Manglende teknisk indsigt udfordrer historisk hackersag i landsretten

Retssystemet står over for en udfordring med at håndtere it-teknisk komplicerede sager, lyder det fra forsvarsadvokaten for den dømte svenske hacker Gottfrid Svartholm Warg, hvis ankesag er ved at blive behandlet i landsretten.

Nævninge og dommere udgør langt størstedelen af de tilstedeværelse i retslokalet i Østre Landsret, mens vi venter på, at svenske Gottfrid Svartholm Warg møder op.

Ud over undertegnede journalist befinder få andre gæster sig i lokalet for at overvære retsmødet for den svenske hacker, der i oktober sidste år i byretten blev kendt skyldig i at have hacket Rigspolitiets it-systemer i CSC’s mainframe-computer og fået adgang til blandt andet kørekortregistret. Sagen er blevet kendt som danmarkshistoriens største hackersag og involverede desuden danskeren JT, der blev kendt skyldig i medvirken til hackingen. Warg ankede sagen, som således blev genoptaget i landsretten i marts.

Læs også: Minutreferat fra hackersagen: Tiltalte kendes skyldige - dansker løsladt

Det er mandag, og der er kun lidt over en uge til, at dommen falder. Og mens sagen blev grundigt dækket i flere medier (heriblandt Version2) i efteråret, så er sagen denne gang gået stort set ubeskrevet forbi i medierne.

Wargs mor, Kristina Svartholm, er til stede til retsmødet og fortæller om, hvordan en aktivist fra Estland tidligere mødte op til ankesagen med banner og råbte: »Free Anakata« (Wargs nickname, red.) og endte med at blive smidt ud af politiet.

»Der skulle I medier have været her,« siger hun og undrer sig over, hvor medierne har været henne i sagsforløbet.

Warg ankommer med eskorte i form af to politimænd 50 minutter forsinket. Politifolkene får en ordentlig røffel af anklager Anders Riisager for forsinkelsen, hvorefter retsmødet går i gang.

Læs også: Historisk dom i hackersagen kan bryde med klassisk hackerforsvar

Forsvarer: »Vi mangler fornøden teknisk indsigt for at behandle sag«

Første vidne, der bliver kaldt ind, er den svenske sikkerhedskonsulent Robert Malmgren, der som ekstern konsulent har stået for at lave en efter eget udsagn uafhængig rapport over forløbet med hackingen af CSC’s mainframe i 2012.

Det meste af den første time går derefter med, at anklageren læser op af rapporten og fra vidnets tidligere udsagn i byretten. Det går hurtigt, og indholdet er svært teknisk, så det er en udfordring for undertegnede it-journalist at følge med.

Nævningene forsøger også at skjule et gab eller to.

»Jeg har også svært ved at forstå det - hvordan skal nogen af nævningene kunne følge med i beviserne?« siger Kristina Svartholm i en af pauserne.

Og det er netop en af de store udfordringer ved hackersagen, der er historisk netop på grund af sine mange teknikaliteter, ifølge forsvarsadvokaten for Gottfrid Svartholm Warg, Luise Høj.

»Jeg synes generelt, at forløbet bliver ved med at være præget af, at vi alle mangler den fornødne tekniske indsigt til at behandle den her sag, og det præger hele processen,« siger hun.

»Det er bemærkelsesværdigt, at vi har politifolk, som lægger hovedet på blokken og siger, hvordan tingene forholder sig, og når vi så får tekniske eksperter frem, kan de alligevel betvivle det,« siger hun og henviser til eksemplet med fjernstyringen af Wargs computer.

Selvom det er blevet fastslået i retten, at hackingen fandt sted fra Wargs computer, er et af forsvarets centrale argumenter, at computeren kan have været fjernstyret. Det ville blandt andet kunne lade sig ved hjælp af et python-script, har it-ekspert Jacob Appelbaum tidligere forklaret i retten.

»Først siger politiet, at computeren ikke kan fjernstyres, så siger vores ekspert, at det kan den godt,« siger Luise Høj og perspektiverer sagsforløbet:

»I andre sager, som f.eks. mordsager, plejer vi vi ikke at køre frem og tilbage med sagkyndige, der modsiger hinanden.«

Da vidnet Robert Malmgren er svensk, bliver store dele af forløbet afbrudt af tolken, som skal oversætte mellem dansk og svensk.

Her viser de tekniske udfordringer sig igen.

Da snakken falder på tyske ip-adresser og hackernes brug af en VPS-tjeneste, bliver sidstnævnte på stærkt forenklet vis oversat til ‘sky-tjeneste’.

Tolken fortæller i en pause, at det ganske rigtigt kan være en udfordring at oversætte alle de tekniske begreber, men at det bliver bedre, for hver gang sagen bliver anket, og tingene bliver gentaget.

