Programmer installeret på hacker-computer efter konfiskering

Det er blevet installeret nye programmer på hacker-computeren i CSC-hackersagen, mens den har været i svensk politis varetægt. Det kan have påvirket undersøgelsen af computeren.

Den. 27. november 2012 blev der installeret et nyt program på computeren, hvorfra hackerangrebet mod CSC’s mainframe blev udført. Computeren tilhører sagens ene tiltalte – svenske Gottfrid Svartholm Warg. Programmet installeret i november har vækket forsvarets interesse, eftersom svensk politi beslaglagde computeren allerede i august. Altså tre måneder før, der blev tilføjet et program.

Det nye program kan potentielt have skjult nogle sikkerhedshuller i Wargs computer.

»Kan dette program potentielt have lukket bagdøre,« spurgte Wargs forsvarsadvokat Luise Høj

»Ja, det er muligt,« lød svaret fra it-efterforsker Flemming Grønnemose, der i dag afsluttede sit vidneudsagn.

It-efterforskeren kender ikke noget til programmet og vurderer derfor, at det er svensk politi, der har installeret det. Hvis det viser sig, at svensk politi har installeret programmer, så kan det have haft indflydelse på dansk politis første undersøgelse af Wargs computer, fortæller Flemming Grønnemose.

Dog mener efterforskeren, at en anden dansk test af computeren er uberørt. Her har man nemlig bedt svenskerne om en identisk kopi af det drev, som svenskerne konfiskerede, forklarer han. Indholdet er derefter undersøgt på en anden til formålet indkøbt computer, der har hardware identisk til Wargs computer.

Læs også: Tidslinje over CSC-hackersagen som set hos Version2

Nye programmer brugt til at undersøge computer

Flemming Grønnemose vurderer, at svenskerne har skulle bruge nye programmer for at starte undersøge computeren.

»Jeg ved, at svenskerne har måtte installere VM-tools for at starte computeren op i en virtualiseret tilstand,« fortalte han fra vidnestolen.

Også andre uregelmæssigheder interesserede Luise Høj. Hun slog blandt andet ned på, at programmet Opera optræder i en nyere programliste, men ikke i en tidligere. Dette kunne Flemming
Grønnemose ikke forklare, men han vurderede, at den første liste enten ikke var komplet, eller at der var tale om to forskellige brugerkonti.

Det er stadig it-efterforskerens holdning, at det er yderst usandsynligt, at Wargs computer blev fjernstyret til at hacke CSC, sådan som svenskeren forsvar lyder. For selvom det er teoretisk muligt, har politiets undersøgelser ikke fundet nogen tegn på, at det skulle være sket, berettede Grønnemose.

Forsvarsadvokat Luise Høj understregede dog, at undersøgelserne reelt ikke sagde noget om computerens tilstand i gerningsperioden.

»VI kan ikke sige noget om, hvordan den var konfigureret i gerningsperioden. Kun hvordan den var på undersøgelsestidspunktet,« medgav Flemming Grønnemose.

Udover Gottfrid Svartholm Warg er også danske JT tiltalt i sagen om hacking af CSC’s mainframe. De risikerer op til seks års fængsel, hvis de bliver fundet skyldige.

Version2 er til stede i Retten på Frederiksberg.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Mads Pedersen

Hvis vi nu bare, for eksemplets skyld, bruger Teamviewer som eksempel.

Det er multi-klient, og burde kunne køre alle steder.

Har Teamviewer en log, for adgangen?

(Det hurtige svar er ja, men ikke som standard. Eller rettere, jeg tvivler på loggen burde kunne give beviser, der kan bruges i en retssag.)

Bevisets stilling?

/mads

Erlo Haugen

Når man skal undersøge en PC er det første skridt altid at lave et diskimage, som man derefter arbejder på. Det gør man netop for at undgå at lave ændringer på 'originalen' som kan gøre den ugyldig som bevismateriale.
Jeg forstår ikke at svensk politis efterforskere bare har kunnet få den tanke at 'vi installerer lige det her program' - der er jo tale om bevismateriale som ikke må ændres.

Michael Eriksen

Undskyld, men der ingen grænse for svensk/dansk politis inkompetance? Hvem sætter en computer mistænkt for at være involveret i IT kriminalitet på nettet? Og endda installerer nye programmer!?

Man behøver ikke at svare. Jeg kender svaret.

Rene Andersen

@ Erlo Haugen.

Det er netop hvad Svensk politi gjorde. Lavede et image af disken før de gjorde noget. Ellers ville det være ret let, at få erklæret bevismaterialet ugyldigt.

Citat : "Dog mener efterforskeren, at en anden dansk test af computeren er uberørt. Her har man nemlig bedt svenskerne om en identisk kopi af det drev, som svenskerne konfiskerede, forklarer han. Indholdet er derefter undersøgt på en anden til formålet indkøbt computer, der har hardware identisk til Wargs computer."

Når han siger sådan, må han jo vide at der er testet på et uberørt image og et hvor der er installeret programmer for at tilgå f.eks virtualiseringer. I øvrigt findes der et utal af kriminaltekniske programmer, der kan undersøge et diskimage uden at ændre på en eneste bit. Det er faktisk imponerende (skræmmende) hvad nogle af dem kan finde på din Harddisk.

Knud Jensen

It-efterforskeren kender ikke noget til programmet og vurderer derfor, at det er svensk politi, der har installeret det.

Hvis han ikke tydeligt kan påvise hvem som har installeret det, kan noget som helst andet på den PC så anvendes som beviser?

Michael Weber

»Jeg ved, at svenskerne har måtte installere VM-tools for at starte computeren op i en virtualiseret tilstand,« fortalte han fra vidnestolen.

Lyder som de har benyttet vmware converter til at lave en virtualiseret kopi af OS´et.

Erlo Haugen

@Rene Andersen:
Selv om der er taget en kopi er det i min verden ikke OK at ændre originalmaterialet! Man kunne i stedet lave en ny disk ud fra kopien, og så foretage de ændringer der måtte være nødvendige der - selv om jeg ikke kan se at de skulle være nødvendigt at installere Vmware tools på originalen (man kan jo bare gøre som dansken og boote kopien på en rigtig maskine).
Jeg er udemærket bekendt med nogle af de omtalte programmer til diskanalyse, jeg har selv brugt dem nogle gange ifb. med retssager - og ja, det er utroligt hvad der kan findes på en disk....

Log ind eller Opret konto for at kommentere