En chat-log mellem de to aliasser My Evil Twin og Advanced Persistent Terrorist Thread er et centralt bevis i sagen om hacking af CSC’s mainframe. Den danske tiltalte, JT, har erkendt at være den ene halvdel af samtalen. I loggen deler JT oplysninger om brugernavne til CSC’s systemer.
JT har tidligere forklaret, at alle oplysningerne, han deler, er fundet frit tilgængelige på nettet. Men det var CSC’s Martin Gohs dog ikke enig i, da han i dag vidnede i retten på Frederiksberg.
I chatten deles tre brugeroplysninger. Den første af disse havde ligget på CSC’s egen hjemmeside, erkendte Gohs, der er chef i CSC’s sikkerheds-strikforce i Europa.
»Det har desværre været en del af en dokumentation for, hvordan man logger på systemet. Den lå på Infotorv, som er en ressource til CSC-kunder,« fortalte Gohs.
De øvrige oplysninger fra chatten var dog ikke offentligt tilgængelige, mente Gohs. Det drejede sig blandt andet om en passage, der ligner en FTP-serverlog, som rummer et brugernavn og et kodeord.
Internetarkiv afslører sikkerhedssjusk
Lidt internetsnilde fra JT’s forsvarsadvokat, Michael Juul Eriksen, kunne dog dokumentere, at man sagtens kunne komme hæderligt til oplysningerne.
På siden SDN.dk, som CSC beskriver som selskabets center for datakommunikation, viste Michael Juul Eriksen, at en side krævede password. Men ved at bruge internetarkivet Waybackmachine.com, der gemmer, hvordan millioner af hjemmesider har set ud, viste advokaten SDN.dk anno 2012. Og på det tidspunkt krævede siden med de omdiskuterede brugeroplysninger intet kodeord.
»Er det noget, I har lavet om efter den her sag,« spurgte Michael Juul Eriksen, hvilket blev bekræftet af Gohs.
»Er vi enige om, at det er offentligt tilgængeligt,« sagde advokaten med et smil.
»Ja,« medgav Gohs.
Martin Gohs bedyrede desuden, at login overhovedet ikke er blevet anvendt i hacking af CSC’s mainframe. I stedet har hackeren gjort brug af to sårbarheder i den IBM-producerede mainframe. Den bemærkning taler til fordel for danske JT, som i chatten ikke diskuterer de anvendte sikkerhedshuller.
Center for Cybersikkerhed: Usandsynligt, at Wargs computer blev styret af Python-script
I dagens retmøde har også Thomas Krismar fra Center for Cybersikkerhed indtaget vidnestolen. Han forklarede, hvorfor myndigheden ikke mener, at Wargs computer har været fjernstyret ved hjælp af et Python-script. Python-scriptet er blevet fremhævet af it-ekspert Jacob Appelbaum som et eksempel på, hvordan fjernstyring kunne finde sted.
Men ifølge Thomas Krismar er det ikke en sandsynlig mulighed af en række årsager. Dels brugte Wargs computer en dynamisk IP-adresse, som skulle have gjort fjernstyring sværere. Og dels er scriptet ikke lavet til at starte op, når computeren starter. Wargs computer var indstillet til at gå i dvale efter 30 minutter.
Thomas Krismars forklaring fik flere gange Warg til at gestikulere og hviske intenst til sin forsvarsadvokat, Luise Høj, tydeligvis frustreret over vidnets fremlægning.
Tidligere i retssagen har Jakob Appelbaum kritiseret Center for Cybersikkerheds rapport for at være vildledende.
»Man ville ikke acceptere en biologisk rapport, som er helt forkert. Eller hvis man kom med et dna-spor og påstod, at det matchede den tiltalte, hvis det i virkeligheden ikke gjorde,« sagde it-eksperten efter at have afgivet sit vidneudsagn tidligere på måneden.
Retssagen mod Warg og JT fortsætter i morgen. De risikerer begge op til seks års fængsel, hvis de findes skyldige.
Version2 er til stede i retten.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