»Hvis det går videre til højesteret, kan det være, at jeg får helt styr på det,« fortæller tolken.

»Vi har generelt det problem med tolkene, at vi taler et juridisk sprog, og det kan være svært at oversætte. De skal både forstå jura og teknik, og det er en vanskelig opgave,« tilføjer forsvarsadvokat Luise Høj.

Kamp om ligheder med andre hackersager

Det meste af dagen går med at diskutere, hvorvidt hackersagen hos CSC kan sættes i forbindelse med andre lignende hackersager fra Sverige.

Gottfrid Svartholm Warg er tidligere blevet dømt for at have hacket sig ind i Logicas mainframe i Sverige sammen med svenskeren Mathias Gustafsson og har været anklaget og senere frikendt for at have hacket Nordea i Sverige.

Anklageren udspørger derfor den svenske sikkerhedskonsulent Robert Malmgren om sammenhængen mellem metoderne for hackerangrebene hos CSC og Logica.

Hackeren fik adgang til Logicas mainframe gennem FTP-serveren ifølge rapporten fra Malmgrens konsulentfirma Romab, mens CSC’s mainframe blev kompromitteret ved hjælp af en zero-day exploit i webserveren.

»CSC-kompromitteringen er i karakter meget lig de kompromitteringer, der er sket på mainframes tilhørende den nordiske bank Nordea og it-udbyderen Logica,« står der i den del af Romabs rapport, som bliver læst op af anklageren.

Rapporten blev også brugt, mens sagen var i byretten, men fordi sagen er anket til landsretten, er det en del af proceduren, at de tidligere beviser og udsagn bliver gennemgået, og der bliver som udgangspunkt kun stillet supplerende spørgsmål.

Den indkaldte sikkerhedskonsulent Robert Malmgren erklærer selv, at hans rapport er uafhængig. Men det blev anfægtet af forsvarsadvokaten, allerede mens sagen var i byretten, og det bliver det nu også i landsretten.

Forsvareren pointerer, at vidnet ikke er uvildigt. Romab har tidligere undersøgt Logica-sagen i Sverige, hvor Warg blev dømt skyldig, og da han blev frifundet for Nordea-hackingen, faldt det den svenske sikkerhedsekspert for brystet. Han udtalte i den forbindelse til den svenske avis Metro, at dommen ville gøre det sværere at bekæmpe kriminalitet på nettet.

Læs også: Forsvarer i hackersagen: Uvildig undersøgelse af CSC-hacking er ikke uvildig

Anklager Anders Riisager udspørger nu Robert Malmgren om de forskellige sammenhænge mellem angrebene. Rapporten fra Romab peger på '9 korrelationer og ligheder med de svenske indtrængninger', heriblandt at der under begge angreb har været udvist interesse for den offentlige sektor generelt samt i særlig grad for politi og retshåndhævelsen.

Til at hacke CSC og Logica blev der brugt to scripts med de enslydende navne kuku og koki ifølge rapporten.

»Navnemæssigt ligner kuku og koki hinanden. Men når du analyserer scriptene og programkoderne, er de så identiske?« spørger Anders Riisager vidnet.

»De er ikke identiske, men der findes mange ligheder, hvor man kan sige, at en central bid er, at den, der har skrevet programmerne, har fundet ud af, hvordan man i IBM’s z/OS (styresystemet til IBM’s mainframe hos CSC, red.) kan få adgangstilladelse og få udvidet systemrettighederne, så man får adgang til mere i systemet,« siger Robert Malmgren i retten.

»Koki og kuku har samme formål. Og teknisk er de meget lig hinanden?« spørger anklageren.

»Når man skriver et computerprogram, kan der være tusindvis af linjers kode. Men de her to er begge kun 30-50 linjer,« siger Robert Malmgren.

Han forklarer, at begge scripts er skrevet i programmeringssproget Rexx, som netop benyttes på IBM mainframes, som et andet eksempel på sammenhængen mellem Logica- og CSC-angrebene.

Andre sammenhænge går ifølge sikkerhedseksperten på, at der har været tyveri af information og upload af egne programmer (de nævnte scripts).

Flere af disse forklaringer bliver mødt med modspørgsmål fra forsvareren, der forsøger at påpege det trivielle i sammenligningerne.

»Jeg hæfter mig ved, at du sagde tyveri af information. Er det ikke det, som hacking går ud på?« spørger hun.

»Det behøver det ikke at være,« svarer Robert Malmgren.

»Men vil det ikke typisk være det?« spørger hun.

»Man kan både manipulere information, få kontrol med systemet eller tilføje information. Og hvis det f.eks. er et styresystem til et vandværk, kan man åbne værket,« svarer sikkerhedskonsulenten.

