Dokumentation: Her er domsafsigelsen i hackersagen

Illustration: Virrage Images/Bigstock
Retten på Frederiksberg idømte i dag svenske Gottfrid Svartholm Warg tre et halvt års fængsel for hacking af CSC. Læs her den fulde begrundelse for, hvorfor retten fandt ham skyldig.

Der er sat foreløbigt punktum i den historisk hackersag.

Retten på Frederiksberg forkastede Gottfrid Svartholm Wargs forklaring om at gerningscomputeren var fjernstyret og fandt svenskeren skyldig i danamrkshistoriens største hackersag. Gottfrid Svartholm Warg ankede med det samme sin dom på tre et halvt års fængsel.

Danske JT er derimod løsladt efter en dom på seks måneder, som han allerede har udtjent under sin 17 måneder lange varetægtsfængsling. Han blev fundet skyldig i medvirken til forsøg på hacking, og han blev således frifundet for tiltalen om at have medvirket til selve hackerangrebet, der strakte sig over måneder i 2012.

Her er dommens fulde ordlyd

K E N D E L S E

Indledning

Efter bevisførelsen, herunder de fremkomne oplysninger fra CSC Danmark A/S (CSC), lægger retten til grund, at CSC i hvert fald i perioden fra den 13. februar 2012 til slutningen af august 2012 var udsat for hacking og forsøg herpå. Hackingangrebet var meget omfattende og teknisk avanceret.

CSC er en stor dansk it-virksomhed, som driver et større antal it-systemer for private virksomheder og offentlige institutioner, herunder Rigspolitiet og Økonomi- og Indenrigsministeriet. CSC opbevarer data for sine kunder, blandt andet kriminalregisteret, kørekortregisteret, Schengen Informationssystemet og CPR-registeret. Dataene opbevares på en IBM mainframe (stor centraliseret computer) med styresystemet z/OS. Mainframen har en FTP-server og en webserver tilknyttet.

Det er efter bevisførelsen fastlagt, at der fra den 13. februar 2012 blev gjort flere forsøg på at skaffe sig uberettiget adgang til CSC's mainframe. Den 7. april 2012 blev der første gang skaffet uberettiget adgang til mainframen. Der blev herefter i perioden indtil ultimo august 2012 kopieret og downloadet en meget stor mængde data, som indeholdt oplysninger fra blandt andet politiets registre. Dataene blev downloadet via forskellige udenlandske IP-adresser.

Den uberettigede adgang til CSC's mainframe blev opdaget, fordi svensk politi henledte dansk politis opmærksomhed på, at svensk politi i forbindelse med efterforskningen af en straffesag i Sverige mod tiltalte T1 havde fået mistanke om, at der fra tiltalte T1s computere var skaffet adgang til CSC’s systemer.

Tiltalte T1 blev på foranledning af svensk politi anholdt af cambodiansk politi den 30. august 2012 i sin lejlighed i Phnom Penh i Cambodia og har siden været frihedsberøvet i henholdsvis Sverige og Danmark, hvortil han blev udleveret.

Der blev under svensk politis efterforskning på en computer tilhørende tiltalte T1 fundet en tekstfil. Tekstfilen fremstod som en chatsamtale over internettet den 13. og 14. februar 2012 mellem to personer benævnt ved nicknavnene (internetalias) My Evil Twin og Advanced Persistent Terrorist Threat. Indholdet af chatten indikerede, at personerne udviste interesse for at skaffe sig adgang til CSC's mainframe, herunder politiets systemer.

Tiltalte T2 blev anholdt den 5. juni 2013 i København og har siden været frihedsberøvet.

Logica-sagen

Tiltalte T1 blev under en straffesag i Sverige ved endelig dom af 25. september 2013 fundet skyldig i over en periode fra 1. januar 2010 til 15. april 2012 at have foretaget ulovlig dataindtrængen i en mainframe tilhørende Logica Sverige AB, nu CGI (Logica). Logica er en svensk it-virksomhed, der opbevarer data for blandt andet svensk politi.

Ifølge dommen blev forholdet begået sammen med MG, som i forbindelse med straffesagen blev anholdt af svensk politi den 15. april 2012, varetægtsfængslet den 18. april 2012 og løsladt den 19. juni 2012.

Den ulovlige dataindtrængen hos Logica fandt sted via en FTP-server, og der blev til brug for indtrængen blandt andet anvendt et script (program) navngivet "kuku". Der blev downloadet filer fra Logica, blandt andet til en server på rådhuset i Phnom Penh i Cambodia og via en tysk IP-adresse med nummeret 93.186.170.54. Den tyske IP-adresse var efter det oplyste tilknyttet en server i Tyskland, som havde været udlejet. Serveren var derefter blevet overtaget af en ukendt hacker, inden den i juli 2012 blev slettet uden backup.

Adgang til CSC's systemer

Efter bevisførelsen var der den 13. og 14. februar 2012 forsøg på uberettiget login på CSC's FTP-server tilknyttet mainframen. Den 3., 4. og 9. marts 2012 var der endvidere 515 forsøg på login på CSC's FTP-server fra den tyske IP-adresse (93.186.170.54). Der var derudover frem til den 7. april 2012 flere hundrede besøg på CSC's webserver fra den tyske IP-adresse og fra cambodianske IP-adresser.

Den 7. april 2012 fandt den første konstaterede uberettigede adgang til CSC’s mainframe sted ved udnyttelse af en hidtil ukendt sårbarhed (zer0day) i webserveren. Der blev til brug for adgangen benyttet to domæner, henholdsvis tjenstemandspension.dk og tn3270.sdn.dk. Der blev derved skaffet adgang til politiets system på mainframen.

