Den ene grundlagde som 17-årig netpiraternes flagskib, The Pirate Bay. Den anden er selvlært sikkerhedsekspert og lavede it-konsulentarbejde for internationale virksomheder, inden han fyldte 20.
Nu står svenske Gottfrid Svartholm Warg og danske JT sammen anklaget for hacking af CSC’s mainframe i 2012. Mainframen indeholdt blandt andet Schengen-registret over eftersøgte på tværs af lande og politiets kørekortregister. Den sidste måneds tid har anklagemyndigheden fremlagt og dokumenteret den samlede bevismængde i den teknisk komplicerede sag.
Version2 giver her et overblik over de centrale beviser, som skal lede til en fængselsdom af den 29-årige svensker og den 21-årige dansker, hvis retten lytter til de to anklageres opfordring.
Anklager: Fjernstyringsforklaring er utroværdig
Langt det meste af materialet kommer fra Wargs to computere, der blev konfiskeret fra den cambodjanske lejlighed, hvor svenskeren i 2012 blev anholdt. Det faktum, at de to computere – en stationær og en Macbook – blev anvendt til at hacke CSC, er der ingen, der bestrider.
Men Warg nægter at stå bag hackerangrebet. I stedet mener han, at computeren blev fjerntyret i gerningsperioden. En forklaring, som anklagemyndigheden i sin afsluttende bemærkning kaldte for meget usandsynlig.
Læs også: Hackersagen dag 12 – Anklager: Warg har kagekrummer om munden, ned af tøjet og op ad armene
Det var muligheden for fjernstyring, der var med til at frikende Warg for hacking af Nordea i en svensk appelsag. Det kunne for eksempel være sket med et af flere stykker malware, som blev fundet på computeren, og som netop har til formål at give andre adgang til den inficerede maskine.
Men alle politiets test har ikke fundet tegn, der understøtter forklaringen om fjernstyring, lød det fra anklageren i tirsdags. I stedet kaldte anklager Maria Cingari forklaringen for »utroværdig«, fordi Warg ikke har forklaret, præcis hvordan fjernstyringen skulle være foregået, eller har villet sætte navn på, hvem der skulle have gjort det.
Forsvarets vidner har i flere omgange betvivlet tilstrækkeligheden af politiets undersøgelser.
Hackede filer på Wargs computer
Dele af de to konfiskerede computere er stadig utilgængelige for ordensmagten. På linje med JT’s computer har computeren, der har været brugt til hackerangrebet, krypterede partitoner og krypterede filer, som stadig er ulæselige. Men svensk politi har fået åbnet computerens krypterede container.
Den krypterede container rummer over 200.000 filer fordelt i 40.000 mapper. Heriblandt er også gemte chatlogs, der indeholder over 300.000 linjers chat. I en mappe kaldet ’CPR’ fandt man filer fra CSC og fra svenske Logica, som Warg er dømt for at have hacket. CSC-filerne er i flere tilfælde lig de filer, som man ved blev kopieret ud af mainframen under hackerangrebet i 2012. De indeholdte blandt andet navne, adresser og cpr-numre på tusindvis af danskere samt Racf-databasen, som rummer tusinder af brugeroplysninger til CSC.
Warg har nægtet kendskab til den krypterede container. Men det har sagens anklager forsøgt at vise er usandsynligt. Tidsstempler fra computeren viser, at den krypterede container blev installeret kort tid efter Windows, hvilket ifølge anklageren antyder, at det er computerens ejer – Warg – der har gjort begge dele. Forsvarsadvokat Luise Høj har som modsvar fremhævet, at en kendt fejl ved computeren gør tidsstemplerne usikre.
En enkelt fil blandt de 200.000 i den krypterede container kan uafviseligt knyttes til svenskeren. Det er en faktura på 700 dollars for noget programmeringsarbejde, Warg har udført for svenske Mysec.
På Wargs computer er der yderligere fundet et script, som angiveligt er det, der er blevet anvendt til at udnytte mainframe-sårbarheden, der gav gerningsmanden ubegrænsede brugerrettigheder.
Chatsamtaler peger mod ’zero day’-sårbarhed
I de enorme mængder chat, som lå logget på gerningscomputeren, har anklager fremhævet forskellige samtaler, hvor Warg kunne indgå. En kommando til den anvendte chatserver har vist, at den forbinder navnet Anakata – der er Wargs webpseudonym – med chatnavnene ‘tlt’, ‘tlt-’, ‘tlt_’, ‘ripley’ og ‘kuntface’. Forskellige bidder af samtalerne antyder, at Warg står bag dele af chatten, mener anklager.
