I documenti nel caso

La lettera di Carl Payne arrivò nella primavera del 1998. Era scritta a mano, senza carta intestata. ero sospettoso. Essere un editorialista per Il Boston Globe e autore di sette libri, ricevo la mia parte di comunicazioni da eccentrici, pazzi e detenuti. Ma Payne, mi resi presto conto, non era nessuno dei precedenti.

Payne ha scritto di essere l'imputato in un caso criminale di pirateria informatica. Nel dicembre 1994, all'età di 28 anni, aveva aiutato ad avviare un provider di servizi Internet nello Utah che alla fine fu chiamato Fibernet. Ma nell'autunno del 1996 il consiglio ha votato per estromettere Payne dopo che si era scontrato con l'uomo che era pronto a diventare il nuovo presidente di Fibernet.

Una settimana dopo che Payne aveva lasciato Fibernet, qualcuno aveva hackerato i computer dell'azienda e saccheggiato i loro sistemi. Fibernet aveva immediatamente denunciato Payne e aveva convinto l'ufficio del procuratore della contea dello Utah ad accusarlo di aver violato la Sezione 76-6-703 del codice penale dello Utah, crimini informatici, un reato di secondo grado. L'accusa aveva un mucchio di prove, il caso stava per essere processato e aveva bisogno del mio aiuto.

A prima vista, Payne sembrava davvero il probabile colpevole. Gli studi hanno dimostrato che la maggior parte dei crimini informatici sono perpetrati da dipendenti scontenti. La maggior parte dei casi di pirateria informatica che raggiungono un'aula di tribunale ruotano su alcuni aspetti della legge, ad esempio se l'hacking fosse illegale e non sul fatto che sia stato effettivamente commesso dal sospettato. Non avevo mai sentito di un caso in cui l'hacker accusato si dichiarasse innocente, soprattutto nel
luce di prove concrete. Eppure è proprio quello che Payne stava facendo. Incuriosito, l'ho chiamato.

Al telefono Payne era loquace, amichevole e molto preoccupato. Abbiamo concordato che mi avrebbe inviato tutte le prove che l'ufficio del procuratore distrettuale aveva fornito al suo avvocato. Valuterei la sua qualità e scriverei un rapporto. Se il caso fosse andato in tribunale e lui mi volesse ancora, sarei venuto nello Utah a testimoniare. Sarebbe il mio primo incarico come perito retribuito.

Passò una settimana e nella cassetta della posta arrivò un grosso pacco. Conteneva il resoconto dell'incidente di Payne, il rapporto della polizia, le deposizioni di tutti i soggetti coinvolti e quasi 200 pagine di stampe al computer. Dopo quattro ore trascorse a esaminare attentamente i documenti, sono uscito in soggiorno e ho detto a mia moglie: le cose non vanno bene per il signor Payne.

L'ultimo giorno di lavoro di Payne era il 30 ottobre 1996. Il 6 novembre qualcuno aveva effettuato l'accesso a ciascuno dei computer principali di Fibernet e aveva iniziato a eliminare i file. Le pagine Web e le e-mail dei clienti sono state cancellate. Le informazioni contabili sono state cancellate. Quindi l'aggressore ha ottenuto l'accesso a ciascuno dei computer per comunicazioni speciali dell'azienda, chiamati router, e ha cancellato la loro programmazione. Alla fine, l'azienda ha perso più della metà dei suoi clienti, ha licenziato molti dipendenti, ha lasciato i suoi dirigenti senza stipendio e ha quasi chiuso.

Payne, che era stato direttore tecnico di Fibernet, aveva certamente le conoscenze necessarie per portare a termine l'assalto. E dopo la sua disordinata partenza, potrebbe aver avuto un movente: vendetta. Alcuni altri dettagli sembravano puntare nella direzione di Payne: tra i vari account utilizzati nell'hack ce n'era uno chiamato carl, che presumibilmente apparteneva a lui, un account chiamato dbowling, che apparteneva a uno dei suoi
amici e uno chiamato usenet. Qualche tempo prima dell'attacco, qualcuno aveva modificato l'account usenet e gli aveva dato tutti i privilegi di sistema, creando, per usare il gergo della sicurezza informatica, una backdoor.

Ma forse il documento più dannoso nel pacco era il rapporto dell'ufficiale di polizia che era andato a casa di Payne dopo l'attacco. Quando l'ufficiale è arrivato, ha scoperto che Payne aveva riformattato il disco rigido del suo computer di casa e stava reinstallando il sistema operativo. Nel cestino accanto al computer c'era
una pila di floppy disk. L'ufficiale non ha sequestrato il computer di Payne né ha sequestrato i floppy: in seguito ha testimoniato in tribunale che aveva supposto che qualsiasi prova potenzialmente utile fosse già stata distrutta.

