Artikel top billede

LIVEBLOG: Dag 13 i hackersagen - enden er nær - slut

Nu er enden ved at være nået i den spektakulære hackersag, hvor Gottfrid Warg og hans danske medsammensvorne står tiltalt for at have hacket CSCs servere.

Danmarks største hackersag er nu inde i slutfasen for det retslige efterspil af det enorme hack, som blev begået mod CSC for snart to og et halvt år siden.

I tirsdags leverede anklageren sin procedure, og i dag står de to forsvarere til at sende deres sidste ord af sted, inden de syv nævninge trækker sig tilbage.

Læs liveblog fra anklagerens procedure her.

Computerworld mener: Om de dømmes eller ej: Her er den vigtige lære af Danmarks store hacker-sag

Mangler du overblik over sagen, kan du læse Computerworlds tidligere dækning af sagen:

Liveblog dag 1

Liveblog dag 12

Overblik: Det store CPR-hack - så alvorligt er det

Liveblog

Retten er hævet og der vil falde dom den 30. oktober kl. 09:30.

15:30 Michael Juul Eriksen har også en duplik, som han indleder med at love, at han holder det kort.

Hans kommentarer er stadig, at de to begivenheder: JKTs forsøg på at logge ind med brugernavne i foråret og selve hacket fra april til august er to vidt forskellige forløb, og JKT kan ikke stå til regnskab for begge.

"Der er intet der tyder på, at JKT skulle tro, at andre ville følge op på hans login-forsøg, med et avanceret hackerangreb," siger Michael Juul Eriksen

I og med, at at JKT er i retten for angrebet april til august, som han slet ikke har noget med at gøre, i følge hans forsvarer, så skal han frifindes.

Sådan slutter Michael Juul Eriksen sin duplik og dommer Kari Sørensen tager over:

"Så er proceduren slut, har de tiltalte nogen kommentarer?"

Der bliver svaret pænt nej fra både Gottfrid og JKT.

Nu vil nævningene votere frem til d. 30. oktober, hvor der kan falde dom allerede fra morgenstunden.

15:20 Anklageren bløder nu Dolus eventualis op, ved at sige, at det er ikke hvad han påberåber sig; her er tale om et samlet handlingsforløb og tiltalte har været klar over, hvad de gik ind til.

Anders Riisager afslutter nu sin replik og dommer Kari Sørensen spørger forsvaret, om der er en duplik.

Det har forsvarsadvokat Luise Høj.

Hun fastholder, at politiet burde have undersøgt de øvrige involverede, hvor perifære de end måtte være. Her i blandt den svenske tidligere medsammensvorne Gustafson, som muligvis selv kan have haft en helt tredje medsammensvoren.

Luise Høj sætter altså stadig spørgsmåltegn ved, at politiet ikke har undersøgt eventuelle øvrige hackere.

14:58 Forsvarsadvokaten slutter nu også sin tale af, med at kræve en frifindelse af den danske tiltalte JKT. Dommer Kari Sørensen giver nu ordet tilbage til anklagemyndigheden og deres replik.

"Der er enkelte forhold i forsvarets procedure, hvor jeg tror forsvaret har misforstået noget eller tager fejl," siger anklager Anders Riisager.

Anklageren tager nu til genmæle på Luise Højs anklager om, at politiet ikke har fulgt op på de spor, som leder andre veje hen. Men den svenske hacker dIROX, som også trækker spor til den danske CSC-sag, han har siddet fængslet i den givne periode, og kan med sikkerhed udelukkes.

Herefter går han videre til forsvarets præsentation af fjernstyring af computere.

"Her bruger jeg Center for Cybersikkerhed ord, når jeg siger, at det er meget usandsynligt, at computerne skulle være fjernstyret; det er ikke noget jeg siger, det er noget Center for Cybersikkerhed siger," siger Anders Riisager.

Han gennemgår nu kort de punkter, som forsvarsadvokat Luise Høj bragte op i forbindelse med fjernstyring, og forklarer kort, at portene i firewallen ikke var åbne, og fastholder, at fjernstyring ikke var muligt.

Nu går han videre til forsvarets punkter i chatten.

