Efter historisk hackersag: Ingen vindere – mange tabere

Et brag af en hackersag har fundet sin foreløbige afslutning. Men for de fleste involverede er afgørelsen en fuser-finale på et uskønt forløb, der giver anledning til at gentænke it-sikkerhed fra bunden.

Den 30. oktober 2014 blev der sat et midlertidigt punktum i danmarkshistoriens største hackersag. Svenske Gottfrid Svartholm Warg havde forklaret, at hans computer var blevet fjernstyret til at hacke CSC’s mainframe og dermed tiltvinge sig adgang til en række af politiets mest personfølsomme registre. Men den forklaring afviste retten og kvitterede med tre et halvt års fængselsstraf.

Den danske tiltalte, JT, blev udelukkende dømt for medvirken til forsøg på hacking.

Han blev idømt seks måneders fængsel og løsladt på stedet, hvilket udløste et spontant glædesudbrud og en klapsalve fra JT’s familie og venner stuvet sammen på retssalens tilhørerpladser. Men den 21-årige dansker kunne godt holde sin jubel tilbage. Han har siddet 11 måneder unødigt i fængsel og blev dømt til at betale en fjerdedel af de omkostninger, staten har haft i forbindelse med sagen. Også for sagens andre parter er jublen forstummet, før den kom i gang. Sagen har afsløret grove fejl hos både Rigspolitiet og CSC.

CSC lavmål af kompetence

Forurettede CSC vandt sagen, men har ikke meget at fejre. Den amerikanskejede data­behandler har fået sin it-sikkerhed – eller mangel på samme – grundigt udstillet, siden nævningesagen blev indledt 2. september i år. Den mangelfulde logning hos CSC gør det umuligt at vide med sikkerhed, hvilke data gerningsmændene egentlig har kopieret, ændret eller slettet, mens der har været adgang til systemet. Dertil kommer, at JT’s forsvars­advokat, Michael Juul Eriksen, lystigt kunne vise retten, hvordan brugeroplysninger til CSC ligger frit tilgængelige på nettet – offentliggjort af CSC selv.

Ingeniørens egen blogger Poul Henning Kamp kårer da også CSC til sagens store taber. I et blogindlæg anbefaler den danske udvikler et besøg til CSC’s Valby-kontor, hvis man følte trang til ‘at kalibrere lavmålet af kompetence og ansvarlighed for behandling af persondataoplysninger’.

(Klik for at forstørre)

Til gengæld har it-selskabet i første omgang undgået et juridisk efterspil. Ved retssagens begyndelse oplyste daværende justitsminister Karen Hækkerup (S), at Rigspolitiet endnu ikke havde taget stilling til, om man ville lægge sag an mod CSC for at sløse med sikkerheden. Men efter afgørelsen to måneder senere er beskeden klar: Der er intet søgsmål på vej fra Rigspolitiet.

»Vi har taget en kritisk dialog med dem og har ikke fundet noget grundlag for at lave en politianmeldelse,« lyder det fra Rigspolitiets it-direktør, Michael Steen Hansen.

Dom er ikke politiets fortjeneste

Selv om Rigspolitiet muligvis kan være tilfreds med dommen, er heller ikke ordensmagten vindere i hackersagen, der har udstillet store fejl i efterforskningen, mener sikkerhedsekspert Peter Kruse.

»Forløbet har ikke været kønt. Det hele starter med en sikkerhed, som har sejlet hos CSC, og en mildest talt sløv politiindsats,« siger han og tilføjer:

»Det er ikke politiets fortjeneste, at de tiltalte blev dømt i denne sag.«

Fire gange ignorerede eller overså dansk politi henvendelser fra deres svenske kolleger om en alvorlig mistanke om ulovlig indtrængen i politiets mest personfølsomme registre opbevaret på CSC’s mainframe-computer.

»Vi har et forklaringsproblem,« erkendte politidirektør Svend Larsen fra Rigspolitiet i den forbindelse over for Politiken.

Sikkerhed skal gentænkes fra bunden

Hvis staten skal trække sig stærkere ud af hackersagen, skal man ikke bare lære af sine fejl. Man skal tænke sin it-sikkerhed forfra fra square one, mener it-professor Kim Normann Andersen.