Den 8. april 2012 blev der uautoriseret overført et script navngivet ”koki” til politiets system på CSC’s mainframe, hvorved brugeren fik eskaleret sine brugerrettigheder til administratorrettigheder til systemet.

Ligeledes den 8. april 2012 blev der på CSC's mainframes webserver uautoriseret oprettet et script, som indeholdt en kopieret og ændret udgave af et allerede eksisterende script. Dette nye script udgjorde den såkaldt første bagdør (adgang til computeren uden normale sikkerhedskontroller). Der blev via bagdøren ved hjælp af et eksternt script skabt adgang til at udføre kommandoer, herunder til at automatisere udkopiering af data fra CSC’s systemer.

Der blev endvidere den 8. april 2012 uautoriseret på CSC’s mainframes internetserver tilføjet en ny linje i en konfigurationsfil (kaldet anden bagdør), samt tilføjet endnu en linje (kaldet tredje bagdør). Der blev derved skabt uautoriserede muligheder for at tilgå CSC’s systemer. Adgangen via anden og tredje bagdør blev ikke logget (registreret) hos CSC.

Herefter skete der uautoriseret efterspørgsel og download af store mængder data fra CSC’s mainframe, hvoraf størstedelen hidrørte fra politiets system. Den 10. april 2012 skete første større download af data ved, at hele RACF-databasen (central brugerdatabase i mainframecomputeren), som indeholdt omkring 84.000 brugernavne og krypterede passwords, blev downloadet.

Download skete blandt andet ved komprimering og omdøbning af filer og datasæt i forbindelse med kopiering af data ud til en offentligt tilgængelig mappe på CSC's webserver (pub-mappe), hvorefter filerne kunne tilgås via internettet af enhver med kendskab til filnavnet. Filerne blev herefter downloadet og slettet fra den offentligt tilgængelige mappe.

Udover download af RACF-databasen den 10. april 2012 skete der blandt andet download af større mængder data fra CSC's mainframe alle dage den 11.-16. april 2012, den 21.-22. april 2012, den 16.-17. juni 2012, den 24.-25. juni 2012, den 30. juni 2012, den 12.-13. juli 2012, den 20. juli 2012, den 22. juli 2012, den 28. juli 2012, den 1. august 2012, den 10.-11. august 2012, den 14.-16. august 2012 og den 27. august 2012.

De downloadede filer og datasæt vedrørte navnlig personfølsomme data fra CPR-registret, politiets indexregistre, kriminalregistret, kørekortregistret og Schengen Informationssystemet.

Den seneste uberettigede aktivitet på CSC's mainframe fandt ifølge bevisførelsen sted den 28. august 2012.

De tre bagdøre, som gav uautoriseret adgang til CSC’s mainframe, blev ifølge vidnet Gs forklaring fjernet af CSC således, at første bagdør blev fjernet omkring den 27. februar 2013, mens anden og tredje bagdør blev fjernet senest den 6. marts 2013.

Tiltalte T1s computere

I forbindelse med anholdelsen af tiltalte T1 den 30. august 2012 blev der af Cambodiansk politi beslaglagt blandt andet to computere tilhørende ham; en stationær computer med to harddiske, hvoraf den ene harddisk var I forbindelse med anholdelsen af tiltalte T1 den 30. august 2012 blev der af cambodiansk politi beslaglagt løst tilknyttet, og en bærbar computer af mærket MacBook Pro.

Den konkrete opsætning af tiltalte T1s computere inden anholdelsen, herunder af routeren, blev ikke undersøgt og dokumenteret af cambodiansk politi.

Tiltalte T1s computere blev efterfølgende beslaglagt af svensk politi, og dansk politi har alene haft mulighed for at undersøge computerne i Sverige.

På den stationære computer, som var navngivet Metaverse, var der tre brugerkonti. På computerens faste harddisk blev der blandt andet fundet seks filer med data fra det danske kriminalregister (data for i alt 91.011 personnumre), to filer indeholdende kopier af CSC’s RACF-database, filer med søgninger i Schengen Informationssystemet, filer med lister af datasæt fra CSC og en såkaldt Hercules-emulator (software der muliggør simulering af en mainframe) med brugeren APT2011 tilknyttet. I en række scripts blev der fundet henvisninger til IP-adresser tilhørende CSC, Nordea i Sverige og en iransk mainframe.

På den stationære computers løse harddisk blev der fundet en række filer med data og systemfiler fra Logica og CSC, herunder et stort antal mapper og filer fra CSC’s mainframe. Derudover blev der fundet en fil benævnt ”koki”, der indeholdt det script, som den 8. april 2012 blev benyttet til at opnå administratorrettigheder på CSC’s mainframe.

På den bærbare computer var der syv brugerkonti. Det fremgår af politiets undersøgelser, at computeren blev navngivet Flechette den 16. november 2010. Samme dato blev der første gang installeret Windows på computeren, og der blev skabt en såkaldt krypteret container (krypteret del af harddisk som åbnes med password). Der blev endvidere samme dag etableret et link fra chatprogrammet mIRC til den krypterede container.

I den krypterede container blev der fundet et meget stort antal mapper og filer.

I en mappe navngivet ”cpr” i den krypterede container blev der fundet filer downloadet fra CSC’s mainframe, herunder et udtræk af Schengen Informationssystemet bestående af navne, fødedata og efterlysningskategorier på efterlyste personer i Schengenlandene, anmeldelseskvitteringer fra Bornholms Politi og en fil med CPR-numre for ikke under 4.000 personer og generalia på 170 personer med navne- og adressebeskyttelse. I samme mappe blev der endvidere fundet filer fra Logica samt den tekstfil, hvor chatten af 13. og 14. februar 2012 mellem Advanced Persistent Terrorist Threat og My Evil Twin var gemt.

Ligeledes i mappen navngivet ”cpr” i den krypterede container blev der fundet en række logfiler. En af disse logfiler viste, at der den 4. marts 2012 fra den stationære computer var 50 loginforsøg på CSC’s FTP-server samtidig med, at der skete indtrængen i og kopiering af filer fra Logicas mainframe i Sverige.

En anden logfil viste blandt andet, at der den 7. og 8. april 2012 fra den stationære computer blev etableret adgang til CSC’s mainframe via domænet tn3270.sdn.dk ved udnyttelse af en sårbarhed i webserveren. Der blev herefter etableret endnu en forbindelse til CSC’s mainframe via domænet tjenestemandspension.dk.

En tredje logfil viste handlinger foretaget på CSC's mainframe via CSC's webserver den 8. april 2012 med blandt andet opgradering af scripts og forsøg på at downloade RACF-databasen via en IP-adresse i Cambodia.

En fjerde logfil viste blandt andet, hvordan der den 10. april 2012 blev skabt forbindelse fra den stationære computer til CSC's mainframe via webserveren ved hjælp af den første bagdør. Logfilen viste endvidere, at hele RACF-databasen blev kopieret og downloadet via en cambodiansk IP-adresse til en server tilhørende rådhuset i Phnom Penh i Cambodia, ligesom der opnåedes yderligere rettigheder på mainframen.

En femte logfil viste, at der den 21. april 2012 blev flyttet 38 filer fra CSC's mainframe til CSC’s webservers offentlige mappe (pub-mappe). Der blev endvidere søgt information og sendt forespørgsler til mainframen mere end 100 gange. Der blev navnlig søgt efter filer vedrørende politiet, Rigspolitiet og Interpol, og en række scripts blev modificeret og tilpasset.

Der blev i den krypterede container endvidere fundet en mappe navngivet ”mysec”, som indeholdt ca. 1.100 filer. I mappen fandtes filer vedrørende firmaet Mysec, der er et firma, som tiltalte T1 har udført arbejde for. Der blev blandt andet fundet en faktura dateret den 4. maj 2010 til Mysec for softwareudvikling. Fakturaen fremstår som udstedt af firmaet Arocore Co., Ltd, hvilket firma tiltalte T1 ligeledes har udført arbejde for.

På den del af den bærbare computers harddisk, som ikke var krypteret, blev der fundet en række genveje, der viste, at man flere gange havde været inde i filer i den krypterede container. På et skrivebord forefandtes to genveje, der viste, at der fra den bærbare computer var skabt forbindelse til et program, der kunne betjene Hercules-emulatoren på den stationære computer. Fundne filer viste, at 27 af de 32 IP-adresser, der havde været anvendt til hackingen af CSC og forsøgene herpå, havde været tilgået fra den bærbare computer. Det drejede sig om IP-adresser til servere i Cambodia, Iran og Tyskland, ligesom domænet tilhørende rådhuset i Phnom Penh i Cambodia også havde været tilgået fra den bærbare computer.

Tiltalte T2s computer

I forbindelse med anholdelsen af tiltalte T2 den 5. juni 2013 blev der hos ham beslaglagt en bærbar computer af mærket Lenovo og en hul skakbrik indeholdende et micro SD-kort.

Computeren var indkøbt den 13. maj 2013 og indeholdt en stor mængde data, hvoraf størstedelen var krypteret. SD-kortet indeholdt to dekrypteringsnøgler til de krypterede partitioner (dele af harddisken). Tiltalte T2 har ikke ønsket at medvirke til dekryptering, og det er kun lykkedes politiet at få delvis adgang til indholdet af computeren. I den krypterede del, som politiet har skaffet sig adgang til, var materialet ikke læsbart.

I det læsbare materiale på computeren blev der blandt andet fundet dokumenter vedrørende historiske hackersager, data fra kendte hackerangreb, herunder brugernavne, e-mails og passwords, en vejledning i brug af z/OS styresystemer og dokumenter fra en offentliggjort svensk forundersøgelse vedrørende straffesagen mod tiltalte T1 i Sverige. Der blev endvidere fundet en kvittering for leje af servere med mulighed for at benytte diskplads.

Chatten af 13. og 14. februar 2012

Tekstfilen med chatten blev fundet i mappen navngivet "cpr" i den krypterede container på tiltalte T1s bærbare computer. Tekstfilen fremstår som uddrag af en chat mellem to personer benævnt My Evil Twin og Advanced Persistent Terrorist Threat. Chatten begynder den 13. februar 2012 kl. 14:07:07 og slutter den 14. februar 2012 kl. 13:31:04 og er tidsmæssigt opdelt i samtaler, som tilsammen varer ca. otte og en halv time.

Chatten i tekstfilen er enslydende gengivet to gange i umiddelbar forlængelse af hinanden og fremstår som værende kopieret to gange ind i samme dokument. Hovedparten af chatten foregår på engelsk, mens en lille del foregår på dansk.

Tiltalte T2 har forklaret, at han var den ene deltager i chatten og ophavsmand til den tekst, der står ud for Advanced Persistent Terrorist Threat, men at han ikke har anvendt dette navn i chatten. Han mener ikke, at han chattede med en person med nicknavnet My Evil Twin, men at den person, han chattede med, anvendte nicknavnet "era", og at han selv anvendte nicknavnet "Joe".

Under chatten blev der den 13. februar 2012 indsat en kopi af et svar fra CSC's FTP-server, som var sendt på det samme tidspunkt, som chatten angives at finde sted. Ligeledes blev der den 14. februar 2012 i chatten indsat en kopi af et svar fra CSC's FTP-server, hvoraf fremgår, at tiden på CSC's server svarer til det tidspunkt, som også angives i chatten.

