Den 30. oktober 2014 blev der sat et midlertidigt punktum i danmarkshistoriens største hackersag. Svenske Gottfrid Svartholm Warg havde forklaret, at hans computer var blevet fjernstyret til at hacke CSC’s mainframe og dermed tiltvinge sig adgang til en række af politiets mest personfølsomme registre. Men den forklaring afviste retten og kvitterede med tre et halvt års fængselsstraf.
Den danske tiltalte, JT, blev udelukkende dømt for medvirken til forsøg på hacking.
Han blev idømt seks måneders fængsel og løsladt på stedet, hvilket udløste et spontant glædesudbrud og en klapsalve fra JT’s familie og venner stuvet sammen på retssalens tilhørerpladser. Men den 21-årige dansker kunne godt holde sin jubel tilbage. Han har siddet 11 måneder unødigt i fængsel og blev dømt til at betale en fjerdedel af de omkostninger, staten har haft i forbindelse med sagen. Også for sagens andre parter er jublen forstummet, før den kom i gang. Sagen har afsløret grove fejl hos både Rigspolitiet og CSC.
Forurettede CSC vandt sagen, men har ikke meget at fejre. Den amerikanskejede databehandler har fået sin it-sikkerhed – eller mangel på samme – grundigt udstillet, siden nævningesagen blev indledt 2. september i år. Den mangelfulde logning hos CSC gør det umuligt at vide med sikkerhed, hvilke data gerningsmændene egentlig har kopieret, ændret eller slettet, mens der har været adgang til systemet. Dertil kommer, at JT’s forsvarsadvokat, Michael Juul Eriksen, lystigt kunne vise retten, hvordan brugeroplysninger til CSC ligger frit tilgængelige på nettet – offentliggjort af CSC selv.
Ingeniørens egen blogger Poul Henning Kamp kårer da også CSC til sagens store taber. I et blogindlæg anbefaler den danske udvikler et besøg til CSC’s Valby-kontor, hvis man følte trang til ‘at kalibrere lavmålet af kompetence og ansvarlighed for behandling af persondataoplysninger’.
Til gengæld har it-selskabet i første omgang undgået et juridisk efterspil. Ved retssagens begyndelse oplyste daværende justitsminister Karen Hækkerup (S), at Rigspolitiet endnu ikke havde taget stilling til, om man ville lægge sag an mod CSC for at sløse med sikkerheden. Men efter afgørelsen to måneder senere er beskeden klar: Der er intet søgsmål på vej fra Rigspolitiet.
»Vi har taget en kritisk dialog med dem og har ikke fundet noget grundlag for at lave en politianmeldelse,« lyder det fra Rigspolitiets it-direktør, Michael Steen Hansen.
Selv om Rigspolitiet muligvis kan være tilfreds med dommen, er heller ikke ordensmagten vindere i hackersagen, der har udstillet store fejl i efterforskningen, mener sikkerhedsekspert Peter Kruse.
»Forløbet har ikke været kønt. Det hele starter med en sikkerhed, som har sejlet hos CSC, og en mildest talt sløv politiindsats,« siger han og tilføjer:
»Det er ikke politiets fortjeneste, at de tiltalte blev dømt i denne sag.«
Fire gange ignorerede eller overså dansk politi henvendelser fra deres svenske kolleger om en alvorlig mistanke om ulovlig indtrængen i politiets mest personfølsomme registre opbevaret på CSC’s mainframe-computer.
»Vi har et forklaringsproblem,« erkendte politidirektør Svend Larsen fra Rigspolitiet i den forbindelse over for Politiken.
Hvis staten skal trække sig stærkere ud af hackersagen, skal man ikke bare lære af sine fejl. Man skal tænke sin it-sikkerhed forfra fra square one, mener it-professor Kim Normann Andersen.
»Det, der er sat i gang, efter at denne sag breakede, handler om at gentænke sikkerheden i forhold til, hvem der har adgang til data, samt hvor der er brug for oprustning. Men vi mangler at se opdatering af planer for, hvordan staten skal reagere, når uheldet er ude, og der har været et vellykket hackerangreb,« siger Kim Normann Andersen. Og hackersagen er ikke enestående, lyder det fra professoren. Den er til gengæld den alarmklokke, som kan sætte gang i en nytænkning af datasikkerhed.
»Der er mange historier om læk af personlige data. Derfor er man nødt til at starte fra scratch og gentænke, hvordan man vil holde danske data sikre, og hvordan man vil reagere, når der sker brister på sikkerheden. Sikkerhed anno 2014 er fundamentalt anderledes, og statens sikkerhedsprocedurer er i mine øjne ikke fulgt med,« siger Kim Normann Andersen.
