Retssag mod NemID hackere kommer endelig for retten

Efter to et halvt år skal tre unge mænd til december dømmes for ’omfattende forstyrrelse af et almindeligt informationssystem’.

I april 2013 var NemID ude af drift i 7 timer. Årsagen var et DDoS angreb udført af tre unge drenge fra Østjylland. De forsøgte sig ligeledes imod DSB og Rejseplanen, som også blev lagt ned i kort tid. Det skriver DR.

En måned senere tilstod drengene i et grundlovsforhør og blev løsladt. Østjyllands Politi kaldte forbrydelsen for alvorlig, og forventede at rejse tiltale i løbet af efteråret. Men der gik yderligere to år før det skete, fordi at sagen ifølge anklager Morten Rasmussen blev nedprioriteret i forhold til vigtigere forhold om bl.a. børneporno.

Læs også: Anholdt om natten for angreb mod NemID: Ustraffede unge indrømmer angreb

Efterforskerne er bl.a. travlt beskæftiget med at tømme mobiltelefoner for indhold fortalte anklager Morten Rasmussen til Ritzau.

»Det er altid beklageligt, når sager bliver gamle - først og fremmest i forhold til de personer, der har været sigtet i lang tid« uddybede han.

Retssagen bliver afgjort lige inden jul.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (27)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 ab ab

Interessant sproglig udvikling, at man nu på it-fagmediet Version2 kan blive betegnet som en hacker, alene fordi man anklages for som teenager at have været i stand til at købe sig til et DDoS-angreb ude i byen for under 100 kr... En mere retvisende betegnelse ville i mine øjne være 'vandal' eller 'hærværksmand':

Her fremgår det også, at DanishLulzTeam har købt en såkaldt booter til blot 10 dollar, der kan orkestrere et DDoS-angreb mod eksempelvis NemID.

http://www.computerworld.dk/art/225885/saadan-blev-nemid-lagt-ned-for-10...

  • 15
  • 0
#2 Kristian Sørensen

Kommer der så også en retssag der afklarer hvordan et så centralt system som nemid kan være lavet så dårligt at det kan lægges ned i syv timer af tre teenagere med et DDoS angreb?

Det er immervæk os allesammen der er påtvunget at være afhængig af nemid, så det virker ubegribeligt der ikke håndhæves højere krav til robusthed.

  • 22
  • 0
#3 Casper Thule Mathiasen

Jeg forstår godt hvor du vil hen af, men jeg forstår ikke dit valg af "kommer der så også". De drenge har MÅSKE gjort noget ulovligt, hvorfor det skal gå til en retssag, uanset om systemet var gået ned eller ej. Hvis det ikke var gået ned, så skulle der måske stadig være en retssag, da det måske var forsøg på "omfattende forstyrrelse af et almindeligt informationssystem".

Jeg mener ikke, at de to ting hænger så fast sammen, at den ene skal udløse det andet. Det skal ikke være straffrit at forsøge at ødelægge ting, selvom de burde kunne holde til det. Og derudover afhænger det vel af, om der er fastsat krav til, hvor meget systemet skal kunne modstå.

  • 3
  • 1
#10 Rasmus Petersen

Det bliver interessant hvordan man tolker det ift. andre lovovertrædelser. Hvis man forestiller sig, at handlingen er analog til at begå indbrud i en bygning, hvor hoveddøren stod pivåbent gennem en længere periode, så kan dommen godt ende i den milde ende. Hvad er der af fortilfælde i de danske retssale?

  • 0
  • 0
#12 Robert Voje

Det er trist at læse om teenagere som dømmes til en tung fængselsstraf for kun at være dumme, men på den anden side, så er det så enkelt i disse dage at købe sig til et DDOS angreb, at der bør være en strafferamme som afskrækker dem fra at gennemføre sådanne stunts.