»Det, der er sat i gang, efter at denne sag breakede, handler om at gentænke sikkerheden i forhold til, hvem der har adgang til data, samt hvor der er brug for oprustning. Men vi mangler at se opdatering af planer for, hvordan staten skal reagere, når uheldet er ude, og der har været et vellykket hackerangreb,« siger Kim Normann Andersen. Og hackersagen er ikke enestående, lyder det fra professoren. Den er til gengæld den alarmklokke, som kan sætte gang i en nytænkning af datasikkerhed.

»Der er mange historier om læk af personlige data. Derfor er man nødt til at starte fra scratch og gentænke, hvordan man vil holde danske data sikre, og hvordan man vil reagere, når der sker brister på sikkerheden. Sikkerhed anno 2014 er fundamentalt anderledes, og statens sikkerhedsprocedurer er i mine øjne ikke fulgt med,« siger Kim Normann Andersen.

Læs også: Dom i hackersag: Tre et halvt års fængsel til svenske Warg – danske JT får sin pc med hjem

13.2.2012

18-årige JT er i Australien, hvor han udfører konsulentarbejde for Commonwealth Bank of Australia. Han er selvlært og har aldrig taget en it-uddannelse, men lever af at lave sikkerhedstest for store internationale virksomheder. Han chatter med en person, der kalder sig Era. JT er nysgerrig, fordi Era mener at kunne hacke en mainframe – et computersystem, som JT ellers har fået at vide er umuligt at trænge ind i. Era selv nævner CSC som eksempel på en virksomhed, der anvender mainframes. JT googler sig frem til brugeroplysninger til CSC og sender dem til sin chatpartner i håb om, at personen i modsatte ende kan demonstrere det, som JT tror er umuligt. Men det lykkes ikke, og chatten afsluttes. En log af chatten bliver senere et afgørende bevis i den danske straffesag.

7.4. 2012

Få måneder senere, i en lejlighed i Phnom Penh, Cambodja, sidder svenske Gottfrid Svartholm Warg med et eksternt keyboard, fordi det indbyggede tastatur i hans Macbook mangler en håndfuld taster. Ifølge domsafsigelsen er det fra denne computer, at Warg tiltvinger sig adgang til CSC’s mainframe. Fra computeren uploades et script til CSC’s systemer, der udnytter en hidtil ukendt software-sårbarhed og giver Warg ubegrænsede brugerrettigheder. Han kan nu frit finde filer på CSC’s mainframe og kopiere dem ud til webserveren, hvorfra de kan downloades.
Der oprettes samtidig to bagdøre til CSC’s systemer, som kan bruges, selv hvis sikkerhedshullet bliver lukket.

10.4.2012 - 28.8.2012

Over en periode på fem måneder kopierer Gottfrid Svartholm Warg tusinder af datasæt ud af CSC’s mainframe, lyder det i dommen. Der er udtræk fra CPR-registret, kørekortsregistret, politiets kriminalregister og hele den såkaldte RACF-database, der rummer over 80.000 brugernavne og password til CSC’s systemer. Der downloades ikke filer direkte til computeren i Wargs lejlighed, men derimod via servere i Tyskland, Iran og Cambodja, der er hacket til formålet. På den måde skjules alle umiddelbare spor, der peger mod hackercomputeren og Warg.

5.4.2012

Svenske MG anholdes i Sverige. Han er mistænkt for at være impliceret i et omfattende hackerangreb mod svenske Logica – nu CGI – der laver mange af de samme opgaver som CSC i Danmark. I en chatlog på MG’s computer findes spor, der peger mod Cambodja og Gottfrid Svartholm Warg. Både MG og Gottfrid Svartholm Warg bliver senere dømt for hacking af Logica.

30.8.2012

Cambodjansk politi anholder Gottfrid Svartholm Warg i hans lejlighed i Cambodja på opfordring fra svensk politi. De beslaglægger en stationær computer samt en bærbar Mac­book. På de to computere finder svensk politis it-eksperter filer, som tilsyneladende stammer fra CSC.

