Quando o FBI apareceu na porta de David Goodyear em agosto de 2016, começaram a perguntar-lhe sobre telescópios. O especialista em TI, de 42 anos, e ávido observador de estrelas, frequentava um fórum de astronomia chamado Cloudy Nights. O site ficou fora do ar com um ataque de negação de serviço (DoS – Denial of Service na sigla em inglês), e as evidências apontavam para David.

Goodyear jurou inocência a princípio, mas depois de questionamentos cada vez mais incisivos, ele confessou. Ele conta que uma de suas contas havia sido banida do site há algumas semanas. Em uma fúria repentina, ele enviou um spam ao site com pornografia, depois postou seu endereço em um site chamado HackForums.net, pedindo a alguém para atacá-lo. “Eu estava indignado. Por que diabos fui banido?”, disse ele aos investigadores – um do FBI e outro do Departamento de Polícia de Los Angeles. “Foi apenas o calor do momento.”

Os investigadores pareciam se divertir com o drama do fórum e Goodyear até conversou com eles sobre sua coleção de telescópios de US$ 100 mil antes de partirem. Mas um ano depois, David foi preso. Em dezembro de 2018, ele foi condenado a mais de dois anos de prisão por violar a Lei de Fraude e Abuso de Informática dos EUA.

Uma única postagem no fórum foi suficiente para direcionar um ataque temporariamente devastador a uma pequena empresa, enquanto as leis federais de criminalidade computacional fizeram com que o mesmo post trouxesse consequências que mudaram a vida do rapaz.

Mas o que David Goodyear fez para receber voz de prisão?

Ataques distribuídos de negação de serviço (ou DDoS) são uma das ofensivas cibernéticas mais simples de se executar: a técnica consiste em, basicamente, “inundar” um site com enormes quantidades de tráfego até que ele não possa mais veicular páginas para usuários reais. Em larga escala, esses ataques podem ser incrivelmente perturbadores. Mesmo em menor escala, eles podem causar danos reais – como o que Goodyear causou.

Em 13 de agosto, alguém com  o nome de usuário HawaiiAPUser publicou uma captura de tela de uma tentativa de login com falha, indicando que uma conta tinha sido banida. Abaixo havia uma série de insultos sexuais e links pornôs. “Moderadores e administradores não podem me parar!”, escreveu o usuário. “Eu acho que vou falar com meus contatos e fazer um ataque DoS neste site”.

No dia seguinte, o Cloudy Nights, começou a ficar sobrecarregado com tráfego, tornando os fóruns pouco confiáveis e atingindo ainda o Astronomics.com – um e-commerce especializado na venda de telescópios e que hospedava o fórum – que ficou praticamente offline. “Somos apenas uma pequena empresa familiar e ele nos parou por duas semanas”, explicou Michael Bieler, vice-presidente da Astronomics. “Nossa renda nesse período foi quase inexistente”.

Como o ataque continuou, Bieler ligou para a polícia local e um advogado aconselhou para que entrasse em contato com o FBI. “Bom, o FBI inteiro  vai rir de mim quando eu contar que um usuário ficou bravo em um fórum sobre telescópios e decidiu derrubar meu site”, explicou. Mas ele foi em frente e, para o FBI se sensibilizar, escreveu um e-mail à agência de investigação, que dizia que ele “temia que sua empresa saísse do negócio se os ataques continuassem e, seu pai, o fundador da companhia, teve que ir ao hospital por problemas cardíacos devido ao estresse. “Isso está, literalmente, matando-o”.

A investigação

Os administradores do Cloudy Nights, enquanto isso, tinham uma boa ideia de quem estava por trás do ataque. Goodyear tinha sido um visitante regular até 2013, quando foi banido pelos moderadores. Ele criou várias outras contas desde então, e os moderadores continuaram proibindo seu acesso. A captura de tela do usuário HawaiiAPUser tinha um registro de data e hora, então eles verificaram quais contas estavam ativas naquele momento e se outras pessoas haviam feito login no mesmo endereço IP. Então as contas antigas da Goodyear surgiram facilmente.

E, em 31 de agosto, o FBI e o LAPD visitaram a casa de Goodyear em El Segundo, Califórnia. Ele acabou confessando depois de alguma pressão psicológica, sendo advertido pelo agente do FBI que eles haviam encontrado Bin Laden e seria fácil pegar alguém que estava fazendo um simples ataque DDoS.  

O argumento aparentemente convenceu Goodyear. “Eu postei essa porcaria para atingi-los. Eu também acionei em um fórum hack, dizendo: ‘Ei, vocês podem derrubar este site?’ “, admitiu. “Eu acho que talvez tenha ido mais longe do que deveria.” Mas ele insistiu que não tinha experiência com códigos e também não pagou nenhum hacker pelo ataque. Quando perguntado se ele poderia fazer os ataques pararem, ele disse que não sabia, pois usou o HackForum e não tinha certeza como funcionava.

