Efter historisk hackersag: Ingen vindere – mange tabere

Den 30. oktober 2014 blev der sat et midlertidigt punktum i danmarkshistoriens største hackersag. Svenske Gottfrid Svartholm Warg havde forklaret, at hans computer var blevet fjernstyret til at hacke CSC’s mainframe og dermed tiltvinge sig adgang til en række af politiets mest personfølsomme registre. Men den forklaring afviste retten og kvitterede med tre et halvt års fængselsstraf.

Den danske tiltalte, JT, blev udelukkende dømt for medvirken til forsøg på hacking.

Han blev idømt seks måneders fængsel og løsladt på stedet, hvilket udløste et spontant glædesudbrud og en klapsalve fra JT’s familie og venner stuvet sammen på retssalens tilhørerpladser. Men den 21-årige dansker kunne godt holde sin jubel tilbage. Han har siddet 11 måneder unødigt i fængsel og blev dømt til at betale en fjerdedel af de omkostninger, staten har haft i forbindelse med sagen. Også for sagens andre parter er jublen forstummet, før den kom i gang. Sagen har afsløret grove fejl hos både Rigspolitiet og CSC.

CSC lavmål af kompetence

Forurettede CSC vandt sagen, men har ikke meget at fejre. Den amerikanskejede data­behandler har fået sin it-sikkerhed – eller mangel på samme – grundigt udstillet, siden nævningesagen blev indledt 2. september i år. Den mangelfulde logning hos CSC gør det umuligt at vide med sikkerhed, hvilke data gerningsmændene egentlig har kopieret, ændret eller slettet, mens der har været adgang til systemet. Dertil kommer, at JT’s forsvars­advokat, Michael Juul Eriksen, lystigt kunne vise retten, hvordan brugeroplysninger til CSC ligger frit tilgængelige på nettet – offentliggjort af CSC selv.

Ingeniørens egen blogger Poul Henning Kamp kårer da også CSC til sagens store taber. I et blogindlæg anbefaler den danske udvikler et besøg til CSC’s Valby-kontor, hvis man følte trang til ‘at kalibrere lavmålet af kompetence og ansvarlighed for behandling af persondataoplysninger’.

Til gengæld har it-selskabet i første omgang undgået et juridisk efterspil. Ved retssagens begyndelse oplyste daværende justitsminister Karen Hækkerup (S), at Rigspolitiet endnu ikke havde taget stilling til, om man ville lægge sag an mod CSC for at sløse med sikkerheden. Men efter afgørelsen to måneder senere er beskeden klar: Der er intet søgsmål på vej fra Rigspolitiet.

»Vi har taget en kritisk dialog med dem og har ikke fundet noget grundlag for at lave en politianmeldelse,« lyder det fra Rigspolitiets it-direktør, Michael Steen Hansen.

Dom er ikke politiets fortjeneste

Selv om Rigspolitiet muligvis kan være tilfreds med dommen, er heller ikke ordensmagten vindere i hackersagen, der har udstillet store fejl i efterforskningen, mener sikkerhedsekspert Peter Kruse.

»Forløbet har ikke været kønt. Det hele starter med en sikkerhed, som har sejlet hos CSC, og en mildest talt sløv politiindsats,« siger han og tilføjer:

»Det er ikke politiets fortjeneste, at de tiltalte blev dømt i denne sag.«

Fire gange ignorerede eller overså dansk politi henvendelser fra deres svenske kolleger om en alvorlig mistanke om ulovlig indtrængen i politiets mest personfølsomme registre opbevaret på CSC’s mainframe-computer.

»Vi har et forklaringsproblem,« erkendte politidirektør Svend Larsen fra Rigspolitiet i den forbindelse over for Politiken.

Sikkerhed skal gentænkes fra bunden

Hvis staten skal trække sig stærkere ud af hackersagen, skal man ikke bare lære af sine fejl. Man skal tænke sin it-sikkerhed forfra fra square one, mener it-professor Kim Normann Andersen.

»Det, der er sat i gang, efter at denne sag breakede, handler om at gentænke sikkerheden i forhold til, hvem der har adgang til data, samt hvor der er brug for oprustning. Men vi mangler at se opdatering af planer for, hvordan staten skal reagere, når uheldet er ude, og der har været et vellykket hackerangreb,« siger Kim Normann Andersen. Og hackersagen er ikke enestående, lyder det fra professoren. Den er til gengæld den alarmklokke, som kan sætte gang i en nytænkning af datasikkerhed.

»Der er mange historier om læk af personlige data. Derfor er man nødt til at starte fra scratch og gentænke, hvordan man vil holde danske data sikre, og hvordan man vil reagere, når der sker brister på sikkerheden. Sikkerhed anno 2014 er fundamentalt anderledes, og statens sikkerhedsprocedurer er i mine øjne ikke fulgt med,« siger Kim Normann Andersen.

13.2.2012

18-årige JT er i Australien, hvor han udfører konsulentarbejde for Commonwealth Bank of Australia. Han er selvlært og har aldrig taget en it-uddannelse, men lever af at lave sikkerhedstest for store internationale virksomheder. Han chatter med en person, der kalder sig Era. JT er nysgerrig, fordi Era mener at kunne hacke en mainframe – et computersystem, som JT ellers har fået at vide er umuligt at trænge ind i. Era selv nævner CSC som eksempel på en virksomhed, der anvender mainframes. JT googler sig frem til brugeroplysninger til CSC og sender dem til sin chatpartner i håb om, at personen i modsatte ende kan demonstrere det, som JT tror er umuligt. Men det lykkes ikke, og chatten afsluttes. En log af chatten bliver senere et afgørende bevis i den danske straffesag.

