Softwareudvikler er tiltalt for hacking og hærværk mod it-system i søns børnehave

En bekymret far, der valgte at tage sagen i egen hånd og fandt sårbarheder i en børnehaves it-system, er nu blevet tiltalt for på ulovlig vis at have tiltvunget sig adgang til systemet. Retssagen kan danne præcedens ifølge professor.

Er man kriminel hacker, hvis man undersøger sikkerheden i et udbredt it-system og finder et hul?

Det spørgsmål, vil en hacker-tiltalt softwareudvikler snart få svar på.

Hvad der startede som en bekymring over manglende sikkerhed i it-systemet i sønnens børnehave er nu endt med en straffesag.

Softwareudvikleren Henrik Høyer er netop blevet tiltalt af politiet for både at have hacket og udøvet hærværk mod it-systemet i sin søns børnehave i Køge den 17. december 2014. Han skal nu forsvare sin sag i byretten i Roskilde.

»Jeg er uskyldig,« siger Henrik Høyer, der selv påpeger, at han bare forsøgte at gøre opmærksom på en række sikkerhedshuller i systemet:

»Jeg er irriteret over, at de skyder på budbringeren. Jeg har ikke hacket systemet - jeg har blot konstateret, at det kunne hackes.«

Sagen, som tidligere har været omtalt på Version2, startede med, at børnehaven Frændehus havde fået et nyt it-system fra leverandøren Infoba, som blandt andet fungerer som en digital udgave af opslagstavlen mellem forældre og pædagoger i børnehaven.

Systemet gemmer blandt andet på informationer om børnenes fravær samt mere følsomme personoplysninger omkring børnenes allergier og sygdomme.

Det var på den baggrund, at Henrik Høyer blev bekymret for it-sikkerheden i systemet, når han skulle indtaste disse oplysninger om sin søn.

Derfor valgte han at teste, om systemet nu også var sikkert - hvilket han kunne konstatere ikke var tilfældet.

Han mener selv at have fundet en 2-3 sikkerhedshuller, som han efterfølgende gjorde it-leverandøren opmærksom på via email. Dette modstrider med Infobas forklaring, der går på, at Henrik Høyer i mailen kun havde gjort opmærksom på, at løsningen ikke benyttede sig af den nyeste type af krypterede SSL-forbindelse, TLS.

Hærværk eller uskyldig pop-up?

Omkring en times tid efter, at Henrik Høyer efter eget udsagn havde informeret Infoba om sikkerhedshullerne via email, valgte han at udnytte et af dem til at advare forældre og pædagoger i sønnens børnehave om systemets sårbarhed.

Selve beskedsystemet var nemlig programmeret således, at det ikke rensede de forskellige indlæg for eventuelle script-koder. Henrik Høyer kunne derfor bruge script injection-metoden til at skrive en besked i systemet med et javascript, der fik en popup til at komme frem hos brugerne.

I beskeden stod der: »Ring til Infoba og sig, at jeres nye intranet-løsning er blevet hacket«.

Derefter valgte Infoba at politianmelde softwareudvikleren.

»Jeg bliver nødt til som it-ansvarlig at tage det seriøst, når vores system bliver hacket,« sagde Infobas produktchef, Torben Væring, til Version2 i juni 2015.

»Han fik kun sat en Javascript-besked op, selvom han har forsøgt på rigtig meget mere,« uddybede han.

I anklageskriftet står Henrik Høyer ikke bare tiltalt for at have systemet. På grund af javascript-finten, står han også tiltalt for hærværk, eftersom popup-beskeden i børnehaven ifølge politiet »ødelagde eller beskadigede data tilhørende Infoba«.

At sådan en pop-up ligefrem kan kategoriseres som hærværk er dog tvivlsomt ifølge juraprofessor Lars Bo Langsted fra forskningscentret i cyberkriminalitet ved Aalborg Universitet.

»Det er diskussionen med at ødelægge eller beskadige data. Der har det været retspraksis, at hvis man lægger bagdøre ind i et system, så er det hærværk eller ødelæggelse,« siger han og henviser til blandt andet CSC-hackersagen.

Henrik Høyers popup var dog ikke en bagdør, men en simpel tekst-besked, som brugeren kunne klikke væk og som ikke gjorde yderligere ifølge tiltalte.

