Hackersagen dag 8: Strid om krypteret container

It-efterforsker har i dag medgivet, at TrueCrypt-containeren kan styres uden direkte adgang til computeren. Det var ellers en af grundene til, at politiet finder fjernstyring usandsynlig

Den kryptererede container på Gottfrid Svarholm Wargs computer skulle åbnes af en bruger ved computeren, lød det i går fra politiets it-efterforsker. Men det er ikke nødvendigvis tilfældet medgav efterforsker Arne Lund Hansen i dagens retsmøde.

Den svenske tiltalte i danmarkshistoriens største hackersag har forklaret, at det ikke er ham, der har hacket CSC’s mainframe. I stedet blev hans computer fjernstyret. Den forklaring har politiets efterforskere ikke fundet sandsynlig.

En af grundene er, at den TrueCrypt-container, som indeholder filer fra CSC, ikke auto-mountes ved computerstart. Derfor skal der en bruger ved computeren til at åbne den, forklarede IT-efterforsker Flemming Grønnemose i går.

I dag har it-efterforsker Arne Lund Hansen medgivet, at TrueCrypt-containeren kan være åbnet uden tilgang til computerens grafisk interface.

»Er du enig i, at det kan gøres gennem command prompt,« spurgte Wargs forsvarsadvokat Luise Høj.

»Det er vanskeligere end at gøre det gennem grafisk tilgang, men det kan godt lade sig gøre,« svarede Arne Lund Hansen.

TrueCrypt-containeren blev åbnet af svensk politi. Svenske Jesper Blomström har i retten i dag forklaret, at Windows-systemet under visse omstændigheder skriver nøglerne ned til containeren. Ud fra disse er det lykkedes svensk politi, at gå baglæns ud fra nøglen og dekryptere containeren.

Omsonst test af fjernstyringsværktøj

Forsvarsadvokat Luise Høj forsøgte med sin spørgsmålsrække at slå tvivl om andre pointer fra politiets undersøgelser. Et af fjernstyringsmulighederne, der er blevet nævnt, er gennem programmet psExec. Arne Lund Hansen forklarede i dag fra vidnestolen, at der ikke var blevet fundet psExec på Wargs computer.

Men Luise Høj mente ikke, at de fund udelukkede noget.

»Hvis du har en computer, og vil fjernstyre min computer, er du så enig i, at det er dig, der skal have PCExecute installeret« spurgte hun Arne Lund Hansen, som bekræftede.

»Hvorfor så lede efter psExec på computeren, som bliver fjernstyret,« ville advokaten vide.

»Det fik vi som opgave,« lød svaret fra efterforskeren.

Undersøgelsen viste også, at firewall-indstillingerne ikke lod psExec oprette forbindelse til nettet. Igen ville Luise Høj vide, om det var nødvendigt for fjernstyring af Wargs computer, på den måde som forsvaret har beskrevet.

»Nej. Men det fik vi til opgave at undersøge af anklagemyndigheden,« forklarede Arne Lund Hansen.

I den krypterede container er der i samme mappe fundet filer fra CSC, Nordea og svenske Logica, der nu hedder CGI. Der er desuden fundet en faktura med Wargs navn på, som politiet har brugt til at knytte Warg til den container, han ikke vil kendes ved.

Warg er sammen med danske JT anklaget for at have hacket CSC’s mainframe. De risikerer op til seks års fængsel, hvis de bliver fundet skyldige.

Version2 er til stede i retten.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (25)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Lars Lundin

Her er så åbenbart Wargs og JT's drejebog for hvordan man tjener på hacking:
1) Sæt en fjernstyrbar PC på internettet,
2) Opfør dig iøvrigt som om du har interesse for at trænge ind på computersystemer (det hedder vist sikkerhedsanalytiker)
3) Lad dig arrestere og varetægtsfængsle for indtrængen på et computersystem
4) Observer anklagemyndighedens totale inkompetence
5) Sagsøg efter frikendelse myndighederne for et millionbeløb
6) Profit!

