27 Dec 2024  

KBH: Let skyet, 10 °C

Hackersagen på Frederiksberg

Blogs

Peter Kofod
Skribent med speciale i retssikkerhed på nettet
Kommentator, musiker og skribent. Tidligere Human Shield i Irak og dansk kontakt til den verdenskendte whistleblower Edward Snowden. Blogger om overvågning, whistleblowere og aktivisme på internettet.
Blogindlæg af Peter Kofod

DEL DETTE BLOGINDLÆG

Twitter icon
Facebook icon
Google icon
Søndag, 28. september, 2014, 13:14:30

Hackersagen på Frederiksberg

Redigerede beviser, løgne fra politiet og en part, der selv får lov at undersøge gerningsstedet: Lige for tiden udspiller Danmarkshistoriens største hackersag sig i Retten på Frederiksberg. Peter Kofod forklarer her om de massive retspolitiske problemer, der gemmer sig i den teknisk komplicerede sag, som både anklager, tolke og dommer har svært ved at forstå.

Overblik: Den svenske Pirate Bay stifter og WikiLeaks-frivillig, Gotfried Svartholm Warg (kaldet Anakata) og en ung dansk computerekspert (beskyttet af navneforbud) er anklaget for at have hacket sig ind hos CSC, der er en af statens IT-leverandører og som står for håndteringen af en lang række højst personfølsomme data, herunder kørekortregistret, Schengen databasen med oplysninger om efterlyste personer og meget andet. De har begge været varetægtsfængslet under kritisable forhold siden 2013, efter at være blevet anholdt på antiterror-vis, i henholdsvis København (danskeren) og i Cambodja (Anakata). Anakata har desuden været igennem en lignende retssag i Sverige, hvor han blev frikendt for hovedparten af anklagerne. Uanset udfaldet af den danske sag, forventes Anakata at blive udleveret til et tredje and efterfølgende, for igen at skulle igennem det samme cirkus.


Da aktivisten Lars Andersen i sommeren 2014 hackede nogle danske folketingsmedlemmers CPR-numre, udråbte den politiske klasse det som: Et Angreb Mod Demokratiet.

Okay. Det lyder slemt. Sådan noget tager man vel alvorligt?

Well, flashback til forspillet til hackersagen der netop nu udspiller sig i retten på Frederiksberg.

Problem 1

Dansk politi lukkede øjnene for forbrydelsen

I juni 2012 får det danske politi en henvendelse fra deres kollegaer i Sverige om, at statens IT-levendør – det amerikanske firma CSC - er udsat for et omfattende hackerangreb.

Dansk politi foretager sig absolut intet, selvom CSC står for håndteringen af de allermest personfølsomme data i Danmark. Over de næste syv måneder kontakter svensk politi igen og igen de danske myndigheder for at få dem til at tage affære, men forgæves.

CSC er i øvrigt mest kendt for at sløse enormt med sikkerheden og for at være nært forbundet med efterretningstjenesten NSA

Vi spoler frem til nutiden. Hvordan forklarer politiet og anklagemyndigheden, at der gik over et halvt år, før de reagerede på de gentagne henvendelser om Et Angreb På Demokratiet?

Truslen mod demokratiet er snarere at er villige til at opgive helt normale retsstatsprincipper i sager, der er tekniske af natur.

Ved at lyve. Over for folketingspolitikere, domstolen og forsvarerne i sagen. De hævder – i strid med sandheden – at svensk politi først henvendte sig til dem i slutningen af januar 2013.

At det er i strid med sandheden ved vi udelukkende, fordi svensk politi har meddelt det i et brev som Anakatas forsvarer læste op i retten forleden.

Hvordan pokker kan sådan noget finde sted i en retsstat? Og endnu mere vigtigt: hvordan kan sådan noget finde sted uden at det medfører et gigantisk ramaskrig, røde ører hos de ansvarlige og en massivt fokus fra medierne?

Jeg ved det ikke.

Sagen er faktisk blevet dækket seriøst af en række danske journalister* [se fodnote], som både har været tilstede til retsmøderne, har rapporteret kritisk om politiets og anklagemyndighedens imponerende inkompetence og som har afsløret helt afsindige forhold, både hvad angår politiets efterforskning i sagen og hvad angår "sikkerheden" (gåseøjne højst tiltænkt) hos CSC.

På trods af, den usædvanligt seriøse dækning af denne principielle sag og på trods af, at det endda er lykkes journalister at få et par folketingsmedlemmer på tværs af partierne til at udtale kritik af aspekter af sagen (en usædvanlig og glædelig ting i sig selv), mangler der på redaktørgangene hos de store medier - og derfor i politiske kredse – stadig en erkendelse af, at det der foregår, er fuldstændigt forrykt.