»Det er lidt tvivlsomt i den her sag om data er beskadiget eller ødelagt. Jeg ved ikke, hvor langt man kan komme ud i det abstraktionsniveau,« siger Lars Bo Langsted.

»Jeg opfatter det ikke som hærværk,« siger Henrik Høyer.

Professor: Første retssag af sin slags

Ikke desto mindre er Henrik Høyers javascript-finte med til at stille ham i et uheldigt lys ifølge Lars Bo Langsted.

Forælderen har selv erklæret sig uskyldig i hacking og udtrykt villighed til at hjælpe med at få lukket sikkerhedshullerne i systemet. Men der taler hans handling imod ordene ifølge professoren:

»Hvis du siger, at du vil hjælpe, så vil du normalt ikke gå ind og ændre i systemet. Men nu har han været inde og ændre beskederne, fordi han er sur over ikke at få svar. Så begynder hans forsvar at smuldre lidt,« siger Lars Bo Langsted og erkender, at han ikke har kendskab til tidligere domme af denne type, hvor en person bliver anklaget for at hacke, selvom vedkommende selv kun påstår at gøre opmærksom på en række it-sårbarheder.

Sagen mod Henrik Høyer kan derfor meget vel være den første af sin slags i strafferetligt regi.

Problemstillingen er dog velkendt. Blandt andet fik en erhvervsskoleelev tidligere på året en advarsel fra sin skole, efter at det kom frem, at han havde fundet et sikkerhedshul i et udbredt administrationssystem til skolerne. Eleven valgte at gå direkte til Datatilsynet med opdagelsen, hvilket faldt skoledirektøren for brystet.

Den nuværende straffesag mod Henrik Høyer kan således danne præcedens på et område, der er fyldt med usikkerhed og mangel på tidligere retslige afgørelser.

»Man må håbe, at den kommer til Højesteret, så vi kan få nogle klare signaler, vi kan bruge til noget,« siger Lars Bo Langsted.

Den tiltalte har erklæret sig klar til at tage sagen hele vejen igennem retssystemet op til Højesteret om nødvendigt.

Indtil videre lydere anbefalingen fra juraprofessoren, at man aldrig forsøger at undersøge it-systemer for sikkerhedshuller uden at spørge leverandøren om lov først.

»Siger de nej, skal man holde sig væk. Det er strafbart uretmæssigt at skaffe sig adgang,« siger han.

Tiltalte: Jeg hackede ikke

Centralt i sagen står anklagen om, at Henrik Høyer havde skaffet sig uberettiget adgang til it-systemet og dermed brudt den såkaldte hacker-paragraf i straffeloven.

I anklageskriftet står der, at han tiltales for at bryde loven, i det han »udarbejdede et script, som han kørte mod Infobas server, hvorved han fik adgang til serveren, ligesom han samtidig ændrede, tilføjede eller slettede i Infobas data.«

Det er dog forkert ifølge Henrik Høyer.

»Jeg har ikke lavet et script, der kører på serveren. Jeg har lavet en html-kode, som kører på infoskærmen på den enkelte institution,« siger han.

Samtidig kunne han efter eget udsagn konstatere, at et sikkerhedshul, som en anden forælder tidligere havde opdaget, stadig eksisterede.

Sikkerhedshullet bestod i, at man på simpel vis kunne ændre i et id-nummer i adresselinjen i browseren og dermed få adgang til personlige oplysninger på børn i systemet, der bruges i samtlige offentlige daginstitutioner i 11 danske kommuner. Blot krævede det, at man var logget ind som forælder.

Henrik Høyer påstår selv, at han aldrig ændrede id-nummeret og dermed fik adgang til andre børns profiler.

»Jeg skrev ‘ping’ i stedet, og så at der kom en fejl fra SQL-serveren. Så kunne jeg se, at hullet stadig kunne udnyttes,« siger han.

»Hvornår hacker man, og hvornår tager man fat i en lukket dør for at se, om den er låst eller ej? Jeg vil mene, at man godt må tage fat i håndtaget,« afslutter han.

It-leverandøren Infoba har afvist at kommentere på den verserende straffesag.