Inden afgørelsen: Ni ting, der er vigtige for at forstå hackersagen

Illustration: Virrage Images/Bigstock
På tirsdag skal anklageren procedere i danmarkshistoriens største hackersag. Version2 giver dig overblikket over sagens vigtigste temaer.

En potentielt set fjernstyret computer, en krypteret container med filer fra CSC, en log af mistænkelige IP-adresser og omkring 300.000 linjers chat. Al dokumentation er på bordet, og CSC-hackersagen går ind i sin afgørende fase. Kun et vidne er tilbage, før både forsvarer og anklager skal præsentere hver sit argument for eller imod dommen skyldig.

Det er svenske Gottfrid Svartholm Warg og danske JT, der sammen står tiltalt for at være brudt ind i CSC’s mainframe og tiltusket sig personlige oplysninger i spandevis. De risikerer op til seks års fængsel, hvis de findes skyldige.

Version2 giver her et overblik over de største temaer i hackersagen indtil videre.

1: Fjernstyringsstrid

Var Wargs computer fjernstyret i gerningsøjeblikket, eller var det it-aktivisten selv, der stod bag hackerangrebet? Det er et af de helt centrale spørgsmål, der er blevet behandlet i retten på Frederiksberg. Fjernstyringen kunne finde sted på utallige måder, har vidner for forsvaret fortalt. Med en installeret debugger eller et Python-script eller gennem et af flere stykker malware, der er kendt for at give andre personer adgang til computeren. Fra anklagemyndighedens vidner har det lydt, at fjernstyring er usandsynlig.

Læs også: Jacob Appelbaum vidner i hackersag: »Sådan kunne Wargs computer være fjernstyret«

Læs også: CSC-mistænkts computer angrebet med trojaner

2: Undersøgelseskritik

De undersøgelser, som politiet bygger deres vurderinger på, har mødt heftig kritik fra forsvarets vidner. It-eksperten Jacob Appelbaum kaldte en rapport fra Center for Cybersikkerhed direkte misvisende, fordi den erklærede fjernstyring med Python-script usandsynlig uden at forholde sig til hackercomputerens indstillinger. Sikkerhedschef Lars Ole Petersen, mente, at politiets netværksundersøgelse ikke var retvisende, fordi computeren reelt ikke havde adgang til internettet. Og endelig er en af politiets to computerundersøgelser muligvis påvirket af, at svensk politi siden konfiskeringen har installeret programmer på Wargs computer.

Læs også: Hackersagen dag 10 - Ekspertvidne: »Politiets undersøgelse er ikke retvisende«

Læs også: Programmer installeret på hacker-computer efter konfiskering

3: Politisløvhed

Kritik af politiet har også været på tale, efter at det kom frem, at svensk politi ad fire omgange informerede deres danske kolleger om hacker-mistanker, uden at ordensmagten reagerede. Første advarsel fra Sverige kom i juni 2012, mens gerningsmænd stadig kopierede fortrolige data fra CSC’s mainframe. Derefter fulgte tre advarsler i løbet af efteråret, og endelig en femte i januar 2013. Den sidste fik politiets opmærksomhed og ledte til et møde med CSC i slutningen af februar.

Læs også: Hackersagen dag 8: Svensk it-efterforsker ville ønske dansk politi havde udvist livstegn

Læs også: Dansk politi fik flere advarsler fra svensk politi om CSC-hacking

4: Nysgerrighed

En chatlog fundet på Wargs computer ledte politiet til at anholde sagens danske tiltalte, 21-årige JT, der er selvlært computerekspert. I chatten diskuterer JT med en, der fremstår som My Evil Twin, om muligheden for at hacke CSC. Selv forklarer JT, at han var nysgerrig efter, om man kunne hacke en mainframe, fordi han havde fået at vide, at det ikke kan lade sig gøre. Fra JT’s konfiskerede computer har anklageren fremhævet billeder af Warg og en manual til at bryde ind i en mainframe af samme slags som CSC’s. JT finder og deler i chatten brugeroplysninger til CSC. Det taler dog til JT’s fordel, at måden, hvorpå man i chatten forsøger at bryde ind i CSC, ikke er den måde, det rent faktisk skete på få måneder senere.

Læs også: Anklaget dansker i CSC-sag: »Jeg ville vide om mainframes kunne hackes«

Læs også: Anklaget dansker i CSC-sag er selvlært sikkerhedsekspert

5:Sikkerhedsnøl

Hackerangrebet skete nemlig rettelig ved at udnytte to – på det tidspunkt – ukendte sårbarheder i IBM’s mainframe-system, z/OS, der bruges af CSC. Den første lod gerningsmanden trænge ind i systemet, mens den anden tillod ham at eskalere sine brugerrettigheder. Sikkerhedshullet blev patchet af IBM i december 2012. Først i marts 2013 installerer CSC opdateringen, fordi de efter henvendelse fra politiet opdager tegn på hacking.

