Hackersagen dag 10 - Ekspertvidne: »Politiets undersøgelse er ikke retvisende«

Netværksundersøgelse af hackercomputer er utilstrækkelig og er ikke retvisende. Sådan lyder konklusionen fra forsvarets ekspertvidne i CSC-hackersagen.

Ingen mistænkelig netværksaktivitet. Sådan sluttede dansk politi sin 'online' undersøgelse af computeren, hvorfra hacking af CSC fandt sted. Sagens svenske tiltalte, Gottfrid Svartholm Warg, har erklæret, at hackercomputeren tilhører ham, men at den blev fjernstyret til at udføre hackerangrebet. Men uden usædvanlig netværksaktivitet fra computeren mener politiet ikke, at den forklaring holder vand.

Men den undersøgelse er ikke retvisende, mener it-eksperten Lars Ole Petersen, der i dagens retsmøde vidnede på vegne af forsvaret. Sammen med danske JT er Warg tiltalt for at have hacket CSC’s mainframe i 2012.

Vidnet kritiserede, hvordan politiet har undersøgt, om Wargs computer forsøger at oprette forbindelse til internettet. Det har man ifølge politiets rapport gjort i et ’internetlignende netværk’. Hvad det betyder, er uvist, forklarede Lars Ole Petersen.

»Der er ikke nogen definition på et ’internetlignende netværk’, og rapporten giver ingen forklaring. Det virker utrolig dårligt i forhold til undersøgelsens konklusioner, at det ikke er dokumenteret,« sagde Petersen, der arbejder som sikkerhedschef i en større kommunikationsvirksomhed.

Han konkluderer selv, at der er flere ting, der kan muliggøre fjernstyring af hackercomputeren.

Online undersøgelse var muligvis ikke online

Det 'internetlignende netværk' lader ikke til at være reel internet-tilslutning, vurderer Lars Ole Petersen i en rapport, som han har lavet om politiets undersøgelser. Politiet har i undersøgelsen af netværksaktiviteten anvendt open source-programmet WireShark. Men ifølge ekspertvidnet har undersøgelsen kun givet en brøkdel af den datamængde, som den burde have gjort.
I en lignende undersøgelse på sin egen computer genererede Lars Ole Petersen på et kvarter godt fire megabyte data. Det svarer til en tredjedel af den mængde data, politiet loggede på 48 timer.

»Hvad fortæller det dig?« spurgte Wargs forsvarsadvokat, Luise Høj.

»At computeren ikke har haft adgang til internettet,« svarede vidnet, der selv har en baggrund som it-efterforsker hos politiet.

Og det er problematisk, mener han.

»Man kan ikke undersøge noget, hvis det ikke er samme miljø og ikke har samme muligheder. Det svarer til at tage en panda fra Kina og låse den inde i en zoologisk have og sige, man vil betragte den i sit naturlige miljø,« forklarede Lars Ole Petersen til retten og de godt 15 tilhørende.

Mistænkelig vira ikke undersøgt

En virusskanning af Wargs computer viste over 500 trusler. Politiet har ifølge Luise Høj forklaret, at de ikke har ressourcer til at undersøge alle 500. Men nogle af dem er meget relevante, fortæller Lars Ole Petersen fra vidnestolen.

I en gennemgang har eksperten fundet seks alvorlige stykker malware. Heriblandt en såkaldt Agent-BIX og win32/bafruz.b. De to kan ifølge Symantecs definitioner begge give en tredjepart adgang til computeren.

Agent-BIX blev desuden fundet installeret på computerens administratorbruger.

»Hvad betyder det for computeren?« ville Luise Høj vide.

»Den virus kan stjæle passwords og stjæle skærmbilleder. Og den kan også installere programmer,« lød det fra Lars Ole Petersen.

Han kritiserer politiet for det første for først at foretage en virusscanning på forsvarets opfordring. Det burde have været standardprocedure, mener han. Endvidere kan han ikke forstå, hvorfor politiet efterfølgende ikke reagere på de mange virafund.

»Man skal lave en undersøgelse af, hvilke services der er blevet inficeret. Det er ikke blevet gjort,« sagde Petersen.

Gottfrid Svartholm Warg og JT risikerer op til seks års fængsel, hvis de findes skyldige.

Version2 er til stede i retten på Frederiksberg.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jakob Sørensen

En virusskanning af Wargs computer viste over 500 trusler. Politiet har ifølge Luise Høj forklaret, at de ikke har ressourcer til at undersøge alle 500.

"Der blev fundet over 500 fingeraftryk på gerningsstedet. Vi har desværre ikke resourcer til at undersøge allesammen, så vi antager bare at det var dig der gjorde det..."

Jeg skal ikke tage stilling til om JT og Warg er skyldige eller ej, men er der nogen der kan fortælle mig hvad hulen anklagemyndigheden har gang i? Det er jo mere end udstilling i komplet inkompentence, end det er en seriøs retssag...

Kristian Sørensen

En virusskanning af Wargs computer viste over 500 trusler. Politiet har ifølge Luise Høj forklaret, at de ikke har ressourcer til at undersøge alle 500. Men nogle af dem er meget relevante, fortæller Lars Ole Petersen fra vidnestolen.

Hvordan kan anklagemyndigheden forvente at slippe ustraffet fra den udtalelse?

De har holdt to mand indespærret i et år for at skaffe anklagemyndigheden arbejdsro til at indsamle og analysere beviser.

