Hackersagen dag 9: Forsvarer beviser, at CSC-brugeroplysninger stadig er tilgængelige online

Forsvarsadvokat Michael Juul Eriksen kunne i dag bevise, at CSC selv har offentliggjort de oplysninger, som dansk tiltalt skriver i chat. CSC-chef forklarede ellers i første omgang, at oplysningerne ikke er offentlige.

En chat-log mellem de to aliasser My Evil Twin og Advanced Persistent Terrorist Thread er et centralt bevis i sagen om hacking af CSC’s mainframe. Den danske tiltalte, JT, har erkendt at være den ene halvdel af samtalen. I loggen deler JT oplysninger om brugernavne til CSC’s systemer.

JT har tidligere forklaret, at alle oplysningerne, han deler, er fundet frit tilgængelige på nettet. Men det var CSC’s Martin Gohs dog ikke enig i, da han i dag vidnede i retten på Frederiksberg.

I chatten deles tre brugeroplysninger. Den første af disse havde ligget på CSC’s egen hjemmeside, erkendte Gohs, der er chef i CSC’s sikkerheds-strikforce i Europa.

»Det har desværre været en del af en dokumentation for, hvordan man logger på systemet. Den lå på Infotorv, som er en ressource til CSC-kunder,« fortalte Gohs.

De øvrige oplysninger fra chatten var dog ikke offentligt tilgængelige, mente Gohs. Det drejede sig blandt andet om en passage, der ligner en FTP-serverlog, som rummer et brugernavn og et kodeord.

Internetarkiv afslører sikkerhedssjusk

Lidt internetsnilde fra JT’s forsvarsadvokat, Michael Juul Eriksen, kunne dog dokumentere, at man sagtens kunne komme hæderligt til oplysningerne.

På siden SDN.dk, som CSC beskriver som selskabets center for datakommunikation, viste Michael Juul Eriksen, at en side krævede password. Men ved at bruge internetarkivet Waybackmachine.com, der gemmer, hvordan millioner af hjemmesider har set ud, viste advokaten SDN.dk anno 2012. Og på det tidspunkt krævede siden med de omdiskuterede brugeroplysninger intet kodeord.

»Er det noget, I har lavet om efter den her sag,« spurgte Michael Juul Eriksen, hvilket blev bekræftet af Gohs.

»Er vi enige om, at det er offentligt tilgængeligt,« sagde advokaten med et smil.

»Ja,« medgav Gohs.

Martin Gohs bedyrede desuden, at login overhovedet ikke er blevet anvendt i hacking af CSC’s mainframe. I stedet har hackeren gjort brug af to sårbarheder i den IBM-producerede mainframe. Den bemærkning taler til fordel for danske JT, som i chatten ikke diskuterer de anvendte sikkerhedshuller.

Center for Cybersikkerhed: Usandsynligt, at Wargs computer blev styret af Python-script

I dagens retmøde har også Thomas Krismar fra Center for Cybersikkerhed indtaget vidnestolen. Han forklarede, hvorfor myndigheden ikke mener, at Wargs computer har været fjernstyret ved hjælp af et Python-script. Python-scriptet er blevet fremhævet af it-ekspert Jacob Appelbaum som et eksempel på, hvordan fjernstyring kunne finde sted.

Men ifølge Thomas Krismar er det ikke en sandsynlig mulighed af en række årsager. Dels brugte Wargs computer en dynamisk IP-adresse, som skulle have gjort fjernstyring sværere. Og dels er scriptet ikke lavet til at starte op, når computeren starter. Wargs computer var indstillet til at gå i dvale efter 30 minutter.

Thomas Krismars forklaring fik flere gange Warg til at gestikulere og hviske intenst til sin forsvarsadvokat, Luise Høj, tydeligvis frustreret over vidnets fremlægning.

Tidligere i retssagen har Jakob Appelbaum kritiseret Center for Cybersikkerheds rapport for at være vildledende.

»Man ville ikke acceptere en biologisk rapport, som er helt forkert. Eller hvis man kom med et dna-spor og påstod, at det matchede den tiltalte, hvis det i virkeligheden ikke gjorde,« sagde it-eksperten efter at have afgivet sit vidneudsagn tidligere på måneden.

Retssagen mod Warg og JT fortsætter i morgen. De risikerer begge op til seks års fængsel, hvis de findes skyldige.

Version2 er til stede i retten.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Max Tobiasen

JT har tidligere forklaret, at alle oplysningerne han deler, er nogen han har fundet frit tilgængeligt på nettet. Men det var CSC’s Martin Gobs dog ikke enig i, da han i dag vidnede i Retten på Frederiksberg.

og senere:

*»Er vi enige om, at det er offentligt tilgængeligt,« sagde advokaten med et smil.

»Ja,« medgav Gobs.*

Han blev altså som jeg forstår artiklen taget i en direkte løgn. Er det ikke strafbart som vidne?

  • 28
  • 1
Carsten Olsen

Thue du har helt ret, Men: - Man kan osse bruge SIP protokollen. Den bruges bl.a. til IP-telefoni. Netop til at sammenkæde en text-string (f.eks "xxx@eksempel.dk") med den ipadressse som en bruger sidder på. (Ellers vil han f.eks. ikke kunne modtage et opkald på en ip-telefon samtidig med at han sidder på en tilfældig IP-adresse)

  • 2
  • 0
Erik Jensen

Man kan osse bruge SIP protokollen. Den bruges bl.a. til IP-telefoni. Netop til at sammenkæde en text-string (f.eks "xxx@eksempel.dk") med den ipadressse som en bruger sidder på.


Jeg er på ingen måde ekspert i dette. Men vil det ikke kræve, at der er en eller anden form for klient på computeren, som sørger for at opdatere en server med information om ip-adressen? Hvis der ikke findes en sådan på computeren, hvilket man vel kan undersøge, ved at se hvad der bliver udsendt fra computeren, så er det vel trods alt sandsynligt, at man ikke umiddelbart udefra kan kende ip-adressen på computeren?
Eller har jeg misforstået, hvordan det virker?

  • 3
  • 0
Frithiof Andreas Jensen

Min computer har DHCP. Den får den samme adresse hver gang. Så hvis jeg har adressen på routeren, Telia har et dns navn til den (og den skifter heller aldrig) så er det ikke noget problem. Det danske politi har naturligvis heller ikke routeren.

I gamle dage, da der var dinosaurer og sådan, brugte man PPP. Så man havde en hook i if-up som postede ip adressen på en Web side eller mail. Men - politiet har heller ikke en kopi af harddisken, de har "screenshots" i følge radio247's interview med Jacob Applebaum på "overvåget".

Det hele er faktisk værre end man forestiller sig.

  • 2
  • 0
Anders Rosendal

Det var sikkert ikke bevidst. De havde fjernet muligheden, men vidste ikke, at waybackmachine havde kopier.

Så det var ikke løgn, men uvidenhed.


Nej nej, det er ikke det der er sket.

De havde de oplysninger til at ligge frit fremme.
Der kommer en retsag og de finder ud af at det ikke var så godt.
De låser nu siden ned.
Så sidder Gohs og påstår at de oplysninger ikke har ligget frit tilgængelige. (nogensinde)
"Desværre" kan advokaten finde siden frem som den så ud FØR csc lavede om på den.

Hvis ikke Gohs har direkte løjet under ed, så er han ihvertfald ubrugelig som vidne, når de ting han siger er 100% forkerte.

  • 4
  • 0
Log ind eller Opret konto for at kommentere