»Hvad med upload af egne programmer til en server. Er det ikke standard for en hacker?« spørger Luise Høj.

»Ikke altid. Man kan benytte sig af de værktøjer, der er. Eller man skriver on-the-fly,« svarer Robert Malmgren.

»Du mener ikke, at det er standard modus operandi, at man uploader egne programmer?« spørger forsvareren.

»Man kan gøre det, men det er ikke altid sådan,« lyder svaret.

»Jeg spørger om standarden, ikke om yderpunkterne. Er det ikke standard, at en hacker uploader egne programmer? spørger forsvarsadvokaten videre.

»Det kommer an på, hvad man mener med egne programmer. Hvis det er en exploit, så er det temmelig almindeligt,« forklarer Robert Malmgren.

Under sagsforløbet når vidnet desuden at ændre på en af sine andre forklaringer.

Adspurgt af anklageren om, hvor mange mennesker i verden, der vil være i stand til at udvikle software til IBM-mainframens styresystem z/OS og dermed kunne lave en exploit, lyder svaret i første omgang på 'meget få - måske 5'.

Den forklaring ændrer sig dog, efter at forsvareren Luise Høj spørger ind til, hvor han har det tal fra.
»Du siger, der er en håndfuld mennesker, der er i stand til at hacke mainframes. Hvor kommer det fra?« spørger hun.

»Man må forenkle det hele meget. Del er der en, der kan finde sikkerhedshuller, og en, der udvikler værktøjer. Det er der ikke mange, der kan af flere årsager: den tekniske viden og adgangen til den her type af system for at søge på sikkerhedshuller. Det er der ikke mange i verden, der kan,« svarer Robert Malmgren.

»At der ikke er mange i verden, der kan det, er noget andet end en håndfuld,« siger Luise Høj.

»Jeg kan ikke sige noget håndfast, men det er ikke mange - ikke tusind, ti tusind eller hundrede tusind,« svarer Robert Malmgren.

Forsvarer: Ulige kamp

For hver teknisk rapport, der bliver fremlagt under retssagen, har både anklager og forsvarer haft eksperter til at gennemgå dem og pege de relevante detaljer ud.

Og her påpeger forsvaret, at det er en ulige kamp mod anklagerens efterforskere.

»Jeg har fået beskikket 80.000 kr. under denne sag indtil videre, og de penge løber stærkt. De rapporter, som jeg formidler videre, skal min tekniker læse og lave rapporter om og fortælle om i retten. Med hans timetakst er det meget få timer,« siger Luise Høj og anslår timelønnen til at ligge på omkring 2.000 kr, hvilket giver ca. 40 arbejdstimer.

»Konsekvensen er princippet om equality of arms og handler om balancen med de skyts, som vi hver især kan stille frem,« siger hun og kritiserer blandt andet politiet for løbende at justere på sine rapporter, som så skal gennemgås af hendes tekniker igen.

»Jeg må ikke få gratis hjælp, selvom der er mange, der har tilbudt det. Jeg skal bruge en sikkerhedsgodkendt tekniker,« fortæller hun.

Samtidig er forsvaret også begrænset af kun at have adgang til de rapporter, som politiet fremlægger, men ikke selve sagsmaterialet, som f.eks. indholdet på Wargs computer, der blev konfiskeret i Cambodja og nu er i politiets varetægt ifølge Luise Høj.

»Vi kunne godt tænke os en kopi af harddisken og se på de undersøgelser, som politiet har fået,« siger hun og fortsætter:

»Problemet er, at politiet har været dårlige til at dokumentere, hvad de har foretaget sig. Man er bare kommet med konklusioner i rapporterne.«

Eksempelvis stod der ifølge forsvareren ikke noget i rapporterne om nogen undersøgelser af, hvad konsekvensen var for CSC, når de ikke brugte netstat. Derfor betalte forsvaret selv for en analyse af det - for så at finde ud af, at den analyse allerede var blevet lavet.

»Men det stod der ikke noget om i rapporterne. Der kunne vi have sparet 25.000 kr.,« siger hun.

Ankesagen mod Gottfrid Svartholm Warg lakker mod enden. Der bliver voteret i sagen tirsdag den 16. juni, og dommen vil sandsynligvis blive offentliggjort om onsdagen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (11)
Kristian Sørensen

Jeg har fulgt danske retssager indenfor andre fagområder end IT, hvor det faglige var centralt for sagen.

Der havde retssystemet de samme forståelsesmæssige udfordringer

Retssystemet bruger cand.jur. til dommere og anklagere og de bruger hr og fru Danmark som domsmænd. Der gøres ikke noget for at vælge domsmændene efter relevant faglig viden og anklagerne møder uden fagligt kompetente bisiddere.

Det gør retssager til en pædagogisk udfordring snarere end en juridisk.

