14 Dec 2017  

KBH: Overskyet, 3 °C

Del II: Fissefjæs og forsvundne beviser

Rapport fra Hackersagen

Del II: Fissefjæs og forsvundne beviser

Retssagen mod den svenske it-ekspert Gottfrid Svartholm Warg har været præget af teknisk inkompetence og brud på almene retsprincipper. Nu risikerer han tre et halvt års fængsel, når der på onsdag falder dom. Peter Kofod rapporterer.

Vicestatsadvokat Anders Riisager er hovedanklager i Danmarkshistoriens største hackersag, der kører i Østre Landsret netop nu. Her fra en anden retssag.
FOTO: Linda Kastrup/Scanpix
1 af 1

Jeg har været i retten en del gange og har hørt en hel mærkelige ting derinde. Både nu her under hackersagen og i andre tilfælde.

I retssagen mod Frank Grevil, whistlebloweren fra Forsvarets Efterretningstjeneste, skulle kontreadmiral Jørn Olesen for eksempel vidne mod Frank. Han troppede op i retten og begyndte at læse op af et manuskript.

Kuntface, siger anklageren. Kuntface, siger anklagerens vidner. Der er fissefjæs overalt. Dommeren og nævninge fortrækker ikke en mine.

Dommeren pålagde ham at lægge manuskriptet væk og i stedet svare på spørgsmål. Så flyttede han det blot 30 cm længere væk i vidneskranken og læste, med en vis anstrengelse på grund af afstanden, videre i teksten.

Det var mystisk, tænkte jeg, ligesom jeg utallige gange under hackersagen har tænkt, at alle mulige ting er mystiske.

Men jeg har dog aldrig før hørt ordet ”fissefjæs” ytret i retten. Før nu.

Fissefjæs

Det har som tidligere nævnt været mere eller mindre altafgørende for anklagemyndigheden at  knytte den tiltalte Anakata sammen med flere forskellige brugernavne i alle de chatlogs, registreringer af chatsamtaler, der udgør en stor del af bevismaterialet i sagen.

Et af de brugernavne der optræder, er <Kuntface>, som jo altså– jeg undskylder mange gange – betyder ”fissefjæs”. Igen og igen i løbet af retsmødet i tirsdags udfolder der sig ordvekslinger mellem anklager Anders Riisager og forskellige vidner a la følgende:

"På side xxx, afsnit 3, siger <Kuntface> blah blah blah.."

"Undskyld, og det er Kuntface der siger det?"

"Ja – og Kuntface svarer yada yada yada."

Kuntface, siger anklageren. Kuntface, siger anklagerens vidner. Der er fissefjæs overalt. Dommeren og nævninge fortrækker ikke en mine. TV2-gutten ved siden af mig tweeter ”Kuntface” ud på internettet. Jeg bider mig selv i kinden. Hårdt. Mange gange. 

I chatloggen, er der på et tidspunkt én der spørger <Kuntface> om hvorvidt popbandet Ace of Base, ikke kommer fra hans hjemland? Ace of Base er et svensk band. Den tiltalte Anakata er svensker.

<Kuntface> svarer i chatloggen, at dét er der godt nok aldrig nogen der prøvet at bruge imod ham før. Det mener vidnet tyder på at ”Kuntface” er  identisk med Anakata.

Nu prøver anklageren så (også?) at bruge Ace of Base mod den tiltalte. Bevisførelse når nye højder.

En farce af en retssag

Ligegyldigt om Anakata er skyldig eller ej – eller om han er <Kuntface> eller ej – vil jeg tro, at han kan se komikken i, at man kan få politi og anklagere til at stå i en retssal og råbe ”fissefjæs” foran tre højtærede dommere, en flok nævninge og representanter for pressen, uden selv at forstå hvor sjovt det er. ”Lulz!” ville en hackertype måske skrive i en chatlog.

Hvis politiet en dag beslaglægger mine computere, vil de finde en krypteret fil indeholdende chatlogs mellem mig og anklager Riisager (hans brugernavn er så <R3tsikk3rh3d_LOL>, mit er <terrorpete> - ét af dem er faktisk ægte), hvori vi skriver ”Kuntface” og ”Lulz” til hinanden, mens vi planlægger at få folk sat i spjældet uden beviser.

Chatten er enormt lang og dateret til lige før retssagen mod Anakata og den danske tiltalte gik i gang.

Den er godt nok kopieret ind i en tekstfil – to gange efter hinanden faktisk – og der er redigeret i den, men den vil stadig kunne bruges som bevis i en dansk retssag, hvis bare anklageren er villig til at tilsidesætte al anstændighed.

Det andetsidste retsmøde i ankesagen mod Gottfrid Svartholm Warg (også kaldet Anakata) er, som de foregående, en farce af teknisk inkompetence, tvivlsom bevisførelse og hvad der ser ud brud på helt almindelige retsprincipper.

Når der på onsdag falder dom, risikerer den svenske it-ekspert tre et halvt års fængsel, hvis han bliver kendt skyldig i anklagen om at have hacket sig ind CSC-systemer, der blandt andet skulle forestille at beskytte det danske kriminalregister, kørekortsregistret, CPR-registret samt Schengen-registret. Anakata blev kendt skyldig i Byretten sidste år og i april startede ankesagen så her i Landsretten.

Ned ad bakke

Tilbage til Østre Landsret. Der er altså mange forskellige brugere, der går igen i de her chats. Nogle af dem har samme IP-adresse. Det mener vidnet betyder, at de alle må være samme person. Forsvarer Luise Høj spørger, om ikke det kunne tænkes, at det er fordi der er mange, der har haft adgang til at bruge chatprogrammet på computeren? Politefterforskeren Hededal drikker en masse vand i vidneskranken og svarer, at dansk politi ikke har haft adgang til programmet eller computeren, så de har ikke kunnet undersøge det.

”Det kan godt være to forskellige personer, vi ved det ikke”.

Herfra går det – om muligt – kun endnu mere ned ad bakke.

Er det en joke?

Efterforskeren har fundet en sætning på 183 tegn, som bliver sagt af to forskellige brugernavne i chatloggen – hvilket jo må betyde, at de to brugere er identiske (og naturligvis, at de begge to i virkeligheden er Anakata).

Sætningen lyder:

"A good programmer can find and understand the description of the IJK305I error he just got in his JCL manual. A great programmer can write JCL without referring to the manual at all."

Forsvarer Luise Høj antyder overfor anklageren, at det måske er joke af en slags.

Anklager: “Hvori består joken”.

Forsvarer: ”Det skal man nok være lidt mere teknisk kompetent end du.. og jeg... for at forstå”.

Hvis man er IT-kriminalefterforsker hos dansk politi, kan det godt se temmelig tilfældigt ud, at to forskellige mennesker, uafhængigt at hinanden, skulle kunne finde på at sætte de 183 bogstaver sammen i nøjagtigt den samme rækkefølge. Det er jo teknisk og alt muligt. Hvad er oddsene for det?

Hvis man derimod er én der har bare rudimentær forstand på det man skal efterforske, vil man vide - eller kunne finde frem til - at det ikke bare er tilfældige bogstaver der er sat efter hinanden, men derimod en i visse IT-kredse ret kendt joke.

En google-søgning giver lige over 2.000 resultater på citatet:

Er de mon alle sammen Anakata??

Vidne 2: Anti-terror engelsk & visa-problemer

Næste vidne er Joakim Person, svensk politi-efterforsker, der er specialiseret indenfor IT-kriminalitet. Han vidnede også i den tidligere retssag i Sverige, hvor Anakata sammen med MG (navn tilbageholdt, red.) var tiltalt for at have hacket Logica. Person var i Cambodja, hvor Anakata blev anholdt på foranledning af svensk politi.

Person er indkaldt af anklager Riisager, som opridser vidnets forklaring fra Byretten:

"Vidnet har undersøgt Anakatas stationære computer, mens en anden politimand analyserede den bærbare. Vidnet fandt en Hercules-emulator (se første del af denne reportage) på den stationære computer."

Forsvarer Luise Høj prikker til forskellige aspekter af vidnets forklaring.

Efter hans forklaring var det meningen at svensk politi skulle have sikret beviserne i Anakatas lejlighed, for at være sikker på at have styr på tingene og for at kunne dokumentere detaljerne om hans computerudstyr og så videre.

Men det endte ”desværre” med, at det cambodianske politi ransagede lejligheden selv. Allerede under en mellemlanding i Thailand, på vej til Cambodja, modtog Person således billeder fra ransagningen.

Da han ankom til politistationen i Phnom Penh, stod Anakatas computere pakket i sorte affaldssække der. So much for chain of custody.

Politiet fik aldrig Hercules til at virke på computeren; programmet kunne ikke simulere et mainframemiljø. Vidnet har ikke undersøgt mulighederne for fjernstyring af computeren – hvilket jo er det centrale punkt i Anakatas forsvar.

Da Anakata blev anholdt i Cambodja, var det ikke af et par betjente der stille og roligt bankede på døren, men af en kampklædt anti-terror enhed, hvilket er lidt underligt, den påståede forbrydelse taget i betragtning. I det hele taget er det lidt underligt at anholdelsen overhovedet fandt sted, da Cambodja og Sverige ikke har en udleveringsaftale.

Om hvorfor anholdelsen skete på anti-terror manér, siger vidnet, at svensk politi ikke havde stillet krav til anholdelsen og forklarer yderligere: “Når cambodiansk politi anvendte anti-terror enheden, var det nok fordi, det var dem der var bedst til engelsk”.

Ja, klart. Det må være derfor.

I Byretten forklarede vidnet, at han kender ”overordnet” til Hercules – det program Anakata skulle have benyttet i forbindelse med CSC-hacket. Og at han mener at det mainframesystem CSC benytter ikke er ret udbredt. Udtalelsen lød noget i stil med:

IBM Mainframes er sjældne og Hercules er endnu mere sjældent.

Det klinger en lille smule forkert i mine ører, fordi jeg kender en smule til virkeligheden.

IBM sidder således tungt på mainframe markedet; op mod 90 procent, i hvert fald for et par år siden – faktisk så meget at EU har overvejet antimonopol-lovgivning på området.

Hercules er ligeledes særdeles udbredt, både blandt hackertyper og blandt folk der arbejder professionelt eller på amatørbasis med mainframe-systemer. Det kan downloades gratis, flere steder på internettet.

Her er et screenshot fra én hjemmeside, hvor det fremgår at én udgave af Hercules, er downloadet 5545 gange over de sidste fire års tid.

Mega sjældent?

Hvad blev beslaglagt i Cambodja?

Anakata har hele tiden hævdet, at de to computere (den stationære som vidnet har undersøgt, samt den bærbare) var servere, eller labcomputere, som blev brugt af mange forskellige mennesker fra hele verden, blandt andet til udvikling af grafikprojekter.

Siden retssagen i Sverige, har han ligeledes hævdet at han udover disse to computere, havde en bærbar HP computer, som han brugte til almindelig, personlig brug. Denne computer er aldrig dukket op.

Vidnet var selv tilstede under afhøringen af Anakata, både i Cambodja og eftefølgende. Forsvareren fremviser et bilag til vidnet.

Forsvarer: “Kan det passe at du har været med til en afhøring af min klient, du kan se dato her, 8/3-2013?”

Person: “Ja”

Forsvareren læser op fra den svenske forhørsrapport (side 705).

”[..] i din lejlighed fandt vi 2 computere; en stationær og en bærbar”.

Hendes klient skulle efter forhørsrapporten have svaret: ”[...] ikke mine personlige, det er servere.”

Forsvarer: ”Fik det dig til at tænke, at han måske også havde en personlig computer?”

Person: “Ikke på det tidspunkt. Vi mente nok, at det var en måde for din klient at slå fra sig”.

Det med, at computerne var servere, ikke personlige computere, har Anakata gentaget fem gange i forhørsrapporten.

Forsvarer: “Virker min klient ikke som en person der har en personlig computer – udover nogle servere.”

Person: “Absolut. Men vi gik ud fra, at én af dem VAR hans personlige computer.”

Han tilføjer: ”Vi fandt jo også en del af hans arbejde på den bærbare.”

Forsvarer: “Jo. der var en faktura fra Mysec (et firma, Anakata arbejdede for) - men den er dateret fra 2010. Hvor er resten?”

Person: ”Det ved jeg ikke.. tror han havde sådan en løs aftale om lønning fra Mysec. Det må du snakke med Mysec om.”

Forsvarer: ”Vi har talt med Mysec”.

Det virker ret tydeligt, at svensk politi ikke har troet på Anakatas forklaring om computerne var servere – og at han havde en personlig computer mere. De har haft tillid til at den cambodjanske anti-terror enhed – udover deres strålende engelskkundskaber – også havde godt styr på det med at ransage ordentligt, få det hele med og ikke sjuske med noget.

Det er faktisk et ret vigtigt punkt; så vigtigt at man kan læse i dette i Byrettens dom over Anakata:

[Tiltalte]har forklaret, at han ved anholdelsen i Cambodia var i besiddelse af en HP-computer, som var hans personlige computer, og den han brugte mest, samt at denne computer må være forsvundet i forbindelse med cambodiansk politis ransagning. Retten forkaster denne forklaring og har herved lagt vægt på, at forklaringen er uunderbygget og tillige utroværdig [...]".

Så hvis forsvaret kan påvise, at der rent faktisk er ting der er forsvundet under ransagningen i Cambodja, er det vel en big deal?

Visa-problemer

Udover den manglende HP computer har Anakata forklaret at der mangler et Visa-kort, som var i hans lejlighed. Der står ikke noget om et Visa-kort i de lister over ting der blev beslaglagt.

Forsvareren spørger vidnet, om han har set noget til et Visa-kort? (det har han ikke). Nogle betalingskort overhovedet? (det har han ikke).

Forsvarer: ”Overvejede I, hvordan han havde til dagen og vejen, hvis han ikke havde et betalingskort.”

Person: ”Ja. Vi tror, at han havde en god ven der betalte for ham.”

Forsvareren viser et kontoudtog fra Nordea, fra Anakatas far, som er afgået ved døden.

Det er forsvareren selv, der har fremskaffet det fra dødsboet – politiet havde åbenbart ikke tænkt på at undersøge den slags. Udtoget viser kontante hævninger fra juni, juli og august 2012. Ud for alle hævninger står angivet en bankkode fra Royal Bank Cambodia.

Det er det hævekort, Anakata har haft. Dét er forsvundet under ransagningen.

Dom på onsdag

Når noget så centralt som hovedanklagedes hævekort kan forsvinde under ransagningen, hvad kan så ellers være forsvundet? For eksempel den computer, som forsvaret hævder var i lejligheden – og som kan være med til at bevise Anakatas påstand om, at den ikke blev brugt til hacke sig ind hos CSC, hvis den bliver fundet.

Herfra hvor jeg sidder, virker det som om også helt almindelige retsprincipper er forsvundet under ransagningen.

Det bliver spændende at se, om de dukker op igen, inden der på onsdag falder dom i sagen.

14. jun. 2015 - 12:27   14. jun. 2015 - 18:57

Retsstat

Peter Kofod
Aktivist og skribent

Peter Kofod er en dansk it-aktivist, debattør og skribent.

Han er bestyrelsesmedlem i whistleblowerorganisationen Veron.

Blogger om overvågning, whistleblowere og rettigheder på nettet, blandt andet på Arbejderen.dk og DenFri, hvor han også offentliggjorde det første danske interview med den verdenskendte whistleblower Edward Snowden.


Læs mere og støt Peter Kofods arbejde her

Hackersagen i Landsretten

It-aktivist og skribent Peter Kofod rapporterer fra Danmarkshistoriens største hackersag, som i øjeblikket kører i Østre Landsret.

Artiklen her er første del af reportagen.

>> LÆS DEL I: Chat-amok i Landsretten

>> LÆS DEL II: Fissefjæs og forsvundne beviser


Sagen kort

  • Den svenske Pirate Bay-stifter og WikiLeaks-frivillige Gotfried Svartholm Warg (kaldet Anakata) og en ung dansk computerekspert er anklaget for at have hacket sig ind hos it-giganten CSC i Danmark.
  • Sidste år kendte Byretten på Frederiksberg Anataka skyldig i at have hacket sig ind CSC-systemer, der blandt skal beskytte det danske kriminalregister, kørekortsregistret, CPR-registret samt Schengen-registret. Han fik tre et halvt års fængsel og ankede dommen.
  • Den medtiltalte dansker fik et halvt års fængsel, som han accepterede (han havde allerede siddet varetægsfængslet i 17 måneder).
  • I april startede Anakatas ankesag i Østre Landsret.
  • Der ventes dom i sagen på onsdag.