Handlingarna i målet

Brevet från Carl Payne kom våren 1998. Det var handskrivet - inget brevpapper. Jag var misstänksam. Att vara krönikör för Boston Globe och författaren till sju böcker, jag får min del av kommunikationen från vevar, galningar och straffångar. Men Payne, insåg jag snart, var ingen av ovanstående.





Payne skrev att han var åtalad i ett kriminellt datorhackningsfall. Redan i december 1994, vid 28 års ålder, hade han hjälpt till att starta en internetleverantör i Utah som så småningom fick namnet Fibernet. Men hösten 1996 röstade styrelsen för att avsätta Payne efter att han låst horn med mannen som var redo att bli Fibernets nya president.

En vecka efter att Payne lämnade Fibernet hade någon hackat sig in i företagets datorer och genomsökt deras system. Fibernet hade omedelbart greppat Payne och övertalat Utah County Attorney's office att anklaga honom för att ha brutit mot Section 76-6-703 i Utah Criminal Code, Computer Crimes, ett andragradsbrott. Åklagaren hade en hög med bevis, fallet skulle till rättegång och han behövde min hjälp.

Vid första anblicken såg Payne verkligen ut som den troliga boven. Studier har visat att de flesta databrott begås av missnöjda anställda. De flesta datorhackningsfall som når en rättssal handlar om någon aspekt av lagen, till exempel om hacket var olagligt – och inte om den misstänkte faktiskt gjorde det. Jag hade aldrig hört talas om ett fall där den anklagade hackaren vidhöll sin oskuld, särskilt i
ljus av hårda bevis. Ändå var det precis vad Payne gjorde. Intresserad ringde jag honom.



I telefon var Payne pratsam, vänlig och mycket orolig. Vi kom överens om att han skulle skicka mig alla bevis som länsåklagaren hade lämnat till hans advokat. Jag skulle bedöma dess kvalitet och skriva en rapport. Om fallet gick till rättegång, och han fortfarande ville ha mig, skulle jag komma till Utah och vittna. Det skulle vara min första snålhet som betald expertvittne.

En vecka gick och det kom ett tjockt paket i min brevlåda. Den innehöll Paynes redogörelse för händelsen, polisrapporten, avsikter från alla inblandade och nästan 200 sidor med datorutskrifter. Efter fyra timmars granskning av dokumenten kom jag ut i vardagsrummet och sa till min fru: Saker och ting ser inte bra ut för Mr. Payne.

Paynes sista arbetsdag var den 30 oktober 1996. Den 6 november hade någon loggat in på var och en av Fibernets huvuddatorer och börjat radera filer. Kundernas webbsidor och e-post raderades. Bokföringsinformation raderades ut. Sedan fick angriparen tillgång till var och en av företagets speciella kommunikationsdatorer, kallade routrar, och raderade deras programmering. I slutändan förlorade företaget mer än hälften av sina kunder, sade upp många anställda, lämnade sina chefer utan lön och nästan vek.



Payne, som hade varit Fibernets tekniska chef, hade säkerligen den kunskap som krävs för att sluta attackera. Och efter sin stökiga avgång kan han ha haft ett motiv: hämnd. Några andra detaljer tycktes också peka i Paynes riktning: Bland de flera konton som användes i hacket fanns ett som hette carl, som förmodligen tillhörde honom, ett konto som heter dbowling, som tillhörde en av hans
vänner och en som heter usenet. Någon gång före attacken hade någon modifierat usenet-kontot och gett det fullständiga systemprivilegier, skapat – för att använda språket för datorsäkerhet – en bakdörr.

Men det kanske mest fördömliga dokumentet i paketet var rapporten från polisen som hade åkt till Paynes hus efter attacken. När polisen kom fram upptäckte han att Payne hade formaterat om sin hemdators hårddisk och höll på att installera om operativsystemet. I papperskorgen bredvid datorn låg
en hög med disketter. Polisen beslagtog varken Paynes dator eller beslagtog disketterna - han vittnade senare i rätten att han hade antagit att eventuellt användbar bevis redan hade förstörts.