"Du skal se på punkterne i en sammenhæng. Et reb består af fibre - enkeltvist er fibrene måske svage, men set i en sammenhæng er det stærkt," siger anklageren.

Om man skal hænge sig for meget i den valgte analogi, er ikke til at sige.

14:30 Michael Juul Eriksen gennemgår nu anklagemyndighedes eksempler på JKTs forsæt for hackingen af CSC i april til august: JKT skulle være gået med på, at bringe den vestlige civilisation i knæ under chatten - det er fejlfortolket af anklagemyndigheden, fordi da JKT svarer "sounds good", så svarer han på noget helt andet.

Et andet eksempel er, at der ifølge My Evil Twin (ham som formentlig er Gottfrid) skulle gås efter maksimal ødelæggelse, men det giver JKT ikke sin accept af.

Forsvarsadvokaten er nu igang med at dissekere anklagerens eksempler på tilkendegivelser om accept i chatten, som ifølge ham alle er taget ud af kontekst.

14:18 Michael Juul Eriksen fortsætter ufortrødent sin forsvartale, som bevæger sig over i JKTs forsæt til hacket af CSC. Kernen i denne tale er et angreb på anklagerens brug af det juridiske begreb Dolus eventualis, som omhandler den tiltaltes erkendelse og accept af konsekvenserne af sine handlinger, for derefter alligevel at gennemføre sine handlinger.

Forsvarsadvokaten mener det er helt ude i skoven at forvente, at JKT skulle have vidst på forhånd og accepteret, at da han chattede om hacking af CSC i foråret, så burde han have vidst, at en anden ville gennemføre det pågældende hack med JKTs accept.

Mange hackere chatter på nettet om mange ting, men det betyder ikke, at de også bliver gennemført - eller at alle involverede i en given chat kan drages til ansvar.

Pause til 14:05

13:53 Konklusionen er, at der ikke er tale om en fortsat forbrydelse, fra JKT forsøger at logge ind hos CSC i foråret, med offentligt tilgængelige login-oplysninger, til det endelig hackerangreb. Hvad der foregår fra april til august er et nyt forløb, som JKT ikke længere har del i.

13:46 Det Hercules-program,som anklageren har forsøgt at indhylde i mystik er slet ikke noget suspekt program, fortæller Michael Juul Eriksen.

Det er et ganske kendt program, som bruges til at arbejde med mainframes, og det skal ikke findes på lussky hacker-hjemmesider, men derimod udgives det af store børsnoterede firmaer fra Paris og New York.

13:42 Forskellen på den handling som JKT foretog, og det endelige angreb er stor. JKT har ikke gjort andet, end at bruge offentligt tilgængelige brugernavne og logins, som den dag i dag stadig er tilgængelige, fortæller forsvarsadvokaten.

Det endelige angreb krævede mange flere processor og kendskab til værktøjer, som JKT i chatten har givet udtryk for, at han slet ikke kender til.

"Der bliver i chatten ikke givet udtryk for besiddelse af den viden, som et hack af denne kaliber kræver," siger Michael Juul Eriksen.

13:23 "Cirka 4.000 gange om ugen er der forsøg på at logge på CSCs servere med brugernavne og adgangskode; det er hvad JKT gjorde, men det ligger milevidt fra det reelle avanceret terrorangreb, som medførte lækket i april-august," siger Michael Juul Eriksen.

Forsvarsadvokaten går nu videre til det næste punkt som lægger op til, at her er tale om to separate handlingsforløb er.

"Den måde efterforskningen er kørt på, det berøver os muligheden for at se andre hændelsesforløb."

Michael Juul Eriksen mener, at anklageren kun lægger vægt på chatten, Cambodja og hackerangrebet, men det betyder ikke, at de tre begivenheder, er de eneste, eller at de nødvendigvis forbinder hovedpersonerne i sagen til CSC-hacket.

13:15 "Der er intet der tyder på, at JKTs computer har været involveret i CSC-hacket i perioden april til august; hverken ip-adresser eller programer benyttet i hacket," siger Michael Juul Eriksen.

"Det eneste der knytter JKT til hvad der sker i april-august er chatsamtalen, som ligger forud for denne periode."

Der er altså tale om to forskellige forløb, hvor JKT ikke har haft del i det efterfølgende forløb, hvor CSC succesfuldt hackes, forklarer Michael Jull Eriksen.