På baggrund heraf finder retten ikke grundlag for at betvivle, at chatten har fundet sted på de angivne tidspunkter og i hvert fald med det udfundne indhold, ligesom det lægges til grund, at de nicknavne, der oprindeligt blev anvendt, efterfølgende er blevet ændret, fx ved benyttelse af programmet Pidgin, som er fundet på tiltalte T1s bærbare computer.

Generelle bemærkninger

CSC's mainframe, som handlingerne har været rettet imod, befinder sig i Danmark. Da handlingernes strafbarhed påvirkes af, hvilke virkninger der indtræder eller tilsigtes at indtræde på CSC's mainframe, kan handlingerne straffes her i landet, uanset om de måtte være foretaget uden for Danmark eller gennem servere, der befandt sig uden for Danmark, jf. straffelovens § 9, stk. 2.

Efter straffelovens § 263, stk. 2, kan man straffes med fængsel i 1 år og 6 måneder, hvis man skaffer sig adgang til en andens oplysninger eller programmer, der er bestemt til at bruges i et informationssystem. Hvis forholdet begås under særligt skærpende omstændigheder, eller hvis der er tale om overtrædelser af mere systematisk eller organiseret karakter, kan straffen efter § 263, stk. 3, 1. og 2. punktum stige til fængsel indtil 6 år.

Der fremgår af forarbejderne til straffelovens § 263, stk. 3, 1. punktum, at det blandt andet anses som en skærpende omstændighed, hvis gerningsmanden skaffer sig adgang til offentlige it-registre.

På CSC's mainframe blev der blandt andet opbevaret registre fra politiet og Økonomi- og Indenrigsministeriet, og disse offentlige registre indeholder stærkt personfølsomme oplysninger.

Der blev fra den 13. og 14. februar 2012 gjort forsøg på at skaffe sig uberettiget adgang til de offentlige it-registre, som blev opbevaret på CSC's mainframe. Retten finder, at der herved foreligger i hvert fald forsøg på overtrædelse af straffelovens § 263, stk. 3, 1. punktum, jf. stk. 2.

Adgangen til CSC's mainframe i perioden fra den 7. april 2012 til slutningen af august 2012 har omfattet adgang til oplysningerne i de offentlige it-registre, og de personfølsomme oplysninger er over en længere periode blevet kopieret og downloadet til servere i Cambodia, Tyskland og Iran. Henset til mængden af oplysninger downloadet fra de offentlige registre og den anvendte fremgangsmåde finder retten, at den uberettigede adgang fra den 7. april 2012 endvidere har været af systematisk og organiseret karakter og således omfattet af straffelovens § 263, stk. 3, 2. punktum.

På denne baggrund finder retten, at den uberettigede adgang til CSC's mainframe indebærer en fuldbyrdet overtrædelse af straffelovens § 263, stk. 3, jf. stk. 2.

I forlængelse af den uberettigede adgang blev der oprettet tre bagdøre. Dette skete dels ved oprettelsen af et nyt script i systemet, og dels ved to ændringer i en konfigurationsfil. Dette medførte, at beskyttelsen af de stærkt personfølsomme oplysninger blev beskadiget, således at enhver med kendskab til disse bagdøre ville kunne få uberettiget adgang til oplysningerne. Retten finder, at der ved disse ændringer af CSC's sikkerhedssystemer blev udøvet hærværk i betydeligt omfang, jf. straffelovens § 291, stk. 2.

Vidnet G har forklaret, at der ikke var nedbrud eller andre betydelige forstyrrelser af driften hos CSC som følge af angrebet. Da CSC i slutningen af februar 2013 af politiet blev gjort opmærksom på, at CSC havde været udsat for et hackingangreb, foretog CSC de nødvendige fejlrettelser som følge heraf – de seneste den 6. marts 2013. Fejlrettelserne blev foretaget i servicevinduer, der blev aftalt med CSC's kunder, og der skete ikke utilsigtede nedbrud af systemerne, ligesom CSC's kunder havde adgang til systemerne som aftalt.

Ved adgangen til CSC’s mainframe blev CSC’s informationssystemer kompromitteret, men driften af systemerne ses ikke at være blevet forstyrret på en måde, som er omfattet af ordlyden af eller forarbejderne til straffelovens § 193, idet CSC og CSC's kunder både før, under og efter hackingangrebet havde sædvanlig uforstyrret adgang til systemerne. Retten finder derfor, at straffelovens § 193 ikke er overtrådt.

Tiltalte T1

Efter bevisførelsen lægger retten til grund, at loginforsøgene, den efterfølgende uberettigede adgang til CSC's mainframe, ændringerne på systemet samt download af filer og datasæt, er foregået fra tiltalte T1s computere, hvilket heller ikke er bestridt af tiltalte T1.

Tiltalte T1 har nægtet sig skyldig og har forklaret, at hans computere har været fjernstyret under hele forløbet. Han har endvidere afvist, at det var ham, der den 13. og 14. februar 2012 deltog i chatten under nicknavnet My Evil Twin.

Tiltalte T1 har afgivet forskellige forklaringer om, hvem der har sat hans computere op, og hvorledes fjernstyring af disse var mulig. Han har endvidere forklaret, at hans computere var sat op til at virke som lab-computere, hvilket indebar, at de kunne benyttes af andre til udvikling og test. Dansk og svensk politi samt Center for Cybersikkerhed har i den anledning foretaget en række undersøgelser og analyser af muligheden for fjernstyring af tiltalte T1s bærbare computer. Undersøgelserne viste ikke spor af eller tegn på fjernstyring.

Retten finder efter en samlet vurdering, hvori også indgår det forhold, at den originale opsætning af tiltalte T1s computere ikke er dokumenteret og ikke kan genskabes, at der ikke er fuldt tilstrækkeligt grundlag for at afvise, at der har eksisteret en mulighed for fjernstyring af tiltalte T1s computere.