Læs også: Historisk dom i hackersagen kan bryde med klassisk hackerforsvar

18.9.2012

It-efterforsker Flemming Grønnemose modtager en mail fra Säpo, der er Sveriges svar på PET. I emnefeltet står der ‘Information om mulig hacking af danske registre’, og mailen beskriver, at svensk politi har fundet betydelige beviser for, at også Danmark er ramt i det, der nu kaldes Skandinaviens største hacker­angreb. Mest alarmerende nævner mailen, at en RACF-fil er fundet på hackercomputeren. ‘Jeg går ud fra, du ved, hvad RACF-filen indebærer’, skriver Säpos Jesper Blomström med henvisning til, at RACF-databasen effektivt er nøglebundet til hele CSC’s system. Mailen får dog ikke dansk politi til at underrette CSC eller starte en efterforskning.

15.1.2013

For femte gang henvender svensk politi sig til deres danske kolleger. Denne gang medfølger også en log af chatten fra 13.-14. februar mellem JT og Era, som blev fundet på hackercomputeren. I chatten har JT skrevet personlige oplysninger om sin arbejdsplads og fødselsår, der kan lede direkte til den unge dansker. Der går dog omkring halvanden måned, før efterforskningen indledes.

26.2.2013

Efterforskningen i danmarkshistorien største hackersag begynder. CSC underrettes af ordensmagten om det formodede hackerangreb.

10.3.2013

CSC installerer patch, som lukker det sikkerhedshul, hackerne har brugt. Patchen blev frigivet 19. december 2012. Umiddelbart efter findes og lukkes også de to bagdøre, som Warg ifølge dommen har etableret.

6.6.2013

Døren til bagtrappen i JT’s vens lejlighed brydes op med et brag, og en sky af puds står ind i københavner-køkkenet. Udenfor står en stor mand med en tilsvarende stor hammer. JT, som arbejder hos sin ven, fordi hans eget internet er nede, registrerer, at nogen råber ‘løb’, og han følger rådet med det samme. Han springer ud ad fordøren, uden hverken briller eller sko, med sin computer under armen og en skakbrik i lommen. En skakbrik, som er hul, og gemmer et lille hukommelseskort, der skal bruges til at få adgang til den krypterede del af JT’s computer. Han når ned ad trappen og over vejen, før det går op for ham, at det er politiet, der jagter ham. Han lægger sig ned og bliver anholdt.

27.11.2013

Gottfrid Svartholm Warg udleveres til Danmark fra Sverige.

1.7.2014

Anklageskriftet mod de to tiltalte ligger klart. Anklagemyndigheden kræver fire års fængsel til begge tiltalte.

2.9.2014

Nævningesagen indledes i Retten på Frederiksberg. Begge tiltalte nægter sig skyldige.

30.10.2014

De tilstedeværende i retssal 001 holder vejret. Nævninge, advokater og tilhørende på de stopfyldte stolerækker rejser sig sammen med dommer Kari Sørensen for at høre afgørelsen i det, der er blevet døbt danmarkshistoriens største hackersag:

»Gottfrid Svartholm Warg. Du er fundet skyldig i hacking af CSC i hele gerningsperioden og skyldig i groft hærværk,« siger dommeren til den 30-årige svensker, der ikke fortrækker en mine. Dagen efter idømmes svenskeren tre et halvt års fængsel. Dommen bliver anket på stedet. Danske JT findes skyldig i medvirken til forsøg på hacking. Det svarer til, hvad danskeren selv har tilstået. Han idømmes seks måneders fængsel, men løslades, da han har siddet varetægtsfængslet i 17 måneder. Han får sin computer med hjem.

Kommentarer (7)

At der ikke bliver en sag mod CSC, for grov usømmelig omgang af stats-data, og et imponerende niveau af inkompetence, generelt.
Systemet er efter den sag, endegyldigt korrupt.
Jeg håber vitterligt at en hacker / hackergruppe en dag lammer CSC så hårdt, at de ikke kan rejse sig igen. Ikke at der skal være en opfordring, det ville være ulovligt!

  • 8
  • 0

Kære hr. og fru. hacker, knacker m.fl. - i ønskes alle et godt lykkebringende nyt år.

Herhjemme har vi de sidste ~15 år (mindst) sikret os, at både vores materiel, programmel samt personel kan bestå enhver "insecure by design" test med garanti. "Snavset vasketøj" er gennem flere år hængt til tørre i fuldt offentlighed, og elendigheden er her ved årsskiftet en offentlig hemmelighed.

