12 måneders efterforskning slut: 4 mænd og 2 drenge sigtes for DDoS-angreb mod 3F

25. juli 2013 kl. 06:2926
Politiet er i fuld gang med at sigte seks personer for DDoS-angreb i sommeren 2012 mod fagforeningen 3F. 60 andre hackersager er sidegevinst af efterforskningen.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Politiet i København er nu færdig med at efterforske de DDoS-angreb, der i juli 2012 blandt andet lagde sitet mit3f.dk ned og dermed forhindrede 30.000 ledige i at søge dagpenge. Sagen vil om kort tid blive overdraget til advokaturen, der herefter vil rejse tiltaler på baggrund af den omfattende efterforskning, der nu har varet over et år.

Politiet mistænker i alt syv personer for at have med sagen at gøre, men ender på grund af mangel på beviser med kun at sigte seks.

De seks er sigtet for flere forbrydelser. Den tungeste sigtelse er for i fællesskab at have organiseret et DoS-angreb mod dagpengesitet mit3f.dk, hvilket efter straffelovens paragraf 193 kan give op til seks års fængsel.

»Vi mener, at når de sidder i en lukket gruppe og planlægger og udfører et angreb på den måde, de har gjort, at der er grundlag for at sigte dem efter paragraf 193 for "omfattende forstyrrelse i driften af informationssystemer,« siger politiets efterforsker til Version2. Han ønsker ikke at få sit navn frem, da han tidligere har oplevet, hvad it-kriminelle kan bruge den slags til. Efterforskerens identitet er Version2 bekendt.

Artiklen fortsætter efter annoncen

Dertil kommer sigtelser for at have lagt LO's, HK's og Socialdemokraternes hjemmesider ned, men eftersom der her ikke er tale om samfundskritisk it-infrastruktur, er de seks her sigtet efter en mildere paragraf 293, stk. 2, der i grove tilfælde kan give op til to år bag tremmer.

To af de seks er børn under 15. Politiet har afhørt de to og sigtet dem, men på grund af deres alder vil der ikke blive rejst tiltale mod dem. Der er tale om de samme to børn, som allerede i november 2012 også var i politiets søgelys.

De resterende fire sigtede er alle mænd i alderen lige omkring de 30 år, heriblandt Peter Boye Hansen, der onsdag stod frem i Version2 og fortalte om sigtelserne.

Den syvende og sidste person, som politiet ikke har kunnet bevise havde med 3F-sagen at gøre, er dog blevet sigtet for 60 andre tilfælde af it-kriminalitet. Disse forhold har manden erkendt, og sagen kører som en tilståelsessag.

26 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
27
10. december 2013 kl. 00:45

Som jeg lige husker debatten, så har nogen af de sigtede har indrømmet, at de har medvirket til DDoS af 3f.dk, men til gengæld hårdnakket benægtet også at have angrebet mit3f.dk.

3F indrømmede da også, at de selv havde taget mit3f.dk af nettet af frygt for at den også ville blive lagt ned, da de oplevede at mit3f.dk også blev angrebet.

Nu er det jo heller ikke sikkert, at mit3f.dk er dimensioneret til 50000+ samtidige brugere. Det ville jo faktisk være noget overkill, hvis den normalt kun bliver udsat for at 30000 er på 5 min hver over nogle dage. Der er nok sjældent over 1000 samtidige normale brugere på.

Så det kan jo faktisk være, at det var nyheden om at 3f.dk var lagt ned, som fik en masse journalister, version2-brugere, 3f-medlemmer, 3f-ansatte og en masse andre nysgerrige til at tjekke om mit3f.dk også var nede. Disse unormalt mange besøgende, hvoraf langt de fleste ikke logger ind, kan jo godt ligne et mindre DDoS-angreb.

25
9. december 2013 kl. 11:31

Hvornår kommer dette for retten?

17
25. juli 2013 kl. 16:20

"Vi mener, at når de sidder i en lukket gruppe og planlægger og udfører et angreb på den måde, de har gjort, at der er grundlag for at sigte dem"

Orh hold op mand, der har siddet en masse mennesker på en IRC kanal og gejlet hinanden op og opfordret.