Frithiof Andreas Jensen

Her foran mig har jeg en "MacBook Pro". SSH virker fint på den, sikkert noget IT afdelingen har sat op til eget brug. Ellers kan man göre det på 2 minutter i GUI'et:

http://www.maclife.com/article/howtos/how_enable_ssh_your_mac

Det virker lidt som om politiet, som mange andre der ikke forstår computere, har et "spatial location problem": GUI'et er IKKE "Computeren", det er bare et program som körer på Computeren. "mount" virker i övrigt også via SSH.

Hvis man skriver software så er SSH cirka den förste ting man installerer / slår til på en computer. En virtuel maskine er det näste; "Hold Computeren ren og IT fra dören" ;-)

Rune Larsen

LOL! Med sådan en stor kærlighed for GUI burde it-efterforsker Arne Hansen måske gøre lidt mere ud af sin egen "under construction" hjemmeside: http://www.tek-it.dk ;-)

I øvrigt interessant, at svenskerne fik hul på Wargs TrueCrypt. Er TrueCrypt kompromiteret, som TrueCrypt-udviklerne selv advarede om inden de forlod projektet, eller tog de mon Wargs maskine, mens den var mounted?

Kenn Nielsen

I øvrigt interessant, at svenskerne fik hul på Wargs TrueCrypt. Er TrueCrypt kompromiteret, som TrueCrypt-udviklerne selv advarede om inden de forlod projektet, eller tog de mon Wargs maskine, mens den var mounted?

Det ser nærmere ud til at Windows er kompromitteret.

TrueCrypt-containeren blev åbnet af svensk politi. Svenske Jesper Blomström har i retten i dag forklaret, at Windows-systemet under visse omstændigheder skriver nøglerne ned til containeren. Ud fra disse er det lykkedes svensk politi, at gå baglæns ud fra nøglen og dekryptere containeren.

K

Johan Brinch

Det er noget vagt forklaret i artiklen: "TrueCrypt-containeren blev åbnet af svensk politi. Svenske Jesper Blomström har i retten i dag forklaret, at Windows-systemet under visse omstændigheder skriver nøglerne ned til containeren. Ud fra disse er det lykkedes svensk politi, at gå baglæns ud fra nøglen og dekryptere containeren."

Det kan f.eks. skyldes en ukrypteret swap-fil, men jeg mener, at TrueCrypt anbefaler og supporterer at kryptere swap data.

Ellers ved jeg det ikke lige. Kan dataet ligge ubeskyttet andre steder i root? Suspend-to-disk bruger vel swap.

Morten von Seelen

Det er vanskeligere end at gøre det gennem grafisk tilgang, men det kan godt lade sig gøre,«

Jeg kan godt se, at en one-liner som:

truecrypt /v [FILE PATH] /lx /quit /p [PASSWORD]

er meget vanskeligere at skrive, end at skulle trykke rundt med musen en masse gange...

Men det kan være, at IT-efterforskeren ikke er så vild med kommandolinjer...

Ask Holme

@Rune: Man kan godt bryde truecrypt uden at softwaren er hullet.
Som truecrypts egen dokumentation skriver (se nedenstående link, sjov URL fordi egen side jo er taget ned) tillader microsofts API'er ikke fuld kontrol over ram'en. Det leder til at en nøgle kan blive i ram'en selvom man volumen ikke længere er mounted, ligesom at nøgler kan optræde i en hibernation fil.

Derfor skal du enten kryptere din system partition eller slå hibernation fra.

Med en moderne computer hvor ting som sleep, hibernation etc. er standard kan man ret nemt komme til at bryde de regler. Og laver man det trick bare en gang kan nøglen godt ligge på harddisken ret længe.

Ole Knudsen

Artiklen snakker ellers en hel del om Windows.

