Hackersagen dag 9: Forsvarer beviser, at CSC-brugeroplysninger stadig er tilgængelige online

25. september 2014 kl. 17:5113
Forsvarsadvokat Michael Juul Eriksen kunne i dag bevise, at CSC selv har offentliggjort de oplysninger, som dansk tiltalt skriver i chat. CSC-chef forklarede ellers i første omgang, at oplysningerne ikke er offentlige.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

En chat-log mellem de to aliasser My Evil Twin og Advanced Persistent Terrorist Thread er et centralt bevis i sagen om hacking af CSC’s mainframe. Den danske tiltalte, JT, har erkendt at være den ene halvdel af samtalen. I loggen deler JT oplysninger om brugernavne til CSC’s systemer.

JT har tidligere forklaret, at alle oplysningerne, han deler, er fundet frit tilgængelige på nettet. Men det var CSC’s Martin Gohs dog ikke enig i, da han i dag vidnede i retten på Frederiksberg.

I chatten deles tre brugeroplysninger. Den første af disse havde ligget på CSC’s egen hjemmeside, erkendte Gohs, der er chef i CSC’s sikkerheds-strikforce i Europa.

»Det har desværre været en del af en dokumentation for, hvordan man logger på systemet. Den lå på Infotorv, som er en ressource til CSC-kunder,« fortalte Gohs.

Artiklen fortsætter efter annoncen

De øvrige oplysninger fra chatten var dog ikke offentligt tilgængelige, mente Gohs. Det drejede sig blandt andet om en passage, der ligner en FTP-serverlog, som rummer et brugernavn og et kodeord.

Internetarkiv afslører sikkerhedssjusk

Lidt internetsnilde fra JT’s forsvarsadvokat, Michael Juul Eriksen, kunne dog dokumentere, at man sagtens kunne komme hæderligt til oplysningerne.

På siden SDN.dk, som CSC beskriver som selskabets center for datakommunikation, viste Michael Juul Eriksen, at en side krævede password. Men ved at bruge internetarkivet Waybackmachine.com, der gemmer, hvordan millioner af hjemmesider har set ud, viste advokaten SDN.dk anno 2012. Og på det tidspunkt krævede siden med de omdiskuterede brugeroplysninger intet kodeord.

»Er det noget, I har lavet om efter den her sag,« spurgte Michael Juul Eriksen, hvilket blev bekræftet af Gohs.

»Er vi enige om, at det er offentligt tilgængeligt,« sagde advokaten med et smil.

»Ja,« medgav Gohs.

Martin Gohs bedyrede desuden, at login overhovedet ikke er blevet anvendt i hacking af CSC’s mainframe. I stedet har hackeren gjort brug af to sårbarheder i den IBM-producerede mainframe. Den bemærkning taler til fordel for danske JT, som i chatten ikke diskuterer de anvendte sikkerhedshuller.

Center for Cybersikkerhed: Usandsynligt, at Wargs computer blev styret af Python-script

I dagens retmøde har også Thomas Krismar fra Center for Cybersikkerhed indtaget vidnestolen. Han forklarede, hvorfor myndigheden ikke mener, at Wargs computer har været fjernstyret ved hjælp af et Python-script. Python-scriptet er blevet fremhævet af it-ekspert Jacob Appelbaum som et eksempel på, hvordan fjernstyring kunne finde sted.

Men ifølge Thomas Krismar er det ikke en sandsynlig mulighed af en række årsager. Dels brugte Wargs computer en dynamisk IP-adresse, som skulle have gjort fjernstyring sværere. Og dels er scriptet ikke lavet til at starte op, når computeren starter. Wargs computer var indstillet til at gå i dvale efter 30 minutter.

Thomas Krismars forklaring fik flere gange Warg til at gestikulere og hviske intenst til sin forsvarsadvokat, Luise Høj, tydeligvis frustreret over vidnets fremlægning.

Tidligere i retssagen har Jakob Appelbaum kritiseret Center for Cybersikkerheds rapport for at være vildledende.

»Man ville ikke acceptere en biologisk rapport, som er helt forkert. Eller hvis man kom med et dna-spor og påstod, at det matchede den tiltalte, hvis det i virkeligheden ikke gjorde,« sagde it-eksperten efter at have afgivet sit vidneudsagn tidligere på måneden.

Retssagen mod Warg og JT fortsætter i morgen. De risikerer begge op til seks års fængsel, hvis de findes skyldige.

Version2 er til stede i retten.

