Hackersagen dag 13 - Forsvarer: Fejlbehæftede politiundersøgelser giver rimelig tvivl om Wargs skyld

Illustration: Virrage Images/Bigstock
Politiets undersøgelser er overfladiske og fejlbehæftede og de tekniske eksperter er uenige. Der er derfor rimelig tvivl, om Gottfrid Svartholm Warg er skyldig, mener forsvarsadvokat Luise Høj.

Forsvaren for svenske Gottfrid Svartholm Warg har netop afsluttet sin præsentation af sin syn på hackersagens beviser. Warg er sammen med danske JT anklaget for at have hacket CSC’s mainframe og kopieret bunkevis af personfølsomme oplysninger ud. Selv siger Warg, at computeren blev fjernstyret til at udføre hackerangrebet. Den påstand finder anklagemyndigheden usandsynlig.

»Man kan ikke stole på politiets konklusioner om fjernstyring. De er overfladiske og fejlbehæftede,« sagde Luise Høj i sin procedure.

Ifølge advokaten mangler politiets undersøgelser basal videnskabelig metode.

»Når man har fysik i 8. klasse, så ved man, at man skal skrive alle forsøgets forhold ned, så det kan genskabes. Det sker ikke,« fortæller Høj.

Hun henviser til, at politiet i én undersøgelse af gerningscomputeren er logget ind som ’Administrator’ og i en anden er logget ind som brugeren ’A’. Derudover fremhæver advokaten, at politiet i sin netværkstest tilsyneladende ikke har sat computeren til internettet

»Jeg kunne have ønsket mig, at den grundighed, som man skal bruge i fysik i 8. klasse, havde smittet lidt af på politiet,« fastslog Luise Høj.

Ingen undersøgelse af virtuelle maskiner

På Wargs computer, der blev brugt i hackerangrebet, havde flere virtuelle maskiner installeret. De gør, at man for eksempel kan køre flere styresystemer på Mac’en. Men de er ikke blevet undersøgt i efterforskningen af sagen. Luise Høj sammenligner det med, at man ikke kan finde sine nøgler i et toetagers hus.

»Kan jeg konkludere, at nøglerne er væk, hvis jeg nøjes med at kigge i stueetagen,« spurgte hun.

Vicestatsadvokat Anders Riisager fortalte i sin procedure tirsdag, at tvivl skal komme den tiltalte til gode. Men kun hvis der er tale om begrundet og rimelig tvivl. Riisager mente desuden at fjernstyrings-forklaringen var unormal.

»Hvordan kan man vide, om noget er normal, når man ikke forstår det miljø, min klient arbejder i,« ville Luise Høj vide.

Hun mener netop, at tvivlen er begrundet. Det bygges blandt andet på, at sagens teknisk kyndige vidner er kommet med vidt forskellige udsagn. For eksempel fortalte flere at anklagemyndighedens vidner, at PuTTY kun kan styres gennem en grafisk brugergrænseflade, mens det fra forsvarets it-ekspert lød, at programmet sagtens kunne styres gennem terminalen.

»Retten står i en vanskelig situation når teknikerne er uenige. Og der må jeg sige, at hvis der er en tvivl må den komme min klient til gode,« fastslog Høj.

Beviser er belastede

Flere af sagens beviser blev problematiseret af Luise Høj. Blandt andet har anklageren fremhævet, at der i politiets register på CSC’s mainframe var blevet søgt på Wargs fødselsdato. Men den oplysning er offentlig tilgængelig, understregede Høj.

»Det havde været langt mere sikkert, hvis der var søgt på min klients pasnummer. Det er der ikke gjort. Til gengæld er der blevet søgt på pasnummeret for Fredrik Neij,« fortalte Luise Høj.

Fredrik ”TiAMO” Neij har sammen med Warg grundlagt fildelingstjenesten The Pirate Bay.

Luise Høj afsluttede med at fortælle retten, at Warg kun skulle dømmes, hvis man kunne udelukke, at det var andre der stod bag hackerangrebet.

»Hvis ikke politiet objektivt og loyalt efterforsker spor i sagen, hvis resultaterne af politiets undersøgelser kan anfægtes, og hvis der ikke er taget stilling til spørgsmål om alternative gerningsmænd, så bør retten allerede nu frifinde min klient,« lød det fra forsvarsadvokaten.

Version2 er til stede i retten.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (22)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jens Jönsson

På Wargs computer, der blev brugt i hackerangrebet, havde flere virtuelle maskiner installeret. De gør, at man for eksempel kan køre flere styresystemer på Mac’en. Men de er ikke blevet undersøgt i efterforskningen af sagen.

