Den er blevet udråbt som Danmarks største hackersag, og det med god grund. De to anklagede, den svenske Pirate Bay stifter Gottfrid Svartholm Warg og hans danske medanklagede JKT, havde angiveligt adgang til CSCs servere i månedsvis.
Computerworld mener: Om de dømmes eller ej: Her er den vigtige lære af Danmarks store hacker-sag
Det var i denne periode, at der på de to anklagedes computere blev hentet store mængder personfølsomme data, her i blandt CPR-oplysninger, kørekort og udleveringsaftaler under Schengen-samarbejdet.
Indtil videre er forsvaret bygget op omkring, at de to it-kyndige herrer selv er blevet hacket, og altså ikke står bag indbruddet i CSCs righoldige datalager.
Læs også: Nu begynder Danmarks største hackersag
Mangler du overblik over sagen, kan du læse Computerworlds tidligere dækning af sagen:
Overblik: Det store CPR-hack - så alvorligt er det
Liveblog fra hackersag dag 1: Hul skakbrik gemte på hemmeligheder - opdateret kl. 15:36 - slut
Computerworld liveblogger fra retssalen
Den 12. retssdag er nu afsluttet - 14:54
14:53 Dermed afsluttes anklagerens procedure og dommer Kari Sørensen melder retten for hævet til i dag. Den vil igen blive sat fredag, hvor forsvaret vil fremlægge deres endelige ord.
14:42 Anklageren skifter nu væk fra sit fokus på Gottfrid, og venter sig mod den danske anklagede.
"Anklagemyndigheden har allerede redegjort for, hvorfor JKT skal dømmes sammen med Gottfrid, men jeg vil gå lidt nærmere ind i, hvordan JKT har bidraget til hackingen af CSC," starter anklageren på sit næste kapitel i sin nøje tilrettelagte tale.
"Ud fra de tekniske undersøgelser i sagen ved vi, at Warg får adgang til CSCs servere via sårbarheder i indgangene tn3270 og tjenestemandspenision.dk - to adgange, som han får fra APTT."
"Desuden er der den tiltaltes opførsel, som er påfaldende. Hvorfor vælger JKT at kryptere sine computere i en sådan grad, at politiet den dag i dag endnu ikke har fået fuld adgang. Og selvom JKT har været varetægtsfængslet over et år, så har han stadig ikke ville samarbejde med politiet," ræsonnerer anklageren.
Hun mener, at det er ganske mistænkeligt, at JKT i ingen grad ønsker at hjælpe politiet med at bevise sin uskyld, hvis han da virkelig er uskyldig.
Det eneste de to tiltalte har leveret i forbindelse med deres forsvar er Gottfrids påstand om, at hans computer er fjernstyret. JKT har medgivet, at det er ham, som deltager i chatten, hvor hacket af CSCs servere diskuteres.
14:32 Anklageren sandsynliggør at Gottfrids chatnavn, blandt andre, har været tLt, ved hjælp af en chat mellem ham en og anden part, hvor tLt brokker sig over ødelagte taster. Pil ned og o-knappen skulle være ødelagt til stor gene.
Anklageren viser samtidigt et billede af Gottfrids beslaglagte computer, hvor de samme taster mangler på hans tastatur.
Foruden tLt sandsynliggøres det også, at Gottfrid har gået under navnet My Evil Twin, Kuntface og Anakata.
14:20 "Sammenfattende kan vi konstatere, at vi kan affeje Gottfrids påstand om fjernstyring af hans computer samt har tilføjet syv yderligere omstændigheder, som underbygger anklagen, herunder ligheder mellem CSC-hacket og det svenske Logica-hack,"
"Desuden er chatten en vægtig indikation på, at Warg er My Evil Twin, en af de to personer, som skriver om hacking af CSC og Logica under chatten med Advanced Persistent Terrorist Threat," siger anklageren.
"På et tidspunkt under chatten giver MET instrukser i brugen af Hercules-programmet, som bruges til at arbejde med, eller hacke, mainframes."