Sembrava tutto sospetto. Ma un'altra chiamata a Payne ha prodotto una prospettiva diversa. L'ultima settimana in cui era a Fibernet, mi ha detto Payne, aveva consegnato tutte le password amministrative dell'azienda al nuovo presidente. Il giorno dopo, Payne ha scoperto che la sua password era stata cambiata. La mattina dell'attacco, ha detto Payne, aveva provato più volte a chiamare Fibernet sul suo modem, nella remota possibilità che il suo account fosse stato in qualche modo riabilitato, ma non era mai riuscito ad accedere. In effetti, stava riformattando
il suo computer di casa perché si bloccava ogni volta che Fibernet rifiutava la sua password. Tutti quei dischi nella spazzatura, disse, erano vecchi file di cui si stava sbarazzando in preparazione per il trasferimento in California.

Non ero sicuro a chi avrei dovuto credere, ma cominciavo a piacermi Carl Payne. Avrei potuto essere me 10 anni fa, un smanettone tecnicamente esperto che si era messo nei guai con un mucchio di semi che erano più a loro agio con i fogli di calcolo che con i compilatori C. Forse l'ha fatto, forse no. Ma un esame più attento dei tabulati del computer che costituivano il cuore del caso dell'accusa mi ha convinto che,
non importa chi fosse il colpevole, non c'erano prove sufficienti per condannare nessuno.

Per prima cosa, nessuna delle stampe mi ha permesso di individuare un numero di telefono o un computer da cui era stato lanciato l'attacco, per non parlare dell'identità dell'autore. E qualcos'altro chiamato il
prove in una domanda ancora più grande: sembrava che qualcuno avesse manomesso alcuni file prima di stamparli. Il registro presentava piccoli errori tipografici: alcuni spazi extra inseriti su una riga, a
lettera caduta su un'altra, come se qualcuno avesse inserito i file di registro originali in un elaboratore di testi e avesse tagliato e incollato il testo prima della stampa. Ciò significava che le informazioni su quelle pagine erano sospette. E perché tutte queste prove mi sono arrivate in forma stampata? Dov'erano le registrazioni elettroniche originali? Colpevole o no, io
pensato, nessuno dovrebbe essere condannato sulla base di prove manomesse.

Ho inviato un rapporto di sei pagine a Payne e ho continuato a seguire il caso. A dicembre mi sono imbarcato su un aereo per lo Utah. Quando sono arrivato al tribunale della contea di Utah a Provo, le discussioni di apertura si erano appena concluse. La teoria dell'accusa era semplice: Carl Payne era un impiegato tecnicamente brillante ma difficile da gestire. Quando
Fibernet gli ha comunicato che sarebbe stato licenziato, Payne ha installato una backdoor che gli avrebbe permesso di cancellare i computer dell'azienda dopo la sua partenza.

Si è scoperto che nel cacciare Payne, Fibernet aveva licenziato l'unico dipendente in grado di riparare il danno dall'attacco. Quindi, oltre a chiamare la polizia dopo l'incidente, avevano chiamato un consulente informatico per cercare di ripristinare e far funzionare il sistema. Il consulente, Stacey Son, è diventato il perito principale dell'accusa.

La testimonianza di Son ha spiegato perché c'erano solo 200 pagine di stampe nelle prove: Fibernet lo aveva assunto per far funzionare rapidamente il sistema, non per documentare il danno per un'indagine, quindi non aveva tentato di preservare file potenzialmente incriminanti o scagionanti. Nemmeno la polizia, si è scoperto: L'ufficiale
che ha visitato Fibernet e poi ha perquisito la casa di Payne ha testimoniato di non avere esperienza con il sistema operativo UNIX utilizzato da Fibernet e Payne. Invece di sequestrare computer e dischi, l'ufficiale aveva semplicemente accettato le stampe cartacee che Fibernet aveva consegnato.

Sul banco dei testimoni, Son ha ammesso che non c'era modo per lui di rivelare l'identità dell'autore. Ma il buco più grande nella teoria dell'accusa è diventato evidente quando la difesa ha interrogato Son sull'attacco stesso. È stato fatto male, ha spiegato Son: Non sono state cancellate abbastanza informazioni. Mi sembrava essere il lavoro
di un dilettante con una conoscenza solo rudimentale dei sistemi UNIX, non quella di qualcuno delle capacità ammesse da Payne.

