En chat-log mellem de to aliasser My Evil Twin og Advanced Persistent Terrorist Thread er et centralt bevis i sagen om hacking af CSC’s mainframe. Den danske tiltalte JT har erkendt at være den ene halvdel af samtalen. I loggen deler JT oplysninger om brugernavne til CSC’s systemer.
JT har tidligere forklaret, at alle oplysningerne han deler, er nogen han har fundet frit tilgængeligt på nettet. Men det var CSC’s Martin Gobs dog ikke enig i, da han i dag vidnede i Retten på Frederiksberg.
I chatten deles tre brugeroplysninger. Den første af disse havde ligget på CSC’s egen hjemmeside, erkendte Gobs, der er chef i CSC’s sikkerheds-strikforce i Europa.
»Det har desværre været en del af en dokumentation for, hvordan man logger på systemet. Den lå på Infotorv, som er en ressource til CSC-kunder,« fortalte Gobs.
De øvrige oplysninger fra chatten var dog ikke offentligt tilgængelige, mente Gobs. Det drejede sig blandt andet om en passage, der ligner en FTP-serverlog, som rummer et brugernavn og et kodeord.
Internetarkiv afslører sikkerhedssjusk
Lidt internetsnilde fra JT’s forsvarsadvokat Michael Juul Eriksen kunne dog dokumentere, at man sagtens kunne komme hæderligt til oplysningerne.
På siden SDN.dk, som CSC beskriver som selskabets center for datakommunikation, viste Michael Juul Eriksen, at en side krævede password. Men ved at bruge internetarkivet Waybackmachine.com, der gemmer, hvordan millioner af hjemmesider har set ud, viste advokaten SDN.dk anno 2012. Og på det tidspunkt krævede siden med de omdiskuterede brugeroplysninger intet kodeord.
»Er det noget, I har lavet om efter den her sag,« spurgte Michael Juul Eriksen, hvilket blev bekræftet af Gobs.
»Er vi enige om, at det er offentligt tilgængeligt,« sagde advokaten med et smil.
»Ja,« medgav Gobs.
Martin Gobs bedyrede desuden, at log ind overhovedet ikke er blevet anvendt i hacking af CSC’s mainframe. I stedet har hackeren gjort brug af to sårbarheder i den IBM-producerede mainframe. Den bemærkning taler til fordel for danske JT, som i chatten ikke diskuterer de anvendte sikkerhedshuller.
Center for Cybersikkerhed: Usandsynligt, at Wargs computer blev styret af Python-script
I dagens retmøde har også Thomas Krismar fra Center for Cybersikkerhed indtaget vidnestolen. Han forklarede, hvorfor myndigheden ikke mener, at Wargs computer har været fjernstyret ved hjælp af et Python-script. Python-scriptet er blevet fremhævet af it-ekspert Jacob Appelbaum som et eksempel på, hvordan fjernstyring kunne finde sted.
Men ifølge Thomas Krismar er det ikke en sandsynlig mulighed af en række årsager. Dels brugte Wargs computer en dynamisk IP-adresse, som skulle have gjort fjernstyring sværere. Og dels er scriptet ikke lavet til at starte op, når computeren starter. Wargs computer var indstillet til at gå i dvale efter 30 minutter.
Thomas Krismars forklaring fik flere gange Warg til at gestikulere og hviske intenst til sin forsvarsadvokat Luise Høj, tydeligvis frustreret over vidnets fremlægning.
Tidligere i retssagen har Jakob Appelbaum kritiseret Center for Cybersikkerheds rapport for at være vildledende.
»Man ville ikke acceptere en biologisk rapport, som er helt forkert. Eller hvis man kom med et DNA-spor og påstod, at det matchede den tiltalte, hvis det i virkeligheden ikke gjorde,« sagde it-eksperten efter at have afgivet sit vidneudsagn tidligere på måneden.
Retssagen mod Warg og JT fortsætter i morgen. De risikerer begge op til seks års fængsel, hvis de findes skyldige.
Version2 er til stede i retten.
Leave a Reply