13:02 "Værsgo at tage plads," siger dommer Kari Sørensen, inden hun giver ordet tilbage til forsvarsadvokat Michael Juul Eriksen, som straks fortsætter hvor han slap inden frokostpausen.

Michael Juul Eriksen bygger nu sin forsvarstale op omkring, at hans klient, den danske JKT ikke kan dømmes for CSC-hacket. Han argumenterer, at JKT har forsøgt at bryde ind i CSC-serverne ved en tidligere lejlighed, men mislykkes med det i første omgang, for derefter at opgive sit forehavende.

Det skulle så være en anden part, som lidt senere foretager et lignende forsøg, men denne gang har succes.

Hele denne argumentation bliver bygget op omkring en meget lang analogi om bankrøverier og villaindbrud. Med tanke på hvor utilfreds han var med anklagerens tænkte eksempler, så er forsvarsadvokaten ikke bleg for selv at berette tænkte eksempler.

Frokostpause frem til klokken 13:00

11:34 Det er hackingen fra 7. april til 30. august, som JKT står anklaget for, og det er hackingen i denne periode, som sagen står og falder med.

"Når anklageren går så hårdt på, at JKT ikke har ville udtale sig før i retten, så skal det komme ham processuelt til skade, så vil jeg gerne knytte en kommentar der," siger Michael Juul Eriksen.

Der er skrevet flere artikler som gennemgår de få afgørelser, der er foretaget på baggrund af skadesvirkningen ved ikke at udtale sig.

De sager hvor det er tilfældet, er sager hvor skyldsspørgsmålet er så klart at handlingen "kalder på en forklaring", men det mener forsvarsadvokaten ikke er relevant her, da hans klients skyld ikke er oplagt.

11:17 "Ærede nævninge, høje ret - jeg skal komme med mine sidste bemærkninger i denne sag," indleder forsvarsadvokat Michael Juul Eriksen.

Han har taget talerstolen i en lidt afslappet stil, hvor han har smidt jakken og procederer i en opknappet blå skjorte. Det er måske blot for at give ham den bevægelsesfrihed, som han tager sig. Forsvarsadvokaten er en livlig taler, som gestikulerer og nærmest danser rundt med fødderne.

"Faktum i sagen er, at det er et ganske uvant emne og nogle anderledes paragraffer end vi er vant til at arbejde med - men sagen skal løses som alle andre. Vi skal blot tage stilling til, om de paragraffer min klient er tiltalt for, er blevet overtrådt," siger Michael Juul Eriksen.

Forsvareren tripper rundt om talerstolen, mens han holder dundertale mod anklagerens objektivitet. 

Eksempler, mystificering og tænkte scenarier har været anklagerens bærende argumenter, ifølge forsvareren, som mener han selv har været langt mere objektiv i sin fremførelse af sagen.

"Juraen bruger anklagemyndigheden ikke så meget tid på, fordi anklagemyndigheden har meget svært ved at argumentere for, at JKT skulle have haft forsæt til at være involveret i CSC-hackingen," siger Michael Juul Eriksen.

"Man bruger fordrejet eksempler, fordrejet jura og fejlfortolker både chatten og de vidneudsagn, som anklagerne selv har indhentet både i og uden for retten."

Pause til 11:15

11:05 "Hvis ikke politiet objektivt og loyalt efterforsker alle spor, som let kan efterforskes og når der er helt rimelig tvivl om, at en loyal efterforskning kunne have fundet frem til alternative gerningsmænd, så må retten alene på det grundlag frifinde min klient," opsummerer Luise Høj

"Min klient skal frifrindes - han er ikke gerningsmanden i dette her," siger Luise Høj.

Dermed slutter Luise Høj sit forsvar af Gottfrid og retten holder en kort pause, inden Michael Juul Eriksen tager talerstolen og leverer sin sidste tale på vegne af JKT.

10:50 Det er tydeligt, at chatfilen ikke ligger logget i en mappe relateret til noget chatprogram; endvidere er chatten helt ydeligt copy-pastet ind i et dokument over to gang. 

"Det får mig til at sige, at der er flere end bare to, som har deltaget i denne chat og beviset er manipuleret," fremfører Luise Høj.

"Chatten er i øvrigt på mere end 3000 linjer," siger forsvareren og tilføjer: "Men den fik vi først udleveret under retssagen."

Luise Høj er kommet med en lang ræke eksempler, hvor hun tilbageviser politiets påstande om, at Gottfrid er den, som har deltaget i chatten:

"Politiet har fundet ni eksempler som knytter min klient til chatten, ud af flere end 300.000 chatfiler - det er alt, alt, alt for tyndt," siger Luise Høj.

10:25 "Jeg vil gennemgå fem fjernstyringsmetoder, som er blevet præsenteret i retten, men som politiet ikke har gennemgået ordentligt" siger Luise Høj.

SSH - det betyder ikke andet, end at oprette en sikker forbindelse mellem to computere, men det kan også bruges som fjernstyring. SSH var installeret på Gottfrids computer.

545 forskellige vira og malware på computeren, som ikke er blevet genemgået ordentligt, og hvorvidt de kan have været brugt til fjernstyring. Luise Høj fremhæver en enkelt virus, som kan bruges til at stjæle passwords til eksempelvis en administrator-kono, som kan bruges til at installere fjernstyringsprogrammer.

Python-fjernstyring. Python er et populært programmeringssprog, men her kan det være bleet brugt til at skrive en script der giver adgang til fjernstyring. Python blev også brugt under den svenske Logica-hackersag.

PuUTY er et fjernstyringsprogram, som kun kan benyttes via en GUI, en grafisk grænsebrugerflade har anklagerens rådgiver oplyst, men forsvarens rådgiver Lars Ole Pedersen er dybt uenig.

ps.exe tillader fjernstyring af andre computere, uden installation af nogen programmer og er næsten umuligt at spore. Det er forsvarerens indtryk, at politiet ikke har den store erfaring med netop dette program.

VPN er forsvarerens sidste eksempel på en mulig fjernstyring. Der er flere tegn på, at VPN er installeret og brugt på Gottfrids computer.

Forsvareren har nu gennemgået en række fjernstyringsmuligheder, men lover ikke at fortsætte, selvom der i hendes mening er flere muligheder, som politiet ikke har set på.

"Der er alt for mange muligheder for fjernstyring, som politiet har afvist kategorisk," siger Luise Høj, inden hun går videre til den chatlog, som viser en samtale mellem Advanced Persistent Terrorist Threat og My Evil Twin.

10:14 "Når man har fysik i 8. klasse, så skal man skrive hele sin procedure ned, så man kan gentage forsøget - det kunne jeg rigtig godt have tænkt mig, at politet havde gjort, da de gennemgik computeren. Første gang loggede de nemlig ind som "Administrator" for sidenhen at logge ind som "Bruger A" - jeg er ked af, at jeg har brugt mange tusind kroner ud af de 130.000 kroner jeg har til rådighed, på en tekniker, som skulle påvise inkonsekvens i politiets materiale, når politiet selv tilstår det i et notat," siger Luise Høj.

Den Macbook Pro som politet indkøbte og som skulle modsvare den tiltaltes maskine, er ikke blevet sat op, som Gottfrids originale computer.

Det er altså endnu et eksempel på, at politiet ikke har været grundige nok. Luise Høj læser nu konklusionen fra sin tekniske rådgiver, Lars Ole Pedersens, rapport op:

"Det er mine konklusion, at der er mange delelementer, som skaber mulighed for, at uvedkommende har kunne få kontrol over tiltaltes pc. Det er således også min vurdering, at politiet ikke har undersøgt muligheder for fjernstyring ud over de åbenlyse muligheder som Remote Desktop etc.," siger Luise Høj.

Ligesom forsvaren har miskrediteret politiet, så fremhæver hun nu sin tekniske rådgivers lødighed ved, at han er tidligere politimand og sikkerhedsgodkendt af PET.

10:05 "Jeg er nået til fjernstyring; i min vurdering har politiets efterforskning af muligheden for fjernstyring været for overfladisk og fejlbehæftet," starter Luise Høj.

