Hvis du stoler på os har du ikke noget at frygte.

Vi kender allesammen rumlen med, "Hvis du ikke har gjort noget ulovligt, har du ikke noget at frygte"

Tit sagt til sølvpapirshattene, de paranoide, de eftertænksomme, de kloge, de vidende. Ofte siges det jo af folk der knapt nok har hørt hele spørgsmålet om noget utrygt, før de straks søger tryghed fra hvad det nu måtte være. Vi har en befolkning der styres med frygt, utryghed, og devaluerede menneskelige værdier. Vi ser det tydeligt ved folketingsvalget, som burde få enhver dansker til at græde.

Dette indlæg er inspireret af CSC hackersagen: sagerne mod danskere JT og svenskeren Anakata.

Jeg vil i nedenstående prøve at fortælle, hvorfor min langsigtede plan er at forlade Danmark, til fordel for Amsterdam.

Politikerne styrer med løgne

Nødløgne er idag fasttømret som udtryk og vi ser en valgkamp som er spækket med løgne, pegen fingre og kortsigtet spin, føj for satan!

Desværre er problemet langt større end selv cirkus-folketingsvalg antyder.... for vi ser at fakta forholdes relevante politikere, eller nedtones når de lækker... vi ser krige startes og data glemmes eller gemmes så længe som muligt - indtil færrest mulige er interesseret. I kender selv mørklægningsloven eller den nye offentlighedslov som vi fik. Sikke et spin på noget der basalt set fjerner data fra os - borgerne, eller skulle vi måske nærmere sige: fra os, kunderne.

De seneste eksempler er blandt andet at først nu, mange år efter, indkaldes løgnere som Anders Fogh og Per Stig Møller til afhøring angående Irakkrigen.

Se eksempelvis

"Irak-kommissionen indkalder Anders Fogh og Per Stig Møller til afhøring"

http://www.information.dk/535152

Godt den generelle tilstand af embedsvældet og spindoktorparadiset er tydelig at se.

Systemiske fejlslag

Vi har altså opbygget, eller tilladt, et styresystem i Danmark som via et djøficeret embedsmandsvælde ikke formår at rette fejl i samme hastighed som de begås.

Fejl er utilgivelige, og derfor er erfaring kun erfaring i hvordan man snor sig til tops i systemet, uden at træde ved siden af.

Den mindst egnede lander på toppen og vi betaler allesammen prisen.

Der er generelt en manglende vilje til at gøre det smidigt og effektivt at rapportere fejl, så vi effektivt kan fjerne dem. Det er stik imod min logik at man hellere fastholder skadelige systemer fordi man ikke vil tabe ansigt. Fuck hvor er der mange eksempler - bare indenfor vores fag, IT-faget.

Case in point, vi vil kunne starte en IT-havarikommission som vil koste en 1/8 polsag - altså en brøkdel af prisen for de fadæser som hele tiden vælter ud i medierne. Vi evner simpelthen ikke at lave store IT systemer godt nok - og det er der mange grunde til. Det er fint hvis I kan finde eksempler på succes. Dejligt! Men det løser ikke det kæmpe problem vi har med spild af resourcer til polsager, som rammer os som samfund dagligt.

Vi spilder flere og flere resourcer, og tror naivt og blindt på at næste IT-system med den magisk sovs giver effektivitetsforbedringer og optimeringer - i excel-arket - måske.

Hackersagen

Går vi så i kødet på hackersagen, som jeg vil forsøge at trække lidt frem. Så er det beskæmmende hvordan det kunne forkludres så grusomt. Ret beset sker der jo hacking dagligt i Danmark, og jeg har haft fingre i min andel af hackede systemer. Det sker, punktum. Ingen har 100% sikkerhed.

Hvis du er en større organisation som IKKE har været hacket... lol - så skal du nok begynde at se om du har de rigtige folk ansat - dem som kan opdage at systemerne er hacket hos jer. Derudover sker der også indenfor systemerne en masse overtrædelser, hvor man misbruger sine beføjelser.

Nå, CSC sagen handler om hacking af et mainframe miljø hos CSC, så langt så godt. Hackingen bliver efter "nogen tid" opdaget, via henvendelse fra svensk politi - I kan læse mere om sagen på version2.dk.

Da sagen startede var jeg interesseret, for vi ikke har ret mange sager omkring IT-sikkerhed, og da jeg arbejder med netop hacking og IT-sikkerhed fulgte jeg sagerne med stor interesse. Jeg håbede på klare udmeldinger om hvad man må og ikke må i Danmark - vi skal vide hvor vi står! Desværre er der nu et par år efter, kun skidt at sige. Hele sagsforløbet har uden undtagelse været en skuffelse.

Lad mig forsøge at gøre det kort mht. sagen mod JT:

Indespærret i 17 mdr

Dom på 6 mdr for at overdrage brugernavne (ikke koder) til en 3-part, som forsøgte at hacke ind, ved hjælp af kode.

NB: bemærk at brugernavne kom fra dokumenter fundet med en søgemaskine på CSC's egne hjemmesider, og andre koder som denne person (ikke JT) prøvede kom fra andre hacks - fra pastebins.

WTF?! Jeg kan simpelthen ikke i min vildeste fantasi få det til at passe nogle steder, at JT straffes for dette. Specielt når ingen andre hverken hos CSC eller politiet - der har ansvaret - er blevet straffet.

Dernæst er beviserne mod JT som fremlagt belemret med store juridiske problemer - IANAL - men FFS:

Dømt på indicier og redigerede chatlogs - som det nu i juni 2015 kommer frem oven i købet er oversat. Originalerne var tilgængelige og blev brugt af forsvaret, mens anklagere brugte den oversatte - hvor "lol" oversættes med "griner"

Sagen er ikke efterforsket af politiet selv, men man forlader sig på beviser og rapporter fremlagt af konsulent betalt af CSC

Samme konsulent har også tidligere udtalt sig negativt om Anakata sagen

En politimand er nu i problemer grundet Oliver-North-værdige kommentarer og "dårlig hukommelse", og belejligt nok: liiiige netop denne her sag har de glemt at optage paa tamper-safe baand som det ellers er praksis at gøre i alle andre retssager ...

Er det et retssamfund værdigt? Nej, det er jo forrykt hvordan man kan plette en ung mands straffeattest på så løst grundlag. Det bliver spændende at se hvordan erstatningssagen ender! NB: skal her bemærke at jeg kender JT, og kendte lidt til ham før sagen.

Vi står altså med et clusterfuck fra alle sider, som vi ikke engang har optaget på bånd, men "forbryderen" fik sin straf - så det er vel 1-0 til systemet?! I min bog er det både sølle, hævngerrigt, inkompetent, udover at det rent menneskeligt er foragteligt at man sløser sådan i en dansk retssal!

Tekniske beviser og computer forensics

Jeg nævnte kort nogle beviser ovenfor, og da jeg ikke er sikkerhedsgodkendt har jeg ikke adgang til alt. Der er dog et væld af dokumenter fra den svenske Logica sag. Relativt teknisk og dejligt detaljeret. Jeg får jævnligt flashbacks til mit tidlige studiejob med PL/I og mainframes omkring midten af 1990'erne.

Det er i sagens natur fyldt med teknik, og det skal det være! Gerne så man kan reproducere resultaterne. Se her:

Illustration: Privatfoto

Når rapporterne indeholder grep kommandoer så er det fint.

￼

Desværre er grep nok ikke udenadslære for hverken advokatstanden ej hellere en almindelig borger der er indkaldt som nævning til sagen. Så det er altså en udfordring at forklare sagens rette sammenhæng - hvad der kan bevises og hvad der ikke kan bevises.

Så når vi gentagne gange hører de ansvarlige fortælle at de ikke er teknisk kyndige, og de skal forklare, opsummere og troværdigt udlede konklusioner - så bliver det svært!

Data er nemlig yderst flygtige når vi skal bruge dem som beviser. Mere flygtige end når vi i fysik i gymnasiet talte om at målinger påvirker et system.

Hvis du er helt på bar bund indenfor computer forensics, så læs evt. kapitel 1 "The spirit of forensic discovery" på

http://www.porcupine.org/forensics/forensic-discovery/chapter1.html

Husk også at læse det første citat, som jeg synes passer godt ind her:

Now, a few words on looking for things. When you go looking for something specific, your chances of finding it are very bad. Because, of all the things in the world, you're only looking for one of them. When you go looking for anything at all, your chances of finding it are very good. Because, of all the things in the world, you're sure to find some of them.

-- Darryl Zero, The Zero Effect

Så når man som anklager leder efter beviser på at Anakata har brudt ind i CSC, så glemmer man at undersøge om det kunne være andre. Faktisk ignorerer man at der er andre der allerede har fordøjet data: private konsulenter. Der ses bort fra at det computersystem Anakata har ejet, har været delt blandt flere. Det er hele formålet med denne computer.

Så med Peter Kofods ord er vi vidne til et justitsmord i slow motion. En inkompetent anklagemyndighed repræsenterer systemet, der kræver straf, uden teknisk viden eller ønske om at lære fra eksperterne. Anklager ignorerer alle protester og lyver blindt for at få sagen "på plads" i et imaginært puslespil. Anklageren opdigter selv en historie ud fra en del-mængde af tilgængelige fakta, mens han snildt ser bort fra alt andet der ikke passer i det forskruede verdensbillede. Selv begreber som er helt almindelige for IT faget misforstås og løftes frem som endegyldige sandheder, som alle forventes at æde råt. De seneste tiltag der får lov at passere er at lægge ord i munden på vidner, se https://twitter.com/ksvartholm/status/608293087690035201 fra Anakata's mor.

Så når politiet kigger efter X og kun ser efter X, kan de med rette ikke udtale sig om det kunne være sket anderledes end de forestiller sig. De har ikke engang overvejet det grundigt. Til understøttelse kan siges at den selvsamme problematik blev undersøgt i den forudgående svenske sag - som derfor nåede frem til et andet resultat. Se også linket i bunden, hvordan sagen mod Anakata baseres på en lillebitte delmængde af beviserne, og hvor kun "temaer" har været undersøgt. Jeg er ikke uddannet politimand, men jeg kender logs og computer forensics nok til at den metode IKKE er fyldestgørende eller giver et rigtigt billede af hvad der er foregået.

TL;DR Politiet i Danmark ved ikke hvad der er foregået i sagen, men de mener klar at Anakata er skyldig - i et eller andet - og damned om de vil lade ham slippe! Er det blot dårligt arbejde eller justitsmord?

Hvis ikke det var fordi JT var fængslet så længe, og Anakata stadig sidder bag lås og slå ville vi kunne grine, men nu må vi stå og måbe - for det kunne være enhver af os der kom i lignende problemer. Tænk over hvad man kalder et system, hvor magthaverne til hver en tid kan "finde noget på dig", og du selv kunne være fængslet 17 mdr for bagateller og snik snak på en chat, eller hvis et af dine systemer blev hacket og misbrugt.

Så teknikken bagved hacking lader ikke til at være godt kendt af anklagere - og det skader sagen, og det burde i sig selv føre til frifindelse.

For hvad er alternativet?

Denne sag of fremtidige IT-hackersager

Når vi har en hackersag, hvor loven er brudt, og dette er bevist - så bør der naturligvis være en straf. Vi skal have klar og tydeligt lovgivning, en mangelvare, og bevisbyrden skal kunne løftes - og vi der arbejder indenfor faget skal kende kravene til beviserne, så vi kan medvirke til at de gemmes.

Samtidig, og logisk nok, bør det følge, at når det ikke kan bevises hvem der udførte handlingen, så må det føre til frikendelse.

Specielt sagen mod JT, som jeg forstår den, er at JT overdrager brugernavne (ikke koder) til en 3-part som forsøgte at hacke ind, ved hjælp af kode. JT har altså ikke selv foretaget den ulovlige handling, men grundet at overdragelsen sker til en, som han måtte forvente ville misbruge dem - så er det ulovligt. WTF - hvis man skriver offentligt på en hjemmeside at der nok er en bruger ved navn "root" på CSC's VMware ESX miljø - er det så hardcore hacking?! Hallo hvad sker der her?

Jeg er normalt meget pædagoisk når jeg forklarer exploits, hacking, netværksprotokoller og assemblerkode for unge studerende, men her taler vi altså om "lovovertrædelser" som svarer til at køre forbi Valby og sige - derinde ligger CSC med alle vores data. Der er ingen sag, hvis det er hvad man kan dømmes for. Når de så samtidig har holdt ham indespærret 17 mdr og udført en fiasko af en retssag?!

Det tyder ikke godt for fremtidige anmeldelser hvis man blot som forurettet kan undersøge sig selv, overdrage "beviserne" og så afvente at modparten holdes fængslet på ubestemt tid, med den skade dette medfører på liv, uddannelse, anseelse, økonomi, private forhold osv.

Det er her både politiet, anklagemyndigheden og retsstaten burde står skoleret og love bedring! Jeg kan love for at der falder brænde ned næste gange de fængsler på så løst grundlag. Husk lige, hvis du skulle have glemt det, at brugernavne blev fundet med en søgemaskine på OFFENTLIGE HJEMMESIDER HOS CSC!

Hvis man kan dømmes for det, så er vi alle i fare! Slå straks fuld diskkryptering til hvis du er i fare, og det er vi sådan set alle med den type domsafsigelse!

Jeg har ikke ord der beskriver den inkompentence der må ligge til grund for 17 mdr arbejde med indsamling af beviserne - som så fremlægges af advokater uden nogen tekniske kompetencer ... det er jo helt galt.

Ruinen CSC og politiets data

Når så snakken falder på CSC og politiet, som jo er kardinalpunktet her. Så har de sgu ikke gjort det særligt godt. Hvis de anser en teenager med en søgemaskine som en stor trussel, så er vi sgu blottede som nation. Altså udover at CSC er amerikansk og samarbejder med NSA, så er der stor risiko for at vores centrale databaser allerede ER taget.

Til at dække disse udsagn vil jeg blot henvise til nærmeste søgemaskine, hvis du tør søge på CSC eller start med http://www.version2.dk/artikel/efter-ny-sikkerhedsrevision-rigspolitiet-...

Så vi taler altså om at sikkerheden hos CSC i de pågældende systemer ca. er lige denne maximum security entrance.

Seriøst, jeg kender nogen der arbejder hos CSC, og har arbejdet hos CSC, Hej E.D. De er jo som sådan ikke imbecile men

facility management (FM) drift i Danmark eller outsourcing som det så fint hedder er både en jungle og en narresut. Hele konceptet går ud på at levere et minimum, det som er beskrevet i kontrakten, samt lave så få ændringer som muligt - for ændringer kræver resourcer og risikerer at skubbe til de store (uoverskuelige) IT miljøer.

Koblet med en virkelighed hvor der i 2014 kom ca. 19 sårbarheder - om dagen - så er der garanti for at sikkerheden degenererer over tid. Incitamentet for at gøre noget ekstra for kunden er næsten nul, og efterhånden er der måske kun pligtopfyldelsen hos de enkelte medarbejdere tilbage som giver et værn mod de mest tåbelige IT-sikkerhedsproblemer. Vi så også med Nets skandalen (Se og Hør sagen) hvordan enkelte medarbejdere over tid opsamler viden og rettigheder til at gøre skade.

og vi ser også at andre skeletter falder ud af skabene,

http://www.computerworld.dk/art/234096/myndigheder-bner-stor-svindel-sag...

og så kom der lige bonus i samme uge - efter jeg havde startet dette indlæg:

Mulig bestikkelsessag i det offentlige: 13 anholdt i stor aktion

http://nyhederne.tv2.dk/krimi/2015-06-09-mulig-bestikkelsessag-i-det-off...

"De anholdte er medarbejdere i Region Sjælland, en medarbejder i Rigspolitiet og personer med tilknytning til to it-leverandører."

Så istedet for at indrømme straks at alle bliver hacket og CSC brugte en million på at forbedre sikkerheden, så tog man istedet PR folk ind og prøver med hele systemets vægt at tryne alle? Det svarer til DMCA og Wassenaar som i disse dage bliver brugt til at knægte og slukke livsmodet hos dem der arbejder med IT-sikkerhed.

Hint: hverken CSC, KMD, Nets eller andre bliver mere sikre af PR - det kræver en holdningsændring helt andre steder.

Konklusion

Hvis der er en konklusion er det for mig at jeg slet ikke er sortseer nok, jeg er ikke paranoid nok med mine data der overdrages til det offentlige. Min tiltro til at der eksempelvis udregnes og opkræves korrekt skat eller fejl i andre offentlige systemer til sidst nok skal blive rettet - er lille, meget lille.

Hele digitaliseringen baseres på solskinsscenarier om hvor godt det kan gå, hvor mange penge vi kan spare og alle de uendelig mange fordele vi får 100% gevinst på.

Jeg brækker mig og vreden stiger straks.

Andre kilder med mere info, fra min bramfrie ven Peter Kofod.

https://www.denfri.dk/2015/06/i-loevens-hule-mit-oplaeg-til-danske-medie...

https://www.denfri.dk/2015/06/kafka-anakata-i-landsretten-et-justitsmord...

Lidt dækning af tekniske problemer - bemærk det nu ikke længere er byretten, men FFS en i landsretten at sagen sjofles!

http://www.version2.dk/artikel/manglende-teknisk-indsigt-udfordrer-histo...

Lidt gode nyheder - små skridt

http://www.version2.dk/artikel/efter-ny-sikkerhedsrevision-rigspolitiet-...

Dine data er i fare og det er tid til at være mere varsom, og kræve at AL digitalisering skal gå VÆK fra enorme, centrale data-aggregeringer, som altid er en risiko. Tak til @lpfischer som jeg lige huggede lidt fra.

Samfundet idag

Det samfund vi har idag tillader:

Dyneløfteri, statsligt numsegramseri - hvor vi overvåges på sociale medier som den mest naturlige ting

Censur i form af DNS censur for at sikre skat og omsætning i danske mafiaspil og medieindustrien

ca. 100 undtagelser fra § 72 siger, at boligen er ukrænkelig - det lyder ellers flot - ukrænkelig

http://www.ft.dk/Demokrati/Grundloven/Hvad%20siger%20grundloven/Kapitel%...

http://www.ft.dk/Demokrati/Grundloven/Hvad%20siger%20grundloven/Kapitel%... Almindelige borgere må knapt gå med en lommekniv, når det står politiet frit for at tolke et makværk af en lov som de ønsker. "Hvis den kan åbnes med een hånd" - ALT kan sgu åbnes med en hånd. Spørg en handicappet!

Danskere trynes af Skat - og klagesager syltes - syltes og gemmes væk ...

Vi er allesammen reduceret til en arbejderbi i et excel-ark hvor #dkpol allesammen står i kø for at tage æren for vores arbejde, og fordele vores skattekroner.

Husk det når I skal stemme til valget, hvis I tror det nytter.

Efterskrift

Jeg er naturligvis ikke så blåøjet at jeg tror Amsterdam, Holland er perfekt - men som ekspat i Holland kan jeg nemmere skide højt og flot på dansk politik og forventes nok ikke at indgå i så meget debat omkring den nationale Hollandske. Jeg kan snige mig i en orange sportstrøje og smile med mine nye landsmænd.

Kilder:

https://www.gfi.com/blog/most-vulnerable-operating-systems-and-applicati... An average of 19 vulnerabilities per day were reported in 2014

http://arbejderen.dk/indland/del-i-chat-amok-i-landsretten Del I: Chat-amok i Landsretten, Peter Kofod rapport fra Østre Landsret - med pressekort