Anklageren fremfører nu et syv-punkts powerpoint for, hvorfor Warg er, My Evil Twin. Under hele anklagerens procedure har de to hovedpersoner i sagen siddet stille og skiftevis lyttet opmærksomt eller læst i papirer. De giver begge indtryk af, at de tager retssagen dybt alvorligt.
14:00 "Samlet set kan vi konstatere, at samtlige Gottfrids forklaringer på fjernstyring er blevet tilbagevist," siger anklageren.
"Selvom der sikkert findes mangle flere måder, hvorpå fjernstyring kan foregå, så har vi undersøgt dem, som Gottfrid har produceret og finder hans forklaringer om vira- og malwareinfektioner af hans computer tynde."
It-eksperten Jacob Appelbaum objektivitet bliver nu draget i tvivl af anklageren, på baggrund af hans nylige tweets, hvor hans blandt andet beskriver Gottfrid som en politisk fange - og hylder hans status og sag som en mulighed for at miskreditere det danske og svenske retssystem.
13:51 Både dansk og svensk politi har efterprøvet hver en forklaring på fjernkontrol, som Gottfrid er kommet med, men har kunne tilbagevise dem alle. Samtidigt har de gældende firewall-regler og lignende betyder, at en hver genstart af Gottfrids computer ville afskære fjernstyring. Derfor ville enhver udefrakommende skulle genstarte sin fjernkontrol efter hver genstart.
Under den svenske efterforskning blev it-eksperten Jacob Appelbaum forevist et Python-script, som skulle kunne anvendes til usporlig fjernstyring, som han sagde god for, men danske undersøgelser har tilbagevist, at dette script skulle kunne bruges til usynlig kontrol med en computer.
13:45 "Det første spørgsmål jeg vil tage op er: Var Wargs computer fjernstyret, og det mener vi, at kunne tilbagevise, selvom han hævder, at flere personer, har haft adgang til hans computer."
Sådan starter den kvindelige anklager.
"Lad mig slå fast, at teoretisk set, så kan det nok ikke udelukkes, at Wargs computer har været fjernstyret. Men det er selvfølgelig ikke sandsynligt, at Warg ikke selv skulle have opdaget, hvad der foregik på hans compueter, hans person taget i betragning."
"Man kan roligt sige, at Warg har forstand på computere - han er måske endda et computergeni."
13:43 Retten er nu sat igen, men JKT smiler mens han slår ud med armene - hans forsvarer er endnu ikke mødt op, men kommer kort efter ind med lange skridt.
Den tekniske anklager tager nu talerstolen, og går klar til sin del af de afsluttende bemærkninger fra anklagerstolen.
Pause frem til 13:40
13:19 "I sagen er der rettet tiltale mod både Gottfrid og JKT, men der er ingen tvivl om, at Gottfrid i dette tilfælde er superskurken," fortsætter anklageren.
"Men JKT deltager med tilskyndelse, råd og dåd til forbrydelsen," fastslår anklageren, og fortæller videre:
"Målet med forbrydelsen har hele tiden været hacking; hvordan det teknisk set er foregået gennem den ene eller anden server-adgang er i skyldsspørgsmålet i for sig ligegyldigt. Hans ønske var at hacke CSCs mainfraime og gøre størst mulig skade, som det fremgår af hans chat med Gottfrid," tordner anklageren nu, mens hans slag med hånden mod talerstolen stiger i intensitet.
13:10 "Vi har ikke mulighed for at åbne de tiltaltes hoveder og se, hvad de tiltalte tænkte og gjorde, men vi har adgang til alle beviserne, herunder chatten, som jeg mener stiller Gottfrid som skyldig med allerstørste forsæt," siger anklageren, inden han går videre til JKT.
Selvom de to anklagede, Gottfrid og JKT, stadig sår tvivl om, hvorvidt de to har haft kontakt med hinanden, så maler anklageren nu et billede af, at det er for usandsynligt, at de to ikke har haft kendskab til hinanden.
De har været på den samme bar, Cadillac bar, i Cambodja, på det samme tidspunkt, og i den samme tid, hvor CSC var udsat for 50 loggede angrebsforsøg.
