#møgsag/2

Jeg er lige kommet hjem fra København hvor jeg deltog i en optagelse til "Aflyttet" der sendes engang i weekenden (kan høres allerede nu på nettet.)

Takket være DSB's togkompetencer (begge fortegn) havde jeg ikke mulighed for at lave meget andet end at læse den udskrift af retsbogen som Anders venligt fotokopierede til mig.

(Opdatering: Hele kendelsen kan læses på domstol.dk)

Vi kan herefter konkludere at live-tweeting eller live-blogging fra en retssal ikke giver et fyldestgørende billede af hvad der foregår, men det forventede vi nok heller ikke.

Efter at have læst kendelsen fra retsbogen kommer Warg stadig ikke med til min fødselsdag, men jeg er stadig dybt utilfreds med sagen.

Lad mig tage det sidste først.

Retten

"Vi lægger til grund, at tiltalte Warg besidder indgående kendskab til mainframes og styresystemet z/OS. Vi finder det herefter usandsynligt, at andre personer end tiltalte Warg skulle have betjent hans computere i forbindelse med hackningen af CSC."

Det er omvendt logik der vil noget!

Det svarer nogenlunde til: "Vi lægger til grund at tiltalte er FCK fan og finder det herefter usandsynligt at der var andre FCK fans i hans nærhed."

En anden detalje som jeg tvivler på retten har gennemtænkt er denne lille bid:

"Da han må have været fuldt ud bekendt med disse brugerkonti og deres funktion."

Implicit i den sætning er at ejeren (eller sysadm?) har ansvaret for (holde sig underettet om) hvad der foregår på en computer.

Det er for det første ikke noget dansk ret udtaler sig om.

(Ved sysadm på KU.dk ved alle deres brugere laver på computerne ? Har de pligt til at vide det ? Får de løn og resourcer nok til at løfte opgaven ?)

Men langt mere skummelt er at retten udtaler sig om et ansvar der påhviler en mand der sidder i Cambodia og om et ansvars- eller pligtforhold der i givet fald skulle afgøres efter Cambodiansk lov og ret.

Siden hvornår er den danske lovs arm blevet så lang ?

Helt galt går det dog når det kommer til behandling af begrebet hærværk.

"[...oprettelse af bagdøre...]. Dette medførte, at beskyttelsen af de stærkt personfølsomme oplysninger blev beskadiget, således at enhver med kendskab til disse bagdøre ville kunne få uberettiget adgang til oplysningerne. [...] udført hærværk i betydeligt omfang, [...]"

Med mit ringe kendskab til psykologien hos it-kriminelle, så er det generelt således at de bagdøre de opretter er bedre beskyttet end de huller de kom ind igennem.

Faktisk ses det ofte at de "lukker hullet efter sig" således at ingen andre kan komme ind.

Takket være CSC sikkerhedsmæssige inkompetence og politiets mangelfulde efterforskning ved vi reelt ikke om disse bagdøre udgjorde en forbedring eller forværring af sikkerheden på CSCs mainframe og at kalde oprettelsen af en fil og to linier i en konfigurationsfil for "hærværk i betydeligt omfang" har derfor ingen gang på jord.

Ligeledes fortolker retten den dømte danskers forsøg på at logge ind d. 13/14 feb 2012 som "forsøg på at skaffe sig uberettiget adgang til de offentlige it-registre"

Burde det ikke nedtones til "...adgang til CSCs mainframe." ? Intet sted står der noget om hans hensigter, skulle han være heldig at slippe igennem, eller for dens sags skyld om de par konti han prøvede overhovedet havde adgang til nogen offentlige it-registre. (Hans evner til at gennemføre eskalation af rettigheder er heller ikke nævnt, tværtimod faktisk.)

Omvendt konkluderer retten at §193 ikke blev overtrådt, fordi CSC's oppetid ikke blev berørt, tilsyneladende uden at tage stilling til om data på mainframen var blevet modificeret af den/de personer der brød ind.

Så nej, jeg er ikke ret imponeret af dommen som juridisk håndværk beset, men der er omvendt ikke tale om "justitsmord" eller noget der ligner.

Warg

Hans forsvar har hele vejen igennem baseret sig på "plausible deniability", men enten er han et inkompetent fjols, eller også antager han, som mange andre selvfede og selvovervurderende "hackere", at alle andre mennesker er laverestående idioter.

Hvis man f.eks laver en krypteret partition på sin maskine, som man efterfølgende vil kunne afsværge ethvert kendskab til, skal man ikke gemme sine officielle forretningspapirer i den.

At have genveje til partitionen fra desktoppen er heller ikke nærheden af bestå multiple-choice testen bag i "operational security for dummies".

Endelig er det nok ikke smart at efterlade logfiler der viser at der er blevet søgt efter ens mellemnavn, fødselsdag og CPR nummer i data man agter at nægte ethvert kendskab til.

Og det faktum at politiet i det hele taget kunne forcere den krypterede partition placerer ham i klassen "krypto-neandertal", på det punkt har den dømte dansker tydeligvis bedre greb om basal kryptografi.

Endelig og muligvis vigtigst: Hvis man skal skyde skylden på andre ukendte personer, er det en stor fordel at kunne eftervise existensen og spor af sådanne i et eller andet omfang, ikke bare at de teoretisk set kunne existere.

Warg har tilsyneladende ikke fremvist et eneste stykke evidens på det punkt.

Så på basis af det der står i kendelsen kan jeg godt forstå at dommere og nævninge valgte ikke at tro på hans forklaring om fjernstyring af computeren og da det til fulde er fastslået at hans computer blev brugt til at bryde ind hos CSC, hvilket han ikke har bevivlet, bliver han dømt skyldig.

Kendelsen er ikke bevismaterialet, den omtaler blot de dele af bevismaterialet som retten hæftede sig ved og lagde vægt på. Om de har ret vil jeg derfor ikke vurdere, men kendelsen dokumentere at de mener at de gjorde det på et rationelt bevist grundlag.

CSC - sagens virkelige tabere

At CSC i årevis ikke aner at der er indbrud, eller som retten skriver det: "Udover download af RACF-databasen den 10 april 2012, skete der blandt andet download af større mængder data fra CSC's mainframe alle dagene den 11-16 apr. 2012, 21-22 apr 2012, den 16-17 juni 2012, [...laaaaang liste...]", burde selvfølgelig få Datatilsynet til at gennemføre en fogedforretning om øjeblikkeligt stop af al databehandling af personfølsomme oplysninger.