Tiltalte T1 har forklaret, at han ikke har installeret den krypterede container på sin bærbare computer, og at han ikke har reflekteret nærmere over, at der eksisterede en krypteret container, eller hvad der var lagret i denne.

Efter bevisførelsen lægger retten til grund, at den bærbare computer blev navngivet Flechette af tiltalte T1 den 16. november 2010, og at den krypterede container blev skabt på computeren samme dag. Der blev endvidere samme dag etableret et link fra chatprogrammet mIRC til den krypterede container, og på et skrivebord på den bærbare computer var der etableret en genvej til den krypterede container.

I den krypterede container blev der blandt andet fundet filer, som kan relateres til tiltalte T1s arbejde. Der blev endvidere i den krypterede container i samme mappe fundet filer downloadet fra både Logica og CSC.

Der blev derudover i den krypterede container fundet en logfil, der viste, at der i perioden den 3. og 4. marts 2012 fra tiltalte T1s computere blev foretaget adskillige loginforsøg på CSC's FTP-server samtidig med, at der blev downloadet filer fra Logicas mainframe. Tiltalte T1 er i Sverige dømt for at have foretaget ulovlig dataindtrængen hos Logica i den pågældende periode.

Retten forkaster på denne baggrund tiltalte T1s forklaring om, at han ikke selv har installeret og bevidst benyttet sig af den krypterede container. Retten har herved lagt særlig vægt på indholdet af den krypterede container samt på, at computeren blev navngivet af tiltalte T1 samme dag, som den krypterede container og genvejen til mIRC blev skabt.

Tiltalte T1 har forklaret, at han ved anholdelsen i Cambodia var i besiddelse af en HP-computer, som var hans personlige computer, og den han brugte mest, samt at denne computer må være forsvundet i forbindelse med cambodiansk politis ransagning. Retten forkaster denne forklaring og har herved lagt vægt på, at forklaringen er uunderbygget og tillige utroværdig, da tiltalte T1 først har forklaret herom under byretssagen i Sverige mange måneder efter sin anholdelse.

Tiltalte T1 har forklaret, at han ikke har installeret eller anvendt Hercules-emulatoren på sin computer. Der var imidlertid på hans stationære computer installeret en Hercules- emulator med brugernavnet APT2011, og på et skrivebord tilknyttet en af brugerne på den bærbare computer fandtes to genveje til et program, der anvendes til styring af Hercules.

Tiltalte T1 har afvist kendskab til filerne fra CSC på sine computere. Af to filer fundet på den stationære computer fremgår, at der i det downloadede udtræk af Schengen Informationssystemet på den bærbare computer blandt andet var foretaget søgninger på forskellige talkombinationer relateret til tiltalte T1s fødselsdato samt på ”Svarth”, som er begyndelsen på tiltalte T1s mellemnavn.

Tiltalte T1 blev anholdt den 30. august 2012 og har siden været frihedsberøvet. Dette er tidsmæssigt sammenfaldende med, at der efter CSC's oplysninger ikke siden den 28. august 2012 har været konstateret uberettiget aktivitet på CSC's mainframe på trods af, at de tre etablerede bagdøre stod åbne frem til februar og marts 2013 og kunne benyttes af enhver med kendskab hertil.

Retten har foretaget en samlet vurdering af de ovenstående forhold og har sammenholdt dette med hackingangrebets lange tidsmæssige udstrækning, den teknisk avancerede metode og det meget store omfang, herunder download af meget store mængder data via blandt andet den tyske IP-adresse, som også blev anvendt i Logica-sagen.

Retten har endvidere taget i betragtning, at tiltalte T1 ikke har ønsket at oplyse nærmere om identiteten på de personer, som han har angivet har haft mulighed for at fjernstyre hans computere, og heller ikke nærmere har redegjort for, hvorledes fjernstyringen i givet fald konkret skulle have fundet sted.

4 nævninger og 3 dommere udtaler herefter:

Når dette ses i tidsmæssig sammenhæng med chatten af 13. og 14. februar 2012 og chattens indhold, særligt at der i chatten nævnes en Hercules-emulator med brugernavnet APT2011, den tyske IP-adresse og domænet riviera.thelatticeteam.com, hvortil tiltalte T1 ubestridt har tilknytning, samt det forhold, at begge deltagere i chatten forstår dansk, finder vi det bevist, at det var tiltalte T1, der deltog som My Evil Twin under chatten med tiltalte T2 den 13. og 14. februar 2012.

På grundlag af chattens indhold og det forhold, at tiltalte T1 i Sverige er dømt for ulovlig dataindtrængen i en mainframe tilhørende Logica, lægger vi til grund, at tiltalte T1 besidder indgående kendskab til mainframes og styresystemet z/OS.

Vi finder det herefter usandsynligt, at andre personer end tiltalte T1 skulle have betjent hans computere i forbindelse med hackingen af CSC, og vi forkaster derfor tiltalte T1s forklaring om, at hans computere har været fjernstyret.

Det kan i den forbindelse ikke tillægges nogen betydning, at det ikke klart af efterforskningen fremgår, hvilke af brugerkontiene oprettet på tiltalte T1s computere, der har været undersøgt, da han må have været fuldt ud bekendt med disse brugerkonti og deres funktion. Det forhold, at der var flere brugerkonti på computerne, er endvidere ikke ensbetydende med, at der var andre brugere end tiltalte T1.

I chatten blev der indsat oplysninger, som klart beviser, at tiltalte T1 under chatten den 13. og 14. februar 2012 blandt andet ved hjælp af de oplysninger om mulige brugernavne, der blev udvekslet, forsøgte at skaffe sig uberettiget adgang til politiets system via den FTP-server, som var forbundet til CSC's mainframe.

