Dokumenterne i sagen

Brevet fra Carl Payne kom i foråret 1998. Det var håndskrevet -intet brevpapir. Jeg var mistænksom. At være klummeskribent for Boston Globe og forfatteren til syv bøger, får jeg min del af kommunikationen fra krumspring, skøre og straffefanger. Men Payne, indså jeg hurtigt, var ingen af ​​ovenstående.





Payne skrev, at han var tiltalt i en kriminel sag om computerhack. Tilbage i december 1994, i en alder af 28, havde han været med til at starte en internetudbyder i Utah, som til sidst fik navnet Fibernet. Men i efteråret 1996 stemte bestyrelsen for at afsætte Payne, efter at han låste horn med manden, der var klar til at blive Fibernets nye præsident.

En uge efter Payne forlod Fibernet, havde nogen hacket sig ind på virksomhedens computere og ransaget deres systemer. Fibernet havde med det samme fingeret Payne og overtalt Utah County Attorney's office til at sigte ham for at have overtrådt Section 76-6-703 i Utah Criminal Code, Computer Crimes, en anden grads forbrydelse. Anklagemyndigheden havde en bunke beviser, sagen skulle for retten, og han havde brug for min hjælp.

Ved første øjekast lignede Payne den sandsynlige skyldige. Undersøgelser har vist, at de fleste computerforbrydelser begås af utilfredse medarbejdere. De fleste computerhackingssager, der når frem til en retssal, drejer sig om nogle aspekter af loven, såsom om hacket var ulovligt - og ikke om den mistænkte faktisk gjorde det. Jeg havde aldrig hørt om en sag, hvor den anklagede hacker fastholdt sin uskyld, især i
lyset af hårde beviser. Alligevel var det bare, hvad Payne gjorde. Forvirret ringede jeg til ham.



I telefonen var Payne snakkesalig, venlig og meget bekymret. Vi aftalte, at han ville sende mig alle de beviser, som amtsadvokaten havde leveret til sin advokat. Jeg ville vurdere dens kvalitet og skrive en rapport. Hvis sagen blev behandlet, og han stadig ville have mig, ville jeg komme til Utah og vidne. Det ville være mit første ophold som betalt ekspertvidne.

Der gik en uge, og der kom en tyk pakke i min postkasse. Den indeholdt Paynes beretning om hændelsen, politirapporten, deponeringer fra alle involverede og næsten 200 sider med computerudskrifter. Efter fire timers gennemgang af dokumenterne, kom jeg ud i stuen og fortalte min kone: Tingene ser ikke godt ud for hr. Payne.

Paynes sidste arbejdsdag var den 30. oktober 1996. Den 6. november havde nogen logget på hver af Fibernets hovedcomputere og begyndt at slette filer. Kundewebsider og e-mail blev slettet. Regnskabsoplysninger blev slettet. Derefter fik angriberen adgang til hver af virksomhedens specielle kommunikationscomputere, kaldet routere, og slettede deres programmering. I sidste ende mistede virksomheden mere end halvdelen af ​​sine kunder, fyrede mange medarbejdere, efterlod sine ledere uden løn og foldede næsten sammen.



Payne, der havde været Fibernets tekniske chef, havde helt sikkert den nødvendige viden til at afslutte angrebet. Og efter sin rodede afgang havde han måske et motiv: hævn. Nogle andre detaljer syntes også at pege i Paynes retning: Blandt de adskillige konti, der blev brugt i hacket, var en kaldet carl, som formodentlig tilhørte ham, en konto kaldet dbowling, som tilhørte en af ​​hans
venner, og en der hedder usenet. Engang før angrebet havde nogen ændret usenet-kontoen og givet den fulde systemprivilegier, og skabte - for at bruge sproget for computersikkerhed - en bagdør.

Men det måske mest fordømmende dokument i pakken var rapporten fra den politibetjent, der var gået til Paynes hus efter angrebet. Da betjenten ankom, fandt han ud af, at Payne havde omformateret sin hjemmecomputers harddisk og geninstallerede operativsystemet. I skraldespanden ved siden af ​​computeren var
en bunke disketter. Betjenten beslaglagde hverken Paynes computer eller beslaglagde disketter - han vidnede senere i retten, at han havde antaget, at et potentielt brugbart bevis allerede var ødelagt.