Men det mest pinlige for CSC er næsten at sagen stort set kun er oplyst af hvad man har fundet på Wargs computer, og slet ikke af hvad undersøgelsen af CSCs mainframe kunne bidrage med.

Havde det ikke været fordi Svensk Politi havde fået kløerne i Warg til at begynde med, ville vi idag ikke have anet at der var indbrud hos CSC, ej heller at eller hvilke filer der var blevet kopieret.

Hvis nogen herefterdags har brug for at kalibrere lavmålet af kompetence og ansvarlighed for behandling af persondataoplysninger, er Retortvej 8 i Valby et rigtig godt sted at gå hen.

En kontrol af kalibreringen kan foretages hos Rigspolitiets persondataansvarlige.

Dommenes længde

Taget i betragtning hvor mange kedsomme teenagere i verden der havde adgang til det samme uden nogen konsekvenser overhovedet, har jeg svært ved at taksere den dømte danskes loginforsøg til seks måneders fængsel, specielt ikke når man ser hvad man ellers får seks måneder for. Omvendt har han tydeligvis fingrene ude efter kagedåsen. Jeg ville sige 30 dages samfundstjeneste med at afholde IT-sikkerhedskurser for politikere.

Under antagelse af at Warg er skyldig, finder jeg 3.5 år uproportionalt for en outsiders angreb, ikke mindst taget i betragtning at bankfolk kun får 3 måneder for insider kursfusk.

Det er og bliver en møgsag.

phk

Kommentarer (58)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jens Jönsson

Hvor sørgeligt det end er, så har du så inderligt ret.
Jeg håber at sagen ankes og at der kommer væsentligt flere fakta på bordet. F.eks, at Warg indser at hans attitude har været en hæmsko og sikkert direkte årsag til dommens udfald.
Omvendt, hvis f.eks. Warg ikke anker, så er det påfaldende pga. hans attitude, som du også omtaler at han "sandsynligvis" er skyldig.

Poul-Henning Kamp Blogger

F.eks, at Warg indser at hans attitude har været en hæmsko og sikkert direkte årsag til dommens udfald.

Jeg er 100% græsk/katolsk for Wargs attitude, det det handler om for mig er at vi skal være en retsstat -- også selvom det er Rigspolitiet og deres IT-leverandør der har dummet sig.

Mig bekendt har Wargs advokat sagt der bliver anket.

Jesper Lund

Endelig og muligvis vigtigst: Hvis man skal skyde skylden på andre ukendte personer, er det en stor fordel at kunne eftervise existensen og spor af sådanne i et eller andet omfang, ikke bare at de teoretisk set kunne existere.

Warg har tilsyneladende ikke fremvist et eneste stykke evidens på det punkt.

Så på basis af det der står i kendelsen kan jeg godt forstå at dommere og nævninge valgte ikke at tro på hans forklaring om fjernstyring af computeren og da det til fulde er fastslået at hans computer blev brugt til at bryde ind hos CSC, hvilket han ikke har bevivlet, bliver han dømt skyldig.

Jeg forstår ikke helt det argument. Det er anklagemyndighedens opgave at føre bevis for at Anakata (som person) har begået den pågældende forbrydelse. Staten kan ikke bare anklage dig for en forbrydelse, og hvis du nægter, forlange at du opklarer forbrydelsen for staten og finder de virkelig skyldige.

Der kan være 117 gode grunde til at Anakata ikke aner hvem der har brugt eller misbrugt hans lab computer. For eksempel ganske almindelig sjusk med den personlige IT-sikkerhed. Retten er meget hurtig til at afvise at Anakata ikke har brugt en virusinficerede lab computer, der trods at det var en laptop i praksis fungerede som stationær server, som sin primære computer (jeg tænker på den HP computer som omtales i dommen, og som ifølge Anakata er forsvundet i Cambodja).

CSC har åbenbart haft FTP servere, der var tilgængelige fra hele internettet. Hvis man skal være rigtig flink ved CSC, kan man kalde det sjusk (man kunne også kalde det noget andet).

Dansk politi og CSC kunne have begrænset angrebet, hvis de ellers havde gidet læse de henvendelser som de fik fra svensk politi om at der muligvis kunne være noget galt.

Ingen hos CSC er tiltalt for denne sjusk (og kan sikkert ikke tiltales for denne sjusk), men Anakata skal drages til ansvar for at han har sjusket med sikkerheden på sin lab computer, eller bevidst stillet den til rådighed for andres eksperimenter? Det er ikke unormalt at stille din computer til rådighed for andre, herunder folk du ikke kender. Tor exit nodes, eksempelvis.

Angrebet er kommet fra, eller har været i forbindelse med, Anakatas lab computer. Det er klart at det gør ham til en mulig gerningsmand, og at det er et indicium for skyld. Men der er andre muligheder, og dem har politiet i den grad forsømt at efterforske.

For anklageren gælder et krav om objektivitet, men hvordan skal det fungere i praksis, når en af anklagerne åbent udtaler at han (eller hun?) ikke fatter en bjælde af IT, og i øvrigt beviser dette udover enhver tvivl ved de spørgsmål som anklageren stiller i retten?

For mig at se har anklageren og politiet med deres totale inkompetence, og indspisthed med databehandleren CSC (som Rigspolitiet som dataansvarlig var forpligtet til at føre tilsyn med, hvilker de groft har forsømt), spoleret denne sag i en sådan grad at det er umuligt at fælde dom over hvem der har gjort hvad.

Endelig viser det sig ved domsafsigelsen at anklageren ikke på noget tidspunkt har været i nærheden af at bevise en sammenhæng mellem den unge danskers andel i sagen, og det som er foregået fra Cambodja via Anakata's computer. Der er lidt sniksnak på IRC og et par FTP logins som mislykkes, men selve hackerangrebet sker på en helt anden måde.

Nu er det rigtigt gode spørgsmål hvorfor den unge dansker skulle sidde varetægtsfængslet i 17 måneder, og ikke mindst hvorfor dommeren har godkendt dette?