  • 2
  • 0
#13 Kris Rasmussen

Som en af teenagerne bag dette angreb, er jeg utrolig glad for endelig at kunne få en afslutning på sagen. Det er lang tid siden jeg overbeviste mig selv om at sagen var blevet droppet af politiet, især fordi der absolut intet er at hente fra os, JA de kan give os en kæmpe millionerstatning, JA de kan sætte os bag tremmer hvis det er det de vil - men hvad vil det hjælpe? Jeg er ihvertfald sikker på at uanset hvordan dette ender ud, går det kun udover mig og mine kammeraters fremtidige liv med eks. uendelig mange røde tal, som aldrig nogensinde vil kunne indfries alligevel. Men nu må vi se...

  • 2
  • 2
#15 Jesper Ravn

Som en af teenagerne bag dette angreb, er jeg utrolig glad for endelig at kunne få en afslutning på sagen. Det er lang tid siden jeg overbeviste mig selv om at sagen var blevet droppet af politiet, især fordi der absolut intet er at hente fra os, JA de kan give os en kæmpe millionerstatning, JA de kan sætte os bag tremmer hvis det er det de vil - men hvad vil det hjælpe?

Hej Kris

Kan godt forstå, at du ser frem til en afslutning. Når det så er sagt, så savner jeg en refleksion fra dig i dit indlæg, som viser en form for anger og fortrydelse.

Du skriver, ”hvad vil det hjælpe”. Du har forbrudt dig mod fælleskabets regler, og det har en konsekvens, som du skal være bevidst om og lære af.

Så du kommer for retten for at sikre, at du har forstået begreber som ansvar, skyld og konsekvens samt hvad der er objektivt rigtigt og forkert.

Vi taler ikke om personfarlig kriminalitet eller blokering af 112/114, så set i det lys håber jeg da også, at strafudmålingen tager hensyn til dette.

  • 7
  • 0
#16 Bent Jensen

Man kan vende det om, og takke dem. Tænk hvis det var nogen som have haft råd til mere end 10$, eller have flere og større net stående, og som viste hvad de gjorde.

Hvis du sparker dæk på en formodet kampvogn, og den går i stykker af det, så er det kampvognen og producenten af denne som har problemet.

Skal københavn kommune ikke også i retten, de kom til at sende en besked ud til de fleste af deres borger, om at der var en besked i E-Boks. Det røg Nemid også ned på.

  • 1
  • 2
#18 Bent Jensen

Vil nu mene det er tættere på drengestreger.

Et angreb til 10$ skulle ikke kunne lægge et helt lands informations infrastruktur for borger ned. Man går så lige som i CSC sagen efter budbringeren.

Men de bagved liggende manglende kompetance, sløseri, fejl og mangler samt nemmeste genvej bliver det ikke gjort noget ved.

Hvor er boden til Nemid, der lige som den nu opdaget software ved folkevogn, nok gør at det er mange år til før et stor firma prøver noget ligende igen. Eller placering af ansvar for at denne bod ikke er stor nok, til at det kan betale sig for nemid bare at have en lille smule mere opsyn og backup. Eller ....

Du kan selv forsætte, der findes mange tråde her på V2 :-)

  • 4
  • 2
#19 Jesper Ravn

Vil nu mene det er tættere på drengestreger.

Du blander tingene sammen. Deres handling er strafbar, da det har berørt kritisk infrastruktur. Hvad skal vi sige næste gang det påvirker den landsdækkende 112 service eller energi- og vandforsyning mfl. Du argumenterer ud fra et anarkistisk og følelsesmæssigt synpunkt.

På samme måde er det heller ikke drengestreger, når tosserne fra Modkraft og Reclaim The Streets smadder det indre København for at bevise, at Danmark bliver dikteret af profit og borgerne udnyttes af det kapitalistiske system.

  • 4
  • 4
#20 Bent Jensen

På samme måde er det heller ikke drengestreger, når tosserne fra Modkraft og Reclaim The Streets smadder det indre København for at bevise, at Danmark bliver dikteret af profit og borgerne udnyttes af det kapitalistiske system.

Sympatisere nu med deres holdninger, ikke deres handlinger.

Hvor meget har banker, spekulanter, investeringsfirma, ...

