Hackersagen dag 10 - Ekspertvidne: »Politiets undersøgelse er ikke retvisende«

26. september 2014 kl. 12:4218
Netværksundersøgelse af hackercomputer er utilstrækkelig og er ikke retvisende. Sådan lyder konklusionen fra forsvarets ekspertvidne i CSC-hackersagen.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Ingen mistænkelig netværksaktivitet. Sådan sluttede dansk politi sin 'online' undersøgelse af computeren, hvorfra hacking af CSC fandt sted. Sagens svenske tiltalte, Gottfrid Svartholm Warg, har erklæret, at hackercomputeren tilhører ham, men at den blev fjernstyret til at udføre hackerangrebet. Men uden usædvanlig netværksaktivitet fra computeren mener politiet ikke, at den forklaring holder vand.

Men den undersøgelse er ikke retvisende, mener it-eksperten Lars Ole Petersen, der i dagens retsmøde vidnede på vegne af forsvaret. Sammen med danske JT er Warg tiltalt for at have hacket CSC’s mainframe i 2012.

Vidnet kritiserede, hvordan politiet har undersøgt, om Wargs computer forsøger at oprette forbindelse til internettet. Det har man ifølge politiets rapport gjort i et ’internetlignende netværk’. Hvad det betyder, er uvist, forklarede Lars Ole Petersen.

»Der er ikke nogen definition på et ’internetlignende netværk’, og rapporten giver ingen forklaring. Det virker utrolig dårligt i forhold til undersøgelsens konklusioner, at det ikke er dokumenteret,« sagde Petersen, der arbejder som sikkerhedschef i en større kommunikationsvirksomhed.

Artiklen fortsætter efter annoncen

Han konkluderer selv, at der er flere ting, der kan muliggøre fjernstyring af hackercomputeren.

Online undersøgelse var muligvis ikke online

Det 'internetlignende netværk' lader ikke til at være reel internet-tilslutning, vurderer Lars Ole Petersen i en rapport, som han har lavet om politiets undersøgelser. Politiet har i undersøgelsen af netværksaktiviteten anvendt open source-programmet WireShark. Men ifølge ekspertvidnet har undersøgelsen kun givet en brøkdel af den datamængde, som den burde have gjort.
I en lignende undersøgelse på sin egen computer genererede Lars Ole Petersen på et kvarter godt fire megabyte data. Det svarer til en tredjedel af den mængde data, politiet loggede på 48 timer.

»Hvad fortæller det dig?« spurgte Wargs forsvarsadvokat, Luise Høj.

»At computeren ikke har haft adgang til internettet,« svarede vidnet, der selv har en baggrund som it-efterforsker hos politiet.

Og det er problematisk, mener han.

»Man kan ikke undersøge noget, hvis det ikke er samme miljø og ikke har samme muligheder. Det svarer til at tage en panda fra Kina og låse den inde i en zoologisk have og sige, man vil betragte den i sit naturlige miljø,« forklarede Lars Ole Petersen til retten og de godt 15 tilhørende.

Mistænkelig vira ikke undersøgt

En virusskanning af Wargs computer viste over 500 trusler. Politiet har ifølge Luise Høj forklaret, at de ikke har ressourcer til at undersøge alle 500. Men nogle af dem er meget relevante, fortæller Lars Ole Petersen fra vidnestolen.

I en gennemgang har eksperten fundet seks alvorlige stykker malware. Heriblandt en såkaldt Agent-BIX og win32/bafruz.b. De to kan ifølge Symantecs definitioner begge give en tredjepart adgang til computeren.

Agent-BIX blev desuden fundet installeret på computerens administratorbruger.

»Hvad betyder det for computeren?« ville Luise Høj vide.

»Den virus kan stjæle passwords og stjæle skærmbilleder. Og den kan også installere programmer,« lød det fra Lars Ole Petersen.

Han kritiserer politiet for det første for først at foretage en virusscanning på forsvarets opfordring. Det burde have været standardprocedure, mener han. Endvidere kan han ikke forstå, hvorfor politiet efterfølgende ikke reagere på de mange virafund.

»Man skal lave en undersøgelse af, hvilke services der er blevet inficeret. Det er ikke blevet gjort,« sagde Petersen.

Gottfrid Svartholm Warg og JT risikerer op til seks års fængsel, hvis de findes skyldige.

Version2 er til stede i retten på Frederiksberg.