Poul-Henning Kamp Blogger

Jeg forstår ikke helt det argument. Det er anklagemyndighedens opgave at føre bevis for at Anakata (som person) har begået den pågældende forbrydelse. Staten kan ikke bare anklage dig for en forbrydelse, og hvis du nægter, forlange at du opklarer forbrydelsen for staten og finder de virkelig skyldige.

Det er meget tydeligt af kendelsen at det ikke er det der har foregået.

Den kopi jeg har er ret dårlig og overkradset med diverse notater og jeg ved slet ikke om jeg må scanne den og lægge den online, men det ville være godt udskriften af retsbogen blev offentligt tilgænglig, den giver et meget mere detaljeret syn på dommen end det der har været rapporteret i medier/blogs/twitter.

Som jeg læser det, har Warg ikke kunnet/ville føre et eneste stykke evidens for at hans computer faktisk var fjernstyret, men alene påstået at det var en mulighed der ikke kunne udelukkes.

Ligesom med et alibi, er det hans problem at (sandsynligheds-)bevise hans teori.

Jesper Lund

Som jeg læser det, har Warg ikke kunnet/ville føre et eneste stykke evidens for at hans computer faktisk var fjernstyret, men alene påstået at det var en mulighed der ikke kunne udelukkes.

Det var formentlig samme situation i Nordea-delen af den svenske sag, hvor han blev frikendt ved appelretten? Som jeg har forstået den svenske sag, var der i Logica-delen af sagen andre beviser end blot sporene tilbage til hans computer for at Anakata stod bag angrebet.

Jesper Lund
Jens Jönsson
Thomas Hansen

Under "Dommenes længde" argumentere du netop for at straffen skal være
lang.

I retsfilosofi tænkes en "dom/straf" også som et mål til at
forebygge kriminalitet af samme art. Det er nok det budskab man
ville sende.

Retspraksis/retsstat

Dansk retspraksis bygger på at man forventer at en person kan
tænke selv, i modsætning til Amerikansk retspraksis.

Amerikansk retspraksis:
Du tører en kat i en mikrobølgeovn.
Domstol: Det er producentens skyld

Dansk retspraksis.
Du tører en kat i en mikrobølgeovn.
Domstol: DU ER EN IDIOT

Så hvad er en retsstat?? Get the point

Poul-Henning Kamp Blogger

Mener du at dette resumé fra Retten på Frederiksberg

Glimrende! det er samme tekst jeg har. Har indført link i blogindlægget, mange tak!

Wargs eneste forsvar har tilsyneladende været "min computer var/kunne have været fjernstyret".

I modsætning hertil er der en hel del ting der peger på ham og forringer troværdigheden af hans udsagn, f.eks forretningsoplysninger i den kryptede partition han påstår ikke at vide noget om osv.

Fjernstyringen er hans alibi og det er hans og hans forsvarers opgave at sandsynliggøre eller endnu bedre: bevise dette alibi, om nødvendigt med bistand af politiet (telefon-logs, udskrift af registre osv.)

Både det svenske politi, der i modsætning til det danske ikke havde en hest i løbet, og det danske CSIS har ikke fundet nogen tegn på fjernstyring af den beslaglagte computer.

Warg kunne have sagt "kig i denne eller hisset fil", "se hvordan computeren blev brugt mens jeg sad i møde" eller noget andet hvis han mente at de havde overset noget, men det har han ikke gjort.

Han kunne også have ført et vidne der sagde "Jeg har brugt Wargs computer til ...", eller bare berettet om de problemer det har givet ham at computeren var hacket af andre.

Jeg kan ikke se nogen omtale, noget sted, hverken i den løbende dækning eller i kendelsen, af at han har bidraget med andet og mere end "den kunne have været fjernstyret."*

Det overbeviste ikke retten om at den faktisk var fjernstyret og dermed sidder Warg i fælden.

Og det har jeg egentlig ikke noget problem med.

Som jeg skrev tidligere: Det er ikke et "I anledning af Dronningens fødselsdag ..." kort at slå sin antivirus fra.

Poul-Henning Kamp Blogger

Dansk retspraksis bygger på at man forventer at en person kan
tænke selv, i modsætning til Amerikansk retspraksis.

Sorry, men den tegneserieversion har intet med virkeligheden at gøre...

Den store forskel er at det efter engelsk retstradition er "må den bedste advokat vinde" mens det efter den franske, som vi bruger, handler om at afdække sandheden.

Begge systemer lider af skavanker: Den engelske korrumperes let af penge (f.eks O.J.Simpson), den franske lider ofte af indspisthed og bon-kammerateri.

Jesper Lund

Dansk retspraksis bygger på at man forventer at en person kan
tænke selv, i modsætning til Amerikansk retspraksis.

Det må så være ret selektivt at man i Danmark skal "tænke selv" for at undgå straf.

En idiot hos CSC lækker 900000 CPR numre (Robinsonlisten), og en idiot hos CPR-kontoret publicerer listen på internettet uden at checke om der er CPR numre med. Ingen straf. En endnu større idiot hos CSC har godkendt at denne liste må produceres med et database udtræk, hvor der er risiko for at CPR nummeret kommer med som følge af manuelle fejl (eller nogen i den stil, måske copy-paste i Excel?). Heller ingen straf.

Jeg synes bestemt at hacking skal være ulovligt, og at det skal straffes hvis man kan bevise hvem der har gjort det. Altså "hvem" som i en person, ikke en computer.

Men jeg ser ingen grund til at kaste retsstatens normale principper over bord for at kunne smide nogle flere i fængsel.

Hackertruslen er alvorlig, meget alvorlig, og den truer vores samfund. Men det eneste som hjælper er at sikre systemerne mod indtrængen, som det første, og dernæst indrette systemerne med privacy og security by design for øje, således at konsekvenserne af et hackerangreb (og de vil komme igen og igen) bliver mindre end hvad vi ser i dag. Det duer simpelthen ikke med store centrale databaser, hvor vores CPR nummer er primær nøgle til alt (altså den model som al offentligt IT er indrettet efter).

Der er intet som tyder på at straf afholder nogen fra at hacke, specielt ikke når politi og anklager bare kaster sig over den første den bedste som indicierne peger på.