Som med ødelæggelse af det globale lånemarked. Spekulation i fødevare som føre til sult. Mistet opsparing til alderdom i pensionsselskabers Og meget mere ..

Stået til regnskab for ?

Her er der mennesker som er døde, ikke bare sådan gået død fordi man ikke kunne logge ind på nemid i nogen timer. Men rigtigt døde af sult. Det her ER drengestreger, ingen døde ingen såret ingen skadet. Og kunne være udført af en 10 årige som have lånt sin fars kreditkort. Hvis ikke infrastrukturen kan holde til det, så er det infrastrukturen som der er noget galt med. Samt de mennesker som vi sat til at bestyre den.

Når nu hele EL-Nettet bliver lagt ned 5-10 dage, fordi der ikke er taget hånd om sikkerhed, da man jo regner med at sådan en heksejagt man har igang nu, afskrækker Islamisk Stat for at angribe den. Med 3000-4000 tusind døde og et samfund på standby i 1-2 måneder, det er der ikke nødvendig at sikker, de har næsten snart styr på sikkerheden. Samt de ansvarlig vil komme for en dommer, og er dermed afskrækket ?

Det sidste afsnit kunne godt trænge til en omskrivning, :-) Håber i forstår min pointe.

  • 7
  • 2
#21 Jesper Ravn

Sympatisere nu med deres holdninger, ikke deres handlinger.

Personligt mener jeg, at man burde brænde deres organisation ned til grunden og pisse på deres aske. Deres grundholdning med, ”hvad ikke alle kan få, skal ingen have” er i den grad syg. Men jeg indordner mig under demokratiets spilleregler.

Du snakker ud fra devisen målet helliger midlet. Så når du mener at NemID er hullet som en si, så er det ok, at udføre et angreb mod systemet. Og når tosserne er sure på McDonald’s, så skal de også have lov at vise det, ved at smadre det.

Sådan fungerer et retssamfund ikke. Kom nu lige ind i kampen.

  • 3
  • 2
#22 Bent Jensen

"Sådan fungerer et retssamfund ikke. Kom nu lige ind i kampen."

Når bankchefer og Bestyrelsemedlemmer, tager af kassen og betragter fonds og andre folks penge ikke som deres egene, så vil de have passet lidt mere på dem. Men som en tag selv kasse for dem selv og vennerne. Og samfundet ikke gør noget, og ikke kan få dem dømt, blandet andet fordi dem som skulle kontrollere dem, var fuldt vidne om de forhold, og ikke foretog sig noget.

Er det dette retssamfund hvor dem som har penge og magt, bare de har gode nok advokater ikke bliver dømt. Hvor vores nuværende statmister kan bruge ulandsbistand svarende til 2-3 årsindtægter for en bistandsklient på en enkelt rejse. Hvor et firma kan levere et system til SKAT, som betyder at staten går glip af meget store beløb, og stadig få pengene for systemet, og få lov til at levere noget nyt. Samt de ansvarlige stadig sider i stillinger til flere milioner, mens en enkelt eller 2 bliver gået. Med da lige får 2-3 års top løn med.

Er det dette som du beskriver som et retssamfund, hvor bare man har magt og penge så kan man gøre som man vil, på bekostning af alle andre. Eller er du bare så ung at du ikke kan se igennem tingene endnu, det er også en god og helt legal undskyldning, vi har alle været på afveje. Selv Fogh erkender at det måske ikke var en helt velovervejet ide at bombe alt og alle, og tro det er hele løsningen på alt, hvis man bagefter ikke vil blive og rydde helt op, og betale prisen. Der står stadig amerikanske tropper i Tyskland 70 år efter krigen ?

  • 5
  • 2
#23 Mike Mikjær Blogger

Så når du mener at NemID er hullet som en si, så er det ok, at udføre et angreb mod systemet.

Nej det var ikke det han skrev, og det er desuden ikke det der er tilfældet.