L'accusa si è riposata giovedì, terzo giorno del processo. Quella notte nella mia stanza d'albergo, ho ricontrollato quelle stampe critiche. I reperti più importanti dell'accusa erano le pagine 151 e 152, che mostravano il nome di ciascun account, il numero di identificazione dell'utente, il numero del gruppo, la password crittografata e un terzo numero
per fini contabili. Il numero di identificazione dell'utente era stato oggetto di molte testimonianze, poiché la sua
la manipolazione è stato un passaggio fondamentale nella creazione della porta sul retro. Nessuno aveva discusso del significato del numero di conto.

Venerdì mattina mi sono svegliato nella mia stanza d'albergo alle 5 del mattino e ho avuto un'intuizione sull'ultimo numero sfuggente. Avevo bisogno di controllare la documentazione per la versione di UNIX utilizzata da Fibernet. Non avevo il manuale con me, ma ho avviato il mio laptop e l'ho trovato su Internet; spiegava che il numero veniva utilizzato per avvisare le persone quando era il momento di cambiare le password: indicava il numero di giorni tra il 1 gennaio 1970 e l'ultima volta che la password era stata modificata.

Mi sentivo stupido. Questa era forse la prova più importante dell'intero processo, e non me ne ero nemmeno resa conto fino alla mattina in cui avrei dovuto testimoniare! Nel registro della password di ciascun account era codificata la data in cui la password era stata modificata l'ultima volta: decodificando il numero, ho potuto stabilire con precisione quando è stata creata la porta sul retro. Nelle ore prima del processo ho scritto un programmino per tradurre i numeri.

Quello che il mio programma casalingo mi ha mostrato ha concluso il caso. La porta sul retro era stata installata il 31 ottobre, il giorno dopo l'ultimo giorno di lavoro di Payne, e dopo che il suo accesso al sistema Fibernet era già stato interrotto. Payne non potrebbe averlo creato. Inoltre, la modifica della password di un altro account risale a più di due settimane dopo l'attacco, un dettaglio che sarebbe impossibile se la stampa fosse davvero la stessa che Son aveva fatto quel giorno. Ciò dimostrava inconfutabilmente che la catena delle prove era stata interrotta.

Alle 10 ho preso la parola. Descrissi le mie credenziali, la corretta gestione degli incidenti di sicurezza, la scarsità di prove e le indicazioni rivelatrici che le stampe erano state alterate. Infine, ho testimoniato su ciò che avevo appreso quella mattina. Da quel momento tutto si è mosso velocemente. Payne e sua moglie hanno testimoniato, gli avvocati hanno presentato le argomentazioni finali e la giuria ha iniziato le deliberazioni verso l'ora di cena. In tarda serata, sono tornati con l'unico verdetto che pensavo potessero ragionevolmente raggiungere: non colpevole su tutti i fronti.

Oggi Carl Payne supervisiona una grande rete di computer in California. Fibernet, nel frattempo, è fiorente. Nel corso del processo sono arrivato a credere nell'innocenza di Payne, ma non ho mai sentito di aver appreso la vera storia. In chiusura di argomentazioni, la difesa ha suggerito alcune possibilità: qualcuno a Fibernet potrebbe aver effettuato l'attacco. Potrebbe averlo fatto un dipendente licenziato da Payne nel luglio del 1996. O forse il
crimine è stato commesso da un hacker sconosciuto su Internet, una sfortunata coincidenza con il licenziamento di Payne.

Fibernet, da parte sua, ha rifiutato di commentare questo articolo.

Non c'è davvero modo di sapere cosa sia successo, perché la polizia dello Utah non ha svolto un'indagine significativa. Hanno semplicemente chiesto alla vittima, chi è stato? e Fibernet ha risposto: Carl Payne. La società ha quindi fornito tutte le prove utilizzate nell'accusa. La polizia mai
avrebbero seguito procedure così casuali sulla scia di un'irruzione fisica: avrebbero svolto il loro lavoro di investigazione, raccogliendo e preservando con cura le prove. Poiché nel quartiere che chiamiamo cyberspazio si verificano sempre più crimini, la polizia ha bisogno di strumenti e formazione migliori. Senza di essa, rischiamo indagini pasticciate e la possibilità molto concreta che persone innocenti vengano giudicate colpevoli per gli hack di altri.

nascondere

211service.com

I documenti nel caso

Il Migliore

Non essere troppo entusiasta del fatto che Western Union stia testando una criptovaluta

Charles Solenberger '57

I bambini firmati non sono futuristici. Sono già qui.

Apri e dì Eureka

Plutone è attratto dall'effetto pioniere?

Categorie

Articoli Popolari