Vi finder det herefter bevist, at det var tiltalte T1, som i hele gerningsperioden bevidst forsøgte og skaffede sig uberettiget adgang til CSC's it-systemer og i den forbindelse begik hærværk af betydeligt omfang, og vi stemmer for at domfælde ham i overensstemmelse hermed.

To nævninger udtaler:

Efter bevisførelsen finder vi, at der fortsat udestår en ikke ubetydelig usikkerhed i relation til, om der kan have været personer, som har fjernstyret tiltalte T1s computere. Vi har herved lagt vægt på, at der forefindes mange tekniske muligheder for fjernstyring, og at efterforskningen ikke i tilstrækkeligt sikkert omfang har kunnet afkræfte, at fjernstyring har fundet sted, eller at andre gerningsmænd har været involveret.

Chatten af 13. og 14. februar 2012 er lagret som en kopieret tekstfil og fremtræder alene som et uddrag af en længere chatsamtale. Derudover er det muligt, at der er flere personer, som har deltaget i chatten. På denne baggrund finder vi, at der er usikkerhed forbundet med at anse det for bevist, at det var tiltalte T1, der under navnet My Evil Twin deltog i chatten.

Uanset om tiltalte T1 måtte have været bekendt med, at hans computere blev benyttet til hackingen af CSC, finder vi derfor efter en samlet vurdering, at der er rimelig tvivl om, at tiltalte T1 har gjort sig skyldig i den rejste tiltale. Vi stemmer derfor for at frifinde tiltalte T1.

Afgørelse vedrørende tiltalte T1

Efter stemmeafgivningen er tiltalte T1 herefter skyldig i overtrædelse af straffelovens § 263, stk. 3, jf. stk. 2, jf. til dels § 21, og § 291, stk. 2, i det i anklageskriftet anførte omfang med den ændring, at handlingerne indtil den 7. april 2012 alene udgjorde forsøg, og at handlingerne efter den 14. februar 2012, herunder adgang til CSC's it-systemer og kopiering og download af filer og datasæt, ikke skete i forening med tiltalte T2, jf. nærmere herom nedenfor, samt at ændring af konfigurationsfilen skete efter, at der blev skaffet adgang via en sårbarhed i webserveren.

Da der ikke er fremkaldt omfattende forstyrrelse i driften af CSC's it-systemer, frifindes tiltalte T1 for overtrædelse af straffelovens § 193, stk. 1.

Tiltalte T2

Tiltalte T2 har nægtet sig skyldig og har ikke ønsket at udtale sig før under hovedforhandlingen af sagen. Han har forklaret, at han under chatten den 13. og 14. februar 2012 blev introduceret til programmet Hercules og udstyret med en virtuel mainframe computer, som han kørte på sin egen computer under chatten, og at han blev undervist af My Evil Twin/era i brugen heraf. Han har videre forklaret, at chatten drejede sig om hacking og om at prøve at logge ind på CSC, og at han oplyste My Evil Twin/era brugernavne, som muligt kunne bruges til at få adgang til CSC’s mainframe.

Retten lægger efter indholdet af chatten og tiltalte T2s egen forklaring til grund, at formålet med den langvarige chat blandt andet var, at tiltalte T2 ved brug af Hercules-emulatoren ville lære, hvorledes en mainframe med et z/OS-styresystem fungerede og kunne betjenes.

Tiltalte T2 har yderligere forklaret, at hans formål med chatten var at forsøge at finde ud af, om det var muligt at hacke en virkelig mainframe, hvilket understøttes af indholdet af chatten, hvoraf også fremgår, at der blev udvekslet oplysninger, som åbenbart var relateret til CSC's mainframe og det forhold, at politiets registre blev opbevaret herpå.

Under chatten oplyste tiltalte T2 blandt andet en e-mailadresse mv. tilhørende "gan003", hvilke oplysninger umiddelbart herefter blev brugt af My Evil Twin til et loginforsøg på CSC's FTP-server. CSC serversvar på loginforsøget blev indsat af My Evil Twin i chatten, så det blev synligt for tiltalte T2.

Der blev endvidere under chatten indsat oplysninger, som klart viste, at My Evil Twin samtidig med chatten blandt andet ved hjælp af de oplysninger om mulige brugernavne, der blev udvekslet, forsøgte at skaffe sig adgang til CSC's mainframe via FTP-serveren, hvilket må have stået klart for tiltalte T2.

På denne baggrund er det bevist, at tiltalte T2 har medvirket til forsøg på at få adgang til CSC's mainframe den 13. og 14. februar 2012.

Det forhold, at de oplysninger, som tiltalte T2 bidrog med under chatten, måtte være offentligt tilgængelige, kan i den forbindelse ikke tillægges nogen betydning.

Tiltalte T2 opholdt sig i perioden fra den 28. februar 2012 til den 6. marts 2012 i Phnom Penh i Cambodia, hvor han ifølge sin forklaring mødte en svensker ved navn NF. Tiltalte T2 har yderligere forklaret, at han ikke kan huske, om han mødte tiltalte T1 under opholdet.

Det fremgår af chatten, at tiltalte T2 oplyste tre brugernavne, WPOL3EDI, WRPVAAP og DMA8J1. Efter bevisførelsen blev disse tre brugernavne anvendt mindst 40 gange i dagene 3., 4. og 9. marts 2012 til forsøg på at skaffe sig uberettiget adgang til CSC.

Det fremgår endvidere af chatten, at tiltalte T2 bekræftede, at domænet tn3270.csc.dk formentlig var knyttet til politiets system, ligesom domænet tjenestemandspension.dk blev omtalt i chatten. Efter bevisførelsen blev domænerne tn3270.sdn.dk og tjenestemandspension.dk anvendt i forbindelse med den uberettigede adgang til CSC den 7. april 2012.