Derudover, og hvad der er mere vigtigt her, nogle hackerangreb bliver udført af folk som vi ikke kan retsforfølge, for eksempel statslige aktører.

Det meget alvorlige hackerangreb på Belgacom er rimeligt godt belyst i Snowden afsløringerne. Vi ved reelt hvem de skyldige er (GCHQ og NSA), men de bliver ikke retsforfulgt. Sådan gør man ikke i de kredse. Too big to jail!

CSC og Rigspolitiet er ikke uskyldige ofre i denne sag. De har udvist en uansvarligt omgang med persondata (CSC), og for Rigspolitiets vedkomnende et uansvarligt tilsyn (ikke-eksisterende) med den databehandler som Rigspolitiet har valgt.

Jesper Lund

Som jeg skrev tidligere: Det er ikke et "I anledning af Dronningens fødselsdag ..." kort at slå sin antivirus fra.

Nu er du godt i gang med at etablere et objektivt ansvar for de internet-forbundne dimser som vi ejer. De kan hackes og misbruges. Og nogle gange lader du bevidst andre, ukendte personer bruge dem.

Hvis du kører en Tor exit node, vil IP-"beviserne" pege mod dig i første omgang. Hvordan skal du sandsynliggøre at det ikke var dig? Husk at du i nogle situationer kan være oppe mod politi og anklager, som ikke forstår særligt meget om IT, men måske er du så uheldig at de har set sig sure på dig. Måske kom du til at fornærme nogle af magthaverne ved en tidligere lejlighed.

Skal kravene til din bevisførelse for din uskyld være større, hvis du ikke har valgt at følge det officielle IT-Danmarks råd om at installere anti-virus, helst en af de dyre købe-versioner. Nej, det synes jeg ikke. Heller ikke hvis sælgerne af antivirus kunne dokumentere en effekt (hvad de mig bekendt ikke kan).

Og selvfølgelig skal folk kunne køre alle de Tor exit nodes som de har lyst til.

Men som tingene er lige nu i Danmark tør jeg ikke selv køre en Tor exit node, og jeg vil heller ikke anbefale andre at gøre det. Og det er trist.

Folk som Troels Ørting og Peter Kruse drømmer om at kunne kontrollere al trafik på internettet, og eliminere muligheden for anonym kommunikation. En dom som denne er desværre vand på deres mølle.

Men heldigvis er der andre lande, hvor retssikkerheden fungerer bedre på IT-området, og så må de nødvendige Tor exit nodes køres derfra, og vi må nasse på dem fra Danmark.

Poul-Henning Kamp Blogger

PHK. Men du passende undgår mit spørgsmål: Hvad er en retsstat??

En retsstat er en stat der har et (vel)fungerende retssystem, længere er den ikke.

Danmark svigter på et antal mindre punkter, herunder ikke mindst hvor lang tid det tager at komme foran en dommer og hvad det koster, ikke mindst for vinderen, men overordnet set har vi en retsstat.

Det største problem i denne sag er at politiet har en hest med i løbet: Det var deres registre.

Det er også dybt problematisk at undersøgelsen af CSC ikke kan bruges til noget, men som det fremgår af kendelsen er Warg stort set alene dømt for hvad man har fundet på hans egen computer, de beviser som måtte være ført for på basis af undersøgelsen af mainframen er næsten ikke nævnt.

Men som jeg læser kendelsen er ingen af disse problemer tilnærmelsesvist i nærheden af at kunne påvirke udfaldet væsentligt.

Hvis registrene havde ligget til anon-ftp, havde Warg ikke gjort noget ulovligt, men det gjorde de ikke: Der var lås på døren og derfor er det indbrud -- uanset at låsen var gammel og rusten og at ingen holdt øje med den eller ladeporten.

At der mangler et (rets)opgør for denne lemfældige omgang med persondata, imod Rigspolitiets persondataansvarlige og imod CSC, har intet med denne sag at gøre, hvor frustrerende det end måtte være, for alle er lige for loven.

Personligt mener jeg det nødvendige opgør hører til i stemmeboksen frem for byretten:

IT-sikkerhedsproblemets starter på Slotsholmen, og man vasker altid trapper ovenfra.

Jesper Lund

Har det været ved en domsstol?

Nej, ingen har begået noget strafbart (det var min pointe med "selektivt"),

Hvis du er flyveleder eller lokofører må du hver dag leve med risikoen for at din uagtsomhed udløser en straffesag. Men her taler vi om folk på gulvet.

Hvis du derimod er tilpas højt placeret i det offentlige system, f.eks. dem som har valgt CSC som databehandler for Rigspolitiet, er det værste som kan ske at du mister lidt af din bonus fra resultatkontrakten, og hvis det er virkelig galt bliver du forflyttet til et andet arbejde, hvor du ikke skal lave noget særligt, men naturligvis oppebærer din fulde løn frem til pensionsalderen. Sådan nogle stillinger plejer at hedde noget med "kommitteret for XYZ".

Poul-Henning Kamp Blogger

Nu er du godt i gang med at etablere et objektivt ansvar [...]

Igen: En masse gode pointer, men ikke noget denne møgsag kan bruges til at forbedre.

Fat det nu Jesper: Den primære grund til at jeg kalder den en møgsag er at vi er enige om rigtig meget af det du skriver, men sagen kan ikke bruges til at fremme en god forandring.

Det eneste denne her møgsag kan gøre, er eftertrykkeligt at tilbagevise alle de nyreaganistiske floskler om at udlicitering af kristisk infrastruktur "altid er bedre og billigere."

At nyreaganisterne ikke mener fakta har nogen særposition i politik gør det dog dét til en pyrrhussejer.

Jesper Lund

Hvis registrene havde ligget til anon-ftp, havde Warg ikke gjort noget ulovligt, men det gjorde de ikke: Der var lås på døren og derfor er det indbrud -- uanset at låsen var gammel og rusten og at ingen holdt øje med den eller ladeporten.

Den analogi kommer du ikke langt med. Jeg mener ikke at anon-FTP er en invitation til at logge på og forsyne sig. I Valus sagen blev folk dømt for at indsætte noget i en URL og klikke på et link.

I øvrigt er der vel reelt ikke nogen større sikkerhedsmæssig forskel mellem anon-FTP og password på FTP.

