Resumo
- O programador Davis Lu foi condenado a quatro anos de prisão por sabotar a rede da antiga empresa.
- Ele inseriu códigos maliciosos e um kill switch que bloqueou o acesso de funcionários após sua saída.
- A defesa contesta o valor dos prejuízos e pretende recorrer, alegando perdas abaixo de US$ 5.000.
A Justiça dos Estados Unidos condenou um programador a quatro anos de prisão por sabotar a rede de computadores da empresa em que trabalhava. Davis Lu, de 55 anos, implantou um código malicioso, incluindo um kill switch, que travou os sistemas da companhia e causou prejuízos de centenas de milhares de dólares.
Segundo o Departamento de Justiça dos EUA (DoJ), a ação de Lu foi uma retaliação após ele ter sido rebaixado de cargo na empresa, uma multinacional de gerenciamento de energia sediada em Ohio, onde trabalhou de 2007 a 2019. O programador foi considerado culpado em março por um júri e agora recebeu a sentença.
O que diz a acusação?
De acordo com as evidências apresentadas no julgamento, a sabotagem começou após uma reestruturação corporativa em 2018, que reduziu as responsabilidades e o acesso de Lu aos sistemas. Em retaliação, ele começou a inserir códigos maliciosos no ambiente de produção da empresa.
A investigação do FBI revelou também que Lu implementou diversas formas de ataque, como a criação de loops infinitos em Java para esgotar os recursos dos servidores e a exclusão de perfis de colegas de trabalho.
A peça central do ataque, entretanto, foi um kill switch, mecanismo programado para disparar automaticamente caso a empresa desativasse a conta de usuário de Lu, algo que normalmente acontece em situações de demissão. O engenheiro chegou a batizar o dispositivo com uma provocação: IsDLEnabledinAD, abreviação para “Davis Lu está habilitado no Active Directory?”, em português.
Em 9 de setembro de 2019, quando Lu foi colocado de licença e sua conta desativada, o kill switch disparou e bloqueou o acesso de milhares de funcionários da empresa em todo o mundo. Além disso, no mesmo dia em que foi instruído a devolver o notebook corporativo, ele apagou dados criptografados do dispositivo.
“O réu violou a confiança de seu empregador usando seu acesso e conhecimento técnico para sabotar as redes da empresa, causando estragos e centenas de milhares de dólares em perdas”, afirmou Matthew R. Galeotti, procurador-geral assistente interino da Divisão Criminal do Departamento de Justiça.
Defesa alega perdas menores
A defesa de Davis Lu se manifestou em março, após o veredito do júri. Segundo o jornal local Cleveland, os advogados contestaram o valor do prejuízo alegado pela acusação, argumentando que o custo para a empresa foi inferior a US$ 5.000, e não centenas de milhares de dólares. Entretanto, não há contraponto ao resto da história.
Na ocasião, o advogado de Lu, Ian Friedman, declarou que, embora desapontados, respeitavam o veredito. “Davis e seus apoiadores acreditam em sua inocência e este assunto será revisto em segunda instância”, afirmou Friedman, confirmando que irão apelar da decisão.
A defesa ainda não se posicionou sobre a sentença de quatro anos de prisão. Além da pena de reclusão, Lu cumprirá três anos de liberdade supervisionada.
Com informações de Bleeping Computer e Departamento de Justiça dos EUA
Desenvolvedor é condenado a quatro anos de prisão por bloquear sistema da ex-empresa • Tecnoblog
Resumo
- Davis Lu, programador, foi sentenciado a quatro anos de prisão por comprometer a rede da antiga empresa.
- Ele adicionou códigos prejudiciais e um kill switch que bloqueou os acessos dos funcionários após sua saída.
- A defesa discorda do valor dos danos e planeja recorrer, indicando que os prejuízos foram inferiores a US$ 5.000.
O sistema judiciário dos Estados Unidos condenou um desenvolvedor a quatro anos de reclusão por comprometer a rede de computadores da empresa onde trabalhava. Davis Lu, com 55 anos, inseriu um código malicioso, incluindo um kill switch, que bloqueou os sistemas da organização e provocou prejuízos que somam várias centenas de milhares de dólares.
De acordo com o Departamento de Justiça dos EUA (DoJ), a sabotagem de Lu foi uma resposta ao seu rebaixamento dentro da empresa, uma corporação multinacional de gestão energética localizada em Ohio, onde ele trabalhou entre 2007 e 2019. Em março, o programador foi considerado culpado por um júri e recentemente recebeu a sentença.
Detalhes da acusação
As provas reveladas durante o julgamento indicam que a sabotagem teve início após uma reestruturação corporativa em 2018, que diminuiu as funções e o acesso de Lu aos sistemas da empresa. Como retaliação, ele começou a incluir códigos maliciosos no ambiente da empresa.
O FBI descobriu ainda que Lu utilizou diversas técnicas para o ataque, como a criação de loops infinitos em Java que consumiam todos os recursos dos servidores, além de excluir perfis de colegas de trabalho.
O principal elemento do ataque foi um kill switch, um mecanismo que ativa automaticamente caso a conta de usuário de Lu fosse desativada, o que costuma ocorrer em casos de demissão. O programador nomeou o sistema provocativamente como IsDLEnabledinAD, que significa “Davis Lu está habilitado no Active Directory?”, em tradução livre.
Em 9 de setembro de 2019, quando Lu foi colocado em licença e sua conta foi desativada, o kill switch acionou, bloqueando o acesso de milhares de funcionários globalmente. Além disso, no mesmo dia em que foi instruído a devolver seu notebook corporativo, ele apagou dados criptografados do dispositivo.
“O acusado traiu a confiança do empregador ao utilizar seu acesso e conhecimento técnico para prejudicar as redes da empresa, causando danos e perdas que somam centenas de milhares de dólares”, declarou Matthew R. Galeotti, procurador-geral assistente interino da Divisão Criminal do Departamento de Justiça.
Defesa argumenta danos menores
A equipe de defesa de Davis Lu se pronunciou em março, após o veredito. Conforme reportagem local do jornal Cleveland, os advogados contestaram o valor dos danos alegados pela acusação, afirmando que o custo real para a empresa foi menor que US$ 5.000, em vez de centenas de milhares. Todavia, não houveram questionamentos sobre os demais fatos apresentados.
Naquela ocasião, Ian Friedman, advogado de Lu, declarou que, apesar da decepção, respeitavam a decisão do júri. “Davis e seus aliados mantêm sua inocência e esse caso será revisado em instância superior”, afirmou Friedman, confirmando que irão recorrer da sentença.
A defesa ainda não comentou sobre a pena de quatro anos de prisão. Além do período de encarceramento, Lu cumprirá três anos de liberdade condicional.
Informações obtidas de Bleeping Computer e Departamento de Justiça dos EUA