vet vad de gör”, varnade en av dem illavarslande. ”Vi fångade Osama bin Laden, eller hur? Vi kan fånga någon som gör en DDoS.”

Argumentet övertygade tydligen Goodyear. ”Jag skrev faktiskt den där skiten om att slå till mot dem. Jag skrev också på ett hackforum och sa: ’Hej, kan du ta ner den här webbplatsen?'”, erkände han. ”Jag tror att det kanske gick längre än vad det borde ha gjort.” Men han insisterade på att han inte hade någon expertis inom hackning och att han inte hade betalat någon för attacken. På frågan om han kunde få attackerna att upphöra svarade han att han ”inte visste tillräckligt bra.”

Det är inte helt klart hur DDoS-kampanjen slutade. Enligt en skärmdump från september 2016 av Goodyears konto på HackForums.net var sista gången han loggade in – åtminstone under sitt ursprungliga användarnamn – den 29 augusti. Det sista framgångsrika DDoS-försöket var den 30 augusti, dagen innan Goodyear talade med FBI. Angriparna kan ha slutat frivilligt efter det, eller så kan de ha hindrats av Astronomics nya försvar eftersom Bieler hade anlitat en cybersäkerhetsexpert för att hjälpa till.

I ett pressmeddelande betonade justitiedepartementet ”vikten av att avskräcka från sofistikerade cyberbrott, som är svåra att spåra och därför särskilt viktiga att bestraffa”. Men det sätt på vilket Goodyear beskrev sitt brott var nästan löjligt osofistikerat. I sin FBI-intervju sade han att han hade sökt på Google efter sätt att hämnas på Cloudy Night. ”Jag letade efter andra sätt att se om jag kunde slå ut dem, om jag kunde hacka… få ett botnät eller något.” Han hittade HackForums.net, sa ”skit i det” och anmälde sig.

Hursomhelst fann en jury Goodyear ansvarig för ett fall av ”avsiktlig skada på en skyddad dator”. En domare dömde honom till 2 500 dollar i böter, 27 352 dollar i ersättning och 26 månaders fängelse.

Bieler hade trott att fallet var avslutat tills FBI arresterade Goodyear ett år senare och kallade Bieler till domstolen. Han blev chockad när han fick reda på straffets längd. Han hade aldrig velat att Goodyear skulle fängslas överhuvudtaget, än mindre i två år. ”Ärligt talat tycker jag att det är extremt, det som hände”, säger han. ”Vi bad faktiskt i vårt brev att han inte skulle få fängelsestraff. Vi ville bara att han skulle sluta attackera vår webbplats.”

Den 34 år gamla lagen om datorbedrägeri och missbruk (Computer Fraud and Abuse Act, CFAA), som teknikpolitiske experten Tim Wu har kallat ”den värsta lagen inom tekniken”, är kontroversiell av många skäl. Ett av de vanligaste är dess hårda straffbestämmelser.

Domstolar baserar fängelsestraff på ett intervall som definieras med United States Sentencing Guideline rubric, som beräknar en siffra som representerar ett brotts svårighetsgrad. CFAA gör det ovanligt lätt att blåsa upp detta tal. Åklagare kan höja den uppskattade kostnaden för ett hack med löst relaterade utgifter, eller sänka den om den tilltalade samarbetar. De kan lägga till extra straff för användning av ”sofistikerade medel” och ”särskilda färdigheter”, även för ganska enkla handlingar som att köra ett skript.

”För mig är detta ett oproportionerligt straff”, säger advokaten Tor Ekeland om Goodyears straff på 26 månader. ”Tyvärr är det ganska typiskt.” Ekeland har företrätt personer som säkerhetsforskaren Justin Shafer och journalisten Matthew Keys i cyberbrottsmål, och han är en av CFAA:s mest uttalade kritiker. Han säger att det inte finns någon klar rättslig ram för att fälla personer för DDoS-attacker eftersom brottet är ganska nytt. Men han tror att åklagare ofta tar även uppenbart svaga fall till domstol, både för att de är relativt lätta att argumentera för och för att det finns en ”sexighetsfaktor” i datorbrott.

Justitiedepartementet har visat sig vara särskilt skickligt när det gäller DDoS-åtal under Trump, genom att åtala skaparna av Mirai-botnätet och, på senare tid, mannen som ligger bakom flera attacker mot stora spelnätverk. Dessa resulterar inte alltid i långa straff, men som det framgår av justitiedepartementets pressmeddelande bestraffar domstolarna vissa enskilda cyberbrott hårt för att avskräcka eftersom endast en bråkdel av gärningsmännen åker fast.

Onlinebrott är svåra att spåra, och det är ett verkligt problem för de personer som bekämpar hot på nätet, bekämpar hoaxar eller utpressningsoperationer. Och långt ifrån att överreagera på alla internetbrott kan brottsbekämpande myndigheter och domstolar ignorera eller bagatellisera till exempel trakasserier på nätet.

Ekeland tror dock att domstolarna behandlar många ”hacker”-brott som onödigt hotfulla, jämfört med icke-datorrelaterade brott som orsakar ekonomisk skada – eller dåligt beteende hos företag. Linjen om DDoS-attackens sofistikering är särskilt ”absurd”, säger han. ”Detta var inte ett sofistikerat datorbrott. Och det faktum att domstolen tyckte det belyser problemet med den här typen av fall.”

CFAA är naturligtvis bara en aspekt av det amerikanska rättssystemets problem. Massor av brott utöver cyberbrott kan resultera i oproportionerliga straff. Och problemet är inte bara alltför långa fängelsestraff. Det är de omänskliga förhållandena i amerikanska fängelser, som drabbar miljontals människor som är mycket mindre privilegierade än Goodyear, varav en del inte ens har dömts för ett brott.

Nästan alla som var inblandade i att fånga Goodyear verkade lite förvirrade av hela sagan. ”Hur kan ni få bannlysning från en astronomisajt?” undrade FBI-agenten som kom för att förhöra honom. ”Finns det en debatt om en tionde planet eller något?” Enligt Goodyear hade han bara loggat in på ett forum, frågat ”Kan ni hacka det här?” och sedan återgå till sitt vanliga liv. Han höll med om att det han hade gjort var fel, men han verkade förvånad över att höra att han kunde få riktiga problem för det.

I dag anser Bieler att det är ”vansinnigt” att en man skulle hysa ett treårigt agg mot ett astronomiforum så bittert att han i själva verket skulle försöka sätta ett företag i konkurs som hämnd. ”Om folk bara kunde ta ett steg bort från sina tangentbord i fem sekunder skulle mycket av det här inte hända”, säger han. Men när fallet når sitt slut känner han helt enkelt medlidande för alla inblandade – inklusive Goodyear.

”Det suger att förlora pengar. Att ha mitt företag nere i några veckor suger. Att inte veta vad som kommer att hända eftersom du inte har någon inkomst som kommer in för att betala folks löner suger”, säger Bieler. ”Att förlora två år av sitt liv för att man gjorde något dumt suger ännu mer.”