Ingen mistænkeligt netværksaktivitet. Sådan sluttede dansk politi sin ”online” undersøgelse af computeren, hvorfra hacking af CSC fandt sted. Sagens svenske tiltalte, Gottfrid Svartholm Warg, har erklæret, at hackercomputeren tilhører ham, men at den blev fjernstyret til at udføre hackerangrebet. Men uden usædvanlig netværksaktivitet fra computeren, mener politiet ikke at den forklaring holder vand.
Men den undersøgelsen er ikke retvisende, mener it-eksperten Lars Ole Petersen, der i dagens retsmøde vidnede på vegne af forsvaret. Sammen med danske JT er Warg tiltalt for at have hacket CSC’s mainframe i 2012.
Vidnet kritiserede, hvordan politiet har undersøgt om Wargs computer forsøger at oprette forbindelse til internettet. Det har man ifølge politiets rapport gjort i et ’internetlignende netværk’. Hvad det betyder, er uvist, forklarede Lars Ole Petersen.
»Der er ikke nogen definition på et ’internetlignende netværk’, og rapporten giver ingen forklaring. Det virker utrolig dårligt i forhold til at undersøgelsens konklusioner, at det ikke er dokumenteret,« sagde Petersen, der arbejder som sikkerhedschef i en større kommunikationsvirksomhed.
Han konkluderer selv, at der er flere ting, der kan muliggøre fjernstyring af hackercomputeren.
Online undersøgelse var muligvis ikke online
Det ‘internetlignende netværk’ lader ikke til at være reel internet tilslutning, vurderer Lars Ole Petersen i en rapport, som han har lavet om politiets undersøgelser. Politiet har i undersøgelsen af
netværksaktiviteten anvendt open source-programmet WireShark. Men ifølge ekspertvidnet har undersøgelsen kun givet en brøkdel af den datamængde, som den burde have gjort.
I en lignende undersøgelse på sin egen computer genererede Lars Ole Petersen på et kvarter godt fire megabyte data. Det svarer til en tredjedel af den mængde data, politiet loggede på 48 timer.
»Hvad fortæller det dig,« spurgte Wargs forsvarsadvokat Luise Høj.
»At computeren ikke har haft adgang til internettet,« svarede vidnet, der selv har en baggrund som it-efterforsker hos politiet.
Og det er problematisk, mener han.
»Man kan ikke undersøge noget, hvis det ikke er samme miljø og ikke har samme muligheder. Det svarer til at tage en panda fra Kina og låse den inde i en zoologisk have og sige, man vil betragte den i sit naturlige miljø,« forklarede Lars Ole Petersen til retten og de godt 15 tilhørende.
Mistænkelig vira ikke undersøgt
En virusskanning af Wargs computer viste over 500 trusler. Politiet har ifølge Luise Høj forklaret, at de ikke har ressourcer til at undersøge alle 500. Men nogle af dem er meget relevante, fortæller Lars Ole Petersen fra vidnestolen.
I en gennemgang har eksperten fundet seks alvorlige stykker malware. Heriblandt en såkaldt Agent-BIX og win32/bafruz.b. De to kan ifølge Symantecs definitioner begge give en tredjepart adgang til computeren.
Agent-BIX blev desuden fundet installeret på computerens administrator-bruger.
»Hvad betyder det for computeren,« ville Luise Høj vide.
»Den virus kan stjæle passwords og stjæle skærmbilleder. Og den kan også installere programmer,« lød det fra Lars Ole Petersen.
Han kritiserer politiet for det første for først at foretage en virusskanning på forsvarets opfordring. Det burde have været standard procedure, mener han. Endvidere kan han ikke forstå, hvorfor politiet efterfølgende ikke reagere på de mange virafund.
»Man skal lave en undersøgelse af, hvilke services der er blevet inficeret. Det er ikke blevet gjort,« sagde Petersen.
Gottfrid Svartholm Warg og JT risikerer op til seks års fængsel, hvis de findes skyldige.
Version2 er til stede i Retten på Frederiksberg.
Leave a Reply