211service.com
De documenten in de zaak
De brief van Carl Payne kwam in het voorjaar van 1998. Het was met de hand geschreven - geen briefhoofd. Ik was verdacht. Columnist zijn voor De Boston Globe en de auteur van zeven boeken, krijg ik mijn deel van de communicatie van dwazen, gekken en veroordeelden. Maar Payne, realiseerde ik me al snel, was geen van de bovenstaande.
Payne schreef dat hij de beklaagde was in een criminele computerhackingzaak. In december 1994, op 28-jarige leeftijd, had hij geholpen bij het opzetten van een internetprovider in Utah die uiteindelijk Fibernet heette. Maar in de herfst van 1996 stemde het bestuur om Payne af te zetten nadat hij de hoorns had gesloten met de man die op het punt stond de nieuwe president van Fibernet te worden.
Een week nadat Payne Fibernet had verlaten, had iemand de computers van het bedrijf gehackt en hun systemen geplunderd. Fibernet had Payne onmiddellijk gepakt en het kantoor van de Utah County Attorney's Office overgehaald om hem aan te klagen voor het overtreden van sectie 76-6-703 van het Utah Criminal Code, Computer Crimes, een tweedegraads misdrijf. De aanklager had een stapel bewijsmateriaal, de zaak zou voor de rechter komen en hij had mijn hulp nodig.
Op het eerste gezicht leek Payne inderdaad de waarschijnlijke boosdoener. Studies hebben aangetoond dat de meeste computercriminaliteit wordt gepleegd door ontevreden werknemers. De meeste gevallen van computerhacking die een rechtszaal bereiken, draaien om een bepaald aspect van de wet, zoals of de hack illegaal was, en niet of de verdachte het daadwerkelijk heeft gedaan. Ik had nog nooit gehoord van een zaak waarin de beschuldigde hacker zijn onschuld volhield, vooral in de...
licht van harde bewijzen. Toch was dat precies wat Payne deed. Geïntrigeerd belde ik hem.
Aan de telefoon was Payne spraakzaam, vriendelijk en erg bezorgd. We kwamen overeen dat hij me al het bewijs zou sturen dat het kantoor van de procureur-generaal aan zijn advocaat had verstrekt. Ik zou de kwaliteit ervan beoordelen en een rapport schrijven. Als de zaak voor de rechter kwam, en hij wilde me nog steeds, zou ik naar Utah komen om te getuigen. Het zou mijn eerste periode zijn als betaalde getuige-deskundige.
Een week ging voorbij en er kwam een dik pakket in mijn brievenbus. Het bevatte Payne's verslag van het incident, het politierapport, verklaringen van alle betrokkenen en bijna 200 pagina's met computerafdrukken. Nadat ik vier uur lang de documenten had bestudeerd, kwam ik de woonkamer binnen en zei tegen mijn vrouw: het ziet er niet goed uit voor meneer Payne.
Payne's laatste werkdag was 30 oktober 1996. Op 6 november had iemand zich aangemeld bij alle hoofdcomputers van Fibernet en begonnen met het verwijderen van bestanden. Webpagina's van klanten en e-mail werden gewist. Boekhoudkundige informatie werd weggevaagd. Vervolgens kreeg de aanvaller toegang tot elk van de speciale communicatiecomputers van het bedrijf, routers genaamd, en verwijderde hun programmering. Uiteindelijk verloor het bedrijf meer dan de helft van zijn klanten, ontsloeg veel werknemers, liet zijn managers zonder salaris achter en ging bijna failliet.
Payne, die Chief Technical Officer van Fibernet was geweest, had zeker de kennis die nodig was om de aanval uit te voeren. En na zijn rommelige vertrek had hij misschien een motief: wraak. Enkele andere details leken ook in de richting van Payne te wijzen: onder de verschillende accounts die in de hack werden gebruikt, was er een die carl heette, die vermoedelijk van hem was, een account genaamd dbowling, die toebehoorde aan een van zijn
vrienden, en een genaamd usenet. Enige tijd voor de aanval had iemand het usenet-account gewijzigd en het volledige systeemrechten gegeven, waardoor - om het jargon van computerbeveiliging te gebruiken - een achterdeur werd gecreëerd.
Maar misschien wel het meest vernietigende document in het pakket was het rapport van de politieagent die na de aanval naar het huis van Payne was gegaan. Toen de officier arriveerde, ontdekte hij dat Payne de harde schijf van zijn thuiscomputer opnieuw had geformatteerd en het besturingssysteem opnieuw aan het installeren was. In de prullenbak naast de computer was
een stapel diskettes. De officier nam de computer van Payne niet in beslag en nam de diskettes niet in beslag - hij getuigde later in de rechtszaal dat hij ervan uitging dat potentieel bruikbaar bewijsmateriaal al was vernietigd.
Het zag er allemaal verdacht uit. Maar een ander telefoontje naar Payne leverde een ander perspectief op. De vorige week dat hij bij Fibernet was, vertelde Payne me, had hij alle administratieve wachtwoorden van het bedrijf aan de nieuwe president doorgegeven. De volgende dag ontdekte Payne dat zijn wachtwoord was gewijzigd. Op de ochtend van de aanval, zei Payne, had hij verschillende keren geprobeerd Fibernet op zijn modem te bellen, met de kleine kans dat zijn account op de een of andere manier opnieuw was ingeschakeld, maar hij had zich nooit succesvol aangemeld. In feite was hij opnieuw aan het formatteren
zijn thuiscomputer, omdat die elke keer crashte als Fibernet zijn wachtwoord afwees. Al die schijven in de prullenbak, zei hij, waren oude bestanden die hij weggooide ter voorbereiding op een verhuizing naar Californië.
Ik wist niet zeker wie ik moest geloven, maar ik begon Carl Payne aardig te vinden. Hij had mij 10 jaar geleden kunnen zijn - een technisch onderlegde nerd die in de problemen was gekomen met een stel pakken die meer vertrouwd waren met spreadsheets dan met C-compilers. Misschien deed hij het, misschien ook niet. Maar een nadere inspectie van de computerafdrukken die de kern van de zaak van de aanklager vormden, overtuigde me ervan dat,
wie de dader ook was, er was niet genoeg bewijs om iemand te veroordelen.
Om te beginnen kon ik op geen van de afdrukken een telefoonnummer of computer lokaliseren van waaruit de aanval was gelanceerd, laat staan de identiteit van de dader. En iets anders genaamd de
bewijs in nog grotere vraag: het leek erop dat iemand met sommige bestanden had geknoeid voordat ze werden afgedrukt. Het logboek bevatte kleine typografische fouten - een paar extra spaties op één regel, a
letter viel op een andere - alsof iemand de originele logbestanden in een tekstverwerker had gezet en tekst had geknipt en geplakt voordat hij werd afgedrukt. Dit betekende dat de informatie op die pagina's verdacht was. En waarom kreeg ik al dit bewijs in gedrukte vorm? Waar waren de originele elektronische documenten? Schuldig of niet, ik
dacht dat niemand veroordeeld zou mogen worden op basis van geknoeid bewijs.
Ik stuurde een rapport van zes pagina's naar Payne en bleef de zaak volgen. In december stapte ik op het vliegtuig naar Utah. Toen ik aankwam bij het Utah County Courthouse in Provo, waren de openingspleidooien net afgelopen. De theorie van de aanklager was eenvoudig: Carl Payne was een technisch briljante maar moeilijk te hanteren werknemer. Wanneer?
Fibernet liet hem weten dat hij zou worden ontslagen, Payne installeerde een achterdeur waarmee hij de computers van het bedrijf kon wissen nadat hij was vertrokken.
Het bleek dat Fibernet bij het afzetten van Payne de enige medewerker had ontslagen die in staat was de schade van de aanval te herstellen. Dus naast het bellen van de politie na het incident, hadden ze een computerconsulent gebeld om binnen te komen en te proberen het systeem weer aan de praat te krijgen. De adviseur, Stacey Son, werd de leidende getuige-deskundige voor de vervolging.
De getuigenis van Son legde uit waarom er slechts 200 pagina's met afdrukken in het bewijsmateriaal waren: Fibernet had hem ingehuurd om het systeem snel te laten werken, niet om de schade voor een onderzoek te documenteren, dus hij had niet geprobeerd om potentieel belastende of vrijsprekende bestanden te bewaren. De politie ook niet, zo bleek: de agent
die Fibernet bezocht en vervolgens het huis van Payne doorzocht, getuigde dat hij geen ervaring had met het UNIX-besturingssysteem dat Fibernet en Payne gebruikten. In plaats van computers en schijven in beslag te nemen, had de officier gewoon de papieren afdrukken aanvaard die Fibernet had overhandigd.
Op de tribune gaf Son toe dat hij op geen enkele manier de identiteit van de dader kon vertellen. Maar het grootste gat in de theorie van de aanklager werd duidelijk toen de verdediging Son ondervroeg over de aanval zelf. Het was slecht gedaan, legde Son uit: er werd niet genoeg informatie weggevaagd. Het leek mij het werk
van een amateur met slechts rudimentaire kennis van UNIX-systemen, niet die van iemand van Payne's toegegeven bekwaamheid.