E não ficou claro como o ataque parou. De acordo com uma captura de tela de setembro de 2016, da conta HackForums.net, de Goodyear, a última vez que ele efetuou login – pelo menos com o nome de usuário original – foi em 29 de agosto. A última tentativa bem-sucedida de DDoS foi em 30 de agosto, um dia antes de David falar com o FBI. Os atacantes podem ter parado voluntariamente depois disso, ou poderiam ter sido bloqueados pelas novas defesas da Astronomics, desde que Bieler contratou um especialista em segurança cibernética para ajudar.

Em um comunicado à imprensa , o Departamento de Justiça enfatizou “a importância de dissuadir crimes cibernéticos sofisticados, que são difíceis de rastrear e, portanto, particularmente importantes para punir”. Mas a maneira como Goodyear descreveu seu crime era quase ridiculamente simples. Em seus depoimentos para o FBI, ele informou que procurou no Google por maneiras de voltar a ter acesso ao Cloudy Night. “Eu estava procurando outras maneiras de acesso…, se eu pudesse hackear … obter um botnet ou algo assim.” Então ele encontrou o HackForums.net, e se inscreveu.

A condenação

De qualquer forma, um júri considerou Goodyear responsável por “danos intencionais em um computador protegido”. Um juiz o condenou a uma multa de US$ 2.500, restituições de US$ 27.352,00 e 26 meses de prisão.

Bieler ficou chocado quando soube da duração da sentença. Ele nunca quis que Goodyear fosse preso, quanto mais por dois anos. “Honestamente, acho algo extremo”, diz ele. “Nós, na verdade, pedimos em nossa carta [ao tribunal] que ele não fosse preso. Nós só queríamos que ele parasse de atacar nosso site”.

O que pensa um advogado especialista sobre a lei de fraude de informática dos EUA

A lei de Fraude e Abuso de Informática (CFAA) é controversa por muitas razões. E uma delas é a severa regra de condenação.

Os juízes baseiam sentenças de prisão em um tempo definido pelo guia de sentenças dos Estados Unidos, que calcula um número que representa a gravidade de um crime. E a CFAA torna esse número incomumente fácil de inflar. Os promotores podem aumentar o custo estimado de uma invasão com despesas verificadas sem profundidade, ou reduzir o custo se um réu cooperar. Eles podem adicionar penalidades extras por usar “meios sofisticados” e “habilidades especiais”, mesmo para ações bastante simples, como a execução de um script.

“Isso, para mim, é uma sentença exagerada”, diz o advogado Tor Ekeland, procurador do caso de Goodyear. “Infelizmente, é o que acontece”. Ekeland representou figuras como o pesquisador de segurança Justin Shafer e o jornalista Matthew Keys em casos de cibercrime, e ele é um dos críticos mais francos da CFAA. Ele diz que não há uma estrutura legal para convencer pessoas de ataques DDoS, já que o crime é relativamente novo. Mas ele acha que os promotores muitas vezes levam casos claramente fracos à Justiça.

Ekeland acha que os tribunais tratam muitos crimes de “hackers” como sendo indevidamente ameaçadores em comparação a crimes não relacionados a computador e que causam danos financeiros – ou mau comportamento por parte das empresas. “A linha sobre a sofisticação do ataque DDoS é particularmente absurda”, diz ele. “Este não foi um crime de computador sofisticado”.

Indignação e várias perguntas no ar

Praticamente todos os envolvidos na captura da Goodyear pareciam um pouco confusos com toda a saga. “O que faz sermos banidos de um site de astronomia?”, se questionou o agente do FBI que interrogou Goodyear. “Existe um debate sobre um décimo planeta ou algo assim?” E, na opinião de Goodyear, tudo o que ele fez foi entrar em um fórum e perguntar “Ei, vocês podem hackear isso?”. E depois voltou à vida como de costume. Ele concordou que o que tinha feito estava errado, mas ficou bastante surpreso ao ouvir que poderia ficar em sérios apuros por isso.

Hoje, Bieler acha “insano” que um homem fique guarde rancor por 3 anos contra um fórum de astronomia a ponto de tentar levar a empresa à falência. “Se as pessoas pudessem se afastar de seus teclados por cinco segundos e pensar um pouco, muito disso não aconteceria”, diz ele. Mas mesmo assim, ele se sente mal por todos os envolvidos – incluindo Goodyear.

“Olha, perder dinheiro é uma droga. Ter prejuízo por algumas semanas é muito ruim. Não saber o que vai acontecer porque você não tem renda para pagar os salários das pessoas é uma droga ”, diz Bieler. “Mas perder dois anos de sua vida porque você fez algo idiota é muito pior.”

E você, o que achou desse caso? Qual seria o desfecho desse caso no Brasil com a lei 12.737/12, que prevê como são os crimes de invasão digital? Deixe sua opinião nos comentários abaixo.