Tilfældet er at der sider nogle inkompetente folk og styrer det her NemID ballade ... og de sider på landsdækkende TV med pokerfjæs og påstår at deres systemer er sikre og at de er forberedt på det værste - på trods af at flere eksperter siger det modsatte så er vi ude i en situation hvor jeg et seriøst proof of concept er ved at være eneste måde at råbe de ansvarlige op på.

Som andre nævner ... et lands infrastruktur skal ikke gå ned fordi 3 møgunger keder sig en eftermiddag og bruger 10$ på et ddos angreb.

Når det så er sagt, så vil jeg på det kraftigste understrege at det ikke er et forsvar for deres handling ... de bør efter min mening dømmes til 4 års samfundstjeneste, hvoraf de sidste 3 år gøres betingede imod at de tilgengæld tager en uddannelse, evt. indenfor IT Sikkerhed.

Men med den generelle inkompetence der hærger her i landet skal vi nok ikke regne med andet end at de får en bøde på et par millioner som de sammen kan afdrage på resten af livet. Fordi alle erfaringer siger jo at bundløs gæld er den helt rigtige måde at resocialisere kriminelle på ... eller noget.

  • 6
  • 0
#24 Povl H. Pedersen

Det offentlige forsøger stadigvæk at være som i "gamle" dage. Nemlig væsentligt mere inkompetente end man kunne forvente i det private.

Nu er DDoS beskyttelse ikke noget man laver in-house, og ikke noget NemID burde skulle bekymre sig om. Staten burde have med i ramme-aftalen, at offentlige web-løsninger altid skulle være beskyttet mod DDoS, og at DDoS beskyttelse som minimum skulle kunne være etableret med GeoIP filtrering indenfor x minutter.

Eller der kunne stilles krav om UDP filtrering ved ISP'en perimeter. Så er de fleste DDoS også væk. Men der er ingen ISP i Danmark der vil levere en ren TCP linie i dag. (Jeg kører UDP herunder DNS via mine andre links).

  • 0
  • 0
#25 Kris Rasmussen

Nu er jeg selv igang med en uddannelse, dog ikke indenfor IT faget da jeg har droppet alle udsigter om nogensinde at få et job indenfor dette område efter denne sag. Og jeg ved at mine medgerningsmænd også er igang med højere uddannelse, en af dem netop indenfor IT faget, men det mener jeg nu ikke skal betyde noget for straffens udmåling. Min mening til det her, er som det hele tiden har været at dette var et forsøg på at råbe den danske regering op, og vise at der var nogle seriøse problemer med disse systemer, som i sidste ende kunne havde endt rigtig galt for både Danid, men også alle de services og offentlige instanser som er afhængige af deres håbløse system. Det er ikke et forsøg på at forsvare mig selv, eller de andre som har dummet sig i denne sag, men derimod et forsøg på at få jer andre til at tænke over hvor galt det egentlig kunne have gået, hvis et stort russisk hackerteam havde set sig sur på det danske system, og rykket NemID offline i hvad... en uge? To uger? Tænk over det, og forestil jer hvordan danmark havde set ud, hvis ingen kunne tilgå Netbank, Borger.dk, Oddset-sider, Skat.dk i TO UGER? Feel the chaos.

  • 0
  • 0
#27 Frithiof Andreas Jensen

Tænk over det, og forestil jer hvordan danmark havde set ud, hvis ingen kunne tilgå Netbank, Borger.dk, Oddset-sider, Skat.dk i TO UGER? Feel the chaos

Og Hvad Så? "Digitaliseringen" er ikke "vores" projekt. Vi spilder ganske enkelt vores tid på at diskutere det fordi "systemet" allerede har besluttet at den vej de nu engang har valgt er den eneste rigtige og problemet blot er at få "kommunikeret" dette.

Blev noget ändret efter CSC-sagen? Näh, hvorfor dog det? "Hackerne" blev spjäldet og så er der jo ikke noget problem längere! Det samme med jer!! Kursen er sat, resultatet er helt ligegyldigt.

  • 1
  • 0
Log ind eller Opret konto for at kommentere