Jeg er lige kommet hjem fra København hvor jeg deltog i en optagelse til “Aflyttet” der sendes engang i weekenden (kan høres allerede nu på nettet.)
Takket være DSB’s togkompetencer (begge fortegn) havde jeg ikke mulighed for at lave meget andet end at læse den udskrift af retsbogen som Anders venligt fotokopierede til mig.
(Opdatering: Hele kendelsen kan læses på domstol.dk)
Vi kan herefter konkludere at live-tweeting eller live-blogging fra en retssal ikke giver et fyldestgørende billede af hvad der foregår, men det forventede vi nok heller ikke.
Efter at have læst kendelsen fra retsbogen kommer Warg stadig ikke med til min fødselsdag, men jeg er stadig dybt utilfreds med sagen.
Lad mig tage det sidste først.
Retten
“Vi lægger til grund, at tiltalte Warg besidder indgående kendskab til mainframes og styresystemet z/OS. Vi finder det herefter usandsynligt, at andre personer end tiltalte Warg skulle have betjent hans computere i forbindelse med hackningen af CSC.”
Det er omvendt logik der vil noget!
Det svarer nogenlunde til: “Vi lægger til grund at tiltalte er FCK fan og finder det herefter usandsynligt at der var andre FCK fans i hans nærhed.”
En anden detalje som jeg tvivler på retten har gennemtænkt er denne lille bid:
“Da han må have været fuldt ud bekendt med disse brugerkonti og deres funktion.”
Implicit i den sætning er at ejeren (eller sysadm?) har ansvaret for (holde sig underettet om) hvad der foregår på en computer.
Det er for det første ikke noget dansk ret udtaler sig om.
(Ved sysadm på KU.dk ved alle deres brugere laver på computerne ? Har de pligt til at vide det ? Får de løn og resourcer nok til at løfte opgaven ?)
Men langt mere skummelt er at retten udtaler sig om et ansvar der påhviler en mand der sidder i Cambodia og om et ansvars- eller pligtforhold der i givet fald skulle afgøres efter Cambodiansk lov og ret.
Siden hvornår er den danske lovs arm blevet så lang ?
Helt galt går det dog når det kommer til behandling af begrebet hærværk.
“[...oprettelse af bagdøre...]. Dette medførte, at beskyttelsen af de stærkt personfølsomme oplysninger blev beskadiget, således at enhver med kendskab til disse bagdøre ville kunne få uberettiget adgang til oplysningerne. [...] udført hærværk i betydeligt omfang, [...]“
Med mit ringe kendskab til psykologien hos it-kriminelle, så er det generelt således at de bagdøre de opretter er bedre beskyttet end de huller de kom ind igennem.
Faktisk ses det ofte at de “lukker hullet efter sig” således at ingen andre kan komme ind.
Takket være CSC sikkerhedsmæssige inkompetence og politiets mangelfulde efterforskning ved vi reelt ikke om disse bagdøre udgjorde en forbedring eller forværring af sikkerheden på CSCs mainframe og at kalde oprettelsen af en fil og to linier i en konfigurationsfil for “hærværk i betydeligt omfang” har derfor ingen gang på jord.
Ligeledes fortolker retten den dømte danskers forsøg på at logge ind d. 13/14 feb 2012 som “forsøg på at skaffe sig uberettiget adgang til de offentlige it-registre”
Burde det ikke nedtones til “…adgang til CSCs mainframe.” ? Intet sted står der noget om hans hensigter, skulle han være heldig at slippe igennem, eller for dens sags skyld om de par konti han prøvede overhovedet havde adgang til nogen offentlige it-registre. (Hans evner til at gennemføre eskalation af rettigheder er heller ikke nævnt, tværtimod faktisk.)
Omvendt konkluderer retten at §193 ikke blev overtrådt, fordi CSC’s oppetid ikke blev berørt, tilsyneladende uden at tage stilling til om data på mainframen var blevet modificeret af den/de personer der brød ind.