7.4. 2012

Få måneder senere, i en lejlighed i Phnom Penh, Cambodja, sidder svenske Gottfrid Svartholm Warg med et eksternt keyboard, fordi det indbyggede tastatur i hans Macbook mangler en håndfuld taster. Ifølge domsafsigelsen er det fra denne computer, at Warg tiltvinger sig adgang til CSC’s mainframe. Fra computeren uploades et script til CSC’s systemer, der udnytter en hidtil ukendt software-sårbarhed og giver Warg ubegrænsede brugerrettigheder. Han kan nu frit finde filer på CSC’s mainframe og kopiere dem ud til webserveren, hvorfra de kan downloades.
Der oprettes samtidig to bagdøre til CSC’s systemer, som kan bruges, selv hvis sikkerhedshullet bliver lukket.

10.4.2012 - 28.8.2012

Over en periode på fem måneder kopierer Gottfrid Svartholm Warg tusinder af datasæt ud af CSC’s mainframe, lyder det i dommen. Der er udtræk fra CPR-registret, kørekortsregistret, politiets kriminalregister og hele den såkaldte RACF-database, der rummer over 80.000 brugernavne og password til CSC’s systemer. Der downloades ikke filer direkte til computeren i Wargs lejlighed, men derimod via servere i Tyskland, Iran og Cambodja, der er hacket til formålet. På den måde skjules alle umiddelbare spor, der peger mod hackercomputeren og Warg.

5.4.2012

Svenske MG anholdes i Sverige. Han er mistænkt for at være impliceret i et omfattende hackerangreb mod svenske Logica – nu CGI – der laver mange af de samme opgaver som CSC i Danmark. I en chatlog på MG’s computer findes spor, der peger mod Cambodja og Gottfrid Svartholm Warg. Både MG og Gottfrid Svartholm Warg bliver senere dømt for hacking af Logica.

30.8.2012

Cambodjansk politi anholder Gottfrid Svartholm Warg i hans lejlighed i Cambodja på opfordring fra svensk politi. De beslaglægger en stationær computer samt en bærbar Mac­book. På de to computere finder svensk politis it-eksperter filer, som tilsyneladende stammer fra CSC.

18.9.2012

It-efterforsker Flemming Grønnemose modtager en mail fra Säpo, der er Sveriges svar på PET. I emnefeltet står der ‘Information om mulig hacking af danske registre’, og mailen beskriver, at svensk politi har fundet betydelige beviser for, at også Danmark er ramt i det, der nu kaldes Skandinaviens største hacker­angreb. Mest alarmerende nævner mailen, at en RACF-fil er fundet på hackercomputeren. ‘Jeg går ud fra, du ved, hvad RACF-filen indebærer’, skriver Säpos Jesper Blomström med henvisning til, at RACF-databasen effektivt er nøglebundet til hele CSC’s system. Mailen får dog ikke dansk politi til at underrette CSC eller starte en efterforskning.

15.1.2013

For femte gang henvender svensk politi sig til deres danske kolleger. Denne gang medfølger også en log af chatten fra 13.-14. februar mellem JT og Era, som blev fundet på hackercomputeren. I chatten har JT skrevet personlige oplysninger om sin arbejdsplads og fødselsår, der kan lede direkte til den unge dansker. Der går dog omkring halvanden måned, før efterforskningen indledes.

26.2.2013

Efterforskningen i danmarkshistorien største hackersag begynder. CSC underrettes af ordensmagten om det formodede hackerangreb.

10.3.2013

CSC installerer patch, som lukker det sikkerhedshul, hackerne har brugt. Patchen blev frigivet 19. december 2012. Umiddelbart efter findes og lukkes også de to bagdøre, som Warg ifølge dommen har etableret.

6.6.2013

Døren til bagtrappen i JT’s vens lejlighed brydes op med et brag, og en sky af puds står ind i københavner-køkkenet. Udenfor står en stor mand med en tilsvarende stor hammer. JT, som arbejder hos sin ven, fordi hans eget internet er nede, registrerer, at nogen råber ‘løb’, og han følger rådet med det samme. Han springer ud ad fordøren, uden hverken briller eller sko, med sin computer under armen og en skakbrik i lommen. En skakbrik, som er hul, og gemmer et lille hukommelseskort, der skal bruges til at få adgang til den krypterede del af JT’s computer. Han når ned ad trappen og over vejen, før det går op for ham, at det er politiet, der jagter ham. Han lægger sig ned og bliver anholdt.

27.11.2013

Gottfrid Svartholm Warg udleveres til Danmark fra Sverige.

1.7.2014

Anklageskriftet mod de to tiltalte ligger klart. Anklagemyndigheden kræver fire års fængsel til begge tiltalte.

2.9.2014

Nævningesagen indledes i Retten på Frederiksberg. Begge tiltalte nægter sig skyldige.

30.10.2014

De tilstedeværende i retssal 001 holder vejret. Nævninge, advokater og tilhørende på de stopfyldte stolerækker rejser sig sammen med dommer Kari Sørensen for at høre afgørelsen i det, der er blevet døbt danmarkshistoriens største hackersag:

»Gottfrid Svartholm Warg. Du er fundet skyldig i hacking af CSC i hele gerningsperioden og skyldig i groft hærværk,« siger dommeren til den 30-årige svensker, der ikke fortrækker en mine. Dagen efter idømmes svenskeren tre et halvt års fængsel. Dommen bliver anket på stedet. Danske JT findes skyldig i medvirken til forsøg på hacking. Det svarer til, hvad danskeren selv har tilstået. Han idømmes seks måneders fængsel, men løslades, da han har siddet varetægtsfængslet i 17 måneder. Han får sin computer med hjem.