Det hela såg suspekt ut. Men ett annat samtal till Payne gav ett annat perspektiv. Förra veckan han var på Fibernet, berättade Payne för mig, hade han överlämnat alla företagets administrativa lösenord till den nya presidenten. Nästa dag upptäckte Payne att hans lösenord hade ändrats. På morgonen då attacken inträffade, sa Payne, hade han försökt ringa Fibernet på sitt modem flera gånger, med en avlägsen chans att hans konto på något sätt hade återaktiverats, men han hade aldrig lyckats logga in. Faktum är att han formaterade om
hans hemdator eftersom den kraschade varje gång Fibernet avvisade hans lösenord. Alla dessa skivor i papperskorgen, sa han, var gamla filer som han höll på att göra sig av med som förberedelse för en flytt till Kalifornien.



Jag var inte säker på vem jag skulle tro, men jag började gilla Carl Payne. Han kunde ha varit jag för 10 år sedan - en tekniskt kunnig nörd som hade hamnat i problem med ett gäng kostymer som var mer bekväma med kalkylblad än C-kompilatorer. Kanske gjorde han det, kanske gjorde han det inte. Men en närmare granskning av datorutskrifterna som utgjorde kärnan i åklagarens fall övertygade mig om att
oavsett vem den skyldige var, fanns det inte tillräckligt med bevis för att döma någon.

För det första tillät ingen av utskrifterna mig att peka ut ett telefonnummer eller en dator från vilken attacken hade inletts, än mindre identiteten på gärningsmannen. Och något annat som heter
bevis till ännu större fråga: Det verkade som om någon hade manipulerat några av filerna innan de skrev ut dem. Loggen hade små typografiska fel - några extra mellanslag infogade på en rad, en
brev släpptes på en annan - som om någon hade tagit de ursprungliga loggfilerna till en ordbehandlare och klippt ut och klistrat in text före utskrift. Det innebar att informationen på de sidorna var misstänkt. Och varför kom alla dessa bevis till mig i tryckt form? Var fanns de ursprungliga elektroniska dokumenten? Skyldig eller inte, jag
tänkte att ingen borde dömas på grundval av manipulerade bevis.

Jag skickade en sexsidig rapport till Payne och fortsatte att följa fallet. I december satte jag mig på ett plan till Utah. När jag anlände till Utah County Courthouse i Provo hade de inledande argumenten precis avslutats. Åklagarens teori var enkel: Carl Payne var en tekniskt briljant men svårhanterlig anställd.
Fibernet meddelade honom att han skulle sägas upp, Payne installerade en bakdörr som skulle tillåta honom att radera företagets datorer efter att han lämnat.



Det visade sig att Fibernet, när han avsatte Payne, hade sparkat den enda anställde som kunde reparera skadan från attacken. Så förutom att de ringde polisen efter händelsen hade de ringt en datakonsult för att komma in och försöka få igång systemet igen. Konsulten, Stacey Son, blev det ledande expertvittnet för åklagaren.

Sons vittnesmål förklarade varför det bara fanns 200 sidor med utskrifter i bevis – Fibernet hade anlitat honom för att få systemet att fungera snabbt, inte för att dokumentera skadan för en utredning, så han hade inte försökt bevara potentiellt inkriminerande eller friande filer. Det hade inte polisen heller, visade det sig: Befälet
som besökte Fibernet och sedan genomsökte Paynes hus vittnade om att han inte hade någon erfarenhet av UNIX-operativsystemet som Fibernet och Payne använde. Istället för att beslagta datorer och diskar hade officeren helt enkelt accepterat pappersutskrifterna som Fibernet lämnat över.

På läktaren erkände Son att det inte fanns något sätt för honom att berätta förövarens identitet. Men det största hålet i åklagarens teori blev uppenbart när försvaret frågade Son om själva attacken. Det var dåligt gjort, förklarade Son: Inte tillräckligt med information raderades ut. Det verkade för mig vara arbetet
av en amatör med endast rudimentär kunskap om UNIX-system, inte någon av Paynes erkända skicklighet.

Åklagaren vilade på torsdagen, den tredje dagen av rättegången. Den natten på mitt hotellrum tittade jag igen på de där kritiska utskrifterna. Åklagarmyndighetens viktigaste utställningar var sidorna 151 och 152, som visade varje kontos namn, användaridentifikationsnummer, gruppnummer, krypterade lösenord och ett tredje nummer
för redovisningsändamål. Användaridentifikationsnumret hade varit föremål för många vittnesmål, sedan dess
manipulation var ett avgörande steg för att skapa bakdörren. Ingen hade diskuterat betydelsen av redovisningsnumret.

Fredag ​​morgon vaknade jag på mitt hotellrum vid 5 på morgonen och jag hade en aning om det svårfångade sista numret. Jag behövde kontrollera dokumentationen för den version av UNIX som Fibernet hade använt. Jag hade inte manualen med mig, men jag startade upp min bärbara dator och hittade den på Internet; den förklarade att numret användes för att varna folk när det var dags att byta lösenord - det angav antalet dagar mellan 1 januari 1970 och sista gången lösenordet ändrades.

Jag kände mig dum. Här fanns kanske det viktigaste beviset i hela rättegången, och jag hade inte ens insett det förrän på morgonen jag skulle vittna! I posten för varje kontos lösenord var det datum då lösenordet senast ändrades - genom att avkoda numret kunde jag fastställa exakt när bakdörren skapades. Timmarna innan rättegången skrev jag ett litet program för att översätta siffrorna.

Det som mitt hemgjorda program visade mig beskrev fallet. Bakdörren hade installerats den 31 oktober, dagen efter Paynes sista arbetsdag – och efter att hans åtkomst till Fibernet-systemet redan hade stängts av. Payne kunde inte ha skapat det. Dessutom är ett annat kontos lösenordsändring daterat till mer än två veckor efter attacken, en detalj som skulle vara omöjlig om utskriften verkligen var densamma som Son hade gjort den dagen. Detta visade otvetydigt att beviskedjan hade brutits.

Klockan 10 tog jag ställningen. Jag beskrev mina referenser, korrekt hantering av säkerhetsincidenter, bristen på bevis och de kontrollanta indikationerna på att utskrifterna hade ändrats. Till sist vittnade jag om vad jag hade lärt mig den morgonen. Från den punkten gick allt snabbt. Payne och hans fru vittnade, advokaterna gav avslutande argument och juryn började överläggningar runt middagen. På sena kvällen kom de tillbaka med den enda dom som jag trodde att de rimligen kunde nå: oskyldig på alla punkter.

Idag övervakar Carl Payne ett stort datornätverk i Kalifornien. Fibernet blomstrar samtidigt. Under rättegången kom jag att tro på Paynes oskuld, men kände aldrig att jag hade lärt mig den verkliga historien. Som avslutande argument föreslog försvaret några möjligheter: Någon på Fibernet kunde ha utfört attacken. En anställd som Payne sparkade i juli 1996 kan ha gjort det. Eller kanske
brott begicks av någon okänd hackare på Internet, ett olyckligt sammanträffande med Paynes uppsägning.

Fibernet, å sin sida, avböjde att kommentera denna artikel.

Det finns verkligen inget sätt att veta vad som hände, eftersom Utah-polisen inte gjorde en meningsfull utredning. De frågade helt enkelt offret: Vem gjorde det? och Fibernet svarade: Carl Payne. Företaget tillhandahöll sedan alla bevis som användes i åtalet. Polisen aldrig
skulle ha följt sådana slumpmässiga procedurer i kölvattnet av ett fysiskt inbrott - de skulle ha gjort sitt eget detektivarbete, noggrant samlat in och bevarat bevisen. I takt med att fler och fler brott inträffar i det grannskap som vi kallar cyberrymden, behöver polisen bättre verktyg och utbildning. Utan det riskerar vi stökiga utredningar och den mycket verkliga möjligheten att oskyldiga människor kommer att befinnas skyldiga för andras hacks.

Dölj