Når vi overhovedet skal diskutere FTP i denne sag, er det efter min mening en meget stor del af problemet med det offentlige IT-Danmark.

Hvis man er så uheldig at have noget legacy mainframe l*rt med FTP, bør man undre sig over at der pludselig kommer 515 forsøg på login fra en tysk IP adresse.

Poul-Henning Kamp Blogger

Når vi overhovedet skal diskutere FTP i denne sag, er det efter min mening en meget stor del af problemet med det offentlige IT-Danmark.

Straffeloven gør det ulovligt at tilgå IT-systemer uden tilladelse -- uden at skelne imellem BSC, LU6.2, UUCP, FTP eller SCP, så det er ikke væsentligt i denne sag.

Men i den manglende sag er det et kernepunkt at der blev brugt FTP og at er ikke blev holdt øje med noget og at politiet ikke reagerede og ...

Jesper Lund

Men er du klar til at vi indfører produktansvar på programmer og objektivt ansvar for programmører ?

Nej, jeg synes ikke at det er samme situation (i øvrigt er jeg heller ikke fan af at lunten er så kort for lokoførere og flyveledere, men det er en anden diskussion, som snarere hører til på ing.dk).

En lokofører eller en flyveleder står overfor et begrænset (som i "endeligt" eller i hvert "matematisk tælleligt") antal situationer, som de forventes at kunne overskue.

Alle programmører laver fejl i software, men de kan ikke på samme måde overskue konsekvenserne af deres fejl, blandt andet fordi fejl og konsekvenser af fejl ved software ofte optræder i interaktion med anden software, skrevet af andre programmører. Skal vi så have solidarisk ansvar mellem to programmører (ala mellem to hærværksmænd der hærger i fællesskab), som ikke kender hinanden, og som kun kommer i kontakt med hinanden fordi en person/virksomhed somewhere installerer begge software komponenter på en speciel hardware arkitektur som udløser denne fejl under ganske bestemte omstændigheder?

Det synes jeg er en dårlig ide. Og jeg ønsker slet ikke at den danske IT-anklagemyndighed skal (kunne) føre disse sager.

Højeste "straf" her må være en fyreseddel for inkompetence.

Hvis du begynder at indføre fængselsstraf for programmeringsfejl, risikerer du blot at folk dækker over deres fejl, med det resultat at "vi" (som i samfundet) ikke lærer af vores fejl.

Vi skal snarere fremme en kultur, hvor det er acceptabelt at begå fejl og stå frem og indrømme det, således at andre kan lære af det. Og således at fejlene kan blive rettet alle steder.

Jesper Lund

Straffeloven gør det ulovligt at tilgå IT-systemer uden tilladelse -- uden at skelne imellem BSC, LU6.2, UUCP, FTP eller SCP, så det er ikke væsentligt i denne sag.

Det er vi enige om, men jeg mener ikke at anon-FTP i sig selv er udtryk for en tilladelse til at bevæge sig inden for, medmindre du bliver mødt af en login-velkomst som direkte siger at du gerne må.

Det er næsten 20 år siden at jeg har brugt en FTP klient mod en anon-FTP server, men dengang, hvor alle var venlige mod hinanden på internettet, var der (som jeg husker det) typisk en besked om at du gerne måtte fortsætte, og være så venlig at bruge din email adresse som enten userid eller password.

Thomas Hansen

Tror budskabet fra PHK i dette blogindlæg er mere "lemfældige omgang med persondata" fra CSC siden end den retssag som er aktuel pt.

Så lad os have fokus på PROBLEMET med CSC's "lemfældige omgang med persondata" fremfor om domstolen har gjort det rigtige. Eller om Danmark er en retsstat osv.

Jesper Lund

Fat det nu Jesper: Den primære grund til at jeg kalder den en møgsag er at vi er enige om rigtig meget af det du skriver, men sagen kan ikke bruges til at fremme en god forandring.

Vi er helt enige om at denne sag ikke kan bruges til at fremme en god forandring. Men min bekymring er meget dybere end det.

Worst-case er at den hårde dom stopper, eller bidrager til at stoppe, den semi-positive udvikling som måske er i gang med Retsudvalgets høringer. Måske vil det offentlige IT-Danmark (for eksempel dem som har valgt CSC) og dele af det politiske liv nu ånde lettet op og sige at systemet virker, og at de hårde straffe nok skal afskrække nogen fra at hacke os igen. Udvisning af Danmark for bestandig, så kan de lære det, whoever they are!

En frifindelse på grund af manglende beviser ville derimod have understreget over for det offentlige IT-Danmark at eneste vej frem er bedre fysisk/teknisk sikring mod uautoriseret indtrængen i kombination med indbygget damage control når systemerne hackes.

Poul-Henning Kamp Blogger

En frifindelse på grund af manglende beviser [...]

Men det lader ikke til at der mangler beviser, til trods for alle problemerne: Wargs computer leverer den til overflod, fordi han snarrere end "superhacker" er en it-sikkerheds-klodsmajor.

.. og derfor er dette ikke det pædagogiske værktøj du leder efter.

Warg skal have sin dag i retten, fri for politisk bagage også fri fra vores politiske bagage.

Casper Børgesen

Jeg har ikke lyst til at afgøre om Warg er skyldig eller ej, men jeg har det svært med at beviserne er ting der ligger som filer på en computer. På baggrund af de forskellige cyberangreb der rapporteres om rundt omkring i verden, og det formodentlig høje faglige niveau blandt nogle af disse hackere, vil jeg næsten tro, at alt kan lade sig gøre på en computer. Ikke at det dermed er et argument for at hacke nogen og slippe for straf, men jeg mener at vi på computeren befinder os i en verden, hvor en blomst virkelig kan laves til en hvid due uden magi. Et virtuelt mordvåben kan fjernes eller kopieres/flyttes til et passende uskyldigt offers IT-medie uden at efterlade spor - hvis blot du er dygtig nok.

Jeg tror slet ikke at vores retssystem og da slet ikke politiet er indrettet til at arbejde i denne virtuelle verden. Jeg kan sagtens forestille mig, at jeg nemt kunne gøres til syndebuk for et angreb, selvom mine hacker evner begrænses til at bruge putty til at forbinde til mine RPi'er.