Læs også: Dom i hackersag: Tre et halvt års fængsel til svenske Warg – danske JT får sin pc med hjem
18-årige JT er i Australien, hvor han udfører konsulentarbejde for Commonwealth Bank of Australia. Han er selvlært og har aldrig taget en it-uddannelse, men lever af at lave sikkerhedstest for store internationale virksomheder. Han chatter med en person, der kalder sig Era. JT er nysgerrig, fordi Era mener at kunne hacke en mainframe – et computersystem, som JT ellers har fået at vide er umuligt at trænge ind i. Era selv nævner CSC som eksempel på en virksomhed, der anvender mainframes. JT googler sig frem til brugeroplysninger til CSC og sender dem til sin chatpartner i håb om, at personen i modsatte ende kan demonstrere det, som JT tror er umuligt. Men det lykkes ikke, og chatten afsluttes. En log af chatten bliver senere et afgørende bevis i den danske straffesag.
Få måneder senere, i en lejlighed i Phnom Penh, Cambodja, sidder svenske Gottfrid Svartholm Warg med et eksternt keyboard, fordi det indbyggede tastatur i hans Macbook mangler en håndfuld taster. Ifølge domsafsigelsen er det fra denne computer, at Warg tiltvinger sig adgang til CSC’s mainframe. Fra computeren uploades et script til CSC’s systemer, der udnytter en hidtil ukendt software-sårbarhed og giver Warg ubegrænsede brugerrettigheder. Han kan nu frit finde filer på CSC’s mainframe og kopiere dem ud til webserveren, hvorfra de kan downloades.
Der oprettes samtidig to bagdøre til CSC’s systemer, som kan bruges, selv hvis sikkerhedshullet bliver lukket.
Over en periode på fem måneder kopierer Gottfrid Svartholm Warg tusinder af datasæt ud af CSC’s mainframe, lyder det i dommen. Der er udtræk fra CPR-registret, kørekortsregistret, politiets kriminalregister og hele den såkaldte RACF-database, der rummer over 80.000 brugernavne og password til CSC’s systemer. Der downloades ikke filer direkte til computeren i Wargs lejlighed, men derimod via servere i Tyskland, Iran og Cambodja, der er hacket til formålet. På den måde skjules alle umiddelbare spor, der peger mod hackercomputeren og Warg.
Svenske MG anholdes i Sverige. Han er mistænkt for at være impliceret i et omfattende hackerangreb mod svenske Logica – nu CGI – der laver mange af de samme opgaver som CSC i Danmark. I en chatlog på MG’s computer findes spor, der peger mod Cambodja og Gottfrid Svartholm Warg. Både MG og Gottfrid Svartholm Warg bliver senere dømt for hacking af Logica.
Cambodjansk politi anholder Gottfrid Svartholm Warg i hans lejlighed i Cambodja på opfordring fra svensk politi. De beslaglægger en stationær computer samt en bærbar Macbook. På de to computere finder svensk politis it-eksperter filer, som tilsyneladende stammer fra CSC.
It-efterforsker Flemming Grønnemose modtager en mail fra Säpo, der er Sveriges svar på PET. I emnefeltet står der ‘Information om mulig hacking af danske registre’, og mailen beskriver, at svensk politi har fundet betydelige beviser for, at også Danmark er ramt i det, der nu kaldes Skandinaviens største hackerangreb. Mest alarmerende nævner mailen, at en RACF-fil er fundet på hackercomputeren. ‘Jeg går ud fra, du ved, hvad RACF-filen indebærer’, skriver Säpos Jesper Blomström med henvisning til, at RACF-databasen effektivt er nøglebundet til hele CSC’s system. Mailen får dog ikke dansk politi til at underrette CSC eller starte en efterforskning.
For femte gang henvender svensk politi sig til deres danske kolleger. Denne gang medfølger også en log af chatten fra 13.-14. februar mellem JT og Era, som blev fundet på hackercomputeren. I chatten har JT skrevet personlige oplysninger om sin arbejdsplads og fødselsår, der kan lede direkte til den unge dansker. Der går dog omkring halvanden måned, før efterforskningen indledes.
Efterforskningen i danmarkshistorien største hackersag begynder. CSC underrettes af ordensmagten om det formodede hackerangreb.
CSC installerer patch, som lukker det sikkerhedshul, hackerne har brugt. Patchen blev frigivet 19. december 2012. Umiddelbart efter findes og lukkes også de to bagdøre, som Warg ifølge dommen har etableret.