Ikke bare, som vi har set, fordi vi står i den finurlige situation, at politi og anklagemyndighed er blevet taget i at lyve om væsentlige aspekter af sagen, men også af en række grunde, som jeg vil forsøge at forklare her.

Passager bliver af en lettere teknisk natur, men bær over med mig. Jeg prøver at gøre det så letforståeligt som muligt. Det er vigtigt at gøre sig klart, at sagen er teknisk og at det er et selvstændigt problem, at både dommer, anklagemyndighed og tolke i sagen intet fatter af det tekniske. Et forhold der i sig selv gør det tvivlsomt om der på nogen måde kan være tale om en retfærdig rettergang.

"Beviserne" mod de to tiltale er så vidt vides (der kan nå at komme andet og mere frem under de resterende retsdage) i al væsentlighed:

  • A: En kopi af en chat-samtale mellem den danske tiltalte og person som anklagemyndigheden hævder at være Anakata (han nægter at dette er tilfældet).
  • B: Stumper af dokumenter på Anakatas computer, som angiveligt stammer fra hacket mod CSC.
  • C: Oplysninger fra CSC om, at en IP-adresse der nævnes i den føromtale chat-samtale, skulle være involveret i hackerangrebet mod CSC.

Problem 2

Redigeret bevis

Bevis A kan uden besvær problematiseres af forsvaret: I chatloggen angives den ene deltagers brugernavn som "My Evil Twin" og den andens, som "Advanced Persistent Terrorist Threat".

Dette alene er endegyldigt bevis på, at chatloggen ikke er autentisk (altså, uredigeret). Det er nemlig ganske simpelt fysisk umuligt at have mellemrum i sit navn i det anvendte chatprogram. Hvis man ved login skriver sit navn som "My Evil Twin", vil programmet helt automatisk omdøbe én til "My".

Når anklagemyndigheden hiver disse chatlogs med mellemrum i brugernavnene frem, svarer det til at hævde, at der er 17 cifre i et dansk telefonnummer. Det kan ikke lade sig gøre, ligegyldigt hvor stort et computer/telefonisk geni de anklagede så end er.

Der er altså redigeret i chat-udskriften. Det er naturligvis ikke endegyldigt bevis for, at resten af indholdet også er forfalsket, men nok til, at det ikke kan betragtes som seriøst.

Dette punkt er naturligvis fremført at forsvaret og også rapporteret i flere medier. Tiden vil vise, om dommeren forstår det.

Et vigtigt punkt i chatloggen er en omtalen af en tysk IP-adresse, som senere dukker op i sagen igen. Hav da i baghovedet, at det er uomtvisteligt, at i hvert fald dele af chatloggen er forfalsket.

Problem 3

At din computer bliver brugt til en forbrydelse, er ikke det samme som, at du har begået forbrydelsen

Bevis B er også problematisk. Hele sagens omdrejningspunkt er, at Anakata hævder at hans computer er blevet fjernstyret.

Han benægter altså ikke, at hans computer er blevet benyttet i hackerangrebet. Han benægter udelukkede, at han selv skulle have noget med det at gøre. Det lyder science fiction-agtigt, men er ret normalt i tech-kredse.

Flere forskellige brugere (der var fem brugerkonti på hans computer) har fjernadgang til en maskine, for eksempel fordi man er flere personer spredt ud over hele verden om at udvikle et eller andet.

I den svenske udgave af hackersagen blev Anakata frikendt for hovedparten af anklagerne, netop fordi det blev sandsynliggjort at hans computer var blevet fjernstyret og at det derfor ikke kunne bevises, at Anakata selv var personligt ansvarlig.

Som sikkerhedseksperten Jake Appelbaum (der har vidnet for forsvaret i både den svenske- og den danske sag) påpegede, er det en afgørende forskel om man selv personligt gør et eller andet, eller om det er ens computer/telefon der gør det. Anklageren selv måtte indrømme over for Appelbaum, at hvis nogen hackede ens iPhone og brugte den til et eller andet ulovligt, er man naturligvis ikke selv som iPhone-ejer skyldig. Man er ikke sin maskine.

>> Lyt til Aflyttets ekstraudsendelse med Jake her

Således er fundet af (minimale mængder af) hackede dokumenter på Anakatas computer (oven i købet på en anden brugers konto) ikke indikation på andet, end at computeren (måske) er blevet benyttet til at udføre hacket. Eller måske ikke, hvem ved?

Jeg kan ikke lade være med at tænke, at hvis nu politiet kom farende og beslaglagde min computer og for eksempel fandt tophemmelige NSA-dokumenter på den.. ville de så mene at dét var bevis for, at jeg havde hacket NSA? Eller ville jeg kunne få en dommer til at tro på, at jeg måske havde fået dem fra en "ven"? (og nej: de NSA-dokumenter jeg har på min computer er ikke nogle der ikke har været offentliggjort før. Og de er også krypteret, så der er ingen grund til at komme rendede her).  

Problem 4

Den anklagende part har selv stået for undersøgelsen af bevismaterialet

Bevis C er fuldstændig bizart. Dagbladet Politiken kunne afsløre, at politiet slet ikke har undersøgt CSC's systemer!

Altså selve bevismaterialet i sagen. Det har de ladet CSC selv om at gøre! At det ikke har givet en mediestorm af højeste karat, fatter man simpelthen ikke.

Det svarer til, at jeg ringer til politiet og siger, at der har fundet et mord sted. Hvorefter politiet beder mig beskrive gerningsstedet og offeret – og så efterforsker sagen ud fra det, uden selv at bekræfte, at jeg fortæller sandheden.

Hvordan fanden skulle politiet vide det, når de ikke selv har efterforsket gerningsstedet, men har ladet CSC selv om det?

Det sætter os i den absolut groteske situation, at de to tiltalte i hackersagen - i teorien - risikerer at komme seks år i spjældet, ikke bare for en forbrydelse de ikke har begået (hvis det er nogle andre der er de skyldige) – men for en forbrydelse der slet ikke har fundet sted!

Måske - i teorien - er der slet ikke nogen der er blevet myrdet? Eller noget hackerangreb der har fundet sted?

For en god ordens skyld: jeg siger ikke, at der ikke har været et hackerangreb (ligesom jeg ikke forholder mig til skyldsspørgsmålet overhovedet) – jeg siger: Hvordan fanden skulle politiet vide det, når de ikke selv har efterforsket gerningsstedet, men har ladet CSC selv om det? Det er ikke underligt, at myndighederne har forsøgt at holde dette forhold hemmeligt.

Professor i strafferet Jørn Vestergaard, Københavns Universitet, siger til Politiken, at de nye oplysninger kan svække anklagerens sag:

"Politiet har ansvar for efterforskningen, og dette kan man ikke overlade til andre. Politiet kan godt trække på ekstern sagkundskab, men så skal der opstilles et efterforskningstema, og undersøgelsen skal tilrettelægges under politiets ledelse og instruktioner. Anklagemyndigheden står dårligt, hvis politiet ikke har levet op til sit ansvar efter retsplejeloven."

Blandt det "bevismateriale" CSC har udleveret, er en logfil fra CSC, der viser, at den tyske IP-adresse, der omtales under bevis A, bliver nævnt i den påstede chat-samtalen mellem de anklagede. Til denne IP-adresse skulle hackerne angiveligt have downloadet filer fra CSC's systemer. Hvis det ikke allerede er klart, hvorfor dette principielt er problematisk, så opsummerer jeg lige:

For det første, står det klart, at chatloggen (fra bevis A) er i hvert fald delvist redigeret (brugernavnene). Der er ingen måde, det kan bevises uden enhver tvivl, at der ikke også er redigeret i den IP-adresse der nævnes i chatten. På samme måde har politiet ikke selv undersøgt CSC's systemer, så der er ingen måde vi kan være sikre på, at CSC's log er ægte. De kunne have forfalsket den for at prøve at få Anakata og den unge dansker i fedtefadet.

Igen: Jeg siger ikke at dette er tilfældet, eller sandsynligt. Men det er muligt. Fordi efterforskningen er en joke, som ikke engang Inspector Closeau ville have været bekendt.

Problem 5

Fejlagtig undersøgelse af påstanden om fjernstyringen af Anakatas computer

Et beslægtet aspekt er, at politiet jo ikke kun har pligt til at grave beviser frem der kan bevise de tiltaltes skyld. De har præcis ligeså stor pligt til at grave beviser frem, som kan bevise de tiltaltes uskyld, eller afdække om "offeret i sagen", altså CSC, måske har gjort sig skyldige i så grov forsømmelighed, at de selv burde sidde på anklagebænken. Mere om dette senere.

Politiet bør ikke være anklagemyndighedens forlængede arm; men det opfører de sig desværre som om det er det, igen og igen.

Se for eksempel dette guldkorn fra en artikel på Version2, fra ottende retsdag i sagen, hvor Luise Høj (forsvarer for Anakata) udspørger politiets IT-efterforsker Arne Lund Hansen om, hvordan politiet har undersøgt Anakatas påstand om, at hans computer er blevet fjernstyret.

Husk: Dette, om Anakatas computer er blevet fjernstyret af andre, er forsvarets helt centrale argument; der er ingen tvivl om at det kan lade sig gøre, hverken i teori eller i praksis. Det sker hver evig eneste dag. Alle erkender det og dette faktum førte til frifindelse i den svenske sag, som i grove træk er identisk med den nuværende danske sag.

Det har politiet såmænd gjort ved at undersøge, om fjernstyringsprogrammet psExec er installeret på Anakatas computer. Selvom Arne Lund Hansen selv bekræfter overfor Luise Høj, at programmet skal være installeret på computeren hos den person, der fjernstyrer, hvis det skal have fundet sted.

Og hvorfor? "Det fik vi til opgave", forklarer Lund Hansen. Den samme begrundelse bliver fremført, når forsvareren udspørger politiets efterforsker om, hvorfor de har undersøgt Firewall-indstillinger på Anakatas computer. Anklageren har givet politiet ordre til at undersøge det på den måde.

Brugernavne og kodeord til de enorme mængder personfølsomme oplysninger lå frit tilgængelige på det åbne internet.

Fik du den? Ellers så læs det igen.

Det svarer til, at jeg ringer til politiet og siger, at jeg er blevet skudt, hvorefter politiet giver sig til at undersøge, om jeg selv har en pistol. Hvis jeg ikke har det, kan jeg ikke være blevet skudt.

Jeg tror ikke, at det er sådan tingene normalt foregår, men når anklagemyndigheden i hackersagen her befaler politiet undersøge ting, som overhovedet ikke giver mening, og forsøger at bruge resultatet af undersøgelsen som "bevis" mod de to tiltalte, ryger fornuften åbenbart fløjten.

Fordi emnet er teknisk tungt, er der risiko for, at dommeren i sagen ikke forstår det og derfor vil tage "beviset" til efterretning. Det duer selvfølgelig ikke. Justitsmord er ikke mere acceptabelt, bare fordi sagen er teknisk af natur.

Selv en af politiets egne tidligere IT-efterforskere kunne i retten se, at politiets arbejde er til grin.

På samme måde har dansk politi ikke undersøgt indholdet af Anakatas computer i "ren tilstand", men derimod en kopi af indholdet, der er taget efter at svensk politi har tilføjet programmer med mere. Det svarer nogenlunde til at bestille en hovedrengøring inden man undersøger et mordsted for fingeraftryk.

Og desværre er disse forhold kun toppen af isbjerget.

Problem 6

Døren stod piv-åben til CSC's systemer

Det har under retssagen vist sig, at hvad de to tiltalte så end har gjort, burde CSC sidde på anklagebænken ved siden af dem: Brugernavne og kodeord, der kan bruges til at tilgå de enorme mængder personfølsomme oplysninger, lå frit tilgængelige på det åbne internet, og CSC har selv indrømmet under sagen, at der er tale om en "klar fejl"

Yderligere brugernavne/kodeord var så elendigt beskyttet, at man ved hjælp af en google-søgning kunne knække mange af dem på kort tid.

CSC – som altså får tonsvis af penge smidt i hovedet, for at beskytte vores data – havde ikke engang gidet at kryptere deres servere. Hvilket betyder, at man på ingen måde behøver at være hacker for at få adgang til systemerne.. det kunne man såmænd få, bare ved et tilfælde.

Det har også vist sig, at de sikkerhedshuller, som hackere angiveligt har udnyttet til få fri adgang til systemerne (efter at have logget ind med frit tilgængelige brugeroplysninger) ikke som hævdet - og gentaget under ed i retten - var såkaldte Zero Day sårbarheder (Zero Day betyder, at problemet har været kendt i nul dage – altså at sårbarheden er ukendt).

Derimod var der tale om kendte sårbarheder, som IBM havde udsendt varsel om, og løsning på blandt andet til CSC måneder i forvejen.

Konklusion

Et angreb mod demokratiet

Konklusionen er, at det måske nok er rimeligt at tale om Angreb Mod Demokratiet – men truslen er ikke et par unge mennesker, der måske/måske ikke har snust rundt i noget de ikke burde snuse rundt i.

Hvordan pokker kan sådan noget finde sted i en retsstat uden at det medfører et gigantisk ramaskrig?

Truslen er dels, at vi som samfund er villige til at opgive helt normale retsstatsprincipper i sager, der er tekniske af natur.

Og dels, at vi udliciterer kritisk dansk IT-infrastruktur til store multinationale selskaber (ovenikøbet nogle, der er fedtet ind i amerikanske efterretningstjenester), som tydeligvis har andre prioriteter end at sikre danske borgers personfølsomme oplysninger.

Hiv skidtet tilbage på danske hænder, rejs sigtelse mod CSC for kriminel forsømmelse og ansæt et par unge, kloge hoveder – som for eksempel Anakata og den unge dansker – til at sørge for, at vores systemer er sikre.


* En stor tak til Jacob Sorgenfri Kjær (Politiken), Version 2, Anders Kjærulff (Aflyttet/Radio 24Syv), Sebastian Gjerding (Information)  m.fl.