En potentielt set fjernstyret computer, en krypteret container med filer fra CSC, en log af mistænkelige IP-adresser og omkring 300.000 linjers chat. Al dokumentation er på bordet, og CSC-hackersagen går ind i sin afgørende fase. Kun et vidne er tilbage, før både forsvarer og anklager skal præsentere hver sit argument for eller imod dommen skyldig.
Det er svenske Gottfrid Svartholm Warg og danske JT, der sammen står tiltalt for at være brudt ind i CSC’s mainframe og tiltusket sig personlige oplysninger i spandevis. De risikerer op til seks års fængsel, hvis de findes skyldige.
Version2 giver her et overblik over de største temaer i hackersagen indtil videre.
1: Fjernstyringsstrid
Var Wargs computer fjernstyret i gerningsøjeblikket, eller var det it-aktivisten selv, der stod bag hackerangrebet? Det er et af de helt centrale spørgsmål, der er blevet behandlet i retten på Frederiksberg. Fjernstyringen kunne finde sted på utallige måder, har vidner for forsvaret fortalt. Med en installeret debugger eller et Python-script eller gennem et af flere stykker malware, der er kendt for at give andre personer adgang til computeren. Fra anklagemyndighedens vidner har det lydt, at fjernstyring er usandsynlig.
2: Undersøgelseskritik
De undersøgelser, som politiet bygger deres vurderinger på, har mødt heftig kritik fra forsvarets vidner. It-eksperten Jacob Appelbaum kaldte en rapport fra Center for Cybersikkerhed direkte misvisende, fordi den erklærede fjernstyring med Python-script usandsynlig uden at forholde sig til hackercomputerens indstillinger. Sikkerhedschef Lars Ole Petersen, mente, at politiets netværksundersøgelse ikke var retvisende, fordi computeren reelt ikke havde adgang til internettet. Og endelig er en af politiets to computerundersøgelser muligvis påvirket af, at svensk politi siden konfiskeringen har installeret programmer på Wargs computer.
3: Politisløvhed
Kritik af politiet har også været på tale, efter at det kom frem, at svensk politi ad fire omgange informerede deres danske kolleger om hacker-mistanker, uden at ordensmagten reagerede. Første advarsel fra Sverige kom i juni 2012, mens gerningsmænd stadig kopierede fortrolige data fra CSC’s mainframe. Derefter fulgte tre advarsler i løbet af efteråret, og endelig en femte i januar 2013. Den sidste fik politiets opmærksomhed og ledte til et møde med CSC i slutningen af februar.
4: Nysgerrighed
En chatlog fundet på Wargs computer ledte politiet til at anholde sagens danske tiltalte, 21-årige JT, der er selvlært computerekspert. I chatten diskuterer JT med en, der fremstår som My Evil Twin, om muligheden for at hacke CSC. Selv forklarer JT, at han var nysgerrig efter, om man kunne hacke en mainframe, fordi han havde fået at vide, at det ikke kan lade sig gøre. Fra JT’s konfiskerede computer har anklageren fremhævet billeder af Warg og en manual til at bryde ind i en mainframe af samme slags som CSC’s. JT finder og deler i chatten brugeroplysninger til CSC. Det taler dog til JT’s fordel, at måden, hvorpå man i chatten forsøger at bryde ind i CSC, ikke er den måde, det rent faktisk skete på få måneder senere.
5:Sikkerhedsnøl
Hackerangrebet skete nemlig rettelig ved at udnytte to – på det tidspunkt – ukendte sårbarheder i IBM’s mainframe-system, z/OS, der bruges af CSC. Den første lod gerningsmanden trænge ind i systemet, mens den anden tillod ham at eskalere sine brugerrettigheder. Sikkerhedshullet blev patchet af IBM i december 2012. Først i marts 2013 installerer CSC opdateringen, fordi de efter henvendelse fra politiet opdager tegn på hacking.
Læs også: It-efterforsker: CSC-hacker lavede første bagdør gennem ’zero day’-sårbarhed i IBM’s mainframe
Læs også: Hackersagen dag 9 – CSC-vidne: Sårbarheder i mainframen havde patch måneder før hullet blev lukket
6: Efterforskningshul
De tegn kom blandt andet i form af IP-adresser fra Cambodja, som havde tilgået et script på CSC’s webserver, der giver informationer om serverversioner med videre. IP-adressen ledte direkte til Wargs lejlighed i samme land. En anden IP-adresse er dog gået fri uden nogen form for efterforskning. Den blev fundet i samme log og kan knyttes til en svensker, der tidligere er dømt for hacking sammen med Warg og i år på ny er blevet sigtet for samme forbrydelse.
7: It-kundskab
Det er op til rettens tre dommere og otte nævninge at forholde sig til, hvad sporet, der ikke blev fulgt, skal have af betydning. Men når der skal tages stilling til sagen, er det ikke væsentligt at have særlige it-kompetencer. Det har sagens ene anklager, vicestatsadvokat Anders Riisager, gjort meget ud af at fortælle. Selv har han det med computere, som Superman har det med kryptonit, fortalte han. Riisagers erklærede it-fremmedhed har dog ledt til tvister i retten.
8: Twitter-tvist
Blandt andet har anklager Riisager postuleret, at hvis man re-tweeter en artikel på det sociale medie Twitter, kunne man lige så godt have skrevet den selv. På den måde har anklagemyndigheden forsøgt at tegne en venskabelig forbindelse mellem tiltalte Warg og vidnet Jacob Appelbaum. Appelbaum kaldte forbindelsen opdigtet og sagde, at Riisager ikke forstod, hvordan Twitter fungerer. Det måtte vicestatsadvokaten give ham ret i.
9: Hackersagen uden ende
Uanset hvordan dommen lyder i slutningen af oktober, er det efter alt at dømme ikke enden for Gottfrid Svartholm Wargs møde med domstolen. På svenskerens computer er nemlig også fundet tegn på hacking i endnu et land, der endnu ikke er navngivet, og det er på den måde tænkeligt, at danmarkshistoriens største hackersag følges op af endnu en hackersag for den svenske internetkendis.
Retssagen fortsætter tirsdag den 7. oktober. Der forventes at falde dom den 31. oktober.
Version2 er til stede i retten.
Leave a Reply