SS-3126/2014-OLR

.ddb-conv-doc { text-align: left; background-color: gray; color: #000000; line-height: 1; margin: 0; padding: 0; text-decoration-skip: none; text-decoration-skip-ink: none; } .ddb-conv-doc .page { background-color: white; position: relative; z-index: 0; margin: auto auto; } .ddb-conv-doc P { margin: 0; } .ddb-conv-doc UL { margin: 0; list-style: none; } .ddb-conv-doc UL LI { line-height: 1.15; } .ddb-conv-doc SUP { vertical-align: baseline; position: relative; top: -0.4em; font-size: 0.7em; line-height: 0; } .ddb-conv-doc .ddb-segment { position: relative; } .ddb-conv-doc .ddb-segment .ddb-absolute { position: absolute; z-index: 3; } .ddb-conv-doc .text, .ddb-conv-doc div.ddb-block, .ddb-conv-doc div.ddb-block-nb { position: relative; z-index: 3; opacity: inherit; text-align: left; margin-right: 35.2px; line-height: 1.15; } .ddb-conv-doc div.ddb-block-nb { white-space: nowrap; } .ddb-conv-doc .ddb-table { white-space: nowrap; width: 1024.0px; } .ddb-conv-doc .ddb-table .table-span { vertical-align: top; word-wrap: break-word; display: inline-block; } .ddb-conv-doc .ddb-table * { white-space: normal; } .ddb-conv-doc .vector, .ddb-conv-doc .image, .ddb-conv-doc .annotation, .ddb-conv-doc .annotation2, .ddb-conv-doc .control { position: absolute; line-height: 0; } .ddb-conv-doc .vector { z-index: 1; } .ddb-conv-doc .image { z-index: 2; } .ddb-conv-doc .annotation { z-index: 5; } .ddb-conv-doc .annotation2 { z-index: 7; } .ddb-conv-doc .control { z-index: 10; } .ddb-conv-doc .dummyimg { vertical-align: top; border: none; line-height: 0; } .marking .identification { border-bottom: 2px solid #000; } .additional-marking-parts { display: none } .hidden { display: none }

UDSKRIFT

AF

ØSTRE LANDSRETS DOMBOG

____________

D O M

Afsagt den 17. juni 2015 af Østre Landsrets 9. afdeling (landsdommerne Karen-Anke Tørring, Peter Mørk Thomsen og Gerd Sinding (kst.) med nævninger).

9. afd. N nr. S-3126-14: Anklagemyndigheden mod Tiltalte 1 (CPR nr. (Født 1984)) (advokat Luise Høj, besk.)

Frederiksberg Rets dom af 31. oktober 2014 (sags nr. 5591/2014) er anket af Tiltalte 1 med påstand om frifindelse, herunder for udvisningspåstanden, subsidiært formildelse af straffen.

Anklagemyndigheden har påstået domfældelse efter anklageskriftet samt skærpelse. An-klagemyndigheden har over for udvisningspåstanden påstået stadfæstelse.

Personlige oplysninger

Tiltalte har været fortsat frihedsberøvet under ankesagen.

Forklaringer

Der er i landsretten afgivet supplerende forklaring af tiltalte og af vidnerne Vidne 4, Vidne 5, Vidne 7, Vidne 9, Vidne 3, Vidne 6, Vidne 13, Vidne 1, Vidne 10 og Vidne 14.

- 2 -

Tiltalte har supplerende forklaret blandt andet, at han ikke forud for sagen havde kendskab til eller havde anvendt Program 2-emulatoren. Han har muligvis set linket til Program 2-emulatoren, men det har ikke været noget, han hæftede sig ved. Der var også andre visuali-seringsprogrammer på computeren. Computeren var stillet op som en lab-computer, som andre brugere havde adgang til.

Det var ham, som havde foretaget den fysiske opstilling af computerne i hans hjem, men den logiske opsætning havde han ikke været alene om. Han har selv opsat den stationære Computer 2, mens den bærbare MacBook Pro, Computer 1, systemmæssigt blev sat op af Kaldenavn 7. Kaldenavn 7 er personens kaldenavn. Tiltalte ken-der ikke Kaldenavn 7's rigtige navn.

Kaldenavn 7 kom vist nok fra Finland, men han tilbragte megen tid i Cambodja. Tiltalte tilbragte ikke megen tid sammen med Kaldenavn 7. De omgik mest hin-anden elektronisk. Der var også andre personer, der benyttede tiltaltes lab-computere. Til-talte ønsker fortsat ikke at oplyse navnene på disse personer. Politiet har haft god tid til at finde personerne bag de kaldenavne, som tiltalte har forklaret om i byretten.

Han vil gerne oplyse navnene, hvis han samtidig løslades. I modsat fald vil han udsætte sig selv for en stor risiko ved at oplyse om personerne. Det vil komme frem i aviserne, hvis tiltalte oply-ser navnene, og han vil blive anset som en stikker i fængslet.

Han lagde ikke mærke til linket ”Link 1” på computerens skriv ebord. Det var ikke særligt iøjnefaldende, og man kan ikke af linket se, at det fører til Program 2-emulatoren. Linket ”Link 2” henviser til et andet visualiseringsprogram. Visualis e-ringsprogrammer anvendes til at visualisere en anden slags computer eller til at inddele en computer i flere virtuelle dele. De virker lidt på samme måde som en flysimulator.

Filerne ”Filnavn 10…” og ”Filnavn 11…” var mere bemærkelsesværdige end linkene til visualis e-ringsprogrammerne. Der er tale om en slags junk-filer, der meget vel kunne indeholde tro-janer malware. Det er korrekt, at han blev dømt i Program 11-sagen i Sverige. Dommen er endelig.

Virksomhed 4 er et svensk firma, som tiltalte arbejdede for. Han anvendte meget tid på computere i almindelighed. Grunden til, at computerne stod i hans soveværelse, var, at han har tinnitus og har svært ved at sove uden baggrundslyde. Tiltalte havde en HP-computer i Cambodja. Det er ikke korrekt, at han først nævnte denne under byretssagen i Sverige.

Han nævnte under den allerførste afhøring, at den stationære computer og MacBook Pro’en ikke var hans personlige computere. Man måtte ud fra denne oplysning forstå, at han også havde en personlig computer. Han blev ikke spurgt hertil, og det var først i byretten, at han fik mulighed for at nævne, at han også havde en personlig computer af mærket HP.

- 3 -

Efter ransagningen i Cambodja er der forsvundet andre effekter, herunder en computermus og et Visa-kort udstedt i hans fars navn, men som tiltalte brugte. Han var temmelig oprørt i forbindelse med ransagningen og ikke i stand til at reagere normalt eller protestere. Det var ikke alle de beslaglagte ting, der kom med i rapporten, herunder heller ikke HP-computeren.

Den stationære computer manglede også, idet der kun blev nævnt nogle løse harddiske. Tiltalte kunne ikke vide, om de havde taget harddisken ud af HP-computeren. Han gennemgik ikke overdragelseserklæringen nærmere. Han satte sit fingeraftryk på og underskrev dokumentet, fordi der stod fem store cambodjanske betjente rundt om ham, og han følte sig truet i situationen.

Selv hvis han havde bidt mærke i, at HP-computeren ikke blev nævnt, er det ikke sikkert, at han ville have vovet at nævne det. Situationen var meget kaotisk for ham, og han var temmelig oprørt. Den svenske betjent Person 19 var ikke til stede under ransagningen i lejligheden. Person 19 var til stede, da tiltalte under-skrev overdragelseserklæringen, men Person 19 var der kun i en times tid.

Der gik derefter en uge, før tiltalte så ham igen. Det er korrekt, at tiltalte så kasserne, hvor hans effekter var opbevaret, men han undersøgte ikke indholdet af kasserne nærmere. Han følte sig utilpas i situationen og tvunget til at skrive under. Tiltalte havde i forvejen ikke gode erfaringer med det cambodjanske politi, idet han tidligere er blevet afpresset af cambodjansk færd-selspoliti.

Blandt det udstyr, der manglede at blive overdraget til svensk politi, var en computer af mærket Computer 3, som også kan ses på billederne fra lejligheden. Ligesom man på videooptagelserne fra lejligheden kan se 3 skærme og mere end 3 tastaturer. Overdragelsen var kaotisk i og med, at der var 4-5 cambodjanske betjente omkring ham. Det var i sig selv intimiderende. Han tænkte derfor ikke på HP-computeren. Computer 1 havde en 17 tommer skærm, mens den æske, der ses på videoen, har indeholdt en MacBook Pro med 15 tommer skærm.

Han er helt sikker på, at HP-computeren var i hans lejlighed forud for ransagningen. Hver-ken den beslaglagte stationære computer eller MacBook Pro’en var hans personlige co m-puter. Dette afspejles da også af, at der ikke var ret mange personlige filer på nogen af dis-se computere. Hans personlige filer havde han på sin personlige computer, som forsvandt under ransagningen.

Det var tiltalte, der fandt på navnet ”Computer 1” til MacBook Pro c om-puteren. Tiltalte ved ikke, om det var ham, der indtastede navnet i forbindelse med compu-terens opsætning. Det var ligeledes tiltalte, der fandt på at kalde den stationære computer for Computer 2, og det var også ham, der opsatte computeren med dette navn.

- 4 -

Program 12 er et program, man bruger til at chatte med. Han brugte bl.a. navnene Kaldenavn 8, Kaldenavn 9, Kaldenavn 10 og Kaldenavn 11 som kaldenavne (nicknames), når han chattede. Han anvendte ikke sit eget navn, men forskellige kaldenavne. Det er almindeligt at anvende kaldenavne frem for sit eget navn, når man chatter.

De fleste vidste dog alligevel, hvem han var, og brugen af kaldenavne har intet at gøre med at ville gemme sig. Hans mest almindelige kal-denavn var Kaldenavn 8. Kaldenavn 9 blev anvendt af andre end ham og i flere udgaver. Det kunne godt give anledning til lidt forvirring om, hvem der chattede, og det er sket, at tiltalte ikke er blevet genkendt, når han har chattet som Kaldenavn 9.

Der var 5 medlemmer af Gruppe 1, og alle disse medlemmer anvendte Kaldenavn 9, når de chattede. De 5 personer er de samme personer, som har haft adgang til tiltaltes computere. Den ene person hedder Person 20 og beskæftiger sig med grafik.

Det er ikke tiltalte, der har registreret hjemmesiden for Gruppe 1 eller betalt for registreringen. Han har i årevis stået som registrant for hundredvis af forskellige domæne-navne. Det er ikke noget, som tiltalte har kontrol over. Tiltalte har tidligere fået problemer i Sverige og USA i forbindelse med, at websider er registreret i hans navn uden hans kend-skab. Tiltalte har ingen forbindelse til Finland eller den fysiske registreringsadresse for Gruppe 1 eller selskabet bag.

Udover Kaldenavn 8 og Kaldenavn 9 har han i mindre omfang brugt andre kaldenavne, men han husker dem ikke. Det er også sket, at han i dovenskab har anvendt en andens kaldenavn, hvis en anden bruger med et andet kaldenavn tidligere havde logget ind via tiltaltes computer. Computer 3 er en lille computer. Der er ikke skærm eller tastatur til. Det er et såkaldt embedded system, men den fungerer som en helt almindelig computer.

Tiltalte har i flere tilfælde deltaget i chat under Kaldenavn 9, men andre gange er det ikke ham. Hvis brugeren før ham havde anvendt Kaldenavn 7, er det muligt, at tiltal-te er logget ind med dette kaldenavn. Tiltalte har ikke åbnet TrueCrypt containeren. I hvert fald har tiltalte ikke været bevidst herom.