Og vores politi får først her i 2015 'pludselig' en trang til at påbegynde ansættelse og uddannelse af kompetent mandskab.[1]

De folkevalgte synes hverken, at it er tilstrækkeligt sexet (Bramsen-Vestager "hvide sokker" syndrom), eller at der er stemmer i datasikkerhed[2]. Ikke mindst vil det for det tredje koste et specialistkorps/-mandskab på flere hundrede mand utallige år (24/7) samt et budget på xx mia. at fjerne et vel gennemført "insecure by design" - ingen tør pt. blot tænke på at bede om mandskab og bevilling til denne oprydningen.

Vores it-slaraffenland står derfor fortsat til afbenyttelse, samt - kære hacker/knacker - der er mere guf i vente, da store kvantiteter itSovs(tm) af ubestemmelig kvalitet vil blive hældt over enhver sagesløs borger de kommende år fra Digitaliseringsstyrelsen.

"Først til mølle" er den eneste væsentlige regel, der bør iagttages, da de efterfølgende må forvente en anelse bøvl i form af feberagtige forsøg på at lappe et enkelt eller to velkendte og åbenlyse huller.

Men som allerede nævnt.. der er jo rigeligt til alle i mange år fremover.

/julegave-nytårshumor 2014 off

[1] "Politi til hackere:.." ..http://www.version2.dk/artikel/politi-til-...
[2] "..ufærdige mennesker. Det eneste, der interesserer dem, er den nyeste telefon eller den nyeste software." ..
http://jyllands-posten.dk/digitalt/ECE7305...

Efterskrift: Udgiften til lapperi/portner/portvagter/voldgrave og alskens 'vagtværn' ifm. vores nuværende "insecure by design" systemer og data må blive astronomisk høj set over tid.. indtil en eller anden med lidt evne i tal og købmandsregning får fornuftens brug tilbage og kræver offentlige "secure by design" systemer overalt.

  • 0
  • 0

vel, fru Bramsen?

Frøken - der er ingen, hverken i farvede eller hvide sokker, der tør risikere at spilde deres arvemasse der.

Bortset fra det, så er det, udover at hele forløbet jo nærmest må betegnes som en farce, dybt beskæmmende at man mener det er passende at JT, ud over den uberettigede varetægtsfængsling, skal straffes yderligere i form af at betale en fjerdedel af salæret til Riisager og kumpaner - det er udtryk for en rent Kafkask holdning om at hvis ikke vi kan straffe på en måde, så kan vi altid finde en anden måde at gøre det på, uagtet hvor spinkelt grundlaget end er.

Og hvis vi så ellers vender blikket mod de professionelle kriminelle, aka FE, så er det skræmmende at se det seneste nye tiltag til at demontere demokratiet, da man i det seneste krigsforlig (det kan jo ikke kaldes et forsvarsforlig mere!) vil tildele FE en halv milliard til aktivt at udføre ulovlig hackning uden retslig kontrol:

http://www.version2.dk/artikel/danmark-rus...

Historisk set har vi tidligere set demokratier gå til grunde, og det er beskæmmende at se hvordan Danmark (og andre lande) i den grad ignorerer historiens lære.

  • 4
  • 1

De herrer Gottfried og JT burde gives en præmie i stedet for en straf. De har bevist ud over enhver tvivl at det offentliges it-(u)sikkerhed er en joke. Vi kan intet gøre for at det offentlige ikke kan samle rå mængder data ind om os, blot for at lade det stå til frit skue for enhver med lidt indsigt og snilde. Hvis en svensker og en teenager kan trække disse data, hvem kan så ikke ellers?

Det minder mest af alt om et vendetta mod de to herrer fordi de har udstillet den offentlige (eller rettere, de private selskaber som vælter sig i skattekroner på vejne af det offentlige) inkompetence udi i datasikkerhed. Det er beskæmmende at det ikke er blevet til en større offentlig skandale! At politiet gemmer brugbart bevismateriale kan benævnes en skandale, men denne sag er blot passeret under radaren på trods af at det er vores alles informationer der her bedrives grov inkompetence imod!

Næh, nogen burde indstifte en hackernes svar på nobelprisen for folk der i særdeleshed har bidraget til at udstille og forbedre grove huller i it sikkerhed.
Det er ikke de to herrer i denne sag der er kriminelle, det er de inkompetente fjolser der suger penge ud af statskassen uden at levere varen!

  • 6
  • 0