Politiet har ikke haft mulighed for at gennemgår hele computeren og dens virtuelle maskiner. Samtidigt er Gottfrids Mac-computer udstyret med syv brugere. Det er både praktisk, når man arbejder med forskellige ting på sin computer, men det giver også et indtryk af, at flere brugere har haft adgang til computeren.

Pause til klokken 10:00

09:45 "Hvis man bladrer over til anden spalte i materialesamlingen, så kan man finde rettens forklaring på paragraf 291, hærværksloven," siger Luise Høj.

Forsvareren taler nu om den særlige retslov Lex specialis, som siger at specielle love går forud for generelle love. Hun er utilfreds med, at der både bliver gået efter hacker-love og hærværkslove.

09:40 Forsvareren vil nu komme med fem konkrete eksempler, som hun mener politet burde have efterforsket: Bahnhof-adressen som er den anvendte IP-adresse til hacket af Logica-hacket og som en enkelt gang også indgår i CSC-hacket. En adresse som den svenske hacker dIROX, Gottfrids medsammensvorne i Logica-hacket, er indehaver af.

Den ip-adresse, som jeg ikke forstår ikke blev undersøgt er 111.92.242.220 - denne adresse er ikke blevet efterforsket og det er 202.84.72.14 heller ikke, til trods for, at den optræder mere end 400 gange i sagen. Det samme gælder 115.178.27.185 - som opsummering kan forsvareren ikke forstå, at der er så mange spor, som ikke er blevet efterforsket, udelukkende fordi de ikke understøtter politiets tese om, at Gottfrid er skyldig.

Når der ikke afgives forklaring, så kan det have en processuel konsekvens for den tiltalte. Det gjorde anklageren opmærksom på under sin procedure. Men politiet har på sin vis heller ikke afgivet fuld forklaring, når de har undladt at undersøge en række spor, blot fordi de ikke peger på Gottfrid, siger Luise Høj.

09:21 "Jeg siger det danske politi har været postkontor; de er på opfordring fløjet til Sverige for at hente det materiale, som svensk politi mener var relevant, for så at vende tilbage til Danmark og aflevere materialet til CSC, som aktivt har indgået i efterforskningen," siger Luise Høj og fortsætter:

"Det er slet ikke i orden, at den forurettede, altså CSC, selv skal efterforske deres egen sag."

09:17 Forsvareren taler nu om sin utilfredshed med den manglende objektivitet der er blevet udvist i sagen fra både politiets og anklagerens side. 

"Da jeg spurgte Grønnemose om, hvordan de filer som blev brugt i retten var blevet udvalgt, svarede han, at de var blevet fundet på en søgning iblandt 250.000 filer; en søgning som specifikt rettede sig mod Gottfrid. Der var altså ikke indtænkt den mulighed, at der var andre gerningsmænd," siger Luise Høj.

09:11 "Jeg har ikke tænkt mig at gentage hvad anklagemyndigheden sagde i tirsdags, men jeg er ikke enig med ham - bevisbyrden kan ikke ligge hos den tiltalte," siger forsvarsadvokat, Luise Høj.

Det er sagt som modsvar til, at anklager Anders Riisager under anklagerens procedure prikkede hul i forsvaret om fjernstyring af Gottfrids computer, fordi Gottfrid ikke selv kunne sandsynliggøre fjernstyringen gennem egen forklaring.

Luise Høj argumenterer for, at Gottfrid ikke nødvendigvis har kunne levere en fyldestgørende forklaring på, hvordan hans computer er blevet fjernstyret, fordi han jo netop selv er blevet snøret af fjernstyringen.

"Efter min overbevisning, så har Gottfrid kommet med mulige forklaringer på fjernstyring, men det er kun politiet, som har haft mulighed for at efterprøve de forklaringer. Og politiet har ikke haft agang til mere end halvdelen af computerens indhold, så vidt jeg ved," siger Luise Høj.

09:05 Forsvarsadvokat Luise Høj tager talerstolen, for at begynde sin procedure. Hun starter med at fortælle, at hun har delt slides og materialepakker ud til nævningene med tidligere domme og paragrafforklaringer.

"De udleverede domme henvender sig mest om paragraf 173 og en enkelt fra 1973 om hærværk," sige Luise Høj.

Der lægges altså op til, at der skal sandsynliggøres en præcedens forud for sagens udfald.