Den havde jeg ikke hørt før. At de ikke er blevet undersøgt er i min optik dybt kritisabelt. En virtuel maskine kan sagtens indeholde rigtigt mange oplysninger og kunne også være brugt til forskellige ting. Det er jo som en computer i computeren. Netværksmæssigt, så svarer det til at have flere enheder på samme IP-adresse.

Hold op politiet har været inkompetente i denne sag.
Fatter slet ikke at dommeren ikke har stoppet op og sagt at der overhovedet ikke er en sag. Hvordan kan der overhovedet være en sag på så tyndt grundlag ?

Jeg er dybt chokeret...

  • 24
  • 0
Jens Jönsson

Så havde jeg udført mit job vha. en virtuel maskine. Når jeg så var færdig, så havde jeg slettet mine spor, ved at slette den virtuelle maskine. Selv "harddisken" som er en fil, havde jeg overskrevet med 0'er op til flere gange.
Så var alle spor slettet og det var kun, hvis IP-adressen var blevet logget at man kunne se hvor angrebet var kommet fra (og jeg havde ikke været så dum at bruge min egen IP)...

Selv MAC adressen kan ændres på en virtuel maskine, det kan den i øvrigt i de fleste OS'er, hvis netkort driveren understøtter det.

  • 8
  • 0
Christian Nobel
  1. De tre dommere og seks nævninge har nu til den 30 oktober til at votere i - giver det ikke en risiko for at nævninge kan blive manipuleret (i begge retninger)?

  2. Uagtet hvilken dom der falder, så er der stor sandsynlighed for den vil blive anket - i fald Warg og JT frikendes, kan varetægtsfængslingen så opretholdes?

  • 6
  • 1
Thue Kristensen

For eksempel fortalte flere at anklagemyndighedens vidner, at PuTTY kun kan styres gennem en grafisk brugergrænseflade, mens det fra forsvarets it-ekspert lød, at programmet sagtens kunne styres gennem terminalen.

»Retten står i en vanskelig situation når teknikerne er uenige. Og der må jeg sige, at hvis der er en tvivl må den komme min klient til gode,« fastslog Høj.

Eller man kunne bruge 5 minutter på at søge hos Google. Der følger et kommando-linje værktøj med putty-projektet som hedder plink. Som selvfølgelig kan bruges uden GUI.

http://tartarus.org/~simon/putty-snapshots/htmldoc/Chapter7.html

http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

Spørgsmålet er vel om man når man taler om putty mener putty-projektet (som inkluderer plink), eller bare filen putty.exe (som ganske rigtigt er et grafisk program).

  • 8
  • 0
Mads Madsen

Uanset om det faktisk er tilfældet, så ser det ud til at være en effektiv strategi (forudsat at man allerede har overskredet tærsklen til kriminalitet).

Og det bliver kun værre, hvis anklagemyndigheden fremover skal løfte en meget let bevisbyrde.

  • Ved man, at det er ledt at bringe en anden i politiets søgelys ved at misbruge et hul i vedkomnes system over lang tid; plante nogle dokumenter der peger på ofret; og plante en krypteret container, der har et password som man ved at politiet vil forsøge at henføre til computerejeren f.x navnet på ofrets kæreste, fødselsdato eller andre oplysninger der kan skaffes ved lidt social engineering har man plausible deniability og har med succes framet en helt uskyldig.

Det er vanskeligt om ikke helt umuligt at påvise, om en krypteret container er lavet af computerejeren eller plantet som falsk bevis af en fremmed eller anden person med adgang til at skrive filer på computeren.

Selv timestamps kan manipuleres, og software til antiforensics og plantning af falske spor har været frit tilgængelige i mange år.

Jeg håber for politiet, at de har undersøgt, hvor mange personer der fysisk har haft adgang til at skrive filer til computeren.

I usædvanlige sager er folk blevet frifundet for børneporno, fordi flere personer havde adgang til computeremiljøet.

Det kaldes chain of custody, og i alle sager hvor der er en computer involveret tilrådes politiet altid at sikre sig hvilke personer der har haft adgang til at foretage ændringer, før, på og efter gerningstidspunktet.

Anklagerens fremtræden og argumentation virker ikke imponerende.

Især er det pinligt at man nægter at forholde sig til flere brugere på computeren, og fremkommer med dumme bilanalogier som overhovedet ikke holder for komplekse flerbrugermiljøer.

