Nyhed
Læsetid: 3 min.

Dommer: ’Jeg ved ikke helt, hvad en krypteret container er’

Oplysninger skaffet af svensk politi fra en krypteret harddisk, og hvem der gemmer sig bag chatnavnene ‘Advanced Persistent Terrorist Threat’ og ‘My Evil Twin’ er omdrejningspunkterne for en stor, dansk hackersag
Indland
6. marts 2014

Fy for satan! Føj!« udbryder en tilhører, inden han rejser sig og forlader Retten på Frederiksberg. Dommeren har netop truffet afgørelse om at forlænge varetægtsfængslingen af den 29-årige mistænkte hacker Gottfrid Svartholm Warg i endnu fire uger.

LÆS: Landsret åbner dørene i stor hackersag

Svenskeren er mistænkt for i starten af 2012 at bryde ind i centrale systemer hos virksomheden CSC og kopiere det danske kørekortregister samt oplysninger fra Schengen-registret. Det var første gang, at offentligheden fik adgang til at få indsigt i begrundelserne for at opretholde varetægtsfængslingen, da alle andre retsmøder er blevet holdt bag lukkede døre. Anklager Maria Cingari forklarede først, at det centrale bevismateriale drejer sig om politiets adgang til chatsamtaler mellem brugerne ‘My Evil Twin’ (som politiet mener er Gottfrid Svartholm Warg) og ‘Advanced Persistent Terrorist Threat’ (som politiet mener er en 20-årig sigtet dansker). Ifølge anklageren startede angrebet mod CSC kort efter, at oplysninger blev udvekslet mellem de to brugere. Udover chatloggen argumenterede anklageren for, at beviser fundet på en Macbook hos Warg bestyrker mistanken mod svenskeren. På computeren er der i den samme krypterede container - en krypteret del af harddisken - fundet oplysninger fra både CSC-hacket og personlige dokumenter tilhørende Warg.

»Det forhold, at der er fundet personlige dokumenter i den krypterede container, bestyrker mistanken mod Warg,« sagde Maria Cingari i retten og argumenterede for, at Warg på fri fod ville kunne obstruere den yderligere efterforskning af sagen - særligt materiale som politiet mener befinder sig i blandt andet Iran og Cambodia:

»Warg kan slette oplysninger på servere i udlandet. Politiet kan ikke finde ud af, hvor de er. Man leder stadig efter de spor, og der skal ikke gives mulighed for at slette dem,« sagde Cingari.

Et argument, der ifølge Wargs forsvarer Luise Høj ikke er holdbart, da svenskeren allerede, mens han sad fængslet i Sverige, havde uovervågede besøg og derfor mulighed for at få slettet bevismateriale, hvis han havde ønsket det.

»Han har haft fri adgang til familie og venner. Han har ikke noget ønske om at slette oplysninger, og hvis han havde, så var det nok allerede sket. Politiet har haft halvandet år til at finde det, og der er intet der tyder på, at de vil finde det nu,« sagde hun.

Det centrale stridspunkt handler om bevisførelsen for, at Warg og den 20-årige dansker er identiske med de to chatnicksw. En bevisførelse som det ifølge forsvareren ikke er lykkedes dansk politi at komme nogen vegne med, siden de fik udleveret bevismaterialet fra de svenske myndigheder:

»Hvad er det egentlig, der hænger min klient op på den chatlog? Der er ikke noget i den chatlog, der godtgør, at han skulle være My Evil Twin,« sagde Luise Høj.

En Mærsk-agtig container

Hun fremhævede, at Warg nægter sig skyldig i påstandene, da han hævder, at hans computer er blevet fjernstyret til at udføre angrebet via internettet. En argumentation, der fik ham frikendt for et angreb på Nordea i Sverige, som ifølge forsvareren i teknisk udførsel minder om angrebet på CSC i Danmark. Angrebet på Nordea som han blev frikendt for, var der også beviser for i den samme krypterede container, som nu er hele omdrejningspunktet i den danske sag. Forsvarets argumenter gjorde ikke det store indtryk på dommeren, der mente, at der både var grund til at tro, at Warg ville slette beviser og flygte ud af landet, hvis han blev løsladt.

»Jeg ved ikke helt, hvad en krypteret container er, men jeg forestiller mig sådan en Mærsk-agtig container med en krypteret lås på,« sagde dommeren, forlængede varetægtsfængslingen og sikrede sig derme dagens Twitter-berømmelse.

