Em 2009, John Kane encontrou uma vulnerabilidade em máquinas de vídeo pôquer que lhe permitia sacar mãos vencedoras com um valor de aposta muito maior do que aquele que ele realmente havia apostado. Como se determinou que ele estava simplesmente apertando botões que tinha permissão para apertar, pôde ficar com o dinheiro.

A maioria das histórias de trapaça em cassinos começa com dispositivos escondidos, cartas marcadas ou alguém fazendo algo que claramente não deveria fazer. Esta começou com um homem apertando botões que a própria máquina permitia que ele apertasse.

Em 2009, John Kane descobriu que certas máquinas de vídeo pôquer tinham uma falha notável. Se um jogador conseguisse uma mão vencedora e depois mudasse o valor da aposta antes de sacar, a máquina podia pagar o prêmio como se a aposta maior estivesse em vigor o tempo todo.^[1] Em outras palavras, um jogador podia apostar pouco, ganhar, aumentar a aposta depois e receber como se tivesse arriscado muito mais dinheiro do que realmente arriscou. Não era uma sequência de sorte. Era um erro de software disfarçado de jogo.

Kane e outros usaram o bug para ganhar centenas de milhares de dólares em cassinos de Nevada.^[1] A reação óbvia foi pensar que isso tinha de ser crime. As pessoas não deveriam derrotar cassinos com truques contábeis. Ainda assim, quando o caso chegou ao tribunal federal, a pergunta desconfortável não era se Kane havia encontrado uma brecha. Isso ele claramente havia. A questão era se explorar essa brecha contava como acesso ilegal a um sistema de computador, ou se ele simplesmente havia usado a máquina de uma forma que o próprio software permitia.^[1]

A máquina que esqueceu quando a aposta aconteceu

O vídeo pôquer deveria ser implacavelmente ordenado. Você faz uma aposta, recebe uma mão, decide o que segurar, compra cartas de reposição e recebe de acordo com o valor apostado. A aposta vem primeiro. O pagamento vem depois. Essa sequência é toda a arquitetura do jogo.

As máquinas que Kane usou quebravam essa lógica.^[1] O software delas permitia que um jogador travasse uma mão vencedora em um nível de aposta e depois aumentasse a aposta antes de apertar a sequência de saque, produzindo um pagamento vinculado ao valor mais alto em vez do valor menor originalmente arriscado.^[1] É o tipo de bug que parece impossível até você se lembrar de que os cassinos, apesar de todo o glamour, também são apenas salas cheias de software.

E software tem uma fraqueza peculiar. Muitas vezes ele é menos vulnerável à força bruta do que à obediência. Se uma máquina oferece um botão e depois lida mal com as consequências de esse botão ser pressionado em uma determinada ordem, o usuário talvez nunca precise invadi-la. Ele só precisa de paciência, repetição e da disposição de perceber o que todo mundo mais deixa passar.

Um bug, não um hack

Essa distinção virou o centro de todo o caso. Promotores federais acusaram Kane com base no Computer Fraud and Abuse Act, ou CFAA, a ampla e controversa lei americana anti-hacking.^[1] A teoria deles era que, ao explorar o bug do software, ele havia excedido o acesso autorizado a um computador protegido.^[1] Era o governo tentando traduzir oportunismo de cassino em crime cibernético.

Mas havia um problema. Kane não burlou senhas. Não alterou código. Não conectou dispositivos, não abriu a máquina nem acessou controles administrativos ocultos.^[1] Ele simplesmente usou os botões na tela, na ordem que a máquina permitia, e aceitou o dinheiro que a máquina então ofereceu. Isso tornou o caso juridicamente desconfortável de uma forma muito moderna.

Porque, se um computador deixa você fazer alguma coisa, em que momento exatamente você cruza a linha entre usá-lo e hackeá-lo?