Het openbaar ministerie rustte op donderdag, de derde dag van het proces. Die nacht in mijn hotelkamer keek ik nog eens naar die kritische afdrukken. De belangrijkste stukken van de aanklager waren pagina's 151 en 152, waarop de naam van elk account, het gebruikersidentificatienummer, het groepsnummer, het versleutelde wachtwoord en een derde nummer stonden.
voor boekhoudkundige doeleinden. Het gebruikersidentificatienummer was het onderwerp geweest van veel getuigenissen, sinds zijn
manipulatie was een cruciale stap in het creëren van de achterdeur. Niemand had het over de betekenis van het boekhoudnummer gehad.
Vrijdagochtend werd ik om 5 uur wakker in mijn hotelkamer. Ik had een voorgevoel over het ongrijpbare laatste nummer. Ik moest de documentatie controleren voor de versie van UNIX die Fibernet had gebruikt. Ik had de handleiding niet bij me, maar ik startte mijn laptop op en vond hem op internet; het legde uit dat het nummer werd gebruikt om mensen te waarschuwen wanneer het tijd was om hun wachtwoord te wijzigen - het gaf het aantal dagen aan tussen 1 januari 1970 en de laatste keer dat het wachtwoord werd gewijzigd.
Ik voelde me dom. Dit was misschien wel het belangrijkste bewijsstuk in het hele proces, en ik had het me niet eens gerealiseerd tot de ochtend dat ik moest getuigen! In het wachtwoord van elk account was de datum gecodeerd waarop het wachtwoord voor het laatst was gewijzigd - door het nummer te decoderen kon ik precies vaststellen wanneer de achterdeur was gemaakt. In de uren voor het proces schreef ik een klein programma om de cijfers te vertalen.
Wat mijn zelfgemaakte programma me liet zien, pakte de zaak. De achterdeur was geïnstalleerd op 31 oktober, de dag na Payne's laatste werkdag - en nadat zijn toegang tot het Fibernet-systeem al was afgesneden. Payne kan het niet hebben gemaakt. Bovendien dateerde de wijziging van het wachtwoord van een ander account meer dan twee weken na de aanval, een detail dat onmogelijk zou zijn als de afdruk echt dezelfde was die Son die dag had gemaakt. Hieruit bleek onomstotelijk dat de bewijsketen was doorbroken.
Om 10 uur nam ik de tribune. Ik beschreef mijn geloofsbrieven, de juiste afhandeling van beveiligingsincidenten, het gebrek aan bewijs en de veelbetekenende aanwijzingen dat de afdrukken waren gewijzigd. Ten slotte getuigde ik over wat ik die ochtend had geleerd. Vanaf dat moment ging alles snel. Payne en zijn vrouw getuigden, de advocaten hielden slotpleidooien en de jury begon rond etenstijd met beraadslagingen. Laat in de avond kwamen ze terug met het enige vonnis waarvan ik dacht dat ze redelijkerwijs konden komen: niet schuldig op alle punten.
Tegenwoordig houdt Carl Payne toezicht op een groot computernetwerk in Californië. Ondertussen floreert Fibernet. In de loop van het proces begon ik in Paynes onschuld te geloven, maar ik had nooit het gevoel dat ik het echte verhaal had geleerd. In de slotpleidooien suggereerde de verdediging enkele mogelijkheden: Iemand bij Fibernet had de aanval kunnen uitvoeren. Een werknemer die Payne in juli 1996 ontsloeg, zou het misschien gedaan hebben. Of misschien de
misdaad is gepleegd door een onbekende hacker op internet, een ongelukkig toeval met het ontslag van Payne.
Fibernet van zijn kant weigerde commentaar te geven op dit artikel.
Er is echt geen manier om te weten wat er is gebeurd, omdat de politie van Utah geen zinvol onderzoek heeft gedaan. Ze vroegen het slachtoffer gewoon: Wie heeft het gedaan? en Fibernet antwoordde: Carl Payne. Het bedrijf leverde vervolgens al het bewijsmateriaal dat in de vervolging werd gebruikt. de politie nooit
zouden dergelijke lukrake procedures hebben gevolgd in de nasleep van een fysieke inbraak - ze zouden hun eigen speurwerk hebben gedaan en het bewijs zorgvuldig hebben verzameld en bewaard. Aangezien er steeds meer misdaden plaatsvinden in de buurt die we cyberspace noemen, heeft de politie betere instrumenten en training nodig. Zonder dit riskeren we verknoeide onderzoeken en de zeer reële mogelijkheid dat onschuldige mensen schuldig worden bevonden aan de hacks van anderen.