Det hele så mistænkeligt ud. Men et andet opkald til Payne gav et andet perspektiv. Den sidste uge, han var hos Fibernet, fortalte Payne mig, havde han overdraget alle virksomhedens administrative adgangskoder til den nye præsident. Den næste dag opdagede Payne, at hans kodeord var blevet ændret. Om morgenen for angrebet, sagde Payne, havde han forsøgt at ringe til Fibernet på sit modem flere gange, med en fjern chance for, at hans konto på en eller anden måde var blevet genaktiveret, men han havde aldrig logget ind. Faktisk var han ved at omformatere
hans hjemmecomputer, fordi den styrtede ned, hver gang Fibernet afviste hans kodeord. Alle de diske i skraldespanden, sagde han, var gamle filer, han var ved at slippe af med som forberedelse til en flytning til Californien.



Jeg var ikke sikker på, hvem jeg skulle tro på, men jeg begyndte at holde af Carl Payne. Han kunne have været mig for 10 år siden - en teknisk kyndig nørd, der havde fået sig selv i problemer med en masse jakkesæt, der var mere komfortable med regneark end C-kompilere. Måske gjorde han det, måske gjorde han det ikke. Men et nærmere eftersyn af de computerudskrifter, der udgjorde kernen i anklagemyndighedens sag, overbeviste mig om, at
uanset hvem den skyldige var, var der ikke bevis nok til at dømme nogen.

For det første tillod ingen af ​​udskrifterne mig at udpege et telefonnummer eller en computer, hvorfra angrebet var blevet lanceret, endsige identiteten på gerningsmanden. Og noget andet, der hedder
beviser til endnu større spørgsmål: Det så ud til, at nogen havde pillet ved nogle af filerne, før de printede dem ud. Loggen havde små typografiske fejl - et par ekstra mellemrum indsat på en linje, en
brev faldt på en anden - som om nogen havde taget de originale logfiler ind i et tekstbehandlingsprogram og klippet og indsat tekst før udskrivning. Det betød, at oplysningerne på disse sider var mistænkelige. Og hvorfor kom alle disse beviser til mig i trykt form? Hvor var de originale elektroniske optegnelser? Skyldig eller ej, jeg
tænkte, at ingen skulle dømmes på grundlag af manipulerede beviser.

Jeg sendte en seks-siders rapport til Payne og fortsatte med at følge sagen. I december satte jeg mig på et fly til Utah. Da jeg ankom til Utah County Courthouse i Provo, var åbningsargumenterne netop afsluttet. Anklagemyndighedens teori var enkel: Carl Payne var en teknisk genial, men svær at håndtere medarbejder.
Fibernet gav ham besked om, at han ville blive opsagt, Payne installerede en bagdør, der ville give ham mulighed for at udslette virksomhedens computere, efter han var gået.



Det viste sig, at Fibernet ved at afsætte Payne havde fyret den eneste medarbejder, der var i stand til at reparere skaderne fra angrebet. Så udover at ringe til politiet efter hændelsen, havde de ringet til en computerkonsulent for at komme ind og forsøge at få systemet op at køre igen. Konsulenten, Stacey Son, blev det ledende ekspertvidne for anklagemyndigheden.

Sons vidneudsagn forklarede, hvorfor der kun var 200 sider med udskrifter i beviser - Fibernet havde hyret ham til at få systemet til at fungere hurtigt, ikke for at dokumentere skaden til en undersøgelse, så han havde ikke forsøgt at bevare potentielt belastende eller frikendende filer. Det havde politiet heller ikke, viste det sig: Betjenten
som besøgte Fibernet og derefter ransagede Paynes hus, vidnede om, at han ikke havde nogen erfaring med UNIX-operativsystemet, som Fibernet og Payne brugte. I stedet for at beslaglægge computere og diske havde betjenten blot taget imod de papirudskrifter, Fibernet havde udleveret.

På standen indrømmede Son, at der ikke var nogen måde for ham at fortælle gerningsmandens identitet. Men det største hul i anklagemyndighedens teori blev tydeligt, da forsvaret udspurgte Son om selve angrebet. Det var dårligt gjort, forklarede Son: Ikke nok information blev udslettet. Det forekom mig at være arbejdet
af en amatør med kun rudimentær viden om UNIX-systemer, ikke nogen af ​​Paynes indrømmede dygtighed.