Ting som "Lad os gøre det" eller "Jeg synes det ville være en god ide" er ikke det samme som rent faktisk at gøre det...

Er det i øvrigt forbudt at kommere med nærmere detajler om efterforskningen her på V2 ?

8
25. juli 2013 kl. 13:50

Lovligt DDOS?

Hvilken regler skal der så være for DDOS?

Kom med jeres forslag.

13
25. juli 2013 kl. 14:29

Hvilken regler skal der så være for DDOS?

Det er da let nok: Et DDOS-angreb må kun ske efter aftale med indehaveren af servicen.

En sådan aftale kan enten være en indivduel aftale der omhandler en konkret hændelse (for eksempel en aftale mellem serviceejer og et sikkerhedsfirma) eller en kollektiv aftale der tillader det som et konfliktmiddel (for eksempel i stil med Hoveadtalen der dækker faglige konflikter mellem arbejdsgiver og arbejdstager). En sådan kollektiv aftale vil dog stadigvæk kun dække aftalens parter og ikek tilfældige tredjepart.

Jeg er ganske overbevist om at det er retstilstanden i dag og den er jeg ganske tilfreds med.

Så kan vi så diskutere om DDOS-angre er eller bør være et tilladt konfliktmiddel i en faglig konflikt. Men det kræver at angrebet bliver foretaget på vejne af en af konfliktens parter, hvilket næppe var tilfældet i Vejlegård-konflikten.

19
25. juli 2013 kl. 20:25

Ganske fornuftigt svar Makholm. Det skal selvfølgelig ses som et tankeeksperiment.

Men jeg ville nu helst se forslag for dem som går ind for DDOS ( dem som er imod skal også komme med deres forslag ) og ikke kun i forhold til en arbejdskonflikt.

14
25. juli 2013 kl. 14:41

Jeg har aldrig helt forstået det ulovlige i DDoS angreb, så længe de blot udføres som "simpel overbelastning". SYN floods og lignende er en anden snak.

Hvis vi antager at der er en svag hjemmeside, sat op af en lidt inkompetent udvikler, som trækker lidt tunge ting, på en maskine med lidt for lidt RAM - Lad os sige at den er dårligt kodet og den kun kan trække 50 samtidige brugere...

Hvad så hvis mine venner og jeg alle sammen sidder og kigger rundt på siden? Det er ikke engang sikkert vi bruger den, vi sidder bare og kigger på den og klikker rundt fordi den her hjemmeside er afsindigt flot!

Ups.. Jeg har en del venner, lige pludselig er vi 60 brugere på og siden svarer næsten ikke længere. Kan vi så sigtes for DDoS?

Jeg ved godt at man så snakker om at have lavet angrebet med vilje, havde anvendt specialiserede værktøjer osv. men reelt set er det blot en overbelastning vi snakker om, og en overbelastning kan komme af mange legitime årsager. Jeg kan meget godt lide eksemplet med at man får 100 venner til at gå ind og ud af en butik konstant og fylde den helt op mens man blot kigger på ting, uden at købe noget. Det er ikke ulovligt - Men åbner jeg 10.000 tabs til en hjemmeside fordi jeg er en tab narkoman, så bliver det pludselig strafbart.

Jeg har i øvrigt for længe siden helt opgivet at forsøge at argumentere hverken for eller imod hacker angreb herinde, fordi det ser ud til at holdningen er ganske entydig herinde, og ikke behøves mere input.

26
9. december 2013 kl. 13:10

Ups.. Jeg har en del venner, lige pludselig er vi 60 brugere på og siden svarer næsten ikke længere. Kan vi så sigtes for DDoS?

Der er allerede svaret at det i DK typisk er hensigten der spiller ind, så hvis du kaster en bordtennisbold mod forsiden i overført betydning med hensigt at bringe systemet i knæ - så er det formentlig ulovligt. Det kan godt være ulovligt selvom der ingen skade er sket. Du har formentlig også overtrådt din internetudbyders AUP Acceptable Use Policy.