Det er helt ude af proportion at sætte to mænds liv på pause og sværte dem for tid og evighed med den varetægtsfængsling, hvis anklagemyndigheden end ikke gider undersøge selv så åbenlyst relevante beviser.

Den her sag er direkte skræmmende. Det her pis kunne jo ramme du og jeg, naboen, nevøen, kollegaen, hvemsomhelst.

Jeg vil leve i et land med retssikkerhed, ikke med denne slendrian og ligegyldighed fra myndighedernes side.

Tom Paamand

I en anden sag med tilsvarende IT-kompetence hos anklageren blev varetægten også forlænget i månedsvis, begrundet med at det fortsat ikke var lykkedes at få adgang til diverse mailboxe. På trods af at anklagede hver gang mindede om, at han da for længst havde oplyst alle nødvendige koder, samt havde tilbudt direkte at vejlede, så sagen kunne komme hurtigt videre...

Finn Christensen

...Jeg skal ikke tage stilling til om JT og Warg er skyldige eller ej, men er der nogen der kan fortælle mig hvad hulen anklagemyndigheden har gang i?..

Man blev taget med bukserne nede, og håber at kunne statuerer et eksempel til skræk og advarsel.

Den offentlige administration er desværre ikke på omdrejningshøjde i dette fag (tænk på juristeriet hos Registertilsynet og stakkels Frelle-Petersen), så efterforskningen, det juridiske system og anklager udstiller i stedet deres mangler i fuld offentlighed - suk.

Staten bruger en formue (mia.) på ekstern hjælp i form af konsulenter og andre specialister hvert eneste år. Hvorfor pokker de ikke har købt sig nogle professionelle kompetencer til denne sag er mærkværdigt.

På den anden side, når man ikke ved at man ikke ved så er ~95% af befolkningen og de fodslæbende jurister jo på samme niveau.

Den blinde (systemet) leder den døve (folket)...

Knud Larsen
  1. Det er ikke længere rimeligt at kalde det en hacker-sag. Som oplyst var der udlagt offentlig information, om hvordan man tilgår computere via ftp. Altså er der ikke tale om hacking.
  2. Systemets inkompetence er svært at dæmme op for. Der er tale om en skueproces, husk at anklager, politi og dommere komme af samme klan. Dvs. man afviser ikke anklagers tåbeligheder, ej heller er der fra dommerens side udvist passende respekt for retsplejeloven. Dommeren skulle jo for længst have afvist anbringender, der fremlægges ved et retsmøde. Sådanne skal forelægges både ret (dommer) og forsvarer/anklagede 14 dage før fremlæggelse i retten.
    men det glæder mig, at en større kreds nu får et meget bedre indblik i tilstanden i dansk retsvæsen. (skulle man ikke skrive uvæsen)
Henrik Larsen

Nu himler vil alle it kyndige her på siden over anklagernes fodfejl og manglende it viden. Det er som at se Olsen Banden's elendige polti i version 2014. Men snyder Warg og JT os itfolk endnu mere? Jeg mener ville at en kyndig it person som lade sin egen pc være SÅ inficeret af virus og malware, medmindre det er fuldt ud bevidst? Og netop bruges som et forsvar for at kunne sige at "jamen det var ikke mig, min PC er inficeret". Det er jo næsten umuligt at modbevise. Tænker bare lidt at det virker for beregnende fra forsvars side af. De ved at svensk/dansk politi som de fleste andre ikke it kyndige vil pladask ned i "vil fatter nada" kategorien og derved vinder de vores sympati, selvom de måske har udnyttet vores fælles data og solgt til højest bydende

Christian Bruun

Men snyder Warg og JT os itfolk endnu mere?

Politiet har jo stort set ikke fremlagt nogen beviser, kun indicier. De kunne have overvåget ham, de kunne have sammelignet logs (mobil - hvor befinder han sig versus hvor er hans computer versus angreb på diverse firmaer), de kunne have rumaflyttet ham (det havde nok givet mere info end at varetægtsfængsle ham), osv.

Derudover er argumenterne vage, fx at hans computer havde 8 partitioner, at en sikkerhedsekspert har sikkerhedsprogrammer (ikke fremlagt sådan), ...

Tom Paamand

Hvad er det for en sag du tænker på?


En nylig såkaldt terrorsag, som jeg var i nærkontakt med - andre detaljer om den er ligegyldige for denne tråd, synes jeg. Men her er et citat fra politiets IT-eksperter, hvor de undersøger mit skrivebord:

"På skærmen på højre side et åbent program kaldet Total Commander, der er delt op i to vinduer. Fra routeren var der koblet forbindelse til serveren i kælderen K1400 til laptop i stuen K220 samt til en Switch placeret på førstesal. Fra denne switch var der kabelforbindelse til de to kørende laptops på skrivebordet.
Alle sikrede enheder var således forbundet i et kablet netværk. K1120 var kørende og tilkoblet en ekstern skærm og tastatur med mus via USB-porte. Begge PCer på første sal kunne betjenes med musen, der alene var tilsluttet K1120. Dette vidner om, at denne enhed var sat op for at kunne fjernbetjene flere, hvis ikke alle, enheder i netværket."

Hvad eksperterne prøver at beskrive, var et rimeligt simpelt hjemmesetup, hvor flere personer deler internet. Samt at jeg med en bette pc-slave spreder mit arbejdsfelt ud på tre skærme. Men min brug af et i øvrigt voldsomt udbredt program som Total Commander fik dem, og senere anklageren, til at fable om hvorledes jeg fjernstyrede alle husstandens pcere fra min hule på førstesalen...

Log ind eller Opret konto for at kommentere