Hackersagen dag 8: Svensk it-efterforsker ville ønske dansk politi havde udvist livstegn

Svensk it-efterforsker savnede at høre fra sine danske kolleger tidligere. Der gik over et halvt år før danskerne reagerede på hacker-advarsler fra svensk politi.

Der gik over et halvt år fra, at svensk politi advarede sin danske modpart om et muligt hackerangreb mod CSC, til at dansk politi iværksatte en undersøgelse. Den svenske it-efterforsker Jesper Blomström har i dag i retten givet udtryk for, at han gerne ville have hørt fra sine danske kolleger noget før.

»Jeg ville ønske dansk politi havde udvist livstegn,« sagde han.

Jesper Blomström ville dog ikke fælde nogen dom over dansk politi.

»Der kan være mange årsager til, at man ikke har givet lyd fra sig,« understregede han.

It-efterforsker Jesper Blomström har vidnet i ottendedagen i CSC-hackersagen, hvor svenske Gottfrid Svartholm Warg sammen med danske JT står tiltalt. Blomström var en af tre svenskere, der som de første så på hacker-computeren i Cambodja, hvor Warg blev anholdt for to år siden.

Anholdelsen skete få måneder efter, at man havde afsløret at svenske Logica var blevet hacket. Logica – der nu hedder CGI – varetager mange af de samme opgaver, som CSC gør i Danmark.

Det svenske selskab har en lang række forskellige kunder herunder de svenske skattemyndigheder og indirekte også det svenske rigspoliti. Hacker-opdagelsen udløste en hurtig reaktion fra svenske myndigheder, fortæller Blomström.

»Man kan beskrive situationen som kaotisk på det tidspunkt. Mange politimyndigheder blev involveret hurtigt. Jeg blev en del af den efterforskningsgruppe, som lavede forundersøgelsen i Sverige. Jeg flyttede nærmest ind hos Logica, hvor jeg sad i tre uger og undersøgte tilfældet,« sagde Blomström fra vidnestolen.

»Vi har været i Danmark«

Tydelige spor i form af IP-adresser ledte svensk politi til Cambodja og lejligheden, hvor Warg boede. Men allerede inden anholdelsen af Warg, konfiskerede svensk politi en lang række chatlog-filer hos svenske MG, der senere blev dømt for Logica-hacking sammen med Warg.

I chatten skriver en person, der kalder sig tlt:

»Btw vi har været på tilsvarende i Danmark.«

Den information – og muligvis også anden – leder til, at svensk politi i juni 2012 advarer dansk politi, om mulig hacking af CSC. Advarslen om hacking fra svensk politi gentages flere gange i efteråret 2012. Først i februar 2013 påbegynder politiet i Danmark sin efterforskning – denne gang på baggrund af femte henvendelse fra svensk politi.

Warg har tidligere indrømmet, at han af og til bruger tlt som alias i chat. Han nægter dog, at det skulle være ham i dette tilfælde. Blomström kommer i sin forklaring kort til at sige Anakata - som er Wargs online pseudonym - i stedet for tlt. Det leder til animerede armbevægelser hos den svenske tiltalte, mens han hvisker intenst til sin advokat.

Installerede programmer på hacker-computer for at hjælpe undersøgelsen

Version2 kunne i går berette, at svensk politi har installeret programmer på den ene af to konfiskerede computere, som er blevet brugt til at hacke CSC. Jesper Blomström kunne i dagens afhøring også forklare, hvad der havde fået dem til det.

Læs også: Programmer installeret på hacker-computer efter konfiskering

»De her programmer bruges i vores undersøgelse. Programmet VMtools bruges til at overføre interessante filer til vores egen computer. De har ikke haft indflydelse på vores undersøgelse,« forklarede Blomström ved hjælp af sin danske tolk.

Den svenske it-efterforsker understreger, at svensk politi også har en præcis kopi af harddiskene, som de så ud, da de først kom i deres varetægt. Dansk politi har dog i første omgang undersøgt Wargs computer med svenskernes programmer på. It-efterforsker Flemming Grønnemose vurderede i går, at det kan have haft indflydelse på den specifikke undersøgelse.

Blomström beskrev fra vidnestolen sin specialviden på samme måde som den 21-årige danske tiltalte - websikkerhed og penetrationstest. Den unge danske it-specialist afsluttede dagen med et karakteristisk vink til familie og venner på tilhørerpladserne. Både han og Warg nægter sig skyldige. De risikerer op til seks års fængsel, hvis de bliver dømt.

Version2 er til stede i retten.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Kramshøj Blogger

»De her programmer bruges i vores undersøgelse. Programmet VMtools bruges til at overføre interessante filer til vores egen computer. De har ikke haft indflydelse på vores undersøgelse,« forklarede Blomström ved hjælp af sin danske tolk.

VMware tools er ikke forensic safe, og i andre lande skal man underbygge at man har en komplet uændret kopi. Ej heller VMware converter vil være den rigtige måde. Det ved dansk politi bestemt også som brugere af den slags produkter som Encase m.fl. Hele arbejdsprocessen går ud på at verificere imagefilerne før man arbejder med dem.

Hvis man selv har lyst til at prøve så tag en kopi af en disk, eller bare en af dine USB diske og undersøg med http://sleuthkit.org/

PS jeg håber at vi en dag får de tekniske rapporter at se for de stumper af information vi får tyder på dårligt arbejde - eller med vilje en upræcis forklaring, fordi der mangler konkrete beviser?

  • 20
  • 0
Lars Lundin

Hele arbejdsprocessen går ud på at verificere imagefilerne før man arbejder med dem.

Men er det egentligt tilstrækkeligt at undersøge imagefilerne?

Den sigtedes computer kan jo også køre med modificeret firmware (f.eks. til kontrol af harddisken) - og det kan jo være lavet sådan at de interessante ting på harddisken slet ikke kan ses uden den rettede firmware.

(Hvis sådan et problem findes, så er løsningen naturligvis stadig ikke at efterforskningen arbejder direkte på den sigtedes computer.)

  • 0
  • 0
Poul-Henning Kamp Blogger

»Man kan beskrive situationen som kaotisk på det tidspunkt. Mange politimyndigheder blev involveret hurtigt. Jeg blev en del af den efterforskningsgruppe, som lavede forundersøgelsen i Sverige. Jeg flyttede nærmest ind hos Logica, hvor jeg sad i tre uger og undersøgte tilfældet,« sagde Blomström fra vidnestolen.

Det lyder stort set så forskelligt fra dansk politis tilgang til sagen som det næsten kan være...

  • 16
  • 0
David Konrad

Hvis man selv har lyst til at prøve så tag en kopi af en disk, eller bare en af dine USB diske og undersøg med http://sleuthkit.org/

Jeg har virkelig undret mig over dette. Jeg forstår godt politiet laver en kopi af disken, dvs indholdet, men er det i praksis muligt at lave en "forensic"-kopi, dvs en rigtig 1:1 kopi af en disk, som man kan undersøge som om det var originalen? Kan ikke helt se hvordan det skulle kunne lade sig gøre, men er så heller ikke tekniker/hardware-mand.

  • 0
  • 0
Michael Christensen

Som Henrik Kramshøj nævner, så er der en række værktøjer, der er meget nyttige ifm. forensics - herunder http://sleuthkit.org/, som findes på Backtrack. Ja, som oftest vil du kunne producere en fornuftig kopi, med mindre, at der er ændret i elementer som firmware eller lignende, så du blokeres. Det skal være en del af verifikationen. Jeg kan anbefale at se i Electronic Discovery Reference Model http://www.edrm.net/. EDRM beskriver udmærket processen i forensic.

  • 4
  • 0
Michael Olesen

@David
Tænk på at en harddisk er én lang nummereret liste med 0 og 1-taller (binære værdier), hvor en fil er tilknyttet en mængde numre fra listen (i Master File Table).
Lidt simplificeret: Gemmer du en tekstfil med et 9-tal, bliver det tal konverteret til binær (1 0 0 1), og gemt på 4 individuelle numre i listen.
Klone-programmet læser hele listen med alle værdierne fra disk A og skriver det til disk B. Samme med MFT.
Gi'r det mening?

  • 3
  • 0
David Konrad

@Michael Olesen og @Michael Christensen, tusind tak for forklaringerne! Blev en hel del klogere. Er naturligvis med på 0'er og 1'taller osv :) Jeg tænker blot på f.eks en situation jeg oplevede for mange år siden, hvor en kundes data var udsat for brand. Så blev deres diske sendt til et firma i Norge, der svjh kan redde / genskabe data op til 46 formatteringer efter (og det er ikke billigt). Det kan man da ikke kopiere? Politiet kan kopiere data fra første til sidste bit, men kopien kan da ikke bruges til at efterforske hvad Varg evt lavede før han reinstallerede windows eller formatterede harddisken? Derfor jeg er skeptisk ift en kopi af en disk som "forensic" valid. De kan vel maksimalt kopiere et øjebliksbillede af indholdet, og ikke så meget mere?

  • 1
  • 1
Henrik Kramshøj Blogger

De kan vel maksimalt kopiere et øjebliksbillede af indholdet, og ikke så meget mere?

Jo, og nej - det bliver voldsomt mere kompliceret af mange grunde. Hæng på og vid det heller ikke er hele historien.

Harddiske/SSD er designet til at give dig og dit operativsystem oplevelsen af at data som skrives er det samme du får når du beder om det igen. Så langt så godt, og tidligere var der omtrent en 1 til 1 mellem den logiske blok og den fysiske blok, ~noget kodning af data ned til formatet på disken. En blok på disken kaldes også en sektor, og størrelsen varierer, men er oftest noget 512/1024

Desværre kunne nogle dele af diske opleve fejl, fysiske fejl som gør at du kan skrive til den sektor men ikke læse indholdet. Det er selvfølgelig ikke ok, men hvis man skulle smide hele disken ud ville det hurtigt blive dyrt, specielt tidligere hvor diske var rasende dyre. Derfor begyndte man at implementere lister over bad blocks, se eksempelvis beskrivelsen på https://en.wikipedia.org/wiki/Bad_sector

It is usually detected by a disk utility software such as CHKDSK or SCANDISK on Microsoft systems, or badblocks on Unix-like systems. When found, these programs may mark the sectors unusable (most file systems contain provisions for bad-sector marks) and the operating system skips them in the future.