Døren til bagtrappen i JT’s vens lejlighed brydes op med et brag, og en sky af puds står ind i københavner-køkkenet. Udenfor står en stor mand med en tilsvarende stor hammer. JT, som arbejder hos sin ven, fordi hans eget internet er nede, registrerer, at nogen råber ‘løb’, og han følger rådet med det samme. Han springer ud ad fordøren, uden hverken briller eller sko, med sin computer under armen og en skakbrik i lommen. En skakbrik, som er hul, og gemmer et lille hukommelseskort, der skal bruges til at få adgang til den krypterede del af JT’s computer. Han når ned ad trappen og over vejen, før det går op for ham, at det er politiet, der jagter ham. Han lægger sig ned og bliver anholdt.
Gottfrid Svartholm Warg udleveres til Danmark fra Sverige.
Anklageskriftet mod de to tiltalte ligger klart. Anklagemyndigheden kræver fire års fængsel til begge tiltalte.
Nævningesagen indledes i Retten på Frederiksberg. Begge tiltalte nægter sig skyldige.
De tilstedeværende i retssal 001 holder vejret. Nævninge, advokater og tilhørende på de stopfyldte stolerækker rejser sig sammen med dommer Kari Sørensen for at høre afgørelsen i det, der er blevet døbt danmarkshistoriens største hackersag:
»Gottfrid Svartholm Warg. Du er fundet skyldig i hacking af CSC i hele gerningsperioden og skyldig i groft hærværk,« siger dommeren til den 30-årige svensker, der ikke fortrækker en mine. Dagen efter idømmes svenskeren tre et halvt års fængsel. Dommen bliver anket på stedet. Danske JT findes skyldig i medvirken til forsøg på hacking. Det svarer til, hvad danskeren selv har tilstået. Han idømmes seks måneders fængsel, men løslades, da han har siddet varetægtsfængslet i 17 måneder. Han får sin computer med hjem.
At der ikke bliver en sag mod CSC, for grov usømmelig omgang af stats-data, og et imponerende niveau af inkompetence, generelt.
Systemet er efter den sag, endegyldigt korrupt.
Jeg håber vitterligt at en hacker / hackergruppe en dag lammer CSC så hårdt, at de ikke kan rejse sig igen. Ikke at der skal være en opfordring, det ville være ulovligt!
At der ikke bliver en sag mod CSC, for grov usømmelig omgang af stats-data, og et imponerende niveau af inkompetence, generelt.
Læg hertil at CSC er direkte i lommen på NSA og gladeligt sælger ud af danske data. Helt gratis.
Enhver der benytter CSC er nogle nyttige idioter. Ikke underligt at den danske stat er storkunde... vel, fru Bramsen?
Kære hr. og fru. hacker, knacker m.fl. - i ønskes alle et godt lykkebringende nyt år.
Herhjemme har vi de sidste ~15 år (mindst) sikret os, at både vores materiel, programmel samt personel kan bestå enhver "insecure by design" test med garanti. "Snavset vasketøj" er gennem flere år hængt til tørre i fuldt offentlighed, og elendigheden er her ved årsskiftet en offentlig hemmelighed.
Og vores politi får først her i 2015 'pludselig' en trang til at påbegynde ansættelse og uddannelse af kompetent mandskab.[1]
De folkevalgte synes hverken, at it er tilstrækkeligt sexet (Bramsen-Vestager "hvide sokker" syndrom), eller at der er stemmer i datasikkerhed[2]. Ikke mindst vil det for det tredje koste et specialistkorps/-mandskab på flere hundrede mand utallige år (24/7) samt et budget på xx mia. at fjerne et vel gennemført "insecure by design" - ingen tør pt. blot tænke på at bede om mandskab og bevilling til denne oprydningen.
Vores it-slaraffenland står derfor fortsat til afbenyttelse, samt - kære hacker/knacker - der er mere guf i vente, da store kvantiteter itSovs(tm) af ubestemmelig kvalitet vil blive hældt over enhver sagesløs borger de kommende år fra Digitaliseringsstyrelsen.
"Først til mølle" er den eneste væsentlige regel, der bør iagttages, da de efterfølgende må forvente en anelse bøvl i form af feberagtige forsøg på at lappe et enkelt eller to velkendte og åbenlyse huller.
Men som allerede nævnt.. der er jo rigeligt til alle i mange år fremover.
/julegave-nytårshumor 2014 off
[1] "Politi til hackere:.." ..http://www.version2.dk/artikel/politi-til-...
[2] "..ufærdige mennesker. Det eneste, der interesserer dem, er den nyeste telefon eller den nyeste software." ..
http://jyllands-posten.dk/digitalt/ECE7305...
Efterskrift: Udgiften til lapperi/portner/portvagter/voldgrave og alskens 'vagtværn' ifm. vores nuværende "insecure by design" systemer og data må blive astronomisk høj set over tid.. indtil en eller anden med lidt evne i tal og købmandsregning får fornuftens brug tilbage og kræver offentlige "secure by design" systemer overalt.
Kommentarer (7)