Dernæst er et DDoS angreb typisk væsentligt anderledes end "normal success" - jeg kan nemt som udbyder skelne mellem 1000-vis af valide request som giver 200-OK fra webserveren som står og koger på CPU'en og netkortet. Der benyttes typisk mange andre pakker end man normalt ser på en service - ICMP og UDP i Gbit/s hvor siden normalt får TCP på port 80/tcp eller 443/tcp.

Dernæst er det ekstremt svært for en administrator at se afsenderen og budskabet i et DDoS - og det er nok grund til at jeg ikke vil acceptere DDoS som aktionsmetode. Jeg kan ikke se på 9Gbit indkommende spoofet traffik af UDP og ICMP om det skyldes uenighed mellem to personer, uenighed med en organisation - hvad er budskabet?

Dernæst rammer man ofte andre hos samme udbyder, og det er uacceptabelt.

Endnu en pointe er at hvis I plæderer for at DDoS er acceptabelt så er der formentlig flere ressourcer til de store hjemmesider som KL og 3F, end protestsider som argumenterer sagligt imod samme. Derfor vil I skyde jer selv i foden, for der er nørder på begge sider, og det er nemt at iværksætte et DDoS - så de små sider er nede. Kanonen skyder begge veje og den skyder desværre med spredhagl der gør det for nemt for myndighederne at foreslå flere indgreb på internet!

16
25. juli 2013 kl. 15:37

Jeg har aldrig helt forstået det ulovlige i DDoS angreb, så længe de blot udføres som "simpel overbelastning".

Du forstår ikke det kritiske i at ødelægge en virksomheds service og omdømme?

Ups.. Jeg har en del venner, lige pludselig er vi 60 brugere på og siden svarer næsten ikke længere. Kan vi så sigtes for DDoS?

Nej det kan i ikke, og jeg tvivler stærkt på at du kan mønstre at samle 50.000+ venner til at sidde og klikke på den samme side på samme tid, men hvis man skulle gå ind og argumentere, så kunne man jo sige at hvis i var inde og kigge på siden fordi den var flot, og i var der af interessegrunde, så er det ejeren af sidens egen skyld at han ikke har sørget for at hans side kunne ses af den kundeskare han kan tiltrække. Det har i midlertidig ikke været tilfældet her, hvor angriberen har haft i sinde at lægge siden ned for at forhindre brugen af siden med henblik på at ødelægge virksomheden forretning. Det er at udøve hærværk på en virksomhed hvis man prøver at forhindre dem i at kunne udføre den service som deres kunder betaler for.

Så for at vende tilbage tilbage til forrige argument, så tvivler jeg på at nogen ville tiltale dig for at dele en status på facebook til dine 50.000 venner med link til en hjemmeside du synes er flot, men hvis du derimod lavede en gruppe med 50.000 venner hvor du opfordrede og planlage at i alle skulle lægge siden ned ved at klikke rundt på en bestemt tidspunkt, så ville jeg tiltale dig på samme grundlag som hvis du brugte et værktøj til det.

18
25. juli 2013 kl. 17:02

Nej det kan i ikke, og jeg tvivler stærkt på at du kan mønstre at samle 50.000+ venner til at sidde og klikke på den samme side på samme tid,

Jeg mener stadigvæk at slashdot-effekten kan få ellers veldrevne websteder ned at ligge. Men for store websteder med et stort volumen har det mindre effekt (læs: ingen) i forhold til i starten af årtusinet. Men det er klart at der her ikke er tale om skadelig hensigt.

4chan kan også gøre ubehaglige ting ved er webservice, især hvis den er baseret på personlig betjening, foreksemple et firmas real-time support-system. Her kan man måske nærmere tale om en skadelig hensigt, selvom det kan være ret besværligt at skelne fra almindelig brug.