De dumme lægfolk, der glæder sig over at staten får ramt på en ond hacker skal nok få noget at grine ad den dag det er deres computer eller netværk der bliver brugt som afsæt for forbrydelser som de ikke teknisk evner at gardere sig imod.
- Det værste argument er - Det er din computer, ergo er du ansvarlig.

Det er APG og copyright troll argumentet om igen.

  • 10
  • 0
Knud Jensen

Nu når alle beviserne er lagt frem, så undrer det mig endnu hvad begrundelsen for de lange varetægtsfængslinger har været.
Umiddelbart er der er det eneste reelle bevis i denne sag at Wargs computer havde noget ulovligt på sig, og JT's computer, som er krypteret, muligvis også kan have det.
Men hvis politiet har haft begge maskiner, hvorfor skulle de to så ikke kunne være på fri fod samtidig ?

  • 16
  • 0
Erik Trolle

Citat fra CW

Herefter går han videre til forsvarets præsentation af fjernstyring af computere.

"Her bruger jeg Center for Cybersikkerhed ord, når jeg siger, at det er meget usandsynligt, at computerne skulle være fjernstyret; det er ikke noget jeg siger, det er noget Center for Cybersikkerhed siger," siger Anders Riisager.

Han gennemgår nu kort de punkter, som forsvarsadvokat Luise Høj bragte op i forbindelse med fjernstyring, og forklarer kort, at portene i firewallen ikke var åbne, og fastholder, at fjernstyring ikke var muligt.

Hvis der er flere brugere på Wargs computer, som den ene af hans sager faldt på i Sverige, hvordan kan portene i firewallen pludselig være lukket, når sagen tages op i Danmark?

Der er nogen der fordrejer virkeligheden i et af landene. Begge ting kan ikke være sande.

For mig er det bare uhyggelig dårligt arbejde der er lavet. Jeg er glad for jeg ikke er dommere og jury i den sag, for det er jo rent lotteri!

  • 9
  • 0
Jens Jönsson

Jeg håber for politiet, at de har undersøgt, hvor mange personer der fysisk har haft adgang til at skrive filer til computeren.

Jeg har ikke set nogen oplysninger om at der skulle være taget fingeraftryk af den fysiske computer. Ikke at den ikke også samtidigt kan være fjernstyret.

Jeg synes faktisk det er rigtigt skræmmende at almindelig IT-folk, som os der skriver her i debatten, meget nemt kan så tvivl om både politiets efterforskning i sagen og anklageren "beviser".

  • 12
  • 0
Mads Madsen

Hvis der er flere brugere på Wargs computer, som den ene af hans sager faldt på i Sverige, hvordan kan portene i firewallen pludselig være lukket, når sagen
tages op i Danmark?

Det er ligemeget, om firewallen har været lukket, og om
portene har været åbne for indgående trafik.

Anklageren lader til at antage, at man kan udelukke fjernstyring, hvis firewallen har været lukket, men det er ganske enkelt forkert.

  • Det er muligt at fjernstyre en computer selv hvis den er bag firewall ved at benytte en Tor hidden service.

Via en Tor-hidden service kan man tilgængeliggøre en web server, SSH eller andet der kører over TCP/IP uanset om computeren er bag en firewall.

Kan man uploade tor.exe, torrc og plink.exe og afvikle disse på værtsmaskinen kan man fjernstyre computeren uanset om computeren er bag firewall.

Har man først installeret en tor-hidden service på computeren sammen med en lille SSH eller socks-proxy har man frihed til at lave en tunnel ud på nettet, og det vil se ud som om at skadelig trafik kommer fra computerens egen offentlige IP-adresse.

Det er den fremgangsmåde som ejerne af botnets benytter til at misbruge sagesløse maskiner.

I en anden sag, hvor anklagen er, at en computer har downloadet børneporno, og den anklagede hævder sin uskyld med henvisning til at systemet har været ufrivillig deltager i et botnet, og anklageren afviser fjernstyringsmuligheden med samme argumentation risikerer man altså at en helt uskyldig computerejer bliver dømt for overtrædelse af Straffelovens § 235.
Så når anklageren hævder, at fjernstyring er umulig med en lukket firewall, er det lodret forkert.

  • 5
  • 1
Henrik Lund-Andersen

Med tanke på at i hvert fald den ene sigtede er udlænding og tilmed har været arresteret i Cambodia er det overvejende sandsynligt at dommeren vil efterkomme anklagemyndighedens påstand om stor risiko for sigtedes undvigelse af retshandlingen ved udrejse fra DK. Ligeledes er sagens eksponering i offentligheden så tilpas stor at anklagemyndigheden sikkert ikke vil undlade at straffe de sigtede på forskud med maksimal varetægtsfængsling.