Efter en samlet vurdering finder retten imidlertid ikke fuldt tilstrækkeligt grundlag for at fastslå, at tiltalte T2 efter den 14. februar 2012 medvirkede til yderligere handlinger, som kan relateres til hackingen af CSC.

Retten finder endvidere, at der ikke er ført tilstrækkeligt bevis for, at tiltalte T2 ved sin sin deltagelse i chatten den 13. og 14. februar 2012 havde forsæt til, at oplysningerne efter dette tidspunkt ville blive anvendt til hacking af CSC's mainframe som sket.

Herefter, og da retten finder, at formuleringen af anklageskriftet ikke er til hinder for dette, jf. i øvrigt retsplejelovens § 883, stk. 4, er tiltalte T2 skyldig i medvirken til forsøg på at skaffe uberettiget adgang til CSC's mainframe den 13. og 14. februar 2012.

Efter bevisførelsen var handlingerne den 13. og 14. februar 2012 ikke i sig selv af mere systematisk eller organiseret karakter, men skete under særligt skærpende omstændigheder, idet de vedrørte offentlige it-registre. Tiltalte T2 er derfor skyldig i medvirken til forsøg på overtrædelse af straffelovens § 263, stk. 3, 1. punktum, jf. stk. 2.

Retten finder, at tiltalte T2 ikke er skyldig i hærværk, jf. straffelovens § 291, stk. 2, idet CSC's systemer først blev beskadiget i forlængelse af, at der den 7. april 2012 blev skaffet uberettiget adgang hertil.

Fire nævninger og tre dommere udtaler herefter:

Da vi finder det bevist, at det var tiltalte T1, som skaffede sig adgang til CSC's it-systemer og forsøgte herpå samt deltog i chatten, stemmer vi for at domfælde tiltalte T2 for medvirken til tiltalte T1s forsøg på at skaffe sig adgang til CSC's mainframe den 13. og 14. februar 2012.

To nævninger udtaler:

Da vi ikke finder bevist, at det var tiltalte T1, som skaffede sig adgang til CSC's it-systemer og forsøgte herpå eller deltog i chatten, stemmer vi for at domfælde tiltalte T2 for medvirken til en ukendt gerningsmands forsøg på at skaffe sig adgang til CSC's mainframe den 13. og 14. februar 2012.

Afgørelse vedrørende tiltalte T2:

Efter stemmeafgivningen er tiltalte T2 herefter skyldig i overtrædelse af straffelovens § 263, stk. 3, 1. punktum, jf. stk. 2, jf. § 23 og § 21, ved den 13. og 14. februar 2012 at have medvirket til tiltalte T1s forsøg på at skaffe sig adgang til CSC's it-systemer.

Da der ikke er fremkaldt omfattende forstyrrelse i driften af systemet, frifindes tiltalte T2 for overtrædelse af straffelovens § 193, stk. 1. Da han heller ikke har udøvet hærværk, frifindes han ligeledes for overtrædelse af straffelovens § 291, stk. 2.

T h i b e s t e m m e s:

Tiltalte T1 er skyldig i overtrædelse af straffelovens § 263, stk. 3, jf. stk. 2, jf. til dels § 21, og § 291, stk. 2.

Tiltalte T2 er skyldig i overtrædelse af straffelovens § 263, stk. 3, 1. punktum, jf. stk. 2, jf. § 23, jf. § 21.

………”

Sagen har journalnummer SS-5591/2014.

Se også afgørelsen på Retten på Frederiksbergs hjemmeside her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kjeld Flarup Christensen

Er jeg den eneste som undrer mig over at Warg ikke har styr på opsætningen af egen computer. Altså han har dom for at hacke en mainframe, men kan ikke selv sætte sin egen computer op. Jeg kender ikke nogen hackere som ikke selv sætter deres computer op.

Og stakkels mand, hele to computere har være fjernstyret og brugt til angrebet.

Hvis der er nogen som er bange for blive sat bag tremmer hvis en hacker misbruger deres computer, så bør de læse denne dom, selvom den er lang. Så kan man sove trygt om natten, med den bunke indicier der er der.

  • 0
  • 1
Anders Kvist

Jeg tror skam også han har gjort det - jeg savner bare beviserne...

For et par måneders tid siden var der en sag med en gut der havde fået stjålet sin bil. Han havde begge nøgler og bilen havde startspærer, så der afviste forsikringen at udbetale forsikring fordi den jo ikke kunne stjæles. Dette har jo så været modbevist masser af gange, men det ændrer vist ikke forsikringsselskabernes holdning - startspærrer == kan ikke stjæles...

Læg den over til IT: Lukker du dine systemer ned efter alle kunstens regler og et ekspertvidne i retten vurderer at ingen udover dig havde adgang, så peger beviserne bare endnu stærkere mod dig - er det det vi ønsker i en tid hvor flere og flere mærkelige devices (tv, kaffemaskine, køleskab osv osv osv) kommer på nettet og producenten vurderer at usability er vigtigere end sikkerhed? Jeg synes det er forfærdenligt at vi skal helt derud, altså at det kan være umuligt at forsvare sig selv i sådan en situation...

Vi snakkede om dommen på arbejdet i fredags og vi blev enige om at der var indtil flere som sagtens kunne fabrikere de "beviser" vi har hørt om i denne sag og Gottfrid kan på ingen måde bevise sin uskyld som han bliver bedt om. Beviserne fra anklageren mangler så meget substans at det hele gør ondt...

  • 2
  • 0
Kjeld Flarup Christensen

Vi snakkede om dommen på arbejdet i fredags og vi blev enige om at der var indtil flere som sagtens kunne fabrikere de "beviser" vi har hørt om i denne sag


Der er ingen som har stillet spørgsmålstegn ved at det var Warg's computere som blev benyttet til hackningen.