A lei esbarra em um apertar de botão

O tribunal federal em United States v. Kane não estava sendo chamado a decidir se o que Kane fez era esperto. Isso era óbvio. O que se perguntava era se o governo havia realmente alegado um crime nos termos do CFAA.^[1] Especificamente, os promotores precisavam mostrar que Kane havia excedido o acesso autorizado a um computador protegido para cometer fraude.^[1]

O tribunal concluiu que eles não haviam feito isso de forma suficiente.^[1] Kane tinha acesso à máquina como jogador. Ele usou a interface como ela lhe foi apresentada. Não entrou em nenhuma área proibida do sistema. Não obteve informações que não tinha permissão para obter. Não forçou a máquina a fazer algo de fora de seus controles normais. Ele simplesmente encontrou uma sequência explorável dentro da experiência comum do usuário.^[1]

Isso soa como um tecnicismo estreito até você perceber o quanto da vida moderna depende dessa distinção. Muitas disputas jurídicas sobre uso indevido de computadores se resumem a saber se “não autorizado” significa invadir um sistema ou apenas usar um sistema disponível de uma maneira desaprovada. O caso de Kane caiu do lado mais estreito. Mau comportamento, mesmo um mau comportamento muito lucrativo, não é automaticamente a mesma coisa que acesso não autorizado.^[1]

O problema do cassino escondido dentro do problema do computador

Cassinos odeiam assimetria. O modelo de negócios deles depende de regras fixas, públicas e inclinadas matematicamente a seu favor. Kane encontrou uma assimetria que corria para o outro lado. A máquina tinha vantagem da casa, até o momento em que o próprio software esqueceu a cronologia da aposta.

É isso que torna a história tão satisfatória. Kane não derrotou a probabilidade. Ele derrotou a implementação. Não descobriu uma nova estratégia de jogo. Descobriu que a contabilidade interna da máquina tinha um buraco. Para o cassino, isso pode ter parecido trapaça. Para o tribunal, parecia mais a própria máquina do cassino precificando mal uma transação.

Há uma razão pela qual casos assim deixam instituições nervosas. Eles revelam que o verdadeiro poder em muitos sistemas não está nas regras escritas, mas no código que as operacionaliza. Se o código aplicar as regras errado, o sistema pode começar a pagar absurdos com a maior cara de pau.

Por que ele ficou com o dinheiro

A versão popular da história é que Kane “pôde ficar com o dinheiro”, e é em grande parte por isso que o caso é lembrado.^[1] A razão mais profunda não é que o tribunal tenha celebrado o que ele fez. É que a teoria jurídica escolhida pelo governo não se encaixava bem o suficiente nos fatos. As moções para rejeição foram aprovadas porque a acusação não conseguiu satisfazer a exigência de “exceder o acesso autorizado” sob o CFAA.^[1]

Isso importa para além dos cassinos. O caso faz parte de uma disputa muito maior sobre quão amplamente as leis de crimes cibernéticos devem ser interpretadas.^[1] Se apertar a sequência errada de botões permitidos em uma máquina com defeito pode virar hacking federal, então uma grande quantidade de comportamento oportunista comum começa a escorregar para a criminalização por metáfora. A decisão em Kane empurrou contra essa tendência.

Ela disse, em efeito, que uma falha de software não é a mesma coisa que uma porta trancada. E explorar um processo defeituoso não é automaticamente a mesma coisa que invadir um espaço proibido.

A estranha moral de deixar a máquina decidir

Há algo quase filosófico em todo esse episódio. Cassinos pedem aos jogadores que confiem na máquina quando ela diz que eles perderam. Kane confiou na máquina quando ela disse que ele ganhou. O cassino queria que essa confiança funcionasse em uma direção só.

Essa, no fim das contas, é a tensão no coração de United States v. Kane. Um sistema computadorizado ofereceu a um usuário um resultado que o próprio sistema havia tornado possível. O usuário entendia a falha melhor do que o dono. O dono chamou isso de fraude. A lei, pelo menos neste caso, não estava preparada para chamar isso de hacking.^[1]

E assim John Kane acabou em um daqueles raros nichos históricos reservados a pessoas que encontram a rachadura invisível em um sistema digital e passam por ela sem tecnicamente escalar nada. Ele não foi acusado de arrombar a máquina. Foi acusado de entendê-la bem demais.

Fontes

1. Wikipedia - United States v. Kane