»Er der mange onde hackere der,« bliver der spurgt i en chat, hvortil brugeren ‘TLT’ svarer:
»I cambo? Nej, ingen. Én, hvis man tæller mig.«
En tlt- skriver i en samtale, at der mangler taster på hans keyboard, på samme måde som der gjorde på Wargs beslaglagte Macbook. Der nævnes også specifikke taster, som svarer til de manglende på hackercomputeren.
Andre bidder binder chataktiviteten sammen med det danske hackerangreb.
En ‘tlt’ skriver i en chat om hacking af Logica, at han har været på det modsvarende i Danmark. Logicas modsvar i Danmark kan kun være CSC, lød det fra anklageren.
I en anden chat skriver brugeren ‘Kuntface’ om en sårbarhed i z/OS, der er styresystemet i CSC’s hackede mainframe.
»Damn it’s one of the best bugs ever,« skriver personen.
Også i chatten mellem JT og personen, der fremstår som ‘My Evil Twin’, nævner personen, der i anklagerens øjne er Warg, at han arbejder på ’zero day’-sårbarheder.
Warg har erkendt, at han sommetider bruger ‘tlt’ som chatnavn, men også, at han kun er en af mange, der bruger det. ‘Tlt’ står for The Lattice Team, der skulle være et cambodjansk-baseret netværk af hackere.
Sammenfald mellem hacking af CSC og hacking af Logica
Warg blev sammen med svenske MG sidste år dømt for hacking af svenske Logica og frikendt for hacking af Nordea. Anklagerne har fremhævet, at der i Logica-sagen blev anvendt en fremgangsmåde, der ligner den fra hackerangrebet mod CSC. Gennem sårbarheder i systemet fik hackerne eskaleret deres brugerrettigheder og kopierede filer fra mainframen til webserverens offentlige mappe.
En tysk server blev i begge hackerangreb anvendt til at hente filerne. Den tyske servers IP-adresse er også dukket op i chatten mellem ‘My Evil Twin’ og JT.
Læs også: Tysk IP-adresse binder hackersag sammen
Endelig har politiet fundet PuTTY-logs på computeren. PuTTY er en SSH-clent, der som standard logger alle kommandoer, der sendes gennem den. Loggen viser, at hackercomputeren har forsøgt at logge ind på CSC’s FTP-server samtidig med, at den har været inde at kopiere filer ud af Logica, der nu hedder CGI.
Dansker havde manual til at hacke mainframe
Beviserne mod danske JT er mindre omfattende end mod Warg. Selvom JT af anklageren ikke betragtes som hovedskurken, er han mindst lige så skyldig, lød det i anklagerens procedure. Han har nemlig både opfordret, vejledt og bistået i forsøget på at hacke CSC, mener anklagemyndigheden.
I chatten mellem JT og ‘My Evil Twin’ skriver JT et sted »Go-go-go«. Det opfattes af anklageren i sammenhængen som tilskynding til hacking. Dertil kommer, at JT i chatten deler domæner og brugeroplysninger, som senere bliver forsøgt anvendt til at trænge ind i CSC’s FTP-server.
Anklageren understregede desuden, at det er underordnet, at oplysningerne var offentligt tilgængelige, sådan som JT’s forsvarsadvokat har bevist i retten. Hensigten med at bruge dem var nemlig hacking, fastslog anklageren.
Læs også: Hackersagen dag 9: Forsvarer beviser, at CSC-brugeroplysninger stadig er tilgængelige online
På danskerens computer, der stadig er delvist krypteret, har politiet fundet forskellige filer, som anklager har fremhævet i retten. Det er for eksempel billeder af Warg og af demonstrationer. Og en manual til at bryde ind i mainframesystemet z/OS.
Endelig har anklageren fremhævet, at JT i Cambodja besøgte Wargs erklærede ven, svenskeren Niklas Femerstrand. Rejsen fandt sted i februar og marts 2012, og det betyder, at JT befandt sig i samme by som Warg, mens hackercomputeren halvtreds gange uden held forsøgte at logge på CSC’s FTP-server.
Sagen mod Warg og JT er gået ind i sin afgørende fase og fortsætter fredag med forsvarets præsentation af sagen. Der forventes at falde dom den 31. oktober.
Version2 er til stede i retten.
Leave a Reply