Anklagemyndigheden hvilede torsdag, den tredje dag af retssagen. Den aften på mit hotelværelse kiggede jeg igen over de kritiske udskrifter. Anklagemyndighedens vigtigste udstillinger var side 151 og 152, som viste hver kontos navn, bruger-identifikationsnummer, gruppenummer, krypteret adgangskode og et tredje nummer
til regnskabsmæssige formål. Brugeridentifikationsnummeret havde været genstand for mange vidnesbyrd, siden det
manipulation var et kritisk skridt i at skabe bagdøren. Ingen havde diskuteret betydningen af ​​regnskabsnummeret.

Fredag ​​morgen vågnede jeg på mit hotelværelse klokken 05.00, og jeg havde en anelse om det uhåndgribelige sidste nummer. Jeg havde brug for at tjekke dokumentationen for den version af UNIX, som Fibernet havde brugt. Jeg havde ikke manualen med mig, men jeg startede min bærbare computer op og fandt den på internettet; det forklarede, at nummeret blev brugt til at advare folk, når det var tid til at ændre deres adgangskoder - det indikerede antallet af dage mellem 1. januar 1970, og sidste gang adgangskoden blev ændret.

Jeg følte mig dum. Her var muligvis det vigtigste bevis i hele retssagen, og jeg havde ikke engang indset det, før den morgen, jeg skulle vidne! Indkodet i registreringen af ​​hver kontos adgangskode var den dato, hvor adgangskoden sidst var blevet ændret - ved at afkode nummeret, kunne jeg fastslå præcis, hvornår bagdøren blev oprettet. I timerne før retssagen skrev jeg et lille program til at oversætte tallene.

Det, mit hjemmelavede program viste mig, slog sagen fast. Bagdøren var blevet installeret den 31. oktober, dagen efter Paynes sidste arbejdsdag - og efter at hans adgang til Fibernet-systemet allerede var blevet afbrudt. Payne kunne ikke have skabt det. Hvad mere er, en anden kontos adgangskodeændring daterede til mere end to uger efter angrebet, en detalje, der ville være umulig, hvis udskriften virkelig var den samme, som Son havde lavet den dag. Dette viste uigendriveligt, at kæden af ​​beviser var blevet brudt.

Klokken 10 tog jeg standen. Jeg beskrev mine legitimationsoplysninger, den korrekte håndtering af sikkerhedshændelser, mangel på beviser og de tydelige indikationer på, at udskrifterne var blevet ændret. Til sidst vidnede jeg om, hvad jeg havde lært den morgen. Fra det tidspunkt gik alt hurtigt. Payne og hans kone vidnede, advokaterne gav afsluttende argumenter, og juryen begyndte drøftelser omkring middagstid. Sidst på aftenen kom de tilbage med den eneste dom, jeg troede, de med rimelighed kunne nå frem til: ikke skyldige på alle punkter.

I dag fører Carl Payne tilsyn med et stort computernetværk i Californien. Fibernet trives i mellemtiden. I løbet af retssagen kom jeg til at tro på Paynes uskyld, men følte aldrig, at jeg havde lært den rigtige historie. Som afsluttende argumenter foreslog forsvaret et par muligheder: Nogen hos Fibernet kunne have udført angrebet. En medarbejder, som Payne fyrede i juli 1996, kunne have gjort det. Eller måske
kriminalitet blev begået af en ukendt hacker på internettet, et uheldigt sammenfald med Paynes afskedigelse.

Fibernet på sin side afviste at kommentere denne artikel.

Der er virkelig ingen måde at vide, hvad der skete, fordi politiet i Utah ikke lavede en meningsfuld undersøgelse. De spurgte blot offeret: Hvem gjorde det? og Fibernet svarede: Carl Payne. Virksomheden fremlagde derefter alle de beviser, der blev brugt i anklagemyndigheden. Politiet aldrig
ville have fulgt sådanne tilfældige procedurer i kølvandet på et fysisk indbrud - de ville have udført deres eget detektivarbejde, omhyggeligt indsamlet og bevaret beviserne. Efterhånden som flere og flere kriminalitet forekommer i det nabolag, vi kalder cyberspace, har politiet brug for bedre værktøjer og uddannelse. Uden det risikerer vi forkludrede undersøgelser og den meget reelle mulighed for, at uskyldige mennesker bliver fundet skyldige i andres hacks.

skjule