Er psExec ikke programmet fra Windows Sysinternals, som Microsoft købte for 5-8 år siden ? Skrevet af Mark Russinowich, som idag er Fellow, den højeste tekniske titel hos Microsoft. Det beskriver netop hvordan det kan bruges til fjernstyring af Windows maskiner uden at være installeret på remote PC.

Joachim Rørbøl

psExec er en (af mange?) klienter til remote powershell - den bruges som det fremgår af artiklen clientside.
Som jeg husker det kræver remote management via ps dog mere end en klient og en åben firewall. Jeg erbejdede på et tidspunkt med windows server core og her var en del af installationen at køre kommandoer som

Enable-PSRemoting  
Set-Item wsman:\localhost\client\trustedhosts <ip>

Sidst nævnte var vidst kun nødvendigt hvis man ikke kunne logge på via active directory.

Michael Christensen

Man kan også tænke sig, at man har gaflet nogle passwords på disken i klar tekst - og så har satset på, at de er genbrugt. Det ville være en approach, jeg ville kunne finde på. Men ja - for Windows' vedkommende, så kan dvalefilen indeholde ukrypterede passwords, som de forskellige forensics værktøjer kan trække ud.

Christian Nobel

Må de det?

Det er da mere betænkeligt at de svarer:

»Det fik vi som opgave,«

»Nej. Men det fik vi til opgave at undersøge af anklagemyndigheden,«

Som udgangspunkt må man forvente at efterforskerne objektivt foretager en undersøgelse uden bias - men det lader ikke til at være tilfældet her, hvilket skurrer fælt, især når man tager i betragtning at politiet ikke har lavet åstedsundersøgelse.

Jesper Louis Andersen

»Nej. Men det fik vi til opgave at undersøge af anklagemyndigheden,«

Som udgangspunkt må man forvente at efterforskerne objektivt foretager en undersøgelse uden bias - men det lader ikke til at være tilfældet her, hvilket skurrer fælt, især når man tager i betragtning at politiet ikke har lavet åstedsundersøgelse.

Jeg er ikke så bekymret for at anklageren eller forsvareren kan bede den objektive analyse om at fokusere på visse dele, hvad der her lader til at være gjort.

Det centrale spørgsmål i sagen lige nu i forhold til GSW er om maskinen kunne have været fjernstyret. Det er derfor oplagt at anklageren beder om at få den objektive myndighed til at undersøge hvorvidt dette har været muligt eller ej.

Sagen nævner dog ikke noget om hvorvidt forsvareren har haft samme mulighed. Hvis der f.eks. har været en SSH server på maskinen, så er det jo oplagt at den har været brugt til fjernstyring, for det findes ikke på en "normal" windows-PC.

Men, givet at det er GSW, og det miljø han øjensynligt har bevæget sig i, så finder jeg det ikke usandsynligt at en eventuel fjernstyring har været en skjult bagdør på maskinen, og ikke en oplagt åben dør.

Jesper Louis Andersen

Må de det?

Ja!

Du isolerer vidner så vidt muligt. De giver ikke vidneudsagn i et andet vidnes påhør. Og de må helst ikke kommunikere om sagen af sidekanaler (hvilket er svært i en sag med så meget medieomtale som denne). Grunden herfor er at styrke retssikkerheden fordi det har forstærkende effekt.

Hvis uafhængige vidneudsagn peger i samme retning har de mere værdi.

Omvendt gælder det også hvis de uafhængige vidneudsagn peger i forskellig retning. Det bestyrker bare det modsatte forhold, nemlig at det hændelsesforløb der har været ikke er tydeligt afdækket og der er forskellig opfattelse af hvorledes det hændelsesforløb har været.

Jesper Louis Andersen

Med en moderne computer hvor ting som sleep, hibernation etc. er standard kan man ret nemt komme til at bryde de regler. Og laver man det trick bare en gang kan nøglen godt ligge på harddisken ret længe.