13 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
7
26. september 2014 kl. 10:44

Thomas Krismar er det ikke en sandsynlig mulighed af en række årsager

På enhver folkeskole er der mindst en 5klasses elev der kan gøre det som Thomas Krismar hævder er "ikke en sandsynlig mulighed". Hans troværdighed som vidne er ikke eksisterende.

3
25. september 2014 kl. 19:39

Du mener ikke det faktum at de har ændret og fabrikeret beviser er langt være?

"»Er det noget, I har lavet om efter den her sag,« spurgte Michael Juul Eriksen, hvilket blev bekræftet af Gobs"

5
26. september 2014 kl. 07:43

Nej det er en såkaldt "Nødløgn" hvilket er ok i sager om sikkerhed :-)

4
25. september 2014 kl. 23:06

Det må vi håbe på er rigtigt.

2
25. september 2014 kl. 18:57

Men ifølge Thomas Krismar er det ikke en sandsynlig mulighed af en række årsager. Dels brugte Wargs computer en dynamisk IP-adresse, som skulle have gjort fjernstyring sværere.

Så svært et problem er det altså heller ikke. Hvis det er på det niveau som anklageren argumentere, så bør de tabe sagen.

https://en.wikipedia.org/wiki/Dynamic_DNS

6
26. september 2014 kl. 10:24

Thue du har helt ret, Men: - Man kan osse bruge SIP protokollen. Den bruges bl.a. til IP-telefoni. Netop til at sammenkæde en text-string (f.eks "xxx@eksempel.dk") med den ipadressse som en bruger sidder på. (Ellers vil han f.eks. ikke kunne modtage et opkald på en ip-telefon samtidig med at han sidder på en tilfældig IP-adresse)

9
26. september 2014 kl. 12:09

Man kan osse bruge SIP protokollen. Den bruges bl.a. til IP-telefoni. Netop til at sammenkæde en text-string (f.eks "<a href="mailto:xxx@eksempel.dk">xxx@eksempel.dk</a>&quot;) med den ipadressse som en bruger sidder på.

Jeg er på ingen måde ekspert i dette. Men vil det ikke kræve, at der er en eller anden form for klient på computeren, som sørger for at opdatere en server med information om ip-adressen? Hvis der ikke findes en sådan på computeren, hvilket man vel kan undersøge, ved at se hvad der bliver udsendt fra computeren, så er det vel trods alt sandsynligt, at man ikke umiddelbart udefra kan kende ip-adressen på computeren? Eller har jeg misforstået, hvordan det virker?

11
26. september 2014 kl. 21:25

Min computer har DHCP. Den får den samme adresse hver gang. Så hvis jeg har adressen på routeren, Telia har et dns navn til den (og den skifter heller aldrig) så er det ikke noget problem. Det danske politi har naturligvis heller ikke routeren.

I gamle dage, da der var dinosaurer og sådan, brugte man PPP. Så man havde en hook i if-up som postede ip adressen på en Web side eller mail. Men - politiet har heller ikke en kopi af harddisken, de har "screenshots" i følge radio247's interview med Jacob Applebaum på "overvåget".

Det hele er faktisk værre end man forestiller sig.

1
25. september 2014 kl. 18:31

JT har tidligere forklaret, at alle oplysningerne han deler, er nogen han har fundet frit tilgængeligt på nettet. Men det var CSC’s Martin Gobs dog ikke enig i, da han i dag vidnede i Retten på Frederiksberg.

og senere:

*»Er vi enige om, at det er offentligt tilgængeligt,« sagde advokaten med et smil.

»Ja,« medgav Gobs.*

Han blev altså som jeg forstår artiklen taget i en direkte løgn. Er det ikke strafbart som vidne?

8
26. september 2014 kl. 11:34

Det var sikkert ikke bevidst. De havde fjernet muligheden, men vidste ikke, at waybackmachine havde kopier.

Så det var ikke løgn, men uvidenhed.

13
4. oktober 2014 kl. 11:10

Det var sikkert ikke bevidst. De havde fjernet muligheden, men vidste ikke, at waybackmachine havde kopier.</p>
<p>Så det var ikke løgn, men uvidenhed.

Nej nej, det er ikke det der er sket.

De havde de oplysninger til at ligge frit fremme. Der kommer en retsag og de finder ud af at det ikke var så godt. De låser nu siden ned. Så sidder Gohs og påstår at de oplysninger ikke har ligget frit tilgængelige. (nogensinde) "Desværre" kan advokaten finde siden frem som den så ud FØR csc lavede om på den.

Hvis ikke Gohs har direkte løjet under ed, så er han ihvertfald ubrugelig som vidne, når de ting han siger er 100% forkerte.