Filosofien indenfor den danske anklagemyndighed er notorisk at varetægtsfængsling er en slags indrømmelsesarrest, hvor den fængslede holdes varetægtsfængslet så længe som muligt - eller indtil anklagede erkender sigtelsen - idet straffen således effektueres uanset om anklagen pådømmes eller ej.

Med venlig hilsen

  • 5
  • 1
Jesper Louis Andersen

Så havde jeg udført mit job vha. en virtuel maskine. Når jeg så var færdig, så havde jeg slettet mine spor, ved at slette den virtuelle maskine. Selv "harddisken" som er en fil, havde jeg overskrevet med 0'er op til flere gange.
Så var alle spor slettet og det var kun, hvis IP-adressen var blevet logget at man kunne se hvor angrebet var kommet fra (og jeg havde ikke været så dum at bruge min egen IP)...

Hvorfor overhovedet have det på disken? Boot fra en live USB-stick, f.eks. med distributionen "tails" installeret, og brug så aldrig disken i maskinen til den slags ting. Data gemmer du på en anden USB-stik, eller lignende. Hvis du så formår at holde selve USB-sticken hemmelig, så er du godt kørende.

Skal du endelig bruge disken, så lav en swap-partition i OpenBSD, der by default er krypteret med et random password. Boot aldrig direkte i OpenBSD og brug swap-parititionen som data store, krypteret med en passende nøgle.

Hvis du er rigtigt god, så bruger du Ed25519 private/public keypairs. De er 32 byte i størrelse og med lidt god vilje og træning kan du huske dem i hovedet. Så er der slet ikke noget key material i verden.

  • 3
  • 0
Bobby Pirates

I får det til at lyde som om politiet skal bruge uendelige ressource på at vende hver en krog og detalje i denne her komplekse sag. Det gør de jo normalt ALDRIG. Der er trods alt kun en samlet ressource-pulje de kan trække fra. Selvfølgelig har de ingen realistiske muligheder for at undersøge alle detaljer i denne her sag, og slet ikke med alle de tekniske detaljer der har været bragt på banen.

Men sådan er det også normalt i andre sager. IT sager er teknisk komplicerede jo dygtigere den kriminelle/mistænkte er udi computer og netværk og "hacking". Man kan da ikke forvente at politiet bare skal hælde jeg ved ikke hvor mange millioner i en relativ ligegyldig og banal it-sag, måske ikke for folk herinde, men for almenheden vil jeg mene at denne sag er ligegyldig og ikke interessant. At politiet og anklager og retssystemet så er it-analfabeter på mange områder er en anden sag.
Men det lægger vel forhåbentligt i kortene at udvide retssytemet så det også er klædt på til fremtidens IT, og de komplekse tekniske detaljer der ofte er ift it-kriminalitet og it-sager generelt.

  • 2
  • 11
Mads Madsen

Selvfølgelig har de ingen realistiske muligheder for at undersøge alle detaljer
i denne her sag, og slet ikke med alle de tekniske detaljer der har været bragt på banen.

Nej, men man burde forvente at anklagemyndigheden havde styr på dens egen bevisførelse, når den vil tilbagevise et alibi, som anklagede hævder sår tvivl om skyldsspørgsmålet.

Anklageren hævder direkte, at det var en fejl, at anklagede blev frifundet i den svenske sag, hvilket må kræve tungtvejende beviser.

Anklageren argumenterer for, at fjernstyring af computeren ikke var mulig på den måde, der førte til frifindelse ved en svensk domstol.

Men hvis dette postulat ikke er korrekt, fordi der er teknisk mulighed for fjernstyring af computeren, til trods for at den er bag firewall med lukkede porte, er det en underminering af anklagedes mulighed for en retfærdig rettergang.

Du får ingen retfærdig rettergang, hvis anklagemyndigheden undlader at kigge steder, der kunne så rimelig tvivl om din skyld.

Sagen er principielt vigtig for aalmenheden dvs. alle med en computer og internetforbindelse, fordi misforståelse af fjernstyringsmuligheden øger risikoen for at en uskyldig bliver dømt.

Og så er sagen vigtig alene af den grund, at statsmagten vil idømme en person en frihedsstraf for en straffelovsovertrædelse.

I et et land der kalder sig et retssamfund, bør bevisførelsen ikke være fejlbehæftet, fordi anklagemyndigheden misforstår teknologien.

I USA ville en sådan amatøragtig optræden aldrig blive accepteret ved forbundsdomstolene.

Selv om man kan sige FBI meget på, tvivler jeg på at de ville ggodtage bevisførelse på det lave tekniske niveau som vi har været vidne til i denne sag.

  • 8
  • 0
Mads Madsen

Nej, de overlod det til CSC. Så offeret kommer selv med "beviser".

Faktisk er det også en stramning at kalde det "beviser".

CSC er offer i sagen, og er af politiet blevet adspurgte om det er muligt at fjernstyre den computer hvorfra angrebet angiveligt er udgået.

Det er ikke et "bevis" men en ekspertvurdering.

Det er uhørt, at ansatte hos en virksomhed som er offer for et angreb skal udtale sig om troværdigheden i anklagedes alibi.

Derudover har politiet ikke fra starten beslaglagt de servere som har været offer for hackingen men har igen benyttet CSC's ansatte til at fremskaffe de tekniske beviser.

Problemet med en sådan fremgangsmåde er, at politiet ikke selv er den eneste part som har været i berøring med de tekniske beviser efter forbrydelsen.

Der er så mange potentielle huller i en sådan måde at sikre de tekniske beviser, at man i andre lande ville have rystet på hovedet.

CSC kan ikke garantere, at der ikke er blevet ændret i de databaser som det er ansvarlige for.

Men logfiler og andre tekniske "beviser" er pludselig det rene gospel, fordi det er en logfil genereret af CSCs computer.

Et firma der har pivdårlig sikkerhed skal altså udtale sig om det er troværdigt at fjernstyre en computer.

Helt igennem latterligt.

  • 5
  • 0
Erik Trolle

Det er ligemeget, om firewallen har været lukket, og om
portene har været åbne for indgående trafik.

Anklageren lader til at antage, at man kan udelukke fjernstyring, hvis firewallen har været lukket, men det er ganske enkelt forkert.

Det er muligt at fjernstyre en computer selv hvis den er bag firewall ved at benytte en Tor hidden service.
Via en Tor-hidden service kan man tilgængeliggøre en web server, SSH eller andet der kører over TCP/IP uanset om computeren er bag en firewall.

Kan man uploade tor.exe, torrc og plink.exe og afvikle disse på værtsmaskinen kan man fjernstyre computeren uanset om computeren er bag firewall.


Jeg er enige i en del af det du skriver, bare ikke lige det her ovenfor.

Du sætter nogen forudsætninger, som jeg ville betragte som unormale, ved en standard opsætning af en firewall, brugers rettigheder. Den som sidder ved konsollen og måske SU/root kan en masse, men vi må gå ud fra, at dem der skulle fjernbetjene maskinen kommer fra WAN siden.

Jeg har så svært ved at forstille mig, at det kan lade sig gøre, men det er måske forskellen på hvad man kan/gør med windows vs. *nix verdenen hvor jeg befinder mig.

Jeg er næsten 100% sikker på, at det kan du ikke gøre på de Linux servere jeg sætter op.

Men vi ved så lidt om disse fysiske/VM maskiner, så jeg har slet ikke overvejet at gætte hvad de kan og ikke kan.

Jeg tager kun stilling til det paradox, at den svenske retssag sagde, at man kunne fjernbetjene en/flere af maskinerne og den danske påstår, at der er lukket for i firewallen.

Begge ting kan ikke være sande! Når man spøger os teknikere om noget, svarer vi på det. Spørger man forkert, får man forkert svar og det er det jeg er bange for, at der er sket her. Eller også er forsvareren så snu, at han ikke vil have det rigtige svar, for så har han ingen sag.

  • 2
  • 0
Mads Madsen

Enig i forhold til Linux.
Men nu taler vi om Windows og flere virtuelle maskiner.

Hvis der har været en sandkasse, og brugere har haft mulighed for at afvikle programmer i en Windows VM er det scenarie slet ikke utænkeligt.

Hvis blot port 80 og 443 er åben, og brugeren kan afvikle Tor samt en SSH eller socks server der lytter på localhost er det muligt at bruge maskinen til proxy af skadelig trafik som ikke behøver være ejeren bekendt.

Selv hvis hostsystemet er Linux og det virtuelle OS Windows, skal Windows i en VM blot have internetadgang på port 80 og 443 for at afvikle en Tor-hidden service, og så er der ellers fri leg.

Siger ikke at det nødvendigvis er tilfældet, men Tor kan benyttes til at fjernstyring af en maskine, selv om den er bag firewall, og det er det svage punkt i anklagerens afvisning af fjernstyring.

  • 1
  • 0
Log ind eller Opret konto for at kommentere