Den af parterne der er bedst til at forklare, undervise og væve en beretning sammen, har gode muligheder for at vinde sagen på det alene.

John Foley

CSC. Justitsministeriet og Politiet har i denne sag svigtet så det driver. Men begge instanser går fri, og anser sig som de forudrettede. Selvsagt skal hackere retsforfølges når de begår kriminel adfærd, men desværre har domstolene ikke de nødvendige kompetencer eller viden nok til at forstå problematikken. De er It- Analfabeter. Justitsministeriet, der i denne sag er den dataansvarlige har ladet hoveddøren stå åben. I en privat forsikringssag ville det medføre, at man ikke får erstatning. Alligevel fremturer både politiet og Justitsministeriet som de forudrettede, de burde skamme sig i stedet for. Men sådan er det ikke i den offentlige forvaltning, der har embedsmændende og teknokrater altid ret, finasieret og betalt af skatteborgernes penge.

Knud Jensen

..løses bedst ved at understøtte med fysiske beviser.

Selvom det er blevet fastslået i retten, at hackingen fandt sted fra Wargs computer, er et af forsvarets centrale argumenter, at computeren kan have været fjernstyret. Det ville blandt andet kunne lade sig ved hjælp af et python-script, har it-ekspert Jacob Appelbaum tidligere forklaret i retten.

»Først siger politiet, at computeren ikke kan fjernstyres, så siger vores ekspert, at det kan den godt,« siger Luise Høj og perspektiverer sagsforløbet:

»I andre sager, som f.eks. mordsager, plejer vi vi ikke at køre frem og tilbage med sagkyndige, der modsiger hinanden.«

Så hvorfor ikke bare køre det python script og se om maskinen kan fjernstyres?

Knud Larsen

I sagen om de helt tossede ulovlige og forkerte ejendomsvurderinger er en statistikker netop blevet afvist af dommerne. men det er præcis det der er brug for for at vise hvor tåbeligt et resultat ejendomsvurderingerne kommer ud med.
Dansk jura er så elendigt og tilrettelagt, så dommere og politi og politikkere bare manipulerer borgerne. Det er en skændsel. Vi har særdomstole som kunne gøre dette meget bedre, Sø og Handelsretten men dette bliver nedlagt af samme manipulatorer.
jeg har selv ført skattesag og oplever at Kammeradvokaten manipulerer overtræder retsplejeloven på det groveste, men hverken dommer eller min højesterets advokat griber ind.

Jacob Rasmussen

Det er vigtigt at bemærke, at identifikationen af ​​Herrera - der tilsyneladende ingen straffeattest har - betyder ikke, at han nødvendigvis er mistænkt. IP og e-mail-adresser kan forfalskes, og internetdata kan ved hjælp af forskellig software føres gennem tredjeparts computere uden deres ejeres kendskab.

kilde: BT

Det er åbenbart mere sandsynligt at man fjernstyrer en PC, når man vil stjæle nøgenbilleder fra kendte, end når man 'blot' vil tømme det offentliges Mainframe for data...

Christian Bruun

"Adspurgt af anklageren om, hvor mange mennesker i verden, der vil være i stand til at udvikle software til IBM-mainframens styresystem z/OS og dermed kunne lave en exploit, lyder svaret i første omgang på 'meget få - måske 5'."

eller en håndfuld som han ændrer det til. Modspørgsmålet burde have været hvor mange systemer der findes med z/OS og hvad et system koster.

Hvem køber et system af denne størrelse uden samtidig at anskaffe sig personale der er suverænt dygtige?

Henrik Kramshøj Blogger

Så hvorfor ikke bare køre det python script og se om maskinen kan fjernstyres?

Pythonscriptet var blot et eksempel på hvordan en bagdør kunne laves på få linier kode. Det var en som Jake lavede (med fejl) og de hænger sig for meget i DET script. De burde istedet spørge om alle forudsætningerne for fjernstyring er på plads - kunne det lade sig gøre.

Ja, det kunne det:

  • Reachability/connectivity med IPv6
  • Åben firewall - der er specifikt regler der tillader trafik ind
  • Flere brugere, mange filer, usikre softwarepakker osv.

Dernæst spørge om man med en almindelig PC med overbevisning kan sige "Denne PC har IKKE nogen bagdøre" - hvilket er et umuligt bevis, idet en bagdør kan skjules på så mange måder at man ikke fuldstændigt kan udelukke det.

Jeg mindes heller ikke de udførte IPv6 portscan? og lad os slet ikke komme ind på port-knocking og andre metoder som vil gøre en bagdør nemmere at skjule.

Så det vil være nemt at sige der ER en bagdør, hvis man finder et konkret program - men det er umuligt at sige der IKKE ER en bagdør, blot fordi metoden man har brugt IKKE har identificeret en.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017