Forsvarer Luise Høj er skuffet over afgørelsen, men ikke overrasket over at dommeren valgte at forlænge fængslingen.

»Der er nærmest ikke sket noget siden grundlovsforhøret. De tekniske rapporter handler om alt det, der er sket på CSC. Men eftersom, at vi ikke mener, det er min klient, der står bag indtrængningen, så er det ikke noget, der handler om min klients skyld,« siger Luise Høj til Information.

LÆS: Danmarkshistoriens største hackersag skal afgøres til september

Følg disse emner på mail

Vores abonnenter kalder os kritisk,
seriøs og troværdig.

Få ubegrænset adgang med et digitalt abonnement.
Prøv en måned gratis.

Prøv nu

Er du abonnent? Log ind her

Torben Nielsen

Hvis Varg er det store hackergeni han mistænkes for at være, burde den kryptering være sikker.

Hvordan kan politiet så se indholdet?

Enriquo Longo, Rune Petersen, Karsten Aaen og Lars Brandt Geertsen anbefalede denne kommentar

Valushackersagen om igen.

Torben Nielsen

Ikke nødvendigvis. Jeg følger med så meget, som muligt, når der dukker retssager op af denne forholdsvis simple karakter, fordi det ofte giver mig et godt grin. Den krypterede container kan jeg snildt forestille mig f.eks. være en særdeles almindelig linuxpartition på laptoppen, som man ofte kun kan tilgå fra windows med de rette værktøjer. Og så er det rigtig avanceret for politiets cybercrime unit. :)

Det var en MacBook Pro de fandt den krypterede container på. På en Mac er det muligt at kryptere dele eller hele sin harddisk eller container.

Helene Nørgaard Knudsen

Der er en særdeles let forklaring. De har disken fysisk. Er de totalt paranoide laver de et softimage go arbejder på kopier af det. Og når det drejer sig om kryptering så er det "bare" (det er lettere end man tror) at single-steppe dekrypteringsdelen hvis man ikke har adgang til kildeteksten og lave et program der kan beregne alle mulige permutationer en nøgle kan have. Det virker med md5, wpa, wp2, ntlm osv. Så det er et spørgsmål om tid. Man tager den krypterede nøgle og udregner alle muligheder.

Nuvel, men bare fordi der findes 'X-ways WinHex Forensic Edition', og politiet måtte anvende dette. Så er det jo ikke ensbetydende med, de er gode til det? Det ville jo svare til at sige, korn-prinsen er god til at køre racerløb, blot fordi han har mulighed for at deltage?
Hvis politiet er så hamrende eminente i deres cyber-crime (grineren) unit, så måtte man da formode, de var kommet lidt længere, end artiklen ovenfor antyder? Med mindre de naturligvis vender hvert bit.

Torben Nielsen

Man må håbe at krypteringsprogrammet ikke benytter en lille diskbuffer. De sidste skrivninger på denne kan genskabes.

Jeg fik foræret en stor disk, der havde været brugt til andet. Da jeg så selv fik et datanedbrud benyttede jeg et simpelt program til at redde mine data. Da jeg valgte en dybdescanning endte jeg med alle de data der nogensinde havde være gemt på disken. En masse fotografier af bygninger og huse i USA + alt muligt andet uinteressant. Jeg bruger stadig disken med mine data. Men under alle disse, findes de andre stadigvæk.
Skal man slette en disk, skal den pulveriseres eller smeltes eller ætses. Det sidste er nok det nemmeste.Fyld den med konc. syre.

Jeg er ikke i tvivl om, at Rigspolitiets Nationale It-Efterforskningscenter NITEC har nogle seje gutter ansat, men de har tydeligvis også en del andre, som kun med møje har fået sig IT Kørekort på aftenskolen. Ved en konkret ransagning noterede politiets it-efterforskere i deres officielle rapport, at "på skærmen var et åbent program kaldet Total Commander, der er delt op i to vinduer".

Der var også et antal andre åbne programmer, men disse garvede it-nørder var åbenbart ikke vokset op med den fremragende Norton Commander og dens mange efterfølgere, der er helt almindelige programmer til at se filerne på en computer med. I stedet måber it-eksperterne over at kunne se to sammenhængende vinduer på samme tid, og konkluderer himmelråbende dumt, at "dette vidner om, at denne enhed var sat op for at kunne fjernbetjene flere, hvis ikke alle, enheder i netværket".

For ikke-nørder er dette sikkert svært forståeligt, men for folk med lidt it-viden er det bare for dumt. Jeg foretrækker egentlig, at den danske stats magtorganer er fremragende til sine arbejdsopgaver - uanset om jeg så er uenig med dem.