Jeg synes principielt at diskussionen i diverse tråde går lidt for meget udenom hvordan vi i fremtiden kan sikre os, at en fil eller indholdet af samme, virkeligt er det som anklageren påstår det er.

David Konrad

Så i fremtiden, bare der er et træ med æbler, og en dygtig dreng der kan klatre i træer, så vil enhver kunne få den dygtige dreng dømt, hvis de tror eller mistænker at nogle har stjålet et par æbler. Men vel at mærke først efter æblesæsonen er slut, bliver gjort opmærksom på, at de måske havde fået stjålet æbler, af naboen.

Kjeld Flarup Christensen

Men det lader ikke til at der mangler beviser, til trods for alle problemerne: Wargs computer leverer den til overflod, fordi han snarrere end "superhacker" er en it-sikkerheds-klodsmajor.

Jeg kunne egentligt tænke mig at vide hvordan den sag skulle have været skåret? Når jeg læser dommen er der masser af beviser og indicier til at bakke dem op.

Hvordan ville du PHK have skåret denne sag, hvis du havde haft det utaknemmelige job som anklager.

Det er uhyre svært at dømme hackere som trænger ind i IT systemer udefra, specielt fordi man nærmest per definition aldrig kan tage dem på fersk gerning, men netop må stykke et kompliceret puslespil af indicier og få beviser sammen.

Men langt mere skummelt er at retten udtaler sig om et ansvar der påhviler en mand der sidder i Cambodia og om et ansvars- eller pligtforhold der i givet fald skulle afgøres efter Cambodiansk lov og ret.

Siden hvornår er den danske lovs arm blevet så lang ?

At det så lykkedes denne gang, tror jeg udelukkende skyldes at Warg troede sig sikker ved at befinde sig i Cambodia. Det åbenbarer jo også et andet problem med IT kriminalitet at den er grænseoverskridende. Hvis ikke den danske lovs arm er lang nok til at nå hele verden, så er det endnu mere op ad bakke.

Derfor er det et rimeligt princip at man i Danmark kan dømme en hacker for angreb på en dansk computer, uanset hvor i hele verden hackeren har befundet sig.

Faktisk ville jeg gå et skridt videre og ikke blot sige at computeren skal stå i Danmark. Blot de data der stjæles er danske, bør vi kunne køre en dansk retssag, med henvisning til at flere og flere data risikerer at ryge ud af Danmark, på udenlandske oftest amerikansk ejede servere.

Og for at gøre princippet helt færdigt, så siger du jo med din argumentation, at udenlandske efteretningstjenesters (NSA) agenter ikke skal kunne retsforfølges blot de sidder i deres hjemland.

Poul-Henning Kamp Blogger

Derfor er det et rimeligt princip at man i Danmark kan dømme en hacker for angreb på en dansk computer, uanset hvor i hele verden hackeren har befundet sig.

Korrekt, men man kan ikke extrapolere en computerejers ansvar og pligter efter dansk lov på ham, hvis han befinder sig i udlandet.

Det ville svare til at en gemen tyv der på dansk foranledning blev anholdt på en knallert i New Delhi blev beskyldt for ikke at have ansvarsforsikring på knallerten.

Henrik Kramshøj Blogger

Det er uhyre svært at dømme hackere som trænger ind i IT systemer udefra, specielt fordi man nærmest per definition aldrig kan tage dem på fersk gerning, men netop må stykke et kompliceret puslespil af indicier og få beviser sammen.

Altså først og fremmest er IT-beviserne jo flygtige, i højere eller mindre grad. Derfor er det ekstremt vigtigt at man selv opdager det i tid, hvad CSC ikke gjorde, og politi så hellere ikke reagerede på. Vi snakker om +6 mdr, som for mig er tæt på, fuck vi mistede chancen for nogensinde at forfølge den sag.

Derefter skal man overdrage "råmaterialet" i logfilerne i en rå form som politi kan efterforske, netop for at undgå at man bygger hele sin sag på enkelte spor der peger i en bestemt retning, det er HELT sikkert ikke sket i denne sag. Det ligner at man har indstillet næsten al anden efterforskning der kunne implicere andre end Warg.

Når man så bygger en sag vil det være relevant at sammenstille data from kommer fra flere kilder hvis bevis A, B og C som kommer fra forskellige aktører, og ikke kun offer! Så er der måske noget om det.

Vi har en dansker som reelt er erklæret skyldig ud fra en tilfældig chatlog fundet på en narkomans computer fra Cambodja ... det runger voldsomt i mit hovede når jeg bare skriver det. Lad mig straks sige at hvis DET er kriteriet for at dømme folk, så er jeg MEGET glad for at min log er slået fra i IRC.

Hvis folk har lyst, så prøv at joine nogle hackerkanaler på IRC og hyggesnak lidt. Der bliver sagt en masse pral, som ikke har bund i virkeligheden - hack the world! Peace out.

Jesper Lund

Vi har en dansker som reelt er erklæret skyldig ud fra en tilfældig chatlog fundet på en narkomans computer fra Cambodja ... det runger voldsomt i mit hovede når jeg bare skriver det. Lad mig straks sige at hvis DET er kriteriet for at dømme folk, så er jeg MEGET glad for at min log er slået fra i IRC.

Men andre kan logge og ændre dit nick til "My Evil Cousin", eller whatever.

Chatloggen, som blev brugt mod danskeren, var også modificeret og ingen kunne garantere dens autencitet.

Men, som jeg har forstået det, fortalte danskeren retten at han havde hyggesnakket med en for ham ukendt person om hvordan man hacker en mailframe, og han havde "videregivet" nogle frit tilgængelige FTP brugernavne (fra en Google søgning eller lignende), som af andre blev brugt til login forsøg, der mislykkedes. Ingen sammenhæng med det egentlige hackerangreb.

Men det er åbenbart nok til 6 måneders fængsel (og endnu mere grotesk, 17-18 måneders varetægtsfængsel for ??).

Poul-Henning Kamp Blogger

Mener du fordi en handlingen er begået fra udlandet, så kan man ikke bruge det i en dansk retssag?? Selvom "forbrydelsen" er sket mod/på dansk jord.

Nej, handlingen på dansk jord er underlagt dansk lov.