13:05 Hvorvidt tilføjelse af data, altså linjer af koder som gav adgang til CSCs systemer, som denne hacking er, kan straffes som hærværk, virker oplagt for anklageren:
"Selvom der ikke er tale om ødelæggelse af ejendom, i en mere snæver forstand, så kan man sige det samme om graffiti, som ret beset heller ikke er ødelæggelse, men en tilføjelse," siger Anders Riisager.
12:52 "Det tredje punkt jeg vil komme ind på er, at anklagemyndigheden forfølger de skyldige, men uskyldige skal gå fri," siger Anders Riisager, som bedyrer, at han ikke er i tvivl om, at de anklagede er skyldige.
"Det fjerde punkt jeg vil komme ind på er, at de tiltalte skal kunne straffes efter straffelovens bestemmelser."
Anklageren remser nu paragrafferne og deres betydning op for salen.
Michael Eriksen gør et kort ophold i sin opremsning af paragrafferne, da han bliver afbrudt af en høj hyletone. I retssalen ved siden af foregår den såkaldte Christania-sag, som er underlagt strenge sikkerhedsprocedurer. Anklageren tøver dog kun et halvt sekund, inden han fortsætter.
12:48 "Warg demonstrerer ved ikke at svare på de centrale spørgsmål, sin rettighed til ikke at udtale sig; men udøvelsen af rettigheder har somme tider konsekvenser,"
Anklageren drager nu en analogi til, at der bliver stjålet fra kagedåsen. Al sund fornuft peger på, at Gottfrids forklaring om, at nogen andre har stjålet data, men han vil ikke sige hvem eller hvordan, er en tynd og usammenhængende forklaring.
"Gottfrid har kagekrummer ikke bare om munden, men langt ned af bukserne og rundt på alt tøjet," siger anklageren med en svagt stigende stemmeføring og taktfaste slag på talerstolen.
12:32 "Værsgo at sidde ned," siger dommer Kari Sørensen til salen og giver ordet til anklager Michael Eriksen, som vil begynde de afsluttende ord i sagen fra anklagerens side.
Anklageren indtager med stor selvsikkerhed talerstolen, hvorfra han taler til dommer, nævninge og de øvrige i salen.
"Høje ret, ærede nævninge - bevisførelsen er nu afsluttet og det er op til jer, hvordan sagen skal finde sin afgørelse." Sådan starter anklageren.
"Jeg vil ikke hænge mig i referencer og dokumenter, for dem kender i alle nu. I stedet vil jeg se på de centrale spørgsmål: Er Gottfrid bag hackingen, har hans computer været fjernstyret, er Gottfrid My Evil Twin og og JKT Advanced Persistent Terrorist Threat."
Når man skal afgøre skyldsspørgsmålet, så skal der tages udgang i anklageskriftet, og alt derudover er irrelevante, fortæller anklageren.
Der er fire principper for domsafsigelse:
"Første princip er, at anklageren igennem bevisførelsen skal udelukke rimelig og begrundet tvivl, for den anklagede er ikke skyldig før beviset er fyldestgørende," siger Anders Riisager og fortsætter:
"Warg har forklaret, at hackingen af CSC-systemerne, som helt indiskutabelt er foregået fra hans computer, er foretaget via fjernstyring, men de postulerede medlemmer af den postulerede gruppe som har styret hans computer, dem har han ikke ville navngive."
At den tiltalte nægter at underbygge sin uskyld, ved at svare på centrale spørgsmål, er i sig selv i følge gældende dansk og europæisk praksis, et medvirkende bevise mod den tiltalte, så fremt anklagerens proces underbygger skyldsspørgsmålet, fortæller anklageren, med reference til tidligere danske sager.
Pause frem til 12:30
11:32 Fremlæggelsen af dokumentation er ved at nærme sig sin ende og forsvarer Luise Høj omdeler nu nogle dokumenter, som hun siger har været sendt tidligere på mail. Anklageren mener ikke at have set disse, men inden det kommer til debat, så træder Kari Sørensen i karakter:
"Lad os nu få det overstået, og så kan vi tage stilling til materialet lidt senere - jeg går ud fra, at det ikke tager lang tid?"