15
25. juli 2013 kl. 14:51

Jeg ved godt at man så snakker om at have lavet angrebet med vilje, havde anvendt specialiserede værktøjer osv. men reelt set er det blot en overbelastning vi snakker om, og en overbelastning kan komme af mange legitime årsager.

Hvis det er af legitime årsager, så er det vel heller ikke ulovligt. Hvis hensigten er at skabe nedetid, så er det at det går over stregen.

Jeg kan også helt uforvarrende komme til at skubbe til dig...shit happens, men hvis jeg gør det for at du skal falde ud foran en kørende bil, så er det noget andet...eller hvad?

7
25. juli 2013 kl. 13:18

Hvordan kan I sammenligne et DDoS angreb med hærværk og ødelæggelse? De gjorde 3F utilgængelig ja, men det er langt fra det samme, som hvis de havde hacket sig adgang til sitet... Jeg vil kalde det en online demo.!

3F lavede jo præcis det samme stunt ved vejlegården, det foregik bare ved en fysiskblokade! Og hvis det var lovligt, tjaaa, hvorfor har de her folk så gjort noget galt, bare fordi det foregik online?

12
25. juli 2013 kl. 14:13

3F lavede jo præcis det samme stunt ved vejlegården, det foregik bare ved en fysiskblokade! Og hvis det var lovligt, tjaaa, hvorfor har de her folk så gjort noget galt, bare fordi det foregik online?

Loveligheden af 3F's blokade følger af Hovedaftalen der regulerer faglige stridigheder på arbejdsmarkedet (KA, som Restaurant Vejlegården er medlem af, har nogle forbehold mod Hovedaftalen men respekterer den). Med mindre at at de sigtede har handlet på vejne af arbejdsgiver er Hovedaftalen næppe relevant.

Hermed ikke sagt at aftalen står over dansk lov. Det er først og fremmest almindelige aftaleretslige principper der gør aftalen bindende.

Selv hvis de sigtede handlede på vegne af Restaurent Vejlegården ville handlingen betragtes som organisationsfjentlig, hvilket ikke er tilladt. Desuden skal konfliktmidler have til hensigt at føre til en arbejdsstandsning på den konfliktramte arbejdsplads, hvilket en blokade af 3F heller ikke kan siges at have til hensigt.

Man skal heller ikke tage ordet 'blokade' for tungt. Det handler mest om at ansatte i andre firmaer nægter at servicere restauranten. Derved bliver der ikke afleveret post til restauranten eller fjernet renovation. Derudover er der tiltider fagforeningsfolk foran stedet der opfordrer kunder til at gå andre steder hen. (Det har i hvert fald været praksis de gang jeg har set tilsvarende konflikter i københavnsområdet)

9
25. juli 2013 kl. 13:52

3F lavede jo præcis det samme stunt ved vejlegården, det foregik bare ved en fysiskblokade!

Pas lige på med selv at lave forkerte sammenligninger. Ved en faglig fysisk blokade forhindres folk ikke i at komme og gå - man står blot fysisk foran virksomheden og protesterer. Det er ikke tilladt ifht Hovedaftalen imellem arbejdstagere og arbejdsgivere fysisk at forhindre nogen i at komme ind. Det er sandsynligvis også ulovligt ifht gældende dansk ret.

22
26. juli 2013 kl. 08:50

Pas lige på med selv at lave forkerte sammenligninger. Ved en faglig fysisk blokade forhindres folk ikke i at komme og gå - man står blot fysisk foran virksomheden og protesterer. Det er ikke tilladt ifht Hovedaftalen imellem arbejdstagere og arbejdsgivere fysisk at forhindre nogen i at komme ind. Det er sandsynligvis også ulovligt ifht gældende dansk ret.

Hvis vi skal være reelle, så kan blokeringen af mit3f ikke siddestilles med en blokade af folks adgang til dagpenge registrering.

Når du skal udfylde dagpengekortet, har du flere muligheder i 3F:

  • Online (via mit3f)
  • Via papir send som brev
  • Via papir afleveret på 3f kontor
  • Via papir send som fax (Muligvis også via telefon, ved det faktisk ikke)

Men det betyder at DDOS'en tilsvare at du ved en blokade, kun blokere en af mange døre - Det er ikke i modstrid med Hovedaftalen, da det ikke forhindre folk i at komme og gå.

24
26. juli 2013 kl. 13:14

Hovedaftalen er kun relevant for en blokade af mit3f.dk hvis det drejer sig om en faglig konflikt hvor 3F optræder som arbejdsgiver. I en konflikt hvor 3F optræder som arbejdstager-repræsentant er 3F fredet ifølge Hovedaftalnes §1. (På tilsvarende vis er DA fredet).

I henhold til http://www.lo.dk/upload/LO/Documents/H/HovedaftaleDALO.PDFsiger §1:

Da det er ønskeligt, at spørgsmål om løn og arbejdsvilkår løses gennem afslutning af kollektive overenskomster, eventuelt under hovedorganisationernes medvirken, forpligter hovedorganisationerne og deres medlemmer sig til hverken direkte eller indirekte at lægge hindringer i vejen for, at arbejdsgivere og arbejdstagere organiserer sig inden for hovedorganisationernes organisatoriske rammer.
Som organisations fjendtlig handling anses derfor forhold, hvorefter en af nærværende hovedaftale bundet part foretager handlinger rettet mod en anden part begrundet i organisationstilhørsforholdet og således ikke ud fra faglige motiver.

DDOS mod en af mange muligheder for indmeldelse af dagpenge, er ikke hindring for at arbejdsgivere og arbejdstagere organiserer sig. Og om det kan komme ind under "anden del" af §1, er jo kun hvis det er en bunden part i konflikten der udfører handlingen - Hvilket det vil kun er i denne situation, hvis det er KA/Krifa der laver DDOS?

Man kan dog sige at 3Fs nuværende reklame kampagner tangere et forhold, der kun er begrundet i organisationstilhørsforholdet.

6
25. juli 2013 kl. 10:36

Men hvis skyldig - så skal de straffes (hvis de kan fanges) - ligegyldigt om siden har været sikret 'nok' eller ej.

Det kan ikke være offerets skyld at personer vælger at udføre kriminelle gerninger.

1
25. juli 2013 kl. 08:41

Det er meget vanskeligt at tyveri fra en mark, derfor er straffen også højere der, end ved anden form for tyveri.

Straffen for at lægge et offentligt system ned er også væsentligt højere end anden forstyrrelse af sumfundskritiske systemer, men til forskel fra marktyveri kan man rent faktisk sikre mit3f.dk bedre end en mark, så små drenge ikke kan lægge det hele ned for en 50'er, den dag de får lommepenge.

Jeg ser to løsninger. Sikre offentlige kritiske systemer noget bedre, eller giv drengene færre lommepenge. Den løsning med at sætte strafferammen, op hjælper ikke mod de rigtige kriminelle, der ikke har for vane at fortælle andre om deres bedrifter.

Nu bliver disse børn hevet igennem retssytemet fordi mit3f.dk var sikret meget dårligt. Jeg syntes ikke helt det er i orden. Specielt ikke, at der ikke bliver gjort noget ved problemet (IT-systemet).

5
25. juli 2013 kl. 10:01

Nu bliver disse børn hevet igennem retssytemet fordi mit3f.dk var sikret meget dårligt.

Det er et skråplan at basere vores straffesystem på en vurdering af hvilken risiko og snilde synderen har udvist.

Det er ikke i orden at lave hærværk på den lokale folkeskole bare fordi kommunen ikke har hyret et vagtkorps der kan overvåge skolen 24 timer i døgnet. Det er heller ikke i orden at øve hærværk på skolen, sålænge man kun gør det på indgangsdøren uden at skulle nå sværttilgængelige steder.

Tilsvarende er elektronisk hærværk heller ikke i orden uanset hvilke foranstaltninger man kunne have indført. Det vi straffer er selve motivet og villigheden til at foretage handlingen.

I forhold til sigtelsen efter §193 kunne jeg godt heppe på at det blev affærdiget som simpel uagtsomhed at hærværket gik ud over såkaldte samfundskritiske systemer. Men ikke primært ud fra en betragtning om 3F's kompetance niveau, men om at det ikke fremgår klart at mit3f.dk er specielt samfundskritisk.

Men de 3F medlemmer der har lidt skade af angrebet burde, efter min mening, kunne rejse krav mod 3F på grund af mangledne sikkerhed.

3
25. juli 2013 kl. 09:53

Nu bliver disse børn hevet igennem retssytemet fordi mit3f.dk var sikret meget dårligt. Jeg syntes ikke helt det er i orden. Specielt ikke, at der ikke bliver gjort noget ved problemet (IT-systemet).

Hvordan kan du nogensinde argumentere over for dig selv at det er i orden at ødelægge andre folk systemer og hårde arbejde, for ikke at tale om risikoen for at forhindre 30.000 mennesker ikke at miste deres foreløbige indkomst?

Ja, de havde måske ikke beskyttet sig så godt som de kunne imod tidens nye trend (DDoS red.), men det giver absolut ingen som helst ret til at gå den kriminelle vej og angribe dem. Vi lever i et samfund hvor vi bliver nødt til at stole på, at hvis vi fremlægger nok beviser for de rette myndigheder, så vil disse skride til handling. De er kriminelle, og skal behandles derefter.

21
25. juli 2013 kl. 23:55

»Nu bliver disse børn hevet igennem retssytemet fordi mit3f.dk var sikret meget dårligt. Jeg syntes ikke helt det er i orden. Specielt ikke, at der ikke bliver gjort noget ved problemet (IT-systemet).«</p>
<p>Hvordan kan du nogensinde argumentere over for dig selv at det er i orden at ødelægge andre folk systemer og hårde arbejde, for ikke at tale om risikoen for at forhindre 30.000 mennesker ikke at miste deres foreløbige indkomst?

Jeg har ikke skrevet at det er i orden at lave noget som helst angreb på noget. Det er ikke i orden. Målet helliger ikke midlet.

Som jeg har forstået det, kan det forekomme at nogle af 3Fs medlemmer har lidt et økonomisk tab, ved at nogen gjorde noget. Hvis der er et økonomisk af en vis størrelse, så kan man stævne folk for det. Det er helt på sin plads. Et angreb på mit3f.dk er et langt større problem end rejseplanen.dk (hvad var egentlig meningen med det?).

For år tilbage strejkede nogle Prosa-medlemmer der var ansat hos KMD, hvilket resulterede i at der var nogle pensionister der ikke fik udbetalt deres pension til tiden. Disse strejkende blev ikke staffet med op til 6 års fængsel, til trods for at de havde gjort det samme som drengene: De havde forhindret nogen i at få en udbetaling. Målet helliger ikke midlet.

Hele vort samfund er ved at blive tvangsdigitaliseret, og på en hel del punkter syntes jeg det er en rigtig god idé. Men hvis vitale systemer er så sårbare som det har vist sig, så syntes jeg ærligt talt at der skulle gøres noget ved det. Det skrev jeg også i sidste indlæg. Hvis nogen bliver rigtigt sure på NemID, så kan de lægge det hele ned for få tusinde kroner. Uden at have nogen teknisk indsigt. Hvis de så bare lader være med at fortælle om det på facebook, så bliver de heller ikke fundet af politiet.

4
25. juli 2013 kl. 09:58

Hvis de 30.000 ikke kunne søge dagpenge online, så kunne de blot poste et brev. Det er ikke verdens undergang, og heller ikke en umulig opgave at udføre, når de nu er ledige.

Så jeg kan ikke se, at det er et samfundskritisk system.

2
25. juli 2013 kl. 09:43

At 3F kunne have sikret deres side bedre er da ikke nogen undskyldning. Det er stadigvæk ulovligt at stjæle fra mit hjem, hvis jeg har glemt at låse hoveddøren.

Så jo, de fortjener en straf for hvad de har gjort, hvorefter 3F nok skal igang med noget bedre IT sikkerhed.