Men retten kan ikke stille nogen krav eller gøre antagelser om hvorledes computere administreres eller hvilke ejer/admin ansvar der måtte findes for en udlændings computer i ulandet på den måde de gør (se blogindlægget, evt. anden link til hele kendelsen.)

Jesper Lund

eg kunne egentligt tænke mig at vide hvordan den sag skulle have været skåret? Når jeg læser dommen er der masser af beviser og indicier til at bakke dem op.

Du ser en masse beviser som peger på Wargs computer, og et antal indicier for at det skulle være ham der er gerningsmanden.

Men det kan lige så godt skyldes at politiet konsekvent har nægtet at efterforske andre muligheder end Warg, fordi de på et meget tidligt tidspunkt afviste at fjernstyring af computeren skulle være teknisk muligt. På dette punkt har politi og især anklagemyndigheden groft forsømt den objektivitetsforpligtelse som de har.

Når anklageren direkte udtaler at han (eller hun?) ikke forstår IT, og til fulde demonstrerer dette ved de spørgsmål som han stiller i retten, kan man også stille spørgsmålstegn ved om anklageren har de kompetencer som er nødvendige for at opfylde objektivitetsforpligtelsen? Men inkompetence er ingen undskyldning her. Så må anklagemyndigheden finde en anden mand m/k, der forstår IT, når det nu er IT som sagen handler om.

Derudover har politiet og anklagemyndigheden ladet CSC stå for dele af efterforskningen, hvilket er fuldstændigt vanvittigt eftersom CSC har klare interesser i at dække over deres egne fejl, og CSC ønsker sagen afsluttet så hurtigt som muligt. Alle beviser, som på denne måde er komtamineret af CSC, burde være blankt afvist af retten.

Jeg aner ikke om Warg er skyldig eller ej, men han har ikke fået en fair retssag af det danske samfund.

For danskerens vedkommende er sagen endnu mere absurd. Hvordan kan man varetægtsfængsle en mand i 17-18 måneder (med besøgskontrol!) for nærmest ingenting? Hvis du læser dommen er der ingen sammenhæng mellem det som danskeren har "medvirket" til, og det angreb som rent faktisk blev udført mod CSC et par måneder senere.

Det burde have stået klart for anklageren og dommeren, som har godkendt disse varetægtsfængslinger. Men det gik først op for dem torsdag 31. oktober at varetægtsfængslingen havde været for langvarig.

Jesper Lund

Korrekt, men man kan ikke extrapolere en computerejers ansvar og pligter efter dansk lov på ham, hvis han befinder sig i udlandet.

Hvilke ansvar og pligter har en computerejer efter dansk lov?

I civile sager om ulovlig fildeling skal sagsøger bevise HVEM (som i "person") der har gjort det. At komme rendende med nogle screendumps der viser at en bestemt IP adresse har deltaget i fildeling er ikke nok. Dette "bevis" kan pege i 117 retninger, herunder alle dem som kan have brugt computere bag denne IP adresse (åbne WiFi, ufrivillig deltagelse i botnets, etc). Det følger af to landsretsdomme fra 2008. Her taler vi endda om screendumps, hvis autenticitet kan verificeres ved at indkalde en person for retten, som under vidneansvar forklarer hvordan dette screendump er lavet, og at der ikke er manipuleret med det.

Men i en straffesag om flere års fængsel, hvor bevisbyrden må formodes at være højere end i civile retssager som "bare" handler om penge/erstatning, er det åbenbart tilstrækkeligt at komme med beviser på screendump niveau? Endda beviser hvis autenticitet ikke kan verificeres.

Logfilerne hos CSC er formentlig autentiske (det er bare umuligt at vurdere når CSC ikke har udleveret råfiler til politiets uafhængige efterforskning), men alt materiale fra Wargs computer kan være manipuleret af andre. Alligevel lægger dommen til grund at bestemte filer strammer fra Wargs øvrige aktiviteter, og at de har et bestemt timestamp, samme dag som den krypterede container er oprettet. Alt dette er stærkt kontaminerede beviser (filerne kan være placeret der af andre end Warg, og timestamps kan ændres), hvis de ikke understøttes af andre ting.

Poul-Henning Kamp Blogger

Men det kan lige så godt skyldes at politiet konsekvent har nægtet at efterforske andre muligheder end Warg

Rolig nu.

Der er nogle ting der peger meget tydeligt på at Warg lyver.

F.eks at de finder hans forretningskorrepondance inde i en krypteret partition han påstår ikke at kende til.

Ja, nogen kunne have plantet dem der for at skyde skylden på ham, men der er en meget mere nærliggende forklaring som langt bedre lever op til occams ragekniv.

Kjeld Flarup Christensen

Uanset hvad dansk lov måtte mene om computerejerens eller systemadminstratorens rettigheder og pligter, så kommer det aldrig til at gælde for en udlændings computer i udlandet.


Hvilke pligter mener dansk lov da at stille til en computerejer???
Det er hverken ulovlig at undlade at installere antivirus eller at blive hacket.

Det vi taler om her er at man bruger en computer i udlandet til at foretage en handling i Danmark, som er strafbar.

Mener du i ramme alvor at hvis Islamisk stat laver en lov som siger at det ikke er ulovligt at sende brevbomber, så kan man ikke komme efter en terrorist som har sendt en brevbombe til Danmark, fordi hans handling er lovlig i det land han befandt sig i.

Thomas Hansen

Generelle bemærkninger

CSC's mainframe, som handlingerne har været rettet imod, befinder sig i Danmark. Da handlingernes strafbarhed påvirkes af, hvilke virkninger der indtræder eller tilsigtes at indtræde på CSC's mainframe, kan handlingerne straffes her i landet, uanset om de måtte være foretaget uden for Danmark eller gennem servere, der befandt sig uden for Danmark, jf. straffelovens § 9, stk. 2.

Palle Sørensen

Da sagen kørte i retten mener jeg at have læst noget om den ene i chatten nævner noget om at hans tastatur har problemer med visse taster og disse taster passer fysisk til ødelagte taster på det tastatur der blev beslaglagt sammen med Wags pc, som jo blev brugt til indbruddet. Synes ikke jeg har hørt videre om emnet - er det mig der har drømt om det tastatur?