Alligevel gør anklageren klar til en længere debat, men der bliver fundet et hurtigt kompromis. Forsvareren læser kun et kort uddrag op, og dermed er bevisførelsen afsluttet.
"Dermed er bevisførelsen afsluttet og vi går videre til proceduren 12:30. Nu holder vi frokostpause," siger dommer Kari Sørensen.
11:08 Anklageren er nu ved at være til bunds i det dokument, som han ufortrødent har læst op fra de sidste 25 minutter, kun afbrudt af en tiltagende tør hoste fra anklageren selv. Det tager åbenbart hårdt på ham, at læse op fra den svenske efterforskning.
Under den meget lange oplæsning har de anklagede Gottfrid og JKT siddet bøjet ind over deres bord sammen med deres anklagede. Særligt Gottfrid har lagt ansigtet i dybe folder.
Hele denne oplæsning munder ud i, at Gottfrids tidligere medsammensvorne, diROX, ikke kan have været involveret i denne nærværende sag.
Forsvarer Luise Høj kommer med en protest, hvortil anklager Anders Riisager referer til retplejeloven paragraf - længere når han ikke inden dommer Kari Sørensen afbryder ham:
"Det her har vi ikke tid til, kom nu bare videre."
10:45 Anklager Anders Riisager har nu læst op af en længere rapport fra den svenske efterforskning af Gottfrids involvering i en tidligere hackersag omkring Logica; sagen som affødte den danske CSC-skandale.
"Rapporten skriver yderligere, at en teknisk gennemgang i Gottfrids konfiskerede computer fra Cambodja ikke indeholder nogen beviser for, at den skulle hae været fjernstyret," læser anklageren op i en lind strøm af ord.
10:30 Under pausen søger den unge danske anklagede JKT hen mod de tykke glas, som skiller retssalen fra tilskuerne. Her bliver han mødt af to kammerater, som straks spørger ham:
"Har du fået en PS2 i Vestre endnu?", spørger den ene gennem en sprække i glasset. JKT Kan ikke høre spørgsmålet i første omgang, og lægger hånden til øret. Vennen gentager spørgsmålet, og JKT svarer nu: "Ja," med et meget tilfreds smil, "Så kan jeg få spillet noget Final Fantasy."
10:27 Kari Sørensen siger mange tak til vidnet og kalder en kort pause på 10 minutter.
10:25 Vidnet fortæller nu, at de gældende firewall-regler tillader brugen af et program kaldet Puti, som tillader at oprette adgang til den anklagedes computer, og åbenheder i Python-sproget til den anklagedes computer.
10:14 Dommer Kari Sørensen runder afhøringen af vidnet af, og fortæller ham, at han selvfølgelig har krav på godtgørelse, for at have været i retten, men at han ellers nu kan tage hjem eller indfinde sig på tilskuerpladserne.
"Og forsvaret har nu 15 minutter til at genafhøre deres tidligere vidne, Lars Ole Pedersen," fortæller Kari Sørensen og indskærper, at det er strafbart at tale usandt i retten, inden hun giver ordet videre til forsvarer Luise Høj.
"Jeg vil kort gennemgå en kort undersøgelsesrapport, som vi fik lavet for seks dage siden, og som undersøger ændringer af firewall-reglerne i Windows 7 efter andholdelsen af den mistænkte i Cambodja den 30. august, 2014 klokken 07:30."
10:01 Den tekniske anklager går nu til vidnets rapport om chatloggen:
"Klokken 11:38:50 sender APTT nogle brugernavne til MET, og senere klokken 11:50:38 modtager han et svar, hvor der er kopieret et svar ind fra CSCs hjemmeside. Her står der, at loginet er ugyldigt. Det indikerer, at brugernavnet er blevet forsøgt brugt."
