SS-5591/2014-FRB

.ddb-conv-doc { text-align: left; background-color: gray; color: #000000; line-height: 1; margin: 0; padding: 0; text-decoration-skip: none; text-decoration-skip-ink: none; } .ddb-conv-doc .page { background-color: white; position: relative; z-index: 0; margin: auto auto; } .ddb-conv-doc P { margin: 0; } .ddb-conv-doc UL { margin: 0; list-style: none; } .ddb-conv-doc UL LI { line-height: 1.15; } .ddb-conv-doc SUP { vertical-align: baseline; position: relative; top: -0.4em; font-size: 0.7em; line-height: 0; } .ddb-conv-doc .ddb-segment { position: relative; } .ddb-conv-doc .ddb-segment .ddb-absolute { position: absolute; z-index: 3; } .ddb-conv-doc .text, .ddb-conv-doc div.ddb-block, .ddb-conv-doc div.ddb-block-nb { position: relative; z-index: 3; opacity: inherit; text-align: left; margin-right: 132.2px; line-height: 1.15; } .ddb-conv-doc div.ddb-block-nb { white-space: nowrap; } .ddb-conv-doc .ddb-table { white-space: nowrap; width: 1024.0px; } .ddb-conv-doc .ddb-table .table-span { vertical-align: top; word-wrap: break-word; display: inline-block; } .ddb-conv-doc .ddb-table * { white-space: normal; } .ddb-conv-doc .vector, .ddb-conv-doc .image, .ddb-conv-doc .annotation, .ddb-conv-doc .annotation2, .ddb-conv-doc .control { position: absolute; line-height: 0; } .ddb-conv-doc .vector { z-index: 1; } .ddb-conv-doc .image { z-index: 2; } .ddb-conv-doc .annotation { z-index: 5; } .ddb-conv-doc .annotation2 { z-index: 7; } .ddb-conv-doc .control { z-index: 10; } .ddb-conv-doc .dummyimg { vertical-align: top; border: none; line-height: 0; } .marking .identification { border-bottom: 2px solid #000; } .additional-marking-parts { display: none } .hidden { display: none }

Retten på Frederiksberg

Udskrift af dombogen

D O M

afsagt den 31. oktober 2014

Rettens nr. 5591/2014 Politiets nr. 0100-71311-00002-13

Anklagemyndigheden mod Tiltalte 1 CPR nr. (Født 1984) (advokat Luise Høj, besk.) og Tiltalte 2 cpr-nummer CPR nr. (Født 1993) (advokat Michael Juul Eriksen, besk.)

Denne sag er behandlet under medvirken af nævninger.

Statsadvokaten i København har ved anklageskrift af 30. juni 2014 rejst tiltale mod Tiltalte 1 og Tiltalte 2 for

overtrædelse af straffelovens § 193, stk. 1, § 263, stk. 3, jf. stk. 2, og § 291, stk. 2, ved i perioden fra omkring den 13. februar 2012 til den 30. august 2012, i forening og efter forudgående aftale eller fælles forståelse, uberettiget og under særligt skærpende omstændigheder og på systematisk eller organiseret vis at have skaffet sig adgang til et samfundsvigtigt informationssystem tilhørende Forurettede A/S, Adresse 1 i Valby, indeholdende en stor mængde data, herunder følsomme oplysninger tilhørende private og offentlige virksomheder, herunder Rigspolitiet, og i den forbindelse i betydeligt omfang at have beskadiget informationssystemet, idet Tiltalte 2 blandt andet under en chatkorrespondance over internettet med Tiltalte 1 den 13. og 14. februar 2012 op-fordrede Tiltalte 1 til at begå hacking mod dansk politi og i den forbindelse blandt andet op-lyste systemoplysninger vedrørende politiets it-netværk og brugernavne til Forurettede A/S' infor-mationssystem, herunder brugernavne tilhørende flere ansatte i politiet, hvilke oplysnin-ger de efterfølgende omkring primo marts 2012 anvendte til at forsøge at få adgang til Forurettede A/S' informationssystem, hvilket lykkedes omkring den 7. april 2012 ved ændring af en konfigurationsfil, hvorved systemet i betydeligt omfang blev beskadiget, hvorefter de lø-bende indtil den 30. august 2012 skaffede sig adgang til systemet og kopierede og til blandt andet IP-adresser i Tyskland, Iran og Cambodia downloadede et stort antal filer indeholdende blandt andet oplysninger fra dansk politis registre, herunder kriminalregi-steret, kørekortregisteret, Schengen informationssystem og CPR-registeret mv. samt RACF-databasen, hvorved de på retsstridig måde fremkaldte omfattende forstyrrelse i driften af flere informationssystemer, blandt andet fordi den anførte konfigurationsfil til-

Std 75274

side 2

lod uautoriseret adgang.

Anklagemyndigheden har nedlagt påstand om fængselsstraf.

Anklagemyndigheden her endvidere nedlagt påstand om, at Tiltalte 1 i medfør af udlændingelovens § 24, nr. 1, jf. § 22, nr. 6, samt § 24, nr. 2, jf. § 32, stk. 2, udvises af Danmark med indrejseforbud for bestandig.

Anklagemyndigheden har yderligere nedlagt påstand om, at der i medfør af straffelovens § 75, stk. 2, hos Tiltalte 2 konfiskeres en bærbar computer mrk. Le-novo, en skakbrik og et micro SD-kort.

Tiltalte 1 har nægtet sig skyldig og har påstået frifindelse over for påstanden om udvisning.

Tiltalte 2 har nægtet sig skyldig og har protesteret over for påstan-den om konfiskation.

Anklageskriftet i sagen er modtaget den 10. juli 2014. Sagen er hovedforhandlet over 16 retsdage fra den 2. september 2014 til den 31. oktober 2014.

Påtalebegæringer

Rigspolitiet har den 29. maj 2013 fremsat anmodning om offentlig påtale i sagen, jf. straffelovens § 275, stk. 2.

Økonomi- og Indenrigsministeriet har den 26. februar 2014 fremsat anmodning om of-fentlig påtale i sagen, jf. straffelovens § 275, stk. 2.

SKAT har den 13. maj 2014 fremsat anmodning om offentlig påtale i sagen, jf. straffelo-vens § 275, stk. 2.

Forurettede A/S har den 15. maj 2014 fremsat anmodning om offentlig påtale i sagen, jf. straffelovens § 275, stk. 2.

Sagens oplysninger

Denne sag drejer sig om den strafferetlige bedømmelse af et hackingangreb, som fandt sted mod virksomheden Forurettede A/S' mainframe i perioden fra den 13. februar 2012 til slutningen af august 2012. Der blev under hackingangrebet downloadet store mængder stærkt personfølsomme data til servere i udlandet.

Der er under sagen dokumenteret fra et stort antal politirapporter indeholdende resulta-terne af tekniske undersøgelser, som politiet har foretaget af de tiltaltes computere, sær-ligt Tiltalte 1's computere. Der er endvidere dokumenteret fra politirapporter vedrørende undersøgelser af logfiler mv., som er fundet på Tiltalte 1's computere.

side 3

Der er ligeledes dokumenteret fra en svensk forundersøgelse, som dannede grundlag for en straffesag, der blev gennemført mod Tiltalte 1 m.fl. i Sveri-ge i 2013 samt fra Nacka Tingsrätts dom af 20. juni 2013 og Svea Hovrätts dom af 25. september 2013 vedrørende Tiltalte 1.

Der har yderligere været dokumenteret fra rapport af 30. april 2013 udarbejdet af Forurettede A/S, rapport af 9. maj 2013 udarbejdet af Vidne 1, rapport af 28. august 2013 udarbejdet af Center for Cybersikkerhed, samt fra rapporter udarbejdet af de af forsvarerne antagne tekniske sagkyndige, Vidne 2 og Vidne 3.

Det fremgår af Forurettede A/S' rapport af 30. april 2013, at der i forbindelse med hackingangrebet fra Forurettede A/S' mainframe blev downloadet totalt ca. 19 GB da-ta til følgende lande: Iran i alt 32 MB, Cambodia i alt 11 GB og Tyskland i alt 8 GB.

Der har under sagen i vidt omfang været dokumenteret fra en tekstfil benævnt "Filnavn 1", som blev fundet på Tiltalte 1's bærbare computer. Tekstfilen indeholder kopi af engelsksproget chatsamtale af den 13. og 14. februar 2012 mellem to personer under navnene Profilnavn 1 og Profilnavn 2.

Chatten af 13. og 14. februar 2012 gengivet i sin helhed

"... (2:07:07 PM) Unverified conversation with Profilnavn 2 started. (2:08:06 PM) Profilnavn 1: "TSO may be slow, but atleast its hard to use!"(2:08:16 PM) Profilnavn 2: TSO? (2:08:27 PM) Profilnavn 1: Time Sharing Option (2:08:32 PM) Profilnavn 1: the command shell of Program 1 (2:08:40 PM) Profilnavn 2: lol (2:08:54 PM) Profilnavn 1: not one of ibm' s finer produets : D (2:09:01 PM) Profilnavn 2: :) (2:09:11 PM) Profilnavn 1: did you get your system to ipl btw (2:09:16 PM) Profilnavn 2: no (2:09:20 PM) Profilnavn 2: :P (2:09:26 PM) Profilnavn 1: did you try? (2:09:32 PM) Profilnavn 2: I mean I typed the commands and no fancy gui appeared (2:09:39 PM) Profilnavn 2: and I couldn't find any resources on what to type next (2:09:39 PM) Profilnavn 1: haha (2:09:43 PM) Profilnavn 2: so I stopped trying (2:09:44 PM) Profilnavn 1: ok look do this (2:09:49 PM) Profilnavn 1: start Program 2 (2:10:07 PM) Profilnavn 1: then in another window, start Program 3 127.0.0.1 Program 4 (2:10:26 PM) Profilnavn 2: yep (2:10:27 PM) Profilnavn 1: now back in the Program 2 window (2:10:28 PM) Profilnavn 2: got that so far (2:10:31 PM) Profilnavn 1: loadparm Oa82ac .. (2:10:33 PM) Profilnavn 1: ipl a80 (2:10:37 PM) Profilnavn 1: now wait

side 4

(2:11:01 PM) Profilnavn 1: you will get a bunch of errors etc displayed in the Program 2 window - thats normal (2:11:12 PM) Profilnavn 1: its progressing as lang as it doesnt say WAIT STATE

(2:11:19 PM) Profilnavn 1: which means like kernel panic (2:11:50 PM) Profilnavn 2: why does it error? (2:12:28 PM) Profilnavn 1: after around 700M instructions the console will appear in the Program 3 window (2:12:54 PM) Profilnavn 1: uhm the Program 2 window is showing basically everything that happens in the system (2:13:08 PM) Profilnavn 1: page faults etc (2:13:26 PM) Profilnavn 1: so the ansewr is like (2:13:34 PM) Profilnavn 1: "all systems do, you just normally dont see it"(2:13:41 PM) Profilnavn 2: ok (2:14:19 PM) Profilnavn 2: wouldn't people fix that then? (2:14:23 PM) Profilnavn 2: if it's so visible? (2:14:24 PM) Profilnavn 1: its not errors (2:14:27 PM) Profilnavn 1: its faults (2:14:30 PM) Profilnavn 1: as in (2:14:34 PM) Profilnavn 1: page fault for example (2:14:50 PM) Profilnavn 1: which is a normal part of virtual memory mgmt (2:15:20 PM) Profilnavn 2: ok (2:15:23 PM) Profilnavn 1: if you run a full-system Program 5 for example (2:15:35 PM) Profilnavn 1: and boot any virtual-memory OS in it (2:15:38 PM) Profilnavn 2: so is this due to bad programming (2:15:40 PM) Profilnavn 1: it would look the same (2:15:41 PM) Profilnavn 1: no (2:15:45 PM) Profilnavn 1: its not really errors (2:15:54 PM) Profilnavn 2: or does same of the regular operating just require trying to access shit that won't work (2:16:19 PM) Profilnavn 2: I mean a page fault is when you try to make the cpu carry out an operation on a page that isn't allowed (2:16:20 PM) Profilnavn 2: right? (2:16:28 PM) Profilnavn 1: Udeladt Udeladt Udeladt Udeladt Udeladt Udeladt Udeladt Udeladt Udeladt

(2:16:30 PM) Profilnavn 2: like read/write/exec/whatever (2:16:30 PM) Profilnavn 1: like that (2:16:37 PM) Profilnavn 1: looks real scary (2:16:49 PM) Profilnavn 2: hehe (2:17:00 PM) Profilnavn 2: btw instcount is still counting up (2:17:02 PM) Profilnavn 1: heh check out the memory mgmt I process stats of your computer (2:17:06 PM) Profilnavn 2: is it still ipl'ing? (2:17:10 PM) Profilnavn 1: yeah it will keep counting .. forever (2:17:17 PM) Profilnavn 2: ok (2:17:27 PM) Profilnavn 1: as lang as it doesnt say wait state its still running

side 5

(2:17:29 PM) Profilnavn 2: so how do I know if it's ready to play tetris? (2:17:36 PM) Profilnavn 1: keep an eye on the total (2:17:48 PM) Profilnavn 1: around 700-800M the first message will appear in the Program 3 console (2:17:58 PM) Profilnavn 2: ah yeah same stuff appeared now (2:18:08 PM) Profilnavn 2: Udeladt Udeladt Udeladt Udeladt Udeladt Udeladt Udeladt Udeladt Udeladt Udeladt Udeladt (2:18:13 PM) Profilnavn 2: MHMM nice (2:18:22 PM) Profilnavn 2: looks ve ry nice and mainf rame-ish (2:18:23 PM) Profilnavn 1: yeah (2:18:28 PM) Profilnavn 1: Reply I (2:18:28 PM) Profilnavn 2: si u oress U= (2:18:36 PM) Profilnavn 2: so I press I? • (2:18:43 PM) Profilnavn 2: er duh (2:18:48 PM) Profilnavn 1: R 00,I (2:19:17 PM) Profilnavn 2: R 00, I IEE282A REPLY 00 EXPECTED; NO OTHER COMMANDS ACCEPTED.

SPECIFY REPLY 00. (2:19:38 PM) Profilnavn 2: ROO,I seemed to work (2:19:45 PM) Profilnavn 2:Udeladt Udeladt Udeladt (2:19:49 PM) Profilnavn 2: er maybe not :P (2:20:02 PM) Profilnavn 2: R 00, I Udeladt UdeladtUdeladt Udeladt Udeladt Udeladt (2:20:08 PM) Profilnavn 1: so (2:20:10 PM) Profilnavn 2: wee now it's doing something (2:22:35 PM) Profilnavn 2: I think it's starting IMS now (2:22:42 PM) Profilnavn 2: and now CICS (2:23:00 PM) Profilnavn 2: and FTPD (2:23:01 PM) Profilnavn 1: yeah (2:23:13 PM) Profilnavn 1: you dont have any networking setup though (2:23:21 PM) Profilnavn 2: ok

side 6

(2:23:25 PM) Profilnavn 2: that's probably for the better (2:23:35 PM) Profilnavn 2: :D (2:25:37 PM) Profilnavn 1: the adcd system comes with .. everything and its moma open (2:25:42 PM) Profilnavn 1: including nfs exports to everyone etc (2:25:53 PM) Profilnavn 2: oh nice (2:26:20 PM) Profilnavn 2: so I'm assuming you can make up some real-life stats (2:26:26 PM) Profilnavn 1: anyways (2:26:28 PM) Profilnavn 2: how often are systems hardened? (2:26:31 PM) Profilnavn 1: connect another Program 3 to localhost Program 4 (2:26:47 PM) Profilnavn 1: and you should get a welcome screen (2:26:55 PM) Profilnavn 1: logon ibmuser (2:26:56 PM) Profilnavn 2: my old boss used to be all about owning mainframes for our customers (2:27:00 PM) Profilnavn 2: and he wasn't very technical (2:27:00 PM) Profilnavn 1: pw is either sysl or p390 (2:27:09 PM) Profilnavn 1: ADCD = = application development cdrom (2:27:23 PM) Profilnavn 1: 'real' systems dont exactly come like this (2:27:50 PM) Profilnavn 1: you can check out the install options in the abc's of Program 1 system programming (2:28:03 PM) Profilnavn 2: yep, I've got those (2:28:09 PM) Profilnavn 1: i think its in part 2 (2:28:33 PM) Profilnavn 1: adcd is a snapshot of an already installed system (2:29:15 PM) Profilnavn 1: installation is pretty hardcore (2:29:33 PM) Profilnavn 1: like involves setting a lot of hard lmits which cantb e changed (2:30:02 PM) Profilnavn 2: so I guess that's what the ibm consultants are for - tailoring it to the customer's needs? (2:30:11 PM) Profilnavn 1: there is the serverpac option (2:30:25 PM) Profilnavn 1: where you specify what you need and get a ready-made system on tape (2:31:15 PM) Profilnavn 1: but ya aften everything will go through ibm (2:31:20 PM) Profilnavn 1: including 3rd party software (2:36:13 PM) Profilnavn 2: cool (2:36:16 PM) Profilnavn 2: sysl was the passwd (2:36:26 PM) Profilnavn 2: logged on now I think (2:36:31 PM) Profilnavn 2: is "ispf" a prompt? (2:36:41 PM) Profilnavn 1: no (2:36:50 PM) Profilnavn 1: either you will be in ispf, which you definitely will notice (2:36:56 PM) Profilnavn 1: or you will be at the tso READY prompt (2:37:03 PM) Profilnavn 2: I hit enter (2:37:04 PM) Profilnavn 1: probably you just need to press enter (2:37:11 PM) Profilnavn 2: came up with ispf primary option menu (2:37:17 PM) Profilnavn 1: congratz u r in (2:37:34 PM) Profilnavn 2: /me puts on TRON soundtrack (2:37:58 PM) Profilnavn 1: to add a normal user, use this jcl: Server (2:38:51 PM) Profilnavn 1: there are ispf panels to work with racf, BUT they lack ane step needed :D:D:D (2:38:53 PM) Profilnavn 1: bwawhawhawh (2:39:27 PM) Profilnavn 2: s'up (2:41:03 PM) Profilnavn 2: lol (2:41:44 PM) Profilnavn 2: well that's only slightly more obscure than postgresql's permission granting syntax (2:42:20 PM) Profilnavn 1: most of that is racf not jcl btw (2:42:26 PM) Profilnavn 1: jcl = = lines starting with //

side 7

(2:42:49 PM) Profilnavn 2: yeah (2:42:54 PM) Profilnavn 2: why would you make // a cornment (2:43:06 PM) Profilnavn 1: jcl is even musical .. you can sing it .. melody: camptown races (2:43:09 PM) Profilnavn 1: // SYSIN OD* (2:43:12 PM) Profilnavn 1: Doo-dah, doo-dah! (2:43:27 PM) Profilnavn 1: i think // and /* as comments in C originate from JCL (2:43:35 PM) Profilnavn 1: the dd command does .. (2:43:44 PM) Profilnavn 1: and both // and /* are used in jcl (2:43:50 PM) Profilnavn 2: as comments? (2:43:57 PM) Profilnavn 1: no (2:43:58 PM) Profilnavn 2: or because // would make it run in jcl (2:44:06 PM) Profilnavn 1: ya (2:44:19 PM) Profilnavn 1: in jcl you go like (2:44:24 PM) Profilnavn 1: //jcl goes here (2:44:26 PM) Profilnavn 1: // jcl. . (2:44:28 PM) Profilnavn 1: instream data goes here Unknown comrnand. (2:44:32 PM) Profilnavn 1: /* (2:44:35 PM) Profilnavn 1: // more jcl (2:44:54 PM) Profilnavn 1: as to why // was chosen see Hjemmeside 1 (2:45:33 PM) Profilnavn 2: my grandpa has heaps of those @ home (2:45:41 PM) Profilnavn 1: <3 (2:45:47 PM) Profilnavn 1: also punched with jcl statements? :D (2:45:59 PM) Profilnavn 1: note how much the syntax has changed (none) (2:46:07 PM) Profilnavn 2: mhm, I doubt he was using Program 1 (2:46:16 PM) Profilnavn 1: but its ancestors (2:46:33 PM) Profilnavn 2: don't know which systems he used, but it doesn't sound implausible that it was IBM (2:46:47 PM) Profilnavn 2: he was part of the group that made the original CPR (2:46:58 PM) Profilnavn 1: 99% it was ibm (2:47:06 PM) Profilnavn 2: they prototyped it in BASIC (2:47:10 PM) Profilnavn 1: most likely ims and/ar cics (2:47:18 PM) Profilnavn 1: basic sounds unlikely though (2:47:20 PM}Profilnavn 1: cobol if anything (2:47:23 PM) Profilnavn 2: basic is fucking horrible (2:47:32 PM) Profilnavn 2: basic was to show that it could be done (2:47:39 PM) Profilnavn 2: that version ran an a home computer (2:47:58 PM) Profilnavn 2: I think it was just to help the politicians ar whatever how computer databases worked (2:48:05 PM) Profilnavn 2: ie "stores data" (2:48:06 PM) Profilnavn 1: you realize chances are the core DB still runs an his shit right (2:48:17 PM) Profilnavn 2: lol (2:48:38 PM) Profilnavn 2: btw cpr is from 1970 or 1971 (2:48:42 PM) Profilnavn 2: I think it's from 1970 (2:48:43 PM) Profilnavn 1: yeah (2:48:47 PM) Profilnavn 2: funny coincidence (2:48:50 PM} Profilnavn 1: IMS was launched like 1968 (2:49:02 PM} Profilnavn 1: CICS around same time (2:49:27 PM) Profilnavn 2: do you know if anyone still runs the original version (2:49:49 PM) Profilnavn 1: you do know that sys/z is binary backwards compatible right back to 1968 right (2:49:56 PM} Profilnavn 1: basically 100% for userland

side 8

(2:50:21 PM) Profilnavn 2: so they've extended functionality for the same base platform? (2:50:26 PM) Profilnavn 1: including OS datastructures (2:50:30 PM) Profilnavn 2: lol it's pretty impressive making this shit back then (2:50:35 PM) Profilnavn 1: like the CVT which is the most important one (2:50:41 PM) Profilnavn 2: must have had same smart people employed (2:50:49 PM) Profilnavn 2: what's the CVT? (2:51:20 PM) Profilnavn 1: its basically the main data structure (2:51:24 PM) Profilnavn 1: called control blocks (2:51:32 PM) Profilnavn 1: its how you locate everything as a usermode program (2:51:42 PM) Profilnavn 1: the CVT is always located at addr 0x20 (2:52:10 PM) Profilnavn 2: what is "everything"? (2:52:22 PM) Profilnavn 1: all info etc (2:52:24 PM) Profilnavn 2: how do processes work? (2:52:31 PM) Profilnavn 2: do they have the same bs as Styresystem 1 (2:52:42 PM) Profilnavn 2: where it copies all the libraries in to its own process space etc (2:52:43 PM) Profilnavn 2: ? (2:53:00 PM) Profilnavn 1: ? (2:53:27 PM) Profilnavn 2: I've no idea what a Program 1 process looks like (2:53:33 PM) Profilnavn 2: does it even have processes? (2:53:46 PM) Profilnavn 1: the division is a bit different (2:53:52 PM}Profilnavn 1: you have address spaces, jobs and tasks (2:54:19 PM) Profilnavn 1: try DISPLAY JOBS,ALL (2:54:55 PM) Profilnavn 2: is there a shortcut to clear the current line? (2:55:05 PM) Profilnavn 1: ? (2:55:25 PM) Profilnavn 2: in Program 3 (2:55:32 PM) Profilnavn 1: "current line" ? (2:55:39 PM) Profilnavn 2: if I got to the ISPF menu (2:55:45 PM) Profilnavn 2: and type DISPLAY JOBS,ALL (2:55:50 PM) Profilnavn 2: it says bla bla not working (2:55:53 PM) Profilnavn 2: so I realize I'm a retard (2:55:57 PM) Profilnavn 2: and hit 6 to get the cmd shell (2:56:07 PM) Profilnavn 2: but the ISPLAY JOBS,ALL is still there (2:56:15 PM) Profilnavn 2: is there a quick way to clear the input field? (2:56:18 PM) Profilnavn 1: just erase it (2:56:23 PM) Profilnavn 2: ok (2:56:32 PM) Profilnavn 2: so short answer would be "no"(2:56:42 PM) Profilnavn 1: short answer: help Program 3 (2:56:45 PM) Profilnavn 1: in Program 3 (2:56:59 PM) Profilnavn 1: ^U perhaps (2:57:01 PM) Profilnavn 2: ping adcdburn (2:57:02 PM) Profilnavn 2: hehe (2:57:08 PM) Profilnavn 1: haha (2:57:11 PM) Profilnavn 2: yep that worked (2:57:17 PM) Profilnavn 2: ctrl+u (2:57:27 PM) Profilnavn 1: btw f3 to exit usually (2:57:43 PM) Profilnavn 1: it takes a while to get used to (2:57:52 PM) Profilnavn 1: also to config in a way you like etc (2:57:56 PM) Profilnavn 1: default config is shit (2:58:01 PM) Profilnavn 1: i mean wtf (2:58:03 PM) Profilnavn 1: 80x25 (2:58:26 PM) Profilnavn 1: no colors in editor etc (2:58:26 PM) Profilnavn 2: yeah (2:58:29 PM) Profilnavn 2: that's pretty silly

side 9

(2:58:39 PM) Profilnavn 2: especially when the client says it won't work at 80x25 (2:58:39 PM) Profilnavn 2: lol (2:58:44 PM) Profilnavn 1: but its a nice interface (2:58:57 PM) Profilnavn 1: provides the functionality of screen basically (2:59:00 PM) Profilnavn 2: sorry, I think I misheard you? (2:59:12 PM) Profilnavn 1: haha (2:59:12 PM) Profilnavn 1: also (2:59:17 PM) Profilnavn 1: it gets something fundamental right (2:59:19 PM) Profilnavn 1: that *ix gets wrong (2:59:24 PM) Profilnavn 1: and everyone else for that matter (2:59:39 PM) Profilnavn 1: namely line/screen mode vs character-by-character mode (2:59:47 PM) Profilnavn 2: yeah (2:59:54 PM) Profilnavn 2: readline wrapper in bash <3 (2:59:54 PM) Profilnavn 1: fuck try editing a file in *ix on a slightly laggy connection (3:00:18 PM) Profilnavn 2: oh yeah, that's hard toget hacked together in bash :) (3:00:32 PM) Profilnavn 1: vs. doing it in ispf edit (3:00:40 PM) Profilnavn 2: display jobs seems to not work (3:00:42 PM) Profilnavn 2: IKJ56500I COMMAND DISPLAY NOT FOUND

*** (3:00:48 PM) Profilnavn 1: operator (3:00:57 PM) Profilnavn 1: or just do it in the console (3:01:16 PM) Profilnavn 2: it worked in the other Program 3 (3:01:23 PM) Profilnavn 1: yeah thats the console (3:01:35 PM) Profilnavn 2: ok (3:01:46 PM) Profilnavn 1: i normally fuck it and enable console in Program 2 (3:02:18PM) Profilnavn 1: so i just need one screen (Program 2) instead of two (Program 2 + Program 3 with master console) (3:02:28 PM) Profilnavn 1 at Program 2 Command = => (3:02:29 PM) Profilnavn 1: you enter (3:02:36 PM) Profilnavn 1: scp vary cn(*),activate (3:02:50 PM) Profilnavn 2: so (3:02:53 PM) Profilnavn 2: in a real setup (3:02:54 PM) Profilnavn 1: then you can specify the default command target Program 2 or console with cmdtgt (3:03:08 PM) Profilnavn 2: the "console" would be on the "laptop" built into the mainframe? (3:03:12 PM) Profilnavn 1: no (3:03:18 PM) Profilnavn 1: thats the support element (3:03:25 PM) Profilnavn 1: you normally never touch it (3:03:27 PM) Profilnavn 2: ok (3:03:28 PM) Profilnavn 1: certainly not physically (3:04:01 PM) Profilnavn 1: what the master console is will differ between setups (3:04:02 PM) Profilnavn 2: so it's just the first connection to the mainframe or? (3:04:23 PM) Profilnavn 1: no its like what holds the fundamental config toget shit working (3:04:59 PM) Profilnavn 1: its what the HCD I HCM speaks to (3:05:00 PM) Profilnavn 1: Hjemmeside 2 (3:05:16 PM) Profilnavn 1: you ipl in a nice gui heh (3:05:26 PM) Profilnavn 1: even a web interface (3:06:02 PM) Profilnavn 2: nice (3:06:45 PM) Profilnavn 1: remember that you always have more than one system per physical

side 10

box (3:06:48 PM) Profilnavn 1: (LPAR) (3:07:02 PM) Profilnavn 2: *always*? (3:07:06 PM) Profilnavn 1: yaeh (3:07:09 PM) Profilnavn 2: or just always in practice? (3:07:22 PM) Profilnavn 1: well even if you have a single system its in a LPAR (3:07:52 PM) Profilnavn 2: btw (3:08:01 PM) Profilnavn 2: I just spoke to Person 1 (3:08:13 PM) Profilnavn 2: he'll book me a room in his hotel (3:08:13 PM) Profilnavn 2: lol (3:08:27 PM) Profilnavn 2: with whopping 3mbps internet(!!!) (3:08:35 PM) Profilnavn 1: i got 2!

(3:08:41 PM) Profilnavn 1: or sth like that (3:08:42 PM) Profilnavn 2: so probably going to come up by the end of this month (3:08:47 PM) Profilnavn 2: for a week (3:08:47 PM) Profilnavn 1: though its fucking pppoe (3:09:01 PM) Profilnavn 1: cool lets bring western civilization to its knees (3:09:18 PM) Profilnavn 2: sounds good (3:09:31 PM) Profilnavn 1: btw (3:09:32 PM) Profilnavn 1: try this (3:09:34 PM) Profilnavn 1: tso omvs (3:09:48 PM) Profilnavn 2: nice (3:09:54 PM) Profilnavn 2: it spawned a dos Hjemmeside 3 (3:10:00 PM) Profilnavn 2: >:PP (3:10:10 PM) Profilnavn 1: more like a ksh (3:10:33 PM) Profilnavn 2: IBMUSER:/u/ibmuser: >HELP I AM TRAPPED INSIDE THE COMPUTER HELP! !

LET ME OUT HELP: FSUM7351 not found (3:10:43 PM) Profilnavn 1: surely you know *ix (3:10:44 PM) Profilnavn 1: :P (3:10:52 PM) Profilnavn 2: hehe (3:10:58 PM) Profilnavn 2: nah dude (3:10:59 PM) Profilnavn 1: like (3:10:59 PM) Profilnavn 1: pwd (3:11:01 PM) Profilnavn 1: ps -ef (3:11:06 PM) Profilnavn 1: df (3:11:10 PM) Profilnavn 1: who (3:11:12 PM) Profilnavn 2: i know mysql (3:11:14 PM) Profilnavn 2: and php (3:11:21 PM) Profilnavn 1: there's both for Program 1 ! ! ! (3:11:21 PM) Profilnavn 2: and that's about the end of what I *know* (3:11:42 PM) Profilnavn 2: lol (3:11:48 PM) Profilnavn 2: yea I'll be running that shit (3:11:53 PM) Profilnavn 1: i kid you not, there's php precompiled for Program 1 (3:11:56 PM) Profilnavn 1: *THROWS UP* (3:11:56 PM) Profilnavn 2: for my capture the flag challenges (3:12:06 PM) Profilnavn 2: good luck breaking out of this shit bitches (3:12:22 PM) Profilnavn 2: Kaldenavn 1 just bought a mips laptop (3:12:34 PM) Profilnavn 2: I'll get him to run an Program 5 so I can run Program 2 inside that (3:12:40 PM) Profilnavn 1: uhm (3:12:44 PM) Profilnavn 1: or just compile Program 2 ? (3:12:48 PM) Profilnavn 1: i assume it runs *ix

side 11

(3:12:58 PM) Profilnavn 2: well that'd cut out a layer of emulation (3:13:05 PM) Profilnavn 2: making the whole thing less interesting (3:13:12 PM) Profilnavn 1: haha (3:13:14 PM) Profilnavn 1: mips laptop btw (3:13:18 PM) Profilnavn 1: ARM i wouldve expected (3:13:21 PM) Profilnavn 1: but MIPS .. ? (3:13:33 PM) Profilnavn 2: yeah (3:13:43 PM) Profilnavn 2: Person 2 and Person 3 are basically the only owners in the world (3:13:56 PM) Profilnavn 2: 2sec (3:14:11 PM) Profilnavn 1: mips is nice for embedded system (3:14:20 PM) Profilnavn 1: though has the weakest memory protection hardware of any arch (3:14:22 PM) Profilnavn 1: can barely do NX (3:14:41 PM) Profilnavn 2: Hjemmeside 4 (3:14:49 PM) Profilnavn 2: how's arm? (3:14:55 PM) Profilnavn 1: i remember Kaldenavn 2 and Person 4 having a bit of a hoohaw about that (3:15:00 PM) Profilnavn 1: ARM is . like average (3:15:00 PM) Profilnavn 2: hehe (3:15:24 PM) Profilnavn 2: which Kaldenavn 3 btw (3:15:28 PM) Profilnavn 2: @fnop.net? (3:15:31 PM) Profilnavn 1: the brazilian (3:15:34 PM) Profilnavn 2:Person 5? (3:15:39 PM) Profilnavn 1: Person 4 (3:16:06 PM) Profilnavn 1: anyways basiclaly Kaldenavn 2 said that it wasnt possible to do NX on MIPS (3:16:13 PM) Profilnavn 1: and Person 4 insisted he was wrong (3:16:21 PM) Profilnavn 1: coz it was possible to kinda do it with same fugly trick (3:16:26 PM) Profilnavn 2: I think I've Profilnavn 1 him / is on a mailing-list with him somewhere (3:16:41 PM) Profilnavn 2: lol nice (3:17:34 PM) Profilnavn 1: z/arch is kinda weak when it comes to data vs instruction fetch protection (i.e.

NX) (3:17:50 PM) Profilnavn 1: though its somewhat compensated by other features (3:17:54 PM) Profilnavn 2: well (3:18:02 PM) Profilnavn 2: if it's hard to overwrite the instruction pointer (3:18:09 PM) Profilnavn 2: and you have strong process separation (3:18:14 PM) Profilnavn 2: for when it does happen (3:18:18 PM) Profilnavn 2: then I guess that's "ok"(3:18:22 PM) Profilnavn 2: though a bit dirty (3:18:59 PM) Profilnavn 1: it has some really strong shit thats underutilized/not normally utilized at all (3:19:08 PM) Profilnavn 2: :P (3:19:10 PM) Profilnavn 2: btw (3:19:25 PM) Profilnavn 2: how do I scroll up in tso? (3:19:44 PM) Profilnavn 2: shift-pageup seems to work for one page (3:21:02 PM) Profilnavn 1: you get the fuck out of tso (3:21:03 PM) Profilnavn 1: :) (3:21:18 PM) Profilnavn 2: IBMUSER:/u/ibmuser: >id uid=O(WEBSRV) gid=O(SYSl) (3:21:19 PM) Profilnavn 2: lol (3:21:37 PM) Profilnavn 1: there's one huge mystery (3:21:41 PM) Profilnavn 1: each time i ipl (3:21:53 PM) Profilnavn 1: it picks up a different name amongst the available uid 0 users

side 12

(3:22:00 PM) Profilnavn 1: to return for getpwuid(0) (3:22:04 PM) Profilnavn 1: like (3:22:08 PM) Profilnavn 1: 2 IPLs ago it was BPXOINIT (3:22:13 PM) Profilnavn 1: then previous START2 (3:22:15 PM) Profilnavn 1: now OMVSKERN (3:24:13 PM) Profilnavn 2: LOL (3:24:27 PM) Profilnavn 2: OMVSKERNsounds reasonable for uid 0 (3:24:40 PM) Profilnavn 2: BPXOINIT and START2 sound sort of startup-related too (3:24:41 PM) Profilnavn 2: but ... (3:24:45 PM) Profilnavn 2: WEBSRV? :D (3:24:47 PM) Profilnavn 1: well all of those are defined in racf with omvs segments specifying uid 0 (3:24:59 PM) Profilnavn 1: WEBSRV coz its the user of the httpd started task (3:26:38 PM) Profilnavn 2: why is my tso shell running as websrv? (3:27:44 PM) Profilnavn 1: its not (3:27:53 PM) Profilnavn 1: its just that multiple users all have uid 0 (3:28:09 PM) Profilnavn 2: ok (3:28:15 PM) Profilnavn 2: then why bother have uids? (3:28:31 PM) Profilnavn 1: because Program 6 needs them lol (3:29:47 PM) Profilnavn 1: even in Program 1 Program 6, permission checking is done via RACF (3:29:56 PM) Profilnavn 1: so they have different meanings to RACF (3:30:01 PM) Profilnavn 1: but when you do eg (3:30:01 PM) Profilnavn 1: id (3:30:05 PM) Profilnavn 1: id just does like (3:30:19 PM) Profilnavn 1: getpwuid(getuid()) (3:39:09 PM) Profilnavn 2: ah (3:39:13 PM) Profilnavn 2: right (3:39:16 PM) Profilnavn 2: so Program 1 Program 6 (3:39:19 PM) Profilnavn 2: sort of has "capabilities"(3:39:28 PM) Profilnavn 2: but based on racf (3:39:47 PM) Profilnavn 2: can any user inquire racf about the privileges of other users? (3:40:19 PM) Profilnavn 2: ok (3:40:21 PM) Profilnavn 2: so what is isf (3:40:27 PM) Profilnavn 2: rather (3:40:35 PM) Profilnavn 2: what's the difference between ispf and tso (3:49:39 PM) Profilnavn 2: test (3:53:20 PM) Profilnavn 1: ISPF is a "GUI" for TSO (3:53:24 PM) Profilnavn 1: well not only for TSO (3:53:32 PM) Profilnavn 1: its like a Ul framework (3:53:51 PM) Profilnavn 2: for sysadm stuff? (3:54:18 PM) Profilnavn 2: ok (3:54:25 PM) Profilnavn 2: so say I was a legitimate administrator (3:54:47 PM) Profilnavn 2: who wanted to logon to my company's Program 1 mainframe and copy the database and deface the website (3:54:58 PM) Profilnavn 2: which path through the system would I take? (3:55:33 PM) Profilnavn 1: see for example Hjemmeside (underdomæne til hjemmeside 3)/Filnavn 2 (3:55:43 PM) Profilnavn 1: ispf is the normal admin interface (3:56:03 PM) Profilnavn 2: I reckon if I'll ever get access to this shit (3:56:13 PM) Profilnavn 2: It'll likely be after pwning an admin's windows desktop (3:56:23 PM) Profilnavn 2: because I don't have mad Operativtsystem 0day writing skillz (3:56:36 PM) Profilnavn 2: lol @ Virksomhed 1

side 13

(3:56:49 PM) Profilnavn 1: this isnt Operativtsystem heh (3:56:58 PM) Profilnavn 1: it shares some code in libs etc (3:57:00 PM) Profilnavn 2: right (3:57:05 PM) Profilnavn 2: Program 1 Program 6 (3:57:20 PM) Profilnavn 2: which I unfortunately haven't honed my mad 0day writing skillz for either (3:57:51 PM) Profilnavn 1: also known as Program 7 (3:57:54 PM) Profilnavn 1: (Program 7) (3:57:57 PM) Profilnavn 2: :D (3:57:57 PM) Profilnavn 1: NOT CONFUSING AT ALL (3:58:09 PM) Profilnavn 1: this is how you would copy the company DB: Hjemmeside 6 (3:58:10 PM) Profilnavn 2: Program 7 runs on Program 5 doesn't it? (3:58:15 PM) Profilnavn 1: openvms you mean (3:58:18 PM) Profilnavn 1: it runs on vax and alpha (3:58:26 PM) Profilnavn 2: I read about some defcon ctf team that installed all their services on openvms (3:58:30 PM) Profilnavn 1: its the OS that dave cutler built before he did win (3:58:37 PM) Profilnavn 2: and were the only ones that didn't get popped by the winners (3:58:38 PM) Profilnavn 2: :D (3:58:47 PM) Profilnavn 1: its generally known as being secure and reliable (3:58:59 PM) Profilnavn 1: basically in the 80s if you ran a server it was either *ix or VMS (3:59:01 PM) Profilnavn 2: openvms yes sorry (3:59:07 PM) Profilnavn 1: just like in the 90s /OOs its either *ix or win (3:59:28 PM) Profilnavn 1: win (NT) is fundamentally VMS rewritten in C (3:59:48 PM) Profilnavn 2: what's vms written in? (3:59:54 PM) Profilnavn 1: assembler (4:00:01 PM) Profilnavn 2: lal (4:00:01 PM) Profilnavn 1: well, its called MACRO (4:00:07 PM) Profilnavn 1: so its highlevel assembler (4:00:12PM) Profilnavn 2: sounds like a step up for code maintainability (4:00:17 PM) Profilnavn 1: it actually doesnt look like assembler at all (4:00:24 PM) Profilnavn 1: more comparable to PL/I and such (4:00:43 PM) Profilnavn 1: Program 1 is written in PL/x and HLASM (4:00:55 PM) Profilnavn 1: when you write system level stuff its normally in asm (4:01:11 PM) Profilnavn 2: where did you find the Virksomhed 1 screenshot? (4:01:20 PM) Profilnavn 1: it was part of a press conference (4:01:26 PM) Profilnavn 1: shown on powerpoint (4:01:37 PM) Profilnavn 2: trying to pitch the UI? (4:01:42 PM) Profilnavn 1: ahahaha (4:01:48 PM) Profilnavn 1: as part of the af447 crash investigation (4:01:57 PM) Profilnavn 1: airlines are ane of the traditional big mainframers (4:02:29 PM) Profilnavn 2: makes sense (4:02:44 PM) Profilnavn 2: I saw a talk about a guy who was into getting cheap flight connections (4:03:02 PM) Profilnavn 2: same of the backend APIs he used looked like "mainframe output" (4:03:28 PM) Profilnavn 1: yeah essentially all airline bookings run on z (4:03:41 PM) Profilnavn 1: not on Program 1 primarily though (4:03:43 PM) Profilnavn 1: but on z/TPF

(4:06:40 PM) Profilnavn 2: what is z? the hardware platform? (4:06:45 PM) Profilnavn 1: system/z

side 14

(4:06:48 PM) Profilnavn 2: what is z/TPF? (4:06:59 PM) Profilnavn 1: transaction processing facility (4:07:04 PM) Profilnavn 1: originally known as the airline control program (4:07:14 PM) Profilnavn 1: its an OS dedicated just to hardcore transaction processing (4:07:17 PM) Profilnavn 1: hell its barely an OS (4:07:32 PM) Profilnavn 2: : ( my irc shell is getting ddos' ed : ((4:08:49 PM) Profilnavn 2: nice (4:08:55 PM) Profilnavn 2: does it have a control interface (4:09:01 PM) Profilnavn 1: not really no (4:09:01 PM) Profilnavn 2: or does it just take input and produce output? (4:09:21 PM) Profilnavn 1: basically you write your applications as part of the system itsef (4:09:23 PM) Profilnavn 1: and compile it (4:09:37 PM) Profilnavn 1: it has its own data storage etc (4:09:41 PM) Profilnavn 1: its for the really hardcore shit (4:09:45 PM) Profilnavn 1: VISA and AmEx both run * on it (4:09:57 PM) Profilnavn 2: I guess for well-defined problems (4:10:00 PM) Profilnavn 2: that don't change (4:10:19 PM) Profilnavn 2: having a "monolithic" program do the processing makes sense (4:10:20 PM) Profilnavn 1: yeah (4:10:21 PM) Profilnavn 1: basically (4:10:23 PM) Profilnavn 2: less shit that can go wrong (4:10:27 PM) Profilnavn 2: more performance etc (4:10:30 PM) Profilnavn 1: its for doing essentially simple transactions (4:10:44 PM) Profilnavn 1: like credit card purehases (4:10:45 PM) Profilnavn 1: and doing it right (4:10:49 PM) Profilnavn 1: and doing it l0k times I second (4:10:57 PM) Profilnavn 2: :P (4:11:18 PM) Profilnavn 2: that's a lot of money (4:11:31 PM) Profilnavn 2: doesn't it cost like 2 DKK I cc transaction (4:11:32 PM) Profilnavn 2: at least (4:12:07 PM) Profilnavn 1: dude visa is "quite" big (4:12:14 PM) Profilnavn 1: also there are lots of parties to share that 2DKK (4:12:46 PM) Profilnavn 2: still sound like a couple bill (4:12:48 PM) Profilnavn 2: per day to me (4:12:49 PM) Profilnavn 2: :D (4:12:50 PM) Profilnavn 2: bil* (4:13:33 PM) Profilnavn 1: yeah (4:13:35 PM) Profilnavn 1: duh (4:14:44 PM) Profilnavn 2: wonder what the actual revenue is (4:20:48 PM) Profilnavn 1: LOTS

(4:20:56 PM) Profilnavn 2: :D (4:48:10 PM) Profilnavn 2: cool shit (4:48:29 PM) Profilnavn 2: I'm playing around with some excercises

(4:49:04 PM) Profilnavn 2: is there any clean way to turn it off? (4:49:10 PM) Profilnavn 2: or does that not matter? (5:01:34 PM) Profilnavn 2: IDY00019I TSOLIB terminated. Severe error allocating data sets for the DATAS ET (5:01:35 PM) Profilnavn 2: lol (5:01:40 PM) Profilnavn 2: this shit most definitely loves me (5:03:29 PM) Profilnavn 1: well (5:03:33 PM) Profilnavn 1: do s shutall (5:03:35 PM) Profilnavn 1: in console

side 15

(5:03:38 PM) Profilnavn 1: then when its finished (5:03:39 PM) Profilnavn 1: z eod (5:03:42 PM) Profilnavn 1: the in Program 2 (5:03:44 PM) Profilnavn 1: stopall (5:06:02 PM) Profilnavn 2: - Udeladt Udeladt

UdeladtUdeladt (5:06:06 PM) Profilnavn 2: does this mean it's done? (5:06:13 PM) Profilnavn 1: probably (5:06:18 PM) Profilnavn 1: if it has stopped outputting shit (5:06:23 PM) Profilnavn 2: 0Udeladt UdeladtUdeladt UdeladtUdeladt (5:06:30 PM) Profilnavn 2: apparently not (5:46:24 PM) Profilnavn 2: goodnight (5:46:38 PM) Profilnavn 2: thanks for the introduction :) (5:47:10 PM) Profilnavn 1: enjoy mvs (5:47:11 PM) Profilnavn 1: : ) (2/13/2012 6:42:35 PM) Profilnavn 2: yo (6:42:41 PM) Profilnavn 2: Hjemmeside 7 (6:42:47 PM) Profilnavn 2: read the article about the police (6:42:51 PM) Profilnavn 2: details some of their networks (6:42:56 PM) Profilnavn 2: and has links to even more of the topology (6:43:06 PM) Profilnavn 2: of course i t's got a big fat Program 1 instance running Styresystem 2 (6:43:07 PM) Profilnavn 2: <3 (6:43:32 PM) Profilnavn 1: y0 (6:43:55 PM) Profilnavn 1: haha (6:44:11 PM) Profilnavn 2: btw (6:44:17 PM) Profilnavn 2: Danish IT cops might be overburdened (6:44:21 PM) Profilnavn 2: but the inhouse ppl are just plain dumb (6:44:22 PM) Profilnavn 1: looks pretty much like the police in .SE (6:44:36 PM) Profilnavn 2: we had to deal with them when I worked with Virksomhed 2 (6:44:58 PM) Profilnavn 2: one guy got a copy of the db of all inmates (6:45:02 PM) Profilnavn 2: by accident (6:45:04 PM) Profilnavn 2: lol (6:45:32 PM) Profilnavn 2: he had to go and ask then if they didn't think they gave him the wrong db export (6:45:49 PM) Profilnavn 1: Mange af systemerne bliver drevet af Forurettede A/S, som gennem mange 'r har v'ret den prim're driftsleverandor for politiet. (6:46:01 PM) Profilnavn 1: i think its the same system as Hjemmeside 8 (6:46:33 PM) Profilnavn 2: yes (6:46:50 PM) Profilnavn 2: Forurettede A/S used to be *the* provider of IT to the state (6:46:51 PM) Profilnavn 1: different LPARs perhaps but .. (6:46:58 PM) Profilnavn 1: atleast it is in .SE (6:47:10 PM) Profilnavn 2: it's owned by some american spy agency (6:47:16 PM) Profilnavn 2: the us branch, that is (6:47:35 PM) Profilnavn 2: so basically Forurettede A/S has support deals with * in dk (6:47:50 PM) Profilnavn 2: and since they've been doing this for ages they're also the main IBM-related resource

side 16

(6:48:15 PM) Profilnavn 2: oh you mean Hjemmeside 8 is the same as the police? (6:48:20 PM) Profilnavn 2: probably (6:48:31 PM) Profilnavn 2: I can't imagine the cops having extensive db usage in Styresystem 2 (6:48:53 PM) Profilnavn 2: I mean nothing that would justify setting up a separate mainframe except for security (6:48:59 PM) Profilnavn 2: and mainframes can't be hacked right (6:49:04 PM) Profilnavn 1: well (6:49:08 PM) Profilnavn 1: like i said (6:49:10 PM) Profilnavn 1: different LPARs (6:49:23 PM) Profilnavn 1: but atleast in .SE its still somewhat mixed up (6:49:36 PM) Profilnavn 2: it's been there for many many years (6:49:38 PM) Profilnavn 1: and can always clientside the admins etc (6:49:42 PM) Profilnavn 2: it's gotta' be fucked ane way or the other (6:49:53 PM) Profilnavn 1: in .se its just 2 boxes (6:49:58 PM) Profilnavn 1: that does * (6:50:08 PM) Profilnavn 1: with like ONE MILLION LPARS

(6:50:11 PM) Profilnavn 2: I think if you want to pwn Danish cops you should fuzz Ipswich mail server I webmail (6:50:25 PM) Profilnavn 1: do i look like some webmail haxx0r (6:50:29 PM) Profilnavn 2: they run Hjemmeside 9, Hjemmeside 10, Hjemmeside 11 and Hjemmeside 12 (6:50:35 PM) Profilnavn 1: d00d (6:50:43PM) Profilnavn 2: which is secret service, police, anklagemyndigheden and justitsministeriet (6:50:44 PM) Profilnavn 1: i am working on Software (6:50:48 PM) Profilnavn 2: yeah (6:50:50 PM) Profilnavn 2: :D

(6:51:08 PM) Profilnavn 2: Brugernavn 1: I have access to same of the accounts there (6:51:20 PM) Profilnavn 2: I'm just letting you know that I'm on the lookout for sauce for that app (6:51:23 PM) Profilnavn 1: i need to salve practical aspects of shellcode delivery etc .. fucking ebcdic translatin messes me up (6:51:24 PM) Profilnavn 2: or heck just an installer (6:51:35 PM) Profilnavn 2: also (6:51:47 PM) Profilnavn 2: Program 1 exploit > mail server exploit (6:51:55 PM) Profilnavn 1: Interesting ports on IP adresse 1: Not shown: 992 filtered ports PORT STATE SERVICE VERSION 23/tcp open telnet IBM OS/390 or SNA telnetd 80/tcp open http IBM httpd V5R3MO

(6:51:59 PM) Profilnavn 1: lol same httpd i run @ home (6:52:10 PM) Profilnavn 2: it says in the article they run 1.8 (6:52:13 PM) Profilnavn 2: Program 1 1.8 (6:52:16 PM) Profilnavn 2: ADCD iirc (6:52:29 PM) Profilnavn 1: says 1.12 in the bannes (6:52:36 PM) Profilnavn 1: and no noone runs adcd iin production (6:52:51 PM) Profilnavn 2: ok (6:53:15 PM) Profilnavn 2: 1.12 would be even older right (6:53:29 PM) Profilnavn 2: I spoke to my colleague today, discussing different OSes

side 17

(6:53:55 PM) Profilnavn 2: and he brought up Program 1 and said that he had spent 8 hrs getting Program 1 to crash (6:54:06 PM) Profilnavn 2: and that was supposed to be "bug free"(6:54:17 PM) Profilnavn 2: while he spent much more hours getting shit out of win7 (6:54:19 PM) Profilnavn 1: heh (6:54:26 PM) Profilnavn 1: they have the default Script 1 in place (6:54:28 PM) Profilnavn 1: like Script 2 (6:54:31 PM) Profilnavn 2: lol (6:54:35PM) Profilnavn 1:Udeladt Udeladt Udeladt

Udeladt Udeladt Udeladt

Udeladt Udeladt Udeladt Udeladt Udeladt Udeladt Udeladt

(6:54:50 PM) Profilnavn 1: Udeladt Udeladt Udeladt

(6:54:59 PM) Profilnavn 2: /Script 1/fhp (6:55:01 PM) Profilnavn 1: Udeladt Udeladt Udeladt Udeladt Udeladt Udeladt UdeladtUdeladt Udeladt UdeladtUdeladt UdeladtUdeladtUdeladt Udeladt Udeladt Udeladt Udeladt Udeladt Udeladt Udeladt Udeladt Udeladt

(6:55:10 PM) Profilnavn 1: Udeladt Udeladt

side 18

Udeladt Udeladt Udeladt Udeladt Udeladt Udeladt Udeladt Udeladt Udeladt Udeladt Udeladt Udeladt Udeladt Udeladt Udeladt Udeladt Udeladt

(6:55:18 PM) Profilnavn 1 : ) Udeladt Udeladt

(6:56:09 PM) Profilnavn 2: btw (6:56:17 PM) Profilnavn 1: The shell Script 3 is currently disabled. To enable this function, contact your system administrator or webmaster to modify the script according to the instructions contained within the script. (6:56:18 PM) Profilnavn 1: meh: ( (6:56:28 PM) Profilnavn 2: E-mailadresse 1 (6:56:29 PM) Profilnavn 2: gogogo (6:56:38 PM) Profilnavn 2: "please enable this I need it for work"

(6:56:43 PM) Profilnavn 2: :P (6:58:48 PM) Profilnavn 2: what does that env tell you? (6:58:59 PM) Profilnavn 2: nothing seems to stick out here (6:59:14 PM) Profilnavn 2: I don't know what the significance of _CEE_RUN_OPTS is (6:59:28 PM) Profilnavn 2: that enabled services? or options for the httpd? (6:59:49 PM) Profilnavn 2: ldap is in the path - do they use ldap auth? (7:00:03 PM) Profilnavn 2: ( likely?) (7:02:11 PM) Profilnavn 2: I've gotta' crash now (7:02:29 PM) Profilnavn 2: work in 3 hrs (7:07:04 PM) Profilnavn 1: Denne webserver kA,rer som en service under Program 1 As en IBM mainframe. (9:19:00 PM) Profilnavn 2: whoo (9:19:02 PM) Profilnavn 2: web services! (9:39:51 PM) Profilnavn 2: so what's it serving? (2/14/2012 5:39:20 AM) Profilnavn 1: damn (5:39:22 AM) Attempting to refresh the private conversation with Profilnavn 2 ... (5:39:24 AM) Successfully refreshed the unverified conversation with Profilnavn 2/Program 8. (5:39:28 AM) Profilnavn 1: get me any login to those sites (5:39:39 AM) Profilnavn 1: like Hjemmeside 13 (5:39:56 AM) Profilnavn 1: they are all in racf so i can most likely work from there

side 19

(11:30:28 AM) Profilnavn 2: which (11:30:36 AM) Profilnavn 2: Brugernavn 1: give me a list of domains lol (11:33:43 AM) Profilnavn 1: hm (11:33:49 AM) Profilnavn 1: i need to enumerate them from the ssl serts (11:33:58 AM) Profilnavn 1: but they are like (11:34:03 AM) Profilnavn 1: govt internal service shit (11:38:26 AM) Profilnavn 1: Udeladt Udeladt Udeladt UdeladtUdeladt Udeladt Udeladt UdeladtUdeladt Udeladt UdeladtUdeladt Udeladt Udeladt UdeladtUdeladt Udeladt Udeladt Udeladt Udeladt Udeladt Udeladt Udeladt Udeladt UdeladtUdeladt Udeladt Udeladt

side 20

(11:38:29 AM) Profilnavn 1: those are the ones on .10 (11:40:17 AM) Profilnavn 2: where are you getting these (11:40:20 AM) Profilnavn 2: melbourne it lol (11:40:35 AM) Profilnavn 1: just dumped the certs of all ssl services@ one of the hosts (11:40:37 AM) Profilnavn 2: Hjemmeside 14 might be doable (11:41:03 AM) Profilnavn 2: how does it handle multiple certs / port? (11:41:10 AM) Profilnavn 1: it doesnt (11:41:16 AM) Profilnavn 1: it has Nr. 1 popen ports (11:41:26 AM) Profilnavn 2: nice (11:41:47 AM) Profilnavn 2: which services run behind? all just Program 3 forwarded? (11:42:20 AM) Profilnavn 1: no no those are mostly web (11:43:25 AM) Profilnavn 1: the reason for the Program 3 hostname is that that hosts purpose is to offer a SEKUUURE java based Program 3 (11:44:33 AM) Profilnavn 1: which of course will be true comedy and pwnage gold once we add extra features to (11:44:45 AM) Profilnavn 1: Der er adgang til hjemmesiden for statstjenestem'nd, tjenestem'nd i folkekirken, tjenestem'nd i Folketingets administration, tjenestem'nd i statslige aktieselskaber mv., tjenestem'nd i folkeskolen ("den lukkede gruppe"), ansatte omfattet af civilarbejderloven og medlemmer af statsgaranterede pensionskasser og statslige pensionsordninger. (11:45:07 AM) Profilnavn 1: Du kan ikke f' adgang til hjemmesiden, hvis du Navn 1 er fratr'dt din stilling med ret til tjenestemandspension Navn 1 er tjenestemand i en kommune, region eller lignende Navn 1 f'r udbetalt tjenestemandspension Navn 1 f'r udbetalt r'dighedslon Navn 1 har en opsat tjenestemandspension Navn 1 har en pension fra Nordisk Ministerr'ds Sekretariat Navn 1 er tjenestemand i Gronland i staten, selvstyret eller en kommune Navn 1 er medlem af Pensionskassen af 1950 for forskellige private kirkelige institutioner Navn 1 er medlem af Pensionsordningen for visse ansatte ved Det Kongelige Teater (11:45:13 AM) Profilnavn 2: lol (11:45:18 AM) Profilnavn 2: yeah I thought about that (11:45:24 AM) Profilnavn 2: binding that with a 0day (11:45:36 AM) Profilnavn 2: + the .exe client that you can dl fro mcsc (11:45:43 AM) Profilnavn 2: ok (11:45:43 AM) Profilnavn 1: hey if you are a member of the retirement fund of the royal theathe (11:45:44 AM) Profilnavn 2: well I have about l0k passes for different tjenestem'nd (11:45:45 AM) Profilnavn 1: then quit (11:45:49 AM) Profilnavn 1: so u can get access (11:46:01 AM) Profilnavn 1: oh they have .exe for dl (11:46:02 AM) Profilnavn 1: eve nbetter (11:46:04 AM) Profilnavn 1: haha (11:46:04 AM) Profilnavn 2: I have about 40 passes from the royal theater too (11:46:05 AM) Profilnavn 1: ok (11:46:05 AM) Profilnavn 2: lol (11:46:07 AM) Profilnavn 1: HOOK ME UP

(11:46:08 AM) Profilnavn 1: NOW

(11:46:10 AM) Profilnavn 2: speaking about royal theater (11:46:28 AM) Profilnavn 2: will those work @Hjemmeside 13

side 21

though? (11:46:47 AM) Profilnavn 1: ONLY ONE WAY TO FIND OUT AND ITS NOT ASKING

(11:46:58 AM) Profilnavn 2: lol (11:48:32 AM) Profilnavn 1: well dunno how tjenstemandspension maps to acf (11:48:33 AM) Profilnavn 1: but oh well (11:48:37 AM) Profilnavn 1: ppl are gonna reuse pws etc (11:48:42 AM) Profilnavn 1: form actionUdeladt

(11:48:49 AM) Profilnavn 1: input type=Udeladt (11:48:50AM) Profilnavn 2: E-mailadresse 2 Brugernavn 2 or Brugernavn 3 (11:48:54 AM) Profilnavn 1: input type=Udeladt(11:48:59 AM) Profilnavn 1: input type="Udeladt"(11:49:01 AM) Profilnavn 2: E-mailadresse 3 (11:49:09 AM) Profilnavn 2: "Specialefterforskningen med okonomiske sager og IT-kriminalitet",,, (11:49:09 AM) Profilnavn 1: ^^ so its CICS (11:49:10 AM) Profilnavn 2: lol (11:49:18 AM) Profilnavn 1: uhm i need CPR# (11:49:24 AM) Profilnavn 2: this guy reuses everywhere (11:49:25 AM) Profilnavn 2: arh fuck (11:50:05 AM) Profilnavn 2: what info do you need (11:50:07 AM) Profilnavn 2: exactly (11:50:19 AM) Profilnavn 2: , "Person 6

Person 6","E-mailadresse 4",,"Rigspolitiet PET"

(11:50:19 AM) Profilnavn 1: well (11:50:26 AM) Profilnavn 2: this guy is super old (11:50:29 AM) Profilnavn 2: he probably has his cpr somewhere (11:50:30 AM) Profilnavn 1: to log in@ tjenestemandspension specifically i need cpr (11:50:34 AM) Profilnavn 2: I'll dig up his pw (11:50:36 AM) Profilnavn 1: butt any info is good ofcoz (11:50:38 AM) Profilnavn 1: Udeladt Udeladt Udeladt Udeladt Udeladt Udeladt Udeladt (11:50:54AM) Profilnavn 2: what software does Hjemmeside 13 run? (11:51:07 AM) Profilnavn 2: yeh Adgangskode 2 is his pw (11:51:18 AM) Profilnavn 2: I have same valid users for infotorv (11:51:25 AM) Profilnavn 2: more usable I guess? (11:52:24 AM) Profilnavn 2: sa.dk (11:52:26 AM) Profilnavn 2: statens arkiver (11:52:33 AM) Profilnavn 2: might also be interesting (11:53:07 AM) Profilnavn 2: they're scheduled for syncing everything from the cops (11:53:09 AM) Profilnavn 2: to sa (11:53:39 AM) Profilnavn 2: Systemnavn Udeladt Udeladt Udeladt

side 22

Udeladt Udeladt

(11:53:40 AM) Profilnavn 2: etc (11:53:47 AM) Profilnavn 2: but anyway, cprs! (11:54:35 AM) Profilnavn 2: Person 7's mail is (11:54:54 AM) Profilnavn 2: E-mailadresse 2 (11:55:12 AM) Profilnavn 2: E-mailadresse 5 - kode: Adgangskode 1: (11:55:17 AM) Profilnavn 2: this guy is an idiot too (11:55:55 AM) Profilnavn 2: E-mailadresse 6

(11:55:57 AM) Profilnavn 2: old cop too (11:56:26 AM) Profilnavn 1: Hjemmeside 13' er midlertidigt ude af drift. Hjemmesidens normale 'bningstid er alle dage fra kl. 7.00 til kl. 24.00.

Ved fortsatte problemer i 'bningstiden kontakt os venligst via brevkassen (E-mailadresse 7). (11:56:28 AM) Profilnavn 1: ah but .. (11:56:49 AM) Profilnavn 2: L O L (11:56:49 AM) Profilnavn 1: well (11:56:58 AM) Profilnavn 1: first we have to find out naming schemes etc (11:57:00 AM) Profilnavn 2: we're closed (11:57:04 AM) Profilnavn 1: then we can just bruteforce (11:57:09 AM) Profilnavn 2: our website is fucking closed between 00 and 07 lol (11:57:21 AM) Profilnavn 2: yes (11:57:22 AM) Profilnavn 1: actually its the same with infotorg in .se (11:57:25 AM) Profilnavn 2: what software does it run? (11:57:31 AM) Profilnavn 1: cics (11:57:48 AM) Profilnavn 2: I know I have a .html with accounts for a bunch of banks and police stations (11:57:50 AM) Profilnavn 2: for infotorv (11:57:57 AM) Profilnavn 2: somewhere (11:58:02 AM) Profilnavn 1: oh (11:58:10 AM) Profilnavn 1: those are straight racf accts (11:58:15 AM) Profilnavn 2: yes (11:58:15 AM) Profilnavn 1: thing is (11:58:22 AM) Profilnavn 2: they don't have pws (11:58:25 AM) Profilnavn 1: racf acct = = likely means i can submit batch jobs (11:58:32 AM) Profilnavn 1: wel, racf acct+pw ( 11: 58: 32 AM) Profilnavn 1: : ) (11:58:33 AM) Profilnavn 2: yes (11:58:41 AM) Profilnavn 1: and i have localz already (11:58:44 AM) Profilnavn 2: it's a good list of shit to client-side though (11:58:50 AM) Profilnavn 2: oh nice (11:59:00 AM) Profilnavn 1: you can by design submit jes2 (jcl) batch jobs via ftp (11:59:17 AM) Profilnavn 1: (not related to ftpd bug i havent got wildgrade sploit for yet) (11:59:34 AM) Profilnavn 1: in faet i use that to spawn an xterm @ my home Program 1 system (11:59:35 AM)Profilnavn 1: : ) (11:59:44 AM) Profilnavn 1: kinda like a connect back shell eh lol (12:00:02 PM) Profilnavn 1: Hjemmeside 15 (12:00:31 PM) Profilnavn 2: yeah definitely not going to click on that link (12:00:32 PM) Profilnavn 2: lol (12:00:39 PM) Profilnavn 1: its a Program 9 u mofo (12:00:48 PM) Profilnavn 1:Udeladt

side 23

UdeladtUdeladt UdeladtUdeladtUdeladt UdeladtUdeladt UdeladtUdeladtUdeladt UdeladtUdeladtUdeladt UdeladtUdeladt UdeladtUdeladtUdeladt UdeladtUdeladtUdeladt UdeladtUdeladt (12:00:55 PM) Profilnavn 1: with the jcl to spawn the xterm :P (12:01:21 PM) Profilnavn 1: submitted with this ftp script (12:01:22 PM) My Profilnavn 1: Udeladt Udeladt Udeladt Udeladt Udeladt (12:01:48 PM) Profilnavn 2: yeah (12:01:57 PM) Profilnavn 2: I don't want my browser connected to Program 1 pwnage though (12:02:13 PM) Profilnavn 1: dOOd its a Program 9 of a nonmalicious jcl ive pasted in lots of places (12:02:18 PM) Profilnavn 1: but ok paranoia = = good (12:02:33 PM) Profilnavn 2: I mean (12:02:42 PM) Profilnavn 1: dis be sum serious shit (12:02:45 PM) Profilnavn 2: adware and dumping sites and trashing whitehats I can lulz about (12:03:09 PM) Profilnavn 2: and I can go to prison if I do it in the wrong place ofr like half a year or a year (12:03:16 PM) Profilnavn 2: and that'd suck, but oh well (12:03:18 PM) Profilnavn 2: trashing cpr (12:03:26 PM) Profilnavn 2: is not something I want on my CV (12:03:30 PM) Profilnavn 1: after all (12:03:31 PM) Profilnavn 1: What kind of operating system is used by a Real Progranuner?

Windows? God forbid -- Windows, after all, is basically a toy operating system. Even little old ladies and grade school students can understand and use Windows.

Styresystem 1 is a lot more complicated of course; the typical Styresystem 1 hacker never can remember what the PRINT conunand is called this week-- but when it gets right down to it, Styresystem 1 is a glorified video game. People don't do Serious Work on Styresystem 1 systems: they send jokes around the world on Twitter and write GNOME toys and research papers.

(12:03:43 PM) Profilnavn 1: No, your Real Progranuner uses Program 1. A good programmer can find and understand the description of the IJK305I error he just gat in his JCL manual. A great programmer can write JCL without referring to the manual at all. A truly outstanding programmer can find bugs buried in a 6 megabyte core dump without using a hex calculator. (I have actually seen this done.)

(12:04:36 PM) Profilnavn 2: I'm fgrepping for Hjemmeside 10 addrs now (12:04:40 PM) Profilnavn 2: it's going to take a while (12:05:02 PM) Profilnavn 1: heh especially considering whta ive planned for .se (12:05:14 PM) Profilnavn 2: : ) (12:05:19 PM) Profilnavn 2: yeah

side 24

(12:05:20 PM) Profilnavn 2: cambodja is cool (12:05:25 PM) Profilnavn 2: I don't want to grow old ther (12:05:25 PM) Profilnavn 2: e (12:05:30 PM) Profilnavn 1: i told u the plan right (12:05:34 PM) Profilnavn 2: or not grow old (12:05:34 PM) Profilnavn 2: depending onwho you piss off (12:05:40 PM) Profilnavn 2: yes (12:05:42 PM) Profilnavn 2: doesn't need repeating (12:05:45 PM) Profilnavn 2: :) (12:06:05 PM) Profilnavn 1: well either that or just go for max destruction (12:06:12 PM) Profilnavn 2: BTW FOR ALL YOU SPOOKS OUT THERE (12:06:19 PM) Profilnavn 2: TAPPING MAH KEYBOARD (12:06:36 PM) Profilnavn 2: I <3 YOU AND WILL SEND YOU LETTERS FROM PRISON (12:06:44 PM) Profilnavn 1: OH (12:06:50 PM) Profilnavn 2: Brugernavn 1: well danish police apparently don't have backups for half their shit (12:06:50 PM) Profilnavn 1: I WILL EDIT YOUR PESONAL DETAILS (12:06:50 PM) Profilnavn 2: lol (12:06:57 PM) Profilnavn 1: SO YOU GET PICKED UP TO BE TAKEN TO PRISON (12:06:57 PM) Profilnavn 2: edit mah own (12:07:12 PM) Profilnavn 1: heh i dont exist in SPAR (.SE's CPR) anymoe :P (12:07:20PM) Profilnavn 2: create trigger LOLWHO on centralepersonregister condition (12:07:33 PM) Profilnavn 1: its ims not Styresystem 2 (12:07:33 PM) Profilnavn 1: :P (12:07:44 PM) Profilnavn 1: i suppose you would write an EXIT (12:07:56PM) Profilnavn 2: 'cpr=CPR nr. ' SQL 'select "Person 8";' (12:07:58 PM) Profilnavn 2: or whatever (12:08:23 PM) Profilnavn 2: Brugernavn 1: lol (12:08:24 PM) Profilnavn 1: well u have the .se material so u should know (12:08:24 PM) Profilnavn 1: :P (12:08:31 PM) Profilnavn 2: hehe (12:08:51 PM) Profilnavn 1: you know all those db listings (12:08:55 PM) Profilnavn 2: yea? (12:08:56 PM) Profilnavn 1: with fixed record len (12:09:00 PM) Profilnavn 2: yep (12:09:07 PM) Profilnavn 2: I converted them to csv (12:09:11 PM) Profilnavn 1: recognze the format in Server (12:09:13 PM) Profilnavn 2: I mean I still have the src data (12:09:23 PM) Profilnavn 1: yeah otherwise i'd have killed you LoL (12:09:36 PM) Profilnavn 2: lol (12:09:40 PM) Profilnavn 2: you don't have the source data? (12:09:44 PM) Profilnavn 1: lost my copy (12:09:53 PM) Profilnavn 2: lol (12:09:55 PM) Profilnavn 1: or rather lost that laptop (12:09:58 PM) Profilnavn 1: no biggie though (12.10.00 PM) Profilnavn 2: how? (12:10:03 PM) Profilnavn 1: there's a more recent dump (12:10:07 PM) Profilnavn 2: wasn't that your good laptop with all the good shit? (12:10:08 PM) Profilnavn 2: ah ok (12:10:16 PM) Profilnavn 2: I gave same shit to a guy in sweden

side 25

remember

(12:10:19 PM) Profilnavn 1: it went to heaven

(12:10:26 PM) Profilnavn 2: heh

(12:10:29 PM) Profilnavn 1: its with lapgod now

(12:10:58 PM) Profilnavn 1: i have basically full backups of it

(12:11:02 PM) Profilnavn 2: and yes I recognize the format (12:11:05 PM) Profilnavn 1: just not of more recent bulky shit

(12:11:12 PM) Profilnavn 1: also recognize it from sornewhere else

(12:11:17 PM) Profilnavn 1: ... Virksomhed 3 cables

(12:11:21 PM) Profilnavn 2: yes

(12:11:27 PM) Profilnavn 2: we discussed this when I visited you : ) (12:11:32 PM) Profilnavn 1: ah yeah

(12:11:36 PM) Profilnavn 1: imsims ims ims

(12:11:40 PM ) Profilnavn 2: weee

(12:11:46 PM) Profilnavn 2: al so same format as robinsonlisten f rom cpr

(12:11:59 PM) Profilnavn 2: and "fortegnelsen over veje og adresser i danmark" from cpr

(12:12:00 PM) Profilnavn 1: "surprise"

(12:12:14 PM) Profilnavn 2: E-mailadresse 8

(12:12:17 PM) Profilnavn 2: AIDS GUYS

(12:12:20 PM) Profilnavn 2: lol

(12:12:22 PM) Profilnavn 1: AIDS AND FAIL

(12:12:41 PM) Profilnavn 2: fucking Hjemmeside 16 (12:12:48 PM) Profilnavn 2: that was a cool month (12:13:06 PM) Profilnavn 2: I had a colleague who kept saying like "I bet you could hack this shit" for fun all the time for two months

(12:13:17 PM) Profilnavn 2: and I hacked all thes ites he said that about when I got home

(12:13:17 PM) Profilnavn 2: lol

(12:13:34 PM) Profilnavn 1: hell you can kinda recognize the format from datasets with hlasm listings

(12:13:54 PM) Profilnavn 2: yea?

(12:14:02 PM) Profilnavn 2: what does space look like in ebcdic btw? (12:14:28 PM) Profilnavn 1: Server (12:14:31 PM) Profilnavn 1: 0x40

(12:14:43 PM) Profilnavn 1: i.e. @ in ascii

(12:15:13 PM) Profilnavn 2: yea

(12:15:35 PM) Profilnavn 1: fun trivia - there's a symbol in ebcdic that doesnt exist in ascii (12:15:57 PM) Profilnavn 1: the 'not equal' symbol

(12:16:10 PM) Profilnavn 2: hah

(12:16:11 PM) Profilnavn 2: Conversion failed when converting the

varcharvalue Udeladt<Udeladt

Udeladt

UdeladtUdeladt

UdeladtUdeladt

UdeladtUdeladt

Udeladt

UdeladtUdeladt

UdeladtUdeladt

Udeladt

UdeladtUdeladt

Udeladt

UdeladtUdeladt

Udeladt>

side 26

(12:16:22 PM) Profilnavn 2: ok more tjenestemand her (12:16:30 PM) Profilnavn 2: Person 9

(12:17:01 PM) Profilnavn 2: hm no dob though

(12:18:22 PM) Profilnavn 2: oh btw

(12:18:33 PM) Profilnavn 2: we have that loggingbekendtgorelsen shit in dk

(12:18:52 PM) Profilnavn 2: so ppl monitor connections from weird countries to govt hosts

(12:18:57 PM) Profilnavn 2: not sure if Forurettede A/S counts as one of them (12:19:06 PM ) Profilnavn 2: but might want to bounce through something danish

(12:19:23 PM) Profilnavn 2: I don't know

(12:19:26 PM) Profilnavn 2: probably doesn't matter (12:20:19 PM) Profilnavn 2: it's pretty funny they use their Hjemmeside 10 loginsfor shit like that

(12:20:25 PM) Profilnavn 2: they're not supposed to do that (12:20:35 PM) Profilnavn 2: they have ekstern.Hjemmeside 10 for shit like that (12:20:47 PM) Profilnavn 2: E-mailadresse 9 are airgapped (12:21:02 PM) Profilnavn 2: but I'm fairly sure they have vpn lol (12:24:55 PM) Profilnavn 1: probably they are on the same hosts as the rest (12:24:56 PM) Profilnavn 1: :)

(12:25:27 PM) Profilnavn 2: Hjemmeside 10 has no webmail login (12:25:30 PM) Profilnavn 2: ekstern has

(12:26:32 PM) Profilnavn 2: it says here tjenestemandspension belongs to okonomistyrelsen

(12:26:34 PM) Profilnavn 2: oes.dk

(12:26:37 PM) Profilnavn 1: LJSOOl surely looks RACFy

(12:26:40 PM) Profilnavn 1: but no win ye

(12:26:41 PM) Profilnavn 1: t

(12:26:47 PM) Profilnavn 1: the othe cop also did

(12:26:51 PM) Profilnavn 1: Adgangskode 2 or whatever

(12:27:06 PM) Profilnavn 2: all police mails are like that (12:27:21 PM) Profilnavn 2: *3-5 letters**3 digits* (12:27:27 PM) Profilnavn 2: pretty sure the digits are serial numbers (12:27:35 PM) Profilnavn 2: same scheme for Hjemmeside 9 (12:27:42 PM) Profilnavn 1: its common to have AAANNNN or AAAANNN on mvs (12:28:05 PM) Profilnavn 2: the large majority are 3 letters (12:28:10 PM) Profilnavn 2: have only seen very few with 4 or 5 (12:28:17 PM) Profilnavn 2: Din Browser understotter ikke HTML 1.1 specifikationen

(12:28:18 PM) Profilnavn 2: lol

(12:28:28 PM) Profilnavn 2: suck a dick will you (12:28:35 PM) Profilnavn 1: havent u seen my usernames

: )

(12:28:38 PM) Profilnavn 1: Brugernavn 4

(12:28:39 PM) Profilnavn 1: Brugernavn 5

(12:28:40 PM) Profilnavn 1: etc

(12:29:11 PM) Profilnavn 2: PENSAB

(12:29:12 PM) Profilnavn 2: lol

(12:29:22 PM) Profilnavn 1: yeah

(12:29:24 PM) Profilnavn 2: pretty sure I've tested them sometime (12:29:28 PM) Profilnavn 1: haha

(12:29:37 PM) Profilnavn 1: the group name @ tjenestemandspension is pensab (12:29:38 PM) Profilnavn 2: their mssgl Program 10 shit I mean (12:30:04 PM) Profilnavn 2: tjek /support/

side 27

(12:30:09 PM) Profilnavn 2: wants login (12:30:31 PM) Profilnavn 1: racf accts are the same for all services (12:30:35 PM) Profilnavn 1: heh btw so professional (12:30:38 PM) Profilnavn 1: they have ALL default shit left (12:30:44 PM) Profilnavn 1: like (12:31:04 PM) Profilnavn 2: LOL (12:31:10 PM) Profilnavn 2: Hjemmeside 13 (12:31:11 PM) Profilnavn 2: hahahaha (12:31:18 PM) Profilnavn 2: MODERNISERINGSSTYRELSEN (12:31:18 PM) Profilnavn 2: wtf (12:31:29 PM) Profilnavn 2: and they have like a pixelized jpg logo (12:31:31 PM) Profilnavn 2: :D (12:31:48 PM) Profilnavn 2:

(12:31:54 PM) Profilnavn 2: woop username of admins (12:32:04 PM) Profilnavn 2: tilrettet = modified (12:32:09 PM) Profilnavn 2: oprettet = created (12:32:22 PM) Profilnavn 2: jf = j'vnfor, "see this"(12:32:40 PM) Profilnavn 1: yaeh (12:32:45 PM) Profilnavn 1: i understand danish (12:32:50 PM) Profilnavn 2: nice (12:32:55 PM) Profilnavn 2: hvorfor snakker vi s' ikke dansk? (12:33:13 PM) Profilnavn 2: m'ske ville det v're lettere bare at finde navnet p' ham der Brugernavn 6 (12:33:26 PM) Profilnavn 1: dunno, youre the one who's always been speaking english! (12:33:27 PM) Profilnavn 2: og s' kneppe* han er signet op p' i h'b om at han genbruger sit password (12:33:49 PM) Profilnavn 2: hehe (12:34:08 PM) Profilnavn 1: i suppose i get even dizzier than usual from switching between ONE MORE language though haha (12:34:38 PM) Profilnavn 2: hehe (12:34:38 PM) Profilnavn 2: seriously (12:34:41 PM) Profilnavn 2: comments from 2003 (12:34:44 PM) Profilnavn 2: this shit is old school (12:34:57 PM) Profilnavn 2: 2003 was the year I used the internet first time (12:35:17 PM) Profilnavn 2: (12:35:26 PM) Profilnavn 2: more recent one (12:35:49 PM) Profilnavn 1: ????????????????????? (12:35:58 PM) Profilnavn 1: haha lol (12:36:02 PM) Profilnavn 1: for me it was 1993 (12:36:03 PM) Profilnavn 1: :P (12:36:05 PM) Profilnavn 1: 1992 :P (12:36:08 PM) Profilnavn 2: ha (12:36:12 PM) Profilnavn 2: I was born in 1993 (12:36:16 PM) Profilnavn 1: ahahaahh (12:36:22 PM) Profilnavn 1: *OLD* (12:36:34 PM) Profilnavn 2: yeah (12:36:45 PM) Profilnavn 2: you've been using the internet for twice as long as me then (12:36:46 PM) Profilnavn 2: :) (12:36:56 PM) Profilnavn 1: shit insane

side 28

(12:37:03 PM) Profilnavn 2: wonder where I'll be in 10 years (12:37:11 PM) Profilnavn 1: ive been using interwebs for longerthan youve been alive !!! (12:37:12 PM) Profilnavn 1: :D (12:37:21 PM) Profilnavn 2: lol (12:37:42 PM) Profilnavn 2: puts things in perspective (12:38:33 PM) Profilnavn 2: Tjenestem'nd i selvstyret og kommunerne p' Gronland kan f' oplysning om pensionsalder i Gronlands Selvstyre, E-mailadresse 10 og pensionsberegning i Statens Administration, E-mailadresse 11. (12:38:42 PM) Profilnavn 1: so you were 1 year old when jwz wrote Hjemmeside 17 (12:38:42 PM) Profilnavn 2: on a scale from 1 to 10 (12:38:52 PM) Profilnavn 2: how shitty do you think nanog.gl is (12:39:01 PM) Profilnavn 1: .gl (12:39:06 PM) Profilnavn 1: didnt know that existed even (12:39:06 PM) Profilnavn 2: greenland (12:39:11 PM) Profilnavn 2: lol (12:39:11 PM) Profilnavn 1: the tld that is (12:39:20 PM) Profilnavn 2: I think I'm adding .gl to vatican list (12:39:23 PM) Profilnavn 2: gotta' pwn 'em all (12:39:27 PM) Profilnavn 2: to the* (12:39:28 PM) Profilnavn 1: .ax you can pwn (12:39:39 PM) Profilnavn 2: I have the .so tld (12:39:40 PM) Profilnavn 1: when you were 5 i pwned my first tld (12:39:42 PM) Profilnavn 2: if that counts (12:39:57 PM) Profilnavn 2: haha (12:40:01 PM) Profilnavn 1: .AT (12:40:06 PM) Profilnavn 1: also once i rediected *.ST (12:40:07 PM) Profilnavn 2: where's that? (12:40:09 PM) Profilnavn 1: to phrack.efnet.ru (12:40:14 PM) Profilnavn 1: at = =austria (12:40:29 PM) Profilnavn 1: st == sao tome et principe, but managed by nic-st (internetudbyder) (12:40:37 PM) Profilnavn 2: lol (12:40:52 PM) Profilnavn 2: Medlemmer af Pensionsordningen for visse ansatteved Det Kongelige Teater skal henvende sig til Det Kongelige teater, E-mailadresse 12 E-mailadresse 12, Tlf nr. 1. (12:41:48 PM) Profilnavn 2: I have "brancheforeningen for danske teatre" somewhere (12:42:19 PM) Profilnavn 2: lol btw (12:42:30 PM) Profilnavn 2:Hjemmeside 18 got hacked from the Styresystem 3 exit node I ran (12:42:36 PM) Profilnavn 2: about 2months after I hacked them myself (12:42:48 PM) Profilnavn 1: :P (12:43:17 PM) Profilnavn 1: did u get a bunch of very angry men with "rygmAErker" (sp??) showing up at your doorstep? :) (12:43:24 PM) Profilnavn 2: no (12:43:32 PM) Profilnavn 2: I got their plaintext passwords though (12:43:41 PM) Profilnavn 2: which gave access to Hjemmeside 19 or something like that (12:43:56 PM) Profilnavn 2: which is apparently pretty much the international bandidos biker webmail (12:44:08 PM) Profilnavn 2: so could probably have sold that to teh copz (12:44:16 PM) Profilnavn 2: but I figured I'd rather keep my teeth (12:44:19 PM) Profilnavn 1: nah they know better than that (12:44:44 PM) Profilnavn 2: man

side 29

(12:44:56 PM) Profilnavn 2: right now I'm so sad Hjemmeside 10 got patched before I dumped them (12:45:02 PM) Profilnavn 2: had member logins for all cops (12:45:11 PM) Profilnavn 2: but I was eating burgers @ mcdonalds when I found the sqli (12:45:23 PM) Profilnavn 2: it's the police union btw (12:45:47 PM) Profilnavn 2: they're using a hosted ems "cloud" shit (12:45:56 PM) Profilnavn 2: so they probably have error logging on (12:45:57 PM) Profilnavn 2: clever move (12:46:09 PM) Profilnavn 2: speaking of hacked things (12:46:15 PM) Profilnavn 2: coke.dk runs on a mainframe (12:46:15 PM) Profilnavn 2: right? (12:46:35 PM) Profilnavn 2: first hack I monetized :) (12:49:54 PM) Profilnavn 2: here we go (12:49:56 PM) Profilnavn 2: InfoTorv (12:50:00 PM) Profilnavn 2: Brugernavn 7 (12:50:05 PM) Profilnavn 2: Din personkode er blevet revoked. (12:50:10 PM) Profilnavn 2: Kontakt venligst idn administrator. (12:50:13 PM) Profilnavn 2: trollololol (12:50:58 PM) Profilnavn 2: * Virksomhed ApS Filoverfrsel, Generel lsning. _*(Som dog p.t kun anvendes af Udeladt).

(12:51:04 PM) Profilnavn 2: Udeladt (12:51:08 PM) Profilnavn 2: sounds gangster (12:51:18 PM) Profilnavn 2: but it's probably just tracking of clips and guns (12:51:33 PM) Profilnavn 2: LS-Lsning (ikke beskrevet her). Filoverfrsler til *FLS*, dvs Det Flles Lnindholdelses System, er *ikke* beskrevet her. Kontaktpersoner til dette system er de samme hos Virksomhed ApS / MrskData, men i Forurettede A/S er det Kundegruppe B, fx. Person 10. (12:51:42 PM) Profilnavn 2: FLS = =gold (12:52:14 PM) Profilnavn 2: Kontakt til Virksomhed ApS: Person 11 E-mailadresse 13 (12:52:22 PM) Profilnavn 2: Person 12 E-mailadresse 14

(12:52:31 PM) Profilnavn 2: Kontakt Forurettede A/S

Udeladt: Person 13, Person 14 E-mailadresse 15 Tlf nr. 2

(12:53:16 PM) Profilnavn 2: Vejledning til LOKALE tilretninger ifm afsendelse og afhentning af filer til/fra PBS. Det vedrrer - hvorledes man sender filerne til Virksomhed ApS, og - hvorledes man henter kvitteringer mv. * SEND FILER TIL Virksomhed ApS: (og dan samtidig en logfil til evt. fej lsgning) _* Eksempel: Fil sendes til Virksomhed ApS ved at udfre Virksomhed ApS.BAT, som referere til en scriptfil Script 4. Denne referer til selve filen, fil-til-Virksomhed ApS.txt, som skal sendes til PBS. Filen indeholder bde kontrolkort og Data.

side 30

(12:53:25 PM) Profilnavn 1: Brugernavn 7 .. thats same format as .se i think (12:53:30 PM) Profilnavn 2: PBS= pengeinstitutternes betalingssystem (12:53:36 PM) Profilnavn 2: that's for cops (12:53:43 PM) Profilnavn 2: Udeladt Udeladt Udeladt Udeladt Udeladt Udeladt>Udeladt Udeladt

(12:53:46 PM) Profilnavn 1: hehehe (12:54:06 PM) Profilnavn 2: PBS is what everyone in DK gets their pay from (12:54:09 PM) Profilnavn 2: *everyone* (12:54:14 PM) Profilnavn 2: they also run Dankort (12:54:20 PM) Profilnavn 2: which is the Danish visa (12:54:25 PM) Profilnavn 2: sort of (12:54:30 PM) Profilnavn 2: which everyone has (12:54:37 PM) Profilnavn 2: also they're called Nets today (12:54:38 PM) Profilnavn 1: fuck wonder what the groupname is (12:54:43 PM) Profilnavn 2: Script 4 (se indhold herunder:)

WxxxEDI (Brugerkode udleveret af Forurettede A/S, Person 15) xxxxxx (aftalt password) quote site filetype=jes put fil-til-Virksomhed ApS.txt quit

(12:55:03 PM) Profilnavn 2: Log'en: SENDLOG.TXT vil indeholde noget lignende dette:

Udeladt Udeladt Udeladt Udeladt Udeladt Udeladt Udeladt>Udeladt Udeladt Udeladt>Udeladt Udeladt Udeladt>Udeladt Udeladt

(12:55:41 PM) Profilnavn 1: hehehe (12:55:42 PM) Profilnavn 1: yeah (12:55:45 PM) Profilnavn 2: fil-til.Virksomhed ApS.txt:

EKSEMPLER p Fil til Virksomhed ApS: BEMRK: Dette er eksempler, og Virksomhed ApS udleverer specifikke Filer/kontrrolkort til hver enkelt kunde. De tre frste linier skal "klistres" foran kontrolkortene fra PBS. Og bemrk at der er kontrolkort til TEST og andre til Produktion hos PBS.

side 31

Udeladt Udeladt UdeladtUdeladt Udeladt Udeladt Udeladt Udeladt Udeladt UdeladtUdeladt Udeladt - - - - - - her kommer data - - -

(12:55:51 PM) Profilnavn 1: recognize that from somewhere (12:55:55 PM) Profilnavn 2: lol that looks like k0d3z (12:55:56 PM) Profilnavn 2: :D (12:56:02 PM) Profilnavn 1: like .. my xterrn script (12:56:03 PM) Profilnavn 1: :P (12:56:07 PM) Profilnavn 2: jcl? (12:56:11 PM) Profilnavn 2: yeah exactly (12:56:16 PM) Profilnavn 2: it's a jcl job right? (12:56:20 PM) Profilnavn 2: and submitted with ftp (12:56:23 PM) Profilnavn 1: yeah (12:56:27 PM) Profilnavn 2: and since the guy has to write a fucking guid efor it (12:56:31 PM) Profilnavn 2: i t's probably used by ret ards (12:56:35 PM) Profilnavn 1: no way (12:56:37 PM) Profilnavn 1: no no (12:56:49 PM) Profilnavn 1: dont u remember what the real programmers bible says (12:56:54 PM) Profilnavn 2: lol (12:57:05 PM) Profilnavn 1: A good programmer can find and understand the description of the IJK305I error he just got in his JCL manual.

A great programmer can write JCL without referring to the manual at all. (12:57:06 PM) Profilnavn 2: it says something mean about windows (12:57:18 PM) Profilnavn 1: and about Styresystem 1 (12:57:19 PM) Profilnavn 1: :P (12:57:25 PM) Profilnavn 1: well in the original its about cp/m and Program 6 (12:57:42 PM) Profilnavn 1:hilarious btw if you havent read it (12:57:43 PM) Profilnavn 1: Hjemmeside 20 (12:58:14 PM) Profilnavn 1: also its companion Hjemmeside 21 (12:58:19 PM) Profilnavn 2: *Virksomhed ApS* sender Kvitteringer retur med flgende JOB (eks fra Udeladt):

UdeladtUdeladtUdeladt Udeladt Udeladt Udeladt Udeladt Udeladt //******************************************************** //* DAN EDI-FIL TIL POLITIET //* Virksomhed ApS: Person 11 Tlf nr. 3 //* Forurettede A/S: KGB, Person 16 M.FL. Tlf nr. 2 //* POL: Forurettede A/S: Person 13 (FOR POLITIET) // * DOK: Hjemmeside 22/SUPPORT

side 32

Udeladt Udeladt Udeladt UdeladtUdeladt Udeladt UdeladtUdeladt UdeladtUdeladt

(12:58:31 PM) Profilnavn 2: I have read it (12:58:33 PM) Profilnavn 1: IEBGENER :D:D (12:58:39 PM) Profilnavn 2: that's the one where he talks about quiches isn't it? (12:58:49 PM) Profilnavn 2: lol @ kgb (12:58:58 PM) Profilnavn 2: think he's a spy? :D (12:59:05 PM) Profilnavn 2: I wonder what kgb is though (12:59:24 PM) Profilnavn 2: same with doc (12:59:25 PM) Profilnavn 2: dok* (12:59:32 PM) Profilnavn 2: dokumentation ? (12:59:33 PM) Profilnavn 1: dokumentation (12:59:34 PM) Profilnavn 1: yeah (12:59:45 PM) Profilnavn 1: remember (12:59:59 PM) Profilnavn 2: was the groupname in there?

PGM?

Program group manager or something like that? (1:00:01 PM) Profilnavn 1: realprgm onlyuse 8lettrs (1:00:22 PM) Profilnavn 1: doesnt say group (1:00:26 PM) Profilnavn 1: well (1:00:30 PM) Profilnavn 1: could be leced (1:00:33 PM) Profilnavn 1: lecedi (1:00:38 PM) Profilnavn 2: lol (1:00:40 PM) Profilnavn 2: Afls evt. eget ipnr p denne web-side: Hjemmeside 23 under " .. here for trace to your place (nnn.nnn.nnn.nnn)"

(1:00:48 PM) Profilnavn 2: got a traceroute exploit too? (1:00:55 PM) Profilnavn 1: thats not Program 1 (1:01:31 PM) Profilnavn 2: kgb = kundegruppe b (1:02:09 PM) Profilnavn 1: IEBGENER = = make copy (1:02:10 PM) Profilnavn 1: kinda (1:02:30 PM) Profilnavn 1: that jcl just stores the instream data and fowads it to another system (1:02:34 PM) Profilnavn 1: (DKDCNJEl) (1:02:38 PM) Profilnavn 2: Og fremskaf disse to oplysninger inden fejlmelding til Forurettede A/S og PBS: Kontaktpersoner - *WxxxxEDI* nummer, som er userkodelaftalenr hos PBS.

Anvendes til at kontrollere om kvittering ligger klar. - *JOBnnnnnn~ som er en ident tildelt hos Forurettede A/S til den unikke filoverfrsel TIL PBS.

(1:03:19 PM) Profilnavn 1: k so users are WxxxxEDI normal ly (1:03:25 PM) Profilnavn 1: i suppose dma8jl is some admin (1:03:42 PM) Profilnavn 1: airgapped my ass (1:03:51 PM) Profilnavn 1: i fart across their airgap (1:04:22 PM) Profilnavn 2: lol (1:04:24 PM) Profilnavn 2: s'up? (1:04:29 PM) Profilnavn 2: you got banned?

side 33

(1:04:43 PM) Profilnavn 2: oh nice here's my list of names and email addrs of the employees of cpr

(1:05:01 PM) Profilnavn 2: Levering af oplysninger fra CPR til offentlige myndigheder og private. Telefonisk vejledning i brug af CPR's foresporgselssystem. Informationsmateriale m.v. om CPR's produkter.

Tlf nr. 4

Fax nr. 1

E-mailadresse 16

(1:05:07 PM) Profilnavn 2: Henvendelser fra borgere, myndigheder m.fl.:

Tlf nr. 5

Fax nr. 2

E-mailadresse 17

(1:05:21 PM) Profilnavn 2: IT-medarbejder Person 17 Tlf nr. 6

E-mailadresse 18

(1:05:22 PM) Profilnavn 2: osv

(1:05:37 PM) Profilnavn 2: it's 90% women

(1:07:06 PM) Profilnavn 1: haha yeah

(1:07:08 PM) Profilnavn 1: dude

(1:07:12 PM) Profilnavn 1: cobol was invented by a woman

(1:08:19 PM) Profilnavn 2: well

(1:08:40 PM) Profilnavn 2: that doesn't make it less weird that they've got 30 employees where 5 are men

(1:08:45 PM) Profilnavn 2: the boss is of course male (1:08:49 PM) Profilnavn 2: <3 #denmark

(1:09:22 PM) Profilnavn 2: onversion failed when converting the varchar

value Udeladt<UdeladtUdeladt

Udeladt

UdeladtUdeladt

UdeladtUdeladt

Udeladt

UdeladtUdeladt

Udeladt

UdeladtUdeladt

UdeladtUdeladt

UdeladtUdeladt

Udeladt

UdeladtUdeladt

Udeladt>

(1:13:20 PM) Profilnavn 2: Den 24. april 2008 kommer der nye funktioner i CPR systemets web gr'nseflade.

Administration af personkoder samt IP-adresser decentraliseres, st funktionerne fremover skal udfores af kundens DAP administratorer. For de kunder der ikke har en DAP administrator, skal en s'dan snarest muligt bestilles hos CPR kontoret, dog senest den 1. juli 2008.

De arbejdsopgaver DAP administratoren skal varetage er:

Navn 1

Navn 1

Navn 1

Navn 1

side 34

Oprettelse af personkoder Nedl 'ggelse af personkoder Administration af profiler til personkoder, indenfor de profiler kunden er tildelt af CPR kontoret Oprettelse og sletning af IP-adresser DAP administratoren skal fortsat administrere aktivering og inaktivering af personkoder samt give nye engangskendeord.

(1:13:40 PM) Profilnavn 1: haha (1:13:45 PM) Profilnavn 2: Man skal v're meget opm'rksom pt, at koderne ikke l 'ngere vil indeholde information om kunden men blive tildelt fra en pulje, stledes at der ikke l'ngere er information om kunden i personkoden. Hvis en personkode (bortset fra DAP administratoren) ikke har v'ret benyttet i ca. 6 m'neder bliver den slettet og vil ikke kunne benyttes igen.

Det g'lder dog ikke for de kunder der benytter egne personkoder til CPR-systemet (det drejer sig om Politiet og DNK). DAP administratoren f'r mulighed for at knytte personnavne p' de personkoder de opretter, s'ledes at det vil v're enklere at se disse ved en sogning.

Endvidere sker der en forenkling af antallet af sikkerhedsprofiler, s'ledes at der findes to prim're sogeprofiler (150 og 160) til offentlige myndigheder og 2 prim're sogeprofiler (150 og 120) til private virksomheder. Denne forenkling bevirker, at visse offentlige sogekunder vil kunne se lidt flere oplysninger om de enkelte personer i CPR end hidtil.

(1:14:25 PM) Profilnavn 2: so sounds like they changed the racf user administration processes and made thme a bit more apt-friendly (1:14:30 PM) Profilnavn 1: ya (1:14:42 PM) Profilnavn 2: lol (1:14:44 PM) Profilnavn 2: basically :P (1:15:20 PM) Profilnavn 2: Via web-servicen Personkode og aktionen Ny, gives der mulighed for at oprette en eller flere personkoder.

I forbindelse med oprettelsen, skal kundens profiler hentes, og her angives ved hj'lp af start- og slutdatoer for de enkelte profiler, hvilke profiler personkoden(-erne) skal have adgang til. Der skal knyttes sikkerhedsprofiler til den enkelte personkode og man skal altid huske, at en personkode skal have sikkerhedsprofil 150 for at kunne kommunikere med CPR-systemet.

(1:15:43 PM) Profilnavn 2: I think "personkode" means "username" in this context (1:16:11 PM) Profilnavn 2: Der gives ogs' mulighed for at oprette en personkode og samtidig angive, at der skal et antal kopier af personkoden (der kan dog maksimalt tildeles 30 kopier af personkoden). N'r denne funktion benyttes, vil alle kopierne ft de sarrune start- og slutdatoer, som den personkode der kopieres fra.

De vil ogs' alle f' det sammne personnavn, som man st kan gt ind og 'ndre efterfolgende for den enkelte personkode. I forbindelse med en oprettelse, vil web-servicen returnere med kvittering om, at personkode xxx er oprettet, men personkoden er ikke endeligt oprettet, for der er korrunet en mail indeholdende besked om, at personkoden er oprettet.

Denne mail kommer hurtigt, man skal dog huske at skive sin mailadresse korrekt.

Personkoden f'r automatisk et engangskendeord lig med Adgangskode 3 som medarbejderen skal 'ndre forste gang personkoden benyttes til en personlig kode. (1:16:17 PM) Profilnavn 2: this is a nice doc lol (1:16:23 PM) Profilnavn 2: default pw: Adgangskode 3 (1:17:20 PM) Profilnavn 1: default pw is otherwise the group name in racf (1:17:31 PM) Profilnavn 2: ah ok (1:17:41 PM) Profilnavn 2: it says it has to be changed on first log in (1:18:00 PM) Profilnavn 2: doesn't specify if that's enforced somehow or

side 35

just advice (1:22:43 PM) Profilnavn 2: 'ndringerne berorer alle personer, der har ret til det s'rlige sundhedskort, jf. Indenrigs- og Sundhedsministeriets vejledning nr. 121 af 14/12-2006.

(1:22:54 PM) Profilnavn 2: Registreringen af personer med ret til kortet 'ndres. Endvidere 'ndres kortet fra et papkort til et plastkort med magnetstribe. Personer med ret til kortet er tidligere blevet registreret ved en generel personkode fx. Kode 1. Den samme kode blev benyttet for samtlige personer. Denne form for registrering har givet en del administrative problemer.

(1:22:54 PM) Profilnavn 2: LOL (1:22:59 PM) Profilnavn 2: special sygesikringskort (1:23:01 PM) Profilnavn 2: everyone gets same CPR (1:23:04 PM) Profilnavn 1: ah (1:23:04 PM) Profilnavn 2: sounds SMART (1:23:04 PM) Profilnavn 2: :D (1:23:12 PM) Profilnavn 1: maybe its an OIDCARD (1:23:21 PM) Profilnavn 1: or ah (1:23:23 PM) Profilnavn 1: didnt read (1:23:24 PM) Profilnavn 2: "Det s'rlige sundheds kort er blevet moderniseret." (1:23:36 PM) Profilnavn 2: nah i t's a social security card of sorts (1:23:39 PM) Profilnavn 2: nev er heard about it (1:24:11 PM) Profilnavn 2: Nu 'ndres den generelle personkode stledes, at registreringen bliver pt et individuelt personnurruner - et cpr.nr.

Fremover vil personer med det s'rlige sundhedskort blive registeret i sygesikringsregisteret via kommunesystemerne.

De hospitaler og andre instanser, der har adgang til sygesikringsregisteret, vil her kunne finde de patienter, der er gr'nseg'ngere med et gyldigt s'rligt sundhedskort. (1:24:12 PM) Profilnavn 1: probably medcial care I pharmacy rebate card (1:24:20 PM) Profilnavn 2: btw: a lot of doctors have (read-only) access to cpr (1:24:28 PM) Profilnavn 1: you misunderstood how its regsteed though (1:24:42 PM) Profilnavn 2: yea? (1:25:04 PM) Profilnavn 2: Plastkortet vil kunne benyttes i kortl 'seren i praksis, og det vil v're muligt at oprette journaler elektronisk hos l'ge, tandl 'ge etc.

Da personer med det s'rlige sundhedskort ftr et individuelt personnummer (cpr.nr.), vil det ikke l'ngere v're nodvendigt for apoteker, at benytte CTRidentifikationsnumre ved kob af receptpligtig medicin for denne persongruppe. (1:25:13 PM) Profilnavn 2: Brugernavn 1: sygesikring = medical care (1:25:14 PM) Profilnavn 1: obv means that the list of cardholders were maintained by adding pseudo-persons (1:25:27 PM) Profilnavn 1: not that the persons actual cpr changed (1:25:39 PM) Profilnavn 2: that's not what I meant (1:25:52 PM) Profilnavn 2: they have the CTR as a foreign key in CPR (1:26:11 PM) Profilnavn 1: yeah except this is nota rdbms (1:26:12 PM) Profilnavn 1: :P (1:26:16 PM) Profilnavn 2: ;) (1:26:27 PM) Profilnavn 2: Det individuelle personnummer kan v're - et cpr.nr. for personer, der tidligere har haft et stdant, - et skattecpr.nr. for personer, der har ftet tildelt et af SKAT og - for de ft personer, som hverken har et cpr.nr. eller skattecpr.nr., gives et "systemtildelt" cpr.nr.

(1:26:31 PM) Profilnavn 2: oh yeah I forgot to mention (1:26:37 PM) Profilnavn 2: we have something similar to cpr

side 36

called cvr (1:26:42 PM) Profilnavn 2: centrale virksomhedsregister (1:26:49 PM) Profilnavn 2: Hjemmeside 24 (1:27:24 PM) Profilnavn 2: for some weird purposes a cvr and cpr can be used in the same systems (1:27:35 PM) Profilnavn 2: usually systems where you just need unique identifier per entity (1:28:12 PM) Profilnavn 2: De systemtildelte cpr.nr vil ikke v're registreret i CPR-registeret, men kun i sygesikringsregisteret/kommunesystemerne. (1:28:13 PM) Profilnavn 2: : ( (1:28:17 PM) Profilnavn 2: btw (1:28:21 PM) Profilnavn 2: did you really remove yourself from spar? (1:28:21 PM) Profilnavn 2: lol (1:28:37 PM) Profilnavn 2: did you remove more than your own name? (1:29:10 PM) Profilnavn 2: Nationalitetskoder Det anbefales, at nationalitetskoden Kode 1 og Kode 2 udgtr til fordel for de nye individuelle personnumre.

Dog vil de n'vnte nationalitetskoder fortsat kunne anvendes, da det kan v're hensigtsm'ssigt f.eks. i forbindelse med afregning ved l 'gebesog for personer der endnu ikke har ftet et cpr.nr. eller ftet et s'rligt sundhedskort.

Nationalitetskoderne vil ogst kunne anvendes af de IT-systemer, der ikke har implementeret de systemtildelte cpr.numre. (1:29:11 PM) Profilnavn 2: W T F (1:29:18 PM) Profilnavn 2: this shit keeps getting weirder and weirder (1:31:04 PM) Profilnavn 1: brb ..."

Forklaringer

Der er under sagen afgivet forklaring af de tiltalte og af vidnerne Vidne 4, Vidne 5, Vidne 6, Vidne 7, Vidne 8, Vidne 9, Vidne 10, Vidne 1, Vidne 3, Vidne 11, Vidne 12, Vidne 13, Vidne 14 og Vidne 2.

Tiltalte 1 har på forespørgsel fra vicestatsadvokat Advokat forklaret, at han er født i Stockholm i 1984. Han er svensk statsborger. Grunden til, at han ikke har talt med politiet under efterforskningen er dels, at politiet har været meget langsommelige med de efterforskningsforanstaltninger, han har forlangt, og dels at han har haft det dårligt psykisk. Han har siddet fængslet under isolationslignende forhold i 10 måneder. Han har afgivet en fuldstændig forklaring i grundlovsforhøret.

Hanarbejdede med grafikudvikling og videostreaming. Mainframes har han ikke interesseret sig for, da han er grafikudvikler, og mainframes har ikke nogen skærm og er derfor uinteressant for ham. Det er ikke ham, der har lagt Program 2 på hans computer, det må være nogen, der har fjernbetjent den.

Som han tidligere har forklaret, var hans to computere lab-computere, som har været benyttet både af ham selv og andre personer. Han har i grundlovsforhøret oplyst nicknavne på tre af de personer, der har haft adgang til hans computer og senere under efterforskningen et fjerde nicknavn. Politiets vilje til at efterforske andre gerningsmænd har ikke været stor. Han ved ikke, hvem der har sat Program 2 op.

Nicknavnene er "Kaldenavn 4", "Kaldenavn 5", "Kaldenavn 6" og "Kaldenavn 7". Det er personer, som bor i Cambodia. Han kender ikke alle deres rigtige navne, kun nogle af

side 37

dem. Han vil ikke beskylde personerne for noget, blandt andet fordi han ikke vil være en stikker. Han sidder i arresten, og det vil indebære en fysisk risiko for ham, hvis han siger navnene. Han har allerede sagt for meget. Politiet har haft mere end et år til at finde de rigtige navne.

Program 1 er et program til mainframes. Det skal nok passe, at det har noget med mainframes at gøre.

Han flyttede til Cambodia i 2008. Han har tidligere boet i Sverige i 4 år, men størstedelen af sit voksenliv har han boet udenlands. Han har tidligere boet i Mexico, og det var en tilfældighed, at det blev Cambodia, han flyttede til.

Program 11 er en fildelingstjeneste, der hjælper folk med at dele materiale. Han var en af grundlæggerne af Program 11. Han blev i 2009 dømt i Program 11-sagen og kom tilbage til Sverige til retssagen. Det havde ikke noget med Program 11-dommen at gøre, at han flyttede til Cambodia.

Anklageren dokumenterede fra bilag S-1-3-13, tillægsekstrakt III, side 19 (dom af 14. april 2009 fra Stockholms Tingsrätt).

Tiltalte forklarede, at han i Program 11-sagen blev dømt for medvirken til krænkelse af ophavsretten. Han blev idømt 1 års fængsel og pligt til at betale erstatning.

I Cambodia boede han i Phnom Penh.

Anklageren dokumenterede ekstrakt 1, side 238-239 (fotos af tiltaltes bolig i Cambodia og dens omgivelser), og tiltalte bekræftede, at det var billeder fra hans opgang og indgang til lejligheden.

Han arbejdede som freelancer indenfor sine it-ekspertiseområder. Han arbejdede for mange virksomheder. Han har blandt andet arbejdet for Virksomhed 4, hvor han vedligeholdt software for alarmhåndtering. Virksomhed 4 var et selskab, der udviklede alarmer. Han har også arbejdet for Virksomhed 5. Det var et firma, der beskæftigede sig med outsourcing, webudvikling og online casinovirksomhed. Virksomhed 5 lå i det koreanske kvarter i Phnom Penh. Person 18, der er englænder, ejede firmaet.

Han kendte i forvejen nogle svenskere, der boede i Cambodia, da han flyttede dertil. En af dem, han kendte, er en af personerne bag et af de fire nicknavne. De andre tilhører ikke computerverdenen. Han ønsker ikke at oplyse navnene på dem.

Tiltalte kender Person 1, som også bor i Cambodia, og har gjort det samtidig med ham. Han så ikke Person 1 dagligt. Det var forskelligt, om han var alene eller sammen med andre mennesker, det kom an på, hvad han havde lyst til. Han har haft besøg i sin lejlighed. Han ønsker ikke at oplyse navnene på nogle af dem, der havde besøgt ham i hans lejlighed, da han ikke ønsker at trække uskyldige personer ind i sagen. Person 1 har besøgt ham i lejligheden. Han levede ikke som eneboer i sin lejlighed, men da han er computerinteresseret, sad han ofte alene foran sin computer.

side 38

Anklageren ønskede at dokumentere fra bilag M-1-5, ekstrakt 7, side 93-99 (en web-artikel om Tiltalte 1).

Tiltalte forklarede, at artiklen ikke stammede fra et nyhedsmedie, men en sladderspalte, der drives af en person, som han havde et modsætningsforhold til. Han ønskede derfor ikke at svare på spørgsmål, der vedrører artiklen.

Anklageren dokumenterede billede i bilag M-1-5-2, ekstrakt 7, side 56 (foto af tiltalte ved anholdelsen i Cambodia).

Tiltalte forklarede vedrørende billedet, at han havde det ok på daværende tidspunkt.

Anklageren dokumenterede billede i bilag M-1-5-2, ekstrakt 7, side 60 (foto af tiltaltes soveværelse i forbindelse med ransagningen i Cambodia).

Tiltalte forklarede vedrørende billedet, at det var det soveværelse, han benyttede. Lejligheden havde to soveværelser. Den computer, man kan se i baggrunden til højre, er en MacBook Pro. Han ved ikke, om skærmen på bordet var koblet op på MacBook’en. Det kan godt være, at han brugte skærmen, når han lå i sengen. Værelset er meget større, end det syner på billedet. Det, man kan se bag skærmen, er hans stationære computer. De to computere var sluttet sammen i et netværk med adgang til internettet. Begge computere var lab-computere, som han brugte til udvikling.

Han husker ransagningen i Cambodia. Han ved ikke nøjagtigt, hvor skærmen var tilkoblet på det tidspunkt, men han mener, at den måske var tilkoblet hans tredje computer. Han er dog ikke sikker. Han havde også en HP 600-serie computer, som var temmelig ny, og som forsvandt i forbindelse med ransagningen. Han blev først klar over, at den var forsvundet lang tid efter under retssagen i Sverige.

Han antager, at nogle i det cambodianske politi blev fristet af en ny og temmelig dyr laptop. Der blev også stjålet nogetram-hukommelse fra den stationære computer. HP-computeren lå i et af soveværelserne, men han husker ikke med sikkerhed i hvilket. Han blev først klar over, at HP-computeren ikke var der, lige inden retssagen i Sverige.

Anklageren dokumenterede fra bilag S-1-3-3, ekstrakt 22, side 5 (afskrift af lydoptagelser fra den svenske retssag).

Tiltalte forklarede, at det først var under retssagen i Sverige, han blev klar over, at HP- computeren varvæk. Han fik først lige inden retssagen det svenske efterforskningsmateriale og blev derigennem klar over, at HP-computeren ikke fremgik af materialet. Ved afhøringerne hos det svenske politi var han gået ud fra, at der ikke var fundet noget af interesse på HP-computeren, og at det var derfor, den ikke blev nævnt. Ved afhøringen af Person 18 nævnte denne også specifikt, at tiltalte havde haft en HP-computer.

Anklageren dokumenterede frabilag M-1-41, ekstrakt 9, side 136-138 (ransagningsrapport af 30. august 2012).

Tiltalte forklarede, at han læser khmer-sproget på 3. klasse niveau, hvis det er

side 39

maskinskrevet. Det, der står på side 137 og 138, kan han ikke læse. Det er ham, der har skrevet under på rapporten, og det er også hans tommelfingeraftryk. Han følte sig presset til at skrive under, da de fem store cambodianske politifolk bad ham om det. Han skrev ikke under med sin sædvanlige underskrift for på den måde at give udtryk for, at han følte sig presset. Situationen var meget kaotisk, og han betvivler, at der var nogen, der læste papirerne op for ham. På videooptagelserne af ransagningen bliver der nævnt en HP.

Anklagerendokumenterede fra bilag M-1-2-1, ekstrakt 7, side 24 (overdragelseserklæring af 10. september 2012 af Tiltalte 1 fra de cambodianske myndigheder til det svenske politi).

Tiltalte forklarede, at det er første gang, han ser udleveringspapiret. Det er ikke ham, der har skrevet under.

Anklageren dokumenterede frabilag M-1-2-1, ekstrakt 7, side 25-28 (overdragelseserklæring af 6. september 2012 vedrørende effekter fra det cambodianske politi til det svenske politi). Tolken oplyste, at ”pärm” betyder ringbind eller mappe.

Tiltalte forklarede, at det er hans underskrift og tommelfingeraftryk på side 25. Han blev tvunget hertil af det cambodianske politi og fik ikke lov til at læse dokumenterne igennem først. Han skrev ikke under med sin sædvanlige underskrift. Han kan ikke huske præcist, hvem der var til stede, men han mener ikke, at de svenske betjente var der. Han husker ikke, om Person 19 var der, men det kan godt være. Han begyndte at gennemlæse papirerne, men blev så afbrudt af politiet.

Advokat Luise Høj oplyste, at det ikke bestrides, at der ikke kan ses en HP-computer på den redigerede video fra ransagningen, jf. ekstrakt 7, side 33 ff.

Anklageren dokumenterede fra bilag M-1-2-4-1, ekstrakt 7, side 52-53 (oversættelse af samtaler på khmer i forbindelse med anholdelsen og ransagningen den 30. august 2012).

Anklageren afspillede video optaget i forbindelse med overdragelsen den 6. september 2012 af effekter fra cambodiansk politi til svensk politi, bilag M-1-23 og M-1-23-1, jf. ekstrakt 8, side 37 ff.

Tiltalte forklarede, at han var bange og oprørt over situationen, og det var ikke hans første prioritet at se, om alle hans beslaglagte effekter var med på listen. Han havde følt sig truet af det cambodianske politi. Han ville ikke anklage det cambodianske politi for noget, da han var i deres varetægt i 2 uger, efter at effekterne blev overdraget til det svenske politi.

Der stod en svensk politimand bag ved ham, da han skrev under, men politimanden gik kort tid efter. Han havde ikke fundet anledning til at sige, at hans HP-computer manglede, da der kun var en liste over noget af det, der havde været i lejligheden. Det var ikke en komplet liste.

HP-computeren var hans personlige computer, men han anvendte også de andre computere i lejligheden. Person 18 har også fortalt politiet, at tiltalte havde en HP-computer. Tiltalte har ikke på noget tidspunkt hældt cola ud over denne HP-computer.

side 40

Tiltalte forklarede, at han kaldte MacBook’en Computer 1. Navnet kom fra en bog, hvor en af hovedpersonerne havde sådan et våben.

Anklageren dokumenterede fra bilag M-1-26, ekstrakt 8, side 46-49 (fotos af Computer 1 våben).

Tiltalte forklarede, at ordet kommer fra bogen Titel, hvor en hovedperson, som hedder Navn 2, havde sådan et våben som sin signatur.

Den stationære computer kaldte han Computer 2. Navnet kommer fra en anden bog, som hedder Navn 3 af Forfatter.

Anklageren dokumenterede fra bilag M-1-27, ekstrakt 8, side 52-53 (oplysninger om bogen Navn 3).

Tiltalte forklarede, at bogen handler om virtual reality og ikke har noget med hacking at gøre.

Anklageren dokumenterede fra bilag S-1-3-2, ekstrakt 21, side 2 ff og 31 ff (dom af 25. september 2013 fra Svea Hovrätt og anklagemyndighedens retsmødebegæring af 16. april 2013).

Sagen i Sverige endte med, at han blev frikendt for hacking af Bank 1's systemer. Man konstaterede, at hans computer var fjernstyret. Det kunne være sket på forskellige måder. Virksomhed 6-forholdet blev han dømt for. Det var en fejl. Den indtrængen, der skete i Virksomhed 6 i 2010, var ikke identisk med den indtrængning, der skete i 2012. Det foregik på samme måde som iBank 1 og Forurettede A/S. Tiltalepunktet burde være skilt ad. Han mener, at han blev uskyldigt dømt i Sverige, og han vil begære genoptagelse, når han kommer til Sverige.

Anklageren dokumenterede fra bilag S-1-5, ekstrakt 23, side 5 (udskrift af grundlovsforhør af 28. november 2013).

Tiltalte bekræftede, at det var den dato, han var blevet udleveret til Danmark.

Han brugte Program 12, som er en chatklient, som bruges til at chatte på IRC. Programmet downloades, og man kan chatte med både en eller flere. Han brugte det ofte i Cambodia.

Man kan maksimalt have 9 tegn i et nicknavn. I de fleste tilfælde er folks nicks i IRC lige så identificerbare som deres egne navne. Han har også brugt Tiltalte 1 som nicknavn.

Kaldenavn 8 er et af hans nicknavne. Det er en matematisk term for en retning i den fjerde dimension.

"Kaldenavn 9" er en sammentrækning af Gruppe 1. Dette nick har han også brugt sammen med andre.

side 41

Når der allerede er en "Kaldenavn 9" logget ind, bliver den næste bruger "Kaldenavn 10", og den næste bruger igen til "Kaldenavn 11".

Når der er flere, der kalder sig Kaldenavn 9, er det, fordi man tilhører gruppen Gruppe 1. Det kan også være, fordi man bruger chatklienten, der tilhører Gruppe 1, uden at man nødvendigvis er medlem af Gruppe 1. Chatklienten kan huske, hvilket brugernavn man har brugt tidligere. De er fem personer i Gruppe 1. Han har allerede oplyst nicks på et par stykker. Han ønsker ikke at oplyse navnene på personerne.

Han kender hjemmesiden Hjemmeside 5. Han ved ikke, om den stadig eksisterer. Han ved heller ikke, om gruppen stadig eksisterer. Domænet er registeret af en af hans bekendte. Navnet henviser til et af hans tidligere firmaer.

Anklageren dokumenterede fra bilag M-2-16, ekstrakt 12, side 92, 96 og 98 (registreringervedrørende domænet Hjemmeside 5 og selskabet Udenlandsk virksomhed).

Navn 4 handler om strukturer i krystaller. Det er ikke ham, der har navngivet gruppen. Det er en person, som hedder Person 20.

Det er rigtigt, at det er firmaet Udenlandsk virksomhed , der har registreret domænet. Firmaet er ejet af tiltalte og en amerikaner. Det er rigtigt, at selskabet er registreret i England. Det er rigtigt, at han repræsenterer virksomheden. Han er ikke direktør, men repræsentant for firmaet.

Ordene Udeladt og betyder en ny verdensorden. Det var et navn, han havde fundet på. Der var en henvisning til en bog.

Hans primære nicknavn var Kaldenavn 8, men han kaldte sig også Kaldenavn 9 sammen med andre.

Anklageren dokumenterede fra bilag M-2-14-1-1, ekstrakt 12, side 68 (chat af 30. december 2012 på IRC-kanalen #haxe).

Tiltalte bekræftede, at det er ham, der er på billedet. Grunden til, at det kun er ham, der er på billedet, er, at det kom fra en specifik kanal fra et specifikt netværk. Den kanal var beregnet til mennesker, der interesserede sig for programsproget Haxe.

Anklageren dokumenterede fra bilag M-2-14-1-1, ekstrakt 12, side 69 (chat af 12. februar 2013).

Tiltalte forklarede, at det her var en kanal, der havde 5-6 brugere, som diskuterede et meget maginalt programmeringssprog. Det var folk, der var meget interesserede i grafikudvikling.

"Kaldenavn 9"i chatten er tiltalte. Det er ham, der som "Kaldenavn 9"henviser til hjemmesiden Hjemmeside 5, som bruges til at downloade filer.

side 42

Anklageren dokumenterede fra bilag M-2-14-1-1, ekstrakt 12, side 70-71, og bilag M-2-14-1-1, ekstrakt 12, side 61 (chat af 15. januar 2013).

Tiltalte forklarede, at det er ham, der har skrevet brevet. Det kom fra en gruppe, der diskuterede et lille programmeringssprog, hvilket han var den eneste person i Gruppe 1, der var interesseret i.

Anklageren dokumenterede fra bilag M-2-14-1-1, ekstrakt 12, side 71 (chat af 2. januar 2011).

"Kaldenavn 12" er deltager i kanalen Haxe, og tiltalte hed "Kaldenavn 10" i chatten, da der allerede var en "Kaldenavn 9", der var logget ind. Han husker ikke hvem. Der var flere taster på hans computer, der var gået i stykker i 2011.

Anklageren dokumenterede fra bilag M-2-14-1-1, ekstrakt 12, side 71-72 (chat med "Kaldenavn 13" og "Kaldenavn 14" af 24. juli 2011).

Tiltalte forklarede, at det er muligt, at det var ham, der kaldte sig "Kaldenavn 9" i chatten, men han husker det ikke. Det kunne også være en anden i Gruppe 1, som boede i Cambodia.

Anklageren dokumenterede fra bilag M-2-14-1-1, ekstrakt 12, side 72 (chat af 25. og 26. juli 2011 med "Kaldenavn 15").

Tiltalte forklarede, at "Kaldenavn 16" er en forkortelse af Kaldenavn 8. Den "Kaldenavn 9", der skriver i chatten, er tiltalte.

Anklageren dokumenterede fra bilag M-2-14-1-1, ekstrakt 12, side 73 (chat af 11. august 2011 med "@noah").

Tiltalte forklarede, at det var ham, der var berømt for at være en af de få, der brugte sproget Haxe. Han ved ikke, om der var andre, der anvendte Kaldenavn 16 som nick. På svensk er Kaldenavn 16 et øgenavn for Navn 5.

Anklageren dokumenterede fra bilag M-2-14-1-1, ekstrakt 12, side 73 (chat af 13. juli 2011 med "Kaldenavn 17").

Tiltalte forklarede, at det er ham, der deltager i chatten som "Kaldenavn 10". Han ved ikke, hvem der er logget ind som "Kaldenavn 9". Det fungerer fint, at de er flere, der bruger "Kaldenavn 9", da det er forskellige steder, de benytter det.

Anklageren dokumenterede fra bilag M-2-14-1-1, ekstrakt 12, side 74 (IP-adresser med Kaldenavn 7).

Tiltalte forklarede, at "Kaldenavn 7" er et navn på en person og computer. Man tilgår IRC-klienten med det brugernavn, man vil bruge. "Kaldenavn 7" er navnet på den person, som har

side 43

dannet IRC-klienten. Hvis han har anvendt "Kaldenavn 7", er det ved en fejl, hvis han ikke har ændret log in, men bare har trykket connect.

Anklageren dokumenterede fra bilag M-2-14-1-1, ekstrakt 12, side 74 (chat af 2. januar 2001 med "indian" og "mapa").

Tiltalte forklarede, at chatten oprindeligt var på engelsk og svensk ved udskriften, og i oversættelsen kan man ikke se, at det engelske er kopieret ind. "Kaldenavn 7"er en kommando. Han husker ikke, om det er ham, der er "Kaldenavn 9" i denne chat.

Han blev nogle gange smidt af chatten, fordi han kaldte sig "Kaldenavn 9", og folk så ikke vidste, hvem det var, der blev skrevet med.

Anklageren dokumenterede fra bilag M-2-14-1-1, ekstrakt 12, side 74-75 (chat af 14. juli 2011 med "Kaldenavn 18").

Tiltalte forklarede, at det er ham, der er "Kaldenavn 9" i chatten. På den kanal, som han chattede på dagligt, havde man ikke genkendt ham som "Kaldenavn 9".

Anklageren dokumenterede fra bilag M-2-14-1-1, ekstrakt 12, side 75 (chat af 14. juli 2011 med blandt andre "Kaldenavn 19").

Tiltalte forklarede, at det er ham, der er "Kaldenavn 9" i chatten.

Anklageren dokumenterede fra bilag M-2-14-1-1, ekstrakt 12, side 76 (chat af 5. februar 2012 med "Kaldenavn 20" og "Profilnavn 3").

Tiltalte forklarede, at Kaldenavn 20 er en overfladisk bekendt, som hedder Person 21. Han har været kunde hos det firma, tiltalte engang havde i Stockholm

Profilnavn 3 er Person 22, som han har haft noget forretningssamarbejde med. De var internetleverandører sammen. De havde begge noget med Program 11 at gøre.

Anklageren dokumenterede fra bilag M-2-14-1-1, ekstrakt 12, side 76 (chat af 30. marts 2012 med "Kaldenavn 21").

Tiltalte forklarede, at "Kaldenavn 9" på dette tidspunkt er ham. Den person, der var opkoblet på dette tidspunkt, var ikke den samme, som var opkoblet syv timer tidligere. Tiltalte havde chattet fra MacBook’en.

Ud af de mange MB, der er fundet på hans computer, er denne korrespondance den eneste, der var fundet, der kunne henføres til tiltalte. Det var tiltalte, der var "Kaldenavn 9", men der var også 3-4 andre Kaldenavn 9'er, der var logget ind.

Anklageren dokumenterede fra bilag M-1-54, tillægsekstrakt I, side 118-122 (politirapport af 10. juni 2014 om chat log filen Lognavn).

side 44

Tiltalte forklarede, at Filnavn 3 var et kammeratteam, som har været sammen siden 1990'erne. Det havde ikke noget med hacking at gøre. FOAF betyder, "friend of a friend"(en ven af en ven). Da han kom ind på forummet som "Kaldenavn 9", kunne folk ikke genkende ham, og han blev smidt af. Det er sket nogle gange, at han er blevet smidt ud, fordi folk ikke har genkendt ham.

Tolken forklarede, at ”Halt” betyder ”jeg er med dig” . Der står, du må sige, hvem du er, hver gang du skifter stoffer.

Tiltalte forklarede, at han ikke husker den pågældende kommunikation. Det er ham, der er "Kaldenavn 10". Man kan se, at der allerede var en "Kaldenavn 9" logget ind, da han er logget ind som "Kaldenavn 10". Den første, der logger ind, får "Kaldenavn 9", og den næste får "Kaldenavn 10".

På advokat Luise Høys forespørgsel tilkendegav anklageren, at det ikke bestrides, at der kan været logget to ind med samme brugernavn, og at det derfor kan være rigtigt, at den ene bruger betegnes "Kaldenavn 9", mens den anden betegnes "Kaldenavn 10-".

Anklageren dokumenterede fra bilag M-1-54, tillægsekstrakt I, side 122 (uddrag af chatlog vedr. Hjemmeside 5)

Tiltalte forklarede, at han normalt kommer ind på den kanal som Kaldenavn 8 og ikke som "Kaldenavn 9". Det er ham, der har lavet henvisningen til "Hjemmeside 5".

Anklageren dokumenterede fra bilag M-1-54, tillægsekstrakt I, side 125 (uddrag af chatlog den 13. juli 2011).

Tiltalte forklarede, at han ikke husker, om det var ham, der havde skrevet det, som "Kaldenavn 9"havde skrevet. Det var et udbredt synspunkt.

Anklageren dokumenterede fra bilag M-1-54, tillægsekstrakt 1, side 125 (uddrag af chatlog af 4. august 2011).

Tiltalte har ikke bevidst brugt "Kaldenavn 22" som nicknavn. Han har brugt det ved en fejltagelse, hvis han har glemt at skifte nicknavn fra den tidligere brugere.

Anklageren dokumenterede fra bilag M-1-54, tillægsekstrakt I, side 125, nederst (uddrag af chatlog af 4. august 2011).

Tiltalte forklarede, at han ikke mener, at det er ham, der har skrevet som "Kaldenavn 9" her og bemærker, at der også her er to logget ind med Kaldenavn 9.

Anklageren dokumenterede fra bilag M-2-1-2-8, ekstrakt 10, side 268-269 og 271 (politirapport af 22. januar 2014 vedrørende Filnavn 2).

Tiltalte forklarede, at han også har set denne side på DR2. Det er ganske almindelig kendt, det er ikke en nørdet ting. Han husker ikke, om det er ham, der har lagt den der eller ej. Det kan være ham, men det kan også være andre, der har fjernbetjent hans

side 45

computer eller nogen, der har hacket hans computer. Hans computer har flere gange været hacket over flere år. Han har bedt politiet om at efterforske det, men det har politiet ikke gjort. Han er lidt interesseret i flysikkerhed, så det kan være derfor, den ligger der, men han ved det ikke.

Det er formentlig ikke ham, der henviser til billedet i chatten i tillægsekstrakt I, side 125, da han ikke er interesseret i mainframes.

Anklageren dokumenterede fra bilag M-1-54, tillægsekstrakt I, side 129 (uddrag af chats den 4. august 2011).

Tiltalte forklarede, at han ikke ved, om det er ham, der har skrevet som "Kaldenavn 9". Det er en joke, og den er blevet klippet ud af lange chats. Det er muligt, at det er ham, der har skrevet det. Det er humor, og det er svært at beskrive for udenforstående.

Anklageren dokumenterede fra tillægsekstrakt I, side 129 (uddrag af chat med "Profilnavn 3"den 5. januar 2011).

"Profilnavn 3" er formentlig Person 22. Tiltalte forklarede, at tiltalte her hedder "Kaldenavn 10-", da der er en anden logget ind med "Kaldenavn 9". Det er tiltalte, det drejer sig om.

Nicknavnet "Profilnavn 1" har han aldrig brugt og aldrig hørt tale om. Det er ikke muligt at have mellemrum i nicknavne.

Det er korrekt, at der var en krypteret container på hans MacBook. Han havde personligt ikke sat den op. Linket på skrivebordet var til TrueCrypt. Det link skabes automatisk. Han havde ikke kendskab til den inden anholdelsen, men han blev ikke overrasket, da han blev gjort opmærksom på den af politiet. Det er næsten, hvad man kan forvente. Det er meget almindeligt at have. Det er ikke nogen nyhed for ham, at computeren bliver benyttet af flere personer. Computeren har været fjernstyret. Det vidste han godt. Det har været lidt af en vits ved computeren.

Det er svært at sige, hvor mange der fjernstyrede den. Man skal bare bruge brugernavn og password til computeren, hvilket sagtens kan være givet videre til andre. Hvis man har brugernavn og password, kan man komme ind på alt, hvad der er på C:\, E:\ og F:\. Det var med vilje, han havde sat den op, så folk kunne fjernstyre den. Computeren blev brugt til projekter, som de arbejdede sammen om. Det er helt almindeligt. Det var medlemmerne i Gruppe 1, som kunne fjernstyre computeren. Han ønskede fortsat ikke at oplyse navnene på dem. iCloud er en lagringsservice og ikke beregnet til at udvikle eller teste programmer.

Han var lidt usikker på, om der var brug for et password eller brugernavn for at komme ind i den krypterede container. Det var F:\, der var en krypteret container. Han mener, at det var tilfældigt, at den var krypteret. Nogle gange, når han skulle gemme noget, gemte han det på F:\ i stedet for E:\ eller C:\. Det var et spørgsmål om, hvor der var ledig plads. Han har ved de lejligheder ikke reflekteret over, at det var en krypteret container. Det så ikke anderledes ud end det andet, når han lagrede på computeren. Man har ikke brug for

side 46

et password eller brugernavn, når man skal gemme i den krypterede container. Det fungerede som alle andre enheder på computeren. Den er automatisk monteret, når man logger ind.

Han kendte ikke alle filerne i den krypterede container, fordi der var andre, der havde fjernstyret han computer. Filerne fra Forurettede A/S drejer sig om mellem 100-200 filer ud af de 245.000 filer, der lå der. Hans computer har været brugt til at hacke Forurettede A/S, men der har også været brugt andre computere.

Det er korrekt, at data fra Forurettede A/S har ligget på hans computer, men det er ikke ham, der har gjort det. Det er en, der har fjernstyret computeren. Han ved ikke, hvem det er. Han ved ikke, om det er nogen, der har haft almindelig adgang til computeren, eller om det er nogen, der har hacket hans computer.

Årsagen til, at der i begyndelsen af 2011 blev skabt en krypteret container, kender tiltalte ikke.Personen kunne måske være urolig for, at computeren blev stjålet. Til programudvikling og test var han nødt til at gemme oplysninger påcomputeren. Computeren har ikke været beregnet til at gemme data fra Forurettede A/S.

Politiet havde ikke spurgt om password til den krypterede container, men da det ikke var ham, der havde sat den op, kendte han det heller ikke. Han vidste slet ikke, om der var et password.

Uret i computeren er temmelig upålideligt, så det er svært at finde ud af, hvornår installationen af tingene har fundet sted. Navnet Computer 1 kommer fra MacBook installationen. Det kan være, at der er kopieret fra en anden computer, og en masse filer har fulgt med. Det er en anden person, der har sat computeren op til at være tilgængelig som lab-computer. Det kan være, at den person har kopieret det over fra en anden computer.

Oprindeligt kørte computeren i et Mac-program og fik senere installeret Windows. En MacBook er i dag i princippet en PC, så det er ikke usædvanligt, at den kører med Windows. Han brugte den først som sin private computer og senere som lab-computer. Det var fordi, de havde brug for en lab-computer, og han havde en tilovers. Han husker ikke den nøjagtige dato for, at den blev til en lab-computer, men det er 3-4 år siden, formentlig i 2011.

Det var tiltalte, der havde tilsluttet computerne med kabler i lejligheden. IP-adresser i Cambodia bliver dynamisk tildelt, men de ændres ikke særlig tit. Computerne kører med opdateringer af aktuelle IP-adresser. Hvis man skulle fjernbetjene en computer, gik man til den web-side, hvor den var tilsluttet eller tjekkede, hvor Gruppe 1 var koblet op på IRC. Man kan se, hvem der er koblet op fra internetudbyderen i Cambodia. Han var den eneste i Gruppe 1 med en lab-computer hos denne teleudbyder i Cambodia.

Han ved ikke, hvor mange gange computeren har været genstartet, for det kan også alene være fire-wall’en, der er genstartet. Computeren har haft nogle varme-og stabilitetsproblemer, og det er normalt, at den så starter op igen. En lab-computer behøver ikke at være særlig pålidelig. Det ligger lidt i begrebet. Den er sat op med en statisk IP-adresse og fungerer som fildelingstjeneste.

side 47

Tiltalte var på internettet via ejendommens fælles router. Det var tiltalte, der havde sat routeren op.

Det er rigtigt, at der er fundet chat’s, som han har deltaget i, der er gemt i den krypterede container, men der er ikke særlig mange filer der, der hidrører fra ham.

Mappen t001a i den krypterede container har han først fået kendskab til, efter han var blevet anholdt.

Anklageren dokumenterede fra bilag Q-29, ekstrakt 20, side 52, og fra bilag Q-7-1, ekstrakt 16, side 244 (erklæring af 6. marts 2014 fra Rigspolitiet og it-teknisk erklæring af 20. januar 2014 fra Rigspolitiet).

Tiltalte forklarede, at filnavnene ikke siger ham noget. Han vil gætte på, at der er havnet chat-logs i mup.i64 ved en fejl i systemet. Chatfilerne ligger ellers i F:\.

Filerne i Ascil må være lagt af en person, som har misbrugt computeren. Det er ikke ham, der har lagt filerne der. Det er enten en af de personer, som han ikke vil oplyse navnene på eller en, der har hacket computeren. Det er fysisk umuligt for ham at have skabt alle de filer, der ligger i den krypterede container. Det er for mange filer til, at det er muligt, at én person kan have skabt det.

Vedrørende cpr\cprapt.log-filerne, der blev fundet på hans computer, kender han ikke noget til dem. Programmet PuTTYer installeret af enten tiltalte eller andre. Det er et helt almindeligt program.

På forespørgsel fra vicestatsadvokat Advokat forklaret Tiltalte 1, at de to computere var opsat som lab-computere. Han havde selv sat Computer 2-computeren op. Computer 1-computeren havde han sat op sammen med en anden person. Det var personen med nicknavnet Kaldenavn 7, som havde været med til at sætte den op. Han ønsker ikke at oplyse navnet på Kaldenavn 7. Opsætningen af de to computere var baseret på, at computerne skulle kunne fjernbetjenes af personerne i Gruppe 1.

På Computer 2 var det SSH-programmet, man brugte til at fjernstyring. På Computer 1 var det et Program 13, der blev benyttet som fjernstyringsprogram. Det er indbygget i Windows. Det er et yderprogram, som benytter sig af en indbygget funktionalitet i Windows. Der var også en debugservice. Computer 1 var opdelt i virtuelle maskiner, så man kunne køre flere forskellige styresystemer på samme computer, hvilket er praktisk i forbindelse med test og udvikling. De deler samme hukommelse.

De virtuelle systemer kan fjernstyres på forskellige måder, blandt andet via SSH og remote desktop. Der har også været mange andre fjernstyringsprogrammer, som har været benyttet til forskellige specifikke formål.

Det er rigtigt, at det af den svenske dom fremgår, at der blev brugt Script 5, men

side 48

det er en fejl. Det var et eksempel, men det har ikke konkret været brugt på hans computere. Script 5 er et programmeringssprog, som anvendes til at programmere fjernstyringsprogrammer. Script 5 har muligt været brugt til fjernstyring af hans computer.

Script 5 kan kun køres i ram-hukommelsen. Han ved ikke, om de personer, som har installeret fjernstyringsprogrammerne, har anvendt Script 5. Han kan derfor ikke give konkrete eksempler på, hvor Script 5 har været anvendt til fjernstyring, men han har givet andre konkrete eksempler på fjernstyring.

Program 2-emulatoren er en mainframe-emulator for Program 6, hvor man kan øve sig, som var det en mainframe. Det er en af brugerne af computeren, der har installeret Program 2. Der er mange lignende emulatorer, blandt andet en, der hedder Box. Det er ikke tiltalte, som har installeret Program 2-emulatoren på computeren. Han har set, at Program 2 har kørt, men han har ikke reflekteret mere over det, da han ikke selv har anvendt det. Det er kun en af mange emulatorer, der har kørt.

Anklageren dokumenterede fra bilag M-1-62, tillægsekstrakt IV, side 23-24 (politirapport af 20. august 2014, vedr. Program 2 undervisning).

Tiltalte forklarede til spørgsmålet om 2 genveje til Program 2 på computerens skrivebord, at han ønsker oplyst, hvilken brugers skrivebord billedet viser. Hver bruger har sit eget skrivebord. Computeren har haft mindst 5 forskellige brugere og dermed 5 skriveborde. Der var ikke nogen brugerkode på den bruger på Computer 1, der hed Brugernavn 4. Computer 1 har flere forskellige brugerkonti. Han skal vide, hvilken brugerkonto billedet viser. Selv om han skulle have benyttet det skrivebord, og det har ligget på hans computer, så er de programmer ikke bemærkelsesværdige i sig selv, da det er helt almindelige programmer.

Vedrørende chat-filen fra den 13. og 14. februar 2012, forklarede tiltalte, at han ikke har noget at gøre med Profilnavn 1, og han har ikke hørt om Profilnavn 1 før i forbindelse med sagen. Der var ikke nogen i tiltaltes omgangskreds, der anvendte nicket. Profilnavn 1 kan i øvrigt ikke være et nicknavn, da der er mellemslag, og hvilket der ikke kan være i et nicknavn. Profilnavn 2 har han heller ikke hørt om før sagen her. Han har ikke deltaget i chatten.

Han kender Tiltalte 2 perifert, da de er i de samme interessekredse. Han kan ikke sige, om de har mødtes. De kan have løbet ind i hinanden ved en konference eller lignende. Han mener ikke, at han har mødt Tiltalte 2 i Cambodia, men han kan dog ikke udelukke, at han har truffet Tiltalte 2 gennem en fælles bekendt i Cambodia, men han ved det ikke.

Anklageren dokumenterede fra bilag M-2-1-1, ekstrakt 10, side 54 (politirapport af 15. maj 2013 om chat af 13. og 14. februar 2012) og fra bilag M-2-1-1-1, ekstrakt 10, side 57-58 og 61 (chat af 13. februar 2012).

Tiltalte forklarede, at det ikke er ham, der giver undervisning i, hvordan Program 2 fungerer. Det er ikke ham, der skriver som Profilnavn 1 i chatten. Det er en person, der benyttersig af hans computer. Det er heller ikke ham, der har henvist til

side 49

Hjemmeside 5. Der var adgang til Server på Computer 1. Server er en fælles filoploadning-service. Det er ikke ham, der har registreret domænet, men det er ham, der ejer det. Det hedder Gruppe 1.

Anklageren dokumenterede fra bilag M-2-1-1-1, ekstrakt 10, side 64 og 97 (politirapport af 13. september 2013 vedr. chat af 13. februar 2012).

Tiltalte forklarede, at han kender en svensker i Cambodia, der hedder Person 1. I den gruppe af svenskere, der bor i Cambodia, kender alle hinanden. Den chat, hvor han skrev, at han var den eneste svenske hacker i Cambodia, var en joke. Man skal se på konversationen som en helhed. Der er flere computerinteresserede personer i Cambodia, og Person 1 er en af dem. Der er også en svensk computervirksomhed i Cambodia. Tiltalte ved ikke, hvor Person 1 bor nu, men han boede i Phnom Penh på det tidspunkt.

Tiltalte forklarede, at han ikke kan svare på, om Tiltalte 2 har været med, når han mødte fælles bekendte i Cambodia. Person 1 kom ind imellem i tiltaltes lejlighed. Tiltalte kender, så vidt han ved, kun en svensker ved navn Person 1, der bor i Cambodia.

Anklageren dokumenterede fra bilag Q-8, ekstrakt 17, side 1 og 7 (politirapport af 21. januar 2014) og fra bilag U-8-2, ekstrakt 17, side 13 (politirapport af 4. januar 2014).

Advokat Michael Juul Eriksen dokumenterede fra bilag Q-8-1, ekstrakt 17, side 8-9 (politirapport af 11. oktober 2013).

Tiltalte forklarede, at det ikke var ham, der forsøgte at logge ind på FTP-serveren. Han kender Person 21 og har også chattet med ham.

Anklageren dokumenterede fra bilag M-2-1-2-9, ekstrakt 11, side 1 og 4 (politirapport af 24. januar 2014, chat den 9. marts 2012).

Tiltalte forklarede, at det er ikke ham, der er "Kaldenavn 10" i denne chat. Det er en "Kaldenavn 10", der skriver, fordi der er en "Kaldenavn 9" logget ind i forvejen. Den person, som logger ind først, får navnet "Kaldenavn 9", den næste "Kaldenavn 10" og den næste "Kaldenavn 11". Han har tidligere chattet under både Kaldenavn 10, Kaldenavn 11 og Kaldenavn 9.

Chatten kan desuden ikke dreje sig om Forurettede A/S. De spurgte Forurettede A/S, om de kørte revoke, og svaret var ja. Denne chat drejer sig nok om det danske infotorg.

Anklageren dokumenterede fra bilag M-2-1-1-1, ekstrakt 10, side 65 (politirapport af 13. september 2013, chat af 13. februar 2012).

Tiltalte forklarede, at han kender begrebet en Mips-laptop.

Udeladt er en teknisk fejlkode, når der er fejl i datahåndteringen. Tiltalte kender ikke en person, som bruger nicknavnet Kaldenavn 1. Det er rigtigt, at Vidne 4 benytter nicknavnet Kaldenavn 1. Tiltalte kender ikke Vidne 4. Han har truffet ham to gange. Den ene gang var i 45 sekunder. Den anden gang var under retssagen i Sverige. Vidne 4

side 50

er ikke en af hans venner. Tiltalte vidste godt, at Vidne 4 brugte Kaldenavn 1.

Vidne 4 er en meget kendt person, men tilhører ikke tiltaltes bekendtskabskreds. Det er næppe revolutionerende, at man nævner en meget kendt persons køb. Den anden, der nævnes i chatten, Person 23, er også en kendt computerperson.

Anklageren dokumenterede fra bilag M-1-28, ekstrakt 8, side 56-58 (politirapport af 8. april 2014, Twitter-kommunikation).

Person 24 er tiltaltes mor. Som tidligere forklaret kender han Person 1. Vidne 4 kender han ikke personligt.

I tweeten, gengivet på side 58, omtaler Vidne 4 ikke tiltalte som sin ven. Der er tale om et retweet af noget, som Person 1 har skrevet, og som Vidne 4 dermed linker til. Det er derfor, at der står retweetet af Person 1.

Anklageren dokumenterede fra bilag M-1-28, ekstrakt 8, side 60 (politirapport af 8. april 2014, Twitter-kommunikation).

Tiltalte forklarede, at Vidne 4's tweet også her var retweetet af Person 1.

Anklageren dokumenterede fra bilag M-1-28, ekstrakt 8, side 61-66 og 76 (politirapport af 8. april 2014, Twitter-kommunikation).

Tiltalte forklarede, at Vidne 4's tweets ikke siger noget om, at de skulle kende hinanden. Det siger også en del, at konversationen sker på Twitter og ikke i et privat forum.

Anklageren dokumenterede fra bilag M-2-1-1-1, ekstrakt 10, side 67 (politirapport af 13. september 2013, chat kl. 15.54.25ff).

Tiltalte forklarede, at Hjemmeside 5"er en fildelingstjeneste, som benyttes af medlemmerne i Gruppe 1. Han har selv henvist til den i andre sammenhænge, men det er ikke ham, der henviser til den i denne chat.

Anklageren dokumenterede fra bilag M-2-1-1-1, ekstrakt 10, side 70 (politirapport af 13. september 2013, chat kl. 18.42.47 ff).

Tiltalte forklarede, at det, som han blev dømt henholdsvis frifundet for i Sverige, ikke havde noget med svensk politi at gøre. Han har ikke kendskab til svensk politis opbygning.

Anklageren dokumenterede fra bilag M-2-1-1-1, ekstrakt 10, side 76 (politirapport af 13. september 2013, chat kl. 11.57.00 ff).

Tiltalte forklarede, at han er dømt for at have hacket infotorg.se i Sverige. Han erkendte

side 51

forholdet. Infotorg.se er en meget benyttet tjeneste i Sverige med mere end 200.000 brugere. Hvem som helst, som er gået ind på infotorg.se, kan få kendskab til software og åbningstider.

Anklageren dokumenterede fra bilag M-2-1-1-1, ekstrakt 10, side 77-78 (politirapport af 13. september 2013, chat kl. 12.03.31ff).

Tiltalte forklarede, at han personligt anvender Styresystem 1 og Windows, så det er ikke nogen synspunkter, han deler. Han ved ikke, hvem der har skrevet chatten.

Anklageren dokumenterede fra bilag M-2-1-1-1, ekstrakt 10, side 78 (politirapport af 13. september 2013, chat kl. 12.05.20ff).

Tiltalte forklarede, at han mener, at han opholdt sig i sin lejlighed i Cambodia i perioden 26. februar til 4. marts 2012.

Anklageren dokumenterede fra bilag M-2-1-1-1, ekstrakt 10, side 78 (politirapport af 13. september 2013, chat kl. 12.09.11ff).

Tiltalte forklarede, at det var helt normalt for medlemmer af Gruppe 1 at henvise til hjemmesiden, men det er ikke ham, der har gjort det her

Anklageren dokumenterede fra bilag M-2-1-1-1, ekstrakt 10, side 79 (politirapport af 13. september 2013, chat kl. 12.09.55ff og 12.14.28).

Tiltalte forklarede, at han sikkert har haft en laptop, der er gået i stykker. Ved ransagningen af hans lejlighed fandt man en kvittering og indpakningen til en 15 tommers laptop. Den MacBook, han har, er en 17 tommers. Det er ikke ham, der deltager i chatten, så det er ikke hans laptop, der tales om.

Det var som sagt helt normalt for medlemmer af Gruppe 1 at henvise til hjemmesiden, Hjemmeside 5, men det er ikke tiltalte, der gør det her.

Anklageren dokumenterede fra bilag M-2-1-1-1, ekstrakt 10, side 80-81 (politirapport af 13. september 2013, chat kl. 12.28.35ff).

Tiltalte forklarede, at det er korrekt, at en af de brugerkonti, som anvendes på hans computer er Brugernavn 4, men det er ikke ham, der har sat computeren op.

Han forstår dansk, i hvert fald efter at have siddet i dansk arrest i 10 måneder. Han forstod ikke så godt dansk inden da. Han begyndte at bruge internettet i 1994, hvor det blev kommercielt tilgængeligt i Sverige. I 1992 var han 7 eller 8 år gammel.

Anklageren dokumenterede fra bilag M-2-1-1-1, ekstrakt 10, side 90 (politirapport af 13. september 2013, chat kl. 13.28.13ff).

Anklageren dokumenterede fra bilag M-2-1-1, ekstrakt 10, side 90.

side 52

Tiltalte forklarede, at som han forstår det, svarer Spar til det danske CPR. Han har ikke haft planer om at slette sig selv i det svenske CPR. Det kan han ikke se nogen grund til, at han skulle gøre. Der står et sted, at Profilnavn 1 ikke findes i det svenske Spar.

Anklageren dokumenterede fra bilag Q-1, ekstrakt 16, side 3 (politirapport af 26. januar 2014).

Tiltalte bekræftede, at han blev anholdt den 30. august 2012.

Anklageren dokumenterede fra bilag Q-35, tillægsekstrakt II, side 149 (politirapport af 3. juli 2014).

Tiltalte forklarede, at han ikke ved, hvorfor hackingen stoppede. Det er teknisk forkert at tale om, hvornår angrebene på Forurettede A/S er ophørt. Bagdør 2 og 3 efterlader ikke nogen spor, når de bliver benyttet. Det korrekte er at sige, at den indtrængen, der blev begået fra hans computer, ophørte, da hans computer blev beslaglagt, og det er åbenlyst hvorfor. En anden mulighed er, at de personer, der havde benyttet hans computer, blev skræmt, da de fandt ud af, at tiltalte var blevet anholdt.

Anklageren dokumenterede fra bilag Q-13-1, ekstrakt 17, side 150 (politirapport af 30. oktober 2013), bilag Q-14, ekstrakt 17, side 160 (politirapport af 21. januar 2014) og bilag M-1-46, ekstrakt 9, side 167-168 (politirapport af 13. maj 2014) alle vedr. søgning i Schengenregistret.

Tiltalte forklarede vedrørende de søgninger, som fremgår af bilaget, at:

"Dato"er hans fødedato, som står på Wikipedia. "Navn 6" er en del af hans efternavn.

"Person 22" – Tiltalte kender Person 22. Han er lige så kendt som tiltalte, meget kendt.

"Nr. 2" og "Nr. 3" kan have relation til tiltalte eller Person 18, der er født samme dato.

"Nr. 4" og "Nr. 5" – Tiltalte er født i 1984, men det er der temmelig mange andre, der også er.

"Kaldenavn 23" – Person 25 er kendt i Sverige for at have været efterlyst i 10 års tid. Han er tidligere dømt for bedrageri.

Alle søgningerne har det til fælles, at de går på personer, som er kendt for at have været efterlyst.

Anklageren dokumenterede fra bilag M-1-46, ekstrakt 9, side 170 (politirapport af 13. maj 2014, søgning i Schengenregistret).

Tiltalte forklarede vedrørende de søgninger, som fremgår af bilaget, at:

side 53

"Kaldenavn 24" – Han vil formode, at der er tale om Person 26, som er kendt, fordi han på bare tæer løb fra tolden i Malmø.

"Kaldenavn 25" – Tiltalte har relation til Stockholm. Han er født der.

"Nr. 6" og "Nr. 7" siger ikke tiltalte noget.

Tiltalte blev dømt 1 års fængsel i Program 11-sagen, og han ”skyldte” afsoning i Sverige. Han vidste godt, at han var internationalt efterlyst. Det er derfor, han siger, at han er kendt forat være efterlyst. Han ved ikke noget om, hvem der er registreret i Schengenregisteret. Det er ikke ham, der har foretaget søgningerne. Det er åbenbart, at det er folk, der er interesserede i efterlyste svenskere. Det kan være en tilfældighed, at det er ham, der er flest søgninger på. De, der har søgt, har åbenbart ikke kendt hans pasnummer. Han kan sit gamle pasnummer udenad.

Forespurgt af advokat Luise Høj forklarede tiltalte, Tiltalte 1, at Ident oprindeligt er anvendt til identifikation af den brugerkonto, der anvendes. Man angiver ICR-klient og anvender ident eller brugernavn, når man installerer en chatklient. Den chatklient, der anvendes her, Program 12, anvender den mailadresse, man benytter. Det er kun et navn, man sender til chat-serveren. Når man installerer chatklienten, så oplyser man, hvilket brugernavn, man skal bruge.

Kaldenavn 7 er et nicknavn på en person og også et navn på personens computer. Det er den person, som oprindelig har opsat chat-klienten på hans computer.

TrueCrypt-containeren fandtes på F-drevet på hans computer. Det betyder, at man som på en almindelige harddisk har C-drev og E-drev, på tiltaltes computer også har F-drev. Når man har en fil, kan man også gemme den på C-drevet eller andre bogstavsdrev eller på et USB-stik.

Advokat Luise Høj fremlagde bilag med skærmbilledeprint.

Tiltalte forklarede, at det er sådan et billede, man ville kunne se, når man skal gemme en fil. Man skal ikke skrive password for at gemme.

Manbehøver kun skrive password til containeren første gang, man har startet computeren. Man bemærker ikke, at containeren er krypteret. Hvis ikke computeren har været genstartet, står containeren åben.

Der blev fundet 244.900 filer i containeren. Ud af dem er 100-200, måske 150 filer, relevante for denne sag.

Tiltalte har vidst, at han computer blev brugt. Det er helt umuligt at tjekke computeren for, hvad andre har gemt, alene i containeren var der jo 250.000 filer. De ligger i uorden og har mærkelige navne. Man er ikke berettiget til at kigge i andre brugeres filer, det alene er dataindtrængen.

side 54

Hjemmeside 5 henviser til, at det er en vis computer, normalt står der www. Serveren står hos Amazon i Japan. Servers hovedformål er at fungere som en filoploading-server. Hvis man har en fil, man vil dele med andre, lægger man den på Server og giver de andre linket til filen. De kan så give det videre til andre.

En lab-computer er temmelig ustabil. Man bruger den til test af forskellige ting, og den genstartes ofte. Når man har testet en ting på lab-computeren, kan det lægges på fx Server. Medlemmerne i Gruppe 1 brugte Server. Indlogningsoplysningerne lå på Computer 1. Hvem som helst, der havde adgang til Computer 1, havde adgang til Server.

De fleste hjemmetilslutninger benytter dynamiske IP-adresser. Man gør det for at spare IP-adresser, da der er mangel på dem. Da alle ikke er opkoblet samtidig, og alle har en unik IP-adresse, bliver man tildelt den næste dynamiske IP-adresse. Det er noget, man gør overalt i verden.

Ved NAT (Network Address Translation) kan man nøjes med en IP-adresse ud mod internettet, og der kan lægges underliggende IP-adresser bagved. De fleste hjemmetilslutninger giver kun en IP-adresse.

Der, hvor han boede i Cambodia, delte de en forbindelse. De havde kun en IP-adresse. Han havde konfigureret den specifikt for at kunne viderebefordre trafikken til hans servere. Dem, der boede i samme ejendom, havde samme IP-adresse, og det samme gjaldt for de besøgende i baren i underetagen. Det var routeren i ejendommen, der tildelte IP-adressen til computerne bagved.

Hvis han sad i sin lejlighed og genstartede sin computer, skete der ikke noget med IP-adressen, den ændredes kun, hvis man genstartede routeren. Tildeling af en ny dynamisk IP-adresse handler ikke om genstart af computeren, men om genstart af routeren. Selv om hans computer havde været genstartet mange gange, betød det ikke noget for IP-adressen.

Hvis man skal tilslutte sig tiltaltes computer via fjernstyring, skal man kende hans IP-adresse. Man kan tjekke IP-adressen i IRC, hvor Gruppe 1 er opkoblet, da den publicerer IP-adressen. Ellers kan man gå til en side på Server-serveren, hvor der hele tiden kører et program, der offentliggør de aktuelle IP-adresser. Det er ikke et problem at få adgang til serveren, selv om man har en dynamisk IP-adresse.

Det er lige så gammelt som hjemmeopkobling med IP-adresser. Når en ny i ejendommen blev tildelt en ny dynamisk IP-adresse, så blev den automatisk publiceret på Server. Det kunne vare nogle minutter, før den seneste IP-adresse blev publiceret på Server.

Advokat Luise Høj dokumenterede fra bilag Q-38, tillægsekstrakt II, side 212-213 (Resultater af undersøgelse af Vidne 4's bagdør).

Vedrørende forudsætning 1 forklarede tiltalte, at Script 5-fortolkeren var installeret på hans computer.

Vedrørende forudsætning 2 forklarede tiltalte, at de scripter pr. definition fungerer.

side 55

Vedrørende forudsætning 3 forklarede tiltalte, at der var tildelt adgang, det havde han selv gjort.

Vedrørende forudsætning 4 forklarede tiltalte, at man kan se, at der er givet adgang gennem firewall'en.

Vedrørende forudsætning 5 forklarede tiltalte, at IP-adressen som tidligere forklaret var kendt af udefrakommende personer.

Da alle fem forudsætninger var opfyldt, kunne hans computer fjernstyres. Der er ingen, der hævder, at det er det specifikke Script 5-program, der har været benyttet, men der har været benyttet Script 5-program.

Den computer, der er forsvundet, var hans personlige computer, og den han brugte mest. Når hansad og arbejdede med grafikudvikling, gemte han det på sin personlige computer. Han benyttede ofte to computere parallelt; dels en lab-computer til test og dels sin personlige computer til at gemme arbejdet.

Advokat Luise Høj dokumenterede fra bilag Q-32, underbilag # 2, ekstrakt 20, side 93-109 (supplerende erklæring af 6. maj 2014).

Tiltalte forklarede, at kørslen viste en stor mængde virus og trojaner. Trojaner kan gøre to ting, der er relevant i denne sammenhæng. Dels kan udefra kommende personer få adgang til computeren via fjernstyring, og dels kan de gemme filer på computeren.

Af bilag Q-32, underbilag # 2, ekstrakt 20, side 108, ses, at der er kørt et program, der kan udnytte et hul i Java. Derved har administrator opnået fuld adgang til alt på computeren. Der er flere eksempler på det, også hvis man går tilbage til 2011.

Debug-serveren viser, at man sandsynligvis er gået til en web-side, som er mineret forsætligt, således at computeren hackes, når man går på den side.

Hvis hans computer havde været Ground Zero for hackingen af Forurettede A/S, ville man have set hver aktivitet på Forurettede A/S på hans computer, men det mønster ser man ikke. Alle downloadede filer fra Forurettede A/S ville også være på hans computer, men det er ikke tilfældet. Man kan se, at hans computer er brugt ved noget, men ikke alt.

Istedet er hans computer en af flere andre, der har været misbrugt ved denne indtrængen. Hvis man ser på de filer, der ligger på hans computer, så er det kun en lille brøkdel af det, der er downloadet fra Forurettede A/S. I webserveren kan man se, at der skiftes mellem at benytte computere i Tyskland og Iran, en anden computer i Cambodia og så hans computer.

Han tror, at han har haft mulighed for at lægge filer i den krypterede container, da passwordet til containeren formentlig har været det samme som til en af brugerkontiene på computeren. Det betyder, at når man har logget ind på computeren, har den automatisk angivet passwordet for at logge ind på computeren og i containeren. Der kan

side 56

være gode tekniske årsager hertil.

Der har været omtrent 5 brugerkonti på hans Computer 1. Det betyder ikke nødvendigvis, at der har været 5 personer bag.

Tiltalte 2 har forespurgt af senioranklager Anklager forklaret, at han er 21 år. Han har ikke nogen formel uddannelse. Han begyndte at beskæftige sig professionelt med it i 2010. Han vil betegne sine it-kundskaber som gode på nogle områder, specielt vedrørende hjemmesider og hjemmesidesikkerhed. Han har arbejdet med sikkerheds- og penetrationstests af hjemmesider i 2-2½ år.

Det består blandt andet i, at man skal tjekke, at man ikke kan hacke sig ind på hjemmesider. Han anvender i den forbindelse blandt andet C-Sharp og Program 10, der er Microsoft-produkter, og PHP. Han undersøger normalt ikke i den forbindelse, om der ligger kundedata offentligt tilgængeligt. Han har selv lært sig it-kundskaberne og deltaget i nogle konferencer, hvor han har lært en masse.

Capture The Flag er internationale it-konferencer, der bliver afholdt over alt i verden. Han har deltaget i en del af disse konferencer.

Han har rejst meget og også arbejdet i udlandet. Da han kom tilbage til Danmark, beskæftigede han sig med it for et amerikansk firma. Han oprettede et firma, der hed Virksomhed 7.

Anklageren dokumenterede fra bilag M-2-1-8, ekstrakt 11 side 23-24 (registreringsbevis fra SKAT).

Tiltalte forklarede, at Adresse 2 var hans adresse. Han boede hos sin mor. Mailadressen er den, han havde på daværende tidspunkt. Han har også haft andre e-mailadresser.

Han har før været lønarbejder, men fik så lyst til at starte firma, da det var den nemmeste måde at blive selvstændig på. Han beskæftigede sig fortsat med at lave sikkerhedstests. Han har også arbejdet med it i udlandet. Han har ikke arbejdet med it i USA, men han har arbejdet for et amerikansk firma

Anklageren dokumenterede fra bilag M-2-2-3, M-2-2-4 og M-2-2-5, ekstrakt 11, side 44-46 (breve fra Bank 2).

Tiltalte forklarede, at han har konto i Bank 2. Virksomhed 8 er et firma, han har udført noget arbejde for. Arbejdet bestod af tests og rådgivning. Han testede blandt andet, om man kunne hacke sig ind på deres hjemmesider, og om siderne var sikkerhedsmæssigt korrekt bygget op. Pengeoverførslerne er betaling for dette arbejde.

Han opholdt sig i Australien fra oktober 2011 til juli 2012.

Anklageren dokumenterede fra bilag M-2-1-5, ekstrakt 11, side 16 (politirapport af 22. maj 2013 om historiske adresseoplysninger).

side 57

Tiltalte forklarede, at det passer meget godt, at han udrejste i oktober 2010, men han kom tilbage til Danmark før. Han kom tilbage sommeren 2011. Han opholdt sig i Australien i ca. 9 måneder. Han havde fået et jobtilbud i Australien fra Virksomhed 9 med arbejdsopgaver, som han tidligere havde beskæftiget sig med. Han var blevet anbefalet af en kollega i det australske firma.

Anklageren dokumenterede fra bilag K-2-1-42, ekstrakt 4, side 184 ff (politirapport af 21.juni 2013 vedrørende indholdet af en iPod, herunder en rapport vedrørende penetrationstests af Bank 3)

Tiltalte forklarede, at det passede meget godt, at det var omkring den 14. juni 2011, at han havde udført arbejdet. Han havde udarbejdet rapporten sammen med ansatte fra Bank 3. Han var med til at lave penetrationstests, men han har ikke skrevet selve rapporten. Han var udlånt til banken i 3 måneder.

Penetrationstests går ud på, at man afgrænser nogle områder og prøver at finde huller i dem. Man prøver at hacke sig ind og kigger også efter andre fejl, der kan være med til at svække systemet. Man kan godt sige, at man leger hacker.

Han arbejdede for Virksomhed 2 i lige over et år fra 2010 til 2011. Noget af arbejdet bestod i det samme, som han tidligere havde beskæftiget sig med og noget af det var almindelige programmeringsopgaver og studenterarbejde. Først var han deltidsansat på timeløn, men de sidste to måneder var han fastansat.

Anklageren dokumenterede fra bilag P-2-11-2-2, ekstrakt 15, side 6 (mail med personalenyt fra Virksomhed 10)

Tiltalte forklarede vedrørende mailen fra den 31. august 2011 fra Person 27, at han var hans nærmeste chef i Virksomhed 10. DK-IT er den interne it-afdeling i Virksomhed 10, som hjælper med husets computere. Han mener, at han havde hjulpet med at fjerne nogle virus, men det ligger mange år tilbage, så han husker det ikke præcist. Han sagde selv op, fordi han havde fået tilbudt jobbet i Australien.

Anklageren dokumenterede fra bilag P-2-11-2-2, ekstrakt 15, side 9 (anbefaling af 27. september 2011 fra Virksomhed 10).

Tiltalte forklarede, at han ikke husker, om han selv havde bedt om en anbefaling, men det er meget muligt.

Han bliver kaldt meget andet end Tiltalte 2 blandt andet Kaldenavn 26, Kaldenavn 27, Kaldenavn 28 og mange andre ting.

Anklageren dokumenterede fra bilag P-2-11-2-13, ekstrakt 15, side 30 (e-mail af 9. august 2012 fra E-mailadresse 19).

Tiltalteforklarede, at det er det firma, han har udført arbejdet for i USA

side 58

(Includesecurity). Mailen er fra et tidspunkt, inden han blev ansat. De talte om, hvorvidt han skulle ansættes. Web Application Penetration testing går ud på at prøve at finde fejl og se, om der er noget galt med applikationen fra et sikkerhedsperspektiv. Man vil normalt ikke prøve at hacke hele hjemmesiden, men en del af hjemmesiden. Man tester kun bestemte ting, fx noget nyt, og en rigtig hacker vil nok gøre det på en anden måde. Han blev efterfølgende ansat af firmaet.

Tiltalte ønsker ikke at udtale sig om, hvorvidt han kender Tiltalte 1. Han ønsker ikke at tale om andre personer her i retten og vil ikke svare på spørgsmål om det. Han vil ikke være en stikker, da han frygter repressalier.

De fleste, der arbejder med it, har hørt om Tiltalte 1, og det havde tiltalte også inden retssagen.

Tiltalte har været i Cambodia.

Forevist kopi af pas fundet på hans bopæl, bilag M-2-10-1, ekstrakt 11, side 143, forklarede tiltalte, at det er rigtigt, at han var i Cambodia fra den 11. december 2010 til den 22. december 2010 og fra den 29. februar 2012 til den 6. marts 2012. Han var der på ferie. Han kendte nogen i Cambodia. Da han var der i 2012, kendte han Person 1. Han husker ikke, om han vidste, at Person 1 og Tiltalte 1 kendte hinanden.

Han havde mødt Person 1 i Göteborg. Person 1 interesserer sig også for it. Han husker ikke, om han kendte Person 1 i 2010. I 2012 boede han i et værelse ved siden af Person 1 på et guesthouse i Cambodia. Det svarer til et vandrerhjem. Tiltalte husker ikke, om de mødtes med Tiltalte 1, da han var der i 2012. Han husker ikke, om han har været i Tiltalte 1's lejlighed.

Det er meget muligt, at han har set Tiltalte 1 i Cambodia. Han kan godt se folk uden at kende dem. Han husker ikke, hvad de lavede i den uge, han besøgte Person 1, de har vel hængt ud.

Tiltalte bekræftede, at han på et tidspunkt brugte E-mailadresse 20

Anklageren dokumenterede fra bilag P-2-11-7, ekstrakt 15, side 113 (e-mail korrespondance fra E-mailadresse 20).

Tiltalte forklarede, at han går ud fra, at han har skrevet mailen. Person 28 er en ven. Han var enten i Danmark eller Sverige på det tidspunkt, men han tror i Danmark. Han ved ikke, om Person 28 er dansker eller svensker.

Den ven, som han havde røget pot med, var Person 1. Når han skrev "mødtes med en anden terrorist", var det en joke.

Han havde sin egen computer med, da han var i Australien. Han havde også sin egen computer med til Cambodia. Han havde den også med tilbage fra Cambodia.

Anklageren dokumenterede fra bilag P-2-11-8, tillægsekstrakt V, side 172 og 176 (politirapport af 4. september 2014 vedrørende mail om køb af pc).

side 59

Tiltalte forklarede, at han købte en bærbar computer i Australien. Gumtree er den australske Blå Avis. Han skulle have en ny computer, da begge hans computere var gået i stykker. Han havde haft en med til Australien, og han havde også købt en i Australien. Han havde en med til Cambodia. Den virkede ikke, da han kom tilbage fra Cambodia, da der vist var sket noget med skærmen under hjemrejsen. Han beholdt den beskadigede computer.

Han havde alle tre computere - også den beskadigede - med tilbage til Danmark. Den står nu på Person 29 kontor. I Australien arbejdede han fra en arbejdscomputer, som han havde fået udleveret. Det var hans private computer, der var gået i stykker. Han havde en computer, der virkede lidt, men man skulle holde på den, når den skulle lade op

Han havde hørt om Forurettede A/S inden denne sag. Der havde været en sag med nogle medarbejdere hos Forurettede A/S, der strejkede, og noget med en medarbejder, der begik hærværk mod deres systemer. Det interesserede han sig for, fordi han arbejdede med it og derfor interesserede sig for, hvad der skete i store it-virksomheder.

Anklageren dokumenterede fra bilag P-2-11-7, ekstrakt 15, side 105 (mail af 10. marts 2011).

Tiltalte forklarede, at han ikke husker at have skrevet mailen, men det har han nok. Det er en joke, at han har skrevet, at firmaet er ejet af CIA. Han kan ikke huske, hvad strejken gik ud på. ”Mainframe nørder" var, fordi Forurettede A/S arbejdede med mainframe. Det ved de fleste.

Mainframe var ikke noget, han havde beskæftiget sig med professionelt. Han kendte ikke rigtig til, hvordan de var opbygget. Han har ikke som sådan beskæftiget sig med IBM Program 1 mainframes.

Anklageren dokumenterede fra bilag P-2-11-7, ekstrakt 15, side 106.

Tiltalte forklarede, at det ser ud som om, det er en besked, der er sendt på Facebook. Han vidste ikke, at Forurettede A/S havde hovedsæde i Valby. Han deltog ikke i demonstrationen. Dehavde haft en stor diskussion om, at Person 30 ikke skulle invitere ham til fagforeningsting, der lå i hans arbejdstid. Han har tidligere deltaget i demonstrationer, hvor der kan have deltaget såkaldte autonome.

Han deler ikke de autonomes meninger om internationale selskaber, i så fald ville han ikke have arbejdet for sådan nogle virksomheder. Han har aldrig deltaget i en demonstration mod store firmaer eller mod McDonalds. Han husker ikke, hvad de demonstrationer, han deltog i, gik ud på.

Han havde talt med sine venner om Tiltalte 1's anholdelse. Det gjorde de tit i it-miljøet. Han interesserede sig for teknikken. Han ønsker ikke at udtale sig om, hvorvidt han havde en mening om, at Tiltalte 1 skulle igennem en retssag.

Anklageren dokumenterede fra bilag P-2-11-7, ekstrakt 15, side 114.

Tiltalte forklarede, at "Program 14" mailinglisten var oprettet af Person 31, der havde it-

side 60

programmet "Program 14". Han havde været på mailinglisten, men blev senere smidt ud. Han husker ikke, om han deltog i diskussionen om Tiltalte 1's anholdelse. Han husker ikke, om han havde set mailen, men han vidste det godt. Han har sikkert kommenteret på Tiltalte 1's anholdelse.

Han forklarede vedrørende nicknavnet "Kaldenavn 9" og "Gruppe 1", at han havde fået hjælp af en, der kaldte sig Kaldenavn 9, til noget programmering. Han ved ikke, hvem personen bag Kaldenavn 9 var. Han talte med vedkommende i et chatforum. Kaldenavn 9 hjalp ham med programmet Pixel Bender, der er et grafikprogram. Han husker ikke, hvornår det var, han fik hjælp til det. Han vidste ikke, hvem der gemte sig bag Kaldenavn 9. Det var en kort samtale, og det kom ikke op.

Han har tidligere chattet meget tilbage i 2011 og 2012. Han brugte mange forskellige chatfora. Han husker ikke lige hvilke. IRC har han anvendt. IRC dækker over et chatprogram og en chatprotokol. Det fungerer ved, at man har en server, som er et centralt punkt alle forbinder til. Man sender beskeder til alle, der er forbundet via serveren. Der er kanaler om forskellige emner. IRC er meget lig Messenger. IRC er et meget anvendt program specielt i lande med dårlig internetforbindelse, som fx Cambodia.

Anklageren dokumenterede fra bilag M-2-1-1-1, ekstrakt 10, side 58 og bilag M-2-1-1-2, ekstrakt 10, side 91.

Tiltalte forklarede, at han aldrig har kaldt sig "Profilnavn 2". Han har formentlig kaldt sig "Kaldenavn 26". Det er dog nok ham, der skriver. Han chattede med en person, der kaldte sig "Brugernavn 1" og ikke med en, der kaldte sig "Profilnavn 1". Nogen har ændret hans navn bagefter. På IRC kan man ikke have et navn med mellemrum, så det kan ikke lade sig gøre at kalde sig Profilnavn 2.

Nogle har formentlig kopieret chatten over i en Notebook og ændret navnene. Man kan ikke have et brugernavn med mellemrum i. Det kan ikke lade sig gøre med mellemrum i nicks'ene. Der er kun tale om en del af samtalen. Det er kopieret ind enten i Word eller i Notebook, og så er navnene skiftet ud med Profilnavn 2 og Profilnavn 1.

Han kender ikke navnet på "Brugernavn 1", men tiltalte har mødt ham personligt i Cambodia i 2010. Det er ikke Tiltalte 1, der er "Brugernavn 1", men en anden person i Cambodia. Tiltalte mødte "Brugernavn 1", da han var i Cambodia i 2010, men ikke, da han var i Cambodia i 2012.

Navnet, "Profilnavn 2", bryder han sig ikke om, da det lyder farligt. Begrebet "Udeladt" bruges, hvis et firma har været udsat for et angreb eller en trussel, som man ikke kan forklare.

Tiltalte var i Australien den 13.-14. februar 2012, hvor chatten foregik.

Anklageren dokumenterede fra bilag M-2-1-1-2, ekstrakt 10, side 97 (chat fra kl. 3.08.01 til 3.09.18).

Tiltalte forklarede, at Person 1 er Person 1. Tiltalte besøgte ham anden gang, han var i Cambodia. Han skriver, at "pppoe" internetforbindelse er fint nok. Han ved ikke, hvad der menes med "cool lets bring western civilization to its knees". Når han

side 61

skriver "sounds good", er det svar på den forudgående linje om pppoe- forbindelsen. Hele chatten er en række asynkrone svar.

Anklageren dokumenterede fra bilag M-2-1-1-1, ekstrakt 10, side 65 og bilag M-2-1-1-2, ekstrakt 10, side 98 (kl. 3:12:22).

Tiltalte forklarede, at "Kaldenavn 1" var Vidne 4. Han er en berømt person. Tiltalte har mødt ham en gang i Tyskland i 2013, hvor de hørte samme foredrag om it-sikkerhed. Vidne 4 er berømt for at være udvikler på Styresystem 3, som er et program til at omgå internetcensur. Det var det, tiltalte kendte ham for, og tiltalte fulgte ham på Twitter. Tiltalte har kun mødt Vidne 4 den ene gang i Tyskland.

Det med Program 2 var en joke, der handlede om, at man kunne køre fire forskellige slags computere inde i hinanden, og det kunne være sjovt. Han blev introduceret for Program 2 i chatten, men kendte det ikke tidligere. Han fik programmet forklaret i chatten og blev udstyret med en virtuel mainframe computer, så han kunne køre det på sin egen maskine. Han fik hjælp til at starte op og køre programmet og derpå til at logge ind. Han havde læst, at mainframes var meget sikre.

Han blev via en ven sat i kontakt med "Brugernavn 1" i 2010. "Brugernavn 1" havde sagt, at det var sjovere at arbejde på en rigtig mainframe og havde nævnt en TN3000 adresse til det. Tiltalte havde ikke før arbejdet med mainframes, men han synes, at alle computere var spændende, også MIPS.

Anklageren dokumenterede fra bilag M-2-1-1-1, ekstrakt 10, side 58 og bilag M-2-1-1-2, ekstrakt 10, side 91 (kl. 14:08:32 til 14:10:28).

Tiltalte forklarede, at han fik hjælp til at starte Program 2 og prøvede at forbinde til den. Det lykkedes ham at få Program 2 til at køre, men først senere i chatten.

Anklageren dokumenterede fra bilag M-2-1-1-1, ekstrakt 10, side 65 og bilag M-2-1-1-2, ekstrakt 10, side 98-99 (kl. 15:15:24).

Tiltalte forklarede, at ”fugly” i chatten kl. 15:16:21 betyder rodet. Der er to forskellige, som hedder Person 5. Person 4 kender han ikke. Han kender Person 5, og det er ham, han hentyder til i chatten. "Kaldenavn 2" er meget berømt - det er Kaldenavn 2, som skriver sikkerhedskoder til computere og er berømt indenfor it-verdenen. Han har ikke mødt Kaldenavn 2.

Anklageren dokumenterede fra bilag M-2-1-1-1, ekstrakt 10, side 67 og bilag M-2-1-1-2, ekstrakt 10, side 99 (kl. 15:28:31).

Tiltalte forklarede, at undervisningen i mainframes fortsætter her, og de snakker lidt om, at brugere fungerer på omvs. Tiltalte fik at vide, at mange brugere kan have det samme bruger-id på Program 1. Han har været vant til Styresystem 1. Det kører på forskellige niveauer med forskellige brugerrettigheder. Når der er to brugere på, kan den ene ikke læse den andens filer. RACF ved han nu, hvad er, men det vidste han ikke dengang. Det er et

side 62

serviceprogram, hvor man kan spørge, om en bruger har rettigheder til noget. De talte i chatten om forholdet mellem user-id og brugernavne. Tiltalte prøvede at forstå, hvad RACF var.

Anklageren dokumenterede fra bilag M-2-1-1-1, ekstrakt 10, side 67 og bilag M-2-1-1-2, ekstrakt 10, side 100 (kl. 15.54.25).

Tiltalte forklarede, at det handler om "tso" og ispf og har noget med Program 1 at gøre.

Anklageren dokumenterede fra bilag M-2-1-2-8, ekstrakt 10, side 268.

Tiltalte forklarede, at han sandsynligvis havde set siden fra Virksomhed 1. Når han skriver "lol @ Virksomhed 1" har han nok set den. Det er et eksempel på brugerinterface, når man logger på en brugerflade på en mainframe.

Når han skriver "pwning", betyder der "tage kontrol over", altså overtage kontrollen på administrators computer. Han ville ikke vide, hvad han skulle gøre derfra. Han øver sig samtidig med, at han gør det, så når Profilnavn 1 siger "prøve at gøre det", gør han det på sin egen computer. Profilnavn 1 siger, at man kan få adgang med 0-days, og tiltalte siger, at han ikke har de færdigheder.

Anklageren dokumenterede fra bilag M-2-1-1-1, ekstrakt 10, side 69-70 og bilag M-2-1-1-2, ekstrakt 10, side 103 (kl. 18:42:41).

Tiltalte forklarede, at han ikke præcis husker, hvilken artikel han henviste til, men han går ud fra, at det var noget på "http://v2.dk".

Anklageren dokumenterede fra bilag M-2-1-2-6, ekstrakt 10, side 237.

Tiltalte forklarede, at han ikke husker, om det var den artikel fra Version 2, han henviste til, men da den er skrevet samme dag, er det nok den. Den handlede om politiets setup. Det lød som om, det var en kompleks opsætning med Program 1 og Styresystem 2.

Når tiltalte skriver, at der skulle være oplysninger om politiets netværk, var det fordi, Profilnavn 1 havde tilbudt at hjælpe med at logge ind, og tiltalte fandt blandt andet artiklen, da han søgte om oplysninger. Politiet havde åbenbart deres systemer på adressen "Hjemmeside 25". Den adresse havde Profilnavn 1 henvist til tidligere i chatten.

Anklageren dokumenterede fra bilag M-2-1-1-1, ekstrakt 10, side 70 og bilag M-2-1-1-2, ekstrakt 10, side 103 (kl. 18:44:11).

Tiltalte forklarede, at han skrev, at danske it-folk måske havde for meget at lave, fordi det var der mange artikler om. "The inhouse ppm" var dem, der arbejdede for Forurettede A/S. Han skrev, at de var dumme, fordi han havde læst deres kommentarer på version2.dk. Han husker ikke, hvad de skrev.

Profilnavn 1 hentydede til svenske politi, når han skrev "police in. SE".

side 63

Det var nok en historie fra afdelingen, når han skrev om Virksomhed 10, men han husker det ikke. Han har aldrig arbejdet for politiet, heller ikke i Virksomhed 10. Det er 4 år siden, han havde været i Virksomhed 10, og han husker ikke, hvad historien gik ud på.

"Hjemmeside 8" var den adresse "Brugernavn 1" skrev om. Det var den, han nævnte til at logge på en mainframe i Danmark.

At Forurettede A/S plejede at være udbyder af it til staten, har tiltalte vel læst et sted. Chatten foregik efter, han havde fundet artiklen, hvor der stod, at Rigspolitiet brugte dem.

Anklageren dokumenterede fra bilag M-2-1-1-1, ekstrakt 10, side 70-71 og bilag M-2-1-1-2, ekstrakt 10, side 104 (kl. 18:50:11).

Tiltalte forklarede, at han skrev, at hvis man ville have adgang til Hjemmeside 10, skulle man anvendeIpswitch-serveren. Det havde han misforstået. Han skrev om anklagemyndigheden, politiet og justitsministeriet. Han troede, de alle sammen var hos Forurettede A/S, da han ville prøve at logge på Forurettede A/S' mainframe.

Softwares er en fejl i et program, som ikke er fikset, som man så kan benytte til at få adgang til en mainframe. De talte ikke om at få adgang til dansk politi, men til en Forurettede A/S mainframe. De talte om hacking. Tiltalte ville gerne se, om det var muligt at hacke en mainframe. Det var tilfældigt, at det var politiet, som var kunde. Han havde læst, at det var umuligt at hacke mainframes.

Han troede ikke på det, og da "Brugernavn 1" nævnte Forurettede A/S, begyndte han at se efter artikler om Forurettede A/S. Han ville gerne se, om det kunne lade sig gøre, men det kunne det ikke for "Brugernavn 1", og så døde den der.

Anklageren dokumenterede fra bilag M-2-1-1-1, ekstrakt 10, side 72 og bilag M-2-1-1-2, ekstrakt 10, side 105 (kl. 18:55:01).

Anklageren dokumenterede fra bilag Q-5, ekstrakt 16, side 47.

Tiltalte forklarede, at han ikke kendte noget til den tyske server med IP adresse 2. Vedrørende "server_ ADDR=IP adresse 3" forklarede tiltalte, at han godt vidste, at IP-adressen tilhørte Forurettede A/S, det gik han ud fra, når Profilnavn 1 skrev sådan. "Environ" er nogle indstillinger til et program på Program 6. Det er lidt kringlet at forklare. Tiltalte jokede så med Script 1, som er noget man havde på computere for 20 år siden, og en fejl man også havde for 20 år siden.

Anklageren dokumenterede fra bilag M-2-1-1-1, ekstrakt 10, side 76 og bilag M-2-1-1-2, ekstrakt 10, side 106 (kl. 18:56:28).

Tiltalte forklarede, at "E-mailadresse 1" er en e-mailadresse. Administratoren kalder sig tit for root. Det er en joke, hvor han joker med "skynd dig at skrive til webmasteren". Det ville være sjovt, fordi man så ville kunne få adgang til det på den måde.

Anklageren dokumenterede fra bilag M-2-1-1-1, ekstrakt 10, side 73 og bilag M-2-1-1-2, ekstrakt 10, side 106 (kl. 05:39:28).

side 64

Tiltalte forklarede, at det drejer sig om Forurettede A/S. Profilnavn 1 skal vise, man kan skaffe sig adgang til Forurettede A/S..

Når der står "Brugernavn 1:" skyldes det, at tiltalte har trykket på tab-knappen. Så skriver den navnet på den, der sidst har chattet og et kolon.

For det meste chattede tiltalte under navnet Kaldenavn 26. Tiltalte ved ikke, hvem der har ændret det. Tiltalte går ud fra, det er "Brugernavn 1", da det er ham, tiltalte har chatten med. Man kan også se, at chatten ikke ligner de andre chat-logs, der er fundet. Der kan være mange, der har ændret på den og placeret den, der hvor den blev fundet. Der var ikke nogen, der havde spurgt ham, om de måtte kalde ham Profilnavn 2. Han blev først klar over det, da han så chatten i forbindelse med denne sag.

Anklageren dokumenterede fra bilag M-2-1-1-1, ekstrakt 10, side 75 og bilag M-2-1-1-2, ekstrakt 10, side 109 (kl. 11:50:05).

Tiltalte forklarede, at det drejede sig om at prøve at logge på Hjemmeside 13. Det skulle man for at demonstrere, at man kunne logge på Program 1 og komme ind på Forurettede A/S' mainframe. Han går ud fra, at der har været noget med personens fødselsdatoer, siden han skrev "han er gammel". Person 6 var formentlig en fra Rigspolitiet. Det var noget, han havde fundet ved at google.

Det var offentlig tilgængelige oplysninger. Tiltalte ville se, om han kunne finde Person 6's kodeord i samme datasæt. Det skulle være i samme fil, han skulle finde det. Lidt senere viste det sig, at brugeren ikke fandtes, så de droppede det. "Pw" betyder password.

Anklageren dokumenterede fra bilag M-2-1-1-1, ekstrakt 10, side 76 og bilag M-2-1-1-2, ekstrakt 10, side 109 (kl. 11:51:18).

Tiltalte forklarede, at "infotorv" var noget Forurettede A/S havde. Det fremgik tidligere i chatten. Når tiltalte skrev, at han havde nogle gyldige brugere, var det fordi, han på Forurettede A/S' hjemmeside havde fundet nogle brugernavne til infotorv. Det var nogle, der var offentligt tilgængelige på hjemmesiden. Han vil tro, at han havde fundet noget med Statens Arkiver sammen med Forurettede A/S.

Hele konversationen drejede sig om oplysninger om Forurettede A/S' opbygning og netværk, og hvordan Profilnavn 1 kunne få adgang dertil. Tiltalte ville se, om det kunne lade sig gøre at få adgang til en mainframe, her Forurettede A/S' mainframe. For at skaffe sig adgang til Forurettede A/S' mainframe skulle man have et brugernavn. De prøvede at finde nogen dokumenter om, hvordan systemet var bygget op.

E-mailadresse 2" havde han fundet samme sted, som han fandt det med Person 6. Det kom fra samme fil. Han havde fundet det på Google. Han husker ikke, hvad han havde søgt på for at finde den, men nok noget med politi eller tjenestemand.

Han havde fået Adgangskode 1” fra samme fil. Han skrev ”idiot” , fordi det ikke var særlig sikkerhedsbevidst at bruge den kode.

side 65

Anklageren dokumenterede fra bilag M-2-1-1-1, ekstrakt 10, side 77 og bilag M-2-1-1-2, ekstrakt 10, side 111 (kl. 12:01:57).

Tiltalte forklarede, at han havde misforstået, hvad Profilnavn 1 skrev. Tiltalte skrev, at han ikke vil have sin browser forbundet til nogen, der hackede Program 1. Han var bange for, at der ville ske noget politimæssigt. Han ved ikke, hvad han mente med, at han ville ende i fængsel. Det er meget længe siden.

Advokat Michael Juul Eriksen dokumenterede fra bilag M-2-1-1-1, ekstrakt 10, side 110 (kl. 12.00.02)

Tiltalte forklarede, at han ikke kunne huske det, det er længe siden.

Han mener, at det kunne være meget sjovt at læse om, men han ville ikke være med til andet. Han ville ikke associeres med, at "Brugernavn 1" kunne vise, at han kunne hacke en mainframe, fx Forurettede A/S'. Han ville ikke være en del af det.

Anklageren dokumenterede fra bilag M-2-1-1-1, ekstrakt 10, side 78 og bilag M-2-1-1-2, ekstrakt 10, side 111 (kl. 12:04:36).

Tiltalte forklarede, at "fgrepping" er et værktøj, som man bruger til at søge i tekst. Han havde fundet nogle filer og ville søge efter adresser. Han prøvede at finde nogle brugernavne. Det var filer, der var offentlig tilgængelige, og som han havde hentet via Google. Det, han skrev omkring Cambodia, var, fordi han havde læst, at en amerikaner var blevet skudt i Cambodia, da han slog på en ministers bil.

Det var lige sket på det tidspunkt, og det var det, han hentydede til. Han ved ikke, hvad det drejede sig om, når Profilnavn 1 skrev ”just go for max destruction” . Det har ikke noget at gøre med det, de havde skrevet om tidligere med at hacke sig ind i mainframe.

Anklageren dokumenterede fra bilag M-2-1-1-1, ekstrakt 10, side 79 og bilag M-2-1-1-2, ekstrakt 10, side 112 (kl. 12:11:27).

Tiltalte forklarede, at han havde besøgt "Brugernavn 1" i Cambodia i 2010, og det var det, han henviste til.

Anklageren dokumenterede fra bilag M-2-1-1-1, ekstrakt 10, side 79-80 og bilag M-2-1-1-2, ekstrakt 10, side 113 (kl. 12:16:11).

Tiltalte forklarede, at det, der står kl. 12:16:11 om Person 9 var noget, der var kommet fra fgrepping søgningen. Det var offentligt tilgængelige oplysninger. Der var nogen, som havde lagt det på nettet, og så var det tilgængeligt via Google. Det skulle være politifolk, fordi de var tjenestemænd. Man skulle bruge et tjenestemandslogin for at få adgang til Forurettede A/S' mainframe.

Nårhan skrev "loggingbekendtgørelsen shit", var det, fordi man gemte adresseoplysninger på internettrafik i Danmark. Det er almindelig praksis, at man kigger efter forbindelser fra mærkelige lande, fx Cambodia, når nogen har forsøgt at logge ind.

side 66

Han sagde derfor til Profilnavn 1, at han nok skulle logge på et andet sted fra. Når han skrev "det gør ikke så meget", var det, fordi de bare lige skulle logge på og ikke andet.

Anklageren dokumenterede fra bilag M-2-1-1-1, ekstrakt 10, side 80 og bilag M-2-1-1-2, ekstrakt 10, side 114 (kl. 12:26:37).

Tiltalte forklarede, at når "Brugernavn 1" skriver: "LJS001 surely looks så RACFy" betyder det, at det var noget, han kunne bruge til at komme ind med. Det var en oplysning, som tiltalte gav Profilnavn 1, som ikke virkede. Tiltalte fortalte om ombygningen af e-mailadresser hos politiansatte. Det kendte han til, da han kunne se det, han havde fundet i filen. Han husker ikke, om han havde kendskab til opbygningen før søgningen. Han skrev om "Hjemmeside 9", fordi det var samme opbygning.

Anklageren dokumenterede fra bilag M-2-1-1-1, ekstrakt 10, side 83 og bilag M-2-1-1-2, ekstrakt 10, side 116-117 (kl. 12:44:56).

Tiltalte forklarede, at han mente, at han var ked af, at en sikkerhedsfejl var blevet fikset, før tiltalte tog en kopi af det. Det var sket, den gang han gik i folkeskolen. Det havde ikke noget at gøre med det, de ellers havde talt om, udover at det blev nævnt, at der var brugernavne, de kunne bruge. "sqli" var en sikkerhedsfejl, som han ikke havde fået udnyttet, før den blev lukket. Han husker ikke, hvad ”hosted cms "cloud” shit" gik ud på, eller hvad det med "coke.dk" gik ud på. "Brugernavn 7" havde tiltalte fundet på Forurettede A/S' hjemmeside og sat ind i chatten. Det er et brugernavn til Forurettede A/S' system.

Anklageren dokumenterede fra bilag Q-8-2, ekstrakt 17, side 13 (politirapport af 7. januar 2014 om login den 4. marts 2012 med Brugernavn 7).

Tiltalte forklarede, at han har set, at der kom mange ind den dag. Der var blevet brugt 50 andre brugernavne samtidig. De øvrige brugernavne kom ikke fra ham. De, der havde brugt dem, kunne jo lige så godt have fundet dem selv.

Anklageren dokumenterede fra bilag M-2-1-1-1, ekstrakt 10, side Nr. 5 og bilag M-2-1-1-2, ekstrakt 10, side 118 (kl. 12:53:25).

Tiltalte forklarede, at "Brugernavn 1" vel mener, at svenske Forurettede A/S har samme opbygning. Tiltalte skrev om PBS, fordi han var ved at kopiere brugervejledninger fra Forurettede A/S ind i chatten. PBS var nævnt der, og de skulle finde et brugernavn, der fungerede.

Anklageren dokumenterede fra bilag M-2-1-1-1, ekstrakt 10, side Nr. 5-85 og bilag M-2-1-1-2, ekstrakt 10, side 118 (kl. 12:55:45).

Tiltalte forklarede, at det er en fil, der er kopieret fra Forurettede A/S' hjemmeside. Han forstod ikke, hvad der stod, men det så spændende ud, og derfor satte han det ind der.

Anklageren dokumenterede fra bilag Q-8-2, ekstrakt 17, side 13 (forsøg på login i Forurettede A/S fra Cambodia).

side 67

Anklageren dokumenterede fra bilag M-2-1-1-1, ekstrakt 10, side 85 og bilag M-2-1-1-2, ekstrakt 10, side 119 (kl. 12:58:19).

Tiltalte forklarede, at det også er noget, han har kopieret ind fra Forurettede A/S' hjemmeside.

Anklageren dokumenterede fra bilag Q-8-2, ekstrakt 17, side 13.

Tiltalte forklarede, at han var i Cambodia den 3. marts 2012.

Anklageren dokumenterede fra bilag M-2-1-1-1, ekstrakt 10, side 86 og bilag M-2-1-1-2, ekstrakt 10, side 121 (kl. 13:04:24).

Tiltalte forklarede, at han går ud fra, at det er offentlige oplysninger. Det ligner kontaktoplysninger. Han postede det, da det var muligt, at e-mailadresserne var brugernavne og kunne bruges til at komme ind i Forurettede A/S' mainframe

Anklageren dokumenterede fra bilag M-2-1-1-2, ekstrakt 10, side 121 (kl. 01:09:22).

Tiltalte forklarede, at det afsnit med navne og tal også var fra fgrep, som er et program, man kan søge i tekstfiler med. Det var ikke en ny søgning, men det kørte i baggrunden, mens han chattede. Filen var offentligt tilgængelig. Wrx-kode er et brugernavn - ikke en kode - til Forurettede A/S' system. Det var også noget, der var fundet i filen. Det var oplysninger, der måske kunne bruges til at komme ind i Forurettede A/S' mainframe med.

Tiltalte forklarede om sin anholdelse, at han var på Østerbro hos en ven ved navn Person 32, da han blev anholdt. Tiltaltes internet virkede ikke, og da han vidste, at Person 32 arbejdede hjemme, tog han hjem til Person 32 for også at arbejde derfra. Udover tiltalte og Person 32 var Person 32's kone og en ven til stede i lejligheden. Han kendte ikke vennen.

Tiltale sad ved sin computer, da politiet kom ind i lejligheden. Pludselig stod en masse puds ud i rummet fra køkkenet, og i køkkendøren stod en stor mand. Der var en, der råbte "løb", og tiltalte løb ned ad trappen. Ude på gaden var der en, der pegede i retning af tiltalte og råbte: "det er ham", og tiltalte blev endnu mere bange og løb ned ad vejen.

Der var en, der hoppede ud foran ham med en peberspray, og han så, at det var politiet og blev lettet og lagde sig ned på jorden. Der var ingen, der sagde, at de skulle lukke op, inden døren blev slået ind, og personerne var ikke uniformerede. Han tog sin computer med sig, da han løb. Det var en Lenovo computer. Han ved ikke, hvorfor han tog den med sig, det hele gik meget hurtigt. Det var en refleks.

Lenovo computeren havde han købt i maj. Den var 3 uger gammel. Han havde købt den, da en anden computer var holdt op med at virke. Der var kode på computeren. Det hele var krypteret på computeren. Man kan ikke få adgang til data på computeren uden at kende passwordet.

Anklageren viste billede i ekstrakt 5, side 96.

Tiltalte forklarede, at han havde skakbrikken med SD-kortet i lommen, da han blev anholdt. Det havde han, fordi hans computer ikke kunne åbnes uden kortet. SD-kortet indeholdt en dekryptering af hans computer og skulle bruges for at komme ind. Det var

side 68

ham selv, der havde krypteret computeren. Han havde anvendt dmcrypt. Det er et standard krypteringsprogram. Han ved ikke, om det er et stærkt program. Det er et almindeligt krypteringsprogram. Alle krypteringer er svære at bryde, hvis man har en god nok kode.

Han har ikke ønsket at lade sig afhøre af politiet før i dag. Han ønskede heller ikke at afgive forklaring i grundlovsforhøret. Det er efter råd fra hans forsvarer, at han har ventet til i dag med at afgive forklaring.

Han har ikke ønsket at hjælpe politiet med at få adgang til sin computer. Det ser han ingen grund til. Der er ikke noget relateret til denne her sag på hans computer. Han har ikke ønsket at inddrage andre mennesker i sagen. Han kan ikke se, hvordan det skulle stille ham i en bedre situation, hvis han havde givet politiet adgang til sin computer. Der er ikke noget belastende på hans computer.

Han ønsker fortsat ikke at give politiet adgang til computeren. Han kan ikke huske, hvad der ligger på hans computer, og han vil ikke udsætte andre mennesker for politiets spørgsmål. Han vil ikke medvirke til offentliggørelse af bekendtes data. Han ville jo alligevel ikke være kommet ud af fængslet, selv om han havde givet politiet adgang til sin computer.

Anklageren dokumenterede fra bilag P-2-11-1, ekstrakt 14, side 121 og viste billeder fra ekstrakt 13, side 93.

Tiltalte forklarede vedrørende billederne af politifolk, at nogle af billederne er fra Ekstra Bladet, og andre billeder har han selv taget.

De dokumenter, der blev fundet fra den svenske retssag på hans computer, var sendt af en ven, Det var, fordi tiltalte interesserede sig for sagen mod Tiltalte 1 og Kaldenavn 20. Han kendte ikke Kaldenavn 20, men de havde fælles bekendte.

Filerne vedrørende Program 1 kan godt være nogle, han har downloadet. Det var, fordi de var spændende, og han var interesseret i opbygningen. Program 1 er et af de programmer, der bruges til at styre mainframes.

Anklageren dokumenterede fra ekstrakt 14, side 127.

Filerne vedrørende hacking har nogle sendt ham, eller det er noget han har downloadet. Han synes, at det er spændende med hacking og hackersager.

Forespurgt af sin forsvarer, advokat Michael Juul Eriksen, forklarede tiltalte, at han kender personen på ekstrakt 13, side 92, som er hans venindes kæreste. Der er også mange familiebilleder på computeren. Han interesserer sig for at tage billeder. Han har ogsåværet med i flere fotokonkurrencer, hvoraf han har vundet nogen, og har interesseret sig for det i mange år.

Forsvareren dokumenterede fra bilag M-2-1-2, ekstrakt 10, side 160 (kl. 2.:07:07).

Tiltalte forklarede, at chatten ikke startede sådan efter hans opfattelse. Der havde været

side 69

en længere samtale forud. Den handlede om mainframes, fordi han synes, at de var spændende og havde læst, at man ikke kunne hacke dem. Han vidste, at "Brugernavn 1" var mainframeekspert, og "Brugernavn 1" havde sagt, at man kunne installere Program 2 på sin egen computer, hvilket tiltalte prøvede, og som han fik hjælp til. "Brugernavn 1" fortalte, at man kunne gå på en rigtig mainframe. Det troede tiltalte ikke på, og så nævnte "Brugernavn 1" Forurettede A/S' mainframe. Når chatten er fundet to gange, er det, fordi den er blevet klippet ud af en chatfil og kopieret to gange. Der er også chat efter den fundne fil.

Forsvareren dokumenterede fra bilag M-2-1-2, ekstrakt 10, side 78 og 112 (kl. 12:06:50).

Tiltalte forklarede, at "Brugernavn 1:" er kommet ind i chatten, fordi der er trykket på tab. Så fremkommer navnet på den, der sidst har chattet. Det er derfor, man kan se, at det er "Brugernavn 1", han har chattet med. Det giver ingen mening, hvis han først havde skrevet "Brugernavn 1:", inden han skrev.

Forsvareren dokumenterede fra bilag M-2-1-2, ekstrakt 10, side 65 og side 132 (kl. 15:11:12).

Tiltalte forklarede, at PHP er et programmeringssprog. Det er ikke et brugbart værktøjer, hvis man skal hacke mainframes. Han vidste ikke, hvad han skulle gøre med det. Profilnavn 1 fortalte, at der findes PHP, der kan bruges i Program 1. Tiltalte havde tænkt, at han ville lave en Capture The Flag konkurrence med PHP.

Capture The Flag Challenge går ud på, at forskellige hold kæmper mod hinanden for at finde nogle fejl. Han har deltaget i mange af disse konkurrencer og vundet nogle af dem. Det har ikke umiddelbart noget med Program 1 at gøre. Sikkerhedsfirmaer har også deltagere med i disse konkurrencer, og nogle firmaer ansætter folk fra konkurrencerne. Han har fået flere jobtilbud, fordi han har været med i konkurrencerne.

Man kan kalde det paintball for nørder.

Forsvareren dokumenterede fra bilag M-2-1-2, ekstrakt 10, side 67 og side 135 (kl. 15:58:26).

Defcon er en stor konference, hvor der også spilles Capture the Flag.

Han har ikke arbejdet med mainframes professionelt. Det arbejde, han har udført, drejede sig om opsatte hjemmesider og ikke det bagvedliggende tekniske. Det havde ikke noget at gøre med mainframes. Der er færre, der arbejder med mainframes end med tiltaltes arbejdsområde. De tjener mere, så derfor var han interesseret i mainframes, fordi han gerne ville udvikle sig.

Forsvareren dokumenterede fra bilag M-2-1-2, ekstrakt 10, side 70 og side 137 (kl. 18:46:01).

Tiltalte forklarede, at "Brugernavn 1" havde nævnt adressen "Hjemmeside 8", og de gik begge to i gang med at finde ud af, hvordan Forurettede A/S havde sat det op, så de kunne finde nogle loginoplysninger. Det var nævnt i den del af chatten, som ikke er i sagen.

side 70

Forsvareren dokumenterede fra bilag M-2-1-2, ekstrakt 10, side 104 og side 138 (kl. 18:50:11).

Tiltalte forklarede, at han tolkede sit eget forslag om mailservere som komplet ubrugeligt. Softwares var et kendt begreb, og han vidste godt, hvad det betød. Han havde ikke nogen kvalifikationer til at finde sådanne ting.

Forsvareren dokumenterede fra bilag M-2-1-2, ekstrakt 10, side 62 og side 129 (kl. 14:52:24).

Tiltalte forklarede, at han spurgte, om det havde programmer, fordi han ikke vidste, om man kunne køre programmer på Program 1, eller om det bare var en service. Han spurgte, om det kørte på samme måde som Styresystem 1. Inden denne chat startede, vidste han ingenting om det overhovedet. Han fik en kopi af systemet og en kopi af Program 2, og han fik hjælp i chatten.

Han ville gerne se, om man kunne logge på Forurettede A/S, da han havde læst, at det var umuligt. Han prøvede at finde nogle brugernavne på Google. Han havde ikke forslag til andre måder at komme ind i systemet på. Det havde "Brugernavn 1", men det kom aldrig til at virke.

Forsvareren dokumenterede fra bilag M-2-1-2, ekstrakt 10, side 77 og side 110 (kl. 12:00:02).

Tiltalte forklarede, at Program 9 er en slags opslagstavle. Der ligger rigtig meget, og man kan downloade tekstfiler. Han har også downloadet tekstfiler derfra. Folk kan oploade ting og skrive ting. Han havde nok mange filer liggende på sin computer, der kom fra Program 9.

Tiltalte havde ikke lyst til at få sin browser forbundet til noget med Program 1-hacking. Han vidste ikke, hvad der var på linket, men det så mærkeligt ud. Profilnavn 1 forklarede, at det var Program 9-tekst, men det var fint nok at være paranoid. Han ville ikke forbindes med login på en mainframe. Der var ikke tale om at downloade ting fra Forurettede A/S eller ændre og slette ting hos Forurettede A/S. Det var ikke noget, der lå indenfor rækkevidden af det, han synes skulle ske.

Forsvareren dokumenterede fra bilag M-2-1-2, ekstrakt 10, side 75 og side 108 (kl. 11:48:50).

Tiltalte forklarede, at "E-mailadresse 2" var noget, han havde fundet via fgrip. Det var noget, der lå på en fil på hans egen computer. Det var fra samme fil som alt det andet. Det kom fra Program 9. Passwordet var vel til det system, som var blevet lagt op på Program 9. Han vidste ikke, hvor det passede til. Kodeordet virkede ikke, og det gjorde de andre heller ikke. Det var ikke noget, der virkede til Forurettede A/S-serveren, men det kunne være, det havde virket et andet sted.

Forsvareren dokumenterede fra bilag Q-8-2, ekstrakt 17, side 13.

side 71

Tiltalte forklarede, at han var afrejst fra Cambodia før den 9. marts 2012.

Forsvareren dokumenterede fra bilag Q-8-1, ekstrakt 17, side 11.

Tiltalte forklarede, at de andre brugernavne ikke siger ham noget. De tre, han nævnte i chatten i februar, havde han fundet ved at google på fx Forurettede A/S og nogle mainframe-ord.

Forsvareren dokumenterede fra bilag Q-23, ekstrakt 18, side 41.

Tiltalte forklarede, at han ikke havde været koblet på net-udbyderen Cogetel Hvis han var på nettet under sin tur til Cambodia, var det enten på flyveren eller fra Person 1's hotel.

Forsvareren dokumenterede fra bilag P-2-11-6, ekstrakt 15, side 73.

Forsvareren dokumenterede fra bilag P-2-11-6, ekstrakt 15, side 95.

Tiltalte forklarede, at det ikke siger ham noget, men han kan se på tidspunktet, at han må have været på hotellet.

Forsvareren dokumenterede fra bilag P-2-11-7-1, ekstrakt 15, side 119.

Tiltalte forklarede, at det mailen viste tiden i Australien, da computeren var sat op til det. Han havde siddet på sit værelse på Person 1's hotel og skrevet mailen. De røg en masse pot.

Forsvareren dokumenterede fra bilag Q-8, ekstrakt 17, side 7.

Tiltalte forklarede, at han ikke havde hentet nogle filer fra infodata.se. Han havde ikke forsøgt at logge ind med nogle af brugernavne i Forurettede A/S. Han tror ikke, han har siddet sammen nogle i Cambodia, der har forsøgt at logge ind.

Person 1's' kæreste arbejdede på Arbejdsplads, der ligger, hvor Tiltalte 1 boede. Han vidste godt, at Tiltalte 1 var der, men Tiltalte 1 var ikke en, han hang ud med. Han kan ikke sige, om han har mødt Tiltalte 1.

Han tog tilbage til Australien den 6. marts efter at have været i Cambodia og blev i Australien til sommeren 2012.

Forsvareren dokumenterede fra bilag Q-22, ekstrakt 18, side 8.

Tiltalte har ikke haft noget at gøre med, at nogle i april 2012 udnyttede en sårbarhed til at få adgang til Forurettede A/S. Han tror ikke, man kan bruge brugernavne til at udnytte denne sårbarhed. Han ved ikke, om det er den person, han chattede med, der har hacket Forurettede A/S. Han har ikke haft chats eller lignende med nogen om Forurettede A/S efterfølgende.

Det var meningen, at "Brugernavn 1" skulle skrive, når tiltalte var i Cambodia, men det gjorde han ikke. Da tiltalte kom tilbage til Australien, interesserede han sig ikke mere for Forurettede A/S. Han var ikke bekendt med hackingen af Forurettede A/S, før politiet anholdt ham.

side 72

Forespurgt af anklageren forklarede tiltalte, at han har deltaget i Capture The Flag konkurrencer i teams. Han husker ikke, hvem han har deltaget sammen med eller navne på nogen teams.

Anklageren afspillede rumaflytning, bilag M-2-52, gengivet i ekstrakt 13, side 47-48 (rumaflytning fra kl. 13:22, 13:24 og 13:25).

Anklageren afspillede rumaflytning, bilag M-2-52, gengivet i ekstrakt13, side 72 (rumaflytning den 23. november 2013 kl. 18:07)

Tiltalte forklarede, at det er ham, der er på aflytningen. I den første samtale er det en, der hedder Person 31, som også sad fængslet sammen med tiltalte. Den anden person kan han ikke høre, hvem er.

I den første samtale talte han om anholdelsen, fordi den havde været meget chokerende. Han vidste godt, at det var svært at bryde krypteringen på hans computer. Det var politiet, der havde nævnt, at det kunne være, de ville sende computeren til USA. NSA er en efterretningstjeneste i USA.

Forespurgt af sin forsvarer forklarede tiltalte, at manualen til at hacke Program 1 systemer var lagt på hans computer i perioden omkring sagen mod Tiltalte 1 og Kaldenavn 20 i Sverige. Det kan være, det var derfor, han havde lagt den der. Det var ikke en manual, han havde, da han chattede i februar 2012.

Det, der er anført i chatten fra kl. 12:45:11(ekstrakt 10, side 116) vedrørende "sqli"drejede sig om en mindre fejl på en hjemmeside. Han havde fundet en fejl, men det havde ikke noget med hacking eller mainframes at gøre.

Den computer, som politiet har beslaglagt, og som er krypteret, havde han købt ca. 3 uger før sin anholdelse.

Filsystemet hedder ext4. Det er almindeligt på Styresystem 1. Det er installeret dagen før, han blev anholdt, fordi han var ved at sætte computeren op. Ved installationen af CUBES overskrives, hvad der lå der før. Det overskrevne ligger der imidlertid stadig. Harddisken er overskrevet med vilkårlige data.

Forevist bilag M-2-1-1-2, ekstrakt 10, side 112 (kl. 12:07:58), forklarede tiltalte, at han ikke ved, hvad Profilnavn 1 henviser til med ”.se material” . Han går ud fra, at det er svenske database listninger. Han har ikke været i besiddelse af noget materiale, der har med Virksomhed 6-sagen at gøre.

Vidne 4 har forespurgt af advokat Luise Høj forklaret, at han arbejder som journalist i Tyskland, hvor han afslører statshemmeligheder, primært vedrørende Cyper-kriminalitet og internetspionage. Han arbejder også med akademisk forskning inden for undersøgelse af computeres hukommelse mv., kryptologi og sikkerhedsforanstaltninger. For tiden er han tilknyttet et universitet i Tyskland, og han har tidligere arbejdet for Washington University.

side 73

Han har også arbejdet med Styresystem 3-projektet, som er finansieret af Sida og det amerikanske udenrigsministerium. Han har arbejdet på et Projekt", som har vundet flere priser. Det bruges af politimyndigheder til at samle beviser fra mistænktes computere for at give et realistisk billede af, hvordan computerne var, da de var i brug. Det har særligt fokus på dekryptering.

Han mener ikke, at hans arbejde har sat officielle standarder, men det har øget mulighederne for, hvad man kan trække ud af computere. Målet med projektet var at finde en metode til at udtrække hukommelsesdata fra computeren, hvilket man ikke tidligere mente var muligt. De fandt en metode til at "fryse" computerens RAM, uanset om den var krypteret eller ej.

Man kunne herved overføre data fra en computer til en anden og derved aflæse dem. Hvis man ikke har en fuldstændig afspejling af hukommelsen, er det nærmest umuligt at vide, hvad der er foregået i computeren på et bestemt tidspunkt. Det problem ville de gerne løse, så der ikke var tvivl om de oplysninger, der blev udtrukket.

Han blev involveret i den svenske retssag, da Tiltalte 1's mor bad ham om hjælp. Han har ikke talt længere med Tiltalte 1, end han har talt med anklageren i denne sag lige uden for retssalen. Tiltalte 1 er ikke kendt for at være en venlig fyr. Han er ikke særlig tilnærmelig, og de gange, vidnet tilfældigt har set Tiltalte 1, har det været ved foredrag om computersikkerhed.

Han har tweetet om, at han gerne ville komme til Danmark og fortælle, hvad han mente om sagen. Han mener, at svensk politi i den svenske sag har begået en række alvorlige fejl, som det er nødvendigt at få korrigeret. Han mener, at der blev dækket over problemerne hos svensk politi og ved domstolene. Han mener, at det er så alvorligt, at han har pligt til at blande sig.

Fjernstyring af computere kan ske på flere måder. I denne sag har man kunnet kontrollere computerens CPU fuldstændigt. Der er ikke kun tale om fildeling, men også tale om, at man har adgang til andre services blandt andet således, at man kan ændre computerens opsætning.

Foreholdt fra bilag Q-21, ekstrakt 17, side 198 (politirapport af 14. januar 2014).

Vidnet forklarede om opdelingen af fjernstyring i en terminal og en grafisk type, at det er en stor oversimplificering af mulighederne for fjernkontrol. Den er meget generel og handler alene om lovlig/legitim fjernstyring.

Vidnet mener, at PET i Danmark er de mest avancerede på verdensplan med hensyn til at hacke mistænktes computere, og det har de været siden 2002. Det udkommer der snart enrapport om. Det beskrives imidlertid ikke i denne sag, hvordan den danske efterretningstjeneste ville hacke en persons computer.

Han er ikke nogen ekspertefterforsker på dette område, men han mener dog, at en web-browser er som en flok Softwares, der flyver i formation. Web-browseren tillader andre typer angreb, hvis man har med en dygtig hacker at gøre. Det kan fx også ske via et link til en hackerkontrolleret host. Der findes andre etablerede metoder, som FBI og politiet i andre lande bruger, til at bryde ind i mistænktes computere.

side 74

Det er muligt at fjernstyre en computer uden at efterlade sig spor, fx kan man kontrollere en web-browser, hvis der åbnes et PDF-dokument, der aktiverer en virus, som ikke efterlader sig nogen spor. Det efterlader ikke en login-procedure, som man vil have brug for at rense. Det kan dog efterlade spor i netværket eller hukommelsen.

Det var derfor, de udviklede Projekt, således at man ville være i stand til at udtrække den slags oplysninger. I en computer er der ikke kun en, men flere forskellige enheder, som kommunikerer med hinanden. Fx har harddrevet sit eget operativsystem.

Hvis man gennemgår hukommelsen for den løbende brug af computeren, og man trykker på et link og åbner en webbrowser, vil vil det efterlade spor i RAM-hukommelsen eller på harddisken.

Han vil betegne tiltaltes Tiltalte 1's computer som et samlerobjekt. Den indeholder en hel samling af udnyttelsesmuligheder og sårbarheder, som han mener, er helt usete i forhold til nogen anden computer i verden. Hver gang denne computer genstartes, søger den automatisk kontakt til en anden computer i et lokalt netværk.

Foreholdt fra bilag M-1-19-2, ekstrakt 8, side 10 (politirapport af 6. marts 2014).

Vidnet forklarede, at han har set dokumenterne før. Dokumentet viser en firewall konfiguration. En firewall har normalt til formål at stoppe uautoriseret trafik ind og ud af netværket. Den firewall, som er beskrevet her, er fuldstændigt åben og gør det muligt for enhver at få adgang til og fra internettet og arbejde fra computeren.

Hvis han forstår det korrekt, så er det en debug, der gør det muligt for en programmør eller en hacker at gå ind og få fuld kontrol med computeren.

Foreholdt fra bilag M-1-19-2, ekstrakt 8, side 13 (bilag 1 til politirapport af 6. marts 2014).

Vidnet forklarede, at den sti er en Kernel Debugger, som vil tillade ændringer af programmer. Debug'eren bliver først brugt til at debugge et program, men mere vigtigt end det, kan den oprette forbindelse til andre debugger-servere. Det vil gøre det muligt at debugge operativsystemet.

Hvis et program kører på en computer, vil det tillade, at enhver skaber forbindelse til computeren, og enhver vil kunne styre, hvad der sker på computeren. Denne computer er så ubeskyttet og usikker, at den vil kompromittere sig selv. Hvis man fx tilsluttede computeren til netværket her i retten, ville den straks blive fjernet af it-personalet. Det er en såkaldt lab-computer.

Den ser ud til at være designet til at blive brugt af flere brugere til det, som de ønsker. Det er ikke en normal konfiguration. Den er designet til ikke at være sikker. Den er lavet til brug i forbindelse med udvikling. Hans egen computer har ikke en sådan opstilling. Det er ikke usædvanligt at have en computer, der deles, men man skal opmærksom på, at der er visse sikkerhedshensyn at tage i den forbindelse.

Foreholdt fra bilag M-1-19-2, ekstrakt 8, side 14 (bilag 1 til politirapport af 6. marts 2014).

side 75

Når han i den svenske sag nævnte "Script 5", var det, fordi forsvareren bragte dette emne op. Det er hans opfattelse, at dansk politi må have misfortolket hans udtalelser, fordi de har troet, at det var ham, der bragte emnet op. Men han har alene kommenteret på dette emne.

Foreholdt fra bilag Q-38, tillægsekstrakt II, side 210 (Rapport af 16. juni 2014 fra Center for Cybersikkerhed, "Resultatet af undersøgelse af Vidne 4 bagdør").

Han mener ikke, at det er en særlig omhyggelig skrevet overskrift eller rapport. Hans navn er stavet forkert, og han har ikke skrevet "bagdør". Det er ikke rigtigt, at det er hans "bagdør." Det er forkert at omtale det som en "bagdør", da det er et eksempel på kodeudførelser.

Foreholdt fra bilag Q-38, tillægsekstrakt II, side 212 (Rapport af 16. juni 2014 fra Center for Cybersikkerhed, "Resultatet af undersøgelse af Vidne 4 bagdør").

Vidnet forklarede, at rapporten ikke giver nogen mening. Han mener, at rapporten prøver at sætte ham i et dårligt lys og er skrevet af en person, som ikke ved, hvad vedkommende skriver om.

De fem betingelser, der nævnes for at fjernstyre via Script 5, er opfyldt på Tiltalte 1's computer.

Vedrørende betingelse nr. 3, der går ud på, at der skal være tildelt adgang i netværkets router og routerens firewall, forklarede vidnet, at firewallen netop tillader det. Betingelse nr. 4 er også opfyldt. Naturligvis skal betingelse nr. 5 være opfyldt.

Foreholdt fra bilag Q-32, ekstrakt 20, side 108 (underbilag # 3 til supplerende erklæring af 6. maj 2014 fra NITEC).

Han forklarede, at "[Expl]" betyder exploit. Uden adgang til selve filerne kan han ikke give en teknisk analyse. Computeren er fyldt med alle mulige "exploits", bagdøre, vira og alt muligt andet. Det var det, han mente, da han sagde, at Tiltalte 1 var en samler. Dermed ikke være sagt, at Tiltalte 1 har samlet alting selv. I det her tilfælde viser virusscanningen kun en lille del af billedet. Antivirusscannere er notorisk upålidelige. Et målrettet angreb kalder man "Udeladt".

"Psexe" er et program, der udfører koder. Det kan køre programmer på en anden computer ved fjernbetjening. Selvom han ikke er Windows ekspert, husker han det fra en gang, han var nødt til at bruge Windows. Den gang var det Styresystem 4, med det kan godt være, han tager fejl. Når fildeling er muligt, er det relevant at bruge Psexe. Tiltalte 1's computer var konfigureret til det.

Den havde fx en masse debugging-værktøjer og en åben firewall. Computeren oprettede automatisk forbindelse til en anden computer på netværket. Det ser ud som om, det var en lab-computer, som tillod mange forskellige at køre en masse forskelligt fra computeren. Man kan fx køre software, der ikke har nogen sårbarheder ved hjælp af en debugger.

Som han forstår Psexe og konfigurationen af de andre computere i netværket, så er det her et fuldt udrustet køkken klar til brug med helt

side 76

åbne døre. Computeren opretter forbindelse til en anden computer og sender en besked om, at "her er jeg, og jeg er klar til brug".

Foreholdt fra bilag Q-21, ekstrakt 17, side 199 (politirapport af 14. januar 2014 fra NITEC).

Han forklarede, at det er et problem, at undersøgelsen er foretaget på denne måde. For det første med hensyn til, hvem der har beviserne i hænde. Det er heller ikke anført, hvordan man har fået beviserne i hænde, og om man har brugt den rigtige metode til at hente informationerne fra harddisken.

Det svarer til, at man søger efter DNA-bevis på en trøje, der er blevet vasket, uden at tage hensyn til, at den er blevet vasket. Der er ikke oplysninger om forløbet. Politiet har alene undersøgt harddisken i en anden computer. De har ikke set på andre dele af computeren. En computer består af en række små computere, og de har kun undersøgt harddisken.

De har ikke undersøgt andre dele af computeren, hvor der også er data blandt andet på computerens firmware.

Foreholdt fra bilag Q-21, ekstrakt 17, side 200 (Politirapport af 14. januar 2014 fra NITEC).

Han forklarede, at der må have været installeret en "Open VPN Gui" på serveren. Det er et stykke software, som udfører den funktion, man beder den om, og det kan også fungere som en server. Firewall’en synes at tillade en åben VPN-server, men man har ikke konfigurationsfilen til at vise det. Der må have været et "pop up vindue", hvor det er blevet accepteret.

Forespurgt af anklageren, vicestatsadvokat Advokat, vedrørende fire programmer fundet i den krypterede container, forklarede vidnet, at programmerne her ikke har en fil-sti associeret. Firewall reglerne antyder, at den er installeret inde i programmet. Han kan ikke sige, om det har været nødvendigt at åbne den krypterede container for at installere VPN-klienten.

Nogle af de vira, der er fundet på Tiltalte 1's computer, kommer helt sikkert fra internettet, en af dem kommer fra en research-gruppe, som vidnet har forbindelse til, og som han ikke mener, at Tiltalte 1 er tilknyttet.

Foreholdt fra bilag Q-32, ekstrakt 20, side 99 (underbilag # 2 til supplerende erklæring af 6. maj 2014 fra NITEC).

Han kan ikke se vira, der er blevet lavet i lab-miljøet. Alt, der er fundet, er noget generelt, som et antivirus-program har fundet, fordi virusprogrammet kender det fra internettet. Han kan ikke se noget, der tyder på, at disse vira skulle være skabt på denne lab-computer. Han kan udelukke, at de fundne vira er lavet på lab-computeren, da antivirusprogrammet finder det, som er registreret før.

Vidnet forklarede, at han er amerikansk født. Han er 31 år, og han bor i Berlin i Tyskland.Han har forskellige adresser til forskellige formål. Han bor på Adresse 3 i Berlin. Han har ikke nogen formel uddannelse heller ikke som

side 77

journalist. Han har dog i Tyskland fået en pris for sin journalistik. Han er ikke den bedste, men han er dog bedre end dem, der har udarbejdet rapporterne i denne sag. Han har uddannet politifolk indenfor kriminaltekniske områder. Han har udført arbejde for Virksomhed 3.

Vidnet har aldrig arbejdet sammen med Tiltalte 1. Han har aldrig set bevis for, at Tiltalte 1 har arbejdet for Virksomhed 3.

Vidnet kender ikke Tiltalte 2, men han tror, at de begge har været til de samme computersikkerhedskonferencer. Begge de tiltalte ser bekendte ud, men han kender kun Tiltalte 1's navn.

Han kender til Person 1. Der er 80.000, der følger vidnet på Twitter, heriblandt Person 1 . Han tror, at det er Person 1, der har skrevet det eksempel på Script 5-koden, som nogle tror vidnet har skrevet. Han tror ikke, at han har mødt Person 1. Vidnet har aldrig været i Cambodia, hvor Person 1 vist bor. Vidnet møder en masse mennesker uden at kende deres navne. Han holder taler for omkring 10.000, og han taler med dem bagefter, men han kan ikke huske dem.

Person 24 er en ældre dame, som har bedt vidnet om at hjælpe Tiltalte 1. Det er via hende, at han fik forbindelse med Tiltalte 1's forsvarer i Sverige og senere vidnede i sagen. Han valgte at hjælpe, fordi han havde medfølelse med Person 24. Hans mål er en retfærdig rettergang for alle, også for dem, som lever i samfundets udkant.

Han har ikke nogen speciel sympati for Tiltalte 1, men for Tiltalte 1's mor.

Vidnet kender Person 33, der er stifter af Virksomhed 3. Han mener, at Person 33 kender Tiltalte 1. Der er mange, som mener, at "Kaldenavn 8" og Person 33 skal løslades. Han støtter op om "#free Kaldenavn 8". Person 33 er politisk flygtning. Vidnet har besøgt Person 33 for to år siden. Vidnet kender ikke Person 34 personligt, men han har interviewet ham flere gange. Vidnet er en af grundlæggerne af Virksomhed 11. Han ved ikke, om det er et hackerkollektiv. Han er associeret med gruppen "Gruppe 2". Han forstår ikke, at pressen skriver, det er et hackerkollektiv.

Han er bekendt med, at der i Tiltalte 1's appelsag i Sverige blev brugt et Script 5 som eksempel på, hvordan en computer kunne fjernstyres. Det var ikke ham, der havde nævnt eksemplet, men han kommenterede på det, da det blev forelagt af forsvareren, ligesom han kommenterede politirapporten.

Foreholdt fra bilag M-1-28-6, ekstrakt 8, side 102 (Comments on the Security Service Investigation of Remote Control Possibilities regarding seizure 2012-0201-BG25023-26 af Person 1).

Vidnet forklarede, at han tror, at han har set rapporten før, men det er ikke for nylig.

Foreholdt fra bilag M-1-28-6, ekstrakt 8, side 108 (Comments on the Security Service

side 78

Investigation of Remote Control Possibilities regarding seizure 2012-0201-BG25023-26 af Person 1).

Vidnet forklarede, at Script 5 var et af de eksempler, han gav i retten, og som Person 1 havde udarbejdet. Han tror ikke, at han har været i kontakt med Person 1 for at få det eksempel. Vidnet nævnte det som eksempel på fjernstyring af en computer. Han har ikke noget personligt forhold til Person 1.

Vidnet havde for nogle år siden g-mailet og tweetet vedrørende en MIPS-processor.

Han bruger nick'et " Kaldenavn 1", når han tweeter. Han bruger det også på IRC chat.

Vidnet mener, at Tiltalte 1 er politisk fange i Sverige på grund af den omfattende korruption, der er antydet i sagen hos den ledende efterforsker og dommerne i sagen samt de mystiske omstændigheder omkring Tiltalte 1's anholdelse i Cambodia. Han er ikke helt klar over motivationen bag den danske sag. Han kan ikke udelukke, at den danske sag er blevet påvirket af den svenske sag.

Anklageren dokumenterede fra bilag M-1-28, ekstrakt 8, side 56-58 (politirapport af 8. april 2014 angående kommunikation på Twitter).

Vidnet forklarede, at han ikke har retweetet, men at han havde kopieret teksten fra en artikel ”Overskrift". Han har derpå indsat linket til artiklen. Det er en normal måde på Twitter, hvis man vil vise et link uden at kommentere på det. Det er senere blevet retweetet af Person 1.

Anklageren dokumenterede fra bilag M-1-28, ekstrakt 8, side 59 (politirapport af 8. april 2014 angående kommunikation på Twitter).

Vidnet forklarede, at ”Person 33” var Person 33. Vidnet havde besøgt ham for omkring 2 år siden på Ecuadors ambassade.

Anklageren dokumenterede fra bilag M-1-28, ekstrakt 8, side 60 (politirapport af 8. april 2014 angående kommunikation på Twitter).

Vidnetforklarede, at han altid interesserer sig for en retfærdig rettergang og menneskerettigheder selv for personer, han ikke bryder sig om. Han ikke var en del af samtalen.

Anklageren dokumenterede fra bilag M-1-28, ekstrakt 8, side 61 og 99 (politirapport af 8. april 2014 angående kommunikation på Twitter).

Vidnet forklarede, at han ikke vil kalde sig selv computerhacker i den forstand, at han bryder ind i computere.

Retweetet er fordi, der er nogle, der har klikket på det, og så er det dukket op i deres

side 79

Twitter profil.

Det er ham, der har skrevet, at han kørte igennem det Obama-nedlukkede Stockholm for at afgive forklaring i sagen mod Kaldenavn 8.

Anklageren dokumenterede fra bilag M-1-28, ekstrakt 8, side 61-66 (politirapport af 8. april 2014 angående kommunikation på Twitter).

Vidnet forklarede, at han kommer fra et land med hemmelige retssager. Han lovpriser Sverige for at være i stand til at håndtere sagen i en åben retssag.

Anklageren dokumenterede fra bilag M-1-28, ekstrakt 8, side 71 og 73-74 (politirapport af 8. april 2014 angående kommunikation på Twitter).

Vidnet forklarede, at han ikke har drukket øl med Person 1, og han har heller ikke givet ham en high-five.

Anklageren dokumenterede fra bilag M-1-28, ekstrakt 8, side 75 (politirapport af 8. april 2014 angående kommunikation på Twitter).

Vidnet forklarede, at han har givet udtryk for, at Tiltalte 1 er politisk fange. Han er kommet i retten for at fortælle om de fejl, der er begået i Sverige. Han er kommet for at rette op på tekniske misforståelser.

Anklageren dokumenterede fra bilag M-1-28, ekstrakt 8, side 76 (politirapport af 8. april 2014 angående kommunikation på Twitter).

Forespurgt af advokat Luise Høj forklarede vidnet, at hvis han sad her i retten i dag og sagde noget forkert omkring det tekniske i denne sag, ville det have følelsesmæssige, sociale og arbejdsmæssige konsekvenser for ham.

Vidne 5, Rigspolitiet, har forklaret, at han har været ansat i politiet siden 1991. I 2003 begyndte han i NC3, og siden 2005 har han været beskæftiget med efterforskning i hacker-sager. Han har taget en master i computerscience fra et irsk universitet, og han har yderligere certificeringer indenfor it-sikkerhed.

Han har beskæftiget sig med denne sag, siden den blev indledt i Danmark. Da dansk politi kom ind i sagen, befandt Tiltalte 1's computere sig i Sverige i forbindelse med efterforskningen i Virksomhed 6-sagen. Vidnet har været i Stockholm to gange i forbindelse med sagen for at se på Tiltalte 1's computere. Vidnet og hans team har fordelt opgaverne i efterforskningsgruppen imellem sig.

I Stockholm havde de adgang til alle sikrede data på Tiltalte 1's computer. De så alt det materiale, der havde relation til Forurettede A/S, under deres besøg i Stockholm, og de fik det med hjem. De fik alene det materiale, der var relateret til Forurettede A/S.

De indhentede også materiale fra Forurettede A/S. Vidnet har været hos Forurettede A/S flere gange igennem forløbet for at hente data. De aftalte fra starten af efterforskningen med Forurettede A/S, hvad de skulle have udleveret. De fik afdækket, hvilke filer der var nødvendige, og dem har de

side 80

løbende fået udleveret. Det er politiet, der har bestemt, hvilke filer de ville have, og de filer, de har bedt om, har de fået udleveret fra Forurettede A/S. Vidnet har ikke spejlet filer. De bad fx om PuTTY-filer.

Anklageren dokumenterede fra bilag Q-1-1, tillægsekstrakt IV, side 54 (politirapport af 28. august 2014 fra NITEC).

Anklageren dokumenterede fra bilag Q-2, ekstrakt 16, side 35-36 (underbilag # 1-1 til politirapport af 26. februar 2012 fra NITEC).

Vidnet forklarede, at sagen indledtes hos dansk politi den 15. januar 2013 med en henvendelse fra svensk politi. Den blev først gennemgået den 26. februar 2013 af ressourcemæssige årsager.

Anklageren dokumenterede fra bilag Q-1-1, tillægsekstrakt IV, side 55 (politirapport af 28. august 2014 fra NITEC).

Vidnet forklarede, at PuTTY er et terminalbaseret program, der bruges til fjernbetjening af servere eller computere. En PuTTY-log viser, hvilke kommandoer der har været udført.

Anklageren dokumenterede fra bilag Q-1-1, tillægsekstrakt IV, side 55-56 (politirapport af 28. august 2014 fra NITEC).

Vidnet forklarede, at en IBM mainframe er en meget stor computer, der håndterer mange forskellige og komplekse systemer. På en IBM mainframe er der et styresystem udviklet af IBM, benævnt Program 1. Det svarer til fx Styresystem 4 på en almindelig computer. Der er dertil tilknyttet forskellige virtuelle miljøer, herunder et virtuelt Program 6, hvor der bliver hosted en web-server. Når man har brug for at tilgå mainframen, kan man gøre det ved at få forbindelse til web-serveren.

Kriminalregisteret ligger på en mainframe hos Forurettede A/S. Hvis en politimand på en politistation skal se i registeret, ligger der filer på webserveren, som viser hjemmesiden. Der ligger ikke følsomme data der. Der findes andre indgange til en mainframe, der ikke går gennem web-serveren. Det er en del af en mainframe, at der er en web-server på.

I perioden fra den 13. februar 2012 og frem til den 7. april 2012 var der forsøg på indtrængen hos Forurettede A/S fra en IP-adresse i Cambodia. Det lignede en form for rekognoscering eller et udforskende besøg. Det baserer vidnet på de filer, der var tilgået via webserveren. Webserver-loggen viser, hvem der har besøgt webserveren med deres IP-adresser, og hvilke sider de har været inde på. Det havde at gøre med selve den skete indtrængen.

Forespurgt af advokat Luise Høj forklarede vidnet, at loggen viser, hvilke IP-adresser, der har besøgt web-serveren.

Forespurgt af anklageren forklarede vidnet, at et script er en programkode, der fx står

side 81

anført i en fil, og så bliver de kommandoer, der er anført i filen, afviklet en for en. Et script er en måde få afviklet kommandoer på i den rigtige rækkefølge.

Under den indledende undersøgelse, der blev foretaget i samarbejde med Forurettede A/S, og af det materiale,de havde tilgængeligt, kunne de af PuTTY-loggen konstaterer, at gerningsmanden havde oprette et script; "Script 6". Der var et eksisterende script, som var oprettet af Forurettede A/S og hed "Script 7".

De to scripts var identiske på nær et ord i detoriginale script, "Script 8", som var ændret til "Script 9"i Script 6. Det gav gerningsmanden mulighed for atfå afviklet kommandoer på mainframen. Gerningsmanden kunne ved anvendelse af Script 6 skaffe sig adgang til mainframen. Senere hen viste det sig, at Script 6 var den første bagdør, som gerningsmanden havde skaffet sig adgang via.

Ud fra undersøgelserne vurderede de, at Script 6 var anvendt til at skaffe sig uberettiget adgang til mainframen 1818 gange i perioden 8. april 2012 til den 26. april 2012.

Anklageren dokumenterede fra bilag Q-1-1, tillægsekstrakt IV, side 56 (politirapport af 28. august 2014 fra NITEC).

Vidnet forklarede, at gerningsmanden lokalt på sin computer havde et script med navnet Script 10, som kunne anvendes til at uføre kommandoer ved at aktivere det lokale scriptog skaffe sig adgang til scriptet Script 6. Han havde automatiseret handlingerne og kunne vælge, om der skulle udføres kommandoer, eller om der skulle stjæles og udkopieres filer.

Script 6 er den bagdør, som de betegner som første bagdør. Den var gerningsmandens vej ind i mainframen. Script 10 er et lokalt script, gerningsmanden har liggende på sin computer, og gerningsmanden kan via det vælge at stjæle filer og kopiere dem ud på den offentlige mappe på webserveren eller stjæle hele biblioteker. Gerningsmanden anvendte scriptet til at automatisere sin adgang. Script 10 hjælper til, at gerningsmanden kan stjæle via Script 6.

Forespurgt af advokat Michael Juul Eriksen forklarede vidnet, at der er ændret i filen Script 6. Han husker ikke, hvornår det er sket, men det fremgår af undersøgelsen. Han kan kun sige, at filen er anvendt fra 8. april, og derfor må være fundet før denne dato.

Forespurgt af anklageren forklarede vidnet, at selve datasikringen hos Forurettede A/S foregik således, at de var to repræsentanter fra politiet, og de fordelte opgaverne imellem sig. Da filerne blev kendt på webserveren, besluttede man, at de skulle fjernes og afleveres til politiet. Det blev aftalt den 27. og 28. februar, hvordan filerne skulle sikres, opbevares og udleveres. Det var politiet, der bestemte, hvad der skulle udleveres.

Anklageren dokumenterede fra bilag Q-1-1, tillægsekstrakt IV, side 56-57 (politirapport af 28. august 2014 fra NITEC).

side 82

Vidnet forklarede, at den DVD, man afleverede til Forurettede A/S, indeholdt filer, som politiet vurderede var af relevans for Forurettede A/S at modtage til brug for Forurettede A/S' udarbejdelse af incident-rapport. Det var data, man havde fundet i Sverige, og som så ud til at stamme fra Forurettede A/S' mainframe. Den øvrige fremgangsmåde blev aftalt med Forurettede A/S. Der var match mellem det, man fandt på Tiltalte 1's computer, og det, man kunne finde på mainframen.

Anklageren dokumenterede fra bilag Q-1-1, tillægsekstrakt 4, side 57 (politirapport af 28. august 2014 fra NITEC).

Vidnet forklarede, at det var det svenske politi, der havde gjort opmærksom på, at den tyske server var interessant. Den havde været anvendt i Virksomhed 6-sagen, hvor der var stjålet dokumenter fundet på Tiltalte 1's computer. IP-adressen på serveren i Tyskland var IP adresse 2.

Da vidnet hos Forurettede A/S gjorde opmærksom på IP-adressen, aftalte de, at Forurettede A/S skulle finde ud af, på hvilke datoer adressen havde været anvendt i Forurettede A/S' systemer. IP-adressen findes i chatten som en remote IP-adresse. De mente, den havde været anvendt imod Forurettede A/S' server. IP-adressen optrådte i chatten mellem de to personer.

Der blev dokumenteret fra ekstrakt 10, side 72 og 105 (kl. 18:55:01) (politirapport af 13. september 2013 med chatfil-gennemgang).

Forespurgt af advokat Michael Juul Eriksen forklarede vidnet, at den tyske IP-adresse postes i chatten af Profilnavn 1 sammen med en række andre ting. Man har med sikkerhed kunnet konstatere, at der var overført stjålne dokumenter fra Forurettede A/S til den tyske IP-adresse. Man er nødt til at kigge på hver enkelt hentning af filer til IP-adressen, og i nogle tilfælde vil det være muligt at se, hvad filen indeholder. Det har de dokumenteret senere hen i forbindelse med gennemgang af data. De kan se, hvad nogle af filerne indeholder. Ved andre downloads af filer, kan de ikke se indholdet.

Forespurgt af advokat Luise Høj forklarede vidnet, at han ikke kan sige, om der er logget på den tyske IP-adresse fra Tiltalte 1's computer, men den er knyttet til Tiltalte 1's computer. Selve undersøgelsen er foretaget af en kollega.

Der blev taget en kopi af Script 6, som fandtes på Forurettede A/S' mainframe. Det skete ved, at indholdet af filen af gerningsmanden blev kopieret over til en fil, der bliver døbt Script 6. Gerningsmanden har i forbindelse med sin uberettigede adgang haft mulighed for at liste filer og få adgang til at se indholdet af Script 6. Ved at udnytte den ukendte sårbarhed fik gerningsmanden mulighed for at skaffe sig adgang til Script 6. Det er sket via en Software exploit. Gerningsmanden har derved fået adgang til mainframen. IBM er aldrig kommet med en fuld beskrivelse af sårbarheden.

Forespurgt af advokat Michael Juul Eriksen forklarede vidnet, at gerningsmanden fik sin uberettigede adgang ved at udnytte en eksisterende sårbarhed, og på den måde havde mulighed for at skaffe sig adgang til mainframen og derfra liste indholdet af filer. Gerningsmanden har fundet Script 6 via udnyttelse af sårbarheden.

Anklageren dokumenterede fra bilag Q-1-1, tillægsekstrakt IV, side 57-59 (politirapport af 28. august 2014 fra NITEC).

side 83

Forespurgt af advokat Luise Høj forklarede vidnet, at det er ham, der har skrevet rapporten. Fundene vedrører Virksomhed 6-forholdet og muligvis også Bank 1-forholdet. Det er en anden, der har stået for det. Han er ikke med sikkerhed klar over, om der også er placeret filer fra Bank 1 der. I den samme mappe som CPR, er der filer fra Virksomhed 6-forholdet. Han har ikke reflekteret særligt over, at der var to forskellige forhold i den svenske sag. Det er korrekt, at når vidnet i rapporten skriver GSW, så mener han Tiltalte 1's computer.

Forespurgt af advokat Michael Juul Eriksen forklarede vidnet, at det er rigtigt, at det er ham, der har skrevet i en note, hvad en chat og nicks er. Det er en definition, han kan stå inde for. Det er ikke normalt, at folk logger ind med deres rigtige navne i chatten. Man bruger nicks i forbindelse med chats. PuTTY-logfiler er Windows programmer. Forurettede A/S kører ikke med Windows.

Anklageren dokumenterede fra bilag Q-1-1, tillægsekstrakt IV, side 57-59 (politirapport af 28. august 2014 fra NITEC).

Vidnet forklarede, at en krypteret container potentielt kan indeholde data. Uden rette password kan en krypteret container ikke tilgås, og man kan ikke se, hvilke data, der ligger. Det er svensk politi, der har gjort indholdet af den krypterede container tilgængeligt.

Det er ikke vidnet, der specifikt har undersøgt indholdet af den, men så vidt han ved, lå der vist over 40.000 mapper og over 200.000 filer i den krypterede container. Stjålne filer fra den danske og svenske sag blev fundet i samme mappe. Der var Virksomhed 6-og Forurettede A/S-filer blandet sammen i samme mappestruktur. De lå i en mappestruktur, hvor "cpr" indgik.

For atåbne den krypterede container behøver man formentlig ikke at sidde ved computeren. Man kan formentlig godt "automounte" den krypterede container ved login, men de har undersøgt konfigurationsfilerne og har ikke fundet spor af automount i relation til TrueCrypt-containeren. Det er ikke ham, der har udarbejdet undersøgelsen, men han har set rapporterne. Som han husker det, lå der en konfigurationsfil under brugeren ”administrator” og brugeren ”a” . Konfigurationsfilen indeholdt ikke en automount-funktion. Der lå ikke konfigurationsfiler til TrueCrypt-containeren under andre brugere på computeren.

En brugerkonto – fx Brugernavn 4 - kan bruges til at logge sig ind på den virtuelle mainframe, Program 2. Man skal kende brugernavn og password for den pågældende bruger. Han kan ikke huske helt præcist, hvad der blev fundet i TrueCrypt-containeren.

Anklageren dokumenterede fra bilag M-2-1-1-1, ekstrakt 10, side 72 (chat af 13. og 14. februar 2012).

Vidnet forklarede, at den IP-adresse, der henvises til, er den tyske IP-adresse. Det er kopieret tekst ind i forbindelse med chatten. Der henvises blandt andet til scriptet Script 2., som er aktiveret fra den tyske IP-adresse.

side 84

Det er muligt at have en chat, hvor der er mellemrum i nick-navnet, men det er der kun på ens egen computer. Hvis man anvender Program 8, kan navnene i chatten på ens egen computer omdannes fra det brugte navn til et hvilket som helst andet navn -også med mellemrum.Program 8 er også fundet på Tiltalte 1's computer.

Forespurgt af advokat Michael Juul Eriksen forklarede vidnet, at det ikke er muligt at logge på IRC-chat med et nicknavn med mellemrum. Hvis en af dem, der chatter, har Program 8-programmet, kan vedkommende på sin egen computer navngive den man chatter med som et navn med mellemrum. Andre personer i chatten kan ikke se, at deres nicks bliver ændret til andre navne.

Forespurgt af anklageren forklarede vidnet, at han ikke kan give nogen forklaring på, at chatten er kopieret ind to gange. Svensk politi har korrekt datasikret computerne, som blev fundet i Cambodia. I forbindelse med udlevering af materialet til dansk politi, har svensk politi kun udleveret de data, som ikke vedrørte tredjelande. Svensk politi har bevissikret computeren, og der er ikke ændret data.

Han er enig i, at det ser ud som om, at chatten er startet tidligere og sluttet senere, end hvad der fremgår af den fundne chatfil.

Det afhænger af opsætningen af chatklienten, hvorvidt en chat bliver logget. Nogle gange sker det automatisk, andre gange skal brugeren vælge at logge chatten. Han har ikke lavet en detaljeret undersøgelse af opsætningen vedrørende dette på Tiltalte 1's computer.

Ved søgning hos Forurettede A/S' web-log har man kunnet konstatere, at scriptet Script 2 henholdsvis den 13. og 14. februar 2012 er aktiveret tre og fire gange fra den tyske IP-adresse. Forurettede A/S og politiet har vurderet, at det var et led i rekognosceringen mod Forurettede A/S' mainframe.

Politiet har vurderet, at når den tyske IP-adresse har været koblet op mod Forurettede A/S fra chatten og til den 7. april 227 gange, så skyldes det, at gerningsmanden har været inde at kigge fra den tyske IP-adresse. Det er vidnets skøn, at det også var i forbindelse med rekognoscering.

Han har ikke selv beskrevet "Filnavn 2 i detaljer. Filen er nævnt i chatten og er også gemt på Tiltalte 1's computer. Filen skulle illustrere formatet af en fil på en mainframe.

Forespurgt af advokat Luise Høj forklarede vidnet, at de udfundne filer indgår i sagen, fordi de indeholder informationer om Forurettede A/S. Når man begynder efterforskningen i sådan en sag, indleder man ved at søge på nogle bestemte ord. Det er ikke ham, der har fundet chatfilen. Den har svensk politi gjort opmærksom på. Dansk politi udarbejdede egne ordlister, og søgte i de sikrede data og gennemgik de hits, som fremkom.

Da de var til møde i Stockholm med svensk politi, gjorde svensk politi opmærksom på, at den tyske IP adresse 2 havde været anvendt i den svenske sag. Den

side 85

samme IP-adresse optræder i Virksomhed 6's FTP-log ca. 500 gange i februar og marts 2012. De har ikke undersøgt, om IP-adressen har været anvendt i Bank 1-forholdet. Dansk politi har alene interesseret sig for indbruddet i Danmark. De konstaterede, at der havde været indbrud mod Virksomhed 6 og Forurettede A/S samtidig.

NC3 bistår politikredsene med det, som politikredsene beder dem om at efterforske. Han havde anmodet tysk politi om at få udleveret data om den tyske IP-adresse. Tysk politi kunne ikke hjælpe, da serveren bag IP-adressen var lukket ned. De har derfor koncentreret sig om at gennemgå de data, de havde fået udleveret af svensk politi i forbindelse med indbruddet hos Forurettede A/S.

De konstaterede, at der var sket indtrængen i Virksomhed 6 samtidig med, at der var forsøg på indtrængen i Forurettede A/S' FTP-server.

Der var over 200.000 filer i den krypterede container. Vidnet koncentrerede sig om chatfilen og seks PuTTY-filer. De øvrige filer så Vidne 6 på.

Vidnet har ansvaret for Forurettede A/S-undersøgelsen og har gennemgået log-filer og data fra Forurettede A/S sammen med Vidne 13. De sikrede data fra Tiltalte 1's computere er blevet undersøgt af Vidne 6. De filer, som Vidne 6 har udfundet, har Vidne 13 gennemgået. Vidne 14 har taget sig chatten. En yderligere person har taget sig af den manuelle gennemgang af Bash-history og PuTTY-logs. Vidnet har samlet samtlige informationer og skrevet hovedrapporten. Han har stået for de tekniske undersøgelser i forbindelse med logfiler fra Forurettede A/S. Han har tillige lavet remote-undersøgelsen af computeren oppe i Sverige.

TrueCrypt-containeren blev ikke automountet. Der eksisterer et antal brugere, og det er undersøgt for hver enkelt tilfælde, om der kunne automountes. Det kunne der ikke. Det er Vidne 6, der har forestået selve undersøgelsen.

De har ikke haft tid til at sætte sig ind i indbruddet hos Virksomhed 6 og Bank 1. De har blot bemærket et samtidigt sammenfald i forbindelse med anvendelse af den tyske IP-adresse i Virksomhed 6-forholdet og Forurettede A/S-forholdet.

Forespurgt af advokat Michael Juul Eriksen forklarede vidnet, at access-loggen logger alle besøg på Forurettede A/S' webserver. Hvis man besøger domænet, vil det blive registreret og kandække et almindeligt besøg på hjemmesiden. Man er dermed ikke inde på mainframen.

Den7. april 2012 fik gerningsmanden første gang adgang til mainframen. Rekognoscering kan godt have bestået i, at man alene har været inde på hjemmesiden.

Script 2 ligger på Forurettede A/S' server. Han har ikke sat sig ind i, hvad scriptet helt præcist gør. En access-log registrerer, hvilke ressourcer en besøgende aktiverer. Han kan ikke sige, hvad scriptet gør.

Der er foretaget 227 besøg på Forurettede A/S' web-server fra den tyske IP-adresse frem til den 7.

side 86

april 2012. De 180 besøg fandt sted den 13. og 14. februar 2012. Han kan ikke se, hvornår de øvrige 47 besøg har fundet sted i perioden frem til den 7. april 2012.

Hvis man forsøger at logge ind på FTP-serveren, bliver det registreret i en sagslog eller i en FTP-log. De 227 besøg fandt sted sted på webserveren, dvs. hjemmesiden.

Forespurgt af advokat Luise Høj forklarede vidnet, at han stået for kontakten til Forurettede A/S i relation til undersøgelsen, der blev foretaget hos Forurettede A/S. Det var ham, der havde ansvaret i samarbejde med ledelsen for, hvordan Forurettede A/S skulle håndtereundersøgelsen og det fremadrettede arbejde. I forbindelse med de indledende undersøgelser var Vidne 13 til stede, og de aftalte, hvad der skulle foretages fremadrettet.

Det var i dagene den 27. og 28. februar 2013, at de holdt de første møder med Forurettede A/S. De forklarede på møderne Forurettede A/S, hvad de skulle gøre, og efterfølgende indenfor kort tid udarbejdede de et undersøgelsestema, hvor de helt konkret beskrev, hvad undersøgelsen skulle afdække i forbindelse med Forurettede A/S' incidentrapport. Forurettede A/S fik besked på, at alt hvad der blev fundet af interesse skulle sikres, hvordan det skulle sikres, og hvordan det skulle afleveres til politiet. Det var vidnet, der havde ansvaret for denne del af undersøgelsen.

Forespurgt af advokat Michael Juul Eriksen og foreholdt fra chatten af 13. og 14. februar 2012 kl. 18.55.10 (ekstrakt 10, side 72) forklarede vidnet, at de listede oplysninger drejer sig om serveren og hjemmesidens opbygning. Selvom det ikke er normal brugeradfærd at interessere sig for den slags oplysninger, fx IP-adressen, er der tale om offentligt tilgængelige oplysninger. Politiet opfattede det som en rekognoscering af serveren.

Anklageren dokumenterede fra bilag Q-1-1, tillægsekstrakt IV, side 59-61 (politirapport af 28. august 2014 fra NITEC), bilag Q-8-1, ekstrakt 17, side 1, og bilag Q-8-2, ekstrakt 17, side 8-13.

Vidnet forklarede, at gerningsmanden har anvendt PuTTY-programmet, og på et tidspunkt under anvendelsen blev PuTTY-loggen slået til.

SEMBSN-loggen og de andre logs viser forsøg på at logge sig ind. Det er forsøg på at skaffe sig uberettiget adgang til FTP-serveren. Samtidig med forsøget på at logge ind hos Forurettede A/S, skete der download af filer fra Virksomhed 6, ogdet foregik fra den samme computer. Man kan se ud fra undersøgelsen, at gerningsmanden anvender Screen-program, hvor man kan have flere programmer, der kører samtidigt.

Samtidig med at der stjæles filer fra Virksomhed 6, var der hackingforsøg mod Forurettede A/S fra samme computer. Detre brugernavne, Brugernavn 7, Brugernavn 8 og Brugernavn 9, er ikke umiddelbart offentligt tilgængelige. Umiddelbart kan man ikke google sig frem til dem. Man kan ikke udelukke, at brugernavnene ligger på et netværk for hackere.

Forespurgt af advokat Michael Juul Eriksen forklarede vidnet, at han ikke har været inde at tjekke, om man kan finde nogle af brugernavnene hos Forurettede A/S. Han ved ikke, hvor

side 87

brugernavnene skulle komme fra. Han tror, at Vidne 10 måske kan svare på det. Forespurgt af retsformanden forklarede vidnet, at FTP-serveren er en service, man normalt bruger til at overføre filer til og fra. Webserveren/internet-serveren bruges til at vise en hjemmeside. Det er adskilte servere. På en mainframe findes mange sub-systemer, og et af dem er en Program 6-server, hvor man kan hoste andre servere, blandt andet en FTP-server eller en webserver.

Foreholdt af advokat Michael Juul Eriksen fra chatten kl. 12:51:33, ekstrakt 10, side 83, forklarede vidnet, at det ser ud til, at deltagerne i chatten copy-paster tekst ind i chatten. En del af det, der er sat ind, ser ud til at være eksempler på, hvordan man logger ind, herunder fremgår et brugernavn.

Anklageren dokumenterede fra bilag Q-1-1, tillægsekstrakt IV, side 61-69 (politirapport af 28. august 2014 fra NITEC).

Vidnet forklarede, at det sikkerhedshul, der bliver udnyttet, kaldes Software. Det er lykkedes gerningsmanden at komme ind på mainframen på denne måde. Sikkerhedshullet bliver udnyttet 807 gange, hvor gerningsmanden får adgang til Forurettede A/S' mainframe blandt andet ved brug af domænet Hjemmeside 13. Han husker ikke, om det er et domæne, der bliver nævnt i chatten. Der er nu ikke kun tale om forsøg som ved FTP-serveren.

Foreholdt fra chatten den 13. og 14. februar 2012 kl. 05:39:20, bilag M-2-1-1-1, ekstrakt 10, side 73, forklarede vidnet, at han nu kan se, at Hjemmeside 13 bliver nævnt i chatten, ligesom Hjemmeside 26, der også anvendes til den uberettigede adgang, også nævnes i chatten.

Af PuTTY-loggen fremgår, at gerningsmanden herefter har stjålet filer fra Forurettede A/S' mainframe. Han ved dog ikke, om der er stjålet filer før det tidspunkt, der fremgår af loggen.

Ifølge PuTTY-loggen er det partition D11 på Forurettede A/S' mainframe, som der først kopieres filer fra. D11 er den partition, der indeholder oplysninger fra politiet.

Gerningsmanden kom ind den 7. april 2012 som almindelig bruger og bliver herefter superbruger. Det er almindeligt ved hacking, at man kommer ind som almindelig bruger ogbenytter denne indgang til at udvide sine rettigheder til superbruger eller administrator.

Efterat gerningsmanden var kommet ind på mainframen, oprettede han filen Script 6, som er beskrevet som den første bagdør til systemet.

Gerningsmanden ændrede herefter en konfigurationsfil, hvorved bagdør 2 og bagdør 3 oprettedes. Gerningsmanden havde i alt oprettet tre bagdøre.

Enhver, der kendte bagdørene, kunne skaffe sig uberettiget adgang til Forurettede A/S' mainframe.

side 88

Det kan med sikkerhed siges, at Script 6 blev anvendt fra oprettelsen og frem til den 25. april 2012. De to andre bagdøre virkede ikke umiddelbart efter oprettelsen. Man kan se, at gerningsmanden efterfølgende forsøgte at tilrette dem. Vidnet kan ikke svare på, om gerningsmanden fik dem til at virke, da benyttelse af disse bagdøre ikke blev logget nogen steder i systemet. Aktivering af bagdør 2 og 3 kunne ske uden, at det blev registreret nogen steder.

Gerningsmanden havde udviklet "Script 10" for at få bedre mulighed for at angribe mainframen.

Vedrørende "Script 11" forklarede vidnet, at gerningsmanden kopierede filer og datasæt og lagde dem ud på webserverens Pub. Pub'en er en offentlige mappe, hvortil der er adgang fra internettet. Når filerne først er lagt derud, vil enhver kunne hente dem, hvis man kender filnavnet. Det er konstateret, at nogle af de filer, der er kopieret ud på web-serverens Pub, er fundet på computere tilhørende Tiltalte 1.

Fremgangsmåden med at omdøbe filerne er en modus, der ses anvendt i hele forløbet, undtagen i den indledende fase, det vil sige fra 8.-10. april 2012, hvor filerne downloades uændret til egen computer. Download af filer fra mainframen ophørte i slutningen af august 2012 på samme tidspunkt, som Tiltalte 1 blev anholdt.

Enhver person med en computer med internetadgang har kunnet benytte bagdørene.

Flere af de filer, der fremgår af side 67-68 i tillægsekstrakt IV, er stjålet fra Forurettede A/S. Han kan ikke genkende dem alle sammen. Filerne blev fundet på en af Tiltalte 1's computere. Hele RACF-databasen blev stjålet.

Der blev også overført stjålne filer til servere i Cambodia og Tyskland efter, at bagdørene blev etableret.

Script 6 blev som den første bagdør fjernet i dagene 27.-28. februar 2013. Bagdør 2 og 3 blev fjernet senest den 6. marts 2013. Bagdørene var således åbne frem til disse datoer. Bagdørene kunne anvendes af andre end Tiltalte 1, også efter Tiltalte 1's anholdelse.

Anklageren dokumenterede fra bilag Q-1-1, tillægsekstrakt 4, side 69-82 (politirapport af 28. august 2014 fra NITEC), bilag Q-33, tillægsekstrakt II, side 143, bilag Q-13-1, ekstrakt 17, side 145 og 149-155, bilag Q-16, ekstrakt 17 side 170 og 175, og bilag Q-17, ekstrakt 17, side 179-183.

Vidnet forklarede, at de filer, der omtales, oprindeligt er overført til Tiltalte 1's computer og videre til en webserver i Cambodia, som tilhørte kommunen i Phnom Penh. Politiet har undersøgt serveren i Cambodia. Filerne eksisterede ikke længere på serveren. Det kan være, at de er blevet fjernet.

HSM er en lageropbevaringsplads og fungerer som en båndstation, der er udviklet for at spare plads på fx en mainframes harddisk. Det er et slags fjernlager.

side 89

Datasæt, som ikke har været rørt i 14 dage på mainframen, overføres automatisk til båndstationen. Gerningsmanden har efterspurgt datasæt, som ikke lå tilgængelige på harddisken. De pågældende datasæt blev på gerningsmandens anmodning efterfølgende overført fra båndstationen til harddisken. De datasæt, der er overført til disken, har ligget tilgængelige for gerningsmanden i mindst 14 dage.

Anklageren dokumenterede fra bilag Q-1-1, tillægsekstrakt IV, side 82-87. (politirapport af 28. august 2014 fra NITEC), bilag Q-21, ekstrakt 17, side 198-202, bilag Q-30, ekstrakt 20, side 63-69 (politirapport af 15. maj 2014), bilag Q-30-1, tillægsekstrakt II, side 140-142, bilag Q-7-1, ekstrakt 16, side 279-280 (politirapport af 20. januar 2014), bilag Q-32, ekstrakt 20, side 89 og 91 (politirapport af 6. maj 2014), bilag Q-34, tillægsekstrakt II, side 146, og bilag Q-37, tillægsekstrakt II, side 156 og 160-163.

Vidnet forklarede, at de havde undersøgt Windows7 styresystemet i Tiltalte 1's MacBook Pro to gange.

Den første undersøgelse foregik i Sverige i virtualiseret tilstand. Formålet var blandt andet at undersøge, om computeren var inficeret med malware. De foretog undersøgelser med henblik på at afdække, om der fandtes services på computeren, der kunne give tredje mand adgang til computeren og anvendes til at hacke Forurettede A/S.

Deres konklusion var, at det var meget usandsynligt, at der er foregået fjernkontrol udført af tredjemand. Der er en teoretisk mulighed for at fjernkontrol kan lade sig gøre. Der findes måder, hvorpå det kan ske. De har undersøgt, om forudsætningerne var til stede under hensyntagen til, hvordan computeren var tilgængelig for gerningsmanden.

For at fjernkontrol var mulig, skulle computeren være tilgængelig, og efter hver genstart af computeren skulle gerningsmanden logge på og tilslutte sig computeren, for at den kunne fjernadministreres. Undersøgelserne har påvist, at det er højst usandsynligt, at det er foregået ved fjernkontrol udøvet af tredjemand.

Der findes forskellige måde at udføre fjernkontrol på. Der er mange forudsætninger, der skal være opfyldt i forhold til den enkelte computer.

Den anden undersøgelse var en remote desktop-undersøgelse, der viste samme resultat somundersøgelsen i Sverige. De besluttede, at de ville foretage en yderligere undersøgelse af computeren for at afdække, om der kunne være etableret fjernkontrol via malware. De købte en tilsvarende MacBook Pro og satte den op, så den var magen til Tiltalte 1's.

De undersøgte netværkstrafikken fra den startede op, til den gik dvale efter 15 minutter. De bad svensk politi logge ind og aktivere den fra dvaletilstand. Den kørte i 24 timer, og der kunne ikke påvises unormale kald, som viste, at en gerningsmand kunne få adgang via fjernadministration.

Selvom betingelserne for fjernkontrol måtte være opfyldt, betyder de mange dvaletilstande, at det ikke er muligt. Der er i gerningsperioden - fra februar til august 2012 - i alt 104 genstarte. Hver genstart ville have betydet, at en etableret fjernkontrol

side 90

ville være blevet afbrudt, og tredjemanden ville skulle tilgå computeren igen og via en given konto starte TrueCrypt-programmet op igen og benytte PuTTY-logprogrammet. Data stjålet fra Forurettede A/S er fundet i TrueCrypt containeren.

Ved dansk politis undersøgelser er der gravet et spadestik dybere end svensk politi. De har opsat en identisk computer, med de har ikke fundet noget, der overhovedet indikerer, at tredjemand ved en service eller en virus har haft mulighed for at fjernbetjene MacBook Pro computeren.

Ved undersøgelsen i Sverige anvendtes blandt andet Net-stat, som viser hvilke porte, der er åbne. Samlet var der ikke noget, der indikerede, at fjernkontrol var mulig.

Der er også udført en "sniffer"undersøgelse ved brug af Program 15. Undersøgelsen medførte ingen ændring af deres konklusion.

De har benyttet Program 13 til en af testene. Testen var for at afdække, om det gav mulighed for fjernstyring. De udelukkede, at der var fjernstyret med Program 13.

De har konstateret, at der var et program, Program 16, på Tiltalte 1's computer. Programmet var imidlertid kun anvendt i tre dage omkring den 3. marts 2012. Hvis programmet skal benyttes til fjernbetjening, kræver det, at programmet bliver manuelt eksekveret, og der skal opsættes særlige parametre.

Der var sket download af data i en meget længere periode, end programmet havde været tilgængeligt. PuTTY programmet blev anvendt igennem hele forløbet blandt andet den 7. april 2012 og i august 2012.

Da de var i Sverige, havde de adgang til samtlige data. De søgte efter et Script 5 i computeren, men de kunne ikke finde noget.

Vidnet kan udelukke, at Script 5 har været anvendt således, som det var anført i eksemplet i den svenske sag. Alt kan teoretisk lade sig gøre, men henset til computerens indstillinger, hvor computeren vil gå i dvale efter 15 minutter, er det meget usandsynligt, at fjernstyring har fundet sted via vira på computeren.

Vidnet ønskede at berigtige en detalje i sin forklaring fra mandag den 22. september 2014. Computeren gik rettelig i dvale efter 30 minutter og ikke efter 15 minutter, som han forklarede i går.

Forespurgt af advokat Luise Høj forklarede vidnet, at han har hørt om Projekt. Han kender til teorien bag det at fryse RAM, men han har ikke hørt om, at nogen af politiets samarbejdspartnere skulle anvende det.

Politiet modtog i januar 2013 en mail vedhæftet en fil med en PuTTY-log vedrørende sagen. De begyndte at se på filen i februar 2013. Vidnet var klar over, at svensk politi var i gang med en efterforskning omhandlende angreb mod systemer i Sverige, blandt andet Bank 1.

side 91

Foreholdt fra bilag E-25-1-1, tillægsekstrakt VI A, side 4-5, forklarede vidnet, at han ikke kender noget til en henvendelse i juni 2012 til dansk politi. Der kom en henvendelse fra Bank 1, som havde konstateret nogle mistænkelige ting på deres systemer. I den forbindelse oprettede de i august 2012 en sag og sendte den op til svensk politi. Han kan ikke svare på, om det havde gjort en forskel, at de var kommet ind i sagen vedrørende Forurettede A/S allerede i juni 2012, men det havde det muligvis gjort.

Da de gik i gang med efterforskningen i Danmark, var de åbne for, at der kunne være andre gerningsmænd end Tiltalte 1. Det er de altid i alle efterforskninger. De er objektive og åbne over for, om der er andre gerningsmænd på fri fod. I denne sag angreb de sagen som i alle andre sager. De forholdt sig til de digitale oplysninger, som fandtes i computerne. I denne sag var det svensk politi, der gjorde dem opmærksom på, at der var beviser på, at computerne var anvendt ved angrebet mod Forurettede A/S. De forholdt sig også til digitale beviser i Forurettede A/S' systemer.

I slutningen af februar 2013 begyndte deres kommunikation med svensk politi og med Københavns Politi, og de udvekslede informationer, herunder om forbindelser mellem den svenske og den danske sag. På det første møde i Sverige fik de overdraget yderligere filer.

Efter den svenske Hovrätts dom i september 2013, forsøgte de at sætte sig ind i dommen og dommens præmisser for, hvorfor Tiltalte 1 blev dømt for det ene forhold og frifundet for det andet. Dommen ændrede ikke deres tilgang til undersøgelsen og deres fokus. De var assisterende enhed til Københavns Politi, der stod for sagen, og de efterforskede i samarbejde med Københavns Politi.

Deres synspunkt var, at Tiltalte 1 blandt andet blev frikendt på baggrund af vidnet Vidne 4's forklaring om et Script 5. Det ændrede deres undersøgelsesfokus i forhold til Tiltalte 1's computer.

Med de supplerende undersøgelser, de på den baggrund lavede, mener han, at det er afklaret, at der ikke var beviser for, at Tiltalte 1's computer havde været anvendt via fjernkontrol. De har ikke kunnet afdække, at der var andre, der stod bag. På baggrund af den svenske dom og Vidne 4's forklaring om Script 5, undersøgte de dette og fandt ud af, at det ikke var en mulighed. Ud fra alle undersøgelserne vurderede de, at det var Tiltalte 1, der havde lavet angrebet både på Virksomhed 6, Bank 1 og Forurettede A/S.

De kunne i chatten se, at to personer udvekslede oplysninger om mainframe- systemet hos Forurettede A/S. Samtidig med at personerne indsamlede oplysninger om systemet, kunne man se, at de forsøgte at logge ind i FTP-serveren hos Forurettede A/S. Vidnet mener, at chatten drejede sig om et angreb mod Forurettede A/S' systemer. De kunne ud fra en logfil se, at der i marts 2012 var automatiserede forsøg på at få adgang til Forurettede A/S' server samtidig med, at Virksomhed 6 blev hacket, og der blev stjålet filer fra Virksomhed 6. I april 2012 blev der udnyttet en sårbarhed på Forurettede A/S' mainframe.

Vidnet var ikke bekendt med, at det også var en webserver, der blev hacket i Bank 1.

side 92

Han vidste heller ikke, at man anvendte den samme fremgangsmåde med at kopiere filer og overføre dem til en Pub i Bank 1-forholdet.

Den første undersøgelsen af Tiltalte 1's MacBook Pro blev foretaget af vidnet i Sverige. Svensk politi havde sørget for, at de kunne undersøge Tiltalte 1's computer i virtualiseret tilstand. Det var vidnet, der betjente computeren ved undersøgelsen. Han har sikret de forskellige screendumps fra undersøgelsen. Han har printet dem ud til sagen hjemme i Danmark.

Foreholdt fra bilag Q-30, ekstrakt 20, side 63, bekræftede vidnet, at undersøgelsen blev foretaget på en klonet harddisk.

Foreholdt fra bilag Q-21, ekstrakt 17, side 207-215, bekræftede vidnet, at der står den 27. november 2013 i hjørnet. Det var tiden på computeren, da screendumpet blev taget. Han havde ikke taget screendumpet med fra Sverige, så det var Vidne 7, det dokumenterede det og sendte det den 13. januar 2014 på vidnets foranledning.

Foreholdt fra bilag Q-30, underbilag 9a og 9b, ekstrakt 20, side 63, forklarede vidnet, at det er rigtigt, at undersøgelsen er foretaget i marts 2014. Hvorfor der på screendump i underbilag 9a står datoen 9. maj 2014, kan han ikke umiddelbart svare på. Det kan være, fordi han ikke havde fået de settings med hjem, og han så har bedt svensk politi dokumentere det. Det er så muligvis ikke kommet med i rapporten.

Foreholdt fra bilag Q-21, ekstrakt 17, side 207-208 og bilag Q-30, ekstrakt 20, side 78, forklarede vidnet, at man kan se en række programmer, der var installeret i computeren. Det er rigtigt, at programmet ”Program 17” er installeret den 27. november 2013. Der er også installeret to andre programmer denne dato.

Dansk politi har ikke gjort dette, så det må være noget svensk politi har gjort for at kunne undersøge styresystemet i virtualiseret tilstand. Det ser underligt ud, at det er installeret den 27. november 2013, men det har ikke haft betydning for deres undersøgelser, og man kan se nedenunder, at programmet var installeret på computeren i forvejen.

Ved installation af et program kan man potentielt have lukket for en bagdør.

I den senere undersøgelse som de lavede, var der ikke installeret programmer, og resultatet af den undersøgelse var det samme som ved første undersøgelse. Han ved ikke, om svensk politi har installeret programmet, men han kan afvise, at det er dansk politi, der har gjort det.

Den undersøgelse, de lavede i september 2013, var ikke tilbundsgående. I forbindelse med den undersøgelse, de senere lavede, købte de hardware, der var identisk med det, der var på Tiltalte 1's computer.

Foreholdt fra bilag Q-21, ekstrakt 17, side 207 og fra ekstrakt 20, side 78, hvor der står ”Microsoft Performance Tool Kit” , forklarede vidnet, at han ikke kan se, at programmet Microsoft Performance Tool Kit er installeret i forbindelse med den anden undersøgelse. Det kan skyldes, at computeren ved første undersøgelse i november 2013 blev undersøgt ved indlogning med "administrator" som bruger og ved den anden undersøgelse i marts

side 93

2014 blev undersøgt med Brugernavn 10 som bruger.

Han ikke kan genfinde programmet ”opera” , som ses ved den første undersøgelse.

Forklaringenkanvære,atdenførsteundersøgelseblevforetagetmedbrugerenadministrator og den anden undersøgelse blev foretaget i marts med Brugernavn 10. Hankanafvise,atderveddenandenundersøgelseerblevetinstalleretellerfjernetprogrammer. Vedrørende programmerne ”Synaptics Pointing Device Driver” og ”Program 18” , forklarede vidnet, at de ser ud til at være installeret den 27. november 2013.

Det er ikke dansk politi, der har installeret dem, og han kan ikke sige, om svensk politi har installeret programmerne. Program 18 kan godt være nødvendigt for at foretage undersøgelserne i virtualiseret tilstand, men det må svensk politi gøre rede for.

Programmet "Xming" fremgår som det sidste program på side 79. Han kan ikke finde det i bilag Q-21, ekstrakt 17, side 208, men det kan være, fordi det står længere nede.

Blandt de programmer, der forekom i den første undersøgelse, der blev udført i efteråret 2013, kan der være programmer, som svensk politi har installeret på computeren i forbindelse med undersøgelsen. Da de lavede undersøgelsen i marts 2014, blev den foretaget på en MacBook Pro. De fik svensk politi til at klone harddisken fra Tiltalte 1's computer. De bad om at få en identisk kopi af de data, som svensk politi havde datasikret.

Programmer dukker ikke bare op og forsvinder igen på en computer. Det mest optimale grundlag for en undersøgelse er at skaffe identisk hardware, og det gjorde dansk politi.

Noget malware, fx trojanere, kan detektere, hvis der startes op i et virtuelt miljø, og det kan så betyde, at de går i dvale. Der er en teknisk forklaring på, hvorfor der er nogle programmer, der findes i den første undersøgelse og ikke findes i den anden undersøgelse. Der kan være mange årsager til, at et program bliver afinstalleret. En af årsagerne kan være fjernstyring, hvis computeren giver mulighed herfor.

Programmet Program 13 er ikke noget, han har stiftet bekendtskab med før denne sag. Hvis der er tale om fjernstyring, skal fjernstyrerens computer have installeret Program 13, men programmet behøver ikke at være på den computer, man vil fjernstyre. Der skal også være regler i firewall'en, som muliggør fjernstyring. Bl.a. skal der være åbnet for fildeling.

Fildeling var ikke tilladt med den firewallkonfiguration, der var på Tiltalte 1's computer i marts 2014. De har taget en kopi af de settings, der var i forbindelse med undersøgelsen i marts 2014. Indstillingerne på firewall’en kan ændres fra dag til dag. Mankan derfor ikke sige noget om, hvordan computeren var konfigureret i gerningsperioden.

De kan kun sige noget om indstillingerne på det tidspunkt, hvor svensk politi sikrede computeren. Program 13 er et terminalbaseret program, som ikke umiddelbart giver mulighed for grafisk adgang.

Foreholdt fra bilag Q-44, tillægsekstrakt VI A, side 116, forklarede vidnet, at han kender Program 19. Den vil vise nogle åbne porte, når man har logget ind, og det er nødvendigt

side 94

forforskellige indbyggede Windows services. Programmet giver ikke adgang til fjernstyring ved hjælp af Program 13 Hvis der var Program 19 på en computer, betyder det ikke, at der var adgang via Program 13 Program 19 betød alene, at en port stod åben.

Da de var i Sverige i anden omgang, fandt de ud af, at den Program 20-scanning, der var blevet udført, var udført på et netværkskort, der ikke blev benyttet i forbindelse med computerens brug. De bad svensk politi lave en ny scanning på det netværkskort, som det kunne konstateres rent faktisk blev anvendt på tidspunktet, hvor computeren blev sikret. En korrekt Netstat-scanning blev udført ved begge undersøgelser.

Foreholdt fra bilag Q-44, tillægsekstrakt VI A, side 116, forklarede vidnet, at Program 21 er udført ved begge undersøgelser. Han har udarbejdet bilag Q-44 den 18. september 2014. Det er ikke anført i rapporterne, men fremgår af undersøgelserne. De har ikke dokumenteret og vedlagt alt, da de så kunne vedlægge rigtig mange bilag.

Forskellen på en Program 20-scanning og en Netstat-scanning er, at en Program 20-scanning scanner for status på de enkelte porte; om de stod åbne og om adgangen var filtreret osv. Det var en scanning, der blev udført mod maskinen, dvs. udefra. Netstat-scanningen blev udført på computeren, mens man er logget på som en given bruger.

Da de foretog Program 20-scanningen, havde de bestræbt sig på at genskabe de samme omgivelser på computeren, som da den var i brug. Vidnet kan ikke garantere, at opsætningen var nøjagtigt som i Cambodia, men de havde gjort, hvad de kunne.

De regler i firewall'en, der skulle være aktiveret for at tillade fildeling, var til stede, men ikke aktiveret. Han mener, at de undersøgte både private setting og public setting, og de var konfigureret på samme måde.

Foreholdt fra de 5 punkter i bilag Q-30-1, tillægsekstrakt II, side 142:

Vidnet kan ikke svare på, om punkt 1 er opfyldt, da de ikke har undersøgt, om Tiltalte 1's computer automatisk offentliggør den aktuelle IP-adresse.

De har ikke haft mulighed for at undersøge routeren. En router leveres normalt ikke med den pågældende konfiguration som standard.

De har undersøgt, om computeren skulle være sat op som lab-computer. Det har de ikke fundet bevis for. I deres undersøgelser har firewall'en været aktiveret, og de har ikke fundet bevis for, at der var undtagelser for programmer, der kunne benyttes til fjernadgang.

Foreholdt fra bilag C-1-2 (den svenske forundersøgelse), tillægsekstrakt VI B, side 187, forklarede vidnet, at det er en liste over firewall'ens regler for programmer. Han kan se, at der er regler, der tillader noget, og andre der blokerer noget. Firewall'en har været aktiveret på computeren. De har undersøgt, om der kørte programmer på computeren, der kunne anvendes til fjernbetjening, og om der var tilladelse i firewall'en til, at computere udefra kunne få adgang til fjernkontrol af computeren. De fandt ikke nogen af

side 95

disse programmer.

Deresundersøgelser viste, at der ikke var programmer, der kunne anvendes til fjernkontrol på computeren, selvom der skulle være tale om en lab-computer. Man foretog en portscanning med Program 20, og den viste, at der ikke var nogen åbne porte. Dog viste en portscanningen, når Brugernavn 10 var logget ind, at port 912 stod åben. Brugernavn 10 var den mest anvendte bruger i gerningsperioden. De havde testet, om man kunne kommunikere med denne port.

I forbindelse med at computeren bootede op efter genstart uden login, var der ingen åbne porte, der tilbød en service. Når der blev foretaget login med Brugernavn 10, viste undersøgelsen, at port 912 var åben. Porten gav alene adgang til en service, der ikke normalt anvendes til fjernkontrol af computere.

Foreholdt fra bilag Q-24 (ROMAB's rapport), ekstrakt 19, side 35, forklarede vidnet, at der var etableret tre bagdøre hos Forurettede A/S. De to af bagdørene har de ikke kunnet konstatere blev benyttet, da de ikke efterlod spor ved brug. De har derfor ikke kunnet påvise, om de virkede. De kunne konstatere, at "Script 6" blev anvendt fra den 10. til den 24.–25. april 2012. De kan ikke sige, hvilken bagdør gerningsmanden herefter anvendte for at tilgå Forurettede A/S' mainframe.

De kan tydeligt se, at gerningsmanden fortsatte med at hente filer, som han navngav og flyttede til Pub-mappen. Det seneste download fandt sted den 27. august 2012.

I perioden fra den 10. april–28. august 2012 blev der efterspurgt datasæt, som var tilgængelige, fordi gerningsmanden havde eskaleret Brugernavn 11. Det er et helt klart bevis for, at gerningsmanden stadig downloadede filer og efterspurgte datasæt. Der var et ophold i aktiviteten fra den 25. april 2012 til omkring midten af juni måned 2012. Herefter begyndte aktiviteterne med efterspørgsel og download af filer igen.

De spor, som gerningsmanden efterlod sig, indikerer dette. Indtil den 25.-27. april 2012 anvendte gerningsmanden bagdør 1. Derefter forsvandt den loggede indgangsaktivitet. Det kan være, fordi gerningsmanden i stedet anvendte bagdør 2 og 3 eller fortsat benyttede bagdør 1 uden, at det blev logget i webserveren.

"Script 10"lå lokalt på gerningsmandens computer. Værktøjet var ret let at installere, og det blev udviklet løbende.

Efter Tiltalte 1's anholdelse eksisterede bagdørene stadig. Andre end Tiltalte 1 ville derfor uden problemer fortsat kunne tilgå mainframen og benytte bagdørene, hvis den eller de pågældende personer kendte dem.

Foreholdt fra bilag Q-1-1, tillægsekstrakt IV, side 69 forklarede vidnet, at han ikke kan svare på, hvordan svensk politi har knyttet den pågældende chatlog til Tiltalte 1. De talte løbende om de fund, de gjorde, og de havde fået at vide, at domænet i den svenske sag havde været anvendt til at dele filer, der var stjålet fra Virksomhed 6. Han kan ikke svare på, hvornår oplysningen kom.

side 96

Defik løbende informationer fra svensk politi, og de kunne konstatere, at gerningsmanden loggede ind på Virksomhed 6 og forsøgte at bryde ind i Forurettede A/S' server samtidig. I samme forbindelse kunne de se, at den samme tyske IP-adresse optrådte i loggen fra Virksomhed 6 512 gange, og derfor var det naturligt, at de beskrev en forbindelse til den svenske sag. Det er ikke bevidst, at vidnet har henvist til henholdsvis Virksomhed 6 eller den svenske sag.

Foreholdtfra bilag Q-1-1, tillægsekstrakt IV, side 71, forklarede vidnet, at gerningsmandens søgninger tyder på interesse både for politiet og for banker, fx Bank 1.

Foreholdt fra bilag Q-1-1, tillægsekstrakt IV, side 72, forklarede vidnet, at IP adresse 4 tilhører Bank 1. Der er foretaget indbrud i Bank 1 fra Tiltalte 1's computer. Filerne vedrørende Forurettede A/S og Virksomhed 6 var placeret samme sted. Han kan ikke sige, om filerne vedrørende Bank 1 var placeret samme sted. Det er Vidne 6, der har foretaget undersøgelserne.

De har ikke nærmere undersøgt IP-adresserne i Spanien og USA. De har efterforsket den tyske IP-adresse. Tysk politi har oplyst, at hosting-udbyderen har oplyst, at serveren havde været lejet ud legalt indtil efteråret 2011. Derefter var den blevet overtaget af en hacker og anvendt frem til juni/juli 2012. Derefter var den blevet slettet uden backup.

Foreholdt fra bilag Q-25, ekstrakt 20, side 1, forklarede vidnet, at de ikke har efterforsket IP-adressen til CITYLINK i Cambodia. De vurderede, at den var blevet anvendt af en gerningsmand i Cambodia i perioden fra den 13. april 2012 til den 14. juli 2012.De har ikke søgt at få identificeret brugeren, da de ikke forventede, at cambodiansk politi kunne fremskaffe denne oplysning.

Foreholdt fra bilag Q-1-1, tillægsekstrakt IV, side 77, forklarede vidnet, at hvis det ikke er nævnt i rapporten, er der ikke søgt på Tiltalte 1's pasnummer, men det er Vidne 13, der har udarbejdet analysen.

Forespurgt af advokat Michael Juul Eriksen forklarede vidnet, at Tiltalte 2 ikke har kunnet logge ind med Profilnavn 2, da det indeholder mellemrum. Programmet Program 8 blev fundet på Tiltalte 1's computer. Med Program 8 kan en person i en chat ændre navnet på den person, der chattes med, uden at den person, der chattes med, kan se det. Derfor kan navnene fremgå på den pågældende måde, uden at det var kendt for Tiltalte 2. Det er også muligt, at chatten er kopieret ind i en wordfil, hvor navnene er erstattet. Den, der har chattet, har ikke logget ind og chattet med Profilnavn 2 som navn.

Foreholdt af advokat Michael Juul Eriksen vedrørende bilag Q-1-1, tillægsekstrakt IV, side 52 og 58 bekræftede vidnet, at det ikke er præcist at skrive, at Tiltalte 2 anvender navnet Profilnavn 2 i chatten. Det rette er at skrive, at denperson, som fremstår som Profilnavn 2, er Tiltalte 2 Tiltalte 2.

De brugernavne, der optræder i chatten og senere i PuTTY-loggen i forbindelse med

side 97

angrebsforsøgene mod Forurettede A/S den 4. marts 2012 i et kort tidsrum, var ikke valide.

Foreholdt fra bilag Q-8-1, ekstrakt 17, side 12, forklarede vidnet, at de kunne se, at det var et automatiseret forsøg på angreb af FTP-serveren den 4. marts 2012. De kontaktede Forurettede A/S, som oplyste, at de anvendte brugernavne ikke fandtes i Forurettede A/S' log over afviste FTP-logins.

Der er anvendt 34 valide brugernavne til forsøg på login i marts 2012. Samtlige brugernavne eksisterer hos Forurettede A/S og er registreret forsøgt anvendt.

Der er aldrig registeret nogen relation mellem Tiltalte 2's computer og Forurettede A/S. Tiltalte 2's nuværende computer er også taget i anvendelse efter forholdet er begået.

Foreholdt fra bilag Q-26, ekstrakt 20, side 30, forklarede vidnet, at man kan udlede, at der fra IP-adressen er tilgået den ressource på mainframen på stien Script 1/Script 2. Der står i en rapport, at Script 2 er et script, der ligger som standard i en web-serverinstallation. Han ved ikke, om det er et script, der bliver aktiveret, når man går ind på Forurettede A/S' hjemmeside.

Foreholdt fra bilag Q-1-1, tillægsekstrakt IV, side 8, forklarede vidnet, at Script 2 ligger på webserveren, og at aktiveringen har været anvendt til rekognoscering fra den IP-adresse.

Det er ham, der har skrevet, at IP-adressen er tilknyttet Person 21, som indgik i den svenske sag. De har ikke undersøgt IP-adressen nærmere, fordi den godt kan anvendes af andre. internetudbyder kunne godt tyde på, at den er tilknyttet en banegård og ikke en privat adresse.

De har ikke undersøgt, om gerningsmanden har haft adgang til indholdet i Script 2 ved login forsøgene. De har undersøgt, hvem der har aktiveret scriptet, fordi der er chattet om det. Når man går ind på en hjemmeside, bliver der aktiveret en del scripts. Han kan ikke udelukke, at Script 2 er blevet aktiveret, blot fordi man har været inde på hjemmesiden.

Forespurgt af advokat Luise Høj forklarede vidnet, at han efter i går har kontrolleret, hvad settings var, og fundet ud af, at computeren gik i dvale efter 30 minutter og ikke 15 minutter. Det kan godt passe, at den er gået i dvale 98 gange i gerningsperioden. Han kan ikke svare på, om det er meget eller lidt. Hans undersøgelse blev foretaget, mens computeren var plugged in, hvilket man må gå ud fra, at den er, hvis den er sat op som lab-computer.

Det er Vidne 6, der har foretaget undersøgelsen i forbindelse med Script 5.

De har undersøgt alle muligheder for fjernstyring af Tiltalte 1's computere. Det er ikke nyt for vidnet, at Tiltalte 1 har sagt, at der var flere virtuelle computere på MacBook'en. De virtuelle computere er ikke startet op, da det var usandsynligt, at de

side 98

skulle være fjernstyrede. De har undersøgt alle muligheder for fjernstyring, som er nævnt under sagen. De har også undersøgt for malware. De har foretaget nogle overordnede undersøgelser, da alt er teoretisk muligt.

Forespurgt af anklageren forklarede vidnet, at det stadig er hans konklusion, at det er højest usandsynligt, at computeren har været fjernstyret.

Vidne 6, Rigspolitiet, har forklaret, at han har en politiuddannelse og i 2005 blev ansat i NC3, hvor han har fået en IT-efterforskeruddannelse, der er fulgt opmed diverse kurser. Hans hovedarbejdsområde har været efterforskning af hackersager.

Denne sag er ikke den første hackersag, han har efterforsket. Han kom ind i efterforskningen i juni 2013, hvor der skete en anholdelse i sagen. Han fik dataindhold fra to computere, der var blevet beslaglagt i Cambodia. Vidnet har to gange været hos svensk politi for at gennemgå computerne. Han har set på de fulde data i Sverige. Svenskerne havde bortsorteret data fra tredjelande, og som ikke vedrørte det danske forhold. De fik adgang til det fulde materiale i Sverige og tog de relevante data med til Danmark.

Computeren er undersøgt to gange. Førstegang blev den startet op i Sverige i virtualiseret tilstand. Der kan være programmer, der ikke vil køre i virtualiseret tilstand. Der blev derfor købt en tilsvarende MacBook Pro computer, og de lagde en kloning over på den og lavede en ny undersøgelse. Det var en fuldstændig kopi af den computer, Tiltalte 1Tiltalte 1 havde på anholdelsestidspunktet i Cambodia. De har også lavet undersøgelse af fjernkontrol på computerne.

Anklageren dokumenterede fra bilag Q-29, ekstrakt 20, side 49-62.

Vidnet bekræftede, at det er ham, der har udarbejdet rapporten vedrørende Tiltalte 1's bærbare computer, Computer 1. De 27 IP-adresser, der kan knyttes til computeren, stammer fra den logfil, der er fundet hos Forurettede A/S. Der blev fundet 32 IP-adresser i logfilen, som var anvendt til hacking, og heraf kunne de 27 sikkert knyttes til denne computer.

Nogle af de filer, der er fundet i den krypterede container på Computer 1, er stjålet fra Forurettede A/S. Der var PuTTY-logs lavet lokalt på computeren. De andre filer er fjernet eller kopieret fra Forurettede A/S' mainframe.

Mappen” cpr” blev fundet i den krypterede container. Der var 102-103 filer. Hovedparten af de filer, der er stjålet fra Forurettede A/S' mainframe, lå i den mappe. Samme sted lå der filer, som var stjålet fra Virksomhed 6.

Hovedparten af filnavnene på side 61 er ligeledes stjålet fra Forurettede A/S. De 7 IP-adresser er gengangere. Det er maksimalt anvendt 27 IP-adresser, der kan knyttes til Tiltalte 1's computer.

Filerne på side 62 fra den frie lagerdisk tilhørende Computer 2 er også i hovedparten filer,

side 99

der er stjålet fra Forurettede A/S.

Anklageren dokumenterede fra bilag Q-6, ekstrakt 16, side 61-82.

Vidnet forklarede, at det er en undersøgelse af Tiltalte 1's stationære computer, Computer 2, formentlig harddisk 2, hvor styresystemet lå.

Man ville se, hvad man kunne finde på harddisken, som stammede fra Forurettede A/S. De assisterede Københavns Politi. Svensk politi havde foretaget nogle af de undersøgelser, som de ellers ville have lavet. Formålet var at finde data fra Forurettede A/S.

Vidnet forklarede, at de havde været i Sverige, efter at rapporten var blevet skrevet for at sikre, at de havde fået alt materiale vedrørende det danske forhold udleveret.

Det var hans opfattelse, at man ikke fandt hele det danske kriminalregister, men kun afgørelsesregistret. Der stod opført 91.011 personer.

HeleRACF-databasen var kompromitteret. Det var relativt simpelt at knække passwords. De har lavet nogle tests, der viser, at man i løbet af nogle dage kunne knække mange passwords til brugernavnene.

RACF-databasen er kopieret fra Forurettede A/S og senere overført fra Tiltalte 1's computer til en server i Phnom Phenh. Vidnet kan ikke med sikkerhed sige, om databasen først er kopieret til Tiltalte 1's computer, men den findes begge steder.

Der blev søgt blandt andet på Tiltalte 1's fødselsdato og på Person 33 i Schengen-registeret.

Skemaet på side 75 viser en række IP-adresser. Når der står 0, viser det, at den ikke er fundet på Computer 2-computeren.

Anklageren dokumenterede fra P-1-5, ekstrakt 14, side 10-20.

Vidnet forklarede, at det er en analyse af den løse harddisk, der var tilknyttet den stationære computer, Computer 2. Den havde to harddiske, og den ene var løs.

Anklageren dokumenterede fra bilag Q-7, ekstrakt 16, side 198-232.

Vidnet forklarede, at det er Computer 1 computeren, der bliver undersøgt. Formålet er at finde filer, der er stjålet fra Forurettede A/S.

Det er en fejl, når der på side 202 står 2013. Der skal stå 2012.

Det er ligeledes en fejl, når der på side 203 står 173 gange. Der skal stå 172 gange.

IP-adressen IP adresse 5 tilhører CITYLINK i Cambodia og ikke Cogotel, som det er anført i rapporten. Ordene ”Entry Modified” side 205 betyder, at filen har været åbnet

side 100

sidste gang den 21. juni 2012.

Vedrørende side 219 forklarede vidnet, at en af deltagerne i chatten Filnavn 3 anvender nicknavnene Kaldenavn 9 og Kaldenavn 8.

UTC er ligesom GMT, standardtid.

Der blev overført data fra Forurettede A/S til både Cambodia og Iran. Vidnet har ikke set på Tyskland.

Anklageren dokumenterede fra bilag Q-7-1, ekstrakt 16, side 244.

Vidnet forklarede, at det er en opdatering af en tidligere rapport, som indeholder tilføjelser for så vidt angår antallet af IP-adresser, der er benyttet.

Anklageren dokumenterede fra bilag Q-32, ekstrakt 20, side 89.

Vidnet forklarede, at de var blevet bedt om at undersøge, om der kørte en SSH-deamon på computeren. Der var ikke en log over, hvem der havde oprettet forbindelse til computeren. Man kunne derfor hverken be- eller afkræfte, om nogen havde oprettet forbindelse til SSH-deamon. Man skulle vide, hvordan man tilgik computeren. Teoretisk ville det kunne lade sig gøre, hvis alle betingelser var opfyldt.

Anklageren dokumenterede fra bilag Q-33, tillægsekstrakt II, side 143.

Vidnet forklarede, at man ikke kunne udfinde RACF-databasen på serveren i Phnom Phenh. Det kan være, fordi den er slettet, men den kan også være blevet overskrevet. Man vidste imidlertid, at RACF-databasen havde været overført dertil.

Anklageren dokumenterede fra bilag Q-34 (supplerende erklæring af 3. juli 2014), tillægsekstrakt II, side 146-148.

Vidnet forklarede, at Tiltalte 1's MacBook Pro blev navngivet Computer 1 den 16. november 2010. Af den svenske forundersøgelse fremgår, hvornår Windows, den krypterede container og Program 12 blev installeret.

Anklageren dokumenterede fra bilag Q-6-2 (svensk undersøgelsesprotokol af 28. marts 2013 vedrørende beslaglagte genstande), ekstrakt 16, side 159.

Vidnet forklarede, at den seneste installation af Windows styreprogrammet på Tiltalte 1's MacBook Pro var den 11. juli 2011. Den tidligere installation af Windows skete den 16. november 2010, samme dag som computeren blev navngivet Computer 1. Navngivningen slog først igennem ved genstart af computeren.

Anklageren dokumenterede fra bilag Q-6-2 (svensk undersøgelsesprotokol af 28. marts 2013 vedrørende beslaglagte genstande), ekstrakt 16, side 161-162.

side 101

Vidnet forklarede, at "t001a" er den krypterede container. Den blev installeret på Computer 1 den 16. november 2010. Chatprogrammet Program 12 blev ligeledes installeret den dato.

Programmerne Script 5 og Script 12 ses ikke at være installeret. For at et Script 5 kan afvikles, kræver det, at Script 5 kører på computeren. Man har konkret søgt efter, om programmerne har været installeret på de computere, der tilhørte Tiltalte 1, men det var der ikke tegn på.

Foreholdt af advokat Luise Høj fra bilag Q-21, underbilag 2 (skærmprint), ekstrakt 17, side 203, forklarede vidnet, at ”Program 22” er en genvej. Han kender den ikke og ved ikke, om den er afhængig af Script 5.

Anklageren dokumenterede fra bilag Q-40 (supplerende erklæring af 4. september 2014), tillægsekstrakt VI A, side 98-101, og bilag Q-41 (supplerende erklæring af 4. september 2014), tillægsekstrakt VI A, side 102-103.

Forespurgt af advokat Luise Høj forklarede vidnet, at det er rigtigt, at der blevet søgt efter Program 13 på Tiltalte 1's computere. Det var efter anmodning fra efterforskningsledelsen i Københavns Politi. Det er korrekt, at Program 13 skal være installeret på den computer, hvorfra man ønsker at oprette forbindelse til en anden computer. Dvs. at den, som ønsker at fjernstyre, skal have dette program installeret. Når de søgte efter Program 13 på Tiltalte 1's computere, selv om det ikke var ham, som skulle have programmet installeret, var det, fordi det var den opgave, de havde fået.

Anklageren dokumenterede fra bilag Q-41-1 (rapport af 19. september 2014), tillægsekstrakt VI A, side 106-107.

Forespurgt af advokat Luise Høj forklarede vidnet, at de undersøgte, om Program 13 var tilladt i firewall'en, fordi de havde fået det til opgave.

TrueCrypt containeren kan mountes, dvs. åbnes, med password. Hvis den skal automountes, skal man kende passwordet. De har alene undersøgt, om den kan automountes på en grafisk brugerflade. Teoretisk er det muligt, at den kan mountes uden brug af en grafisk brugerflade.

Foreholdt af advokat Luise Høj fra bilag Q-6 (politirapport af 20. januar 2014), ekstrakt 16, side 64, forklarede vidnet, at der er anvendt de samme to scripts ved hacking af Forurettede A/S ogBank 1. Det er ikke nødvendigvis ensbetydende med, at det er den samme gerningsmand. Han mener, at der er en sammenhæng mellem de tre sager; Forurettede A/S, Bank 1 og Virksomhed 6.

Foreholdt af advokat Luise Høj fra bilag Q-6, ekstrakt 16, side 73, forklarede vidnet, at der også er søgt på andet end Tiltalte 1's fødedato og Person 33, men de var faldet over disse to. De har ikke gennemgået Bash_history minutiøst, men disse søgninger forekom relevante i denne sag, hvorfor de blev undersøgt nærmere.

side 102

Foreholdt af advokat Luise Høj fra bilag Q-6, ekstrakt 16, side 82, forklarede vidnet, at der var noget af materialet, som svensk politi ikke ville udlevere til Danmark, blandt andet stærkt personfølsomme oplysninger om svenske politifolk, men alt det andet materiale har de fået udleveret. De fik udleveret alt, hvad der vedrørte Danmark, og der er kun frasorteret noget, der vedrørte svenske statsborgere og andre mainframes i tredjelande. Dansk politi ville heller ikke have udleveret materiale med fx danske cpr.numre. Dansk politi har i Sverige set det fulde materiale, og de har ikke fundet anledning til at bede om mere.

De har efter en gennemgang af det udleverede materiale bedt om yderligere relevant materiale, hvilket de har fået. Det er normal fremgangsmåde, når man arbejder med fremmede lande. De stoler på svensk politi, som ikke har interesse i at tilbageholde noget.

Forespurgt af anklageren forklarede vidnet, at de havde haft adgang til det fulde materiale i Sverige, og det var deres skøn, at de havde fået alt det materiale, der vedrørte den danske sag.

Foreholdt fra bilag Q-7 (it-teknisk erklæring af 20. januar 2014), ekstrakt 16, side 201, forklarede vidnet, at den iranske server var en mainframe server. De har ikke kontaktet Iran eller rejst derned, da de vidste, at der ikke ville komme noget ud af det.

Foreholdt fra bilag Q-7, ekstrakt 16, side 207-208, forklarede vidnet, at han er sikker på, at Virksomhed 4-filerne er fundet i MacBook’en i den krypterede container. Virksomhed 4 har forklaret svensk politi, at det er muligt at arbejde på deres netværk via en VPN-forbindelse. Der lå nogle filer i den krypterede container, der kunne anvendes til skabe forbindelse via VPN.

Han kan ikke sige, om VPN-forbindelsen har været anvendt på MacBook'en. Filerne vedrørte blandt andet firmaet Virksomhed 5's arbejde for Virksomhed 4 fra 2006-2007 og var knyttet til Tiltalte 1. At fakturaen fra Virksomhed 4 er fra 2010, siger ikke noget om, hvornår arbejdet blev udført.

Foreholdt fra bilag Q-7, ekstrakt 16, side 208, forklarede vidnet, at Tiltalte 1 havde sagt, at han ikke havde kendskab til den krypterede container. De har derfor ledt i den krypterede container efter filer, der relaterede sig til Tiltalte 1. Disse filer virkede relevante. Der var ca. 1.100 filer i den pågældende mappe. Der lå blandt andet nogle chats. Der var ingen billeder relateret til Tiltalte 1. Fakturaen kan sagtens være ældre end den krypterede container og flyttet derover efter, at containeren er blevet oprettet.

Foreholdt fra bilag Q-7, ekstrakt 16, side 219, forklarede vidnet, at tallene i ”IP adresse 6” ligner en IP-adresse. Han har ikke haft noget med efterforskningen af den adresse at gøre.

Foreholdt fra bilag Q-29 (supplerende erklæring af 6. marts 2014), ekstrakt 20, side 49-55, forklarede vidnet, at skærmprintet viser roden til cpr-mappen. Han kan ikke sige, om Bank 1-filerne blev fundet i cpr-mappen, da han har koncentreret sig om de Virksomhed 6 og Forurettede A/S filer, der blev fundet der.

side 103

Foreholdt fra bilag Q-29, ekstrakt 20, side 57, punkt 88, forklarede vidnet, at han tror, at ”Filnavn 1” -chatfilen er kopieret fra et chatprogram over i den krypterede container. Det tydede på, at man gerne ville gemme den. Han kan ikke sige, om det er en af Tiltalte 1's computere, der har været anvendt til chatten.

Foreholdt fra bilag Q-29, ekstrakt 20, side 60, forklarede vidnet, at eftersom filer fra Forurettede A/S, Virksomhed 6 og Bank 1 lå i samme mappe - og der er over 60.000 mapper - er det sandsynligt, at det er den samme person, der har lagt dem der. Det er særdeles svært at finde rundt i computeren, som umiddelbart ser ud til at være meget rodet opbygget, og filerne er navngivet helt absurd. Han har aldrig set noget lignende.

Vidnet havde ikke været med til undersøgelsen af den klonede computer i marts.

Foreholdt fra bilag Q-32 (supplerende erklæring af 6. maj 2014), ekstrakt 20, side 90, forklarede vidnet, at virusscanningen blev påbegyndt i uge 11. Det tog flere uger at køre scanningerne igennem, og man fik nok først resultatet i maj.

Foreholdt fra bilag Q-32, ekstrakt 20, side 91, forklarede vidnet, at man givetvis kunne komme ind i den bærbare Computer 1 via den stationære Computer 2 og omvendt. Computer 1 har i vidt omfang betjent Computer 2. Det ville ikke efterlade en log. Det er primært Computer 2, der er brugt til at trænge ind i Forurettede A/S. Det er formentlig sket ved brug af Computer 1. Begge computere har været benyttet. Computerne har samme eksterne IP-adresse.

Foreholdt fra bilag Q-34 (supplerende erklæring af 3. juli 2014), tillægsekstrakt II, side 148, forklarede vidnet, at han ikke kan forklare, hvorfor computeren Computer 1 gik i dvale den 30. august 2012, kl. 12.52.53, når Tiltalte 1 blev anholdt kl. 09.30. Han ved ikke, hvordan cambodiansk politi har sikret data. Måske har den stået åben, indtil de har lukket låget og taget den med. De har nok ikke været computereksperter.

Vidne 7, Säpo, har forklaret, at han har arbejdet i 5 år hos sikkerhedspolitiet i Sverige. Han er uddannet dataingeniør, har taget en del kurser og er specialiseret i tekniske sikkerhedsundersøgelse, penetrationstest og webapplications-undersøgelser.

Han begyndte som programmør i nogle år for et privat firma, så var han ansat hos FRA (Forsvarets Radioanstalt), og herefter var han konsulent hos et privat sikkerhedsfirma. Hossikkerhedspolitiet foretager han it-sikkerhedsmæssige undersøgelser og rådgiver myndigheder og visse private virksomheder om incidenthåndtering. Sikkerhedspolitiet medvirker også med it-viden til brug for forundersøgelser i Sverige.

Han har været involveret i flere sager.

Han hørte første gang om, at Virksomhed 6 var blevet hacket, i februar/marts 2012. Det var Virksomhed 6, som nu hedder Virksomhed 12, der var blevet angrebet, og en stor mængde informationer var blevet stjålet eller kopieret ud. Hele indtrængningen blev opdaget af en mainframe operatør. Angrebet blev opdaget, fordi kunderne hos en mainframeleverandør betaler efter forbrug af mainframen, og mainframen hos Virksomhed 6 arbejdede mere, end den burde. Det blev undersøgt nærmere, og man opdagede, at der var nogen, der havde været inde i systemet.

side 104

Virksomhed 6 er en outsourcing-virksomhed i Sverige, der kan sammenlignes med Forurettede A/S. De har mange forskellige kunder, blandt andet Skatteverket og Kronofogden. Selskabet Bisnode – som tidligere hed Virksomhed 13 - var også kunde hos Virksomhed 6 og hostede oplysninger, som tilhørte Rikspolisen i Sverige.

Ved sagens begyndelse var det noget kaotisk, og der var mange myndigheder involveret, blandt andet Länskriminalpolisen i Stockholm og Rikskriminalpolisen.

Han blev en del af den efterforskningsgruppe, som ledede forundersøgelsen. De sad blandt andet tre uger hos Virksomhed 6 for at håndtere sagen.

Det var åbenlyst, at sporet førte til Cambodia på grund af IP-adresserne. De kunne derfor knytte angrebet dertil. De havde også kendskab til, at Tiltalte 1 boede i Cambodia. Vidnet vidste, at Tiltalte 1 var en meget dygtig programmør og tekniker. Vidnet havde ikke været involveret i Program 11 sagen. Denne nye sag vedrørte ikke Program 11, men drejede sig om computerindtrængen.

Vidnet var i Cambodia sammen med to andre fra svensk politi; Vidne 9 og Person 19. Det var meningen, at de skulle have været til stede, da det cambodianske politi slog til mod lejligheden, men af en eller anden årsag slog cambodianerne til tidligere. Da de ankom til Cambodia, var Tiltalte 1 allerede anholdt.

De fik forevist udstyret i et rum, som have været overvåget af det cambodianske politi døgnet rundt. Sammen med Vidne 9 spejlede han de to computere. Der var beslaglagt en MacBook Pro og en stationær computer. Vidnet så ikke en HP-computer. De hørte første gang om en HP-computer i byretten i Sverige, hvor Tiltalte 1 forklarede, at der havde været en HP-computer i lejligheden. Vidnet har ikke på noget tidspunkt set en HP-computer.

Tiltalte 1's it-udstyr kom med til Sverige, og vidnet har undersøgt alt det it-mæssige.

I den svenske sag var yderligere en person mistænkt og senere Person 21Person 21 Person 21. Person 21 blev anholdt før Tiltalte 1 i foråret 2012. I forbindelse med anholdelsen af Person 21 fandt de en stor mængde chat-konversationer på en server, hvor Person 21 rådede over lagerplads. De gennemgik alle chatkonversationerne. Vidnet mener, at der i en chat blev sagt noget med ”btw vi har vairt pa danska motsvarigheten oxo” . Chatten var med nogle personer med nicks. Den ene var Kaldenavn 9 eller Kaldenavn 8. Person 21 benyttede nicknavnet Kaldenavn 20. Det står i forundersøgelsen.

Det var vist Rikskriminalpolisen, der første gang tog kontakt til dansk politi i juni 2012. Der havde de andet at gå efter end det, de så i chatten. Han hjalp en kollega, Person 35, med at udfærdige en skriftlig henvendelse, som blev sendt til dansk politi. Den 19. september 2012 skrev vidnet et memorandum, som også blev sendt til danske politi. I februar 2013, da hans chef skulle mødes med dansk politi, sendte vidnet endnu en

side 105

skriftlig henvendelse med sin chef til danske PET.

Vidnet mødtes først med dansk politi, da dansk politi kom til Sverige i april 2013. Hans kontaktperson var hovedsageligt Vidne 5, og han har også forsøgt at kontakte PET i Danmark. Den danske efterforskningsgruppe har været på besøg mindst to gange i Sverige, og vidnet var med hver gang.

Foreholdt fra bilag C-1-2 (svensk forundersøgelse), tillægsekstrakt VI B, side 221, forklarede vidnet, at det er korrekt, at det var personen med nicket ”Kaldenavn 10” og ikke ”Kaldenavn 8” , der udtalte ”btw vi har vairt pa danska motsvarigheten oxo” .

Vidnet har undersøgt begge harddiske i den stationære computer. Det lykkedes dem at dekryptere den krypterede container t001a på MacBook Pro’en. I Windows-systemet fandt de den ”nøgle” , der kunne bruges til at låse containeren op. De fandt ikke noget password, og man kan ikke "gå baglæns" for at finde passwordet til containeren.

Der var krypterede filer både på MacBook’en og på den stationære computer. Der var også hele partitioner på den stationære computer, som var krypterede. Der er fortsat en hel del filer og mapper, som de ikke har fået adgang til.

De fandt chatfilen Filnavn 1 mellem Profilnavn 1 og Profilnavn 2 ved den tekniske undersøgelse. Chatten var også i TrueCrypt containeren under en mappe, der hed (TC\a\x) cpr. De fandt mange andre chatkonversationer i TrueCrypt containeren, ca. 300.000 linjers chat. Han vil tro, at det både er hele chats og dele af chats fra forskellige kanaler. Han tror, at chatprogrammet har været indstillet til automatisk at gemme, hvad der blev sagt under chattene. Chatfilerne var gemt i TrueCrypt containeren. Han tror, at man efterfølgende har lagt chattene i TrueCrypt containeren for at beskytte dem ekstra.

Der skal angives password, hver gang man vil ind i TrueCrypt containeren, eller hvis man lukker ned og lukker op igen. TrueCrypt containeren åbner ikke automatisk, når man åbner computeren. Hvis chatfilerne skulle gemmes i TrueCrypt containeren, skulle containeren derfor åbnes først.

Da han fandt chatten mellem Profilnavn 1 og Profilnavn 2, trak han nogle linjer ud for at gøre dansk politi opmærksom på, at det så ud til at være en chat med en dansk person involveret. Han mener, at meddelelsen om dette blev sendt via PET, og dansk politi fik derpå adgang til materialet, da de var i Sverige.

De har sikret alt materiale kriminalteknisk korrekt. Han mener, at chatfilen var på en disk, som dansk politi fik med hjem, da de var i Sverige.

Foreholdt fra bilag M-2-1-1-2, ekstrakt 10, side 91, forklarede vidnet, at det var den chatfil, han stødte på. Så vidt han kan bedømme, så den sådan ud, da han fandt den i computeren. Han kan genkende konversationen, som han har set flere gange. Han kan ikke sige, om chatten er tilrettet for at gøre den læsbar. De spejlede/kopierede alt materialet fra Cambodia. Når materialet er sikret på den måde, er det ikke muligt at

side 106

ændre i det.

Vidnet undersøgte begge de beslaglagte computere. Den version af Windows, der var aktuel, da MacBook'en blev beslaglagt, var installeret den 11. juli 2011.

Foreholdt fra bilag Q-6-1 (svensk forundersøgelse), ekstrakt 16, side 100, forklarede vidnet, at teksten er skrevet af Länskriminalpolisen, men han er enig i iagttagelserne. Der havde også været en tidligere installation af Windows på MacBook'en. Man målte tid på forskellige måder i computeren, og her målte man antal millisekunder 1970. Han mener, atde tidsmæssige oplysninger er korrekte. Den første Windows installation på MacBook'en fandt sted den 16. november 2010. Senere blev den opgraderet.

Foreholdt fra bilag Q-6-1, ekstrakt 16, side 103, forklarede vidnet, at TrueCrypt containeren også blev skabt den 16. november 2010. Den må være flyttet med over i den nyere installation af Windows, da den fortsat eksisterede og blev brugt frem til beslaglæggelsen.

Foreholdt fra bilag Q-6-1, ekstrakt 16, side 104, forklarede vidnet, at ”lnk” er filer, som Windows automatisk skaber. ”Filnavn 4” -filen blev skabt den 16. november 2010. Program 12 er et program, man kan bruge til chat.

Anklageren dokumenterede fra bilag Q-34 (supplerende erklæring af 3. juli 2014), tillægsekstrakt II, side 147.

Vidnet forklarede, at der i den krypterede container også blev fundet filer fra Virksomhed 6-forholdet.

Foreholdt fra bilag Q-6-2 (oversættelse af den svenske forundersøgelse), ekstrakt 16, side 171, forklarede vidnet, at man kunne konstatere i Virksomhed 6 FTP-log, at der den 4. marts 2012 blev afgivet en kommando med henblik på at oploade og slette en fil på mainframen. Brugernavn 12 er meget anvendt i forbindelse med indtrængen mod Virksomhed 6.

Forespurgt af advokat Luise Høj vedrørende IP adresse 7 forklarede vidnet, at der har været en stor mængde IP-adresser i sagen, og han husker ikke specielt denne.

Anklageren dokumenterede fra bilag Q-6-2, ekstrakt 16, side 166, hvoraf det fremgår, at der er tale om en tysk IP-adresse.

Foreholdt fra bilag Q-6-2, ekstrakt 16, side 172, forklarede vidnet, at det er på baggrund af IP-adressen, man kan se, at det har noget med Forurettede A/S at gøre.

Der blev logget på mange forskellige måder i MacBook'ens TrueCrypt container. Der blev brugt værktøjer som PuTTY, der har logget alle kommandoer, der blev udført. I nogle tilfælde blev der logget på andre måder.

side 107

Man kan se hvilke IP-adresser, der har været kontakt med. De fandt stjålet materiale fra Forurettede A/S, som lå i TrueCrypt containeren.

Nogle filer lå på den stationære computer og nogle lå i TrueCrypt containeren på MacBook'en. De havde fundet færdige angrebsscripts, hvor man kunne se målene. I scriptene kunne man vælge mellem Forurettede A/S, Bank 1 eller andre mainframes i andre lande. Han husker ikke præcist, om disse scripts lå i den stationære computer eller i TrueCrypt containeren, da det er 2½ år siden.

Foreholdt af advokat Luise Høj fra bilag Q-29, ekstrakt 20, side 56, forklarede vidnet, at en del af Bank 1-filerne også lå i TrueCrypt containeren, men der kan også være Bank 1-filer andre steder. Der lå filer spredt ud over det hele.

Vidnet forklarede, at angrebene mod Virksomhed 6 begyndte før 2012. Angrebene blev mere og mere sofistikerede, og der blev opdaget nye sårbarheder i Virksomhed 6 mainframe. Til sidst opnåede angriberen den højest mulige brugerstatus i den Program 6lignende del af mainframen. Virksomhed 6 brugte samme operativsystem som Forurettede A/S. Hackeren brugte også Software sårbarheder mod Virksomhed 6, som kørte med styresystemet Program 1 ligesom Forurettede A/S.

Foreholdt fra bilag Q-6-1 (svensk forundersøgelse), ekstrakt 16, side 123, forklarede vidnet, at angriberen ved angrebet på Virksomhed 6 havde udviklet nogle værktøjer for lettere at få adgang. Angriberen havde logget alt, når han havde kørt programmerne. De så på indholdet af en ”aptftp.log” , som også lå i den krypterede container, og kunne se, hvilke kommandoer der var givet til mainframen, og hvilke IP-adresser, der var anvendt.

Foreholdt fra bilag Q-6-1, ekstrakt 16, side 126, forklarede vidnet, at de har fundet flere forskellige varianter af scriptet ”Script 13” . De fandt også kildekoden til scriptet, dvs. de tekster,der blev brugt til at skabe programmet. Script 13 var bagdøren, som blev downloadet hos Virksomhed 6 for at få lettere adgang til mainframen. Han husker ikke præcist hvor på Tiltalte 1's computer, kildekoden blev fundet, men det må stå i protokollen. Kildekoden til scriptet er han imidlertid sikker på blev fundet på Tiltalte 1's computer.

Vidnet har samarbejdet en hel del med dansk politi om efterforskningen. Svensk politi sikrere alt materialet i Cambodia. Dansk politi har haft adgang til alt materialet, når de har været i Sverige, og har sagt, hvad de syntes, var relevant. Dansk politi har fået alt det materiale, som de har bedt om. Svensk politi har ikke udleveret det krypterede materiale, fordi de ikke vidste, hvad det indeholdt, og derfor var det uansvarligt at sende det videre. Dansk og svensk politi har haft adgang til det samme materiale.

Vidnet har deltaget i undersøgelser vedrørende fjernstyring. De undersøgte mulighederne for fjernstyring, da Tiltalte 1 pludselig forklarede, at der havde været fjernstyring med tilgang til en lab-server. Under nye afhøringer oplyste Tiltalte 1 om nye måder til fjernstyring, og det undersøgte de også. Tiltalte 1 påstod, at det var via Remote Desktopeller Program 23 server, men efter vidnets mening kunne begge dele dementeres.

Foreholdt fra bilag C-1-2 (svensk forundersøgelse), tillægsekstrakt VI B, side 182,

side 108

forklarede vidnet, at hvis man skal åbne sin computer for fjernstyring, kan man gøre det på forskellige måder. Hvis man anvender Windows, vil det være normalt at bruge Terminal Service eller Remote Desktop. Disse services er indbygget i Windows, men de skal aktiveres, og det var de ikke på Tiltalte 1's computer. Udgangspunktet for undersøgelsen var, hvad Tiltalte 1 havde sagt til afhøringerne. De kontrollerede, om der fandtes en log, som viste, at Remote Desktop var aktiveret, startet eller anvendt, hvilket de ikke fandt. Man kan af tidsstemplerne se, at der ikke er ændret noget, siden operativsystemet blev installeret.

De så også på firewall’en, for hvilken der gælder en stor mængde regler. Antallet af regler siger ikke noget om sikkerhedsniveauet. Firewall’en var aktiveret på computeren. Man kan selv vælge reglerne, eventuelt når man installerer programmet. Reglerne viser, hvilken trafik det er tilladt at komme ind på computeren, og hvilken der får lov til at forlade den. Undersøgelsen viste, hvordan Tiltalte 1's computere var konfigureret på tidspunktet for anholdelsen i Cambodia, hvor de spejlede computerne.

Foreholdt fra bilag C-1-2, tillægsekstrakt VI B, side 185, forklarede vidnet, at ”Program 16” er et debugger program. De så reglerne, men det betyder ikke noget, hvad der står, hvis det ikke er i gang. De undersøgte, hvad der kørte på computeren, og det eneste, der var i gang, var Windows standardtjenester.

Foreholdt fra bilag C-1-2, tillægsekstrakt VI B, side 186, forklarede vidnet, at ”Program 24” teoretisk set kan anvendes til fjernstyring, hvis programmet er aktiveret, men det var det ikke på Tiltalte 1's computere. Årsagen til, atprogrammet er nævnt i firewall'en, er alene, at det er en regel. Det er ikke ensbetydende med, at programmet er aktivt.

Hvis programmet havde været aktivt, så havde reglen haft en funktion. Hvis man har en regel, men programmet ikke er aktivt, kan man ikke bruge reglen til noget. Programmet havde ikke været aktivt her. Når der står "Any", betyder det ikke, at alle har adgang. Det er en regel og fortæller ikke, hvad der kører på computeren. Det er en regel, som kan bruges, hvis programmet er aktivt.

Foreholdt fra bilag C-1-2, tillægsekstrakt VI B, side 187, forklarede vidnet, at han fik forevist et Script 5 i landsretten i Sverige. Han havde der forklaret, at scriptet kunne tage i mod kommandoer. Script 5 er egentlig et programmeringssprog, og der er mange forskellige ting, man kan skrive i Script 5. Det Script 5, han fik forevist i Sverige, fik han meget kort tid til at se på.

Script 5 modtager kommandoer, eksekverede dem og kører kommandoer. Det kan bruges til alle mulige kommandoer. Han svarede derfor ja til spørgsmålet, om Script 5 teoretisk ville kunne bruges til at fjernstyre en computer. Vidnet ville ønske, at spørgsmålet var, om det var muligtat bruge dette Script 5 til at fjernstyre computeren til angrebet, og så ville han have svaret nej. Første gang vidnet blev præsenteret for dette emne var i landsretten umiddelbart efter Vidne 4's forklaring. Det er vidnets opfattelse, at Script 5 ikke kunne bruges til at fjernstyre Tiltalte 1's computer.

Der er foretaget så mange ting på Tiltalte 1's computer, herunder åbnet og anvendt en

side 109

TrueCrypt container, installeret Program 2 og chattet. Det forekommer på den baggrund meget usandsynligt, at det skulle være foregået ved hjælp af Script 5.

De ledte ikke eksplicit efter Script 5's på Tiltalte 1's computere, men de fandt op til 5.000 varianter. Men det betød ikke noget, fordi det afgørende er, hvad der kørte og var aktivt på computerne, og intet var aktivt.

Foreholdt fra bilag Q-21 (politirapport af 14. januar 2014), ekstrakt 17, side 198, forklarede vidnet, at det er korrekt, at de har undersøgt MacBook’en i virtualiseret stand. Det giver et hurtigt indtryk af, hvordan computeren starter op, og hvordan skrivebordet ser ud.

Foreholdt fra bilag Q-21, ekstrakt 17, side 207, forklarede vidnet, at de har installeret de to programmer i forbindelse med virtualiseringen af MacBook Pro’en. De har installeret programmerne for at lave undersøgelsen. De af dem installerede programmer har ikke haft indvirkning på konklusionen af undersøgelsen.

Foreholdt fra bilag Q-30 (politirapport af 15. maj 2014), ekstrakt 20, side 63, forklarede vidnet, at han også har hjulpet dansk politi med denne live-undersøgelse af MacBook’en. De ville se, om computeren på nogen måde prøvede at kommunikere udad til og kontakte tjenester derude. De lyttede til trafikken med snifferprogrammet Program 15. Der var forskellige brugere på computeren. De fik besked fra dansk politi om, at de skulle lave undersøgelsen både uden at være logget ind og logget ind som Brugernavn 10.

Undersøgelsen strakte sig vist over 48 timer. Computeren gik i dvale efter 30 minutter, hvis den havde strømforsyning. Dette er indbygget i Windows. Hvis der ikke var sat strøm til, gik den i dvale efter 20 minutter. Det var de indstillinger, der havde været, da computeren blev beslaglagt Cambodia i 2012. Efter tilladelse fra den danske efterforskningsgruppe slog de sleepmode-funktionen fra.

Da de undersøgte computeren, var de den ene gang logget på som Brugernavn 10, den anden gang var de ikke logget på.

Der kan godt være forskel alt efter, hvilken bruger der er logget på. Der kan derfor godt være programmer, der er synlige for Brugernavn 10 og ikke for Brugernavn 13. Det kan man vælge ved installation af programmet.

Foreholdt fra bilag Q-32 (supplerende erklæring af 6. maj 2014), ekstrakt 20, side 89, forklarede vidnet, at han også har hjulpet politiet med denne antivirusscanning.

Svensk politi havde ikke undersøgt computerne for vira, da det var tydeligt for dem, at brugeren af computeren selv havde udviklet malware og spredt virus. Der ville derfor komme rigtig mange advarsler, hvis man virusscannede. At der var mange vira på Tiltalte 1's computer, kom ikke bag på vidnet. Efter hans opfattelse havde brugeren af computeren selv udbredt virus til andre. Det blev der også snakket om i nogle chats, blandt andet en chat af 14. juli 2011 mellem Brugernavn 14 og Kaldenavn 9, som lå i TrueCrypt containeren.

side 110

Der var ca. 300.000 linjer med chats i Tiltalte 1's computer. Vidnet mener, at der er flere chats, som indikerer, at der er udviklet malware på computeren.” IE9bac” drejer sig om Internet Explorer 9, og han mener, at chatten indikerer, at man har fundet en fejl i programmet, som kan udnyttes senere.

Ved undersøgelsen kørte man Program 15, hvilket han vil kalde en netværkssniffer. De har også kørt Program 21 på anmodning fra Danmark.

Han kan ikke genkende, at fjernstyring gennem Program 13 og debugger er nævnt ved afhøringerne af Tiltalte 1 i Sverige. I så fald burde det stå i protokollen.

Forespurgt af advokat Luise Høj forklarede vidnet, at han ikke var til stede, da cambodiansk politi beslaglagde computerne i Tiltalte 1's lejlighed. Svensk politi havde tilkendegivet over for cambodiansk politi, at det var meget vigtigt for svensk politi, at tingene blev sikret kriminalteknisk korrekt. Da de fik forevist computerne, forklarede cambodiansk politi, at de bare havde lukket låget på MacBook’en.

Lejligheden var helt ryddet, da de så den. Vidnet så computeren første gang på politistationen, hvor udstyret lå i en stor bunke. Rent teknisk kan han ikke se, at beviserne er blevet påvirket på nogen måde. Da de så MacBook’en på politistationen, var den lukket helt ned. De skulle have været til stede ved beslaglæggelsen, hvis de skulle have set, hvad der kørte på computerne på daværende tidspunkt.

Før de tog til Cambodia, havde de rettet henvendelse til dansk politi om, at noget tilsvarende i Danmark var blevet hacket ifølge det, som fremgik af en chat, der blev fundeti forlængelse af anholdelsen af Person 21. Rikskriminalpolisen kontaktede dansk politi første gang i juni 2012.

Foreholdt fra bilag E-25-1 (PM af 10. september 2014), tillægsekstrakt VI A, side 4, forklarede vidnet, at det er korrekt, at de ikke vidste, at det var Forurettede A/S i Danmark, det drejede sig om, før de fik undersøgt de beslaglagte computere. Han kan ikke længere huske, hvad der blev skrevet til dansk politi. Han har ikke nogen anelse om, hvorfor der ikke kom respons fra det danske politi. Han ville have ønsket, at dansk politi havde givet livstegn fra sig, men der kan være mange årsager til, at det ikke skete.

Vidnet forklarede, at der var mange faktorer, der pegede på Tiltalte 1. Virksomhed 6 var også blevet angrebet i 2010 og 2011, og allerede dengang mistænkte man Tiltalte 1. Til sidst fandt man en IP-adresse, der første til lejligheden, hvor Tiltalte 1 boede.

Vidnet fik åbent TrueCrypt containeren med en ”nøgle” og ikke passwordet. Når man låser op, anvender man en nøgle, som har et vist udseende, og det var den nøgle, de fandt gemt på selve harddisken. Man kan ikke gå baglæns og finde ud af, hvad passwordet er.

Den chat, som han henledte dansk politis opmærksomhed på i går, er vigtig for at belyse, hvorfor man får så mange virus-alarmer, når man scanner. Det ser ud til at være hele chatten. Den lå sådan i loggen og i TrueCrypt containeren. Vidnet har for ca. 3-6

side 111

måneder siden sagt det til dansk politi.

Foreholdt fra bilag Q-32, underbilag 3, ekstrakt 20, side 108, forklarede vidnet, at man har eksperimenteret en hel del og forsøgt at smitte sin egen computer for at se, om det fungerer. Det kan godt se ud som om, at der var tale om en lab-computer, forstået på den måde, at computeren var blevet brugt en hel del til at teste og eksperimentere. Men det var ikke en lab-server, der var åben for offentligheden.

Det er i sidste ende svært at bevise, hvem der har brugt tasterne. Der er ikke unormalt med syv brugerkonti på computeren, når man bruger den som en lab-computer. Computeren er blandt andet blevet benyttet til reverse ingeneering og exploit udvikling. Det er ikke unormalt, at der er en administrator. Det er ikke usædvanligt, at der logges ind som forskellige brugere på en computer.

I TrueCrypt containeren er der mellem 260.000-300.000 linjer chat. Hvis man lever sit liv på nettet, så tror han, at dette godt kan lade sig gøre over nogen tid. I en del af chattene er der også sat en hel del koder ind, sommetider var der pastet 200 linjers kode ind. Det kan godt være, at man bliver smidt af, hvis man sætter for lange koder ind, men det kommer an på, hvem der kontrollerer chatserveren.

Han kan godt have taget fejl med hensyn til Program 6-time, om det er millisekunder eller sekunder.

Foreholdt fra bilag Q-6-1 (svensk forundersøgelse), ekstrakt 16, side 104, forklarede vidnet, at han ikke har foretaget en fuldstændig undersøgelse af alle de virtuelle maskiner.Der var mange af dem, og de har undersøgt et antal. I forundersøgelsesrapporten har de taget de ting med, som er fundet af betydning for efterforskningen. Der er en række ting, de har set, som de ikke har indført i rapporten.

Tiltalte 1 har under afhøringer selv forklaret, at uret i hans computer var i stykker. Det indebærer, at computeruret ind i mellem gik forkert. Det har derfor været et stort puslespil for teknikerne at finde ud af tidsstemplerne. Det har været et stort problem for dem at finde ud af de rigtige tider i computeren. Man har dog tit en reference, når man kobler til en server, som angiver, hvornår der er koblet til.

I Windows-mappen er der en reference til, at Program 23 server har været installeret.

Vidner mener, at computeren gik i dvale efter 30 minutter.

Foreholdt fra bilag Q-30 (politirapport af 15. maj 2014), ekstrakt 20, side 69, om, at svensk politi ikke har set på dette i deres efterforskning. Betydningen af at computeren har været gået i dvale 98 gange i perioden 14. juli 2011 til 4. september 2012 kan han ikke udtale sig om.

Computeren kan godt have været konfigureret på en anden måde, da indtrængen hos Forurettede A/S fandt sted, end den var på undersøgelsestidspunktet.

Han kan ikke nærmere forklare omkring antallet af genstarter.

side 112

Firewall-reglerne har nok eksisteret hver og en på et eller andet tidspunkt, men det er bare et regelsæt, og det viser ikke, om det er muligt at fjernstyre computeren eller ej. Når reglerne optræder, er det nok fordi, de har været relevante på et tidspunkt.

Foreholdt af advokat Michael Juul Eriksen fra bilag Q-26 (politirapport af 14. januar 2014), ekstrakt 20, side 31, forklarede vidnet, at Person 21 bruger nicknavnet Kaldenavn 20. Person 21 var tiltalt i sagen i Sverige sammen med Tiltalte 1. Person 21 blev dømt for indtrængen hos Virksomhed 6 og Virksomhed 13 og havde ikke noget med indtrængen hos Bank 1 at gøre.

Foreholdt fra bilag C-1-2 (svensk forundersøgelse), tillægsekstrakt VI B, side 77, forklarede vidnet, at Kaldenavn 20 er registreret som indehaver af IP-adressen ”IP adresse 8” , som er registreret hos internetudbyderen ”internetudbyder” .

Dansk politi har fået hele chatten mellem Profilnavn 1 og Profilnavn 2. Den chatfil, der blev fremlagt i retten i dag, er fra en logfil i TrueCrypt containeren. Det er vidnet, der har udpeget den, men han kan ikke det hele udenad.

Foreholdt at chatten er på 1.200 linjer, forklarede vidnet, at han opfordrede dansk politi til at tage chatten med i deres efterforskning. Han har også sendt en mail til Person 29 og anklageren for at gøre dem opmærksomme på chatten. Han har kopieret lidt af chatten ind, så den kunne identificeres.

Forespurgt af advokat Luise Høj forklarede vidnet, at han ikke husker nøjagtigt, hvor lang chatten er. Han mente bare, at der stod noget af stor betydning.

Forespurgt af anklageren forklarede vidnet, at han mener, at Tiltalte 1's computer nok fungerede som lab-computer, fordi der blev testet og eksperimenteret en hel del. Det forhold, at en computer har været benyttet som lab-computer, er ikke ensbetydende med, at den har været fjernstyret.

Vidne 8 har forklaret, at han er afdelingschef i Center for Cybersikkerhed, som er en del af Forsvarets Efterretningstjeneste. Det er den nationale it-sikkerhedsmyndighed. Han har arbejdet med cybersikkerhed i mange år. Han har tidligere været chef for CERT i Danmark, som var en slags udrykningsenhed for it-sikkerhed.

Centeret blev involveret i denne sag i juni 2013, hvor de blev anmodet af politiet om ekspertbistand. De har ikke efterforsket sagen, men de har udarbejdet forskellige tekniske erklæringer.

Advanced Persistent Threat (APT) er udtryk for de mest avancerede og alvorlige angreb. Et APT-angreb har flere faser, hvor førstefase er rekognoscering; indsamling af informationer om målet. I næste fase gør man angrebet vedvarende ved at sprede sig ind i netværket og lægge bagdøre ind. Til sidst udfører man exfiltration af data. I denne fase bruger man de data, man har fundet, fx brugernavne og kodeord, så man kan maskere sig

side 113

som en legitim bruger. Man kan også kopiere eller slette specifikke dokumenter.

Forevist skitse i bilag M-1-18, ekstrakt 7, side 215, forklarede vidnet, at det er de faser, han taler om. Når man ved rekognoscering har fundet målet, undersøger man, hvilken version operativsystem, der anvendes. Man undersøger derefter vejen ind i systemet samt tilpasser koder dertil, så koderne passer til det miljø, der arbejdes i, fx Styresystem 1 eller Windows. Afsendelsen er, når man skal have sin kode installeret. Det kan fx ske ved, at man uden at nogen opdager det lokker en bruger til at trykke på et link eller en vedhæftet fil, hvorved koderne installeres. Derpå trækker man information ud af netværket.

Anklageren dokumenterede fra bilag Q-20 (rapport af 20. august 2013) fra CCS, ekstrakt 17, side 193-195.

Vidnet forklarede, at det er ret simpelt at knække en RACF-database med svage kompleksitetskrav. En RACF-database er populært sagt et nøglebundt, hvor man kan bruge de forskellige brugernavne og adgangskoder som nøgle til de forskellige tjenester og programmer. Når man stjæler en liste over brugernavne og kodeord, får man adgang til at bevæge sig rundt som legitim bruger og anvende de tjenester, der findes i systemet. Det kommer an på den lokale logning, om opdagelsesrisikoen er mindre på den måde.

Forespurgt af advokat Luise Høj vedrørende afsnittet ”4: Øvrige tanker:” forklarede vidnet, at det alene er en illustration af, at mere computerkraft gør det nemmere at bryde koder.

Forespurgt af advokat Michael Juul Eriksen forklarede vidnet, at de udførte forsøget på en kopi af RACF-databasen. De har gjort det for at vise, hvor let det var at få adgang til den. De foretog en Google søgning efter måder, tog det første resultat og prøvede det værktøj af. De har ikke konstateret, at andre har gjort det samme, som de har forsøgt.

Anklageren dokumenterede fra bilag Q-38 (erklæring af 16. juni 2014) fra CCS, tillægsekstrakt II, side 210.

Vidnet forklarede, at han kender erklæringen. Erklæringen er udarbejdet efter anmodning fra politiet. De kunne konstatere, at Script 5 på grund af en teknisk fejl ikke kunne afvikles, medmindre man tilføjede en kode. Script 5, som det blev præsenteret i retten i Sverige, ville derfor ikke virke. Efter rettelsen kom der en advarsel i Windows, når det blev eksekveret.

De fem nævnte forudsætninger skal være opfyldt for fjernstyring.

Når man har en dynamisk IP-adresse, har man ikke et fast "telefonnummer". IP-adressen kan skifte fx ved at lejen udløber eller på grund af en strømafbrydelse. Det er den lokale opsætning, som er afgørende.

Selv om alle fem forudsætninger måtte være opfyldt, er det deres vurdering, at det er meget usandsynligt, at der har været adgang til fjernstyring. Det givne eksempel er det forkerte værktøj til at styre PuTTY med, da værktøjet er tekstbaseret, og PuTTY er

side 114

grafisk baseret. Ved anvendelse af bagdøren vil en skærm vise sig, og en eventuel bruger via fjernadgang ville ikke kunne betjene skærmen med Script 5. Den, der sidder ved computeren, kan se det, men fjernstyreren vil ikke kunne overføre kommandoer ad denne vej, da det er det forkerte værktøj.

Dade testede programmet, skrev en fysisk person den kommando, der startede programmet. Fordelen ved en bagdør er, at den fungerer automatisk, så der ikke skal være en fysisk person involveret. Det er en forudsætning for, at bagdøren virker, at der er automatisk opstart ved genstart. Det script, de har fået præsenteret, har ikke nogen genstartsfunktionalitet.

De leder altid efter to karakteristika, når de skal identificere fjernstyring ved APT-angreb. Dels leder de efter automatisk opstart, som angriberen bruger for at opretholde sit fodfæste, hvilket efterlader spor på computeren. Dels leder de efter beaconing, hvilket indebærer, at computeren giver besked om sin IP-adresse.

Det er vigtig for angriberen at have et stabilt computermiljø omkring sig, fx når han skal hente data ud. Automatisk opstart og beaconing er klassiske tegn på, om en computer er fjernstyret eller ej. Det er ikke til stede i dette Script 5. Det er derfor det forkerte værktøj til at fjernstyre en computer med PuTTY.

Forespurgt af advokat Luise Høj, forklarede vidnet, at de havde fået oplyst, at det var Vidne 4, der havde lavet scriptet.

Foreholdt fra bilag Q-38, tillægsekstrakt II, side 212 og bilag Q-21 (rapport af 14. januar 2014), underbilag 2, ekstrakt 17, side 203, forklarede vidnet vedrørende forudsætning nr. 1, at han af screendumpet kan se, at der er en genvej til Program 22. Han må derfor antage, programmet er installeret. Han kender Program 22, men han har ikke brugt det og ved ikke, om det arbejder sammen med eller er afhængig af Script 5. Det har ikke været en del af deres undersøgelse.

Vedrørende forudsætning nr. 2 forklarede vidnet, at scriptet ikke virkede, før de lavede den tekniske rettelse som vist side 211. Efter de lavede rettelsen, kunne det virke som en bagdør. De har sat en parentes og skrevet ”Navn 7” .

Vedrørende forudsætning nr. 3 forklarede vidnet, at de ikke har undersøgt den router, der har været knyttet til computeren i denne sag. Hvis man har et set-up, hvor man fra internettet via en router vil fjernstyre en computer, skal man have konfigureret routeren, så opkald fra internettet bliver viderestillet. De har afprøvet det i et laboratorium. De har ikke undersøgt Tiltalte 1's router og routerens firewall.

Foreholdt fra bilag C-1-2 (svensk forundersøgelse), tillægsekstrakt VI B, side 187, vedrørende forudsætning nr. 4 forklarede vidnet, at denne oversigt viser firewall’en i computeren - ikke i routeren. Når han ser på 2. og 3. række om ”Script 5” , kan man i 2. og 3 kolonne se, at nogen i firewall’en på et tidspunkt har givet adgang til computeren fra hvilken som helst IP-adresse. Det svarer til, at man har klikket på "allow". Når den regel står i firewall’en, er det, fordi man har kørt et Script 5 i firewall'en. Det er resultatet af en handling (klikket).

side 115

Vedrørende forudsætning nr. 5 forklarede vidnet, at de ikke har undersøgt Tiltalte 1's computer. Hvis man skal have glæde af en bagdør, skal man kende IP-adressen. Han er bekendt med, at der er programmer, der offentliggør IP-adresser. Han kender godt IRC-chatforum. Det er muligt at få vist sin IP-adresse løbende på IRC, men han ved ikke, om det er sket i dette konkrete tilfælde. Det er en mulighed, hvis man er interesseret i at fortælle folk, hvor man er.

Da det ikke har været en del af hans undersøgelse at gennemgå Tiltalte 1's computer, kan han ikke svare på, om der har været fjernstyringsprogrammerpå den. Hans besvarelse er generel.

Foreholdt fra bilag Q-44 (rapport af 18. september 2014 fra NC3), tillægsekstrakt VI A, side 116, forklarede vidnet, at han kender Program 19. Program 19 er en protokol til Windows, som forbinder netværk. Program 19 indikerer ikke i sig selv, at fjernkontrol er tilladt.

Forespurgt af anklageren forklarede vidnet, at de så efter beaconing i forbindelse med ATP-angreb. Hvis man laver en snifferundersøgelse vil den afsløre, om der er installeret et program, som udfører beaconing. Ved beaconing sendes der besked ud på nettet om, at en bagdør er klar til brug. I forbindelse med et angreb, der har været mod Erhvervs-og Vækstministeriet, sendte en computer en besked ud en gang i timen.

Vidne 9, svensk politi, har forklaret, at han arbejder som it-efterforsker hos Länskriminalpolisen i Stockholm. Han har en treårig uddannelse inden for systemvidenskab og it-efterforskning. Han har arbejdet for politiet siden 2010. Han er specialiseret indenfor it-kriminalitet.

Sagen mod Tiltalte 1 i Sverige var ikke vidnets første, men der har ikke været andre sager i det her størrelsesforhold. Han deltog fra begyndelsen ved incidenthåndteringen hosRikspolisen, da man opdagede indtrængen hos Virksomhed 6. Han var involveret i sikkerhedsmæssige tiltag i denne anledning. Den 23. marts 2012 opdagede man, at der var indbrud hos Virksomhed 6. Han har arbejdet med sagen fra første dag.

Man fandt forbindelsen til Tiltalte 1 gennem spor af flere computere og i Virksomhed 6 logfiler, både FTP-loggen og access-loggen. Der var også en anden mistænkt i Sverige, Person 21, og i hans computer blev der fundet spor, der knyttede sig til Tiltalte 1.

Vidnet var i Cambodia sammen med Vidne 7. De var ikke til stede, da Tiltalte 1 blev anholdt. De kom til Cambodia den 1. september 2012, dagen efter, at Tiltalte 1 var anholdt. De fik efterfølgende fremvist Tiltalte 1's lejlighed. De var ikke med til at beslaglægge Tiltalte 1's it-udstyr. Vidnet så it-udstyret første gang i et lokale på politistationen, hvor cambodianerne havde samlet det i sorte skraldesække.

Vidnet og hans kollega sikrede materialet ved at lave sikkerhedskopier, så der ikke skete noget med det under transporten til Sverige. Sikkerhedskopierne blev lavet ved spejling, og en spejling kan ikke ændres. I Cambodia spejlede de Tiltalte 1's MacBook og en af

side 116

de stationære harddiske. Der var ikke tid til at spejle begge harddiske. De lavede en ekstra spejling, da de kom tilbage til Sverige, hvor det hele blev spejlet.

Allerede på vej til Cambodia - i Bangkok - så de fotos fra Tiltalte 1's lejlighed. De så særligt efter it-udstyr for at sikre sig, at der ikke var noget it-udstyr, der var gået tabt og for at se, hvilken tilstand tingene var i. De havde bedt cambodianerne om, at svensk politi fik overladt at sikre udstyret, men det var ikke sket.

Han hørte første gang om en HP-computer fra Tiltalte 1's forklaring ved byretssagen i Sverige. Tiltalte 1 havde ikke på noget tidligere tidspunkt nævnt noget om en HP-computer.

Vidnet mødte Tiltalte 1 i Cambodia en gang, da det beslaglagte skulle gennemgås og pakkes ned. Vidnet talte ikke med ham. Vidnet var til stede, da Tiltalte 1 underskrev papirerne vedrørende det beslaglagte. Tiltalte 1 nævnte ikke noget om, at der manglede en HP-computer. Tiltalte 1 kiggede lidt rundt, han sagde ikke noget, og han virkede lidt fornærmet. Vidnet opfattede stemningen som stille og rolig, og Tiltalte 1 virkede ikke nervøs eller bange.

I Sverige begyndte en kollega, Person 36, at arbejde med MacBook’en, mens vidnet analyserede den stationære computers harddisk. Han har primært koncentreret sig om den stationære computer. Der var flere involveret i de tekniske undersøgelser. Han kan indestå for konklusionerne i forundersøgelsen også vedrørende MacBook’en. Vidne 7 foretog ikke kriminaltekniske ("forensic") undersøgelser, dvs. analyse af it-medier for at bistå efterforskningsenheden.

Foreholdt fra bilag Q-6-1 (svensk forundersøgelse), ekstrakt 16, side 93, forklarede vidnet, at de identificerede en Program 2-emulator på den stationære computer. For at kunne køre en mainframe har man brug for hardware. En Program 2-emulator er en form for virtuel hardware, som fungerer som en virtuel mainframe.

Man bruger Program 2 for at simulere en mainframe, men det er ikke en installation i mainframen, men en måde at køre den på. Det er ikke normalt ting at have på sin computer. IBM er ikke involveret i Program 2-emulatoren og udbyder ikke licenser på programmer til mainframes. Det her er en speciel konfiguration, som man selv skal lave. Man får fat på Program 2 ved at downloade det.

Program 2 kan slet ikke anvendes til grafikudvikling, men til test af, hvordan en mainframe fungerer.

Forevist billede side 93 (screendump) forklarede vidnet, at det er skrivebordet for MacBook’en. Der fandtes to programmer, som kan anvendes til at tilslutte sig Program 2-emulatoren på den stationære computer. Den stationære og MacBook’en var forbundet til hinanden.

Forevist billede side 95 (screendumps) forklarede vidnet, at når man skulle tilslutte sig Program 2, fik man dette billede. Navnet på tilslutningen var ”Navn 8” . Man skulleogså angive en IP-adresse på den stationære computer ”IP adresse 9” . Brugernavnet var ”Brugernavn 4” . For at få adgang til Program 2 skulle man logge ind med dette brugernavn.

side 117

De kunne ikke få Program 2-programmet til at virke, da de ikke kunne finde alle de nødvendige filer. Han ved ikke hvorfor. De fik startet det op, men det lykkedes dem ikke at få det til at køre i et mainframemiljø.

Forevist fra side 100 forklarede vidnet, at han ikke har foretaget undersøgelsen. Den 11. juli 2011 kl. 9.18 er installationen af Windows færdiggjort. ”Program 6-time” er antallet af sekunder regnet fra 1. januar 1970. På computeren kan man ændre Bios-tiden. Uret går ikke nødvendigvis rigtigt.

Der var nogle problemer med tiden på Tiltalte 1's computer, fordi batteriet var så dårligt, at det ikke kunne holde strøm nok til at opdatere uret. Det er en kendt produktionsfejl ved en MacBook af denne type. Computeren er kun et par år gammel. Problemet med tiden opstod først senere. Han mener, at Program 6-tiden er udregnet korrekt.

Der har været to installationer af Windows på computeren. Den første var færdig den 16. november 2010, og den blev brugt frem til den 11. juli 2011, hvor der blev installeret en ny version af Windows.

Foreholdt fra side 103 forklarede vidnet, at han mener, at TrueCrypt containeren blev skabt den 16. november 2010. Datoerne findes i filsystemet.

Foreholdt fra side 104 forklarede vidnet, at der i den gamle Windows-installation var en linkfil, Program 12, som skabte forbindelse til software, som lå i den krypterede container. Det er en genvej til Program 12, og den blev skabt den 16. november 2010. Program 12 er en software, som man bruger til at chatte.

Når man ser i boksen ”Link target information” , er det en afspejling af den information, der er på x-filen. ”Program 12.exe” har en "Last write time" den 18. november 2010, hvor der sidst er skrevet til den fil. Selve linket er lavet den 16. november 2010.

"Link target information" er tidspunktet for, hvornår Program 12 blev skabt. Linket blev skabt senere. Det er det, der fremgår på side 140. Man kan se, hvornår programmet er skabt, det er den 8. november 2010, og så laver man linket den 16. november 2010.

Foreholdt fra side 113 forklarede vidnet, at ”sembsn.log” er en logfil, hvor der ses en tilslutning til Virksomhed 6. Den er fundet i MacBook’en.

Den nederste boks på side 113 viser den FTP-logfil, som de har fået fra incident response teamet fra Virksomhed 6. Ifølge den er en fil blevet uploadet og derefter fjernet den 4. marts 2012. Tilslutningen foretages fra en tysk IP adresse 7. De har undersøgt alle IP-adresser, men han husker ikke præcist denne.

Foreholdt fra side 108 forklarede vidnet, at det godt kan passe, at det er en IP-adresse til en server i Tyskland.

Foreholdt fra side 115 forklarede vidnet, at man kunne se, at der fra en tysk IP-adresse var hentet en fil fra Virksomhed 6. Angrebene mod Virksomhed 6 og Forurettede A/S kan godt være sket

side 118

samtidig. Man kan godt tilslutte sig flere mainframes på samme tid. Det kan være for at undersøge, om der er de samme sårbarheder.

Foreholdt fra side 118 forklarede vidnet, at ”inforiks.log” viser en tilslutning til en FTP-server, som blev kørt af Virksomhed 6. Der har været problemer med tidsangivelsen, hvorfor de har været nødt til at beregne tiden selv. Han ved ikke, hvad inforiks står for. Infotorg er en tjeneste, som Virksomhed 6 står for. Alt med betegnelsen t001a lå i TrueCrypt-containeren.

Vedrørende IP-adressen IP adresse 2 forklarede vidnet, at den er tysk, og har været brugt både mod Virksomhed 6 og Forurettede A/S. Man har brugt forskellige IP-adresser ved angrebet mod Virksomhed 6.

Anklageren dokumenterede fra bilag Q-5 (politirapport af 25. april 2013 vedrørende IP-adressen), ekstrakt 16, side 47.

Foreholdt fra bilag Q-6-1 (svensk forundersøgelse), ekstrakt 16, side 124, forklarede vidnet, at Virksomhed 6 havde to mainframes. Bilaget viser partitioner fra Virksomhed 6 mainframe. På den ene partition havde man downloadet hele Virksomhed 6 RACF- database. RACF'en indeholdt brugernavne og koder til systemet til Virksomhed 6. Han husker ikke, om den blev fundet på MacBook’en, men det mener han. ”Datetime 10. marts 2012” er den dato, hvor den blev downloadet fra Virksomhed 6 server til Tiltalte 1's computer.

Han har læst om Script 13-scriptet i den rapport, Virksomhed 6 har skrevet. Han mener, at det blev brugt til at opgradere indtrængerens rettigheder på mainframen.

Foreholdt fra bilag C-1-2 (svensk forundersøgelse), tillægsekstrakt VI B, side 182, forklarede vidnet, at han ikke har foretaget undersøgelser vedrørende fjernstyring.

Forespurgt af advokat Luise Høj forklarede vidnet, at han ikke kan udelukke noget, han ikke har set, men ud fra billederne fra Tiltalte 1's lejlighed, var der ikke en tredje computer i lejligheden.

Vidnet hørte første gang Tiltalte 1 nævne computeren i byretten. Han havde været til stede ved flere afhøringer inden da. De havde spurgt Tiltalte 1 om de beslaglagte effekter, og Tiltalte 1 havde ikke nævnt noget om en tredje computer. Vidnet har aldrig direkte spurgt, om der fandtes en tredje computer.

Det er vidnets opfattelse, at det cambodianske politi gjorde det, så godt de kunne under de forudsætninger, de havde. Svensk politi havde ikke stillet særlige krav til anholdelsen af Tiltalte 1, så når cambodiansk politi anvendte anti-terror enheden var nok, fordi de varbedst til engelsk. Svensk politi havde anmodet om at få lov til at foretage beslaglæggelsen selv. Det blev ikke efterkommet. Det er hans opfattelse, at Tiltalte 1 blev behandlet godt. Han mødte kun Tiltalte 1 kortvarigt en gang. Der var en tredje politimand med, og vidnet har fået oplyst, at han mødte ham dagligt.

Program 2 var installeret på Computer 2. Vidnet fandt flere forskellige programmer på Computer 2, blandt andet Program 18 og Program 25, men han mener ikke, at det indikerer,

side 119

at der nødvendigvis har været flere brugere.

Foreholdt fra bilag Q-6-1, ekstrakt 16, side 93 (screenshot), forklarede vidnet, at han tror, at det er Brugernavn 10, som er logget på.

Foreholdt fra bilag Q-6-1, ekstrakt 16, side 104, forklarede vidnet, at det reflekterer de tidsstempler, der fandtes i Program 12.exe. Det er de samme tidsstempler, som bliver præsenteret i boksen nedenfor. Den person, der har installeret programmet, har brugt en version af Program 12.exe, som var skabt af producenten inden installationen.

Foreholdt fra bilag Q-6-1, ekstrakt 16, side 103, forklarede vidnet, at den er skabt, og det tager et stykke tid, inden den er færdig, og det er derfor, at tidsstemplet for installationen er senere. Det kan ikke udelukkes, at TrueCrypt containeren er flyttet fra en anden computer.

Navnet Computer 1 kunne ikke være overført fra Mac OS installationen.

Forespurgt af advokat Michael Juul Eriksen forklarede vidnet, at han ikke ved, hvilket firma, der har udviklet Program 2-programmet. Han kan ikke udtale sig om, hvorvidt IBM sidder tungt på mainframe-markedet. Han kender ikke til en patentsag mod IBM i relation til Program 2-programmet. Softwaren Program 2 kan sikkert downloades fra en hjemmeside. Han ved, hvordan Program 2 fungerer helt overordnet, og han har kørt det. IBM's mainframes er sjældne i sig selv, og en mainframe-programemulator er endnu mere sjælden.

Han tror, at Program 2 er et open source program, hvilket indebærer, at hvem som helst kan lave modifikationer af det, da kildekoderne er kendte. Programmet er egnet til uddannelse og træning i brugen af mainframes.

Forespurgt af advokat Luise Høj vedrørende side 103 forklarede vidnet, at TrueCrypt containeren bare er en form for ydre skal. Når den er skabt, råder man over 16 GB lige med det samme. Når skabelsen er tilendebragt, ændres tidsstemplingen.

Vidne 10 har forklaret, at han har været ansat i Forurettede A/S i 10 år. Han er nu chef forForurettede A/S Strikeforce Europe. Han er uddannet datamatiker og har forskellige certificeringer, blandt andet en it-forensic certificering.

Han blev involveret i sagen på et møde den 27. februar 2013. Fra politiet deltog Vidne 5 og Vidne 13 fra Nites. På mødet fik de forevist en chatlog, som indikerede en mulig kompromittering af deres systemer. De påbegyndte deres egen undersøgelse og samlede logfiler sammen. De sikrede de nødvendige logs. Den røde tråd var usædvanlig aktivitet på webserveren.

De konstaterede uregelmæssigheder og indberettede den 1. marts2013 dette til IBM og blev orienteret om, at der var en patch. De uregelmæssigheder, de konstaterede, var usædvanlige forespørgsler fra Cambodia og Tyskland. Der tegnede sig et ret tydeligt billede af et angreb.

Forevistslide ”hvad er en mainframe” forklarede vidnet, at de konstaterede

side 120

uregelmæssigheder i webserveren. Hvis man skulle hente oplysninger fra politiets del, D11, tilgik man normalt via web-serveren eller FTP-serveren. Oplysninger, der ikke er blevet efterspurgt i nogen tid, flyttes automatisk over i HSM. HSM er en metode til langtidsopbevaring, hvor oplysningerne lagres på en måde, som er billigere end at have dem på mainframen. Mainframen er en slags nærarkiv, og HSM er en form for fjernarkiv.

Forespørgslerne efter datasæt var usædvanlige, fordi de var lange og indeholdt meget data. Normalt er de kortere. Disse forespørgsler indeholdt også systemkommandoer, fx anmodning om oplysning om, hvilken bruger man var, eller hvilke filer der var i biblioteket.

De kontaktede IBM og oprettede en fejlsag. IBM svarede, at fejlen var kendt og kunne rettes med en tilgængelig patch. Det var et hul i systemet - Software sårbarhed – som var blevet udnyttet. Hullet blev lukket i løbet af maksimalt et par dage.

De havde ikke selv opdaget noget usædvanligt før politiets henvendelse. Det var ukendt for dem og leverandøren. Gerningsmanden havde gjort en stor indsats for at passe ind i systemet og havde bevæget sig inden for de normale rammer.

De iværksatte en intern undersøgelse for at finde ud af, hvad der var sket. Derudover fik de udarbejdet en ekstern undersøgelse af ROMAB. Det kunne være problematisk, hvis de undersøgte sig selv.

Foreholdt fra bilag Q-22 (Forurettede A/S' undersøgelsesrapport), ekstrakt 18, side 1, forklarede vidnet, at han har været med til at lave undersøgelserne og udarbejdede rapporten. Der var ikke indikationer på angreb mod andre dele af mainframen end D11 (politiet) og D-13 (cpr.).

Foreholdt fra bilag Q-22, ekstrakt 18, side 6, forklarede vidnet, at noten referer til, at gerningsmanden ind i mellem har sat en kommando i gang, som er begyndt at indsamle oplysninger til en fil. Han har så hentet filen og opdaget, at den ikke var færdig, hvorefter han har downloadet den på ny. 19 GB er ikke meget i forhold til, hvad de har af data ind og ud af deres mainframe. De 19 GB er kopieret ud af deres system til IP-adresser i Cambodia, Tyskland og Iran. Det fremgår af webserver-loggens registrering af IP-adresser.

Foreholdt fra bilag Q-22, ekstrakt 18, side 6, forklarede vidnet, at ifølge deres undersøgelse har gerningsmanden anvendt en Software til at få den initielle adgang til systemet den 7. april 2012. Han har så rekognosceret for at finde ud af indholdet og få adgang til at udvide sine privilegier. Den 7. og 8. april 2012 fik gerningsmanden øget sine rettigheder og udførte kommandoer, som en bruger af den type normalt ikke har adgang til at udføre.

Gerningsmanden har anvendt to forskellige brugernavne; Brugernavn 11 og Brugernavn 15. Enhver service på mainframen skal køre under en bruger.

Brugernavn 11 anvendes, hvis man skal tilgå Forurettede A/S' hjemmeside. Hvis man går ind på

side 121

hjemmesiden, der ligger på web-serveren, får man automatisk tildelt Brugernavn 11. Alle vil optræde som Brugernavn 11 i loggen. Brugernavn 11 bruges til "Program 3.dk", hvortil der er offentlig adgang.

Det, som er anderledes i denne sag, er, at Brugernavn 11 begynder at udføre systemkommandoer. Med Brugernavn 11 er gerningsmanden inde at se på en underside, hvortil der er offentlig adgang.

Brugernavn 15 er bruger på en anden webserver, som "Hjemmeside 13" ligger på, på samme mainframe. Med Brugernavn 15 er man inde på Hjemmeside 13's hjemmeside. Gerningsmanden benytter en sårbarhed i webserveren, der får den til at reagere anderledes end tilsigtet. Det er en fejl i softwaren, der gør, at gerningsmanden får lov at udføre mere, end der var tiltænkt.

Herefter tager gerningsmanden en kopi af et eksisterende script, som han navngiver ”Script 6” , hvorved han planter en bagdør, så han ikke skal lave en bagdør hver gang,han skal ind i systemet. Der blev kun etableret én bagdør ved hjælp af ”Script 6” . Der blev oprettet to andre bagdøre, så der i alt var tre bagdøre. Man kunne benytte alle bagdørene til at komme ind på mainframen. Bagdørene var alle indstillet til at have de samme rettigheder.

Bagdørene blev lukket, så snart de fandt dem.

Foreholdt fra bilag Q-35 (politirapport 3. juli 2014), tillægsekstrakt II, side 150, forklarede vidnet, at ”Script 6” (bagdør 1) blev fjernet, så snart den blev fundet, og bagdør 2 og 3 blev senest fjernet den 6. marts 2012.

De tog en kopi af Script 6-filen og fjernede den. De to andre bagdøre var referencer til filer, der allerede var fjernet.

Foreholdt fra bilag M-2-1-1-2 (Filnavn 1 chatten), ekstrakt 10, side 117, fra kl. 12:49:56, forklarede vidnet, at ”Brugernavn 7” var et validt brugernavn til mainframen. Et brugernavn bliver revoket, hvis man tre gange indtastede sin personkodeforkert. Brugernavnet lå som en del af dokumentationen for, hvordan man brugte systemerne. Det var tilgængeligt på infotorv, som er en vejledning til kunder. Vejledningen lå frit tilgængeligt på daværende tidspunkt. Det var en fejl, at det stadig stod der på daværende tidspunkt.

Foreholdt fra bilag M-2-1-1-2, ekstrakt 10, side 118-119, fra kl. 12:55:03, forklarede vidnet, at det postede ligner en forbindelse til deres FTP-server, det er ikke offentligt tilgængelige oplysninger. Man må have fået det at vide eller udlæst password andre steder fra eller stjålet dem. IP-adressen er offentligt tilgængelig, men det er brugernavn og password ikke.

Brugernavn 16 kan ligne noget fra en vejledning. Han kan ikke vurdere, om det er noget, der offentligt tilgængeligt. Det ligner et brugernavn til mainframen.

side 122

Foreholdt fra bilag M-2-1-1-2, ekstrakt 10, side 118, fra kl. 12:58:19, forklarede vidnet, at Brugernavn 9 ligner et brugernavn fra mainframen. Efter hans opfattelse har det ikke været offentligt tilgængeligt, men det er en vurdering.

Han kan ikke vurdere, om alle tre brugernavne var valide.

Hvis man prøvede at logge ind på Forurettede A/S' servere og ikke kommer ind, registreredes det i deres log, men det blev fjernet efter en periode.

Forespurgt af advokat Michael Juul Eriksen forklarede vidnet, at det fulde output ikke er offentligt tilgængeligt.

Foreholdt af anklageren fra bilag Q-8-1 (politirapport af 11. oktober 2013), ekstrakt 17, side 8, forklarede vidnet, at registrering af mislykkede login forsøg ikke opbevares uendeligt. Efter et år kan man ikke se etfejl-login. Han har kun set, at valide brugernavne er blevet logget, men det er noget deres mainframe-folk ved mere om.

Foreholdt fra bilag Q-8-1, ekstrakt 17, side 10, forklarede vidnet, at FTP-loggen er fra Forurettede A/S. I den log kan man se 515 afviste login-forsøg. Grunden til, at man bliver afvist, kan være, at man kommer fra en forkert IP-adresse eller indtaster forkert brugernavn eller password.

Foreholdt fra bilag Q-8-2, (politirapport af 7. januar 2014), ekstrakt 17, side 13, forklarede vidnet, at det er tre valide brugernavne.

Foreholdt fra bilag M-2-1-1-2, ekstrakt 10, side 104-105, fra kl. 06:54:26, forklarede vidnet, at Script 2 følger med standardinstallationen af webserveren. Det kræver alene, at man skriver det ind i browseren. Den fortæller blandt andet om, hvilken version den kører, hvilken browser der er tale om, og hvilke porte der findes. Det er offentligt tilgængeligt, det kræver dog, at man ved, det er der, og at man ved, hvilket system Forurettede A/S anvender.

Hackingen har haft konsekvenser for Forurettede A/S. De har – efter aftale med kunderne – ekstraordinært måtte lukke systemer ned i kortere perioder for at få installeret de nødvendige patches. Han har ikke konkret viden om, hvor lange perioder systemerne har været nede af denne grund.

Det har haft økonomiske konsekvenser i forhold til deres rygte og deres kunder, som har været bekymrede. Selve undersøgelsen har også været meget bekostelig både med hensyn til deres eget ressourceforbrug og med hensyn til den eksterne bistand.

Deres samarbejde med politiet gik godt. Samarbejdet bestod i, at politiet efterspurgte oplysninger, og Forurettede A/S udleverede alt, hvad der blev spurgt om. De kunne også stille spørgsmål til politiet i forbindelse med efterforskningen. De har udleveret alle de oplysninger, som politiet bad om.

Forespurgt af advokat Michael Juul Eriksen forklarede vidnet, at SDN.dk er en side med

side 123

vejledninger til Forurettede A/S' kunder og viser kontaktpersoner. Hjemmeside 22 kræver brugernavn og password. Det gjorde den ikke for 2 år siden. Det er noget, de har lavet om efter sagen.

Advokat Michael Juul Eriksen henviste til ekstrakt 10, side 118-119 (chatten) og sammenholdt dette med en forevisning af den nuværende sdn.dk hjemmeside og en historisk kopi af hjemmesiden, som den så ud i 2012, og som fortsat ligger offentligt tilgængeligt på Hjemmeside 27. Advokat Michael Juul Eriksen åbnede to links på den historiske hjemmeside.

Vidnet forklarede, at han er enig i, at indholdet i de to links ligner det, der er kopieret ind i chatten på side 118-119. Han vurderer på den baggrund, at der er stor sandsynlighed for, at oplysningerne var offentligt tilgængelige i 2012. Brugernavn 9 kunne findes på hjemmesiden i 2012. Brugernavnene Brugernavn 7 og Brugernavn 16 har samme navngivningsstandard. De oplysninger, der bliver listet om brugernavne, var offentligt tilgængeligt dengang og er det stadig, da de ligger i arkiverne.

Ud fra deres undersøgelser har de vurderet, at der højst sandsynligt kun var tale om én gerningsmand. Der kan have været flere, men der har ikke været tegn på det. De har undersøgt IP-adresser i Cambodia og Tyskland.

Mainframen var nede i forbindelse med, at patchen blev installeret. De kan ikke boote deres mainframe hver måned. Patchen skulle installeres alligevel, men måske på et andet tidspunkt. De har serviceaftaler med deres kunder, hvorefter opdateringer foretages i et forud aftalt servicevindue, hvor der kan lukkes ned.

Det var Forurettede A/S, der hyrede ROMAB til at lave en ekstern undersøgelse.

Foreholdt fra bilag Q-24-1 (ROMAB-rapporten), tillægsekstrakt II, side 26, forklarede vidnet, at han er bekendt med internetudbyder IP-adressen, fordi han har læst ROMAB-rapporten. IP-adressen var dukket op på deres liste.

Vidnet forklarede yderligere, at tidsforløbet på side 26 i store træk også var sådan, som de så et. Rekognoscering består i mange forespørgsler, fx på Script 2. Forespørgsler, som man ikke ville forvente, at en almindelig bruger ville have interesse i. Der ledes efter filer, som kan give adgang til systemer og skabe overblik over, hvilke systemer der kører.

Foreholdt fra bilag Q-24-1, tillægsekstrakt II, side 39-41, forklarede vidnet, at da de i rapporten læste, at der mangler gendannelse af nogle logfiler, foretog de sig ikke yderligere. Hvis de skulle gendanne det hele, havde de ikke været færdige endnu. De fulgte den røde tråd og har udtrukket logfiler for at følge sporet. De har udtrukket oplysninger om IP-adresser, brugernavne eller tidspunkter.

De har fulgt relevante IP-adresser, som de har identificeret i forbindelse med de usædvanlige forespørgsler. Det er ikke en usædvanlig fremgangsmåde. internetudbyder.se adressen har de ikke undersøgt. Han kan ikke afvise, at der er relevante logfiler vedrørende den IP-adresse.

Foreholdt fra bilag Q-24-1, tillægsekstrakt II, side 60, forklarede vidnet, at det er en

side 124

beskrivelse af den Software, der anvendtes til at skaffe sig adgang til Forurettede A/S' mainframe den 7. april 2012. Sikkerhedshullet udnyttedes ved at sende den her beskrevne kode til webserveren. Gerningsmanden beder med koden webserveren udføre en kommando i stedet for at vise en hjemmeside. Med koden anmodes webserveren om at starte en kommando op og levere svaret tilbage til brugeren. Eksekveringen af denne kommando på webserveren skaber adgang til mainframen, der er knyttet dertil. Ovenpå mainframen er en webserver, og den beder man udføre noget.

Forespurgt af advokat Michael Juul Eriksen og foreholdt fra bilag Q-24-1, tillæg 6, tillægsekstrakt II, side 107, forklarede vidnet, at det er et eksempel på, hvordan Software kan være blevet opbygget. SD'er er en sårbarhed i styresystemet Program 1 på mainframen, så der kan udføres kommandoer uden for det sædvanlige arbejdsområde fra webserveren til mainframen. Der er flere værktøjer, man kan bruge til at sende kommandoer direkte til mainframen. Ved udnyttelsen af denne sårbarhed får man adgang tilmainframen uden at anvende brugernavn og kodeord, hvilket gør det vanskeligt at registrere adgangen.

Forespurgt af advokat Luise Høj forklarede vidnet, at det var Vidne 5 og Vidne 13 fra politiet, der deltog i mødet den 27. februar 2013. På mødet fik de ikke instrukser fra politiet om, hvordan de skulle efterforske sagen, men de fik udleveret chatloggen Filnavn 1. Politiet har senere i forløbet anmodet Forurettede A/S om at undersøge fx bestemte IP-adresser, tidspunkter eller brugere. Forurettede A/S havde ikke fokus på, om der var en eller flere gerningsmænd.

Politiet bad Forurettede A/S om at anvende en uvildig part til den tekniske undersøgelse og valget faldt på ROMAB. Forurettede A/S har samarbejdet med ROMAB. ROMAB har kørt sin egen efterforskning og er gået til Forurettede A/S for at få informationer, hvis de havde brug for det.

Forurettede A/S har ikke set en aktivitet, der svarer til mønstret ved hackerangrebet, siden 27. august 2012.

Forurettede A/S har løbende mange failed logins, ca. 4.000 om ugen. Typisk er det systemgenerede fejl eller medarbejdere, der har glemt deres brugernavn eller password eller forsøger at logge ind med et forkert password.

Bagdøren påvirkede ikke de normale funktioner i mainframen. Der er et par tusind porte til mainframen, og hvis kunderne oplever at blive afvist, vil de brug en anden port, og kunderne vil ikke rapportere det. De har ikke hørt fra kunder, der har haft svært ved at logge ind i gerningsperioden.

Hvis en patch har rating 10, betyder det, at patchen skal udbedre en fejl, der vurderes at udgøre en meget alvorlig trussel mod systemet.

Efter det første møde med politiet kontaktede Forurettede A/S IBM den 1. marts 2013. IBM rapporterede, at der var en patch tilgængelig, som kunne udbedre sårbarheden. De fik en reference til patchen, som havde rating 10. De aftalte med kunderne, hvornår de kunne installere patchen. Han mener, der var tale om dage. De kunne ikke bare gå i gang med

side 125

installationen på egen hånd. Hos de kunder, hvor sårbarheden ikke indebar en risiko, gik der op til uger, inden patchen var installeret.

Årsagen til, at de ikke havde installeret patchen tidligere, var, at IBM ikke havde fortalt dem, hvad patchen indeholdt. De ville nok holde kortene tæt til kroppen. Det er ikke usædvanligt med en Software patch.

Foreholdtfra bilag E-23 (underskrevet afhøringsrapport af 20. august 2014), tillægsekstrakt IV, side 5-6, forklarede vidnet, at hans forklaring ikke vedrører, hvad Forurettede A/S foretog sig efter den 1. marts 2013. Det er korrekt, at patchen blev frigivet 19. december 2012, og at Forurettede A/S ikke umiddelbart ville lægge den på, da de ikke kunne få at vide, hvad den indeholdt. Han kan ikke udtale sig om, hvilke kunder der har hvilken patch-cyklus, men det kan godt passe, at der er nogle, der har patch-cyklus på 12 måneder, hvis patchen ikke er relevant for dem. Typisk er en cyklus 3 måneder.

Foreholdt af anklageren fra bilag Q-22 (Forurettede A/S' undersøgelse), ekstrakt 18, side 9, forklarede vidnet, at der ikke har været hackeraktivitet fra 22. april 2012 til 16. juni 2012. Dette baserede Forurettede A/S på en manuel gennemgang af diverse logfiler for IP-adresser, efterspørgsler og downloads af filer. De så kun efter uregelmæssigheder. Den 27. august 2012 stoppede hackeraktiviteterne.

Det vurderede de ud fra de ud fra de logfiler, de har. Logfilerne er blevet gennemgået for usædvanlig aktivitet kombineret med tidspunkter og IP-adresser, og der har ikke været uregelmæssigheder. De undersøgte logfilerne frem til februar 2013.

Første bagdør, "Script 6", blev lukket lige efter mødet den 27. februar 2013, og de to andre bagdøre blev lukket senest den 6. marts 2013.

Forespurgt af advokat Luise Høj forklarede vidnet, at logfilerne nævnt i bilag Q-22, ekstrakt 18, side 8, er fra webserveren. Det er rigtigt, at adgang via bagdør 2 og 3 ikke efterlod spor, men når gerningsmanden efterspurgte filer eller downloadede en fil, fremgik det af loggen. Hvis aktiviteterne var fortsat med samme mønster, ville det fremgå. Det kan ikke udelukkes, at gerningsmanden er fortsat efter den 27. august 2012, hvis han har ændret fremgangsmåde, men det vil vidnet anse for højst usandsynligt, da de har set efter usædvanlig aktivitet også efter dette tidspunkt.

Vidne 1 har forklaret, at han siden 1997 har arbejdet som computersikkerhedskonsulent i sit eget firma, ROMAB. Han blev involveret i sagen med Forurettede A/S i Danmark, da han fik en henvendelse fra svensk politi. De ønskede at videregive hans navn til Forurettede A/S, da han havde udført lignende arbejde i forbindelse med angrebet på Virksomhed 6 i Sverige.

Anklageren dokumenterede fra bilag Q-24-1 (ROMAB's rapport), tillægsekstrakt II, side 22 og bilag Q-24 (engelsk udgave af ROMAB's rapport), ekstrakt 19, side 17.

Vidnet forklarede, at den lignende undersøgelse, som han henviser til i rapporten, var undersøgelsen hos Virksomhed 6. De fik de oplysninger, som de arbejdede ud fra, gennem Forurettede A/S' personale. De har ikke fysisk siddet foran mainframecomputeren, men de sad i et

side 126

lokale sammen med Forurettede A/S' personale, som havde adgang til mainframen. De fik alt nødvendigt materiale fra Forurettede A/S. Kontakten til Virksomhed 6 blev formidlet via dansk politi, og de har også fået materiale fra dansk politi.

Der findes en hel del paralleller mellem angrebene på Virksomhed 6 og Forurettede A/S både i relation til fremgangsmåden og i relation til en del andre indicier, fx det tidsmæssige. De blev involveret i hændelserne hos Virksomhed 6 i slutningen af marts 2012, mens indtrængningerne foregik. Virksomhed 6 havde selv opdaget det i begyndelsen af marts 2012, men der var også tegn på, at der havde været aktiviteter før marts 2012. Et år senere, da de blev involveret i Forurettede A/S-efterforskningen, kunne de se, at der var et delvist tidsmæssigt overlap. Det kunne de se ud fra loggene.

Den egentlige indtrængen hos Forurettede A/S fandt først sted efter, at adgangen til Virksomhed 6 var blevet lukket. Der havde været aktivitet mod Forurettede A/S før den 7. april, som var den dato, selve gennembruddet skete. Der har været rekognoscering fra februar 2012 og frem, men den 7. april 2012 fik man root-adgang. Det er ikke så enkelt at sige, hvornår der hackes igennem mainframen. Man har haft en vis adgang allerede før og får gradvis adgang. Der er tale om en serie af indtrængninger.

Udover det tidsmæssige sammenfald er der mange andre ligheder mellem de forskellige angreb. Efter hans opfattelse er der en sammenhæng mellem indtrængen hos Bank 1 og Forurettede A/S. Mod Bank 1 og Forurettede A/S benyttede man sig af en mangel i webserveren fra IBM, svarende til at man har brugt et brækjern. Mod Virksomhed 6 benyttede man sig af en fejl i FTP-serveren, svarende til at man har brugt en stor skruetrækker.

Når man var kommet igennem yderdøren (hullet), er der tale om flere ligheder mellem Forurettede A/S og Virksomhed 6. Udover at man oprettede bagdøre, så sørgede man for at have flere bagdøre. En anden lighed er, at man har stjålet mange filer, både information og programmer. En tredje lighed er, at man har oploadet egne programmer på mainframen.

Ved forskellige småscripts eskalerede gerningsmanden sine rettigheder til systemerne. Det er ikke helt identiske scripts, men det skal i perspektiv. Det var små programmer på omkring 30-40 linjer. Programmer kan være flere 100.000 linjer lange, men her var det små programmer. Scriptene var skrevet i programmeringssproget rex, som benyttes på IBM mainframes.

Scriptene har sørget for, at gerningsmanden som almindelig bruger kunne forhøje sine rettigheder. Hos Virksomhed 6 har man fundet et hul i sikkerheden – Software – i NetView, der indgår som en del af et andet program. Hos Forurettede A/S var hullet i AOSC. Script 14 blev anvendt til at eskalere rettigheder hos Forurettede A/S. Hos Virksomhed 6 hed scriptet Script 13.

Scriptene var skrevet i samme sprog og virkede på samme måde.

HosVirksomhed 6 skete indbruddet via FTP-serveren, og hos Forurettede A/S skete det gennem webserveren. Så vidt han kunne se, havde man forsøgt at logge på FTP-serveren hos Forurettede A/S forud for den 7. april.

Efter at der var skabt adgang, ledte man efter filer med et bestemt indhold og begyndte at stjæle filer. Der blev udvist interesse for filer med politimæssigt indhold hos Forurettede A/S, og sådan var det også hos Virksomhed 6.

side 127

I begge angreb optræder den samme tyske IP-adresse. De øvrige IP-adresser er ikke identiske, men stammer fra samme netværksserie, som hostes af en netværksudbyder i Cambodia.

Foreholdt fra bilag Q-24-1, tillægsekstrakt II, side 26-29, forklarede vidnet, at tidslinjen er udarbejdet af Forurettede A/S. Han har tilføjet teksten i de gråmarkerede felter.

De kunne se, at nogen den 13. februar 2012 forsøgte at komme ind på Forurettede A/S' webserver via scriptet Script 2. Forsøget skete via den tyske IP-adresse.

Den 23. februar 2012 var første gang et angrebsforsøg fandt sted fra den cambodianske IP-adresse.

Den 7. april var gerningsmanden inde på mainframen og forhøjede sine rettigheder. Den 8. april 2012 blev der oprettet et script, som muliggjorde dataudtræk, herefter blev Software ikke længere anvendt. Den 10. april 2012 var første gang, det lykkedes at trække data ud fra Forurettede A/S. Det skete til en cambodiansk IP-adresse. Den 21. april 2012 blev der stjålet yderligere 42 datasæt. Den 22. april 2012 var sidste gang, man så den tyske IP-adresse anvendt. Den 26. april 2012 henvises sidste gang til Script 10.

Når man havde benyttet Software-sårbarheden og var kommet ind, så havde man ikke brug for den åbning mere. Der blev oprettet tre bagdøre. Den første var "Script 6". Den 10. april 2012 blev RACF-databasen stjålet med alle brugerkonti og passwords. Brugen af bagdøren Script 6 ophørte, og man gik over til at bruge andre bagdøre. De konstaterede også download til en iransk IP-adresse, som også blev benyttet i Bank 1-sagen. Efter den 27. august 2012 er der ikke konstateret downloads af filer fra tyske, iranske eller cambodianske IP-adresser.

Gerningsmanden havde opnået fuldstændig kontrol over Forurettede A/S' mainframe og havde videre adgang end hos Virksomhed 6. Det skyldtes, at en af bagdørene gav mulighed for fuldstændig kontrol og kunne lukke for logning.

Angrebet mod Forurettede A/S var et meget avanceret angreb. Angriberen benyttede mange forskellige programsprog og havde fundet mange sikkerhedshuller. Det viste, at han havde kendskab til og forståelse for, hvordan en mainframe fungerer. Mainframen var totalt kompromitteret, og gerningsmanden havde fuld adgang.

Forespurgt af advokat Luise Høj forklarede vidnet, at han ikke har nogen indsigt i Bank 1-forholdet. Han har kun haft indsigt i materialet fra Forurettede A/S og Virksomhed 6. Han har kun væretmed til efterforskningen hos Virksomhed 6 i 2012 og har ikke nogen førstehåndsinformation om, hvad der skete i 2010.

Der er ikke særlig mange, der kan hacke disse systemer. Hvis det er en person, der har gjort det parallelt, er det en meget lille gruppe, som besidder tilstrækkelig viden hertil. Et eksempel er blandt andet benyttelsen af programmeringssproget rex. Det er et af standardsprogene på IBM mainframes.

side 128

Der var andre personer end Tiltalte 1 involveret under efterforskning i Virksomhed 6-sagen. Det var deres opfattelse, at den anden person i Virksomhed 6-sagen ikke havde den nødvendige tekniske viden. Vidnet havde ikke til opgave at efterforske, hvem der var gerningsmand. Det var politiets opgave.

Foreholdt af advokat Michael Juul Eriksen fra bilag Q-24-1, tillægsekstrakt II, side 26, forklarede vidnet, at environ er en forkortelse for environment. Han har forstået, at det er en standard på IBM's mainframes. Det var offentligt tilgængeligt således, at alle, der var koblet op, kunne få oplysninger om opsætningen. Der er meget få mainframes i verden og endnu færre, der har en webserver tilknyttet. Virksomhed 6's mainframe havde fx ikke en webserver tilknyttet.

Foreholdt fra bilag Q- 24-1, tillægsekstrakt II, side 60, forklarede vidnet, at det, som angives efter Script 1, er en måde at køre programmer uden at være logget ind på serveren. Det viser en sårbarhed/Software, som IBM nu har fikset. Sårbarheden har ikke noget med brugernavne og password at gøre. Man behøver ikke brugernavn eller password for at udnytte sårbarheden.

Foreholdt fra bilag Q-24-1, tillægsekstrakt II side 9, forklarede vidnet, at de mener, at der omkring den 7. april 2012 skete uautoriseret adgang. Man kom ind, fik højere beføjelser og ledte så efter andre huller for at få yderligere adgang til systemet. De ved ikke, om der tidligere har været uberettiget adgang. De har ikke fundet tegn på, at nogen har været uberettiget inde på mainframen inden den 7. april 2012. De har set, at man har forsøgt at komme ind på FTP-serveren tidligere. Der kan have været nogle inde inden den 7. april 2012 uden, at de har kunnet se det.

Foreholdt fra bilag Q-24-1, tillægsekstrakt II, side 41, forklarede vidnet, at der var forskel på efterforskningen af angrebene mod Virksomhed 6 og Forurettede A/S. De arbejdede hos Virksomhed 6, mens angrebene fandt sted, men hos Forurettede A/S blev de først involveret et år senere. Mange virksomheder fjerner løbende logs, og mange af de logs, de efterspurgte, fandtes ikke længere. Flere logs ville have givet et bedre indblik i systemet. Undersøgelsen var næsten som at lægge et puslespil med det materiale, de fik fra Forurettede A/S, dansk politi og svensk politi.

Vidne 3 har forklaret, at han er ansat som sikkerhedschef i et stort internationalt firma. Han arbejdede som kriminalassistent hos Rigspolitiet indtil 1999. Han er uddannet datamatiker og har en uddannelse fra Institut for Datasikkerhed. Han har i sin tid efterforsket it-kriminalitet.

Der er uanede muligheder for at fjernstyre en computer.

Advokat Luise Høj dokumenterede fra bilag V-4 (undersøgelsesrapport af 31. august 2014), tillægsekstrakt VI A, side 120.

Vidnetforklarede, at det ikke af politirapporterne fremgik, at der var kørt Program 21 på computeren. Han har ikke i rapporterne fundet fornødent grundlag for, at politiet kategorisk har konkluderet, at der ikke havde været adgang for fremmede på computeren. Der er så mange muligheder for at få adgang, at han synes, at retorikken

side 129

er for kategorisk. Der kunne måske have været udtrykt en form for sandsynlighed. Det burde have været skrevet i rapporterne, at der havde været kørt Program 21. Eksekvering af Program 21 er en grundlæggende øvelse, som kan vise, hvilke aktive og ventende forbindelser, der ligger standby i maskinen. Han mangler fortsat resultaterne af Program 21-undersøgelsen.

Program 20 er et open source program, som er gratis og kan hentes på nettet. Der findes scanningsværktøjer, som er meget mere dybtgående, og som bruges mere professionelt til sårbarhedsscanninger.

Derer kørt en sårbarhedsscanning. Program 20 kan ikke sige noget om revision af opdateringer. Den første undersøgelse med Program 20 gav ikke noget resultat, men ved den anden undersøgelse fandt man port 912 åben. Hvis man havde kørt Program 20 tre eller fire gange, kunne det være, man havde fundet flere åbne porte. Det er ikke dokumenteret, hvilken version af Program 20 politiet brugte, eller hvilket miljø, den kørte i. Der er gjort meget ud af at efterforske i lodrette søjler, men der mangler tværgående efterforskning, og der er ikke foretaget en helhedsvurdering.

Hvis man havde brugt en netværkssniffer, ville man have kunnet lytte med på al datakommunikation. En netværkssniffer optager alt ukritisk, og bagefter kan man undersøge nøjagtigt, hvad der er sket, og hvilke forbindelser der er. Typisk vil man køre en sniffer i et eller to døgn, og så har man et godt billede af, hvad der sker på computeren. Det ville generere utrolig meget data – i løbet af 48 timer ville man have flere GB.

Politiet brugte Program 15, som også er et open source program. Det kan godt kaldes for en sniffer. Det er ikke beskrevet i rapporterne, hvordan miljøet er sat op. Det er nødvendigt at vide, hvordan opsætningen har været i relation til netværkroutere, switches mv.

Beskrivelsen af malware-programmer, herunder Win32/Danginex, i hans rapport stammer fra Symantec encyklopædien, som indeholder anerkendte beskrivelser.

”Navn 9” kan skabe uautoriseret adgang fra tredje part. Det undrer ham, at politiet ikke har forholdt sig til, hvilken betydning de fundne vira kan have, da de påvirker en computer. Det er undersøgt, hvilke services der er kørt på computeren, men ikke undersøgt, hvilke services, der er inficeret med vira. Nogle services kunne være inficeret med vira, så man fx fik password eller lignende inficeret.

Ved hjælp af en browsing ville man kunne se, hvilke services, der var inficeret med vira. Politiet har bare anført, hvilke services der kørte, og at antivirusprogrammet ikke kørte. 5-6 af de fundne vira er meget alvorlige. Det kræver ikke store ressourcer at undersøge dem.

Program 26 er en virus, han kendte i forvejen. Han har ikke set den før, men må tage for pålydende, hvad der står i encyklopædien om den.

Forevist bilag Q-32 (supplerende erklæring af 6. maj 2014), ekstrakt 20, side 108, forklarede vidnet, at man kan se Program 26. Stien forud for Program 26 viser, hvor

side 130

virussen lå. Det er stien ned igennem hierarkiet i computeren. Det er den bruger, der hedder administrator, der er inficeret. Hvis administratorbrugeren er inficeret, kan man via virussen stjæle password og installere filer med en administrators rettigheder.

I bilag V-4, tillægsekstrakt VI A, side 135-137, har han vist et eksempel på nogle af de processer, der normalt kører i en computer. Den første side viser en simpel analyse, mens de to næste sider viser brugen af et særligt værktøj, hvormed man kan se, om services er inficeret. Politiet har udarbejdet en tabel over, hvilke services, der var kørende, men de fokuserede kun på, at antivirus programmet var slået fra. De burde have kørt et andet program. På side 136 kan man se, om der er virus i nogen services. En virus er først aktiv, når den arbejder i computerens hukommelse.

Advokat Luise Høj dokumenterede fra supplerende undersøgelsesrapport udarbejdet af vidnet.

Vidnet forklarede, at han foretog en gennemgang af de filer, der blev fundet med Program 15. Han var overrasket over, at politiet havde startet computeren op, ladet den gå i dvale, startet den op igen og derpå ladet den køre i 48 timer. I løbet af 48 timer burde der være genereret væsentlig mere data. Han ved ikke, hvad ”internetlignede netværk” er, og det er ikke defineret nogen steder.

Der er ingen beskrivelse af, hvordan miljøet er sat op. Han antager, at det er et lukket TCP/IP-lokalnetværk. Man kan ikke foretage en retvisende undersøgelse, hvis den ikke foregår i samme miljø og med de samme muligheder. Populært sagt svarer det til, at man undersøger en kinesisk pandabjørns naturlige miljø i Københavns Zoo.

Hvis man havde forbundet computeren til internettet, ville man have fundet væsentligt flere data. Han har prøvet det samme program på sin egen computer i 15 minutter, mens den var tilsluttet internettet. I løbet af den tid havde den genereret 4.622 KB. Det er en tredjedel af, hvad politiet fandt på 48 timer.

Computeren var ikke sat op på samme måde som i Cambodia, og man kan ikke undersøge tingene godt nok, når man ikke har det rette miljø. Computeren lavede ikke noget i forbindelse med undersøgelsen, da dens lokale netværk ikke var der. Hvis computeren ikke er sat op i sit normale miljø med internetadgang, vil den standse af sig selv, når den opdager, at dens lokale netværk ikke er der.

Ved den første undersøgelse ledte computeren straks efter et lokalt netværk. Den gjorde den ikke senere, og der må derfor være sket noget fra november 2013 til februar/marts 2014. Når computeren forsøgte at forbinde sig til et netværk, må det være, fordi den tror, at en fildelingstjeneste er til stede. Det var formentlig Tiltalte 1's anden computer, den forsøgte at forbinde sig til.

Den stod og ledte efter sin normale makker. Hvis dens normale makker havde været der, havde den forbundet sig til den, og de ville have filsharing, hvis det var tilladt. Det er helt normalt. Det har også betydning for undersøgelsen, at computeren ikke har haft samme IP-adresse i Sverige som i Cambodia.

Firewall-reglerne kan ændres fra time til time. En undersøgelse med Program 20 eller Program 15 er påvirket af, hvordan firewall’en aktuelt er opsat. Hvis firewall’en var opsat på anden måde for seks måneder siden, ville det give et andet resultat.

side 131

Event Viewer er en slags log, som kan dokumentere, hvordan firewall’en har set ud gennem tid. Det er således muligt at uddrage af en computer, om og hvornår en firewall er blevet ændret. Det ville dokumentere, om regelsæt var ændret eller ej. Der er gjort meget ud af, hvor mange gange, computeren har været tændt eller genstartet, og det ville derfor have været naturligt at undersøge, hvor lang tid reglerne for firewall’en havde været på en bestemt måde.

Med det materiale, han har fra politiet, kan han ikke svare på, om der har været adgang til computeren via fjernstyring. Han ville i så fald skulle have maskinen og undersøge den. Han vil ikke afvise, at den har været fjernstyret.

En virtuel maskine er en fysisk maskine, som opdeles i flere computere med hver sine funktioner. Han kan ikke udtale sig om, hvorvidt virtuelle maskiner ville kunne fjernstyres. Det burde have været undersøgt, hvis man skal have grundlag for at sige, at den ikke har været fjernstyret.

Advokat Luise Høj dokumenterede fra bilag V-4, tillægsekstrakt VI A, side 120.

Advokat Luise Høj dokumenterede konklusion i supplerende erklæring fra vidnet.

Vidnet vedstod sine konklusioner.

Vidnet forklarede, at han ikke har nogen personlig interesse i denne sag.

Forespurgt af anklageren forklarede vidnet, at hans kritik går på, at politiet ikke har dokumenteret, at der er kørt NETSTAT-scanning. Vidnet har ikke fundet noget om det i rapporterne, og det er en væsentlig mangel.

Program 20 er scanning af maskinen udefra, dvs. ikke på selve maskinen. Det er korrekt, at politiet har lavet både en virtuel og en online undersøgelse.

Det er ligeledes korrekt, at politiet har anvendt en netværkssniffer. Han er enig i, at Program 15 har været anvendt først fra opstart til dvale og derefter i 48 timer. Han mener dog, at alle computerens brugere burde have været undersøgt.

Han ved ikke om, Program 27 er et program til fjernstyring. Han kan ikke svare entydigt på, om man skal logge fysisk ind på en computer for at kunne fjernstyre et program.

Forevist bilag Q-30 (politirapport af 15. maj 2014), ekstrakt 20, side 63-69 og bilag Q-30-1 (politirapport af 19. juni 2014), tillægsekstrakt II, side 140-142, forklarede vidnet, at det er en forudsætning for fjernkontrol, at der er åbne porte, eller at computeren foretager kald ud til internettet. Det afhænger stadig af firewall’ens indstilling. Den klonede kopi må indeholde en log med firewall’ens opsætninger.

Foreholdt fra bilag V-4, tillægsekstrakt VI A, side 122, forklarede vidnet, at hvis man ønsker fjernstyring i et normalt lab-computer arbejdsmiljø, ville man vælger et anerkendt

side 132

produkt til fjernstyring, fx Remote Desktop eller Program 28. Det ville ikke være normalt at anvende en virus til fjernstyring.

Han har ikke selv testet oplysningerne om malware. Oplysningerne stammer fra et anerkendt firma. Det vil ikke være unaturligt, hvis forskellige antivirusproducenter beskriver vira lidt forskelligt. Han kan ikke sige noget om, hvorvidt det er vira, der er skabt på computeren, eller det er vira, der kommer udefra.

Foreholdt fra den supplerende erklæring udarbejdet af vidnet, forklarede vidnet, at han var klar over, at det blev foretaget en kloning af computeren. Hans bemærkninger om, at der er foretaget konstruktive ændringer på computeren under undersøgelsen er en kritik af den virtualiserede undersøgelse, idet der var tilføjet nye programmer. Han mener, at det er en konstruktiv ændring, hvis man tilføjer programmer. Det er et problem, at opkaldettil den interne IP-adresse forsvinder og ikke er med i dansk politis undersøgelse. Han forstår, hvis installationen af programmerne har fået opkaldet til at forsvinde.

Han er opmærksom på, at der blev lavet både en virtuel og en online-undersøgelse. Han er opmærksom på, at online-undersøgelsen foregik på en klonet identisk computer, hvorfor kritikken ikke omfatter denne, men kun den virtuelle undersøgelse.

Mængden af den registrerede trafik er afhængig af computerens konfiguration og miljøet, den er i. Hans egen computer er ikke konfigureret som Tiltalte 1's computer. En computer, der er inficeret med vira, vil producere mere data end vidnets lille arbejdscomputer. Politiets undersøgelser har ikke været i det rigtige miljø eller på internettet. Hans egen computer var koblet til internettet ved undersøgelsen.

Advokat Luise Høj dokumenterede fra bilag Q-46 (rapport af 1. oktober 2014 fra NC3), tillægsekstrakt VIII.

Vidnet forklarede supplerende, at han ikke mener, at politiet på noget tidspunkt har ændret på firewall-reglerne i Tiltalte 1's computer. Han mener derimod, at politiet ved hjælp af eventlogger burde have undersøgt, om der inden Tiltalte 1's anholdelse var blevet ændret i firewall-reglerne. Firewall'en kan ændre sig fra time til time på grund af brugeren og de programmer, der kører på computeren.

Af afsnit 3 i bilag Q-46 fremgår det, at politiet har undersøgt, om fildeling og printdeling skulle være en del af firewall-reglerne, da Tiltalte 1 blev anholdt. Den omstændighed, at firewall'en ikke tillod anvendelse af Program 13 på dette tidspunkt, siger ikke noget om, hvordan firewall’en så ud i Cambodia i gerningsperioden, inden Tiltalte 1 blev anholdt.

Vidnet har undersøgt, om programmet PuTTY kan styres via en terminal. Han har fundet en instruktion til, hvordan PuTTY kan afvikles via en terminal. Det kan sagtens køre i et terminalvindue eller i et skærmpromt.Det er normalt at køre programmet i en terminalfunktion.

Vidnet og hans samarbejdspartner har set på bilag Q-30 med den tilhørende CD-rom med

side 133

politiets Program 15 undersøgelser. CD-rommen indeholder firewall-reglerne -både inbound og outbound -for Tiltalte 1's computer. Ifølge vidnets undersøgelser er der tegn på, at der er sket noget med filen i forbindelse med udtrækket fra Tiltalte 1's computer. Derudover fandt vidnet, at firewall'en var åben inbound for PuTTY både for private og Brugernavn 11. Det betyder, at PuTTY kan eksekveres udefra direkte på Tiltalte 1's computer. Han fandt også ud af, at firewall'en er åben inbound for Script 5, VPN og GUI både vedrørende private og public.

Forespurgt af anklageren forklarede vidnet, at man ikke af firewall-reglerne kan se, om der er bagvedliggende programmer, der kører eller har kørt, men alene, at der er regler for det. Det er et regelsæt.

Vidne 11, Rigspolitiet, har forklaret, at han har en kandidatgrad indenfor internet- og softwareteknologi. Han har arbejdet 10 år med udvikling af software. Han er ikke politiuddannet. Han har været ansat ved Rigspolitiet, NC3, siden april 2013. Hans primære opgave er bistå efterforskere med at optimere arbejdsprocesser i efterforskninger af it-kriminalitet.

Han har undersøgt nogle filer, der indeholdt en shellkode, hvilket er den metode, hvormed gerningsmanden har automatiseret udkopieringen af data fra Forurettede A/S' systemer. Script 6-scriptet er ikke blevet brugt til at skaffe adgang, men til at automatisere processen.

Anklageren dokumenterede fra bilag Q-18 (politirapport af 19. september 2013), ekstrakt 17, side 186.

Vidnet bekræftede, at det er ham, der har lavet rapporten. Script 6 er fundet på Forurettede A/S' computer, og Script 10 er fundet på Tiltalte 1's stationære computer.

Det er ikke simpelt at kopiere filer fra Forurettede A/S' mainframe. Det kræver lange kommandoer, som det er besværligt at skrive hver gang. Script 10 forsimpler metoden, så man kan vælge mellem fem forskellige funktioner, som så kan eksekveres på Forurettede A/S' maskine.

Han ved ikke præcist, hvordan Script 6 var placeret på Forurettede A/S' mainframe. Der lå vist en originaludgave af Script 7 på Forurettede A/S' server, og der så blev placeret en kopi af scriptet, hvor en linje var ændret fra at give kommando om at udskrive noget til at udføre noget. Den eksisterende fil var kopieret, og i kopien var den ændret.

Script 6 og Script 10 kopierede ikke data til gerningsmandens system, men til en offentlig tilgængelig mappe hos Forurettede A/S. Alle med en browser og kendskab placeringen kunne få adgang til data i mappen. Det gør det muligt fra en vilkårlig maskine at hente data.

Forevist skitse over mainframe hos Forurettede A/S forklarede vidnet, at han ikke selv er ekspert indenfor IBM mainframes, og han ved ikke, hvad D11, D12 og D13 indeholder.

Det er nogle filer, der er gjort fuldt tilgængelige via Script 6 og Script 10.

side 134

Anklageren dokumenterede fra bilag Q-18, ekstrakt 17, side 186.

Vidnet forklarede, at Script 10 var først en simpel version, men den endte i en mere avanceret udgave. Det kan han læse ud fra PuTTY-filerne. I begyndelsen kunne gerningsmanden kun downloade en enkelt fil, men senere ved tilføjelsen af en stjerne blev det muligt at downloade eller kopiere hele filstrukturer, fx mapper. Det blev muligt at eksekvere nogle kommandoer, som det normalt kun er administrator, der har rettigheder til. Man havde også adgang til at ændre på mainframens opsætning. Hvor langt rettighederne rakte, er svært at sige, men det lader til, at gerningsmanden havde adgang til, hvad han havde lyst til.

Netværkstrafikken fra gerningsmandens computer blev camoufleret gennem en SSH-tunnel. Gerningsmanden kunne udføre nogle kommandoer lokalt, men hvis det skulle efterforskes hos Forurettede A/S, ville det se ud som om, det skete et andet sted. Gerningsmanden gik gennem en anden IP-adresse, inden han tilsluttede sig Forurettede A/S-serveren, derved blev IP-adressen benyttet som mellemstation. Det besværliggør en efterforskning, fordi det er vanskeligt at finde ud af, hvor den oprindelige kommando kommer fra.

Forespurgt af advokat Luise Høj forklarede vidnet, at Program 29 er et program, som muliggør systemadgang uden, at det logges eller registreres på samme måde, som hvis man ikke havde anvendt Program 29.

Vidne 12, Rigspolitiet, har forklaret, at han har arbejdet som it- efterforsker hos NC3 i 3½ år. Det hed oprindeligt Nites. Han udfører kriminaltekniske ("forensic") undersøgelser af det statiske indhold af computere.

Han har i denne sag undersøgt en bærbar computer tilhørende Tiltalte 2 og et SD-kort.

Anklageren dokumenterede fra bilag P-2-11-1 (it-teknisk erklæring af 19. december 2013), ekstrakt 14, side 121.

Computeren var krypteret og derfor ikke umiddelbart læsbar. Han fik præsenteret en udlistning af nogle partitioner. Han ikke kan udelukke, at der har været password, som havde åbnet en del af computeren, inden han modtog data. Der var fem partitioner, han kunne undersøge, og to partitioner, som hanikke kunne undersøge på grund af kryptering. De indeholdt henholdsvis 752 GB og 429 GB. Det var størstedelen af computeren, der var krypteret.

Anklageren dokumenterede fra bilag P-2-11-1, ekstrakt 14, side 123.

Han undersøgte computerens internethistorik blandt andet for at se, hvilke hjemmesider, der var besøgt. Politiet fandt en kvittering for leje af serverplads. Serveren står fysisk et sted. De ved ikke, hvor i verden serveren står. Man kan med en computer tilgå serveren og kan gemme ting på den.

side 135

Når han i sin rapport fremhævede, at der på computeren var en fil med vejledningen til Program 1, var det, fordi han var bekendt med, at det var det styresystem, der var brugt hos Forurettede A/S. Man kan ikke umiddelbart se, hvornår filen ”Filnavn 5” er gemt. Sharedatoen siger ikke nødvendigvis noget om, hvornår den er gemt.

Filnavn 6 er en pakket fil, og han kan ikke se filerne deri. Han kan kun se, hvornår den er oprettet.

Navnet på filen ”Filnavn 7 …” kan indikere, hvornår filen er fra.

Forespurgt af advokat Michael Juul Eriksen forklarede vidnet, at det er normalt at pakke filer som zip-filer med henblik på forsendelse.

Forespurgt af anklageren forklarede vidnet, at ”Program 30” er et almindeligt kendt program til at bryde simple password med. Han fandt en kopi af programmet. Hvis man kørte programmet, ville resultaterne ligge i ”Filnavn 8” , men den var tom. Han kan ikke udelukke, at programmet er kørt, men der ligger ikke nogle resultater. Det er en kopi af programmet, men det kan det samme som selve programmet. Det er normalt at have programmet, hvis man interesserer sig for at bryde password.

Forespurgt af advokat Michael Juul Eriksen vedrørende side 127 forklarede vidnet, at filerne i en zip-fil har deres egen datering alt efter, hvornår de er oprettet.

Det er muligt, at Tiltalte 2 har downloadet zip-filerne den 29. maj 2013. En anden mulighed er, at Tiltalte 2 selv har samlet filerne og pakket dem ind i en zip-fil den 29. maj 2013. Der er mange andre muligheder, men de er formentlig kopieret ind samlet, da de er lagt med få minutters mellemrum. Man kan godt downloade parallelt. Det er oplagt at sige, at filerne er kopieret ind samlet fra et medie. Indholdet af zip-filerne er så forskelligt, at det ville være utroligt, hvis man kunne hente dem med så få minutters mellemrum. Det ser ud som om, de er hentet et sted fra og lagt ind på computeren den 29. maj 2013.

Forespurgt af anklageren forklarede vidnet, at en af mulighederne er, at man har haft filerne på en gammel computer og overført dem til den undersøgte computer den 29. maj 2013.

Forespurgt af advokat Michael Juul Eriksen vedrørende ”Filnavn 5” -filen forklarede vidnet, at den lå pakket i en zip-fil. Man skal lave en handling først, før den kan læses. Man kan åbne den på flere måder og læse den. Det kommer an på programmet. Han har ikke fundet den pakket ud liggende ved siden af zip-filen.

Anklageren dokumenterede fra bilag P-2-12-1 (supplerende erklæring af 25. august 2014), tillægsekstrakt IV, side 90.

Vidnet forklarede, at hvis man starter computeren normalt op, får man et login-billede.

side 136

Hvis man bruger SD-kortet, som lå i en skakbrik, får man en anden indgang til computeren. SD-kortet indeholdt to dekrypteringsnøgler til de to krypterede partitioner. De har haft adgang til den ene partition, men ikke til den anden. Han ved ikke, om det var via SD-kortet, de fik adgang til den, da det ikke er ham, der fik åbnet den. Han fik blot indholdet for at undersøge det.

Vedrørende billedet på side 93 forklarede vidnet, at det er et billede, man får, når man åbner computeren uden at have indsat SD-kortet. Der skal bruges yderligere et password.

Når man sætter SD-kortet i, får man et andet skærmbillede, det ses på side 94. Billedet, der kommer op, giver adgang til en anden partition af computeren. De indtastede ”kernel/Nøgle 1” , og der kom et tastatur frem. Han ved ikke helt, hvordan det virker. Det gengiver et almindeligt tastatur, men under hver tast findes en substitut. Hvis man fx skulle taste et lille a ind, skulle man taste V. Det kan være for at sløre det, hvis nogen kan aflæse ens tastaturtryk. Tastaturet skifter, så det samme password ikke bliver indtastet ens fra gang til gang.

Selv om de havde set metoden, krævede det stadig passwordet, også selv om man havde nøglen.

Den beskyttelse, der var på computeren, var ikke en, de havde set før. Den var omstændelig, og personen, der havde lavet beskyttelsen, var en ekstrem sikkerhedsbevidst person.

Forespurgt af advokat Michael Juul Eriksen forklarede vidnet, at det er almindeligt at bruge sikkerhedsfilm på sin computer. Der kan ligge sensitivt materiale på en computer, og derfor findes der værktøjer, der kan give beskyttelse.

De skrev ”kernel/Nøgle 1” for at aktivere den kernel, der lå på SD-kortet. Der lå to sikkerhedsnøgler på SD-kortet, der var navngivet som de to partitioner, de ikke kunne åbne på computeren. De var benævnt henholdsvis Nøgle 2 og Nøgle 3.

Den partition, som hedder ”dev/sda2” er en partition, som ikke ligger på den computer, som vidnet undersøgte. Den nøgle, som hedder Nøgle 1, kan relatere sig til en partition på en anden og ældre computer.

Forespurgt af anklageren forklarede vidnet, at der var to nøgler på SD-kortet. Hver nøgle havde navnet til de to partitioner på computeren.

Foreholdt fra bilag P-2-12-3 (it-teknisk erklæring af 10. september 2014), tillægsekstrakt VI A, side 83, forklarede vidnet, at man nu har fået åbnet den ene af de krypterede partitioner. Han ved ikke, hvordan man fik åbnet den. Han fik blot dataene til undersøgelse, men fik ikke noget ud af dem. Den indeholdt relativt meget data, ca. 400 GB, men intet af det var læsbart. Det var en stor mængde tilfældige tal og bogstaver. Det kunne betyde forskellige ting, men der var ikke noget brugerskabt. Det lå ikke i mapper og filer. Teoretisk kunne det være, at dataene var krypteret, men der kunne også være

side 137

andre grunde til, at det så sådan ud. Det kan fx være, at man krypterede en disk og lavede en ny partition, hvor der tidligere havde ligget krypteret data. Det var bare en tilfældig strøm af tegn og karakterer, der fyldte området.

Den partition, der hedder Nøgle 3, har de ikke fået adgang til.

Forespurgt af advokat Michael Juul Eriksen forklarede vidnet, at han mener, at de er kommet ind ved brug af et password.Det er ikke det samme password som til computeren. Partitionen indeholdt en tom ”journal” -fil, og datoen den 4. juni 2013 er formentlig den dato, den er oprettet.

Vidne 13, Rigspolitiet, har forklaret, at han er konsulent hos Rigspolitiets koncern-it. Han har arbejdet med it og it-sikkerhed siden 2001. Han blev involveret i sagen i slutningen af februar 2013, hvor han først var til møde med Nites, og derefter var han ude hos Forurettede A/S. Hans opgave var at gennemgå logfiler fra programmet PuTTY og at identificere de data, der muligvis stammede fra Forurettede A/S.

Anklageren dokumenterede fra bilag Q-8 (rapport af 21. januar 2014), ekstrakt 17, side 1.

Vidnet forklarede, at PuTTY er et terminalbaseret program. Man åbner det på en computer og forbinder sig til en anden computer. Kommandoerne vil vises på skærmen på den computer, som betjenes af fjernbetjening, ikke den, der fjernbetjenes. Programmet anvendes typisk til fjernbetjening af servere.

Anklageren dokumenterede fra bilag Q-8, ekstrakt 17, side 7.

Vidnet forklarede, at der blev foretaget login-forsøg mod Forurettede A/S samtidig med, at man stjal filer fra Virksomhed 6. Af logfilen ses, at der er forbindelse til Virksomhed 6 og Forurettede A/S samtidig. Der har været flere screens, dvs. faneblade, åbne samtidig, blandt andet en screen for Virksomhed 6-forbindelsen og en for Forurettede A/S-forbindelsen. Han kan se af loggene, at gerningsmanden skifter mellem de forskellige screens.

Forespurgt af advokat Luise Høj forklarede vidnet, at man af SEMBSN-loggen kan se, at et program kører med login-forsøg mod Forurettede A/S' FTP-server, da logfilen begynder. Dette login-forsøg mod FTP-serveren gav ikke adgang til Forurettede A/S, da det skete via en webserver.

Anklageren dokumenterede fra bilag Q-9 (rapport af 21. januar 2014), ekstrakt 17, side 14 ff.

Vidnet forklarede, at indbruddet i mainframen skete den 7.-8. april 2012. Det er beskrevet i den tekniske erklæring. Der skabtes forbindelse til Hjemmeside 26.

Anklageren dokumenterede fra bilag M-2-1-1 (Filnavn 1 chatten), ekstrakt 10, side 73-74, fra kl. 05.39.28, hvoraf det fremgår, at Hjemmeside 26 nævnes under chatten.

side 138

Anklageren dokumenterede fra bilag Q-9, ekstrakt 17, side 17.

Vidnet forklarede, at dette var den Software sårbarhed, der blev benyttet til at komme ind i Forurettede A/S' systemer.

Advokat Michael Juul Eriksen dokumenterede fra bilag M-2-1-1-2, ekstrakt 10, side 73.

Vidnet forklarede, at hvis man fik oplyst brugernavn og password til en bruger i RACF-basen, ville man formentlig få adgang via login. Han har ikke tidligere set chatten. Det, som han kan læse ud af det dokumenterede, har ikke noget med en Software at gøre. Det skete angreb har ikke med login at gøre, men med Software at gøre.

Anklageren dokumenterede fra bilag Q-9, ekstrakt 17, side 18-19 og side 24-27.

Vidnet forklarede, at teksten side 26, afsnittet som begynder med kl. 02:57:34, er et arbejdsnotat, der ved en fejl er kommet med, og som der skal ses bort fra.

Man kunne konstatere, at gerningsmanden lavede et kald, afgav nogle kommandoer, fik vist et certifikat og fik skrevet en fil ud.

Side 26, kl. 03.07.58 begynder gerningsmanden at udvikle sine rettigheder ved hjælp af "Script 8". Da gerningsmanden havde fået adgang til mainframen, var det med en underprivilegeret brugerstatus, som ikke gav adgang til de databaser, han ønskede. Gerningsmanden ville derfor forsøge at bygge et tool, der gav adgang til flere data.

Gerningsmanden lavede derfor lokalt script, "Script 14", som var endnu et værktøj til at få forhøjet sine rettigheder til en højere brugerstatus. Gerningsmanden omdøbte herefter Script 14 til "Script 15".

Anklageren dokumenterede fra bilag Q-9, ekstrakt 17, side 29.

Vidnet forklarede, at her havde gerningsmanden fået opgraderet sine rettigheder.

Anklageren dokumenterede fra bilag Q-9, ekstrakt 17, side 32, kl. 04.41.47

Vidnet forklarede, at gerningsmanden her lavede Script 6. Det var første bagdør, der blev oprettet.

Anklageren dokumenterede fra bilag Q-9, ekstrakt 17, side 34 og 36.

Vidnet forklarede, at gerningsmanden foretager en tilføjelse til filen "inetd.conf". Herefter omdøbte han en fil "Filnavn 9" til at være et Program 31", som var et angrebsprogram, der blev brugt til at trænge ind.

Anklageren dokumenterede fra bilag Q-9, ekstrakt 17, side 37.

Vidnet forklarede, at "root-rettigheder" er administratorrettigheder. De to yderligere

side 139

service porte, 50023 og 50029, var bagdør 2 og 3.

Anklageren dokumenterede fra bilag Q-10 (rapport af 21. januar 2014), ekstrakt 17, side 81-82.

Vidnet forklarede, at Script 10 var et værktøj, som lå lokalt på gerningsmandens computer. Det blev brugt til at automatisere kommandoer, så gerningsmanden var fri for hele tiden at skrive dem på skærmen. Det var for at gøre adgangen lettere.

Anklageren dokumenterede fra bilag Q-10, ekstrakt 17, side 84-85.

Vidnet forklarede, at angrebsværktøjerne blev ændret for at gøre dem bedre, end de var i forvejen.

Anklageren dokumenterede fra bilag Q-11(rapport af 21. januar 2014), ekstrakt 17, side 100.

Vidnet forklarede, at gerningsmanden stadig fik forfinet sine værktøjer. Den 10. april 2012 stjal han RACF-databasen, som han hentede til sin egen computer og til domænet phnompenh.gov.kh.

Anklageren dokumenterede fra bilag Q-12 (rapport af 28. januar 2014), ekstrakt 17, side 109-113.

Vidnet forklarede, at filen vedrører den 21. april 2012. Der er mange søgninger efter noget, der er politi- og bankrelateret. Der var også 38 filtyverier.

Anklageren dokumenterede fra bilag Q-12, ekstrakt 17, side 131.

Vidnet forklarede, at CRM er Centralregisteret for Motorkøretøjer. Der var tyverier derfra flere gange. CMR Interpol er formentlig fra pasregisteret.

Anklageren dokumenterede fra bilag Q-13 (rapport af 21. januar 2014), ekstrakt 17, side 132 og 144.

Vidnet forklarede, at dette fandt sted den 23. og 24. august 2012 – kort tid før Tiltalte 1's anholdelse.

Derskete massive tyverier af filer fra Forurettede A/S. De to IP-adresser, IP adresse 4 og IP adresse 10 tilhører vist Virksomhed 6 i Sverige, men han er ikke sikker.

Anklageren dokumenterede fra bilag Q-14 (rapport af 21. januar 2014), ekstrakt 17, side 160, 163 og 165.

Vidnet forklarede, at dette er Bash_History med de seneste 2.000 afgivne kommandoer. Det viser søgninger i filen indeholdende en kopi af Schengenregisteret.

side 140

Anklageren dokumenterede fra bilag Q-15 (rapport af 21. januar 2014), ekstrakt 17, side 166 og 167-169.

Vidnet forklarede, at dette også en undersøgelse af Bash_History, men af brugeren ”root” . Han har slået IP-adresserne, IP adresse 11 og IP adresse 12, op, og fundet ud af, at de tilhørte Nordic Processor AB. Det kunne godt være Bank 1.

Han kan ikke udtale sig om, hvorvidt det er den samme person, som er ansvarlig for alle de undersøgte PuTTY-logs. Det godt være, at det er en anden person, der har udført kommandoerne og gemt dem på Tiltalte 1's computer.

Forespurgt af advokat Luise Høj forklarede vidnet, at han ikke har været særlig opmærksom på Bank 1. Vedrørende SEMBSN-loggen, kan en anden have lavet handlingerne og have gemt filen på Tiltalte 1's computer. Man skal have en grafisk baseret grænseflade for at køre PuTTY.

Foreholdt fra advokat Michael Juul Eriksen bilag Q-16 (rapport af 9. december 2013), ekstrakt 17, side 172-173, forklarede vidnet, at han ikke husker de nøjagtige datoer for download af filer. Han kan ikke sige, om der var to måneders pause med hensyn til download af filer.

Vidne 14, Københavns Politi, har forklaret, at han har været ansat hos politiet i 27 år. Han har beskæftiget sig med efterforskning af it-kriminalitet siden 2000. Han har en akademiøkonomuddannelse med speciale i internethandel. Han er været beskæftiget med sager om e-handel og hacking i NC3.

I denne her sag har han undersøgt chatfilerne. Det begyndte med chatten mellem Profilnavn 1 og Profilnavn 2.

Forevist bilag M-2-1-1-2 (chatten), ekstrakt 10, side 91, forklarede vidnet, at det er den chatfil, han har undersøgt. Han fik den i en fil elektronisk, og den så sådan ud, da han fik den. Den samme tekst gentages to gange i filen. På side 125 kan man se, at loggen slutter den 14. februar 2012 kl. 1:31:04 pm. Efterfølgende kommer en fuldstændig gentagelse af den første del. Han har sammenlignet dem, og det er ingen forskel.

Det kan godt være, at der kun er tale om et uddrag af en chat. Han går ud fra, at chatten begynder og slutter, hvor den gør, men der kan godt have været noget både før og efter. I det program, man har anvendt, er der en mulighed for at verificere, hvem man chatter med. Denne chat er ”Unverified” , så man har ikke verificeret, hvem man chatter med.

Foreholdt af advokat Michael Juul Eriksen vedrørende teksten kl. 2:09:11, forklarede vidnet, at det ikke er en urimelig antagelse, at der har været chattet tidligere.

Forespurgt af anklageren forklarede vidnet, at sådan som han har læst chatten, virker den som en lang kronologisk fil. Der er nogle steder, hvor chatten afbrydes, men genoptages senere.

side 141

Den 13. og 14. februar 2012 er anført som datoer for chatten.

Forevist fra bilag M-2-1-1-2, ekstrakt 10, side 103 (datoangivelse efter kl. 05:47:11) forklarede vidnet, at man her kan se datoen den 13. februar 2012. Der er et tidsspring, så det er sandsynligvis systemet, som har samlet tiden op og sat den ind i chatten.

Han ved fra den svenske forundersøgelse, at der er konstateret et problem med batteriet i MacBook Pro-computeren, som betød, at den kunne tabe tid. Der er også konstateret tidsspring af anden karakter.

Han har ikke tillagt datoerne den store betydning, men der pastes undervejs i chatten noget ind med samme dato, så derfor er datoerne troværdige.

Chatten blev fundet i den krypterede container på MacBook Pro-computeren, der blev beslaglagt i Cambodia. Han kan ikke gengive den nøjagtige sti. Det kommer an på chatsystemet, om det automatisk gemmer chatten. Det er almindeligt brugt, at man gemmer uddrag af chatkonversationer. Han kan ikke sige noget om, hvorvidt denne chat er gemt automatisk. Han ved ikke, hvorfor der er to gentagelser af chatten. Det kan være, fordi den er flyttet, eller fordi man har klippet i en større chat. Det kan være vedkommende har markeret den del af chatten, han ville gemme og er kommet til at klikke to gange.

Forespurgt af advokat Luise Høj forklarede vidnet, at chatten ikke er fundet der, hvor chatklienten er installeret på computeren, eller hvor de øvrige chatfiler blev fundet. Det tyder på, at den ikke er gemt automatisk. Filen er ikke en originalt genereret chatfil.

Forespurgt af anklageren forklarede vidnet, at der skal være adgang til TrueCrypt containeren for at gemme noget der. Man skal have aktiveret containeren og have logget på den med et password for at gemme chatten der.

Han har senere erfaret, at hvis man anvender programmet Program 8, kan man ændre de anvendte nicks til andre navnene. Kl. 11:30:36 adresserer Profilnavn 2 ”Brugernavn 1” , som den efterfølgende tekst er rettet til. Det er hans opfattelse, at det betyder, at den person, Profilnavn 2 chatter med, går under brugernavnet ”Brugernavn 1” . Program 8 kan sættes op, så ”Brugernavn 1” bliver omskrevet til Profilnavn 1.

Profilnavn 2 går ud fra, at den person, han chatter med, hedder ”Brugernavn 1” . Profilnavn 2 kunne ikke se, hvis der efterfølgende blev lavet noget om, da det foregik hos den chatklient, der var hos Profilnavn 1. Han ved ikke, hvorfor nogle gør det. Profilnavn 2 kan ikke umiddelbart se, at han fremtræder med dette navn.

Forespurgt af advokat Luise Høj forklarede vidnet, at det godt kunne være en samtale med flere, men så ville ”Brugernavn 1” svare, og det ser man ikke. Som det står, kunne der godt være en tredje person, men vedkommende er i så fald ikke kommet med indlæg. Han kan ikke sige, om der er redigeret i chatten, han har bare gennemgået chatfilen.

Forespurgt af advokat Michael Juul Eriksen forklarede vidnet vedrørende kl. 5:39:24, at hvis Tiltalte 2 var logget ind med ”Kaldenavn 26” , ville det på Tiltalte 2's computer fremstå som en chat mellem ”Kaldenavn 26” og ”Brugernavn 1” .

side 142

Forespurgt af anklageren forklarede vidnet, at han også har undersøgt andre chats. Der var en stor mængde chatfiler på MacBook Pro’en. Der var 182 logfiler med chats i en mappe, og de fik udleveret en del af dem. En del fik de ikke, da de indeholdt oplysninger, som det svenske politi ikke kunne give videre. De fik 35 logfiler. Det var chats fra 2012 og nogle enkelte fra 2011.

Dansk politi har peget på de chatfiler, der kunne være interessante for sagen. Vedrørende logfilerne med angivelsen 2001 kunne de ikke afgøre, hvilke år der var tale om, da der var problemer med tiden på computeren. Indholdet af chatfilerne var forskelligt. Nogle havde op til 24.000 linjer, andre fremstod som uddrag, og nogle havde kun 4-5 linjer. Alle chatfilerne er fundet i den krypterede container.

Forevist bilag M-1-62 (rapport af 20. august 2014), tillægsekstrakt IV, side 20, forklarede vidnet, at ud fra chatfilen Filnavn 1 uddrog han nogle temaer, som gik igen i andrefiler. Det kunne fx være en henvisning til en webadresse eller til Hjemmeside 5. De søgte oplysninger om, hvem der gemte sig bag nicknavnene. Der blev brugt forskellige nicks, det kunne være Kaldenavn 9, Kaldenavn 11, Kaldenavn 10, tlt eller Kaldenavn 22. De forsøgte at få identificeret, hvem Profilnavn 1 var.

Forevist bilag M-2-1-1-2, ekstrakt 10, side 91, forklarede vidnet, at Program 2 er et program til at emulere en mainframe. Programmet kan bruges til træning og til at fortolke ting fra en rigtig mainframe. I forbindelse med den svenske undersøgelse, konstaterede man, at der var installeret en Program 2 emulator på en af de beslaglagte computere. Der var også nogle genveje til nogle programmer, som blev brugt til at kommunikere med Program 2 programmet.

Forevist bilag Q-6-1 (svensk forundersøgelse), ekstrakt 16, side 93, forklarede vidnet, at specielt genvejen ”Brugernavn 17” var interessant, da det brugernavn, den førte frem til var Brugernavn 4, hvilket er et brugernavn, man også ser postes ind i chatten.

Forespurgt af advokat Luise Høj forklarede vidnet, at han ikke ved, hvad det var for en bruger, der havde det pågældende skrivebord. Han er bekendt med, at der var flere brugere på MacBook’en. Så vidt han husker, var det Brugernavn 10 skrivebord.

Forevist bilag Q-6-1, ekstrakt 16, side 95 forklarede vidnet, at tilslutningen til Program 2 var ”Navn 8” . Han har ikke beskæftiget sig så meget med, hvordan Program 2 fungerer. Han har alene forholdt sig til, at brugernavnet til Program 2, Brugernavn 4, postes i chatten.

Forevist bilag M-2-1-1-2, ekstrakt 10, side 114 (kl. 12:28:38), forklarede vidnet, at Brugernavn 4 ses postet. Det var derfor, at det var interessant. Brugernavn 4 bliver også postet tidligere, formentlig som et jcl-script, som bruges til kommunikation med en mainframe. Kl. 12:00:48 er nok resultatet af et script, der har kørt. Det er interessant, da det link, der gemmer sig bagved, findes på Program 9. Program 9 er et sted på internettet, hvor man kan oploade filer, man ønsker at dele med andre. Man kan også poste et script, som sket her.

Forevist bilag M-2-1-1-2, ekstrakt 10, side 119 (12:56:02), forklarede vidnet, at Profilnavn 1 henviser til det script, som han også henviste til på Program 9 kl. 12:00:48. Det fandtes på

side 143

Program 9 på daværende tidspunkt.

Forevist bilag M-2-1-2-2, ekstrakt 10, side 213, forklarede vidnet, at det er dette script på Program 9, vidnet henviser til.

Det er hans indtryk, at det er den samme person, der har nicknavnene Kaldenavn 9 i forskellige former og Kaldenavn 22. Han mener ligeledes, at Profilnavn 1 er den samme gennem hele chatten. Det baserer han på skrivemåden og adfærden.

Forespurgt af advokat Luise Høj forklarede vidnet, at det godt kan lade sig gøre at være logget ind på flere kanaler samtidig og samtidig være både Kaldenavn 9, Kaldenavn 10 osv. Det kan godt være, at det er to forskellige personer, der bruger nicket Kaldenavn 9. Men her henviser man til det samme på Program 9.

Forespurgt af anklageren forklarede vidnet, at scriptet, som ses i ekstrakt 10, side 213, blev oploadet på Program 9 den 13. februar 2012.

Forevist bilag M-1-57 (politirapport af 17. juni 2014), tillægsekstrakt I, side 192, forklarede vidnet, vedrørende ”_e1_.freenode.log” , at den beslaglagte computer hos Tiltalte 1 manglede flere taster, blandt andet ”0” og ”pil ned” . Der tales om de ødelagte taster i chatten af Kaldenavn 10. Filen er dateret 2001, men computeren er købt efter 2001, er tidsangivelsen er ikke korrekt på grund af fejlen i maskinen.

Forespurgt af advokat Luise Høj forklarede vidnet, at han ikke husker, at det fremgår af chatten, at man skifter til et eksternt tastatur. Forevist kan han godt se, at det står sidst i chatten.

Nicknavnet ”Kaldenavn 22” kan man knytte sammen med Kaldenavn 9. Man kan se, at en bruger skiftede mellem disse to nicks og postede nogle af de samme ting.

Forevist bilag M-1-55 (politirapport af 16. juni 2014), tillægsekstrakt I, side 152, forklarede vidnet, at han her har undersøgt, hvor vedkommende, der bruger navnet Kaldenavn 10, logger ind i systemet. Kaldenavn 9 i forskellige udgaver vises. ”E-mailadresse 21” angiver identen i forhold til systemet. Der vises, hvad systemet har af oplysninger om brugeren. Systemet viser en IP-adresse, der er hjemmehørende i Cambodia. Kaldenavn 9, Kaldenavn 10, Kaldenavn 11 logger på maskinen fra samme IP-adresse, i hvert fald samme host.

Forevist bilag M-1-55, tillægsekstrakt I, side 153, forklarede vidnet, at identen ” IP adresse 13” ikke harden samme IP-adresse, som ”IP adresse 14” , men der er også her tale om en cambodiansk IP-adresse.

Kaldenavn 7 og Kaldenavn 9 kunne godt være to forskellige personer, men det kunne også være den samme. Kaldenavn 7 er interessant i forhold til en anden chatfil ” Filnavn 3” . IP-adresserne kan tilknyttes en udbyder i Cambodia, benævnt Cogetel.

Forevist fra bilag M-1-55, tillægsekstrakt I, side 154, af advokat Luise Høj forklarede vidnet, at IP adresse 15 tilhører en anden udbyder i Cambodia. De har

side 144

nærmere oplysninger om brugeren.

Forevist bilag M-1-54 (politirapport af 10. juni 2014), tillægsekstrakt I, side 128, vedrørende ”Lognavn” , forklarede vidnet, at en bruger med nicket ”Kaldenavn 29” spørger chatserveren, om en bruger med nicknavnet Kaldenavn 8 er set. Serveren svarer, at Kaldenavn 8 har anvendt brugernavnene Kaldenavn 9, Kaldenavn 10, Kaldenavn 11, Kaldenavn 30 og Kaldenavn 31.

Det er et automatisk genereret svar fra den server, der hoster chatkanalen. Serverens svar bygger på de oplysninger, der senest er anvendt af Kaldenavn 8. Den siger ikke noget om, hvornår nicks’ene har været anvendt. Det er maskinen, der stempler tiden, så han ved ikke, om tiden er korrekt.

Forespurgt af advokat Luise Høj forklarede vidnet, at det er en robot, man spørger. Det, der kommer ind, er det, der kommer ud. En manipulation er mulig. Han ved ikke, om chatklienten har en officiel registrering af, hvem der chatter. At der er forskellige brugernavne viser, at der er en sammenhæng mellem Kaldenavn 8 og Kaldenavn 9 brugernavnene. Det er brugeren, der bestemmer, hvad han logger ind med. Hvis man ønsker at logge sig ind med Kaldenavn 9 i en chat, og der i forvejen er en, der bruger det, får man ikke nødvendigvis Kaldenavn 9 i en variant, fx Kaldenavn 10, da det er brugerbestemt.

Forevist bilag M-1-54, tillægsekstrakt I, side 129, forklarede vidnet, at han hæftede sig ved denne del af chatten, da der var oplysninger om, hvor i verden man kunne finde Kaldenavn 9. Han antager at ”cambo” er Cambodia, og at Kaldenavn 9 skulle befinde sig der.

Forespurgt af advokat Luise Høj forklarede vidnet, at han ikke kan sige, om noget er sagt i sjov eller ironisk. Det er almindeligt, at tonen i chats kan være ironisk.

Forevist bilag M-1-47 (politirapport af 20. maj 2014), tillægsekstrakt I, side 44, forklarede vidnet, at denne chatlog også er fundet i den krypterede container. Han undersøgte nicket Kaldenavn 22, som var interessant, da der kan ses en forbindelse i det, der bliver postet. Nogle gange skriver systemet, at der skiftes brugernavn fra Kaldenavn 22 til Kaldenavn 9.

Han har gennemgået alle linjer i de chatfiler, han har undersøgt. Han har ledt efter sammenfald og paralleller. Han har interesseret sig for indholdet af chatten uanset hvilken bruger, der chatter.

Forevist bilag M-1-47, tillægsekstrakt I, side 47, forklarede vidnet, at det interessante i disse linjer er, at cryptoad og Kaldenavn 22 chatter om Ace of Base, som er en svensk gruppe.

Forespurgt af advokat Luise Høj forklarede vidnet, at Hjemmeside 5 er et underdomæne til domænet Hjemmeside 5. Subdomænet er et underdomæne, som tildeles af administrator af domænet.

Forespurgt af anklageren forklarede vidnet, at der i chattene vist er 63 henvisninger til oploadede filer på subdomænet Hjemmeside 5.

Forevist fra bilag M-2-1-1-2, ekstrakt 10, side 94 (kl. 2:37:58 pm), forklarede vidnet, at der her henvises til Hjemmeside 5. Det har ikke været muligt for ham at

side 145

kommeind på subdomænet. Hoveddomænet, Hjemmeside 5, er registreret tilhørende et firma, som Tiltalte 1 har registreret.

Forevist fra bilag M-2-1-1-2, ekstrakt 10, side 100 (kl. 3:55.33 pm), forklarede vidnet, at det er en anden fil på Hjemmeside (underdomæne til hjemmeside 3), man henviser til.

Forevist fra bilag M-2-1-2, ekstrakt 10, side 112 og 113, forklarede vidnet, at der begge steder henvises til filer på Hjemmeside (underdomæne til hjemmeside 3).

Henvisningerne til Hjemmeside (underdomæne til hjemmeside 3) går igen i flere andre chats. Der henvises til den 63 gange i alt. Han har taget nogle eksempler ud fra de chatlogfiler, der er blevet undersøgt yderligere.

Forevist bilag M-1-62 (rapport af 20. august 2014), tillægsekstrakt IV, side 31-32, forklarede vidnet, at der er13 hits til Hjemmeside (underdomæne til hjemmeside 3) i ”asm.freenode.log” . Han har samlet henvisningerne. Det er blandt andet en henvisning til en billedfil. Filen er fundet på den computer, der blev beslaglagt i Cambodia. Filen ”Filnavn 2” viser et skærmbillede fra en mainframe, der bliver styret af et Program 1-styresystem. Henvisningen findes også i chatfilen Filnavn 1.

Forevist bilag M-1-62, tillægsekstrakt IV, side 33, forklarede vidnet, at chatlogfilen ” _Kaldenavn 12_.freenode.log” indeholder i alt seks henvisninger fra Kaldenavn 9 til Hjemmeside (underdomæne til hjemmeside 3).

Forevist bilag M-1-62, tillægsekstrakt IV, side 34, forklarede vidnet, at chatlogfilen ”re.freenode.log” indeholder to henvisninger fra Kaldenavn 9 til Hjemmeside (underdomæne til hjemmeside 3).

Forevist bilag M-1-62, tillægsekstrakt IV, side 40, forklarede vidnet, at chatlogfilen ” grsecurity.Island.log” indeholder fire henvisninger fra Kaldenavn 22 til Hjemmeside (underdomæne til hjemmeside 3).

Forevist bilag M-1-62, tillægsekstrakt IV, side 44, forklarede vidnet, at chatlogfilen ” Kaldenavn 2.Island.log” indeholder to henvisninger fra Kaldenavn 22 til Hjemmeside (underdomæne til hjemmeside 3).

Forevist bilag M-2-1-1-2, ekstrakt 10, side 100 (kl. 3:55:33 pm) og side 112 (kl. 12:09:11), forklarede vidnet, at det er henvisninger til den tidligere nævnte fil ”Filnavn 2” vedrørende Virksomhed 1 på Hjemmeside (underdomæne til hjemmeside 3). Han har søgt på henvisningen i de logfiler, han har undersøgt. Han fandt det unikt at søge på, og det har været et af temaerne i efterforskningen.

Forevist bilag M-2-1-2-7 (politirapport af 13. januar 2014), ekstrakt 10, side 264, forklarede vidnet, at han har brugt ”Filnavn 2” som søgeord i alle de forskellige filer. Alle filerne er fundet i den krypterede container i den samme mappesti. Det var der, alle de andre chatfiler også blev fundet, på nær den mellem Profilnavn 2 og Profilnavn 1 (Filnavn 1-filen), som dog også lå i den krypterede container, men ikke i samme sti. I rapporten har han gengivet de linjer fra chatten, hvor henvisningen var. Tidspunkterne er som angivet i

side 146

chatfilerne, men han ved ikke, om de er korrekt tidsangivet. Fx er årstallet 2001 formentlig forkert. Der henvises to af stederne til ”Filnavn 2” -filen på et andet link ”Hjemmeside 28” .

Forevist bilag M-2-1-2-8 (rapport af 27. januar 2014), ekstrakt 10, side 271 (Virksomhed 1 fil) bekræftede vidnet, at det er den pågældende billedfil. Det er et skærmbillede fra Program 1 systemet, når den poster nogle oplysninger i systemet.

Forevist bilag M-2-1-1-2, ekstrakt 10, side 111 (12:03:43) og side 119 (kl. 12:57:05), bekræftede vidnet, at han har hæftet sig ved disse to citater ”a good programmer …” . De 187 anslag, som anvendes i citatet, har han undersøgt og fundet i en anden chatlogfil, som han mener stammer fra den svenske forundersøgelse.

Forevistbilag C-1-2 (svensk forundersøgelse), tillægsekstrakt VI B, side 240, bekræftede vidnet, at det var i denne chat, at citatet også blev postet. Det er ikke en chat, han har undersøgt. Den blev fundet ved undersøgelse af Person 21's computer og var en del af Virksomhed 6-sagen.

Forespurgt af advokat Luise Høj forklarede vidnet, at han har forholdt sig til de ting, der blev tillagt betydning i den svenske forundersøgelse og den svenske dom. Han har undersøgt, hvilke chatfiler der blev lagt vægt på i dommen. Han har ikke nærlæst dommen fra Sverige. Han kan ikke sige, hvor mange chats fra den svenske forundersøgelse, det var relevante at se på. Denne chat stammer fra Virksomhed 6-forundersøgelsen. Bank 1 havde en anden forundersøgelse, som han ikke har interesseret sig for.

Forevist bilag M-2-1-2-3 (rapport af 10. december 2013), ekstrakt 10, side 218, forklarede vidnet, at citatet stammer fra en artikel på internettet, og der bliver også postet et link til den på chatkanalen. Den er ikke lige til at finde. Den bliver citeret to gange af to forskellige brugere. Han har læst noget af artiklen, men ikke den hele. Det er en fortælling om, hvad programmører gør. Citatet kan forstås som en spøg. Det er ikke en teknisk vejledende artikel.

Forevist bilag M-2-1-1-2, ekstrakt 10, side 98 (kl. 3:14.55 pm), forklarede vidnet, at det er interessant, at det bliver givet en oplysning, hvor man kan trække en parallel til andre chatfiler. Kaldenavn 3 er et nicknavn fra en af de andre chats med Kaldenavn 22.

Forevist bilag M-1-50 (politirapport af 3. juni 2014), tillægsekstrakt I, side 98-99 (Log), forklarede vidnet, at der er to chatperioder 14. juli 2011 til 11. august 2011 og 8. maj 2012. Chatfilen er interessant, fordi den viser, at Kaldenavn 3 har tilknytning til Blackberry. Det gør ham interessant for Kaldenavn 22, idet blackberry-serveren også bruger Program 1. Kaldenavn 22 nævner en Software.

Forespurgt af advokat Luise Høj forklarede vidnet, at han ikke har vurderet, hvilken Software der var tale om. Han ved ikke, om det er den samme server, eller hvilken udgave af Program 1, der anvendes.

side 147

Forevist bilag M-1-50, tillægsekstrakt I, side 100, forklarede vidnet, at han fandt det interessant, fordi det vedrørte hacking af Program 1, som også anvendes som styresystem på mainframen hos Forurettede A/S.

Forespurgt af advokat Luise Høj forklarede vidnet, at der bliver chattet om en FTP-server og ikke om en webserver.

Forevist bilag M-1-62 (politirapport af 20. august 2014), tillægsekstrakt IV, side 40, forklarede vidnet, at ”Kaldenavn 22 is now known as Kaldenavn 9” er en systemoplysning om, at brugernavnet Kaldenavn 22 nu er skiftet til Kaldenavn 9. Det er et automatisk robotsvar fra serveren. Oplysningen er genereret, fordi Kaldenavn 22 har givet en kommando om, at han vil være Kaldenavn 9. Det sker samtidigt i to forskellige chatlogs. Vedkommende var logget ind i to forskellige kanaler på samme tid.

Forespurgt af advokat Luise Høj forklarede vidnet, at det var noget, man valgte at gøre. Han ved ikke, om klienten gemmer det sidst brugte brugernavn, når man logger ind.

Forevist bilag M-2-1-1-2, ekstrakt 10, side 98 (kl. 3:14:55 pm) forklarede vidnet, at han har undersøgt, om ”Kaldenavn 2” var et brugernavn, der gik igen i andre chatlogfiler. Han har fundet en chat mellem Kaldenavn 2 og Kaldenavn 22.

Forevist bilag M-1-49 (politirapport af 6. februar 2014), tillægsekstrakt I, side 81, forklarede vidnet, at han fandt Kaldenavn 2 i Filnavn 3.EFNet.log, hvor også navnet Kaldenavn 8 blev nævnt. Det var et interessant sammenfald. ”Kaldenavn 2” er Person 37 nickname. Person 37 har tilknytning til Virksomhed 14, hvor han er chef af en art. Kaldenavn 2 bliver også nævnt i chatten mellem Profilnavn 1 og Profilnavn 2, og der er derved en sammenhæng mellem Profilnavn 1, Kaldenavn 9 og Kaldenavn 2.

Forespurgt af advokat Luise Høj forklarede vidnet, at Person 37 er kendt i bredere kredse indenfor IT-sikkerhed.

Forevist bilag M-1-49, tillægsekstrakt I, side 83, forklarede vidnet, at det interessante er, at Kaldenavn 2 poster et link, hvor der er en artikel, der omhandler det, at en af Program 11's stiftere havde fået sin dom. Der bliver citeret noget fra artiklen. Citatet bliver også citeret af andre brugere.

Forevist bilag M-1-49, tillægsekstrakt I, side 83 og 95, forklarede vidnet, at det her er interessant, at Kaldenavn 2 poster et link til en artikel om dommen i Program 11-sagen, mens han taler om Kaldenavn 22.

Forvist bilag M-2-1-1-2, ekstrakt 10, side 58 (kl. 14:08:16) forklarede vidnet, at Profilnavn 2 i begyndelsen af chatten undervises af Profilnavn 1 i brugen af en Program 2-emulator. Det sker på opfordring af Profilnavn 1 og ikke på forespørgsel af Profilnavn 2.

Forevist bilag M-2-1-1-2, ekstrakt 10, side 61, (kl. 14:37:58) forklarede vidnet, at ”jcl” er et programmeringssprog, som bruges til at kommunikere med en mainframe. Profilnavn 1 henviser til Hjemmeside (underdomæne til hjemmeside 3), hvor der er undervisning i Program 2.

side 148

Forespurgt af advokat Michael Juul Eriksen forklarede vidnet, at han ikke ved, om Profilnavn 2 har kendskab til mainframes. Profilnavn 2 vejledes om, hvad han skal gøre.

Forevist bilag M-2-1-1-2, ekstrakt 10, side 69 (kl. 18:42:41) forklarede vidnet, at Profilnavn 2 henviser til en artikel på hjemmesiden version2.dk med beskrivelser af politiets netværk. Han skriver også, at der er et Program 1, som man bruger på en mainframe.

Forevist bilag M-2-1-2-6 (politirapport af 10. januar 2014), ekstrakt 10, side 234-235, bekræftede vidnet, at det var den artikel fra Version2, der henvises til. Den var frit tilgængelig og beskriver opbygningen af politiets systemer. Den blev lagt på nettet den 13. februar 2012 og i forbindelse med et offentligt udbud.

Forespurgt af advokat Michael Juul Eriksen forklarede vidnet, at der blev linket til selve Version2’s hjemmeside og ikke direkte til artiklen, men dette var den eneste relevante artikel.

Forvist bilag M-2-1-1-2, ekstrakt 10, side 70 (kl. 18:45:49) forklarede vidnet, at ”Hjemmeside 8” er den webside, der vist blev udnyttet ved angrebet mod Forurettede A/S med Brugernavn 11. Det var den første bagdør.

Forespurgt af advokat Michael Juul Eriksen forklarede vidnet, at Program 3 beskriver den terminaladgang til mainframen, man kommer på. Det er et dansk firma, der har produceret den webside, og det er ikke unikt for Forurettede A/S.

Forevist bilag M-2-1-1-2, ekstrakt 10, side 71 (kl. 18:50:11) forklarede vidnet, at ”pwn’e danske politifolk” , skal forstås som at eje eller besidde oplysninger om dem. ”Fuzze” betyder at stresse en server. Den nævnte Ipswitch var en webserver, der ikke var i funktion længere. Ipswitch var politiets tidligere mailserver til eksterne mails. Den var hostet hos Forurettede A/S. Det ser ud til, at Profilnavn 2 foreslår noget. Profilnavn 1 synes, at det er under hans niveau at hacke en webmail.

Forevist bilag M-2-1-1-2, ekstrakt 10, side 71 (kl. 18:51:47) forklarede vidnet, at Profilnavn 2 skriver om en Program 1 exploit, hvilket er en automatiseret udnyttelse af systemet. IP adresse 3 tilhører Forurettede A/S. Det postede kan være resultatet af en scanning mod systemet. Det er ikke umiddelbart offentligt tilgængelige oplysninger, men det ligner en slags portscanning.

Forespurgt af advokat Michael Juul Eriksen forklarede vidnet, at det må være resultatet af en scanning, hvor man kører et værktøj mod serveren, der vender tilbage med oplysningerne. Tegnet ”>” efter Program 1-exploit kan godt forstås som større end Program 1 exploit. Vidnet ved ikke, om man skal kompromittere systemet for at få oplysningerne.

Forevist bilag M-2-1-1-2, ekstrakt 10, side 73, (kl. 18:56:28) forklarede vidnet, at ”root” er den øverste administrator på et system. E-mailadresse 1 kan være en mailadresse, men det kan også være en opfordring til at få fat i administratorkontoen.

side 149

Forespurgt af advokat Michael Juul Eriksen forklarede vidnet, at det kan være en joke, men det kan også være en opfordring. Det må ses i en sammenhæng.

Forevist bilag M-2-1-1-2, ekstrakt 10, side 73 (kl. 05:39:28) forklarede vidnet, at så vidt han husker var Tjenestemandpension.dk hostet på den server, som blev angrebet. Hvis man fik adgang til RACF-databasen, kunne man arbejde med de oplysninger. Profilnavn 2 beder om at få en liste over de domæner, han skal komme med oplysninger om. Der blev bedt om brugeroplysninger.

Forespurgt af advokat Michael Juul Eriksen forklarede vidnet, at man ikke kom ind på serveren ved hjælp af brugernavne.

Forevist bilag M-2-1-1-2, ekstrakt 10, side 75 (kl. 11:48:50) forklarede vidnet, at Profilnavn 2 blandt andet skriver E-mailadresse 2, som var en aktiv politimailadresse. Man kan senere i chatten se, at man har forsøgt at logge ind på Forurettede A/S' server med brugernavnet, men det er ikke lykkedes, da brugeren er ukendt..

Forespurgt af advokat Michael Juul Eriksen forklarede vidnet, at alle politifolk står nævnt i RACF-databasen. Han ved ikke, hvor E-mailadresse 2 er skaffet fra. Man bruger ikke mailadresser til at logge ind på mainframen.

Forespurgt af advokat Luise Høj forklarede vidnet, at han ikke ved, hvordan der er sket opload af filer i TrueCrypt containeren. De filer, han har undersøgt, var i TrueCrypt containeren. Chatklienten Program 12 lå i samme mappe som logfilerne. Der er fundet 182 chatfiler i samme mappe. Han ved ikke, hvor mange filer der er fundet i alt i TrueCrypt containeren.

Der er blevet defineret nogle temaer ud fra Filnavn 1, og det er de temaer, han har efterforsket.

Forevist bilag M-2-1-1-2, ekstrakt 10, side 112 (kl. 12:07:12), forklarede vidnet, at han ikke har efterforsket vedrørende det svenske personregister (SPAR). Han har fået oplyst fra svensk politi, at der havde været forsøg på at ændre i oplysningerne i SPAR i forbindelse med den svenske sag. Dette fik han at vide i forbindelse med overdragelse af sagen under et af de første møder med anklageren i Sverige.

Han husker ikke, hvem der sagde det. SPAR er ikke et system, man let sletter noget fra, så det var ikke lykkedes. Det var, hvad det svenske politi havde fortalt vidnet. Vidnet bekræftede, at Tiltalte 1 ikke er slettet i SPAR.

Forevist bilag M-2-1-1-2, ekstrakt 10, side 112 (kl. 12:06:50 og kl. 12:08:23) forklarede vidnet, at det, at ”Brugernavn 1” nævnes, godt kunne indikere, at der var en person yderligere med i samtalen. Det skulle dog undre vidnet, idet vedkommende ikke svarer.

Nårder henvises til Hjemmeside (underdomæne til hjemmeside 3) flere gange, tyder det på et vist tilknytningsforhold. Han kunne ikke logge ind på subdomænet Hjemmeside (underdomæne til hjemmeside 3). Der blev ikke svaret ikke på hans forespørgsler. Han har prøvet at forbinde sig til serveren, men da han ikke kunne få adgang, har han ikke kunnet

side 150

undersøge, hvad der lå på denne.

Forevist bilag Q-24 (ROMAB's undersøgelse), ekstrakt 19, side 70 og M-1-62 (politirapport af 20. august 2014), tillægsekstrakt IV, side 37, forklarede vidnet, at der blev uploaded oplysninger på Program 9 den 15. oktober 2013, hvor Tiltalte 1 sad i fængsel. Disse oplysninger har en vis lighed med noget, der er postet tidligere. Det har undret ham, og han ved ikke, hvorfor det blev oploadet den 15. oktober 2013.

Forevist bilag M-1-62, tillægsekstrakt IV, side 39, forklarede vidnet, at han ikke har undersøgt disse IP-adresser nærmere. Det kan godt være, at det er en IP-adresse version 6. Der kom en version 6, fordi der var mangel på IP-adresser.

Billedet fra ascaraf447.png.-filen findes flere steder på nettet med forskellige navne. Nogle steder er billedet fx af side 28 og andre steder af side 30, som her. Flystyrtet har været tema for debat. Det bliver præsenteret, fordi det er fra Program 1 og ikke, fordi det er fra et flystyrt.

Forevist bilag C-1-2 (svensk forundersøgelse), tillægsekstrakt VI B, side 229 (kl. 20:46), forklarede vidnet, at der godt kunne stå, om nogen havde set Kaldenavn 8. Han har ikke vurderet på indholdet af chatten, men fundet et sammenfald. Det er en chat fra Virksomhed 6-sagen, og han havde alene vurderet, om der var noget, der gik igen i relation til chats i den danske sag. Der er mange forskellige chatfiler, der er sat sammen her.

Forevist bilag M-1-62, tillægsekstrakt IV, side 39, forklarede vidnet, at han ikke har beskæftiget sig så meget med tidsangivelserne, men har fokuseret på indholdet. Han har ikke altid kunnet tillægge tidsstemplingen betydning. Dateringen 10 år tilbage til 2001 kan være på grund af en computerfejl.

Vidne 2 har forklaret, at han er uddannet dataingeniør fra DIA i 1993. Han har arbejdet med udvikling af blandt andet netværksprotokoller. Siden 1997 har han arbejdet med it-sikkerhed blandt andet som medejer af og direktør for Virksomhed A/S, der beskæftiger ca. 30 ansatte.

Advokat Michael Juul Eriksen dokumenterede fra bilag V-2 (sagkyndig erklæring af august 2014), tillægsekstrakt IV, side 112-121, suppleret af Tillæg af september 2014 til sagkyndig erklæring i straffesag: Præciseringer.

Vidnet forklarede, at de brugernavne med passwords, som Profilnavn 2 (Profilnavn 2) giver til Profilnavn 1 (Profilnavn 1) i chatten, ikke ser ud til at være politibrugernavne til Forurettede A/S' mainframe systemer. Profilnavn 2 leverer også tre brugernavne udenpasswords til Profilnavn 1. Et brugernavn uden password er generelt ikke sikkerhedsmæssigt kritisk. Ofte oplyses brugernavne fx på visitkort ved, at brugernavnet erden forreste del af ens e-mailadresse. Det er kombinationen af password og brugernavn samt informationer om, hvor det kan bruges, der er kritisk.

Der er ikke nogen afde brugernavne, som Profilnavn 2 fremskaffer, der efterfølgende anvendestil at udnytte sårbarheden i Forurettede A/S' mainframe eller til at udvide

side 151

brugerrettighederne til Forurettede A/S' systemer. Vidnet mener, at det er den samme webserver, som Profilnavn 1 skriver om i chatten, som der brydes ind i, men det sker ikke med brugernavne.

De domæner, som Profilnavn 2 oplyser i chatten - tjenstemandspension.dk og Hjemmeside 26, bliver teknisk set anvendt ved indbruddet gennem webserveren til Forurettede A/S' mainframe, men domænenavne på servere er typisk offentligt kendte. Domænenavne kan sammenlignes med en www-adresse.

I chatten drøftes ikke, hvordan Software’en ser ud, eller hvordan den skal udnyttes. Man kalder en systemsårbarhed en Software, fordi sårbarheden hidtil har været ukendt. Den har været kendt i 0 dage og kendes måske kun af én person i verden.

For at udnytte en Software og udvide sine rettigheder med scripts, som sket mod Forurettede A/S, skal man have indgående kendskab til Program 1 og have en viden, der går ud over den, som Profilnavn 2 i chatten giver udtryk for at have.

De fleste angreb har en lang rekognosceringsfase. Vidnet kan ikke se en teknisk sammenhæng mellem chatten og angrebet på Forurettede A/S ved hjælp af en Software, bortset fra at de begge beskæftiger sig med samme server.

Profilnavn 1 kopierer på et tidspunkt en enkelt linje ind med "Adgangskode 2" i et forsøg på at bryde ind på Forurettede A/S' FTP-server, men forsøget mislykkes.

Vidnet har ikke selv haft tid til at deltage i Capture The Flag konkurrencer, men mange af hans ansatte har deltaget i Capture The Flag konkurrencer. Det er helt sædvanligt for it-interesserede, der sommetider anvender konkurrencerne til profilering, promovering og rekruttering.

Der er stor teknisk forskel på at arbejde med sikkerhedstests af hjemmesider og at udnytte en Software sårbarhed i en mainframe. Den tekniske viden fra at arbejde med hjemmesider rækker næppe til angreb mod en mainframe.

Det har undret ham, at der er tomme linjer i chatten. Han kan ikke sige, om nogen har taget noget ud af chatten.

Han mener, at Profilnavn 2 alene har leveret offentligt tilgængelige oplysninger til Profilnavn 1. Brugernavne med tilhørende passwords er normalt ikke offentligt tilgængelige oplysninger, men han mener, at i hvert fald et af de leverede brugernavne med password var offentligt tilgængeligt.

Forespurgt af anklageren forklarede vidnet, at det er den engelske version af chatten, han har fået udleveret. Det ser ud som om, at chatten er kronologisk, men der kan være taget noget ud af den. Chatten springer ind imellem flere timer, men det er dog ganske normalt. Han kan dog ikke stå inde for integriteten af chatten, da der efter hans opfattelse helt tydeligt har været en chatkorrespondance både før og efter den chat, der er i sagen. Han mener, at der kun er datostemplet et enkelt sted.

side 152

Foreholdt fra bilag V-2, tillægsekstrakt IV, side 115, næstsidste afsnit, forklarede vidnet, at hans tillægserklæring vedrørende dette afsnit ikke er en ændring, men en præcisering. De tre brugernavne, som Profilnavn 2 giver til Profilnavn 1, er ifølge bilag Q-8-2 anvendt til login-forsøg på Forurettede A/S' FTP-serveren. De har dog ikke haft nogen betydning i forhold til selve hacket af mainframen.

Forevist bilag M-2-1-1-2 (chatten mellem Profilnavn 2 og Profilnavn 1), ekstrakt 10, side 108 (kl. 11:48:50) og side 109 (kl. 11:50:38), forklarede vidnet, at det ser ud som om, at Profilnavn 1 har forsøgt at logge ind med brugernavnet "Adgangskode 2", men uden held, da brugernavnet er ukendt, og password mangler. For at kunne udtale sig sikkert om det, vil han være nødt til at se den korresponderende logning fra Forurettede A/S.

Forevist bilag M-2-1-1-2, ekstrakt 10, side 106 (kl. 11:30:36-11:38:29) og bilag Q-1-1 (rapport af 26. august 2014 fra NITEC), tillægsekstrakt IV, side 61, forklarede vidnet, at han ikke husker at have set rapporten i bilag Q-1-1 før. Han kan se heraf, at gerningsmanden anvendte de to domæner, www.Hjemmeside 13 og www.Hjemmeside 26, da han via web-serveren udnyttede Software sårbarheden.

Når man går ind på domænet Hjemmeside 26, får man automatisk tildelt brugeren "Brugernavn 11".

"Brugernavn 15" er den bruger, der ser ud til at være anvendt på Hjemmeside 13.

Han kan ikke se, om gerningsmanden har anvendt brugernavnene ved udnyttelsen af Software sårbarheden. Gerningsmanden benytter eventuelt viden om brugernavnene

Forespurgt af advokat Michael Juul Eriksen forklarede vidnet, at han var blevet bedt om at undersøge, om de oplysninger, som Profilnavn 2 leverede i chatten, var blevet anvendt ved udnyttelsen af Software sårbarheden, og det kan han ikke se. For at man at få adgang til en server via en Software sårbarhed, har man hverken brug for brugernavn eller password. Det er først, når man er kommet ind på serveren og vil udvide sine rettigheder, at brugernavne får betydning.

Vidnet kan ikke se, at gerningsmanden har anvendt nogen af de brugernavne, han fik fra Profilnavn 2, i forbindelse med udvidelse af sine brugerrettigheder på mainframen.

Det er korrekt, at en af de sider, der blev kompromitteret, var Hjemmeside 13, men ellers er der ingen sammenhæng.

Forespurgt af anklageren forklarede vidnet, at domænerne Hjemmeside 13 og Hjemmeside 26 blev nævnt i chatten og blev anvendt ved udnyttelsen af Software sårbarheden

Forespurgt af retsformanden forklarede vidnet, at man ikke nødvendigvis har brug for et domæne for at kunne udnytte en Software sårbarhed, men det gør det lettere. Domænenavnet er bare en oversættelse af IP-adressen til et navn, der er lettere at huske.

side 153

Domænenavne er offentligt tilgængelige.

Personlige forhold

Tiltalte 1 er tidligere straffet

vedStockholms Tingsrätt dom af 17. april 2009 for blandt andet medvirken til ophavs-retskrænkelser med fængsel i 1 år, og

vedSvea Hovrätts dom af 25. september 2013 for overtrædelse af den svenske straffe-lovs kapitel 4, § 9 c, om dataindtrængning med fængsel i 1 år.

Udlændingestyrelsen har afgivet en udtalelse af 28. juli 2014 om Tiltalte 1, som er svensk statsborger, hvoraf fremgår blandt andet:

"... Opholdsgrundlag og længde

Efter udlændingelovens § 1, kan statsborgere i Finland, Island, Norge og Sverige uden tilladelse indrejse og opholde sig her i landet.

Tiltalte 1 er ikke tilmeldt folkeregisteret og har således ikke lovligt ophold i Danmark i udvisningsbestemmelsernes forstand, jf. herved bestemmelsen i ud-lændingelovens § 27. ... § 26, stk. 2

Vedrørende spørgsmålet om, hvorvidt en beslutning om udvisning af Tiltalte 1 kan antages at være i strid med Danmarks internationale forpligtelser, skal Udlændingestyrelsen henvise til, at anklagemyndigheden til sagen har oplyst, at Tiltalte 1 ikke har ønsket at lade sig afhøre af politiet vedrørende sine personlige forhold efter udlændingelovens § 26, stk. 2.

Særligt vedrørende spørgsmålet om, hvorvidt der er risiko for, at Tiltalte 1 uden for de i § 7, stk. 1, og 2 (asylbegrundende forhold), nævnte tilfælde vil lide overlast i det land, hvortil han efter udvisningen kan forventes at tage ophold, skal styrel-sen bemærke, at styrelsen ikke efter de i sagen foreliggende oplysninger finder, at der er risiko for, at den pågældende vil blive udsat for særlig byrdefulde strafforanstaltninger ved tilbagevenden til Sverige, eller for at Tiltalte 1 der vil risikere at blive straffet for den samme lovovertrædelse, som han måtte blive dømt for i Danmark. ..."

Tiltalte 1 har under denne sag været frihedsberøvet fra den 27. november 2013.

Tiltalte 2 er ikke tidligere straffet.

side 154

Tiltalte 2 har om sine personlige forhold forklaret, at han nu er fyldt 21 år. Han vil gerne begynde at arbejde med sit enkeltmandsfirma igen, og han for-venter at kunne forsørge sig selv.

Tiltalte 2 har under denne sag været frihedsberøvet fra den 5. juni 2013 til den 30. oktober 2014.

Rettens begrundelse

og afgørelse

Der er under sagen afsagt følgende kendelse om skyldsspørgsmålet:

K E N D E L S E

Indledning

Efter bevisførelsen, herunder de fremkomne oplysninger fra Forurettede A/S (Forurettede A/S), lægger retten til grund, at Forurettede A/S i hvert fald i perioden fra den 13. februar 2012 til slutnin-gen af august 2012 var udsat for hacking og forsøg herpå. Hackingangrebet var meget omfattende og teknisk avanceret.

Forurettede A/S er en stor dansk it-virksomhed, som driver et større antal it-systemer for private virksomheder og offentlige institutioner, herunder Rigspolitiet og Økonomi- og Inden-rigsministeriet. Forurettede A/S opbevarer data for sine kunder, blandt andet kriminalregisteret, kø-rekortregisteret, Schengen Informationssystemet og CPR-registeret. Dataene opbevares på en IBM mainframe (stor centraliseret computer) med styresystemet Program 1. Mainframen har en FTP-server og en webserver tilknyttet.

Det er efter bevisførelsen fastlagt, at der fra den 13. februar 2012 blev gjort flere forsøg på at skaffe sig uberettiget adgang til Forurettede A/S' mainframe. Den 7. april 2012 blev der første gang skaffet uberettiget adgang til mainframen. Der blev herefter i perioden indtil ultimo august 2012 kopieret og downloadet en meget stor mængde data, som indeholdt oplys-ninger fra blandt andet politiets registre. Dataene blev downloadet via forskellige uden-landske IP-adresser.

Den uberettigede adgang til Forurettede A/S' mainframe blev opdaget, fordi svensk politi henledte dansk politis opmærksomhed på, at svensk politi i forbindelse med efterforskningen af en straffesag i Sverige mod Tiltalte 1 havde fået mistanke om, at der fra Tiltalte 1's computere var skaffet adgang til Forurettede A/S' systemer.

Tiltalte 1 blev på foranledning af svensk politi anholdt af cambodiansk politi den 30. august 2012 i sin lejlighed i Phnom Penh i Cambodia og har siden været frihedsberøvet i henholdsvis Sverige og Danmark, hvortil han blev udleveret.

Der blev under svensk politis efterforskning på en computer tilhørende Tiltalte 1 fun-det en tekstfil. Tekstfilen fremstod som en chatsamtale over internettet den 13. og 14. februar 2012 mellem to personer benævnt ved nicknavnene (internetalias) Profilnavn 1 og Profilnavn 2. Indholdet af chatten indikerede, at personerne

side 155

udviste interesse for at skaffe sig adgang til Forurettede A/S' mainframe, herunder politiets syste-mer.

Tiltalte 2 blev anholdt den 5. juni 2013 i København og har siden været friheds-berøvet.

Virksomhed 6-sagen

Tiltalte 1 blev under en straffesag i Sverige ved endelig dom af 25. september 2013 fundet skyldig i over en periode fra 1. januar 2010 til 15. april 2012 at have foretaget u-lovlig dataindtrængen i en mainframe tilhørende Virksomhed 6, nu Virksomhed 12 (Virksomhed 6). Virksomhed 6 er en svensk it-virksomhed, der opbevarer data for blandt andet svensk politi.

Ifølge dommen blev forholdet begået sammen med Person 21, som i forbindel-se med straffesagen blev anholdt af svensk politi den 15. april 2012, varetægtsfængslet den 18. april 2012 og løsladt den 19. juni 2012.

Den ulovlige dataindtrængen hos Virksomhed 6 fandt sted via en FTP-server, og der blev til brug for indtrængen blandt andet anvendt et script (program) navngivet "Script 13". Der blev downloadet filer fra Virksomhed 6, blandt andet til en server på rådhuset i Phnom Penh i Cam-bodia og via en tysk IP-adresse med nummeret IP adresse 2. Den tyske IP-adresse var efter det oplyste tilknyttet en server i Tyskland, som havde været udlejet. Serveren var derefter blevet overtaget af en ukendt hacker, inden den i juli 2012 blev slettet uden backup.

Adgang til Forurettede A/S' systemer

Efter bevisførelsen var der den 13. og 14. februar 2012 forsøg på uberettiget login på Forurettede A/S' FTP-server tilknyttet mainframen. Den 3., 4. og 9. marts 2012 var der endvidere 515 forsøg på login på Forurettede A/S' FTP-server fra den tyske IP-adresse (IP adresse 2). Der var derudover frem til den 7. april 2012 flere hundrede besøg på Forurettede A/S' webserver fra den tyske IP-adresse og fra cambodianske IP-adresser.

Den 7. april 2012 fandt den første konstaterede uberettigede adgang til Forurettede A/S' mainframe sted ved udnyttelse af en hidtil ukendt sårbarhed (Software) i webserveren. Der blev til brugfor adgangen benyttet to domæner, henholdsvis tjenstemandspension.dk og Hjemmeside 26. Der blev derved skaffet adgang til politiets system på mainframen.

Den 8. april 2012 blev der uautoriseret overført et script navngivet ”Script 14” til politiets sy-stem på Forurettede A/S' mainframe, hvorved brugeren fik eskaleret sine brugerrettigheder til ad-ministratorrettigheder til systemet.

Ligeledes den 8. april 2012 blev der på Forurettede A/S' mainframes webserver uautoriseret opret-tet et script, som indeholdt en kopieret og ændret udgave af et allerede eksisterende script. Dette nye script udgjorde den såkaldt første bagdør (adgang til computeren uden normale sikkerhedskontroller). Der blev via bagdøren ved hjælp af et eksternt script skabt adgang til at udføre kommandoer, herunder til at automatisere udkopiering af data

side 156

fra Forurettede A/S' systemer.

Der blev endvidere den 8. april 2012 uautoriseret på Forurettede A/S' mainframes internetserver til-føjet en ny linje i en konfigurationsfil (kaldet anden bagdør), samt tilføjet endnu en linje (kaldet tredje bagdør). Der blev derved skabt uautoriserede muligheder for at tilgå Forurettede A/S' systemer. Adgangen via anden og tredje bagdør blev ikke logget (registreret) hos Forurettede A/S.

Herefter skete der uautoriseret efterspørgsel og download af store mængder data fra Forurettede A/S' mainframe, hvoraf størstedelen hidrørte fra politiets system. Den 10. april 2012 skete første større download af data ved, at hele RACF-databasen (central brugerdataba-se i mainframecomputeren), som indeholdt omkring 84.000 brugernavne og krypterede passwords, blev downloadet.

Download skete blandt andet ved komprimering og omdøbning af filer og datasæt i for-bindelse med kopiering af data ud til en offentligt tilgængelig mappe på Forurettede A/S' webserver (pub-mappe), hvorefter filerne kunne tilgås via internettet af enhver med kendskab til fil-navnet. Filerne blev herefter downloadet og slettet fra den offentligt tilgængelige mappe.

Udover download af RACF-databasen den 10. april 2012 skete der blandt andet downlo-ad af større mængder data fra Forurettede A/S' mainframe alle dage den 11.-16. april 2012, den 21.-22. april 2012, den 16.-17. juni 2012, den 24.-25. juni 2012, den 30. juni 2012, den 12.-13. juli 2012, den 20. juli 2012, den 22. juli 2012, den 28. juli 2012, den 1. august 2012, den 10.-11. august 2012, den 14.-16. august 2012 og den 27. august 2012.

De downloadede filer og datasæt vedrørte navnlig personfølsomme data fra CPR-regist-ret, politiets indexregistre, kriminalregistret, kørekortregistret og Schengen Informati-onssystemet.

Den seneste uberettigede aktivitet på Forurettede A/S' mainframe fandt ifølge bevisførelsen sted den 28. august 2012.

De tre bagdøre, som gav uautoriseret adgang til Forurettede A/S' mainframe, blev ifølge Vidne 10's forklaring fjernet af Forurettede A/S således, at første bagdør blev fjernet omkring den 27. februar 2013, mens anden og tredje bagdør blev fjernet senest den 6. marts 2013.

Tiltalte 1's computere

I forbindelse med anholdelsen af Tiltalte 1 den 30. august 2012 blev der af cambodi-ansk politi beslaglagt blandt andet to computere tilhørende ham; en stationær computer med to harddiske, hvoraf den ene harddisk var løst tilknyttet, og en bærbar computer af mærket MacBook Pro.

Den konkrete opsætning af Tiltalte 1's computere inden anholdelsen, herunder af routeren, blev ikke undersøgt og dokumenteret af cambodiansk politi.

Tiltalte 1's computere blev efterfølgende beslaglagt af svensk politi, og dansk politi

side 157

har alene haft mulighed for at undersøge computerne i Sverige.

På den stationære computer, som var navngivet Computer 2, var der tre brugerkonti.

På computerens faste harddisk blev der blandt andet fundet seks filer med data fra det danske kriminalregister (data for i alt 91.011 personnumre), to filer indeholdende kopier af Forurettede A/S' RACF-database, filer med søgninger i Schengen Informationssystemet, filer med lister af datasæt fra Forurettede A/S og en såkaldt Program 2-emulator (software der muliggør si-mulering af en mainframe) med brugeren Brugernavn 4 tilknyttet.

I en række scripts blev der fundet henvisninger til IP-adresser tilhørende Forurettede A/S, Bank 1 i Sverige og en iransk main-frame. På den stationære computers løse harddisk blev der fundet en række filer med data og systemfiler fra Virksomhed 6 og Forurettede A/S, herunder et stort antal mapper og filer fra Forurettede A/S' mainfra-me.

Derudover blev der fundet en fil benævnt ”Script 14” , der indeholdt det script, som den 8. april 2012 blev benyttet til at opnå administratorrettigheder på Forurettede A/S' mainframe. På den bærbare computer var der syv brugerkonti. Det fremgår af politiets undersøgel-ser, at computeren blev navngivet Computer 1 den 16. november 2010.

Samme dato blev der første gang installeret Windows på computeren, og der blev skabt en såkaldt krypte-ret container (krypteret del af harddisk som åbnes med password). Der blev endvidere samme dag etableret et link fra chatprogrammet Program 12 til den krypterede container.

I den krypterede container blev der fundet et meget stort antal mapper og filer.

I en mappe navngivet ”cpr” i den krypterede container blev der fundet filer downloadet fra Forurettede A/S' mainframe, herunder et udtræk af Schengen Informationssystemet bestående af navne, fødedata og efterlysningskategorier på efterlyste personer i Schengenlandene, anmeldelseskvitteringer fra Bornholms Politi og en fil med CPR-numre for ikke under 4.000 personer og generalia på 170 personer med navne- og adressebeskyttelse. I samme mappe blev der endvidere fundet filer fra Virksomhed 6 samt den tekstfil, hvor chatten af 13. og 14. februar 2012 mellem Profilnavn 2 og Profilnavn 1 var gemt.

Ligeledes i mappen navngivet ”cpr” i den krypterede container blev der fundet en række logfiler. En af disse logfiler viste, at der den 4. marts 2012 fra den stationære computer var 50 loginforsøg på Forurettede A/S' FTP-server samtidig med, at der skete indtrængen i og ko-piering af filer fra Virksomhed 6 mainframe i Sverige.

En anden logfil viste blandt andet, at der den 7. og 8. april 2012 fra den stationære com-puter blev etableret adgang til Forurettede A/S' mainframe via domænet Hjemmeside 26 ved udnyt-telse af en sårbarhed i webserveren. Der blev herefter etableret endnu en forbindelse til Forurettede A/S' mainframe via domænet Hjemmeside 13.

En tredje logfil viste handlinger foretaget på Forurettede A/S' mainframe via Forurettede A/S' webserver den 8. april 2012 med blandt andet opgradering af scripts og forsøg på at downloade RACF-databasen via en IP-adresse i Cambodia.

side 158

En fjerde logfil viste blandt andet, hvordan der den 10. april 2012 blev skabt forbindelse fra den stationære computer til Forurettede A/S' mainframe via webserveren ved hjælp af den første bagdør. Logfilen viste endvidere, at hele RACF-databasen blev kopieret og downloadet via en cambodiansk IP-adresse til en server tilhørende rådhuset i Phnom Penh i Cambodia, ligesom der opnåedes yderligere rettigheder på mainframen.

En femte logfil viste, at der den 21. april 2012 blev flyttet 38 filer fra Forurettede A/S' mainframe til Forurettede A/S' webservers offentlige mappe (pub-mappe). Der blev endvidere søgt information og sendt forespørgsler til mainframen mere end 100 gange. Der blev navnlig søgt efter fi-ler vedrørende politiet, Rigspolitiet og Interpol, og en række scripts blev modificeret og tilpasset.

Der blev i den krypterede container endvidere fundet en mappe navngivet ”Virksomhed 4” , som indeholdt ca. 1.100 filer. I mappen fandtes filer vedrørende firmaet Virksomhed 4, der er et fir-ma, som Tiltalte 1 har udført arbejde for. Der blev blandt andet fundet en faktura da-teret den 4. maj 2010 til Virksomhed 4 for softwareudvikling. Fakturaen fremstår som udstedt af firmaet Virksomhed 5, hvilket firma Tiltalte 1 ligeledes har udført arbejde for.

På den del af den bærbare computers harddisk, som ikke var krypteret, blev der fundet en række genveje, der viste, at man flere gange havde været inde i filer i den krypterede container. På et skrivebord forefandtes to genveje, der viste, at der fra den bærbare com-puter var skabt forbindelse til et program, der kunne betjene Program 2-emulatoren på den stationære computer.

Fundne filer viste, at 27 af de 32 IP-adresser, der havde været an-vendt til hackingen af Forurettede A/S og forsøgene herpå, havde været tilgået fra den bærbare com-puter. Det drejede sig om IP-adresser til servere i Cambodia, Iran og Tyskland, ligesom domænet tilhørende rådhuset i Phnom Penh i Cambodia også havde været tilgået fra den bærbare computer.

Tiltalte 2's computer

I forbindelse med anholdelsen af Tiltalte 2 den 5. juni 2013 blev der hos ham be-slaglagt en bærbar computer af mærket Lenovo og en hul skakbrik indeholdende et micro SD-kort.

Computeren var indkøbt den 13. maj 2013 og indeholdt en stor mængde data, hvoraf størstedelen var krypteret. SD-kortet indeholdt to dekrypteringsnøgler til de krypterede partitioner (dele af harddisken). Tiltalte 2 har ikke ønsket at medvirke til de-kryptering, og det er kun lykkedes politiet at få delvis adgang til indholdet af compute-ren. I den krypterede del, som politiet har skaffet sig adgang til, var materialet ikke læsbart.

I det læsbare materiale på computeren blev der blandt andet fundet dokumenter vedrø-rende historiske hackersager, data fra kendte hackerangreb, herunder brugernavne, e-ma-ils og passwords, en vejledning i brug af Program 1 styresystemer og dokumenter fra en of-fentliggjort svensk forundersøgelse vedrørende straffesagen mod Tiltalte 1 i Sverige. Der blev endvidere fundet en kvittering for leje af servere med mulighed for at benytte diskplads.

side 159

Chatten af 13. og 14. februar 2012

Tekstfilen med chatten blev fundet i mappen navngivet "cpr" i den krypterede container på Tiltalte 1's bærbare computer. Tekstfilen fremstår som uddrag af en chat mellem to personer benævnt Profilnavn 1 og Profilnavn 2. Chatten be-gynder den 13. februar 2012 kl. 14:07:07 og slutter den 14. februar 2012 kl. 13:31:04 og er tidsmæssigt opdelt i samtaler, som tilsammen varer ca. otte og en halv time.

Chatten i tekstfilen er enslydende gengivet to gange i umiddelbar forlængelse af hinanden og fremstår som værende kopieret to gange ind i samme dokument. Hovedparten af chatten foregår på engelsk, mens en lille del foregår på dansk.

Tiltalte 2 har forklaret, at han var den ene deltager i chatten og ophavsmand til den tekst, der står ud for Profilnavn 2, men at han ikke har anvendt dette navn i chatten. Han mener ikke, at han chattede med en person med nicknavnet Profilnavn 1, men at den person, han chattede med, anvendte nicknavnet "Brugernavn 1", og at han selv anvendte nicknavnet "Kaldenavn 26".

Under chatten blev der den 13. februar 2012 indsat en kopi af et svar fra Forurettede A/S' FTP-ser-ver , som var sendt på det samme tidspunkt, som chatten angives at finde sted. Ligeledes blev der den 14. februar 2012 i chatten indsat en kopi af et svar fra Forurettede A/S' FTP-server, hvoraf fremgår, at tiden på Forurettede A/S' server svarer til det tidspunkt, som også angives i chat-ten.

På baggrund heraf finder retten ikke grundlag for at betvivle, at chatten har fundet sted på de angivne tidspunkter og i hvert fald med det udfundne indhold, ligesom det lægges til grund, at de nicknavne, der oprindeligt blev anvendt, efterfølgende er blevet ændret, fx ved benyttelse af Program 8, som er fundet på Tiltalte 1's bærbare computer.

Generelle bemærkninger

Forurettede A/S' mainframe, som handlingerne har været rettet imod, befinder sig i Danmark. Da handlingernes strafbarhed påvirkes af, hvilke virkninger der indtræder eller tilsigtes at indtræde på Forurettede A/S' mainframe, kan handlingerne straffes her i landet, uanset om de måtte være foretaget uden for Danmark eller gennem servere, der befandt sig uden for Danmark, jf. straffelovens § 9, stk. 2.

Efter straffelovens § 263, stk. 2, kan man straffes med fængsel i 1 år og 6 måneder, hvis man skaffer sig adgang til en andens oplysninger eller programmer, der er bestemt til at brugesi et informationssystem. Hvis forholdet begås under særligt skærpende omstændigheder, eller hvis der er tale om overtrædelser af mere systematisk eller organiseret karakter, kan straffen efter § 263, stk. 3, 1. og 2. punktum stige til fængsel indtil 6 år.

Der fremgår af forarbejderne til straffelovens § 263, stk. 3, 1. punktum, at det blandt andet anses som en skærpende omstændighed, hvis gerningsmanden skaffer sig adgang til

side 160

offentlige it-registre.

På Forurettede A/S' mainframe blev der blandt andet opbevaret registre fra politiet og Økonomi- og Indenrigsministeriet, og disse offentlige registre indeholder stærkt personfølsomme oplysninger.

Der blev fra den 13. og 14. februar 2012 gjort forsøg på at skaffe sig uberettiget adgang til de offentlige it-registre, som blev opbevaret på Forurettede A/S' mainframe. Retten finder, at der herved foreligger i hvert fald forsøg på overtrædelse af straffelovens § 263, stk. 3, 1. punktum, jf. stk. 2.

Adgangen til Forurettede A/S' mainframe i perioden fra den 7. april 2012 til slutningen af august 2012har omfattet adgang til oplysningerne i de offentlige it-registre, og de personfølsomme oplysninger er over en længere periode blevet kopieret og downloadet til servere i Cambodia, Tyskland og Iran. Henset til mængden af oplysninger downloadet frade offentlige registre og den anvendte fremgangsmåde finder retten, at den uberettigede adgang fra den 7. april 2012 endvidere har været af systematisk og organiseret karakter og således omfattet af straffelovens § 263, stk. 3, 2. punktum.

På denne baggrund finder retten, at den uberettigede adgang til Forurettede A/S' mainframe indebærer en fuldbyrdet overtrædelse af straffelovens § 263, stk. 3, jf. stk. 2.

I forlængelse af den uberettigede adgang blev der oprettet tre bagdøre. Dette skete dels ved oprettelsen af et nyt script i systemet, og dels ved to ændringer i en konfigurationsfil. Dettemedførte, at beskyttelsen af de stærkt personfølsomme oplysninger blev beskadiget, således at enhver med kendskab til disse bagdøre ville kunne få uberettiget adgangtil oplysningerne. Retten finder, at der ved disse ændringer af Forurettede A/S' sikkerhedssystemer blev udøvet hærværk i betydeligt omfang, jf. straffelovens § 291, stk. 2.

Vidne 10 har forklaret, at der ikke var nedbrud eller andre betydelige forstyrrelser af driften hos Forurettede A/S som følge af angrebet. Da Forurettede A/S i slutningen af februar 2013af politiet blev gjort opmærksom på, at Forurettede A/S havde været udsat for et hackingangreb, foretog Forurettede A/S de nødvendige fejlrettelser som følge heraf – de seneste den 6. marts 2013. Fejlrettelserne blev foretaget i servicevinduer, der blev aftalt med Forurettede A/S' kunder, og der skete ikke utilsigtede nedbrud af systemerne, ligesom Forurettede A/S' kunder havde adgang til systemerne som aftalt.

Ved adgangen til Forurettede A/S' mainframe blev Forurettede A/S' informationssystemer kompromitteret, men driften af systemerne ses ikke at være blevet forstyrret på en måde, som er omfattet af ordlyden af eller forarbejderne til straffelovens § 193, idet Forurettede A/S og Forurettede A/S' kunder både før, under og efter hackingangrebet havde sædvanlig uforstyrret adgang til systemerne. Retten finder derfor, at straffelovens § 193 ikke er overtrådt.

Tiltalte 1

Efterbevisførelsen lægger retten til grund, at loginforsøgene, den efterfølgende

side 161

uberettigede adgang til Forurettede A/S' mainframe, ændringerne på systemet samt download af filer og datasæt, er foregået fra Tiltalte 1's computere, hvilket heller ikke er bestridt af Tiltalte 1.

Tiltalte 1 har nægtet sig skyldig og har forklaret, at hans computere har været fjernstyret under hele forløbet. Han har endvidere afvist, at det var ham, der den 13. og 14. februar 2012 deltog i chatten under nicknavnet Profilnavn 1.

Tiltalte 1 har afgivet forskellige forklaringer om, hvem der har sat hans computere op, og hvorledes fjernstyring af disse var mulig. Han har endvidere forklaret, at hans computere var sat op til at virke som lab-computere, hvilket indebar, at de kunne benyttes af andre til udvikling og test. Dansk og svensk politi samt Center for Cybersikkerhed har i den anledning foretaget en række undersøgelser og analyser af muligheden for fjernstyring af Tiltalte 1's bærbare computer. Undersøgelserne viste ikke spor af eller tegn på fjernstyring.

Retten finder efter en samlet vurdering, hvori også indgår det forhold, at den originale opsætning af Tiltalte 1's computere ikke er dokumenteret og ikke kan genskabes, at der ikke er fuldt tilstrækkeligt grundlag for at afvise, at der har eksisteret en mulighed for fjernstyring af Tiltalte 1's computere.

Tiltalte 1 har forklaret, at han ikke har installeret den krypterede container på sin bærbare computer, og at han ikke har reflekteret nærmere over, at der eksisterede en krypteret container, eller hvad der var lagret i denne.

Efter bevisførelsen lægger retten til grund, at den bærbare computer blev navngivet Computer 1 af Tiltalte 1 den 16. november 2010, og at den krypterede container blev skabt på computeren samme dag. Der blev endvidere samme dag etableret et link fra chatprogrammet Program 12 til den krypterede container, og på et skrivebord på den bærbare computer var der etableret en genvej til den krypterede container.

I den krypterede container blev der blandt andet fundet filer, som kan relateres til Tiltalte 1's arbejde. Der blev endvidere i den krypterede container i samme mappe fundet filer downloadet fra både Virksomhed 6 og Forurettede A/S.

Der blev derudover i den krypterede container fundet en logfil, der viste, at der i perioden den 3. og 4. marts 2012 fra Tiltalte 1's computere blev foretaget adskillige loginforsøg på Forurettede A/S' FTP-server samtidig med, at der blev downloadet filer fra Virksomhed 6's mainframe. Tiltalte 1 er i Sverige dømt for at have foretaget ulovlig dataindtrængen hos Virksomhed 6 i den pågældende periode.

Retten forkaster på denne baggrund Tiltalte 1's forklaring om, at han ikke selv har installeret og bevidst benyttet sig af den krypterede container. Retten har herved lagt særlig vægt på indholdet af den krypterede container samt på, at computeren blev navngivet af Tiltalte 1 samme dag, som den krypterede container og genvejen til Program 12 blev skabt.

side 162

Tiltalte 1 har forklaret, at han ved anholdelsen i Cambodia var i besiddelse af en HP-computer, som var hans personlige computer, og den han brugte mest, samt at denne computer må være forsvundet i forbindelse med cambodiansk politis ransagning. Retten forkaster denne forklaring og har herved lagt vægt på, at forklaringen er uunderbygget og tillige utroværdig, da Tiltalte 1 først har forklaret herom under byretssagen i Sverige mange måneder efter sin anholdelse.

Tiltalte 1 har forklaret, at han ikke har installeret eller anvendt Program 2-emulatoren på sin computer. Der var imidlertid på hans stationære computer installeret en Program 2-emulator med brugernavnet Brugernavn 4, og på et skrivebord tilknyttet en af brugerne på den bærbare computer fandtes to genveje til et program, der anvendes til styring af Program 2.

Tiltalte 1 har afvist kendskab til filerne fra Forurettede A/S på sine computere. Af to filer fundet på den stationære computer fremgår, at der i det downloadede udtræk af Schengen Informationssystemet på den bærbare computer blandt andet var foretaget søgninger på forskellige talkombinationer relateret til Tiltalte 1's fødselsdato samt på ”Navn 6” , som er begyndelsen på Tiltalte 1's mellemnavn.

Tiltalte 1 blev anholdt den 30. august 2012 og har siden været frihedsberøvet. Dette er tidsmæssigt sammenfaldende med, at der efter Forurettede A/S' oplysninger ikke siden den 28. august 2012 har været konstateret uberettiget aktivitet på Forurettede A/S' mainframe på trods af, at de tre etablerede bagdøre stod åbne frem til februar og marts 2013 og kunne benyttes af enhver med kendskab hertil.

Retten har foretaget en samlet vurdering af de ovenstående forhold og har sammenholdt dette med hackingangrebets lange tidsmæssige udstrækning, den teknisk avancerede metode og det meget store omfang, herunder download af meget store mængder data via blandt andet den tyske IP-adresse, som også blev anvendt i Virksomhed 6-sagen.

Retten har endvidere taget i betragtning, at Tiltalte 1 ikke har ønsket at oplyse nærmere om identiteten på de personer, som han har angivet har haft mulighed for at fjernstyre hans computere, og heller ikke nærmere har redegjort for, hvorledes fjernstyringen i givet fald konkret skulle have fundet sted.

4 nævninger og 3 dommere udtaler herefter:

Når dette ses i tidsmæssig sammenhæng med chatten af 13. og 14. februar 2012 og chattens indhold, særligt at der i chatten nævnes en Program 2-emulator med brugernavnet Brugernavn 4, den tyske IP-adresse og domænet Hjemmeside (underdomæne til hjemmeside 3), hvortil Tiltalte 1 ubestridt har tilknytning, samt det forhold, at begge deltagere i chatten forstår dansk, finder vi det bevist, at det var Tiltalte 1, der deltog som Profilnavn 1 under chatten med Tiltalte 2 den 13. og 14. februar 2012.

På grundlag af chattens indhold og det forhold, at Tiltalte 1 i Sverige er dømt for ulovlig dataindtrængen i en mainframe tilhørende Virksomhed 6, lægger vi til grund, at Tiltalte 1 besidder indgående kendskab til mainframes og styresystemet Program 1.

side 163

Vi finder det herefter usandsynligt, at andre personer end Tiltalte 1 skulle have betjent hans computere i forbindelse med hackingen af Forurettede A/S, og vi forkaster derfor Tiltalte 1's forklaring om, at hans computere har været fjernstyret.

Detkan i den forbindelse ikke tillægges nogen betydning, at det ikke klart af efterforskningen fremgår, hvilke af brugerkontiene oprettet på Tiltalte 1's computere, der har været undersøgt, da han må have været fuldt ud bekendt med disse brugerkonti og deres funktion. Det forhold, at der var flere brugerkonti på computerne, er endvidere ikke ensbetydende med, at der var andre brugere end Tiltalte 1.

I chatten blev der indsat oplysninger, som klart beviser, at Tiltalte 1 under chatten den 13. og 14. februar 2012 blandt andet ved hjælp af de oplysninger om mulige brugernavne, der blev udvekslet, forsøgte at skaffe sig uberettiget adgang til politiets system via den FTP-server, som var forbundet til Forurettede A/S' mainframe.

Vi finder det herefter bevist, at det var Tiltalte 1, som i hele gerningsperioden bevidst forsøgte og skaffede sig uberettiget adgang til Forurettede A/S' it-systemer og i den forbindelse begikhærværk af betydeligt omfang, og vi stemmer for at domfælde ham i overensstemmelse hermed. To nævninger udtaler:

Efter bevisførelsen finder vi, at der fortsat udestår en ikke ubetydelig usikkerhed i relation til, om der kan have været personer, som har fjernstyret Tiltalte 1's computere. Vi har herved lagt vægt på, at der forefindes mange tekniske muligheder for fjernstyring, og at efterforskningen ikke i tilstrækkeligt sikkert omfang har kunnet afkræfte, at fjernstyring har fundet sted, eller at andre gerningsmænd har været involveret.

Chatten af 13. og 14. februar 2012 er lagret som en kopieret tekstfil og fremtræder alene som et uddrag af en længere chatsamtale. Derudover er det muligt, at der er flere personer, som har deltaget i chatten. På denne baggrund finder vi, at der er usikkerhed forbundet med at anse det for bevist, at det var Tiltalte 1, der under navnet Profilnavn 1 deltog i chatten.

Uanset om Tiltalte 1 måtte have været bekendt med, at hans computere blev benyttet til hackingen af Forurettede A/S, finder vi derfor efter en samlet vurdering, at der er rimelig tvivl om, at Tiltalte 1 har gjort sig skyldig i den rejste tiltale. Vi stemmer derfor for at frifinde Tiltalte 1.

Afgørelse vedrørende Tiltalte 1

Efter stemmeafgivningen er Tiltalte 1 herefter skyldig i overtrædelse af straffelovens § 263, stk. 3, jf. stk. 2, jf. til dels § 21, og § 291, stk. 2, i det i anklageskriftet anførte omfang med den ændring, at handlingerne indtil den 7. april 2012 alene udgjorde forsøg, og at handlingerne efter den 14. februar 2012, herunder adgang til Forurettede A/S' it-systemer og kopiering og download af filer og datasæt, ikke skete i forening med Tiltalte 2,

side 164

jf. nærmere herom nedenfor, samt at ændring af konfigurationsfilen skete efter, at der blev skaffet adgang via en sårbarhed i webserveren.

Da der ikke er fremkaldt omfattende forstyrrelse i driften af Forurettede A/S' it-systemer, frifindes Tiltalte 1 for overtrædelse af straffelovens § 193, stk. 1.

Tiltalte 2

Tiltalte 2 har nægtet sig skyldig og har ikke ønsket at udtale sig før under ho-vedforhandlingen af sagen. Han har forklaret, at han under chatten den 13. og 14. februar 2012 blev introduceret til Program 2 og udstyret med en virtuel mainframe computer, som han kørte på sin egen computer under chatten, og at han blev undervist af Profilnavn 1/Brugernavn 1 i brugen heraf. Han har videre forklaret, at chatten drejede sig om hacking og om at prøve at logge ind på Forurettede A/S, og at han oplyste Profilnavn 1/Brugernavn 1 bru-gernavne, som muligt kunne bruges til at få adgang til Forurettede A/S' mainframe.

Retten lægger efter indholdet af chatten og Tiltalte 2's egen forklaring til grund, at formålet med den langvarige chat blandt andet var, at Tiltalte 2 ved brug af Program 2-emulatoren ville lære, hvorledes en mainframe med et Program 1-styresystem funge-rede og kunne betjenes.

Tiltalte 2 har yderligere forklaret, at hans formål med chatten var at forsøge at finde ud af, om det var muligt at hacke en virkelig mainframe, hvilket understøttes af ind-holdet af chatten, hvoraf også fremgår, at der blev udvekslet oplysninger, som åbenbart var relateret til Forurettede A/S' mainframe og det forhold, at politiets registre blev opbevaret her-på.

Under chatten oplyste Tiltalte 2 blandt andet en e-mailadresse mv. tilhørende "Adgangskode 2", hvilke oplysninger umiddelbart herefter blev brugt af Profilnavn 1 til et lo-ginforsøg på Forurettede A/S' FTP-server. Forurettede A/S serversvar på loginforsøget blev indsat af Profilnavn 1 i chatten, så det blev synligt for Tiltalte 2.

Der blev endvidere under chatten indsat oplysninger, som klart viste, at Profilnavn 1 samtidig med chatten blandt andet ved hjælp af de oplysninger om mulige brugernavne, der blev udvekslet, forsøgte at skaffe sig adgang til Forurettede A/S' mainframe via FTP-serveren, hvilket må have stået klart for Tiltalte 2.

På denne baggrund er det bevist, at Tiltalte 2 har medvirket til forsøg på at få adgang til Forurettede A/S' mainframe den 13. og 14. februar 2012. Det forhold, at de oplysninger, som Tiltalte 2 bidrog med under chatten, måtte være offentligt tilgængelige, kan i den forbindelse ikke tillægges nogen betydning.

Tiltalte 2 opholdt sig i perioden fra den 28. februar 2012 til den 6. marts 2012 i Phnom Penh i Cambodia, hvor han ifølge sin forklaring mødte en svensker ved navn Person 1. Tiltalte 2 har yderligere forklaret, at han ikke kan huske, om han mødte Tiltalte 1 under opholdet.

side 165

Det fremgår af chatten, at Tiltalte 2 oplyste tre brugernavne, Brugernavn 7, Brugernavn 16 og Brugernavn 9. Efter bevisførelsen blev disse tre brugernavne anvendt mindst 40 gange i dagene 3., 4. og 9. marts 2012 til forsøg på at skaffe sig uberettiget adgang til Forurettede A/S.

Detfremgår endvidere af chatten, at Tiltalte 2 bekræftede, at domænet Hjemmeside 8 formentlig var knyttet til politiets system, ligesom domænet Hjemmeside 13 blev omtalt i chatten. Efter bevisførelsen blev domænerne Hjemmeside 26 og Hjemmeside 13 anvendt i forbindelse med den uberettigede adgang til Forurettede A/S den 7. april 2012.

Efter en samlet vurdering finder retten imidlertid ikke fuldt tilstrækkeligt grundlag for at fastslå, at Tiltalte 2 efter den 14. februar 2012 medvirkede til yderligere handlinger, som kan relateres til hackingen af Forurettede A/S.

Retten finder endvidere, at der ikke er ført tilstrækkeligt bevis for, at Tiltalte 2 ved sin sin deltagelse i chatten den 13. og 14. februar 2012 havde forsæt til, at oplysningerne efter dette tidspunkt ville blive anvendt til hacking af Forurettede A/S' mainframe som sket.

Herefter, og da retten finder, at formuleringen af anklageskriftet ikke er til hinder for dette, jf. i øvrigt retsplejelovens § 883, stk. 4, er Tiltalte 2 skyldig i medvirken til forsøg på at skaffe uberettiget adgang til Forurettede A/S' mainframe den 13. og 14. februar 2012.

Efter bevisførelsen var handlingerne den 13. og 14. februar 2012 ikke i sig selv af mere systematisk eller organiseret karakter, men skete under særligt skærpende omstændigheder, idet de vedrørte offentlige it-registre. Tiltalte 2 er derfor skyldig i medvirken til forsøg på overtrædelse af straffelovens § 263, stk. 3, 1. punktum, jf. stk. 2.

Retten finder, at Tiltalte 2 ikke er skyldig i hærværk, jf. straffelovens § 291, stk. 2, idet Forurettede A/S' systemer først blev beskadiget i forlængelse af, at der den 7. april 2012 blev skaffet uberettiget adgang hertil.

Fire nævninger og tre dommere udtaler herefter: Da vi finder det bevist, at det var Tiltalte 1, som skaffede sig adgang til Forurettede A/S' it-systemer og forsøgte herpå samt deltog i chatten, stemmer vi for at domfælde Tiltalte 2 for medvirken til Tiltalte 1's forsøg på at skaffe sig adgang til Forurettede A/S' mainframe den 13. og 14. februar 2012.

To nævninger udtaler: Da vi ikke finder bevist, at det var Tiltalte 1, som skaffede sig adgang til Forurettede A/S' it-systemer og forsøgte herpå eller deltog i chatten, stemmer vi for at domfælde Tiltalte 2 for medvirken til en ukendt gerningsmands forsøg på at skaffe sig adgang til Forurettede A/S' mainframe den 13. og 14. februar 2012. Afgørelse vedrørende Tiltalte 2:

side 166

Efterstemmeafgivningen er Tiltalte 2 herefter skyldig i overtrædelse af straffelovens § 263, stk. 3, 1. punktum, jf. stk. 2, jf. § 23 og § 21, ved den 13. og 14. februar 2012 at have medvirket til Tiltalte 1's forsøg på at skaffe sig adgang til Forurettede A/S' it-systemer. Da der ikke er fremkaldt omfattende forstyrrelse i driften af systemet, frifindes Tiltalte 2 for overtrædelse af straffelovens § 193, stk. 1. Da han heller ikke har udøvet hærværk, frifindes han ligeledes for overtrædelse af straffelovens § 291, stk. 2.

T h i b e s t e m m e s

Tiltalte 1 er skyldig i overtrædelse af straffelovens § 263, stk. 3, jf. stk. 2, jf. til dels § 21, og § 291, stk. 2. Tiltalte 2 er skyldig i overtrædelse af straffelovens § 263, stk. 3, 1. punktum, jf. stk. 2, jf. § 23, jf. § 21. Sanktionsspørgsmålet

Der er vedrørende Tiltalte 1 afgivet 2 stemmer for at fastsætte straffen til fængsel i 4 år, 5 stemmer for at fastsætte straffen til fængsel i 3 år og 6 måneder samt 5 stemmer for at fastsætte straffen til fængsel i 3 år.

Efter stemmeafgivningen fastsættes straffen for Tiltalte 1 herefter i medfør straffelovens 263, stk. 3, jf. stk. 2, jf. til dels § 21, og § 291, stk. 2, og i medfør af grundsætningen i straffelovens § 89 som en tillægsstraf til Svea Hovrätts dom af 25. september 2013, til fængsel i 3 år og 6 måneder.

Retten har ved straffastsættelsen lagt vægt på, at hackingangrebet var systematisk og intensivt og havde en lang tidsmæssig udstrækning. Der blev i forbindelse med angrebet downloadet betydelige mængder stærkt personfølsomme oplysninger. Det har endnu ikke har været muligt for politiet at lokalisere de downloadede oplysninger, som derfor muligt kan tilgås i ubeskyttet tilstand med potentiel stor skadevirkning for de berørte personer.

Der er afgivet 12 stemmer for at udvise Tiltalte 1 med indrejseforbud for bestandig i medfør af de påberåbte bestemmelser. Retten finder, at en udvisning ikke vil være i strid med Danmarks internationale forpligtelser eller EU-reglerne, da forholdet udgør en reel, umiddelbar og tilstrækkelig alvorlig trussel, der berører en grundlæggende samfundsinteresse.

Udvisningspåstanden tages derfor til følge i medfør af udlændingelovens § 24, nr. 1, jf. § 22, nr. 6, samt § 24, nr. 2, jf. § 32, stk. 2, nr. 5, således at indrejseforbuddet meddeles for bestandig.

Der er vedrørende Tiltalte 2 afgivet 2 stemmer for at fastsætte straffen til fængsel i 9 måneder, 1 stemme for at fastsætte straffen til fængsel i 8 måneder og 9 stemmer for at fastsætte straffen til fængsel i 6 måneder.

side 167

Efter stemmeafgivningen fastsættes straffen for Tiltalte 2 herefter i medfør af straffelovens § 263, stk. 3, 1. punktum, jf. stk. 2, jf. § 23 og § 21, til fængsel i 6 måneder.

Retten har ved straffastsættelsen lagt vægt på omfanget af tiltaltes medvirken og formålet hermed, herunder at der under chatten den 13. og 14. februar 2012 blev gjort forsøg på at skaffe sig uberettiget adgang til stærkt personfølsomme oplysninger.

Der er afgivet 12 stemmer for ikke at tage konfiskationspåstanden til følge.

Retten har lagt vægt på, at Tiltalte 2's bærbare computer af mærket Lenovo er indkøbt efter, at den strafbare handling blev begået, og at den efter de forelliggende oplysninger ikke fremstår som bestemt til at blive brugt ved en strafbar handling. Herefter, og da betingelserne for konfiskation efter straffelovens § 75, stk. 2, i øvrigt ikke findes opfyldt, tager retten ikke påstanden om konfiskation til følge.

T h i k e n d es f o r r e t

Tiltalte 1 straffes med fængsel i 3 år og 6 måneder.

Tiltalte udvises af Danmark. Tiltalte pålægges indrejseforbud for bestandig. Fristen for indrejseforbuddet regnes fra den 1. i den førstkommende måned efter udrejsen eller udsendelsen.

Tiltalte 1 skal betale de af sagens omkostninger, som vedrører ham, herunder salæret til sin forsvarer og udgifterne til forsvarerens tekniske bistand.

Tiltalte 2 straffes med fængsel i 6 måneder.

Tiltalte 2 skal betale en fjerdedel af de af sagens omkostninger, som vedrører ham, herunder en fjerdedel af salæret til sin forsvarer og udgifterne til forsvarerens tekniske bistand, idet statskassen skal betale resten.

Dommer 1Dommer 2 Dommer 3