Nu er vi ovre i konspirationsteorier.
Hvad skulle motivet dog være til at hænge Warg ud?

  • 0
  • 1
Anders Kvist

Det handlede ikke om specifikt om Warg, det handlede om at de beviser som er fremlagt kunne rigtigt mange IT folk fabrikere og få dem til at pege på en anden person. Jeg ved ikke om nogen hader Warg nok til at skulle have lyst til at frame ham (CSC, Anti Pirat organisationer osv), men muligheden er der når beviserne er så svage...

  • 0
  • 0
Kjeld Flarup Christensen

det handlede om at de beviser som er fremlagt kunne rigtigt mange IT folk fabrikere og få dem til at pege på en anden person.


Kan de det? Undskyld mig hvis jeg tvivler. Det er altså noget af en historie der så er bygget op. Foruden den der skulle ønske at frame, Warg jo reelt skulle være den samme mand som satte hans computer op.
Hvorfor har Warg så ikke angivet sin "morder"?
Nå nej, han kunne jo ikke huske hvem som havde sat den op, hvor bekvemt!!!

  • 0
  • 1
Christian Bruun

Hvorfor har Warg så ikke angivet sin "morder"?

Det behøver han ikke - det er retssystemet pligt at sørge for at ingen bliver uskyldig dømt. Lidt ala når politiet har en mordsag og efterfølgende en del tilståelser, så afviser de tilståelserne hvis de ikke kan bevises.

Det værste ved denne sag er de første linier i domsafsigelsen: "Efter bevisførelsen, herunder de fremkomne oplysninger fra CSC Danmark A/S (CSC)," - politet har ikke selv lavet efterforskningen, og det står (blandt andet) i det uvisse om der har været angreb fra andre ip-adresser idet CSC ikke behøver at være objektive i deres søgen efter beviser, men kan håndplukke selektivt...

  • 4
  • 0
Jesper Lund Stocholm Blogger

Det behøver han ikke - det er retssystemet pligt at sørge for at ingen bliver uskyldig dømt. Lidt ala når politiet har en mordsag og efterfølgende en del tilståelser, så afviser de tilståelserne hvis de ikke kan bevises.


Men som andre har påpeget, så er det forsvarets opgave at sandsynliggøre at teorien med fjernstyring er valid. Man kan ikke blot fremføre en teori uden at sige andet end "den er blevet fjernstyret - det kan alle jo gøre". Det er lidt for bekvemt. Det virker som om, at forsvaret ikke har gjort særligt meget ved dette, og tilbage står så anklageren med en række indicier, der alle peger på Warg.

  • 2
  • 0
Poul-Henning Kamp Blogger

Det behøver han ikke - det er retssystemet pligt at sørge for at ingen bliver uskyldig dømt.

Og det sikrer retssystemet ved at alle har en forsvarsadvokat, hvis pligt det er at præsentere alle former for evidens der peger på den anklagedes uskyld.

I dette tilfælde har forsvarsadvokaten tilsyneladende ikke kunnet føre et eneste stykke evidens for at der faktisk var nogen der fjernstyrede Wargs computer.

I modsætning hertil har anklageren kunnet vise at Warg løj om ikke at vide noget om den krypterede partition (F.eks ved at dele af hans forretningskorrespondance lå i den)

  • 4
  • 0
Christian Nobel

I modsætning hertil har anklageren kunnet vise at Warg løj om ikke at vide noget om den krypterede partition (F.eks ved at dele af hans forretningskorrespondance lå i den)

I disse sager ser jeg et fundamentalt problem omkring håndteringen af bevismaterialet, nemlig at det kun er politiets "efterforskere" der har tilgang til materialet - og da der i denne sag er tale om at lade ræven vogte høns er det ekstra speget.

Forsvaret må ikke selv lave efterforskning, og må ikke tilgå bevismateriale, men skal udelukkende bygge forsvaret op på afvisning af de anklager der er blevet lagt frem, samt de kan indkalde vidnet til generisk forsvar.

Når der så er tale om mumbo-jumbo IT halløj, så er det meget op ad bakke for forsvareren at modvise påstande om at hint eller dette skulle befinde sig på en computer som han aldrig selv har set indholdet af.

Så ud over en IT haverikommision burde vi også have en neutral, uvildig, teknisk kompetent enhed (ikke underlagt politiet) til at lave efterforskning, og som var forpligtet til at lave en efterforskningsrapport som var tilgængelig for både forsvar og anklager.

  • 0
  • 0
Jesper Lund Stocholm Blogger

Ianal, men det har var drøftet andetsteds at forsvaret ikke selv må lave efterforskning, så dermed formoder jeg også at forsvaret ikke har direkte tilgang til bevismaterialet.


Umiddelbart kan jeg ikke se, at disse to ting kan hænge sammen. Det er måske rigtigt, at forsvaret ikke må lave selvstændig efterforskning (de har jo ikke mulighed for at lave ransagninger, deciderede afhøringer etc), men jeg har svært ved at forestille mig, at de ikke må se de beviser, som anklagemyndigheden har fremskaffet.

Men som dig - IANAL.

  • 0
  • 0
Kevin Johansen

..alt. Det har vi selv sørget for med de politikere vi har stemt ind.

Anyway, jeg har ikke læst dommen endnu, men jeg næsten gætte på at den ikke rokker ved noget som helst i min konklusion over den her sag:
Kun én af "gerningsmændene" er blevet dømt skyldig, og den løsladte danske udgør ikke en del af gernningsmændene i den sammenhæng.

  • 0
  • 0
Log ind eller Opret konto for at kommentere