Må jeg minde om, at da en IT-chef i Forsvarskommandoen skulle finde den famøse Jæger-bog, endte han med at blive fuppet af Alivetorrents.com. Denne side "finder" altid det efterspurgte - før den et par klik senere spørger efter dankortet, tager imod pengene, og falsk lover at det ønskede produkt er "på vej". Hvilket fik Forsvarskommandoen til at fejlinformere forsvarsministeren om, at bogen fandtes på nettet...

Peter Taitto, Enriquo Longo, Niels Mosbak, Jesper Frimann Ljungberg og Lars Brandt Geertsen anbefalede denne kommentar
Jesper Frimann Ljungberg

Det bliver først sjovt når man har applikations krypterede data filer, i en krypteret container i en krypteret container på en hw krypteret hd. Så meget for coorporate Security standards.

Og ja det fik slemid til at holde op med at virke

// Jesper

Enriquo Longo

-who is General Failure, end what the Fuck is he doing on my HD?

Morten Kjeldgaard

Hold kæft hvor er I kloge. Informations kommentatorkorps kan sgu da vride informationer ud af formodninger og masser af ingenting.

Der er nu en simplere forklaring, og det er, at Gottfrid Warg, fra den højreekstremt finansierede Pirate Bay rent faktisk har foretaget den hacking politiet beskylder ham for.... men at de desværre ikke kan bevise det. Og så må de jo lade ham gå, sådan er loven.

Så er der blot tilbage at håbe på, at det ikke er personlige oplysninger fra genierne her, anakata har fået fingre i. For det har I trods alt ikke fortjent.

Chris Ru Brix

Var der ikke noget med at hans computer blev fundet i slumre-tilstand, dvs. hukommelsen stadig er aktiv med nøglen i, og at politiet derfor havde let adgang.
Vi burde hyre manden i stedet for at smide ham i fængsel. Vi har et problem når vi overlader højsensitive personlige data til en amerikansk international IT-virksomhed der overhovedet ikke har styr på sikkerheden, og benytter paradigmet "security-through-obscurity" i stedet for peer-reviewet sikkerhed.

Lars - jeg fulgte ret godt med, da sagen om Jægerbogen rullede. I en grad, så jeg ved hvor den første læk kom fra. Siden har Forsvarsministeriet selv bekræftet teorien om den nævnte "honningfælde". Der er desværre intet i sagens første trin, der tyder på andet end "reel inkompetence", og det i svær grad. I første omgang var det en oberst, der faldt i, men IT-chefen klarede sig ikke meget bedre. Og forøvrigt havde Wikileaks på dette tidspunkt direkte knapper til maskin-oversættelser til diverse sprog, heriblandt arabisk - men det blev ikke omtalt i sagen.

Men jeg kan fuldt bekræfte, at det der står i politi-rapporter tit er skruet rigeligt højt op. Og at det ofte ikke blir bedre i anklagerens hænder, når en varetægt skal argumenteres hjem. Politiet har selv fundet fejl og mangler i hver fjerde politirapport, men det er lavt sat - jeg har selv som journalist dækket retssager. Og har i øvrigt også selv siddet anklaget, men det er en anden historie.

De nævnte lokale efterforskere, der rykker ud på gerningsstedet i første omgang, er uddannet på Rigspolitiets It-Efterforskningscenter (som i øvrigt nu hedder NITES, da det af uransagelige grunde kaldes sektion i stedet for center) som såkaldte "it-koordinatorer". De er "bindeled mellem centeret og politikredsene", men hvor lang skoling de får fremgår ikke. Tydeligvis er det for lidt til at de kan klæde deltagerne i en retssal så fornuftigt på, at dommeren kan foretage en kvalificeret afgørelse.

Jesper Frimann Ljungberg

@Morten Kjeldgaard

Måske er der nogen af os, der ved mere, end vi kan sige ;) ?

IMHO så er den her specifikke sag en ting. Det der nok nærmere burde diskuteres er datasikkerhed når det kommer til offentlige data.

Selv om tingene er outsourcet, så er ansvaret stadig den offentlige myndigheds.

// Jesper

Morten Kjeldgaard og Lars Brandt Geertsen anbefalede denne kommentar
Helene Nørgaard Knudsen

Hvis hans computer blev fundet tændt hvorfor har de så ikke holdt strømmen på og lavet noget som det her https://citp.princeton.edu/research/memory/ ?