Sidenhen har man så implementeret dette direkte i controlleren, altså den printplade som sidder på selve disken - ikke den controllerchip der sidder på dit motherboard eller indstikskort. Denne kan altså mappe dårlige sektorer, så dit operativsystem idag tror rent faktisk at alle sektorer altid er fjong, men i praksis er der sektorer som er remappet nedenunder.

Stop, her er så første interessante ting. Hvis nu der er skrevet følsomme data til sektor x og denne remappes, men indholdet aldrig overskrives - kan det så genskabes? Ja, det kan det måske, men vil kræve indgreb i controller der sørger for du kan læse den, eller analyse af den fysiske disk. Derfor får alle mine diske idag et slag med øksen, og grundet materialet som er porøst/glasagtigt smadres det til meget små stykker.

Med SSD sker dette i udstrakt grad og derfor er der mange som har analyseret problemet og af den årsag anbefaler at man krypterer filsystemer INDEN man lægger følsomme data på disken, da det er eneste måde at sikre data ikke findes i klartekst på disken - et eller andet sted. Jeg har ikke været nede og analysere SSD så hardwarenært så jeg ved hvor let man kan genfinde data. Prøv at søge på ssd wear levelling forensics - det gav hurtigt gode artikler om emnet. Et random link var eksempelvis http://www.forensicswiki.org/wiki/Solid_State_Drive_(SSD)_Forensics

Stop, så SSD er både for angriber og forsvar en game changer, som kræver at man ændrer sine procedurer, til slå kryptering til før du lægger data på! Jeg kopierer selv de fleste data væk fra min gamle laptop, og kopierer dem først ind på den nye efter fuld disk kryptering er slået til.

Hvis man så dykker endnu dybere ned, så bliver det ekstremt kompliceret - og man bliver derfor nødt til at lave nogle antagelser. Min formodning er, men skal måske vurderes igen fra tid til anden.

Man antager for det meste at controlleren på disken er OK - dermed kan man finde et forensic kit, med read-only dongles som kobles til disken, software man selv kontrollerer 100% og kopierer disken 1:1 sektor for sektor til en image fil. Den vil være et komplet billede af det som operativsystemet kendte på det tidspunkt. Fordele: relativt billigt, med lidt påpasselighed kan man gøre det selv uden en read-only dongle.

Stop, hvis man IKKE bruger denne metode og derefter låser hardwaren inde så har man potentielt ødelagt data og mistet muligheden for senere at gå dybere - det er utilgiveligt at skrive til originalhardwaren. Hvis man undersøger en server med spejlede diske kan man argumentere for at blot en af hardidskene kan tages ud af produktion og gemmes, YMMV.

Go deeper, der findes eksempler på at malware snyder operativsystemer - driveren er instrueret i at læsning fra sektor X giver noget andet data, som svarer til noget uskyldigt, eller hvis ikke der spørges på sektorer i et bestemt mønster så fås falske data. Dette gøres for at skjule indholdet af disken for forensicsprogrammer og antivirus som søger inde fra OS. Den type root kits er populært nok at den ovenfor angivne metode straks anbefales.

Der er også mulighed for at controlleren på harddisken, altså printpladen på selve disken kan omprogrammeres, så den ville kunne gøre det samme - altså lyve når der over kablet kommer et request på en sektor. Faktisk er den slags controllere på diske så kraftige at man på OHM2013 havde et foredrag om Linux afviklet på sådan en :-D Det er relativt slemt hvis ens diske har et root kit eller bagdør på det niveau.
Fandt lidt billeder på http://hackaday.com/2013/08/02/sprite_tm-ohm2013-talk-hacking-hard-drive... Selve foredraget fra OHM2013 https://program.ohm2013.org/event/67.html der er også optaget video af denne talk

Forestil jer at man sælger jer diske som virker uden problemer, men efter I har installeret Linux, oprettet root, sat super passwords på osv. Så er der en controller som når I læser /etc/passwd filen med passwords så er der en bagdør så hvis man prøver at logge ind med "Shibboleth" så kommer man direkte ind, fordi controlleren kan fake noget data. https://en.wikipedia.org/wiki/Shibboleth

Så ja, emnet er lidt mere komplekst end en Anders Riisager forestiller sig :-D

  • 19
  • 0
Mads Pedersen

Den må jeg vist hellere uddybe. FE virker da umiddelbart mere kompetente, end Politiet.

Er der i Danmark lovgivning, der forhindrer Politiet i at gøre brug af FEs ressourcer? Lægges der ikke op til dette, med terrorlovgivning etc?

Jeg ved det simpelthen ikke, nogen der gør?

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize