Gottfried Swartholm Warg er et menneske, hvis intelligens kan mærkes i rummet som noget, der er større end ham selv. Han ligner også alt det, medierne forestiller sig, er en farlig hacker: bleg, og med langt hageskæg. Derover er han tidligere dømt for hacking, har drillet store firmaer og myndigheder verden over med Pirate Bay og så var der, beviseligt, spor efter CSC-hacket på hans computer. Hvordan de er havnet der, og om det var ham selv eller en anden, der har lagt dem der. Det får vi ikke en gennemført teknisk overbevisende forklaring på. Men nu har vi dømt ham. Hårdt. Og er alting så godt igen?
Den 17. juni i år blev Frederiksberg byrets dom over svenskeren Gottfried Swartholm Warg stadfæstet i Østre Landsret. Warg blev spurgt, om han havde noget at tilføje. Det havde han. Han sagde, han var uskyldig. Og tilføjede, at det nok var lidt for sent at overbevise nogen om det. Hans udtalelse ændrede naturligvis heller ikke dommen på tre et halvt års ubetinget fængsel; en historisk høj dom for computerkriminalitet her i landet.
Hans forsvarer, Luise Høj, forklarede derefter, at Warg allerede havde siddet i fængsel i Danmark i over to år, og at han var villig til at rejse til Sverige øjeblikkeligt, hvis man prøveløslod ham nu. En helt normal praksis i straffesager i Danmark, når man har afsonet to tredjedele af sin straf. Hun opfordrede også dommeren til at ophæve den udvisning af Danmark ‘for bestandigt’, som var en del af dommen. Ingen af delene blev imødekommet.
Anklager Anders Riisagers svar var korte: Nej. Og nej.
Kryptonit for Superman
Anklageren var også kortfattet uden for retsbygningen, da jeg spurgte ham, om han var blevet klogere på computere nu, efter at have beskæftiget sig med sagen i så lang tid. I byretten sidste år var han kommet til at udtale, at computere for ham var ‘som kryptonit for Superman’.
– Jeg er da blevet meget klogere på fjernbetjening af computere, og hvad ved jeg. Men det, man skal have for øje, er, at det er jo en juridisk process, man er igennem, og det er teknikere, der kommer og afgiver de tekniske forklaringer. Jeg afhører bare og drager de juridiske konklusioner, sagde han til mig.
Under voteringen havde hans kone ventet på ham blandt tilhørerne. De skulle på ferie sammen nu, fortalte hun mig.
– Det trænger han til, sagde hun.
Forsvarer Luise Høj lignede også en, der trængte til ferie. Hun var ærgerlig og trist.
– Vi har alt for få ressourcer til at slås mod en så stor virksomhed som CSC og politiet på samme tid. Det har været en ulige kamp fra starten, forklarede hun.
Men det kunne faktisk være gået endnu værre: Anklager Anders Riisager havde nemlig krævet en straf på mindst fem års fængsel. Men det endte altså med tre et halvt år.
Strategi som i byretten
Ankesagen som sådan var stort set en gentagelse af sagen i byretten. Forsøgene på at forklare, at Wargs computer kunne være fjernstyret, blev latterliggjort, og forsvarets amerikanske ekspertvidne, Jacob Appelbaum, mistænkeliggjort, igen.
En lang, redigeret kopi af en chatsamtale blev, igen, minutiøst gennemgået, og Warg tilbragte endnu en gang timer på at skulle svare på, om han var en af personerne i den og den sætning, og om der vitterlig var forskel på chatnavne med og uden underscore. Alt sammen var det detaljer, der må have kedet nævningene mindst lige så meget, som det kedede os på tilskuerpladserne, og Warg virkede mere og mere irriteret og opfarende - noget nævningene ikke kan have undgået at bemærke.
Man valgte kort sagt samme strategi som sidst. Og det virkede. Desværre.
For det danske retsvæsen er tilsyneladende ikke blevet klogere på, hvordan man skal behandle sager om computerkriminalitet. Og det er især en udfordring for forsvaret.
– Jeg har fået beskikket 80.000 kroner under denne sag indtil videre, og de penge løber stærkt. De rapporter, som jeg formidler videre, skal min tekniker læse og lave rapporter om og fortælle om i retten. Med hans timetakst er det meget få timer, fortalte Luise Høj, der også måtte lide det nederlag ikke at kunne modtage den ellers rigelige frivillige hjælp, der var derude.
Således måtte sikkerhedsekspert Henrik Lund Kramshøj fra Solido Networks ikke få lov at arbejde med sagen og hjælpe med at forklare om muligheden for fjernstyring af Wargs computer, på dansk. Han kunne ikke sikkerhedsgodkendes, lød det.
Svage beviser
Professor David Thaw, ekspert i computerkriminalitet, jurist og professor ved University of Pittsburgh og Fellow på Information Society Project ved Yale, mener, at en række af beviserne i sagen ikke var helt fine i kanten – faktisk ville flere af dem med garanti blive afvist i en amerikansk retssal. Den chatlog, som Warg og den medtiltalte dansker blandt andet blev dømt på, er særligt problematisk.
– Jeg kan konstruere en mail i dit navn, sendt til mig, hvor du fortæller mig om en kriminel handling, du har begået. Det kan man også med en chat. Men medmindre en ret kan bevise, at den rent faktisk er sendt fra din computer via serverspor, er den mail eller chat ikke noget værd. Hvis anklagemyndigheden anvender en chat-log, der kun er med i uddrag, og ikke kan redegøre for, hvem der har deltaget, ville jeg slet ikke kunne bruge den i en amerikansk retssal, sagde Thaw, da jeg talte med ham i forbindelse med et interview til “Aflyttet” på Radio24syv.
Den hårde straf
Men det mest problematiske i sagen er ifølge David Thaw, at det kun er Robert Malmgren fra ROMAP, CSC's eget selvvalgte og betalte konsulentfirma, der har haft direkte adgang til den hackede mainframe. Politiet har ikke selv haft adgang. Eller forsvaret.
– Det er meget betænkeligt, siger Thaw.
Forsvarer Luise Højs 80.000 kroner kan ikke have rakt langt i forhold til de kræfter, det officielle Danmark har lagt ind i sagen: Politi og rigspoliti har lagt tusinder af mandetimer i efterforskningen, og der er blevet skrevet tre tommetykke rapporter fra Center for Cybersikkerhed, - i øvrigt med flere alvorlige påtaler til den krænkede part, den internationale computergigant CSC, Computer Science Cooperation, der til gengæld ikke har fået så meget som en parkeringsbøde.
Tilbage i sit danske fængsel, på vej mod udvisning for bestandigt, sidder så Warg med sit lange skæg og ser mistænkeligt hackeragtig ud på de billeder, pressen bevidstløst bringer under overskrifter som ‘Superhacker idømt fængsel’. Han kommer ikke ud, før hele dommen er afsonet, det kan vi være ganske sikre på.
Hvorfor han skulle være farligere end en bankrøver eller en voldsmand, der ville være blevet prøveløsladt for længst, er der ikke rigtigt nogen, der orker at svare på for tiden. Han er dømt. Han har skæg, han er svensker, han bliver siddende. Basta.
Manglende selvransagelse
CSC, der - hvis vi skal tage dommen til efterretning - har ladet denne superfarlige hacker lege boogie-woogie med virksomhedens mainframe-computere gennem seks måneder uden at bemærke noget som helst, mens vores kørekortregister, kriminalregister, cpr-register og store dele af Schengen-arkivet blev kopieret, muligvis rettet i og iøvrigt hevet ud af landet, har tilsyneladende heller ikke taget nogen drastiske interne skridt: Ingen er fyret. Og de danske myndigheder, som de har kontrakt med, har ikke udskrevet nogen bøder.
Men CSC vidste godt, den var gal.
Tog de så et møde med Warg om deres sikkerhedsproblemer? Nej da, ikke med en simpel kriminel. Lavede de om på alle systemer? Ikke så vidt vi ved. Men de gjorde noget klassisk dansk: De indkaldte til et seminar.
Den 13. januar i år afholdtes der seminar i CSC om ..”sikkerhed for de danske myndigheder”! Oplægget lød: “I kølvandet på Danmarks hidtil største hackersag mod CSC har Center for Cybersikkerhed (CFCS) udsendt Rapport 3 med en række anbefalinger om sikkerhed til danske myndigheder. Spørgsmålet er nu, hvordan disse omsættes til konkret handling. Det ønsker seminaret at give et bud på."
Deltagerne var blandt andet Henrik Moll, afdelingschef, PET, Poul Thorlacius-Ussing, chef for Cybersikkerhedsafdelingen, CFCS, og Thomas Patterson, Global General Manager, CSC. Sidstnævnte er hentet ind fra det store udland, fra hovedkvarteret, i USA.
“Mange lande har udarbejdet nationale sikkerhedsstrategier med konkrete krav til myndighedernes it-sikkerhed. Thomas Patterson vil belyse dette emne med udgangspunkt i erfaringer fra USA, herunder egne erfaringer fra det Hvide Hus.”, hedder det betryggende i programmet.
Det var ikke noget langt seminar - det startede klokken 9 og sluttede 12.30 - hvorefter der var frokost og networking …
Buldrende grunddata
Vi ved ikke, hvad der blev talt om. Men mon ikke der blev lovet lidt af hvert? Fremvist et par panderynker og vredet en lille smule hænder?
Desværre for os almindelige danskere, os, hvis data er gemt i de nu downloadede filer fra CSC, i kørekort-, cpr- og kriminalregister, er det angiveligt ikke muligt at finde ud af, om vores data er blevet ændret, slettet eller er på vej til at blive misbrugt af tredjepart. Ingen ved nemlig rigtig, hvor de er endt. Vi kan til gengæld håbe på, at PET og Center for Cybersikkerhed har benyttet sig af lejligheden til at indskærpe, at danske data ikke skal deles med NSA - noget amerikanske firmaer ellers er forpligtigede til som følge af FISA, Foreign Intelligence and Surveillance Act.
Hvordan FE og PET i givet fald ville kontrollere det, er en helt anden sag.
Og der er slet ikke nogen, der har talt om at lave systemerne radikalt om, så der slet ikke ligger alle de data samme sted hos store amerikanske firmaer. Tværtimod buldrer digitaliseringen videre, nu med såkaldte grunddata (læs: alle data) om alle borgerne samlet et sted under ‘den fælles datafordeler’.
Det er ikke CSC, fra USA, der skal tage sig af det. Det er KMD, det gamle Kommunedata. Det er nu ejet af Advent International, fra USA.
De ‘Nationale Sikkerhedsstrategier’? Dem tager vi på et seminar.