Læs også: It-efterforsker: CSC-hacker lavede første bagdør gennem ’zero day’-sårbarhed i IBM's mainframe

Læs også: Hackersagen dag 9 - CSC-vidne: Sårbarheder i mainframen havde patch måneder før hullet blev lukket

6: Efterforskningshul

De tegn kom blandt andet i form af IP-adresser fra Cambodja, som havde tilgået et script på CSC’s webserver, der giver informationer om serverversioner med videre. IP-adressen ledte direkte til Wargs lejlighed i samme land. En anden IP-adresse er dog gået fri uden nogen form for efterforskning. Den blev fundet i samme log og kan knyttes til en svensker, der tidligere er dømt for hacking sammen med Warg og i år på ny er blevet sigtet for samme forbrydelse.

Læs også: Hackersagen: Mindst én mistænkelig IP-adresse blev aldrig efterforsket

7: It-kundskab

Det er op til rettens tre dommere og otte nævninge at forholde sig til, hvad sporet, der ikke blev fulgt, skal have af betydning. Men når der skal tages stilling til sagen, er det ikke væsentligt at have særlige it-kompetencer. Det har sagens ene anklager, vicestatsadvokat Anders Riisager, gjort meget ud af at fortælle. Selv har han det med computere, som Superman har det med kryptonit, fortalte han. Riisagers erklærede it-fremmedhed har dog ledt til tvister i retten.

Læs også: Appelbaum: Anklager i hackersag forstår ingenting

Læs også: Anklagers it-fremmedhed vækker bekymring i hackersag

8: Twitter-tvist

Blandt andet har anklager Riisager postuleret, at hvis man re-tweeter en artikel på det sociale medie Twitter, kunne man lige så godt have skrevet den selv. På den måde har anklagemyndigheden forsøgt at tegne en venskabelig forbindelse mellem tiltalte Warg og vidnet Jacob Appelbaum. Appelbaum kaldte forbindelsen opdigtet og sagde, at Riisager ikke forstod, hvordan Twitter fungerer. Det måtte vicestatsadvokaten give ham ret i.

Læs også: Anklager i hacker-sagen: At retweete en artikel svarer til selv at have skrevet den

9: Hackersagen uden ende

Uanset hvordan dommen lyder i slutningen af oktober, er det efter alt at dømme ikke enden for Gottfrid Svartholm Wargs møde med domstolen. På svenskerens computer er nemlig også fundet tegn på hacking i endnu et land, der endnu ikke er navngivet, og det er på den måde tænkeligt, at danmarkshistoriens største hackersag følges op af endnu en hackersag for den svenske internetkendis.

Retssagen fortsætter tirsdag den 7. oktober. Der forventes at falde dom den 31. oktober.

Version2 er til stede i retten.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Olesen

Om Gotfried er skyldig eller ej vil jeg ikke tage stilling til, da jeg ikke ved hvad han har gjort eller ej.
Derimod står det lysende klart at først CSC og dernæst politi og anklagemyndighed har gjort sig skyldige i grov pligtforsømmelse og dermed burde stå overfor sanktioner, der i sidste ende også burde ende i frihedsberøvelse for i hvert fald CSCs ansvarlige leder og virksomheden som helhed.

  • 34
  • 0
Max Tobiasen

Er bevismaterialet tilgængeligt for lægmand?

Chatloggen som beskrevet på version 2 omhandler aliaset "my evil twin" og "advanced persistent terror threat" som anklageren prøver at sandsynliggøre er Warg. Men i det anvendte chatprogram er det ikke muligt at bruge et alias der anvender mellemrum.

Hvis navnene er som gengivet på version 2 er der med andre ord rettet i chat udskriften. Derfor kunne det være ret interessant at se de originale bilag til sagen, eller alternativt høre fra version2 reporteren om det er "my evil twin" eller f.eks. "my_evil_twin"

  • 15
  • 0
Magnus Boye Journalist

Hej Max
Det er korrekt, at der er mellemrum i de aliasser, der er angivet i chatten. Det er også rigtigt, at personerne ikke har kunne logge ind med de navne - som du siger - netop på grund af mellemrum. Derfor forklarer JT også, at han står bag alt, der er skrevet under Advanced Persistent Terrorist Threat, men at det ikke er hans nickname. Ligeledes har han ikke chattet med My Evil Twin, men én der skrev under navnet Era.
Der synes at være enighed om, at chattens anden part har ændret på navnene i chat-loggen. Der er en teori om, at det er sket med programmet Pidgin, som tilsyneladende kan indstilles til at "omdøbe" personer i chatten.

  • 10
  • 0
Mads Madsen

Uanset om man har rent mel i posen er der ingen god grund til at gemme chatsamtaler og logfiler.

Hvis de havde brugt Pidgen fra en live cd, og havde implementeret full disk encryption for alle deres aktiviteter, ville der ikke være meget at gå efter.

Kan man varetægtsfængsles på basis af logfiler og chatsamtaler på ens computer, er der god grund til slet ikke at gemme den slags i ukrypteret form.

Hvis det ender med at de to bliver dømt, bør det danske politi prise sig lykkeligt for at de åbenbart sløsede med deres sikkerhed.

  • Whonix fra live cd.

  • Luks som full disk encryption.

  • Ingen logfiler eller chatsamtaler.

Og så ellers bare hold mund og den danske variation af I plead the Fifth.

  • 6
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize