14 Dec 2017  

KBH: Overskyet, 3 °C

Del I: Chat-amok i Landsretten

Rapport fra Hackersagen

Del I: Chat-amok i Landsretten

Forsvundne mistænkte, mystiske chatlogs og bevæbnede betjente: Peter Kofod rapporterer fra Danmarkshistoriens største hackersag, som udspiller sig i Østre Landsret nu.

FOTO: PJ
1 af 1

[Østre Landsret, 9. juni 2015]

“Har I pressekort?,” bjæffer han. Anders Riisager, den selverklæret teknisk ubegavede anklager i Danmarkshistoriens største hackersag, der pludselig står lige foran mig.

Et kvarter senere ankommer Anakata, flankeret af to bevæbnede betjente iført skudsikre veste.

I retten må ”almindelige mennesker” ikke have en computer med eller bruge deres telefoner til at tweete eller sende sms'er med. Det er det kun ”rigtige journalister” der må. Dem med pressekort.

Efter anklagerens ansigtsudtryk at dømme ser han frem til at jeg bliver tvunget til at pakke min computer sammen – eller måske lagt i benlås, som det skete med en aktivist tidligere under retssagen. 

Jeg må skuffe ham. En af mine dybeste, mest skamfulde hemmeligheder er, at jeg faktisk har pressekort. 

Min sidemand fra TV2 har sjovt nok også, så ingen sammenpakninger eller benlåse i denne omgang. Anklageren lusker slukøret væk. ”Glimrende,” udbryder han halvvejs tilbage på sin plads. ”For det bliver I spurgt om”. Utvivlsomt..

En bizar retssag

Tirsdagens retsmøde – det andetsidste i ankesagen mod Gottfrid Svartholm Warg (også kaldet Anakata) – skulle have været begyndt klokken 09.00, men i lighed med dagen forinden har politiet, der skal bringe Anakata frem og tilbage fra arresten i Køge, svært ved at komme til tiden. 

Et kvarter senere ankommer han så, flankeret af to bevæbnede betjente iført skudsikre veste. 

Anklager Riisager giver dem et ordentligt møgfald, hvilket de ikke vil finde sig i, så de protesterer højlydt over at blive behandlet som skidt. Igen må anklageren luske bort, men betjentene er ikke tilfredse, så de marcherer efter ham, tværs gennem retssalen. ”Sådan skal du ikke tale til os! Er du med?”.

Anakata ser en kende forvirret ud over optrinnet. 

Det må også føles sært for ham for en gangs skyld ikke at være den der får skylden for politiets problemer med at overskue dansk infrastruktur.  

En passende bizar start på en bizar dag i en bizar retssag.

Skyldig i Byretten

I Byretten på Frederiksberg blev Anataka kendt skyldig i at have hacket sig ind CSC-systemer, der blandt andet skulle forestille at beskytte det danske kriminalregister, kørekortsregistret, CPR-registret samt Schengen-registret. Han fik tre et halvt års fængsel og ankede dommen. 

Den medtiltalte dansker, JT, fik et halvt års fængsel, som han accepterede (han havde allerede siddet inde i 17 måneder).

I april startede ankesagen så her i Landsretten. Anklageren vil stadig have Anakata dømt for hackerangrebet.

Vidne 1: chatlog-amok

Det første indkaldte vidne i dag er Lars Hededal fra Københavns Politi. 

Han bliver beskrevet som en efterforsker med 27 års erfaring, der har beskæftiget sig med IT-kriminalitet siden år 2000.

I hackersagen har hans rolle været at analysere de chatlogs, der blev fundet i en krypteret mappe (partition) på én af Anakatas computere. Det er nogle af disse chatlogs, som en stor del af bevisførelsen mod Anakata bygger på.

Der er groft sagt to forskellige typer af disse logs. Den ene slags er en enorm (virkelig enorm!) mængde chatlogs, der ser ud til at være en slags ”auto-gemte” logs, som chatprogrammet genererer, hvorefter de automatisk gemmes i en mappe.

Jeg siger ”ser ud til”, fordi politiet ifølge vidneudsagnet i Byretten (og gentaget ved Landsretten i dag) simpelthen ikke aner det. De har nemlig ikke selv haft adgang til computeren, så de kunne undersøge chatprogrammets indstillinger. De har bare fået filer tilsendt elektronisk fra svensk politi.

Den selverklæret teknisk ubegavede anklager i Danmarks-historiens største hackersag står pludselig lige foran mig.

Faktisk – og det var nyt for mig – forklarer Lars Hededal i retten, at dansk politi ikke har fået udleveret alle chatlogs fra computeren. Nogle ”kunne ikke udleveres” fra svensk politi, hvad det så end betyder. Spørgsmål: Hvor mange har de fået udleveret så? Svar: ”35. Ud af 182” (under en femtedel!). Vildt nok!

Den anden slags er én lang chat mellem to brugernavne, nemlig <Advanced Persistent Terrorist Threat> (angiveligt JT, den danske tiltalte) og <My Evil Twin> (angiveligt Anakata), som strækker sig over en længere periode.

Denne log er ikke en auto-gemt, men bare en tekstfil, som en eller anden har kopieret samtalen ind i manuelt. Begyndelsen mangler tilsyneladende og for en god ordens skyld, er hele samtalen kopieret ind dobbelt. Hvorfor? Hvem ved? Af hvem? Ingen ved det.

”Måske er der bare én der er kommet til at trykke copy/paste to gange i stedet for én, ved en fejl”, teoretiserer Hededal fra vidneskranken. Måske.

Der er ingen måde at afgøre, om chatten er autentisk. Det kunne i teorien bare være noget en eller anden har fundet på. Der kan være redigeret/slettet/tilføjet i den. Hvem ved? Who cares? Noget er i hvert fald redigeret: Brugernavnene på deltagerne i chatten.

Når de er, hvad er så ikke? Ingen ved det. Derudover er chatten oversat fra engelsk til dansk, bare ligesom for at være 100 procent sikker på, at det hele er fuldstændigt til grin.

I Byrettens dom blev der nærmest ikke lagt vægt på disse chatlogs – formodentlig fordi de er af så tvivlsom karakter – men det er alligevel dem, politiet har brugt en del energi på at efterforske i deres forsøg på at knytte Anakata til forbrydelsen.

Dømt på forhånd?

Et potentielt vigtigt aspekt er, at der et par gange i chatten optræder optræder et tredje brugernavn, <Era>, som det ser ud til at <Advanced Persistent Terrorist Threat> henvender sig til, men <Era> svarer aldrig.

Ikke ifølge chatloggen i hvert fald. Den chatlog, der er redigeret og copy/pastet over i en tekstfil hvor originalen stadig ligger i Sverige.

Hvem er <Era>? Hvem ved? Mistænkt i den vigtigste hackersag herhjemme nogensinde? Det har politiet så ikke lige fået kigget på.

Det virker jo ikke som noget, der kan understøtte anklagen mod Anakata, så det er ikke relevant, virker det som om de har tænkt. Eller virker og virker.. de indrømmer det sådan set selv. Under ed:

Forsvarer Louise Høj: ”Har du brugt lang tid på at efterforske de her chats?”

Hededal: ”Ja, det kan man godt sige”.

Forsvarer: ”Kan du komme ind på hvor mange linier chat du har været igennem?”

Hededal: ”Det ved jeg ikke”.

Forsvarer: ”I byretten forklarede du, at der var ca. 400.000 linjer. Du kan vel ikke have læst alle sammen?”

Hededal: ”Nogle har jeg læst, nogle gange har jeg søgt efter – når man så finder noget læser man hvad der står før og bagefter.”

Senere på dagen indrømmer han blankt at: ”Der er blevet defineret nogle temaer ud fra chatten og det er de temaer jeg har efterforsket”. 

Det tør siges. Temaet er, at det er Anakata der er skyldig – alt andet er underordnet.

Forsvarer: “Så er der det der med brugernavnet Era. Den danske tiltalte har forklaret, at han chatter med to forskellige, JT og Era. Du har ikke tillagt det betydning, at [den danske tiltalte] på et tidspunkt skriver <Era> i chatten, som er den måde man adresserer en person?”

Hededal: “Nej, ikke på det tidspunkt.”

Forsvarer Luise Høj griber fat i endnu en besynderlighed i chatloggen, nemlig at den, som person politiet påstår er Anakata, fortæller at han har mistet en computer – men at han heldigvis har en backup af indeholdet derfra. Har man fundet en backup, da man ransagede hans lejlighed?

Hededal: ”Nej, men vi har ikke haft adgang til alt materiale.”

Okay så.

Det forsvundne hackerprogram

Næste punkt er, at Anakata skulle have hacket sig ind i CSCs mainframe (som er sådan nogle kæmpe store computere, der ligner et køleskab eller en container).

Mainframes opfører sig helt anderledes end normale computere, så man kan for eksempel installere et program der hedder Hercules på sin computer til at simulere (efterligne) en mainframe – og så øve sig i at hacke en mainframe, selvom man ikke lige har én stående. I chatloggen siger <My Evil Twin> (som politiet påstår er Anakata) flere gange, at han har Hercules installeret og oppe at køre på sin computer.

Forsvarer: ”Ved du om min klient havde et Hercules-system, der virkede?”

Hededal: ”Det ved jeg ikke”.

Forsvarer: ”Det er fordi svensk politi har vidnet, at der ikke er et Hercules system, der virker på min klients computer.”

Pinlig tavshed fra vidnet, inden anklageren bryder ind og fodrer vidnet (må man det i en dansk retssal?) – ”I februar!”

Hededal: ”Måske havde han det i februar og så havde han det ikke mere i august?”.

Forsvarer: ”Min klient vil gerne vide, hvis han er anklaget for at have hacket CSC ved hjælp af Hercules, burde han så ikke have en udgave af Hercules på sin computer?”

Hededal: “nu er jeg jo ikke Hercules-ekspert – men der kan vel være mange grunde til, at sådan et program ikke virker?”

Forsvarer: ”Begge svenske efterforskere der har været herinde siger, at der mangler filer i denne Hercules-installation, så din holdning er, at de må være blevet slettet?”

Hededal: ”Det ved jeg ikke – måske mangler de, måske er de krypteret? Hvis de siger, at de ikke er der, er de der vel ikke.”

Forsvarer: ”Det virker bare som om i chatten, at der bliver talt om et program, der virker?”

Hededal: ”Det vil jeg give dig ret i. På det her tidspunkt i hvert fald.”

På det tidspunkt. Javel.

Logica

Næste punkt handler om, at <My Evil Twin> på et tidspunkt i chatten siger i, at han har slettet sig selv i SPAR-registret (den svenske udgave af CPR-registret).

Dét er noget anklageren kan lide! Anakata er i forvejen dømt i en sag i Sverige for at have hacket sig ind hos et selskab, der hedder Logica. Et IT-firma, ligesom CSC, som de jo nu anklager ham for også at have hacket. Og CSC administrerer jo CPR-registret herhjemme.

Det er lige til højrebenet. Sådan en som ham ville da klart synes det kunne være sjovt – Lulz – at slette sig selv i SPAR-registret. Så her har vi et næsten håndfast bevis på, at <My Evil Twin> er Anakata! Eller hvad?

Vidnet har skrevet en fin politirapport om dette her, som indgår i bevismaterialet mod Anakata. Han har på et tidspunkt været ”oppe i Sverige” og mødes med nogle folk, der har fortalt ham nogle ting, som han har kunnet bruge i sin efterforskning.

I Byretten kunne han ikke helt huske, hvem det var der havde sagt hvad til ham, ”deroppe i Sverige”. 

Forsvaren spørger om det  forsat er hans opfattelse, at ”det her med at at  SPAR – den omtale, der er i chatten – at det har noget med Logica at gøre? At <My Evil Twin> siger, at han er slettet fra SPAR-registret”

Hededal: ”Så vidt jeg forstod, er SPAR det svenske modsvar til CPR-registret, og jeg fik at vide oppe i Sverige at...”

Forsvarer: ”Er du kommet i tanker om, hvem der mon har sagt det?”

Hededal: ”Nej.”

Forsvarer: ”Det er fordi, når nu <My Evil Twin> siger, at han er slettet i SPAR, faldt det dig så ikke ind, at det er en ret identificerende ting, det om man står i SPAR-registret?”

Hededal: ”Nej, det faldt mig ikke.. det er svært at finde ud af, hvem der er slettet. Hvordan finder man noget, der ikke er der?”

Forsvarer: ”Men det ville vel være nemt at finde ud af, om min klient mangler i SPAR?”

Hededal: ”Ja.. men det er jo det jeg fik at vide oppe i Sverige… at din klient var blevet forsøgt slettet i SPAR… men at det ikke var lykkes”.

Nævningene – som virkelig er på en hård prøve i alt dette her. Alting er tørt, teknisk, tungt. Meget er også tåkrummede – ser mærkbart paf ud. Om Anakata rent faktisk har været ”forsøgt slettet” i SPAR-registret, kan vist desværre ikke dokumenteres. Og nok slet ikke, når vidnerne ikke kan komme i tanke om, hvem det er ”oppe i Sverige”, der har fortalt det.

Forsvarer: ”Har du tjekket om nogle af de andre mistænkte mon var slettet?”

Hededal: ”Nej”.

Ren Kafka

Derefter går der ren Kafka i den, da forsvaret slår tvivl om, hvorvidt det overhovedet er Logica, der har noget med driften af SPAR-registret at gøre. Det er derimod deres konkurrent EVRY. Nu er vi altså ude i absurditeter i tredje-fjerde led. Anakata er <My Evil Twin> ,fordi han ikke har slettet sig selv i SPAR-registret, som i øvrigt ikke drives af det firma, som Anakata er dømt for at have hacket i Sverige.

Forsvaret spørger om, det – at det er EVRY, ikke Logica – der driver SPAR-registret, er noget, der er kommet frem under efterforskningen?

Hededal: ”Det er ikke noget der er kommet frem i de drøftelser; hvordan det svenske svar på CPR-register eller CSC er skruet sammen er ikke noget jeg har beskæftiget mig med.”

Forsvarer: ”Hvis det skulle give mening, den bemærkning om SPAR, så skulle de vel være fordi, at SPAR var underlagt Logica på det tidspunkt?”

Hededal: ”Ja… Nej.. og det ved jeg ikke… Det kan vel være mange forskellige firmaer – ligesom mange firmaer var hostede hos CSC.”

Forsvarer: ”Har du tjekket det svenske materiale? Har du kigget der?”

Hededal: ”Jeg har ikke læst de mange sider, men kryds-checket nogle ting.”

Forsvarer: "Hvorfor har politiet ikke kigget på de ting – fx. det med SPAR – der kunne give et klart fingerpeg om hvem gerningsmanden er, og I stedet har blæst 100.000 liniers chat? Hvorfor nævner man ikke nogle af de ting, der trækker væk fra min klient?"

Det kommer der ikke rigtig noget svar på.

Forsvarer: ”Hvis man sletter noget i SPAR, betyder det jo, at man modificerer noget, ikke?

Hededal: ”Jo.”

Forsvarer: ”Har du undersøgt, om der er blevet modificeret noget?

Hededal: ”Nej.”

Ikke flere spørgsmål.

Hvad med de andre mistænkte?

Der kommer heller ikke svar på, hvorfor politiet ikke har kigget på andre oplagte mistænkte end Anakata. Der er for eksempel en fyr der er dukket op i løbet af sagen, som JT [den danske tiltalte] har skrevet sammen med.

“Tilbage I Melbourne cjhiller jeg også godt med nogle cimputere og sådan noget, det er sgu meget hyggeligt. Mødtes lige kort med en anden terrorist som fortalte at: yeah, I only know one hacker from Denmark, he's called XXX (jeg tilbageholder navnet, PK), and he's the best”.

Ham har politiet ikke kigget på. Vidnet nævner også en anden dansk tidligere mistænkt (som de heller ikke har efterforsket).

Forsvaret: ”En af de andre der har været anholdt?”

Hededal: ”Nej nej, en helt anden en”.

Så der er vi altså nu; der er indtil flere oplagte mistænkte – én af dem har oven i købet et navn, som både politiet og folk i miljøet kender, men ingen andre end Anakata er blevet efterforsket. 

Og vi mangler endda endnu et vidne i dag, som kommer mindst lige så meget på glatis.

Det er dejligt at bo i en retsstat.

10. jun. 2015 - 20:24   14. jun. 2015 - 13:26

Retsstat

Peter Kofod
Aktivist og skribent

Peter Kofod er en dansk it-aktivist, debattør og skribent.

Han er bestyrelsesmedlem i whistleblowerorganisationen Veron.

Blogger om overvågning, whistleblowere og rettigheder på nettet, blandt andet på Arbejderen.dk og DenFri, hvor han også offentliggjorde det første danske interview med den verdenskendte whistleblower Edward Snowden.


Læs mere og støt Peter Kofods arbejde her

Hackersagen i Landsretten

It-aktivist og skribent Peter Kofod rapporterer fra Danmarkshistoriens største hackersag, som i øjeblikket kører i Østre Landsret.

Artiklen her er første del af reportagen.

>> LÆS DEL I: Chat-amok i Landsretten

>> LÆS DEL II: Fissefjæs og forsvundne beviser


Sagen kort

  • Den svenske Pirate Bay-stifter og WikiLeaks-frivillige Gotfried Svartholm Warg (kaldet Anakata) og en ung dansk computerekspert er anklaget for at have hacket sig ind hos it-giganten CSC i Danmark.
  • Sidste år kendte Byretten på Frederiksberg Anataka skyldig i at have hacket sig ind CSC-systemer, der blandt skal beskytte det danske kriminalregister, kørekortsregistret, CPR-registret samt Schengen-registret. Han fik tre et halvt års fængsel og ankede dommen.
  • Den medtiltalte dansker fik et halvt års fængsel, som han accepterede (han havde allerede siddet varetægsfængslet i 17 måneder).
  • I april startede Anakatas ankesag i Østre Landsret.
  • Der ventes dom i sagen på onsdag.