18 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
18
29. september 2014 kl. 13:24

Hvad er det for en sag du tænker på?

En nylig såkaldt terrorsag, som jeg var i nærkontakt med - andre detaljer om den er ligegyldige for denne tråd, synes jeg. Men her er et citat fra politiets IT-eksperter, hvor de undersøger mit skrivebord:

"På skærmen på højre side et åbent program kaldet Total Commander, der er delt op i to vinduer. Fra routeren var der koblet forbindelse til serveren i kælderen K1400 til laptop i stuen K220 samt til en Switch placeret på førstesal. Fra denne switch var der kabelforbindelse til de to kørende laptops på skrivebordet. Alle sikrede enheder var således forbundet i et kablet netværk. K1120 var kørende og tilkoblet en ekstern skærm og tastatur med mus via USB-porte. Begge PCer på første sal kunne betjenes med musen, der alene var tilsluttet K1120. Dette vidner om, at denne enhed var sat op for at kunne fjernbetjene flere, hvis ikke alle, enheder i netværket."

Hvad eksperterne prøver at beskrive, var et rimeligt simpelt hjemmesetup, hvor flere personer deler internet. Samt at jeg med en bette pc-slave spreder mit arbejdsfelt ud på tre skærme. Men min brug af et i øvrigt voldsomt udbredt program som Total Commander fik dem, og senere anklageren, til at fable om hvorledes jeg fjernstyrede alle husstandens pcere fra min hule på førstesalen...

16
29. september 2014 kl. 12:01

"Teknisk svært Dommeren efterspurgte efter domsafsigelsen mere indsigt i, hvad der rent teknisk var foregået." Computerworld: Mild dom til Valus-hacker

Hvis vi havner samme sted denne gang, så er det imho ikke kun indsigten i IT, det kniber med. Også indsigt i gældende retspleje står på spil, kære dommer.

13
29. september 2014 kl. 04:09

Nu himler vil alle it kyndige her på siden over anklagernes fodfejl og manglende it viden. Det er som at se Olsen Banden's elendige polti i version 2014. Men snyder Warg og JT os itfolk endnu mere? Jeg mener ville at en kyndig it person som lade sin egen pc være SÅ inficeret af virus og malware, medmindre det er fuldt ud bevidst? Og netop bruges som et forsvar for at kunne sige at "jamen det var ikke mig, min PC er inficeret". Det er jo næsten umuligt at modbevise. Tænker bare lidt at det virker for beregnende fra forsvars side af. De ved at svensk/dansk politi som de fleste andre ikke it kyndige vil pladask ned i "vil fatter nada" kategorien og derved vinder de vores sympati, selvom de måske har udnyttet vores fælles data og solgt til højest bydende

17
29. september 2014 kl. 13:21

Men snyder Warg og JT os itfolk endnu mere?

Næh. Jeg er da fuldt overbevist om at Warg har været noget så involveret i angrebet.

Men der skal beviser til, for at man kan kyle ham i spjældet. Der var engang hvor der var noget der hed retssikkerhed, selvom det vist efterhånden lyder som en saga blot...

15
29. september 2014 kl. 11:37

Men snyder Warg og JT os itfolk endnu mere?

Politiet har jo stort set ikke fremlagt nogen beviser, kun indicier. De kunne have overvåget ham, de kunne have sammelignet logs (mobil - hvor befinder han sig versus hvor er hans computer versus angreb på diverse firmaer), de kunne have rumaflyttet ham (det havde nok givet mere info end at varetægtsfængsle ham), osv.

Derudover er argumenterne vage, fx at hans computer havde 8 partitioner, at en sikkerhedsekspert har sikkerhedsprogrammer (ikke fremlagt sådan), ...

12
28. september 2014 kl. 10:51
  1. Det er ikke længere rimeligt at kalde det en hacker-sag. Som oplyst var der udlagt offentlig information, om hvordan man tilgår computere via ftp. Altså er der ikke tale om hacking.
  2. Systemets inkompetence er svært at dæmme op for. Der er tale om en skueproces, husk at anklager, politi og dommere komme af samme klan. Dvs. man afviser ikke anklagers tåbeligheder, ej heller er der fra dommerens side udvist passende respekt for retsplejeloven. Dommeren skulle jo for længst have afvist anbringender, der fremlægges ved et retsmøde. Sådanne skal forelægges både ret (dommer) og forsvarer/anklagede 14 dage før fremlæggelse i retten. men det glæder mig, at en større kreds nu får et meget bedre indblik i tilstanden i dansk retsvæsen. (skulle man ikke skrive uvæsen)
5
26. september 2014 kl. 14:19

En virusskanning af Wargs computer viste over 500 trusler. Politiet har ifølge Luise Høj forklaret, at de ikke har ressourcer til at undersøge alle 500. Men nogle af dem er meget relevante, fortæller Lars Ole Petersen fra vidnestolen.