Anklageren stiller nu nogle supplerende spørgsmål til vidnet:
Er der nogen sammenhæng mellem de logins til Tjenestemandspensionsside, som MET og APTT snakker om, og det endelig indbrud i systemet.
"Når du bruger en zero-day sårbarhed, så har du ikke brug for nogle brugernavne, for at komme ind i systemerne, men når du er inde og er utilfreds med sine rettigheder, så får du brug for brugernavne," fortæller Ulf Munkedal.
09:53 Dommer Kari Sørensen giver ordet videre til anklageren, som starter med at verificere, hvilket chat Ulf Munkedal har haft til rådighed. Om det er den danske eller den engelske:
"Det er den der ligger her," fortæller vidnet, mens han løfter en gul mappe i øjenhøjde.
"Men kan du huske, om den var på engelsk eller dansk?" Spørger anklageren igen - "Den var på engelsk, men nogle enkelte danske referencer," bekræfter Ulf Munkedal.
09:50 Michael Eriksen spørger det indkaldte vidne, hvad Capture the Flag (CTF) udfordringer, som de to anklagede snakker om, har af betydning. Er det ulovligt.
"Det her er ligesom paintball for it-sikkerhedsnørder; det handler om at finde sikkerhedshuller i hjemmesider, og det er en sport, som store sikkerhedsfirmaer både deltager i og benytter til rekruttering. Men der er altså forskel på hacking og CTF," fortæller Ulf Munkedal.
09:42 "Udgør udvekslingen af brugernavne mellem de to en risiko for, at udnytte den zero-day sårbarhed, som er blevet udnyttet under indbruddet i CSCs systemer?" Spørger forsvareren det indkaldte vidne.
"Nej, brugernavne udveksler vi jævnligt med hinanden; eksempelvis når vi giver vores visitkort til andre, så udgør vores mail ofte vores brugernavn, men afhængigt af systemet er brugernavnet alene og uden et password ikke farligt," siger Ulf Munkedal.
09:35 Forsvaret har nu, på nær en enkelt kommentar fra vidnet, læst uafbrudt op fra den længere tekniske rapport om chatten mellem de to anklagede.
Gottfrid og JKT følger tæt med i rapporten i deres printede kopier.
"I chatten er der ingen udvekslinger af zero-day sårbarheder, eller exploits af z/OS, som kunne være brugt af de to, til at bryde ind i CSCs systemer," fortæller forsvareren.
09:18 Forsvarsadvokat Michael Eriksen starter med at afhøre vidnet, ved at tage udgangspunkt i en rapport om de to anklagedes chatlog, som vidnet har udarbejdet. Chatten er blevet fremlagt som et bevis for deres kendskab til hinanden og samarbejde.
Michael Eriksen mener, at tidsstemplerne for chatloggen er forkerte, da den første chat mellem de to, APTT (Advanced Persistent Terrorist Threat) og MET (My Evil Twin) giver tydeligt indtryk af, at de to har snakket sammen før. Chatten er altså taget ud af kontekst, og det er ikke til at sige, hvad der ligger forud.
09:11 Forsvaret starter retssagen med at opponere mod et stykke bevismateriale, to artikler fra henholdsvis et Cambodjansk blad og Version2.dk, som anklageren vil fremlægge:
"Vi mener ikke, at materiale fra sådan et sladderblad fra Cambodja har nogen lødighed til at blive benyttet i i retten."
Dommer Kari Sørensen afbryder diskussionen, med begrundelsen, at den debat kan de tage efterfølgende. Hun vil meget gerne give ordet videre til vidnet Ulf Munkedal, som er elektroingenniør med speciale i data.
09:04 En noget betuttet Gottfrid er netop trådt ind i retten med hænderne i lænker. Han løfter sine håndjern op med en vagt i salen, som skynder sig til, for at tage dem af. Hvorfor han skulle være i håndjern i dag, hvilket han ikke har været tidligere, er der ikke nogen forklaring på.
08:38 Fire betjente står længere nede af gangen forbi retssalen; en har problemer med sit slips, som de andre muntrer sig over. Der er med andre ord en rolig stemning inden dørene slås op til retten.