Peter Stricker

noget om at hans tastatur har problemer med visse taster


Var det ikke snarere en tastaturdriver der, randomiseret og ændret fra gang til gang, ændrede layout af tastaturet og viste, hvilken tast man skulle trykke på for at indtaste et bestemt bogstav.

Jeg kan ikke huske, om det blev oplyst, hvilket produkt, der blev brugt af Warg, men det kunne være noget i stil med Neo's SafeKeys:
http://www.aplin.com.au/

Palle Due Larsen

Palle har ret (jeg elsker de ord):

https://sites.google.com/site/thepiratebay1org/site-map

14:32 Anklageren sandsynliggør at Gottfrids chatnavn, blandt andre, har været tLt, ved hjælp af en chat mellem ham en og anden part, hvor tLt brokker sig over ødelagte taster. Pil ned og o-knappen skulle være ødelagt til stor gene.

Anklageren viser samtidigt et billede af Gottfrids beslaglagte computer, hvor de samme taster mangler på hans tastatur.

Mads Madsen

"Da han må have været fuldt ud bekendt med disse brugerkonti og deres funktion."

Implicit i den sætning er at ejeren (eller sysadm?) har ansvaret for (holde sig underettet om) hvad der foregår på en computer.

Det er for det første ikke noget dansk ret udtaler sig om.

Ikke kun det, faktisk er sætningen lang værre end som så, da retten ikke slår fast, om den anser det for bevist, at brugerkontiene er fiktive, eller om brugerne er ægte men at Warg er ansvarlig, fordi han måtte være fuldt ud bekendt med brugerkontienes funktion men undlod at gribe ind.

Det er påfaldende, at retten ikke vil ligge sig fast på, om brugerkontiene er fiktive, dvs. at Warg har opfundet dem selv som dække, eller om han er ansvarlig, fordi han måtte have været fuldt ud bekendt med hvad andre brugere har foretaget sig.

I 1. tilfælde er han fuld af løgn, og brugerne er fiktive, men i 2. tilfælde, er brugerne ægte, og han er kun ansvarlig hvis det kan bevises, at han har været vidende om de andre brugeres handlinger men har undladt at gribe ind.

Problemet med sætningen er, at den ikke forholder sig til, om de øvrige brugerkonti er ægte.

Det svarer til en hypotetisk situation, hvor der står en computer, og personerne A, B og C har deres egne brugerkonti og der på skrivebordet ligger børneporno.

Det kunstgreb retten her foretager svarer til at sige, at fordi A er ejer eller administrator af computeren, er han også fuldt ud bekendt med børnepornoen på skrivebordet, fordi han er bekendt med brugerne B's og C's funktion.

Ud over at det kan være svært for A at bevise, at han ikke var bekendt med hvad andre brugere har foretaget sig, er påstanden om at en brugerkonti har en funktion, som administrator/ejer må have været fuldt ud bekendt med også sort snak.

En brugerkontis funktion er at give en begrænset adgang, men begrænset adgang er jo lig med kendskabet til at en anden person har adgang -- hverken mere eller mindre.

Selv hvis man fortolker sætningen snævert, og der ikke stilles krav til skærpet opsyn, begår retten den fodfejl at fortolke kendskab til andres adgang som kendskab til de filer andre har skrevet til computeren.

Retten gør sig ikke den umage at udtale sig om de øvrige brugerkonti er fiktive, men forbigår spørgsmålet ved at anføre - helt uden skyggen af bevis at Warg må have været bekendt med deres funktion.

Og selv hvis ejeren kunne navngive de øvrige brugere på computeren, hvilket der heller ikke er lovkrav om, ville han stadig ifølge retten kende til de øvrige brugerkontis funktion - så spørgsmålet er om han stadig ville være ansvarlig.

Sætningen er det rene skjusk og er mere foruroligende for administratorer af flerbrugermiljøer end resten af dommen, der ikke behøver få vidtrækkende konsekvenser for folk der bare nægter politiet adgang ved at kryptere alt.

(Ved sysadm på KU.dk ved alle deres brugere laver på computerne ? Har de pligt til at vide det ?

Står det i KU.DK's brugerbetingelser, at sysadm har lov til at snage i alle brugernes filer?

Hvis det ikke fremgår klart, har man et dilemma, da Straffelovens regler om fredskrænkelser og indgreb i meddelelseshemmeligheden også beskytter brugerne af et computersystem.

Det bedste argument imod at pålægge en administrator af et flerbrugersystem eller netværk ansvar for hvad brugerne lagrer af filer, og hvilke tunler de laver ud på nettet er, at administratoren ikke som udgangspunkt må snage i hvad andre foretager sig.

Reglen gælder også for medlemmer af en husstand, hvis en mand og kone deler en computer, og den ene snager i den andens email, eller sætter en packet sniffer op og forsøger at opsnappe den andens trafik.

Rent logisk giver det ingen mening, hvis jeg i forhold til loven skal behandles som straffeansvarlig, fordi jeg må have været fuldt ud bekendt med hvad en bruger har foretaget sig, men at jeg kan straffes for at overtræde en anden lov, fordi jeg har rodet i en brugers data.

Christian Nobel

"Da han må have været fuldt ud bekendt med disse brugerkonti og deres funktion."

Hvis samme logik skulle følges fsva. CSC, så burde CSC's systemansvarlige vel også være fuldt bekendt med alle brugerkonti og deres funktion - det lader så absolut ikke til at være tilfældet.

Og hvad nu hvis en rigtig ond hacker et eller andet sted i verden har misbrugt CSC som proxy?

Kevin Johansen

Der er godt nok mange kommentarer om hvad der burde og skulle og ville osv.
Men ikke en eneste har tænkt sig at handle?
Med et valg indenfor et års tid, er det vel nærliggende at netop de personer, der mener at have kompetencer til at vurdere mangler ved datahåndtering/"systemet" (set ud fra et data-perspektiv) gør de mindre kompetente opmærksomme på emnet?
Det er vældig fedt at Version2 kan samle en små 100 entutiaster, men det er ligegyldigt medmindre 1) nogen her kan direkte påvirke ministre/dep. chefer/kontorchefer eller 2) nogen kan få startet en "kampagne" / stemning i den brede presse.

Jeg synes ærlig talt, PHK, at dine artikler er spildt kun værende her...

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize