Manglende teknisk indsigt udfordrer historisk hackersag i landsretten

Retssystemet står over for en udfordring med at håndtere it-teknisk komplicerede sager, lyder det fra forsvarsadvokaten for den dømte svenske hacker Gottfrid Svartholm Warg, hvis ankesag er ved at blive behandlet i landsretten.

Nævninge og dommere udgør langt størstedelen af de tilstedeværelse i retslokalet i Østre Landsret, mens vi venter på, at svenske Gottfrid Svartholm Warg møder op.

Ud over undertegnede journalist befinder få andre gæster sig i lokalet for at overvære retsmødet for den svenske hacker, der i oktober sidste år i byretten blev kendt skyldig i at have hacket Rigspolitiets it-systemer i CSC’s mainframe-computer og fået adgang til blandt andet kørekortregistret. Sagen er blevet kendt som danmarkshistoriens største hackersag og involverede desuden danskeren JT, der blev kendt skyldig i medvirken til hackingen. Warg ankede sagen, som således blev genoptaget i landsretten i marts.

Det er mandag, og der er kun lidt over en uge til, at dommen falder. Og mens sagen blev grundigt dækket i flere medier (heriblandt Version2) i efteråret, så er sagen denne gang gået stort set ubeskrevet forbi i medierne.

Wargs mor, Kristina Svartholm, er til stede til retsmødet og fortæller om, hvordan en aktivist fra Estland tidligere mødte op til ankesagen med banner og råbte: »Free Anakata« (Wargs nickname, red.) og endte med at blive smidt ud af politiet.

»Der skulle I medier have været her,« siger hun og undrer sig over, hvor medierne har været henne i sagsforløbet.

Warg ankommer med eskorte i form af to politimænd 50 minutter forsinket. Politifolkene får en ordentlig røffel af anklager Anders Riisager for forsinkelsen, hvorefter retsmødet går i gang.

Læs også: Historisk dom i hackersagen kan bryde med klassisk hackerforsvar

Forsvarer: »Vi mangler fornøden teknisk indsigt for at behandle sag«

Første vidne, der bliver kaldt ind, er den svenske sikkerhedskonsulent Robert Malmgren, der som ekstern konsulent har stået for at lave en efter eget udsagn uafhængig rapport over forløbet med hackingen af CSC’s mainframe i 2012.

Det meste af den første time går derefter med, at anklageren læser op af rapporten og fra vidnets tidligere udsagn i byretten. Det går hurtigt, og indholdet er svært teknisk, så det er en udfordring for undertegnede it-journalist at følge med.

Nævningene forsøger også at skjule et gab eller to.

»Jeg har også svært ved at forstå det - hvordan skal nogen af nævningene kunne følge med i beviserne?« siger Kristina Svartholm i en af pauserne.

Og det er netop en af de store udfordringer ved hackersagen, der er historisk netop på grund af sine mange teknikaliteter, ifølge forsvarsadvokaten for Gottfrid Svartholm Warg, Luise Høj.

»Jeg synes generelt, at forløbet bliver ved med at være præget af, at vi alle mangler den fornødne tekniske indsigt til at behandle den her sag, og det præger hele processen,« siger hun.

»Det er bemærkelsesværdigt, at vi har politifolk, som lægger hovedet på blokken og siger, hvordan tingene forholder sig, og når vi så får tekniske eksperter frem, kan de alligevel betvivle det,« siger hun og henviser til eksemplet med fjernstyringen af Wargs computer.

Selvom det er blevet fastslået i retten, at hackingen fandt sted fra Wargs computer, er et af forsvarets centrale argumenter, at computeren kan have været fjernstyret. Det ville blandt andet kunne lade sig ved hjælp af et python-script, har it-ekspert Jacob Appelbaum tidligere forklaret i retten.

»Først siger politiet, at computeren ikke kan fjernstyres, så siger vores ekspert, at det kan den godt,« siger Luise Høj og perspektiverer sagsforløbet:

»I andre sager, som f.eks. mordsager, plejer vi vi ikke at køre frem og tilbage med sagkyndige, der modsiger hinanden.«

Da vidnet Robert Malmgren er svensk, bliver store dele af forløbet afbrudt af tolken, som skal oversætte mellem dansk og svensk.

Her viser de tekniske udfordringer sig igen.

Da snakken falder på tyske ip-adresser og hackernes brug af en VPS-tjeneste, bliver sidstnævnte på stærkt forenklet vis oversat til ‘sky-tjeneste’.

Tolken fortæller i en pause, at det ganske rigtigt kan være en udfordring at oversætte alle de tekniske begreber, men at det bliver bedre, for hver gang sagen bliver anket, og tingene bliver gentaget.

»Hvis det går videre til højesteret, kan det være, at jeg får helt styr på det,« fortæller tolken.

»Vi har generelt det problem med tolkene, at vi taler et juridisk sprog, og det kan være svært at oversætte. De skal både forstå jura og teknik, og det er en vanskelig opgave,« tilføjer forsvarsadvokat Luise Høj.

Kamp om ligheder med andre hackersager

Det meste af dagen går med at diskutere, hvorvidt hackersagen hos CSC kan sættes i forbindelse med andre lignende hackersager fra Sverige.

Gottfrid Svartholm Warg er tidligere blevet dømt for at have hacket sig ind i Logicas mainframe i Sverige sammen med svenskeren Mathias Gustafsson og har været anklaget og senere frikendt for at have hacket Nordea i Sverige.

Anklageren udspørger derfor den svenske sikkerhedskonsulent Robert Malmgren om sammenhængen mellem metoderne for hackerangrebene hos CSC og Logica.

Hackeren fik adgang til Logicas mainframe gennem FTP-serveren ifølge rapporten fra Malmgrens konsulentfirma Romab, mens CSC’s mainframe blev kompromitteret ved hjælp af en zero-day exploit i webserveren.

»CSC-kompromitteringen er i karakter meget lig de kompromitteringer, der er sket på mainframes tilhørende den nordiske bank Nordea og it-udbyderen Logica,« står der i den del af Romabs rapport, som bliver læst op af anklageren.

Rapporten blev også brugt, mens sagen var i byretten, men fordi sagen er anket til landsretten, er det en del af proceduren, at de tidligere beviser og udsagn bliver gennemgået, og der bliver som udgangspunkt kun stillet supplerende spørgsmål.

Den indkaldte sikkerhedskonsulent Robert Malmgren erklærer selv, at hans rapport er uafhængig. Men det blev anfægtet af forsvarsadvokaten, allerede mens sagen var i byretten, og det bliver det nu også i landsretten.

Forsvareren pointerer, at vidnet ikke er uvildigt. Romab har tidligere undersøgt Logica-sagen i Sverige, hvor Warg blev dømt skyldig, og da han blev frifundet for Nordea-hackingen, faldt det den svenske sikkerhedsekspert for brystet. Han udtalte i den forbindelse til den svenske avis Metro, at dommen ville gøre det sværere at bekæmpe kriminalitet på nettet.

Anklager Anders Riisager udspørger nu Robert Malmgren om de forskellige sammenhænge mellem angrebene. Rapporten fra Romab peger på '9 korrelationer og ligheder med de svenske indtrængninger', heriblandt at der under begge angreb har været udvist interesse for den offentlige sektor generelt samt i særlig grad for politi og retshåndhævelsen.

Til at hacke CSC og Logica blev der brugt to scripts med de enslydende navne kuku og koki ifølge rapporten.

»Navnemæssigt ligner kuku og koki hinanden. Men når du analyserer scriptene og programkoderne, er de så identiske?« spørger Anders Riisager vidnet.

»De er ikke identiske, men der findes mange ligheder, hvor man kan sige, at en central bid er, at den, der har skrevet programmerne, har fundet ud af, hvordan man i IBM’s z/OS (styresystemet til IBM’s mainframe hos CSC, red.) kan få adgangstilladelse og få udvidet systemrettighederne, så man får adgang til mere i systemet,« siger Robert Malmgren i retten.

»Koki og kuku har samme formål. Og teknisk er de meget lig hinanden?« spørger anklageren.

»Når man skriver et computerprogram, kan der være tusindvis af linjers kode. Men de her to er begge kun 30-50 linjer,« siger Robert Malmgren.

Han forklarer, at begge scripts er skrevet i programmeringssproget Rexx, som netop benyttes på IBM mainframes, som et andet eksempel på sammenhængen mellem Logica- og CSC-angrebene.

Andre sammenhænge går ifølge sikkerhedseksperten på, at der har været tyveri af information og upload af egne programmer (de nævnte scripts).

Flere af disse forklaringer bliver mødt med modspørgsmål fra forsvareren, der forsøger at påpege det trivielle i sammenligningerne.

»Jeg hæfter mig ved, at du sagde tyveri af information. Er det ikke det, som hacking går ud på?« spørger hun.

»Det behøver det ikke at være,« svarer Robert Malmgren.

»Men vil det ikke typisk være det?« spørger hun.

»Man kan både manipulere information, få kontrol med systemet eller tilføje information. Og hvis det f.eks. er et styresystem til et vandværk, kan man åbne værket,« svarer sikkerhedskonsulenten.

»Hvad med upload af egne programmer til en server. Er det ikke standard for en hacker?« spørger Luise Høj.

»Ikke altid. Man kan benytte sig af de værktøjer, der er. Eller man skriver on-the-fly,« svarer Robert Malmgren.

»Du mener ikke, at det er standard modus operandi, at man uploader egne programmer?« spørger forsvareren.

»Man kan gøre det, men det er ikke altid sådan,« lyder svaret.

»Jeg spørger om standarden, ikke om yderpunkterne. Er det ikke standard, at en hacker uploader egne programmer? spørger forsvarsadvokaten videre.

»Det kommer an på, hvad man mener med egne programmer. Hvis det er en exploit, så er det temmelig almindeligt,« forklarer Robert Malmgren.

Under sagsforløbet når vidnet desuden at ændre på en af sine andre forklaringer.

Adspurgt af anklageren om, hvor mange mennesker i verden, der vil være i stand til at udvikle software til IBM-mainframens styresystem z/OS og dermed kunne lave en exploit, lyder svaret i første omgang på 'meget få - måske 5'.

Den forklaring ændrer sig dog, efter at forsvareren Luise Høj spørger ind til, hvor han har det tal fra.

»Du siger, der er en håndfuld mennesker, der er i stand til at hacke mainframes. Hvor kommer det fra?« spørger hun.

»Man må forenkle det hele meget. Del er der en, der kan finde sikkerhedshuller, og en, der udvikler værktøjer. Det er der ikke mange, der kan af flere årsager: den tekniske viden og adgangen til den her type af system for at søge på sikkerhedshuller. Det er der ikke mange i verden, der kan,« svarer Robert Malmgren.

»At der ikke er mange i verden, der kan det, er noget andet end en håndfuld,« siger Luise Høj.

»Jeg kan ikke sige noget håndfast, men det er ikke mange - ikke tusind, ti tusind eller hundrede tusind,« svarer Robert Malmgren.

Forsvarer: Ulige kamp

For hver teknisk rapport, der bliver fremlagt under retssagen, har både anklager og forsvarer haft eksperter til at gennemgå dem og pege de relevante detaljer ud.

Og her påpeger forsvaret, at det er en ulige kamp mod anklagerens efterforskere.

»Jeg har fået beskikket 80.000 kr. under denne sag indtil videre, og de penge løber stærkt. De rapporter, som jeg formidler videre, skal min tekniker læse og lave rapporter om og fortælle om i retten. Med hans timetakst er det meget få timer,« siger Luise Høj og anslår timelønnen til at ligge på omkring 2.000 kr, hvilket giver ca. 40 arbejdstimer.

»Konsekvensen er princippet om equality of arms og handler om balancen med de skyts, som vi hver især kan stille frem,« siger hun og kritiserer blandt andet politiet for løbende at justere på sine rapporter, som så skal gennemgås af hendes tekniker igen.

»Jeg må ikke få gratis hjælp, selvom der er mange, der har tilbudt det. Jeg skal bruge en sikkerhedsgodkendt tekniker,« fortæller hun.

Samtidig er forsvaret også begrænset af kun at have adgang til de rapporter, som politiet fremlægger, men ikke selve sagsmaterialet, som f.eks. indholdet på Wargs computer, der blev konfiskeret i Cambodja og nu er i politiets varetægt ifølge Luise Høj.

»Vi kunne godt tænke os en kopi af harddisken og se på de undersøgelser, som politiet har fået,« siger hun og fortsætter:

»Problemet er, at politiet har været dårlige til at dokumentere, hvad de har foretaget sig. Man er bare kommet med konklusioner i rapporterne.«

Eksempelvis stod der ifølge forsvareren ikke noget i rapporterne om nogen undersøgelser af, hvad konsekvensen var for CSC, når de ikke brugte netstat. Derfor betalte forsvaret selv for en analyse af det - for så at finde ud af, at den analyse allerede var blevet lavet.

»Men det stod der ikke noget om i rapporterne. Der kunne vi have sparet 25.000 kr.,« siger hun.

Ankesagen mod Gottfrid Svartholm Warg lakker mod enden. Der bliver voteret i sagen tirsdag den 16. juni, og dommen vil sandsynligvis blive offentliggjort om onsdagen.