Hvordan kan anklagemyndigheden forvente at slippe ustraffet fra den udtalelse?

De har holdt to mand indespærret i et år for at skaffe anklagemyndigheden arbejdsro til at indsamle og analysere beviser.

Det er helt ude af proportion at sætte to mænds liv på pause og sværte dem for tid og evighed med den varetægtsfængsling, hvis anklagemyndigheden end ikke gider undersøge selv så åbenlyst relevante beviser.

Den her sag er direkte skræmmende. Det her pis kunne jo ramme du og jeg, naboen, nevøen, kollegaen, hvemsomhelst.

Jeg vil leve i et land med retssikkerhed, ikke med denne slendrian og ligegyldighed fra myndighedernes side.

8
26. september 2014 kl. 21:06

Den her sag er direkte skræmmende. Det her pis kunne jo ramme du og jeg, naboen, nevøen, kollegaen, hvemsomhelst.

Precis, det er det som er formålet; folket skal vide hvem der bestemmer og hvad der kan ske hvis man provokerer.

4
26. september 2014 kl. 13:15

En virusskanning af Wargs computer viste over 500 trusler. Politiet har ifølge Luise Høj forklaret, at de ikke har ressourcer til at undersøge alle 500.

"Der blev fundet over 500 fingeraftryk på gerningsstedet. Vi har desværre ikke resourcer til at undersøge allesammen, så vi antager bare at det var dig der gjorde det..."

Jeg skal ikke tage stilling til om JT og Warg er skyldige eller ej, men er der nogen der kan fortælle mig hvad hulen anklagemyndigheden har gang i? Det er jo mere end udstilling i komplet inkompentence, end det er en seriøs retssag...

10
26. september 2014 kl. 22:53

...Jeg skal ikke tage stilling til om JT og Warg er skyldige eller ej, men er der nogen der kan fortælle mig hvad hulen anklagemyndigheden har gang i?..

Man blev taget med bukserne nede, og håber at kunne statuerer et eksempel til skræk og advarsel.

Den offentlige administration er desværre ikke på omdrejningshøjde i dette fag (tænk på juristeriet hos Registertilsynet og stakkels Frelle-Petersen), så efterforskningen, det juridiske system og anklager udstiller i stedet deres mangler i fuld offentlighed - suk.

Staten bruger en formue (mia.) på ekstern hjælp i form af konsulenter og andre specialister hvert eneste år. Hvorfor pokker de ikke har købt sig nogle professionelle kompetencer til denne sag er mærkværdigt.

På den anden side, når man ikke ved at man ikke ved så er ~95% af befolkningen og de fodslæbende jurister jo på samme niveau.

Den blinde (systemet) leder den døve (folket)...

9
26. september 2014 kl. 21:46

I en anden sag med tilsvarende IT-kompetence hos anklageren blev varetægten også forlænget i månedsvis, begrundet med at det fortsat ikke var lykkedes at få adgang til diverse mailboxe. På trods af at anklagede hver gang mindede om, at han da for længst havde oplyst alle nødvendige koder, samt havde tilbudt direkte at vejlede, så sagen kunne komme hurtigt videre...

2
26. september 2014 kl. 12:50

Endnu en dag i retten - endnu en dag med afsløring af inkompetence.

Det begynder snart at blive ret pinligt for anklageren.

7
26. september 2014 kl. 14:22

Mon dommeren forstår hvor pinligt og amatøragtigt det er?

Det man kan håbe er at dommeren forstår det vi forstår og dømmer derefter.

Jeg håber det virkeligt.

Men jeg anser sandsynligheden for lav, baseret på erfaringer fra andre retssager jeg har fulgt.

1
26. september 2014 kl. 12:48

bare .... suk....

3
26. september 2014 kl. 13:08

Og de har haft over et år til at sikre beviser... Bare suk.....