Der mangler også en rigtigt god metode til at fortælle et system at noget data skal overskrives i hukommelsen. Mange oversættere af C er i stand til at optimere sådanne kald til at slette data væk. Se f.eks. Colin Percival på området:

http://www.daemonology.net/blog/2014-09-06-zeroing-buffers-is-insufficie...

Så ethvert indtastet password på en normal maskine har en vis fare for at lække gennem en eller anden sidekanal over hvilken du ikke har kontrol. Den eneste måde at få styr på den slags på er at slå hibernation fra, kryptere din swap partition med en tilfældig nøgle ved boot og så videre (Se f.eks. OpenBSD).

Henrik Pedersen

Whut? Hvem ville begå en sådan synd mod sin Mac? Det smadrer batterilevetiden og ... Ja... Føj!!! I fængsel med ham!

For real tho, jeg elsker at ikke bare anklagemyndigheden er inkompetent, men tilsyneladende er IT efterforskerne det også. Tak for at pege mig mod Arne Hansens hjemmeside. Jeg elsker især at manden ikke engang kan kode HTML/CSS og har brugt dette smarte software: http://netobjects.com/

Det skal jeg huske på næste gang jeg har en kunde der har brug for et flot webdesign. Tak Arne!

Per Vauvert

Jeg synes der er (for) mange, som bare vil påpege, at politiet, anklagemyndigheden og IT-efterforskerne er inkompetente og uduelige.
Det er en forbrydelse vi taler om - en forbrydelse der skal efterforskes og straffes, hvis de anklagede findes skyldige. De anklagedes retssikkerhed skal selvfølgelig sikres.
Men - i mine ører lyder det absolut ikke som om, det er to helt uskyldige engle, man her har med at gøre.
De er garanteret meget professionelle og har gjort alt for at skjule deres forehavende og dække sig ind mod senere bevisførelse.
De scenarier, de påpeger, med fjernstyring m.v. behøver jo netop ikke være det, der er foregået, selvom det er måske muligt.
Per

Robert Larsen

Den inkompetance politiet, efterforskerne, anklagemyndigheden og CSC har udvist burde dæleme også være kriminel.

Men - i mine ører lyder det absolut ikke som om, det er to helt uskyldige engle, man her har med at gøre.
De er garanteret meget professionelle og har gjort alt for at skjule deres forehavende og dække sig ind mod senere bevisførelse.

Hvordan det lyder i dine ører er ret ligegyldigt, det skal bevises.
Og når beviserne ikke er hevet frem af kompetente mennesker, men er leveret i det omfang CSC har fundet det nødvendigt/ønskeligt, så er det da under AL kritik. Det svarer jo til at jeg, efter et indbrud i mit hus, leverer et billede af en smadret rude til politiet, men ikke de skoaftryk, som tydeligt viser, at det er mig selv, der har gjort det.

Jeg selv syntes også i starten at de to lød meget skyldige, men det er jo fordi medierne allerede havde erklæret dem skyldige. Der er kommet alt for mange tegn frem på, at alle og enhver har haft adgang til Wargs computer.

Anders Rosendal

Jeg synes der er (for) mange, som bare vil påpege, at politiet, anklagemyndigheden og IT-efterforskerne er inkompetente og uduelige.
Det er en forbrydelse vi taler om - en forbrydelse der skal efterforskes og straffes, hvis de anklagede findes skyldige.


Netop. Og i så fald ville det jo være bedst med folk som var kompetente ikke?

Nedenstående er jo useriøst:
»Er du enig i, at det kan gøres gennem command prompt,« spurgte Wargs forsvarsadvokat Luise Høj.

»Det er vanskeligere end at gøre det gennem grafisk tilgang, men det kan godt lade sig gøre,« svarede Arne Lund Hansen.

Vanskeligt at bruge kommandolinje?!
Mere eller mindre vanskeligt end at hacke csc?

Log ind eller Opret konto for at kommentere