Så nej, jeg er ikke ret imponeret af dommen som juridisk håndværk beset, men der er omvendt ikke tale om “justitsmord” eller noget der ligner.
Warg
Hans forsvar har hele vejen igennem baseret sig på “plausible deniability”, men enten er han et inkompetent fjols, eller også antager han, som mange andre selvfede og selvovervurderende “hackere”, at alle andre mennesker er laverestående idioter.
Hvis man f.eks laver en krypteret partition på sin maskine, som man efterfølgende vil kunne afsværge ethvert kendskab til, skal man ikke gemme sine officielle forretningspapirer i den.
At have genveje til partitionen fra desktoppen er heller ikke nærheden af bestå multiple-choice testen bag i “operational security for dummies”.
Endelig er det nok ikke smart at efterlade logfiler der viser at der er blevet søgt efter ens mellemnavn, fødselsdag og CPR nummer i data man agter at nægte ethvert kendskab til.
Og det faktum at politiet i det hele taget kunne forcere den krypterede partition placerer ham i klassen “krypto-neandertal”, på det punkt har den dømte dansker tydeligvis bedre greb om basal kryptografi.
Endelig og muligvis vigtigst: Hvis man skal skyde skylden på andre ukendte personer, er det en stor fordel at kunne eftervise existensen og spor af sådanne i et eller andet omfang, ikke bare at de teoretisk set kunne existere.
Warg har tilsyneladende ikke fremvist et eneste stykke evidens på det punkt.
Så på basis af det der står i kendelsen kan jeg godt forstå at dommere og nævninge valgte ikke at tro på hans forklaring om fjernstyring af computeren og da det til fulde er fastslået at hans computer blev brugt til at bryde ind hos CSC, hvilket han ikke har bevivlet, bliver han dømt skyldig.
Kendelsen er ikke bevismaterialet, den omtaler blot de dele af bevismaterialet som retten hæftede sig ved og lagde vægt på. Om de har ret vil jeg derfor ikke vurdere, men kendelsen dokumentere at de mener at de gjorde det på et rationelt bevist grundlag.
CSC – sagens virkelige tabere
At CSC i årevis ikke aner at der er indbrud, eller som retten skriver det: “Udover download af RACF-databasen den 10 april 2012, skete der blandt andet download af større mængder data fra CSC’s mainframe alle dagene den 11-16 apr. 2012, 21-22 apr 2012, den 16-17 juni 2012, [...laaaaang liste...]“, burde selvfølgelig få Datatilsynet til at gennemføre en fogedforretning om øjeblikkeligt stop af al databehandling af personfølsomme oplysninger.
Men det mest pinlige for CSC er næsten at sagen stort set kun er oplyst af hvad man har fundet på Wargs computer, og slet ikke af hvad undersøgelsen af CSCs mainframe kunne bidrage med.
Havde det ikke været fordi Svensk Politi havde fået kløerne i Warg til at begynde med, ville vi idag ikke have anet at der var indbrud hos CSC, ej heller at eller hvilke filer der var blevet kopieret.
Hvis nogen herefterdags har brug for at kalibrere lavmålet af kompetence og ansvarlighed for behandling af persondataoplysninger, er Retortvej 8 i Valby et rigtig godt sted at gå hen.
En kontrol af kalibreringen kan foretages hos Rigspolitiets persondataansvarlige.
Dommenes længde
Taget i betragtning hvor mange kedsomme teenagere i verden der havde adgang til det samme uden nogen konsekvenser overhovedet, har jeg svært ved at taksere den dømte danskes loginforsøg til seks måneders fængsel, specielt ikke når man ser hvad man ellers får seks måneder for. Omvendt har han tydeligvis fingrene ude efter kagedåsen. Jeg ville sige 30 dages samfundstjeneste med at afholde IT-sikkerhedskurser for politikere.
Under antagelse af at Warg er skyldig, finder jeg 3.5 år uproportionalt for en outsiders angreb, ikke mindst taget i betragtning at bankfolk kun får 3 måneder for insider kursfusk.
Det er og bliver en møgsag.
phk