Containeren må regelmæssigt have været åben, og i hvert fald har containeren været åben de gange, hvor chatklienten har foretaget log-ning af chat-samtalerne. Det er ikke sådan, at tiltalte skulle indtaste et kodeord for at åbne for TrueCrypt containeren. Den kan være åbnet af andre udefra eller automatisk, når tiltalte loggede ind. Det er ikke noget, som tiltalte ved noget om.

Det er korrekt, at han er blevet dømt i Sverige for sammen med Person 21 at have skaffet sig adgang til Virksomhed 6's mainframe.

- 5 -

Vedrørende chat af 10. marts 2012 er Kaldenavn 9 i denne chat ikke tiltalte. Han har en mistanke om, hvem Kaldenavn 9 i denne chat er, men han ønsker ikke at oplyse, hvem han mistænker. Det er kun en løs mistanke. Vedrørende chat af 9. marts 2012 er Kaldenavn 10 i denne chat ikke tiltalte. Han ved ikke nøjagtigt, hvem det er, men han har en mistanke.

Han har sikkert i nogle til-fælde chattet med Kaldenavn 20, som er Person 21.Vedrørende chatten af 30. marts 2012 med ”Kaldenavn 21” er Kaldenavn 9 i denne chat heller ikke tiltalte. Han er fejlciteret i byrettens dom. Han var på dette tidspunkt logget ind som Kaldenavn 8, og det var en anden Kaldenavn 9 end tiltal-te, der svarede i chatten.

Tiltalte er ikke Kaldenavn 9 i chatten med ”Kaldenavn 32” den 11. juli 2011, og han kan ikke på ba g-grund af det korte uddrag udlede, hvem der optræder i chatten som Kaldenavn 9. Han formoder, at ”Kaldenavn 33” er et kaldenavn. Det kan også være navnet på noget malware. Vedrørende c hatten med ”Profilnavn 3” den 5. januar 2011, så er det nok ham, der optræder som Kaldenavn 10, men der er en anden Kaldenavn 9 logget på samtidig.

Han ved ikke, om han i chatten den 21. juli 2011 har skrevet kommandoen, der resulterede i systemteksten ”Kaldenavn 22 is now known as Kaldenavn 9” . Det er et eksempel på, at tiltalte kan have været logget ind med en andens brugernavn og derefter have ændret sit kaldenavn i chat-ten. Tiltalte tror ikke, at det er ham, der har henvist til Filnavn 12 i chatten den 4. august 2011. Tiltalte kender filen, der henviser til flyulykken med Virksomhed 1 fly Nr. 8. Det er en fil, der har interesseret tiltalte, idet tiltalte interesserer sig for flysikkerhed. Andre har vist interesse for filen, da det er en Program 1-fil.

Vedrørende chatten mellem Kaldenavn 9, Kaldenavn 34, Kaldenavn 35 og Kaldenavn 36 tror tiltalte ikke, at han optræder som Kaldenavn 9 i denne chat. Tiltalte beskæftiger sig ikke med test af virus, men han er bekendt med, at andre har foretaget tests på hans computer. Tiltalte mener ikke, at det er relevant at oplyse navnene på disse andre personer. Vedrørende chatten af 4. august 2011 er der, som forkla-ret i byretten, tale om en humoristisk bemærkning. Det skal ikke tages bogstaveligt. Enten forstår man humoren i det, eller også gør man ikke. Han ved ikke, om det er ham, der op-træder som Kaldenavn 9 i den chat.

Han vidste ikke, at der var en krypteret container på hans computer, men han var godt klar over, at F-drevet var på computeren. Tiltalte har ikke været alene om at sætte den compu-ter, der hedder Computer 1, op. Tiltalte er ret god til computere, og han kan godt sætte en computer op, og han ved også, hvordan man sætter en krypteret container op, ligesom han godt kan installere og bruge fjernstyringsprogrammer som f.eks. Remote Desktop. Der er

- 6 -

ingen sammenhæng mellem, om man er god til computere, og om man selv sætter sin computer op. Han har selv sat den stationære computer, Computer 2, op. Der var meget på Computer 1, som var kopieret fra en anden computer. Computer 1 var oprindelig hans personli-ge computer, men da tastaturet var gået i stykker, brugte han den mindre. Den var derfor mere eller mindre til overs og kunne anvendes som lab-computer.

Det er ikke unormalt at have et par computere i soveværelset. Han har formodentlig været til stede, da Computer 1 blev sat op og forbundet med Computer 2, men han husker det ikke. Det var sandsynligvis Kaldenavn 7, der konfigurerede Computer 1.

Han vil ikke oplyse Kaldenavn 7's rigtige navn, da han er usikker på det, og da Kaldenavn 7 formentlig er lige så uskyldig som tiltalte og derfor ikke skal trækkes ind i sagen. Det var sandsynligvis tiltalte, der placerede computerne i soveværel-set. Det undrede ham ikke, at der på computerens skrivebord lå et link til TrueCrypt.

Der lå så mange ting. ”Filnavn 13” , som er navnet på den krypterede container, kendte han ikke t il. Han klikkede ikke på linket til TrueCrypt, da han udmærket vidste, hvad det var for et pro-gram. Han havde et Program 12 på sin computer til brug for sin chat. Programmet fulg-te med fra en anden computer, ligesom TrueCrypt havde gjort. Der blev på Mac Book’en installeret Styresystem 4.

Det var formentlig tiltalte, der installerede Styresystem 4. Man kan af ma-terialet i sagen se, at den krypterede container er kopieret fra en anden computer, muligvis den 16. november 2010, ligesom man kan se, at Program 12 blev kopieret over samme dato som den krypterede container.

Den krypterede container er således ikke skabt den 16. november 2010, men er resultatet af en kopiering af filer fra en anden computer samme dag. Styresystem 4 blev installeret på computeren samme dag. Tiltalte navngav Computer 1 i forbindelse med installationen af Styresystem 4. Når man installerer Styresystem 4 på en computer, beder den om, at man navngiver computeren.

Når der står, at filen er dannet den 16. november 2010, betyder det, at det er den dag, filen er kopieret til den aktuelle computer. Filen kan godt være skabt på et andet, langt tidligere tidspunkt. Der er egentlig ikke nogen forskel på en computer og en server. Forskellen er, at man typisk er flere, der anvender en server, og at man ikke sidder fysisk med den, som man gør med en computer.

En lab-computer kan benyttes af flere brugere i en form for laboratorium. Hver bruger har sit eget skrivebord, og der er flere brugerkonti tilknyttet computeren. Desuden er der en administrator. Administratoren har adgang til alt. Vedrø-rende Computer 1 har det nok været sådan, at alle brugere havde administratorrettigheder og dermed adgang til alt. Den krypterede container lå på F-drevet.

Man kan af materialet i den svenske forundersøgelse se, at filerne kommer fra en anden computer, fordi filen midt på siden på den tidligere computer oprindelig var navngivet ”Navn 10:.” , mens den på Computer 1 blev navngi vet ”Navn 11” . Det skyldtes formentlig, at ”Navn 10” allerede var i brug på Computer 1. Der lå i

- 7 -

alt 245.000 filer i den krypterede container. Det var umuligt at have styr på de enkelte filer, og hvad de indeholdt. Det kan bedst sammenlignes med et veludstyret bibliotek. Mellem filerne var der bl.a. en faktura fra Virksomhed 4, måske fra april 2010. Der har været flere andre fakturaer fra Virksomhed 4, som han løbende arbejdede for. Han ved ikke, hvorfor der lå en faktu-ra i den krypterede container, men han vil tro, at filen med fakturaen ved en fejl er kopieret over på containeren sammen med projektfilerne fra Virksomhed 4-opgaven.

Filerne, som er kopieret over den 16. november 2010, blev kopieret fra en computer, som tilhørte Kaldenavn 7. Fakturaen lå på hans personlige computer. Den blev kopieret over på com-puteren på et senere tidspunkt end den 16. november 2010. Den er blevet lagt på F-drevet formentlig på grund af pladsmangel på de andre drev. Filen som hedder Filnavn 14 er ikke skabt eller dannet i 2001. Det må være computerens ur, der viser forkert. Man skulle ikke bruge password for at lagre filer i den krypterede container.

Han nævnte allerede i starten eksempler på, at computeren kunne være blevet fjernstyret ved hjælp af f.eks. programmerne Remote Desktop og Program 23. Han ved positivt, at disse to programmer har været brugt til at fjernstyre computeren. Det er Vidne 4's tese, at computerens opsætning var af en sådan karakter, at dens integritet ikke kunne ga-ranteres.

Han er bekendt med, at der var installeret et fjernstyringsprogram skrevet i Script 5 på Computer 1, men han ved ikke, om dette program nogensinde har været anvendt på computeren. Program 13 er et fjernstyringsprogram, der er ”indbygget” i Styresystem 4. SSH næv n-te han også allerede i den første afhøring hos svensk politi.

Tiltalte kan ikke præcis sige, hvordan computeren er blevet fjernstyret, men han er kommet med nogle eksempler på, hvordan det kan være sket. Hvis man skal fjernstyre en computer udefra, skal der i reglen være en åben port, mens fjernstyring indefra forudsætter ”beaconing” , en slags opkald fra computeren.

Et Script 5 kan køres i ram-hukommelsen, men også gemmes på harddisken. Ram-hukommelsen er computerens arbejdshukommelse. Når noget afvikles via ram-hukommelsen, lagres det ikke. Tiltalte kender Person 22, som han har drevet Program 11 med. Det er rigtigt, at det er ham, der chattede med Person 22. Hele deres chat var en joke, holdt i deres interne jargon. Der er intet af det, de skrev, der har relation til virkeligheden.

Infotorg.se er en svensk kreditoplysningstjeneste. Alle, der har et legitimt formål, kan få adgang til den. Infotorg.se blev på et tidspunkt hacket. Det svenske politis oplysninger, ligger ikke hos firmaet Virksomhed 6. Tiltalte står i SPAR, som svarer til det danske cpr. register.

- 8 -

Tiltalte var ikke den eneste, som brugte MacBook’en, ligesom han ikke var den eneste, som havde installeret programmer på den. ”ident” kan ikke oversættes til ”identitet” eller ”identifikation” på dansk. ”Ident ” er en teknisk term, der har noget med indstillingen af chatklienten at gøre. Program 32 er et program, som udnytter sårbarheden, når man har fundet et hul i sikkerheden. En trojan er et program, som kan benyttes til at fjernstyre en compu-ter.

Tiltalte var ikke bekendt med, at der var virus på hans computer. Det blev han først klar over, da han havde hørt Vidne 4's forklaring. En del af de fundne vira er en åben-bar følge af, at der har været eksperimenteret med malware på computeren. Virussen med relation til ”Java” stammer dog ikke fra sådanne eksperimenter, hvilket kan ses af, at a d-ministratorkontoen var inficeret.

Den krypterede container er ikke skabt på computeren, men kopieret over fra en anden computer. Det har taget ca. 9 minutter. Hvis den havde været skabt på computeren, ville de to tidspunkter have været ens. Tiltalte har anvendt IPv6 siden 2001, mens han boede hos sine forældre. Oversigten i forsvarets ekstrakt 5, s. 9, beskriver hans daværende netværk. Hver linje beskriver en computer. Oversigten er fra 2002.

Alle hans computere, bortset fra 3, benyttede IPv6. Bortset fra den sidstnævnte, som var hans personlige computer, var alle computerne lab-computere. Hvis man genstarter en computer, går forbindelsen via IPv6 i første omgang tabt, men den etableres naturligvis igen, når computeren starter igen.

Vedrø-rende tiltaltes lejlighed i Cambodja havde han et kombineret soveværelse og computerrum, på videoen fra ransagningen er det ”Computer 2” , man ser bagerst til højre. Yderst til ve n-stre ser man tastaturet til ”Computer 1” . Skærmen på bordet i forgrunden hører til den tredje computer, som det cambodjanske politi ikke registrerede. At der er tre skærme viser, at han havde tre computere.

Selve det, at navnet på stien, der er beskrevet i bilag C-1-2, starter med ”Sti 1” , indikerer, at der ikke er tale om krypteret materiale. De manglende filer til Program 2-emulatoren fandtes således ikke i nogen krypteret container. Partition 7, som Sti 1 refererer til, er ikke en krypteret partition. Det undrer ham, at politiet ikke har undersøgt det nærmere.

Program 2-emulatoren på hans computer virkede ikke, og for ham virker det som om, at den er forsøgt kopieret over på computeren, men at man af en eller anden grund er stoppet halvvejs i processen.

Tiltalte benyttede i Cambodja et visakort udstedt i hans fars navn. Det var den måde, han fik kontanter på. Han hævede løbende penge i ANZ Royal Bank. Tiltalte arbejdede fra

- 9 -

2006/2007 og frem til anholdelsen for Virksomhed 4. Han sendte en SMS til Virksomhed 4 for at kunne modtage betaling for sit arbejde. Han modtog betaling via Western Union.

Virksomhed 15 er en direkte konkurrent til Virksomhed 6. Tiltalte ejer ikke domænet ”Hjemmeside (underdomæne til hjemmeside 3)” , som hostes af Amazon i Japan. Han har ingen tilknytning til Ama-zon eller Japan. De domæner, der er nævnt i forsvarets ekstrakt 5, s. 8, er ikke nogen, som tiltalte har noget med at gøre. Så vidt tiltalte kan se, vedrører flere af dem kriminelle aktivi-teter. F.eks. har Hjemmeside 29 formentlig noget med børnepornografi at gøre, og Hjemmeside 30 har noget med euforiserende stoffer at gøre.

Tiltalte har ikke tidligere forklaret om, at han anvendte IPv6, fordi sagen har været meget kompleks, og det ikke var ham, som havde sat computeren op. Det lyder sandsynligt, at IPv6 har været installeret, men han ved det ikke. Program 16 serveren bruges til at teste pro-grammer. Det vil være risikabelt for tiltalte at oplyse navnene på personerne bag Gruppe 1.

Tiltalte har ikke deltaget i en diskussion om salg af Softwares. Chatten, hvor Kaldenavn 37 spørger ”Navn 12?” , henviser formentlig til Kaldenavn 8. Tiltalte husker ikke, om han deltog i de n-ne chat. At Kaldenavn 37 spørger, om Kaldenavn 9 er Kaldenavn 8 viser, at Kaldenavn 9 blev anvendt af flere for-skellige personer. Chatten, hvor der tales om at sprede virus i Sverige, er formentlig ikke ment alvorligt.

Det er sandsynligvis ikke ham, der er Kaldenavn 9 i chatten, men han husker det ik-ke. Han kan genkende stilen i chatten, hvor personen spørger, hvor den anden befinder sig, men han kan ikke sige, om det er ham, der chatter med ”Brugernavn 14” .

Specialkonsulent Vidne 5, Rigspolitiet, har som vidne supplerende forkla-ret blandt andet, at politiet fra Sverige fik udleveret alle data, der relaterede sig til sagen vedrørende Forurettede A/S. Det eneste materiale, der ikke blev udleveret, var data som stammede fra de svenske sager og sager vedrørende tredjelande. De fik alle de filer fra Forurettede A/S, som de bad om.

Script 6 er en næsten identisk kopi af Script 7, som i forvejen lå på Forurettede A/S' mainframe. Gerningsmanden brugte Script 6 til at afvikle kommandoer på mainfra-men, således at der kunne skaffes uberettiget adgang. Script 10 var et lokalt script på gerningsmandens computer – en slags hjælpeværktøj – som gerningsmanden anvendte sammen med Script 6 til at automatisere processen, der gav adgang til Forurettede A/S' mai n-frame.

- 10 -

Politiet kunne på baggrund af det udleverede materiale knytte den tyske IP adresse 2, til tiltaltes computer. De kunne med andre ord se, at tiltaltes computer hav-de kommunikeret med den tyske IP-adresse.

Man sammenholdt de data, som blev fundet på tiltaltes computer, med filerne på Forurettede A/S' mainframe og kunne konstatere en sammenhæng. De foretog en detaljeret vurdering af filerne, hvor de ikke blot undersøgte indholdet, men tillige filoplysningerne. På denne bag-grund kunne de med sikkerhed slå fast, at i hvert fald visse af de filer, der blev fundet på tiltaltes computer, hidrørte fra hackingen af Forurettede A/S' mainframe.

En krypteret container kan indeholde data, som man via krypteringen kan beskytte, således at indholdet alene kan tilgås ved anvendelse af et kodeord. På tiltaltes bærbare Computer 1, var der tilknyttet en sådan krypteret container, som det svenske politi fik åbnet for adgangen til. Der var omkring 40.000 mapper og mere end 200.000 filer på containe-ren.

En af mapperne på den krypterede container var navngivet ”Mappe” . I mappen fandtes filer, som hidrørte fra tyveriet af filer fra såvel Virksomhed 6 som Forurettede A/S. Da der var omkring 40.000 mapper på containeren, mener vidnet, at det ikke kan være en tilfældighed, at filer-ne fra de to sager var havnet i samme mappe. Når man gemmer en fil, angives det normalt i hvilken mappe, filen ønskes gemt.

Det ville være muligt at gemme en chat-log i den krypterede container. Det kan ske manu-elt eller ved at opsætte chatklienten hertil. Det ville i alle tilfælde forudsætte, at containeren var dekrypteret, eller at et kodeord blev anvendt. Det er således ikke muligt at tilgå eller gemme en fil i den krypterede container, hvis ikke containeren var blevet åbnet, hvilket forudsætter, at der er indtastet et kodeord.

Ved undersøgelsen havde politiet konstateret, at containeren ikke blev dekrypteret eller åbnet ved at logge ind på computeren, medmindre man loggede ind som administrator. Såfremt man loggede ind som administrator, blev con-taineren automatisk åbnet, men alle andre brugere skulle skrive et kodeord. Herudover skulle brugeren kende navnet og placeringen på den fil, som indeholdt TrueCrypt containe-ren.

Det skete således ikke automatisk.

Script 2 er et script, der lå på Forurettede A/S' web -server. Vidnet har aldrig fået afklaret, hvad scriptet blev brugt til, men det indeholdt nogle systemoplysninger fra Forurettede A/S, og der var en kobling til den tyske IP-adresse. Program 8, der blev fundet på tiltaltes computer,

- 11 -

kan omdanne kaldenavne, der anvendes i chatfora, til valgfrie navne, som kan indeholde mellemrum.

Politiets undersøgelse har vist, at mens der blev stjålet filer fra Virksomhed 6, blev der fra den helt samme computer på samme tidspunkt forsøgt indtrængning i Forurettede A/S' FTP -server. Ger-ningsmanden i Virksomhed 6-sagen må derfor være den samme som gerningsmanden i sagen ved-rørende Forurettede A/S.

TrueCrypt containeren var opsat således, at den ikke automatisk blev åbnet. Anvendelse af TrueCrypt containeren krævede således, at der manuelt blev indtastet et kodeord. Vidnet kan ikke svare på, om TrueCrypt containeren automatisk blev dekrypteret, når brugeren loggede ind.

I marts 2012 blev det konstateret, at der havde været fo rsøg på at hacke sig ind i Forurettede A/S' mainframe via FTP-serveren. Det lykkedes imidlertid ikke. Den 7. april 2012 lykkedes det dog gerningsmanden at skaffe sig adgang via web-serveren.

Der er ikke noget suspekt i at have en TrueCrypt container på sin computer, men det er normalt ikke noget, der anvendes, af den almindelige computerbruger. Konfigurationen af TrueCrypt er undersøgt for hver enkelt brugerkonto på tiltaltes computer. Det ville være muligt for en bruger at åbne for TrueCrypt containeren, uden at de andre samtidige brugere kunne se dette.

De andre brugere ville alene kunne se, at der pludseligt var et nyt drev – i dette tilfælde F-drev – tilgængeligt. Det ville herefter være muligt for alle brugerne at tilgå og gemme filer på den ellers krypterede container, og det ville ikke kunne ses, at containe-ren havde været krypteret.

Vidnet har været i Sverige to gange. Inden afrejsen havde man lavet søgelister med henblik på at kunne søge i de filer, som ikke var blevet udleveret til dansk politi. Det er ikke vid-net, der har lavet søgelisterne.

245.000 filer er mange filer. Vidnet kan ikke svare på, om det er muligt at have overblik over så mange filer. Det kommer an på, hvilke filtyper der tales om. Det er ikke meningen, at man skal have overblik over samtlige filer på en computer, men de fleste ville vælge at sortere deres filer i mapper. TrueCrypt containeren var ikke præget af orden.

- 12 -

Den krypterede container var på Computer 1. Hvis man ønskede at gemme en fil på den krypterede container, krævede det, at den krypterede container var åben, eller at man åbnede den. Hvis man ikke havde administratorrettigheder, forudsatte åbning af den krypterede container brug af 2 passwords. Hvis man havde administratorrettigheder, var et password tilstrækkeligt.

Når man gemmer et dokument, skal man normalt angive, hvor på computeren dokumentet skal gemmes. Hvis den krypterede container ikke var åben, ville et dokument umiddelbart blive lagret på C-drevet. Den krypterede container åbnede sig ikke automatisk ved login på computeren.

Vidnet har i Sverige undersøgt, om TrueCrypt containeren automatisk blev mountet (åb-net), når computeren blev startet, og det blev den ikke, hverken når man loggede på som administrator eller som bruger. Svensk politi havde nulstillet passwordene på computeren, men det er hans opfattelse, at det ikke har nogen betydning for computerens konfiguration i øvrigt. De har ikke kunnet konstatere, at EFS var slået til på computeren, men det er ikke ham, men Vidne 6, der har foretaget undersøgelserne i den forbindelse.

Vedrørende dateringen af bilag Q-8-1 (ekstrakt 17, side 8) så kan den 11. oktober 2013 være enten den dag, erklæringen blev påbegyndt, eller den dag erklæringen blev udskrevet. Datoen bliver indtastet manuelt, så vidnet vil formode, at datoen 11. oktober 2013 er den dag, han påbegyndte erklæringen. Han kan ikke svare på, om bilagene Q-8 (ekstrakt 17, side 1) og Q-8-2 (ekstrakt 17, side 13) er påbegyndt i 2013.

Vidnet og Vidne 13 fordelte arbejdet mellem sig. Vidne 13 undersøgte bl.a. PuTTY logs. Det er et langsom-meligt arbejde. Når Vidne 13 havde lavet et stykke arbejde, foretog vidnet typisk efter-følgende kvalitetskontrol, og dokumenterne blev derfor løbende rettet til. De var flere kol-leger på sagen, og de sparrede med hinanden. Da de efterforskede sagen, var de åbne over-for, at der kunne være andre gerningsmænd.

Vidnet ved ikke hvem ”Profilnavn 4” er. Han er bekendt med, hvem Person 21 er. Vidnet har ikke gennemgået alle de svenske rapporter. Han var klar over, at der var flere gerningsmænd i Sverige, og at Person 21 var en af dem, men han var ikke hovedmanden. Det var svensk politi, der henledte deres opmærksomhed på, at tiltaltes computer kunne knyttes til den tyske ip-adresse.

De tekniske undersøgelser har påvist, at det var den samme gerningsmand, der den 12. marts 2012 hackede Virksomhed 6, som samtidig forsøgte at hacke Forurettede A/S. Tre af de brugernavne, som blev anvendt til login forsøgene, blev nævnt i chatten den 12./13. februar 2012.

- 13 -

Gernin gsmanden oprettede 3 bagdøre til Forurettede A/S' mainframe. Det er første gang, vidnet har stiftet bekendtskab med hacking af en mainframe. Det kræver nogle helt særlige færdighe-der at kunne hacke en mainframe, og indtil denne sag opstod, blev det anset for umuligt. Det er sædvanligt at anvende Software i forbindelse med hacking.

Hvis en person benytte-de sig af bagdør 2 eller 3, kunne vedkommende tilgå mainframen, uden at det blev registre-ret i en log. Fra det tidspunkt, hvor tiltalte blev anholdt, og til bagdørene blev lukket, blev der ikke foretaget tyveri fra mainframen hos Forurettede A/S. Script 10 blev fundet på tiltaltes computer. De stjålne filer kunne lagres både på egen IP-adresse og på en andens IP-adresse.

Begge fremgangsmåder blev anvendt i dette tilfælde. Bl.a. blev der kopieret filer til IP-adresser i Cambodja, Iran og Tyskland.

Det er typisk hackeradfærd at bruge forskellige IP-adresser i forbindelse med angreb. For-målet er at sløre sin egen IP-adresse. I nogle sager vil en gerningsmand bruge sin egen IP-adresse. En dygtig hacker vil normalt sløre sin egen IP-adresse for at undgå at blive opda-get, men det kommer an på så meget, herunder hvor sikker hackeren i øvrigt føler sig i situationen. Den IP-adresse, som tiltalte benyttede sig af i Cambodja, var dynamisk, såle-des at adressen ikke altid var den samme.

PuTTY log filerne blev fundet på tiltaltes computer på TrueCrypt containeren. Der kom kommandoer via tiltaltes computer til Forurettede A/S' mainframe. Man kan komprimere filerne, så de fylder mindre. Hvis RACF databasen blev overført til f.eks. den iranske server, ville gerningsmanden kunne få adgang til den ved at anføre det rette filnavn.

Al aktivitet af efterspørgsler på datasæt ophørte i slutningen af august 2012. Vidnet kan ikke udelukke, at der kan være sket download af filer via FTP-serveren, men den samme angrebsmetode blev ikke længere anvendt. TrueCrypt containeren skal åbnes efter hver genstart, men ikke hver gang man ønsker at gemme en fil.

Flere af undersøgelserne blev udført via et virtualiseringsprogram, hvor man startede den undersøgte computer op i virtualiseret tilstand. Ved virtualisering opnår man, at styresy-stemet og programmerne gøres uafhængige af computerens hardware.

Fjernbetjening af en computer kan grundlæggende ske på to måder; indefra og ud eller udefra og ind. Politiet har undersøgt, om betingelserne for fjernstyring har været til stede ud fra begge metoder. Undersøgelserne har taget udgangspunkt i tiltaltes og

- 14 -

Vidne 4's forklaringer om mulighederne for fjernstyring. De foretog en undersøgelse med Program 15, der kan udføre en såkaldt ”snifferundersøgelse” , hvor datatr a-fikken monitoreres ved computerens opstart, og indtil den går i dvale.

En sådan undersø-gelse kan vise, om computeren foretager unormale kald til internettet, og således om com-puteren kan fjernstyres på baggrund af kald indefra computeren og ud til fjernbrugere. Un-dersøgelsen viste, at der ikke var unormale kald, der kunne anvendes af fjernbrugere til at få fjernadgang til computeren, og det kunne derfor udelukkes, at computeren var blevet fjernstyret via opkald indefra og ud.

Det næste, der blev undersøgt, var muligheden for fjernstyring udefra og ind. En sådan fjernstyring kræver adgang til en af computerens por-te, der skal være åbnet for udefrakommende adgang. Det forudsætter endvidere, at den udefrakommende har kendskab til det pågældende portnummer blandt mere end 65.000 mulige, ligesom fjernbrugeren skal kende computerens IP-adresse.

Tiltaltes IP-adresse i Cambodja var stærkt dynamisk, hvilket vil sige, at den kunne skifte fra den ene dag til den anden. De foretog en portscanning ad to omgange, idet de scannede for åbne porte før og efter brugerlogin. Scanningen foretaget forud for brugerlogin viste, at samtlige porte var filtreret, således at ingen porte stod åbne. Ved login som Brugernavn 10 viste scanningen, at Port 1 stod åben.

Port 1 kunne de imidlertid relatere til en kendt aktivitet, der ikke havde noget med fjernstyring af computeren at gøre. Helt overordnet udelukker det fjern-styring af en computer udefra, hvis der ikke er nogen porte, der er åbne.

De foretog live-/onlineundersøgelser på en MacBook Pro computer, der var identisk med tiltaltes computer. De lagde en eksakt kopi af indholdet fra tiltaltes computer over på den nye computer og foretog helt de samme undersøgelser. I Sverige havde de ikke lavet en sådan undersøgelse. Undersøgelserne viste, at der ikke kunne være sket fjernbetjening af computeren.

Foreholdt tiltaltes forklaring om, at computeren var sat op som en lab-computer med hen-blik på, at flere kunne betjene computeren, har vidnet forklaret, at det mest normale da ville have været at anvende et af standardprogrammerne i Styresystem 4, såsom Remote Desk-top. Dette har politiet kunnet udelukke, ligesom de i øvrigt har udelukket de muligheder for fjernstyring, som tiltalte konkret har anvist. Etablering af fjernadgang via malware vil være en ustabil løsning, og adgangen ville med stor sandsynlighed blive fjernet i forbindelse med opdateringer af systemet.

Det blev endvidere undersøgt, om computeren kunne være fjernstyret ved hjælp af et Script 5. Undersøgelserne viste, at det var meget usandsynligt, at det i det hele taget

- 15 -

kunne lade sig gøre, og de kunne helt udelukke muligheden på tiltaltes computer, hvor der ikke blev fundet den nødvendige programkode.

De mange genstarter af computeren gjorde også fjernstyring af computeren usandsynlig og meget sårbar. Gerningsmanden skulle således efter hver genstart på ny skaffe sig adgang til computeren og starte TrueCrypt containeren op. Det har ikke været teknisk muligt for poli-tiet at få svar på, hvor mange gange den krypterede container har været åbnet.

En Soekris-boks fungerer ikke som en almindelig computer i gængs forstand, men kan anvendes som en slags router eller lignende. Boksen var ikke tilsluttet nogen lagringsmedi-er, hvorfor den ikke var funktionsdygtig.

Dansk politi modtog en henvendelse fra Bank 1 i Danmark i sommeren 2012. I september 2012 modtog vidnet oplysning fra svensk politi om, at der i Sverige pågik efterforskning af en hackersag, der havde tråde til Danmark. Vidnet sendte en mail i september 2012 til svensk politi for at få en status på den svenske sag.

Vidnet kan ikke svare på, om det er svensk politi, der har installeret Program 17 den 27. november 2013. Dansk politi har i hvert fald ikke gjort det. Under den første un-dersøgelse af computeren loggede de på som administrator. De gjorde sig oprindeligt ikke overvejelser om, hvorvidt man skulle logge på som administrator eller som en af brugerne.

I forbindelse med den anden undersøgelse gik det op for vidnet, at det var Brugernavn 10, der i gerningsperioden havde været logget på flest gange, og derfor valgte politiet at undersøge computeren ved at logge på som Brugernavn 10. Det kan gøre en forskel for resultatet af un-dersøgelserne, om man har logget sig på som en bestemt bruger eller som administrator.

Når der i firewallen står ”allow” og ”any” betyder det, at der for den pågældende service er oprettet en regel, der giver alle adgang. Det er korrekt, at der er visse porte, der er mest interessante, når man skal undersøge en computer for fjernstyring. Det er således typisk port 3389, der anvendes hertil. Brugeren kan imidlertid ændre på disse standardporte, og den undersøgelse, som de har foretaget, er derfor gennemført på samtlige af computerens mere end 65.000 porte.

Da vidnet undersøgte, om TrueCrypt automatisk blev startet op, sad han foran computeren. Han fjernstyrede den ikke. Det er vidnets umiddelbare vurdering, at det ikke gør nogen forskel, om han ville have foretaget undersøgelsen via fjernstyring. Det er konstateret, at

- 16 -

computeren rent faktisk ikke kunne fjernstyres. Vidnet er ikke klar over, at tiltalte selv har forklaret, at tiltalte har anvendt computeren via fjernstyring. Selv om man lagde til grund, at computeren kunne være blevet fjernstyret, vil vidnet mene, at TrueCrypt containeren stadig ikke automatisk blev åbnet ved opstart.

Det er korrekt, at svensk politi valgte at nulstille eller ændre brugerkodeordene i forbindel-se med deres undersøgelser. Ændringen af kodeordene har efter vidnets opfattelse ikke haft betydning for undersøgelsen af, om TrueCrypt containeren automatisk blev åbnet ved lo-gin. Så vidt vidnet ved, var der ikke tegn på EFS-kryptering på tiltaltes computer.

Der lå også programmer i TrueCrypt containeren, hvilket indikerer, at den regelmæssigt har været åbnet. Vidnet er enig i, at det ikke var relevant at undersøge, om Program 13 fandtes på tiltaltes computer, idet det afgørende ved brug af dette program til fjernstyring er, om programmet ligger på den computer, der anvendes af personen, der fjernstyrer. Hvis en Styresystem 4 computer skal fjernstyres via Program 13, skal man tillade fildeling i firewallen.

IPv6 er den nye måde at tildele IP-adresser på. Den blev indført, fordi man var ved at løbe tør for IP-adresser i IPv4. Det har ikke været overvejet, om IPv6 kunne være interessant for undersøgelsen vedrørende spørgsmålet om fjernstyring. Vidnet kan ikke på stående fod udtale sig om, hvad Funktion er, og vidnet kan ikke umiddelbart svare på, hvorfor den-ne service ikke er dukket op under portscanningen. En forklaring kunne være, at servicen ikke eksisterede eller var aktiveret på computeren.

Vidnet skrev en mail den 18. september 2012 til svensk politi for at følge op på sagen. E-mailen handlede om indbruddet i Bank 1. Det er nok ham, der har skrevet teksten i emne-feltet, hvor der henvises til mulig hacking af offentlige danske registre. Vidnet hørte i sep-tember 2012 fra svensk politi om en større hackersag, som svensk politi efterforskede, og som muligvis havde tråde til offentlige danske registre.

Fra september 2012 og frem til efterforskningen blev startet op, forholdt politiet sig løbende til de oplysninger, som man modtog fra Sverige. Man havde på det tidspunkt ikke oplysninger om, at de offentlige dan-ske registre, der var tale om, var politiets registre. Først i januar 2013 valgte Rigspolitiet at starte en egentlig efterforskning op ud fra de oplysninger, som man havde modtaget fra svensk politi.

Det havde muligvis gjort en forskel, hvis den danske efterforskning var ble-vet startet op i juni 2012, idet forholdene da stadig pågik, og da de muligvis ville have haft mulighed for at indhente brugbare oplysninger i relation til anvendelsen af den tyske ser-ver. Oplysningerne fra Person 35 om et angreb mod danske domænenavne, herunder

- 17 -

Hjemmeside 13 og Hjemmeside 31, gav ikke dengang anledning til at påbegynde en efterforskning. De talte med Forurettede A/S, der oplyste, at det slet ikke var muligt at hacke en mainframe.

Politiet har ikke undersøgt Hjemmeside 27 i relation til spørgsmålet om tiltaltes eventuelle tidligere anvendelse af lab-computere. Vidnet kan ikke svare på, om lnk-filer bliver skabt automatisk, når man åbner et program, og han kan ikke svare på, om der er foretaget un-dersøgelser i relation til sådanne filer.

Der lå filer fra Virksomhed 6-sagen og sagen vedrørende Forurettede A/S i samme mappe på TrueCrypt con-taineren. Vidnet kan ikke svare på, om der ligeledes lå filer fra Bank 1-sagen, herunder om disse filer var placeret tættere på Forurettede A/S-filerne end filerne fra Virksomhed 6-sagen.

Firewallregler siger ikke i sig selv noget om adgangen til fjernstyring. Afgørende er, om reglerne er knyttet op på nogle aktive bagvedliggende programmer, der tillader fjernsty-ring. Hvis programmerne således ikke kører på computeren, kan reglerne ikke anvendes til noget.

Vidne 7, Säpo, har som vidne og vedrørende sin forklaring i byretten forklaret, at det var mellem 200.000 og 300.000 chatlinjer, der blev fundet i TrueCrypt containeren. Den svenske efterforsker, der omtales i hans forklaring, hedder Person 35. Vidnet rettede senere under sin forklaring i byretten det oplyste om beregning af Unixtid, idet denne tidsangivelse beregnes på baggrund af det antal sekunder, der er gået siden et be-stemt tidspunkt i 1970.

Vidnet har videre supplerende forklaret blandt andet, at hackerne i Virksomhed 6-sagen i Sverige var gået efter store virksomheder eller organisationer med meget sikre systemer. Der var tale om et succesfuldt angreb mod en mainframe computer, hvilket ikke var set tidligere i Sverige. Hackernes fokus syntes at have været at hente store mængder personfølsom in-formation, herunder navnlig politirelateret information. Det kræver særlige, unikke kund-skaber at hacke en mainframe, der virker i et helt andet miljø end almindelige servere.

Det kom som en overraskelse for svensk politi, at tiltalte i byretten i Sverige pludseligt forklarede, at han også havde haft en HP-computer. Vidnet var i Cambodja umiddelbart efter ransagningen af tiltaltes lejlighed, og der var ikke i det beslaglagte materiale nogen HP-computer. Da tiltalte i byretten i Sverige blev spurgt om, hvorfor han ikke tidligere

- 18 -

havde nævnt denne computer, var hans svar, at ingen havde spurgt ham. Alt det materiale, der var beslaglagt af cambodjansk politi, blev opbevaret i to kasser, som tiltalte fik lejlig-hed til at kigge igennem. Der blev ikke da omtalt nogen HP-computer.

En Soekris-boks kan bruges til mange forskellige ting, herunder som firewall router. Der kan gemmes en begrænset mængde filer på en Soekris, såfremt den er tilsluttet et lag-ringsmedie. De tog ikke Soekris-boksen fra tiltaltes lejlighed i Cambodja med til Sverige, da de anså den som el-affald. Da den ikke var tilsluttet en lagringsenhed, havde den ikke betydning for efterforskningen.

De var nødt til at sortere i det materiale, de kunne medtage til Sverige, da de havde begrænset plads i kufferterne. Belært af erfaringen fra denne sag ville vidnet i dag have foretrukket, at de havde medbragt al materialet til Sverige og ikke kasseret f.eks. Soekris-boksen.

Det var en chatsamtale mellem en person, der anvender kaldenavnet ”Kaldenavn 10” og Person 21 som Kaldenavn 20, som foranledigede henvendelsen til dansk politi, idet det fremgår af chatten, at Kaldenavn 10 siger ”btw vi har var it pa danska motsva righeten oxo” . I chatten nævner Kaldenavn 10 en nøgle til en bagdør, hvilken nøgle de senere har fundet på tiltaltes computer. Perso-nen bag kaldenavnet Kaldenavn 10 har således med sikkerhed anvendt tiltaltes computer.

Man skal anvende et kodeord eller benytte en nøgle/fil for at åbne den TrueCrypt contai-ner, som var F-drevet på tiltaltes computer. Man kan ikke ved en tilfældighed eller en fejl lagre noget på TrueCrypt containeren, idet det kræver en aktiv handling at åbne denne. Der er så vidt, vidnet ved, ikke fundet tegn på EFS-kryptering på tiltaltes computer. I TrueCrypt containeren lå der også et chatprogram, så for at åbne dette program og deltage i chatten skulle TrueCrypt containeren være tilgængelig.

Angrebet mod Virksomhed 6 i Sverige blev foretaget ved udnyttelse af en Softwares sårbarhed. I en af de chatsamtaler, der er fundet i TrueCrypt containeren på tiltaltes computer, optræder en person under kaldenavnet ”Kaldenavn 22” . I samtalen drøftes særlige oplysninger om Softwares sårbarheder og muligheden for at sælge disse oplysninger videre. Efter vidnets opfattelse er det 5-cifrede beløb, der vil kunne tjenes ved salg af sådanne oplysninger.

Tiltalte fortalte under den svenske forundersøgelse om to måder, som var blevet brugt til fjernstyring af hans computer; Remote Desktop og Terminal Service. Undersøgelsen viste imidlertid ingen tegn på fjernstyring via disse programmer, idet computeren var sat op på en sådan måde, at fjernstyring ved hjælp af de to programmer ikke var mulig. Da de under-

- 19 -

søgte computeren, fandt de ingen andre åbne porte end de normale Styresystem 4 porte. De konstaterede endvidere, at der ikke var nogen programmer aktive, der kunne benyttes til at foretage opkald udadtil (beaconing).

Under sagen i Sverige blev vidnet bedt om at tage stilling til en programkode i et Script 5, som Vidne 4 havde anvist under sin forklaring som en mulighed for fjernstyring. Vidnet forklarede under sagen, at han ikke kunne udelukke, at programkoden kunne anvendes til fjernstyring af en computer.

Vidnet ville ønske, at han havde besvaret spørgsmålet anderledes, idet den omstændighed, at noget er teoretisk muligt, ikke er ensbe-tydende med, at det var konkret muligt på tiltaltes computer. Tiltaltes computer var netop ikke blevet fjernstyret via et Script 5. Vidnet husker ikke, om der under retssagen i Sverige blev talt om muligheden for fjernstyring ved hjælp af Program 13, men Program 16 blev nævnt.

Han ved ikke, om de fundne chatsamtaler oprindeligt er lagret i TrueCrypt containeren, eller om de senere er flyttet over i denne. Det kommer an på indstillingerne i chatpro-grammet om og hvor, en sådan samtale lagres. Det er helt op til den enkelte bruger. Da chatprogrammet lå i TrueCrypt containeren, er det imidlertid nærliggende at antage, at de automatisk er lagret i samme container, men vidnet ved ikke, om det er tilfældet.

Det er vidnets opfattelse, at TrueCrypt containeren er ældre end installationen af Styresystem 4 den 16. november 2010, og vidnet vil tro, at den er flyttet over fra en anden computer. Styresystem 4 standardtjenester inkluderer file share servicen, der normalt benytter Port 2 og Port 3. Vidnet kan ikke svare på, om det er normalt, at en computer går i dvale 98 gange på et år. Det vil med de fundne indstillinger nok indebære, at personen har siddet meget ved computeren.

Der var utroligt meget el-affald blandt tiltaltes ting, som blev sikret fra ransagningen i Cambodja. De tog kun det med til Sverige, som de vurderede havde interesse. Det undrede ikke vidnet, at tiltalte var i besiddelse af 3 skærme til 2 computere. Der er ikke noget usædvanligt i, at der anvendes flere skærme til samme computer.

Det er korrekt, at når TrueCrypt containeren er åbnet, så behøver man ikke at anvende et kodeord for at gemme et dokument. Hvis containeren derfor var blevet åbnet af en fjern-bruger, vil den lokale bruger kunne anvende containeren. Alene på baggrund af antallet af

- 20 -

chatsamtaler fundet i containeren er det vidnets vurdering, at TrueCrypt containeren må have været åbnet forholdsvis tit.

Det var ikke den samme Software sårbarhed, der blev anvendt mod Virksomhed 6, som den der senere blev anvendt mod Forurettede A/S. Der blev fundet flere Software sårbarheder på tiltaltes computer. Det var heller ikke den samme sårbarhed, der blev anvendt mod Bank 1. Det er vidnets opfattelse, at gerningsmanden bag angrebene mod Virksomhed 6, Bank 1 og Forurettede A/S er den samme, men at gerningsmanden sofistikerede sin angrebsmetode, der blev ændret og ud-viklet løbende.

Program 23 server har tidligere været installeret på tiltaltes computer, men programmet var ikke længere tilgængeligt efter den nye installation af Styresystem 4. Vidnet kan ikke udelukke, at programmet Remote Desktop også tidligere har været installeret på computeren, men det var ikke længere tilgængeligt, da computeren blev beslaglagt.

De vira, der blev fundet på tiltaltes computere, er ikke alle udviklet af tiltalte selv. Der blev således også fundet vira på computeren, som er udviklet af andre.

Konsulent Vidne 3 har som vidne supplerende forklaret blandt andet, at det er hans formod ning, at politiet ved sin undersøgelse har sat pc’en op i et lukket miljø uden internetadgang, men i det som politiet kalder ”inte r netlignende netværk” .

Aktiviteterne på en pc foregår imidlertid normalt med adgang til internettet, og politiet har derfor ikke regi-streret så megen aktivitet i forbindelse med undersøgelsen, som de ellers ville have gjort, og det, mener han, er en fejl. Mange af de processer, der normalt vil køre, samt vira står stille, når der ikke er internetadgang.

Den anvendte undersøgelsesmetode betyder f. eks., at en aktivi tet som filesharing ikke vil blive vist. Den ”sniffer” , politiet har anvendt, er ikke opsat korrekt mellem computeren og routeren, og også af den grund har politiet ikke fået den viden, de burde. Desuden mangler der dokumentation af en del af de undersøgelser, politiet angiveligt har foretaget.

F. eks. er det ikke nærmere beskrevet, hvorfor Port 1 kun var åben i forbindelse med en af undersøgelserne. Det er uprofessionelt, ligesom det er uprofessionelt, at der ikke er foretaget særskilte undersøgelser vedrørende hver enkelt kendt bruger.

Politiet har kun efterforsket ”lodret” og har ikke foretaget en tværgående analyse af de r e-sultater, der er fundet. Dermed er trådene ikke blevet samlet på tilfredsstillende vis, og politiets konklusioner er blevet for kategoriske. Politiet burde have koordineret alle oplys-

- 21 -

ninger, og i en opsummeringsrapport angivet en sandsynlighedsgrad for, hvorvidt tiltaltes computer har været fjernstyret. Efter vidnets opfattelse er der meget, der indikerer, at tiltal-tes computer har været fjernstyret.

Det havde været væsentligt at undersøge brugen af IPv6 nærmere, idet anvendelsen heraf sætter alle sikkerhedssystemer ud af spil. De regler for firewallen, som gjaldt på tiltaltes computer på undersøgelsestidspunktet, betød, at tiltaltes computer stod åben ”som en lad e-port” .

IPv6 er en overbygning til den hidtidige internetprotokol, som var nødvendig, fordi der ikke længere var et tilstrækkeligt antal IP-adresser til rådighed i IPv4. Det er vidnets opfattelse, at de firewallregler, der var gældende for tiltaltes computer, i høj grad gjorde fjernstyring mulig. Ved brug af IPv6 kunne der således skabes en ”tunnel” , der kunne give adgang til tiltaltes computer på administratorniveau.

Det er hans opfattelse, at politiet kun har undersøgt tiltaltes computer, mens det ikke er undersøgt, hvordan tiltaltes computer opførte sig, når den var forbundet til internettet, eller hvordan routeren var sat op. En or-dentlig undersøgelse havde forudsat, at tiltaltes computer var tilsluttet internettet. Vidnet har noteret sig, at der på tiltaltes computer er fundet chats, der er foregået via IPv6.

Vidnet har konkret testet anvendelsen af IPv6 både ved brug af en Tunnel og ved brug af en tunnelbroker. Vidnet åbnede firewallen for IPv6, og det chokerede ham, hvor nemt han kunne komme igennem og få kontrol over en anden computer.

Med administratorrettighe-der havde han herredømmet over den anden computer og ville uden problemer have kunnet hacke en 3. computer, og det på en måde, så det ikke efterfølgende ville kunne ses. Vidnet har i bilag 2 til sin rapport angivet de kommandoer, der skal anvendes for at etablere en ”tunnel” indefra og ud ved IPv6.

Værktøj fandtes på tiltaltes computer. Ved brug af Værktøj kan man ændre selve den måde, en computer virker på. Ved brug af Værktøj kan man bevæge sig dybt ned i computeren og operere på chipniveau. Man kan få programmer og kommandoer til at opfø-re sig helt anderledes. Tiltaltes computer var efter vidnets opfattelse ”så ustabil, at den nærmest rystede” .

Tiltaltes computer var ikke en personlig computer, men en lab-computer. Det er sædvanligt at anvende lab-computere i udviklingsmiljøer. Vidnet har før set, at flere forskellige perso-ner bruger samme nickname. Det ses, at en person udefra bruger en anden persons nickna-me, ligesom det ses, at grupper bruger samme nickname. Fundet af IP-adresser fra flere forskellige lande indikerer, at nogen har forsøgt at skjule sig og efterfølgende sløre spore-

- 22 -

ne. En hacker vil normalt aldrig agere ud fra sin egen IP-adresse, men forsøge at sløre sine spor ved at gå igennem en IP-adresse, der ikke peger tilbage mod ham.

Den omstændighed, at Program 33 ligger på både C- og F-drevet, indikerer, at der er flere personer, der har brugt computeren, og at de pågældende i den forbindelse ikke har været opmærksomme på, at programmet allerede var installeret. Det, der er anført ne-derst i bilag 1 til hans rapport, viser, hvilke porte på tiltaltes computer, der var åbne for adgang henholdsvis udefra og ind og indefra og ud.

Som tidligere forklaret var tiltaltes computer ”åben som en ladeport” både indefra og ud og udefra og ind, hvis man havde kendskab til IPv6 adressen, og der var etableret en ”tunnel” . Routerens konfiguration er i den forbindelse uden betydning.

Han har ingen forklaring på, at Funktion ikke er dukket op i forbindelse med politiets scanninger. Formentlig skyldes det den måde, politiet har udført sine scanninger på. Funktion giver mulighed for at dele filer på f. eks. en arbejdsplads eller i en familie. Det burde være dukket op under en scanning.

Vidnet kan ikke udtale sig generelt om, hvilket programmel man ville anvende, hvis man skulle opsætte en lab-computer til fjernstyring, men han kan vedstå den forklaring herom, han har givet i byretten, idet det dog må understreges, at denne sag er anderledes end de fleste, og at der er forskel på, om der er tale om en ”venskabelig” eller en ”fjendtlig” fjer n-styring.

En Program 15-undersøgelse er en snifferundersøgelse. Det er ikke en fejl i vidnets rapport, at han har skrevet, at der var væsentlige mangler i politiets efterforskning og ana-lyse, selv om han måske godt kunne have udtalt sig mindre kategorisk. Vedrørende analy-seprogrammet Program 21 burde det have stået i politiets rapporter, at man havde kørt analyse-programmet Program 21.

Når vidnet skal forholde sig til det, er det vigtigt, at han kan se, hvilke undersøgelser der har været udført. Virus og malware er først farligt, når det ligger i com-puterens hukommelse. Hvis det ligger som en fil, er det ufarligt. Vidnet kan ikke svare på, om der er lavet konstruktive ændringer af den klonede kopi af tiltaltes computer.

Vidnets kritik af politiets undersøgelser går på, at tiltaltes computer i forbindelse med undersøgel-serne ikke har været opsat præcis som i Cambodja, og at den ikke har været tilsluttet inter-nettet. Det ville ikke have været uforsvarligt at koble computeren til internettet, hvis blot man havde overvåget computeren nøje.

Vidnet blev først gjort opmærksom på spørgsmålet om IPv6, efter at han havde udarbejdet sin første rapport. Han har ingen særskilt uddannelse i brugen af IPv6, men har tilegnet sig

- 23 -

viden om IPv6 gennem sit arbejde. IPv6 er udbredt i middel grad. Vidnet vil tro, at mere end 1 % anvender IPv6. IRC kan tilgås via både IPv6 og IPv4. Det ville ændre adgangen til en computer via en ”tunnel” , hvis IPv4 -adressen ændres. Derfor ville man ved etableringen af tunnelen foretrække en statisk frem for en dynamisk IP-adresse.

Den firewall, han omta-ler i sine rapporter, er computeres firewall og ikke routerens. Brugen af IPv6 ville tilside-sætte alle firewallregler. Han har noteret sig, at der er anvendt IPv6-adresser på tiltaltes computer. Han er enig i, at firewallregler først får betydning i det øjeblik, det omtalte pro-gram anvendes på computeren.

Hvis f.eks. Script 5 eller Program 13 ligger i firewallen, indikerer det, at programmerne har væ-ret installeret på computeren. Det er normalt at anvende Program 13 ved fjernsty-ring af en computer. Det er uden betydning for anvendelsen af IPv6, at computeren ofte går i dvale. Tunnellen genetableres ved opstart, hvis blot IPv4-adressen er den samme.

Når først tunnellen en gang er etableret indefra og ud, kan der etableres forbindelse udefra og fjernstyring kan finde sted. Det ville have været nemt at hacke tiltaltes computer, og andre hackere kunne synes, det var spændende, da tiltalte selv er kendt i hackermiljøet. I sniffer-loggen kunne man se flere forsøg på at etablere en Tunnel.

Hvis det var lykkedes at genskabe tunnellen, ville man have haft meget nem adgang til tiltaltes computer. Det er Tunnel, der skaber forbindelsen mellem IPv4 og IPv6. Det er hans opfattelse, at tiltaltes computer var sat op til at blive fjernstyret ved brug af IPv6.

Han har ingen personlig interesse i sagens udfald, kun en faglig interesse. Det er kun al-mindelige, kendte forhold, som politiets efterforskere har kigget på. Undersøgelsen er kun foretaget ”lodret” og har ikke været tværgående, hvilket f orekommer vidnet at være over-fladisk.

Politiets nye materiale gør ikke vidnet klogere på, hvad der nærmere ligger i det begreb ”internet lignende tilstand” , som politiet anvender. Det er desuden fortsat ikke b e-skrevet, hvordan firewall, routers m.v. har været opsat. Der er mange ting, der kan have ”forurenet” politiets undersøgelse, men som ikke nærmere er beskrevet, hvordan man har forholdt sig til.

Det er også en mangel, at det ikke er nærmere beskrevet, i hvilken tilstand computerne var, da de blev taget ned i Cambodja.

Vidnet har via ”internet research” fundet ud af, at tiltalte har anvendt IPv6 siden 2001. De uddrag af ”inbound Firewall Ruleset” , vidnet citerer i sin rapport, illustrerer den frie a d-gang, der har været til tiltaltes computer. Den omstændighed, at politiet har foretaget sine undersøgelser uden at koble computeren til internettet, betyder, at man ikke har fået et ret-visende billede af forholdene, herunder betydningen af brugen af IPv6. Som tidligere

- 24 -

nævnt burde politiet også have forholdt sig til, hvordan tiltaltes netværk i Cambodja var sat op, ligesom politiet burde have taget routeren med fra Cambodja, således at den også kun-ne være blevet undersøgt. Screendumpet nederst på side 4 i vidnets rapport viser en scan-ning af en router opsat med IPv6.

Øverst på side 5 vises en scanning af en computer opsat med IPv4, mens der nederst på side 5 ses en scanning af en computer opsat med IPv6. Som det kan ses, står SSH porten, port 22, lukket, når computeren er opsat med IPv4, og åben når computeren er opsat med IPv6. At SSH porten har stået åben indebærer, at en udefra-kommende kan få tilgang til computeren på administratorniveau og dermed komme dybt ind i computeren.

Han har udarbejdet sin rapport med bistand fra sin assistent Person 38. Det er første gang, vidnet afgiver en teknisk rapport vedrørende fjernstyring af computere til brug for en retssag. Vidnet er bekendt med, at tiltaltes Computer 1 anvendte et Styresystem 4. Efter vidnets opfattelse gør det imidlertid ingen forskel, om der er brugt et Styresystem 1 eller et Styresystem 4 ved undersøgelsen.

Vidnet ved ikke, om routeren i Cambodja understøttede brugen af IPv6. Vidnet har med sin rapport forsøgt at illustrere forskellen på IPv6 og IPv4 og deres betydning for muligheden for fjernstyring. En portscanning viser forskellige resultater afhængig af, om den er foretaget i et IPv4 eller et IPv6 miljø. En port, der er lukket i IPv4, kan godt være åben i IPv6.

Politiet har ikke un-dersøgt de kørende processer, herunder om nogle af disse var påvirket af virus. Det er kor-rekt, at den bruger, der ville opnå adgang via SSH porten, alene ville have samme bruger-rettigheder, som den bruger der var logget ind i forvejen.

Vidnet kan ikke svare på, hvor-dan man normalt sætter en computer op til fjernstyring, men det er givet, at de metoder og teknikker, der anvendes i hackermiljøet, er anderledes, end de metoder og teknikker, han selv ville anvende. De undersøgelser, vidnet har foretaget, er udført i et Styresystem 4.

Komando 1 er en Styresystem 4komando, mens Komando 2 er en Styresystem 1kommando. Vidnet fastholder, at hans undersøgelser er foretaget i Styresystem 4. Det er han helt sikker på.

Efter at anklageren demonstrerede udseendet af en computer, der anvender Styresystem 1 som ope-rativsystem, har vidnet korrigeret sin udtalelse fra tidligere om, at undersøgelsen blev fore-taget i et Styresystem 4. Undersøgelsen er foretaget i Styresystem 1. Når han har taget fejl på dette punkt, skyldes det, at undersøgelsen er foretaget under stort tidspres. Det er i øvrigt uden betydning for konklusionen, om man anvender Styresystem 1 eller Styresystem 4 som ope-rativsystem. Der er ikke andre ting i hans rapport, som skal korrigeres.

- 25 -

Vidne 4 har som vidne supplerende forklaret blandt andet, at han har modtaget flere priser for sit arbejde og aktuelt afventer svar på en ansøgning om at blive optaget på et Ph.D-program på universitetet i Eindhoven. Vidnet er en personerne bag Styresystem 3-projektet, et projekt der har til formål at styrke sikkerhed og privatliv på internettet.

Projektet er støt-tet blandt andet af det amerikanske udenrigsministerium. Baggrunden for de dokumentere-de tweets er, at han mener, der er begået en række alvorlige fejl af det svenske politi. Den svenske og den danske sag er tæt forbundne, og han vil gerne bidrage til sagerne med sin viden på området. Han har læst bilag Q-38 og det script, der er indeholdt i bilaget, på for-svarerens kontor.

Forud for sin vidneforklaring i Sverige, testede vidnet ikke Script 5. I Sverige afgav han en generel forklaring om anvendelse af scriptet. Det er imid-lertid ikke ham, der har lavet det. Når man læser scriptet, kan man se, at det er noget, der er lavet hurtigt. Hvis man har Script 5 på sin computer, kan man ved indlejring af et andet program i Script 5 etablere fjernstyring af computeren.

Det er hans opfattelse, at IPv6 og IPv4 normalt vil være aktive samtidig. IPv6 tillader som udgangspunkt, at computere i nærheden af hinanden identificerer sig over for hinanden. Firewallen var konfigureret såle-des, at Program 34 var aktiveret, hvorefter computeren udsendte signal om sin tilstedeværelse.

Det kan sammenlignes med at have et hus stående med alle døre og vinduer åbne, eller endda med at man ved sit hus har opsat et skilt, hvorpå der står ”kom bare ind” . Man vi l ikke normalt anvende IPv6 på en privat computer. I IPv6 udvider man muligheden for fjernkontrol og for at få adgang globalt. Med IPv4 skal man konfigu-rere en firewall.

Man ville kun konfigurere en firewall på den måde, som tilfældet var med tiltaltes computer, hvis man er meget sjusket, eller hvis man ønsker, at den skal fjernstyres. Det er sædvanligt i hackerkredse, at det samme nickname bliver brugt af flere personer. Man anvender ikke sit rigtige navn, da man ønsker at beskytte sit privatliv.

Det er vidnets opfattelse, at Program 11-sagen mod tiltalte i Sverige var påvirket af uved-kommende hensyn. Blandt andet har han forstået, at der var forbindelse mellem nogle af efterforskerne og dommerne i Sverige og musikindustrien. Desuden mener han, at udleve-ringen fra Cambodja ikke er sket i henhold til de sædvanlige procedurer, ligesom anklage-ren og forsvareren ikke har haft lige adgang til sagens beviser.

Han synes, sagen er vigtig, og derfor har han valgt at stille sin ekspertviden og sin tid til rådighed. Han kender Person 33 og har arbejdet sammen med ham. Tiltalte i denne sag kender han kun af navn. Idet Script 5 var tilladt af firewallen på tiltaltes computer, må man gå ud fra, at det også har været installeret og afviklet på et tidspunkt.

- 26 -

Konsulent Vidne 6, Rigspolitiet, har som vidne supplerende forklaret blandt andet, at han i forbindelse med den supplerende erklæring af 6. marts 2014 ikke havde fo-kus på Bank 1-forholdet fra Sverige.

Tiltalte var i Sverige blevet dømt i Virksomhed 6-forholdet, og det var derfor interessant for vidnet at undersøge, om de stjålne filer fra Virksomhed 6 og Forurettede A/S lå i samme mappe på computeren, hvilket viste sig at være tilfældet. Vidnet er ikke be-kendt med, at Bank 1-filerne lå i en undermappe til Mappe, hvor filer fra Forurettede A/S og Virksomhed 6 blev fundet.

Sti 2 er en helt anden sti end den, hvor Forurettede A/S-filerne lå. Filerne Filnavn 15 og Filnavn 16 har vidnet ikke undersøgt nærmere. Vidnet har blot konstateret, at der dybt nede i filstrukturen i den krypterede container blandt adskillige tusinde forskellige mapper blev fundet filer fra Forurettede A/S og Virksomhed 6 i samme mappe.

Vidnet har i andre mapper fundet filer, der kom fra en mainframe, men vidnet har ikke kunnet identi-ficere disse nærmere. Der var mange filer og mapper på et meget lille område i compute-ren. Vidnet har hørt, at en anden person også er dømt for Virksomhed 6-forholdet i Sverige. Det var imidlertid ikke vidnets opgave at foretage efterforskning, der rettede sig mod medger-ningsmanden i Virksomhed 6-sagen.

Person 39 var efterforskningsleder på sagen og stod for at samle trådene.

Vidnet har foretaget undersøgelse af både den stationære og den bærbare computer tilhø-rende tiltalte. Undersøgelsen viste, at programmet Script 5 ikke var installeret på computer-ne, og at det derfor ikke har været muligt at fjernstyre computerne via dette program.

Den 16. november 2010 blev den bærbare computer navngivet ”Computer 1” . Navngivning af en computer slår først igennem, når den genstartes. Samme dag, som Computer 1 blev navn-givet, blev chatprogrammet Program 12 og Styresystem 4 installeret, ligesom den krypterede container blev oprettet. Det hele har fundet sted inden for nogle timer.

Script 5 kan godt have været installeret på computeren tidligere, men det var ikke installe-ret, da vidnet undersøgte computeren. Script 5 optrådte i firewall-reglerne, hvilket kan tyde på, at programmet har været installeret og kørt på et tidspunkt. Vidnet har undersøgt com-puteren ved hjælp af søgekommandoer, og der var ingen referencer til programmet Script 5.

Vidnet er ikke bekendt med, at der er fundet ca. 5.000 hits med referencer til Script 5, da svensk politi undersøgte computeren. Vidnet kan ikke afvise, at programmer kan være slet-tet som følge af en fejl på harddisken. Han har imidlertid også undersøgt prefetch-mappen uden at finde referencer til Script 5.

Vidnet er ikke bekendt med, om der kun er plads til en vis mængde slettet data i prefetch-mappen, men det lyder sandsynligt. Vidnet er ikke be-kendt med, om Program 22 er afhængig af programmet Script 5. Han ved ikke, om

- 27 -

der den 16. november 2010 i forbindelse med opsætningen også blev kopieret en stor mængde data over på computerens harddisk. Den krypterede container ser ud til at have været åbnet regelmæssigt.

Tekstfilen ”Filnavn 1” blev først lagre t på computeren i april 2012, selv om den vedrører en chat, der fandt sted i februar 2012. Vidnet kan ikke sige noget om, hvorvidt filen er kopie-ret over fra en anden computer, men det kan godt være tilfældet. Der er ikke fundet tegn på EFS kryptering på de undersøgte computere.

Vidnet er bekendt med, at der er blevet foretaget undersøgelse af, om den krypterede con-tainer kunne åbnes uden brug af en grafisk brugerflade, men han er ikke bekendt med re-sultatet af denne undersøgelse, der vist nok blev udført af Vidne 5.

Der var ikke spor efter Program 13 i prefetch-mappen, men Program 16 fandtes i mappen. Vidnet er ikke sikker på tidsangivelsen i prefetch-mappen, da computerens ur ikke var synkroniseret.

Når først den krypterede container var åbnet, kunne den ses som F-drevet på computeren. Det lignede da et almindeligt drev, og man ville kunne anvende dette på samme måde som andre drev til blandt andet at lagre filer. Hvis den krypterede container blev åbnet ved fjernstyring, ville den efterfølgende kunne anvendes også af den lokale bruger.

Filen Filnavn 1 har ikke været genstand for efterforskning i Danmark.

Konsulent Vidne 1 har som vidne supplerende forklaret blandt andet, at han ejer Virksomhed 16. Firmaet beskæftiger sig med datasikkerhed, herunder indkøb af sikker-hedsløsninger og udarbejdelse af udredninger svarende til den, der er lavet i denne sag. Forud for denne sag har vidnet ikke beskæftiget sig med mainframes.

Mainframe er en meget specifik computervariant, der blandt andet typisk er kendetegnet ved anvendelsen af styresystemet Program 1. Vidnet ved ikke, hvor mange mainframes der findes i verden, men i forhold til almindelige computere, må mainframes betegnes som sjældne. Vidnets opdrag fra politiet i denne sag var at verificere de resultater, som Forurettede A/S var kommet frem til.

Det var en helt uafhængig undersøgelse, han lavede. Af de logfiler, han gennemgik, kunne det ses, at angrebene på Forurettede A/S og Virksomhed 6 var parallelle, og at der i visse tilfælde blev udført angreb på de samme tidspunkter mod Forurettede A/S og Virksomhed 6. De værktøjer, der blev anvendt i forbindelse med angrebene, var ikke helt identiske, men der var mange ligheder mellem

- 28 -

dem. Angrebet mod Virksomhed 6 skete blandt andet via en programkode (et script), der af ger-ningsmanden var navngiv et ”Script 13” , mens den angrebskode, der blev anvendt imod Forurettede A/S var navngivet ”Script 14” .

Det er vidnets vurdering, at den angrebsmetode, der blev a nvendt mod Forurettede A/S, er en videreudvikling af den angrebsmetode, der blev anvendt mod Virksomhed 6, og at i hvert fald en af gerningsmændene fra angrebet mod Virksomhed 6 også deltog i angrebet mod Forurettede A/S. Den person, der har udført angrebene, er på det højeste faglige niveau.

Det er hans vurdering, at der på verdensplan kun er meget få personer, der er i stand til at planlægge og udføre an grebene, der forudsætter, at man er i stand til dels at kunne finde ”hu l lerne” i det system, man ønsker at trænge ind, dels at kunne udnytte disse ”huller” . Pers onen, som har skrevet de scripts, der er anvendt i sagen, er som nævnt på et usædvanligt højt fagligt ni-veau.

Personen, som har skrevet de to angrebskoder, har formået at finde et mønster, der betyder, at brugerens rettigheder til systemet løbende eskaleres. Det er samme fremgangs-måde i begge scripts. Vidnet vil anslå, at der muligvis kun er mellem 5 og 50 personer i verden, der har kapaciteten og ekspertisen til at lave den slags.

Der blev oprettet flere bagdøre end Script 6. Det er svært at sige præcist hvor mange, idet der godt kan være oprettet bagdøre, som ikke er identificeret i forbindelse med efter-forskningen. Efter den 10. april 2012 kunne gerningsmanden stort set gøre, hvad han ville med mainframen. Som regel vil en gerningsmand sørge for at have flere bagdøre for det tilfælde, at den første skulle blive lukket.

Det er langt fra altid ønsket om adgang til data, der får en person til at udføre et hackerangreb, men snarere den tekniske udfordring eller ønsket om at påvise et hul i sikkerheden. Der var ikke spor af downloads af filer fra den tyske, cambodjanske og iranske IP-adresse efter den 27. august 2012. De filer, som var hentet ud og lagt på den tyske, cambodjanske og iranske IP-adresse, ville kunne hentes af andre.

I tilfældet med Virksomhed 6 var det opfattelsen, at IP-adressen i Tyskland blev brugt til opmagasinering (stash) af filer, som flere herefter havde adgang til. Det samme tyske firma blev brugt som mellemled ved downloads af filer fra Forurettede A/S og Virksomhed 6.

Det er ikke altid, at hackere uploader egne programmer. Hackere kan også gøre brug af redskaber, som allerede er tilgængelige. Vidnet har ikke haft adgang til den krypterede container, men har af politiet fået udleveret de filer, der er undersøgt. Han ved ikke, om de kommer fra den krypterede container. Vidnet var ikke involveret i efterforskningen vedrø-rende Bank 1.

Vidnet har set en del materiale også fra Bank 1-sagen, idet der var et over-lap mellem sagerne. Vidnet husker ikke specifikke filnavne, herunder ikke navnet på den log, som påviste, at der fandt angreb sted mod Virksomhed 6 og Forurettede A/S samtidigt fra samme compu-ter. Vidnet modtog mange tusinde filer. Vidnet ved, hvem Person 21 er. Vidnet

- 29 -

har ikke udtalt sig om, hvorvidt Person 21 kunne være interessant i denne sag. Det er en politimæssig opgave. Vidnet har blot udtalt, at Person 21 er på et helt andet vi-densniveau end Tiltalte 1, og at Person 21 efter vidnets vurdering ikke har været i stand til på egen hånd at hacke Forurettede A/S.

Vidnet har desuden udtalt, at der i denne sag har væ-ret en eller flere angribere, og at der er en sammenhæng med sagen mod Virksomhed 6. Vidnet er bekendt med, at Person 21 efter denne sags opståen er blevet mistænkt for at have hacket en mainframe.

Det siger imidlertid intet om Person 21's evner i forhold til hacking, idet Person 21 jo på det tidspunkt havde adgang til en række af de filer og scripts, der er en del af denne sag, ligesom han var i besiddelse af brugernavne og kodeord. Det kræver herefter ikke særlige evner at skaffe sig adgang til mainframen.

Vidnet overvejede i sin tid ikke nærmere, om der var en eller flere gerningsmænd, men det er hans fornemmelse, at der alene er tale om en gerningsmand, som blot har anvendt flere stadigt mere avancerede værktøjer efterhånden, som den pågældende udviklede disse. Når først et værktøj er udvik-let, er det nemt for andre at benytte det.

Man har ikke kunnet konstatere samtidige angreb mod mainframen fra flere forskellige IP-adresser, hvilket tyder på, at der kun var en ger-ningsmand. Vidnet ved, at der har været en diskussion om fjernstyring af tiltaltes compu-ter. Han har udtalt sig til svensk presse om den tekniske bevisførelse.

Det er ikke ham, der har skrevet artiklens overskrift, men han vedstår at have udtalt blandt andet, at han anså det som et problem, at Tiltalte 1 blev frifundet i sagen vedrørende Bank 1, når de tekniske beviser viste, at det var hans computer, der var blevet anvendt. Vidnet er ikke blevet bedt om at undersøge IP adresse 8. Vidnets firma arbejdede som et team sammen med Forurettede A/S og Virksomhed 6.

Det var svensk politi, der undersøgte, hvem IP-adresserne tilhørte, idet det alene er politiet, der har kompetence til at undersøge den slags.

Hvis man har oplysning om konti og password til en computer, er den nem at hacke.

Teknisk chef Vidne 10, Forurettede A/S, har som vidne supplerende forklaret blandt andet, at han stadig er ansat i Forurettede A/S som teknisk chef. Efter mødet den 27. februar 2013 blev der startet en undersøgelse, og det blev konstateret, at Forurettede A/S' mainframe var blevet kompromi t-teret.

Da de indberettede dette til IBM, fik de at vide, at der var tale om en kendt system-fejl, og at der den 19. december 2012 var udsendt en patch for at afhjælpe problemerne. De kørte denne patch, så snart det var muligt, hvorefter den første bagdør blev lukket. De sid-ste to bagdøre blev lukket senest 6. marts 2013. Da de ønskede en uafhængig ekspert ind-draget, kontaktede de Virksomhed 16.

Logfilerne blev sikret af Forurettede A/S og udleveret til politiet og Virksomhed 16. Nogle af logfilerne var imidlertid gået tabt, dels fordi der ikke har været plads til dem i deres systemer, dels fordi nogle logfiler slettes efter 6 måneder. Efter den 27. august

- 30 -

2012 kan det ikke konstateres, at der er stjålet filer. Det ville teoretisk have været muligt at sjæle filer efter denne dato, hvis man havde haft kendskab til bagdøren, men man ville ha-ve efterladt sig spor, såfremt der blev downloadet filer.

Vidnet har personligt brugt flere hundrede timer på sagen, og Forurettede A/S' kunder har tabt penge i forbindelse med, at systemerne periodevis har været lukket ned for at installere de nød-vendige patches. Det har været individuelt, hvor stort et tab den enkelte kunde har haft. Forurettede A/S har brugt over en million kr. til ekstern bistand i forbindelse med sagen, men vidnet kender ikke det eksakte beløb.

Vidnet har kigget efter usædvanlig aktivitet på logfilerne efter 27. august 2012, men ikke fundet noget. Forurettede A/S bemærkede ikke noget usædvanligt, før politiet rettede henvendelse til dem. Vidnet fik af politiet udleveret en chat, som de ved deres efterforskning af mistænke-lig aktivitet tog udgangspunkt i. Vidnet har ikke kendskab til alle Forurettede A/S' kunder og er ikke bekendt med, om der efter denne sags opståen har været hackerangreb mod andre dele af Forurettede A/S' mainframe. Vidnet kan ikke afvise, at der er slettet relevante logs på mainframen.

Konsulent Vidne 14, Københavns Politi, har som vidne supplerende forklaret blandt andet, at der blev kopieret noget ind i chatten, som kom fra Forurettede A/S' server, og som ind e-holdt en tidsangivelse derfra, hvorfor det kan udledes, at chatten mellem Profilnavn 1 og Profilnavn 2 fandt sted den 13. og 14. februar 2012.

Skifte fra et brugernavn til et andet forudsætter en aktiv brugerhandling, hvorfor ændring af et brugernavn i en cha t fra ”Kaldenavn 22” til ”Kaldenavn 9” må være blevet foretaget manuelt af den pågældende bruger. Vidnet ved ikke, om chatklienten blev delt mellem flere brugerkonti, eller hvordan denne i øvrigt var sat op. Vidnet kan ikke vide, om det er den samme person, der chatter under navnet ”Kaldenavn 22” , som senere skifter navn til ”Kaldenavn 9” , men bruge rnavnet er ændret manuelt.

I alle de chatkonversationer, som vidnet har gennemgået, fandtes der 63 henvisninger til oploadede filer på subdomænet Hjemmeside (underdomæne til hjemmeside 3). Vidnet tog i sin undersøgelse udgangspunkt i chatfilen Filnavn 1, der er chatkonversationen mellem Profilnavn 1 og Profilnavn 2, og fokuserede herefter på, om der var en sammenhæng mellem denne og de øvrige chatkonversationer, der kunne vise et mønster og hjælpe til at identificere personerne bag chatkonversationerne. Han interesserede sig i den forbindelse for blandt andet Filnavn 2.

- 31 -

Vidnet fik ved en googlesøgning på Filnavn 2 vist nok 2 hits, der henviste til filen i forskellige udgaver. Vidnet er ikke klar over, om filen har været omtalt i et program på DR 2. I chatten mellem Profilnavn 2 (Tiltalte 2) og Profilnavn 1 og i en chat mellem Kaldenavn 9 og Person 21 fandt vidnet det samme citat på 187 anslag vedrørende ”a good programmer” . Fundet heraf gav ikke vidnet anledning til at skærpe interessen omkring Person 21 som en mulig ophavsmand til teksten forfattet af Profilnavn 1 i chatten med Profilnavn 2.

Vidnet har efter sagen i byretten undersøgt chatlogfilerne for, hvor mange gange der henvi-ses til Softwares sårbarheder, og han har konstateret, at det ofte er blevet omtalt. ”Irssi e r-ror” er en programmeringsfejl, som giver en sårbarhed i systemet.

Det fremgår af den ge n-givne chatsamtale, at deltagerne i chatten taler om prissætning ved salg af oplysninger om sårbarheder, og at Kaldenavn 9 oplyser, at han har fået tilbudt 100.000 USD for en Software-sårbarhed. Vidnet fandt i chatlogfilen navnet ”Navn 12” , som vidnet forbinder med Kaldenavn 8. En ”bug” er et slangudtryk for en fejl eller en sårbarhed. Det kan også bruges om malware.

Det fremgår af chatsamtalen endvidere, at Kaldenavn 9 befinder sig omkring 1 times flyvetur fra Singapore.

K aldenavnet ”Kaldenavn 2” gik igen flere gange i chatkonversationerne, og det lykkedes polit i-et at identificere vedkommende. Vidnet fandt det interessant, at Kaldenavn 2 postede et link til en artikel vedrørende dommen i Program 11-sagen visende et foto af tiltalte, og samtidig i chatten skrev ”the amazing Kaldenavn 22” , idet indlægget satte tiltalte i forbindelse med kald e-nav net ”Kaldenavn 22” .

Vidnet var bekendt med IPv6, men han forbandt ikke dengang de angivne IP-adresser med version 6. Vidnet har brugt lang tid på at efterforske de mange chats i sagen. Vidnet har været igennem mange tusinde linjer tekst. Nogle har han gennemgået minutiøst og i andre har han søgt efter ord eller orddele.

Vidnet arbejdede ud fra chatfilen mellem Profilnavn 2 og Profilnavn 1 og tjekkede, om der kunne være sammenfald med de andre chats. Formålet var at identificere personer bag kaldenavnene. Størstedelen af chatfilerne blev fundet i den krypterede container, hvor de var placeret samlet et sted. Det kunne tyde på, at disse var gemt automatisk af chatklienten det pågældende sted.

Vid-net kender dog ikke til opsætningen af chatklienten og ved ikke, om de er gemt automatisk, eller om de efterfølgende er kopieret over i mappen. Vidnet blev først under byrettens be-handling af sagen opmærksom på, at kaldenavnene i chatten mellem

- 32 -

Profilnavn 2 og Profilnavn 1 ikke var de kaldenavne, som deltagerne i chatten havde anvendt over for hinanden. Det var først under byretssagen, at vidnet blev opmærksom på, at kaldenavnene efterfølgende var ændret, hvilket kan ske ved hjælp af Program 8.

Vidnet hæftede sig ikke ved, at Profilnavn 2 et par gange skrev ”Brugernavn 1:” , men vidnet er opmær ksom på, at det er en normal skrivemåde, hvis man vil rette henvendelse til en bestemt person under en chat. Det kunne således tyde på, at der var flere deltagere i chatten, men vidnet ved det ikke.

Han har bemærket, at der i chatten kl. 12.09.55 stod ”or rather lost that laptop” , og senere ”I have basically full backup of it” . Vidnet er ikke klar over, om man i Cambodja fandt en backup af den omtalte laptop, men det er muligt, at en sådan backup findes i noget af det krypterede materiale, som politiet ikke har kunnet åbne eller fået udleveret.

Det er korrekt, at der flere steder i chatten af Profilnavn 1 tales som om, at vedkommende derhjemme er i besiddelse af en fungerende Program 2-emulator. Det synes således at frem-gå af citatet kl. 6.51.59, hvor Profilnavn 1 skriver: ”lol same httpd i run @ home” , og kl. 11.59.34 skriver: ”in fact i use that to spawn an xtern @ my home Program 1 system” .

Det tyder på, at vedkommende i februar 2012 havde et Program 2-system hjemme, som fungerede. Vidnet er bekendt med, at der var en Program 2-emulator installeret på tiltaltes computer, men ikke om denne virkede, herunder om den virkede i februar 2012.

Det er muligt, at der på anholdelsestidspunktet har manglet nogle filer for at få emulatoren til at virke, ligesom det er muligt, at disse filer har befundet sig i det krypterede materiale. Der kan være mange forklaringer på, hvorfor Program 2-emulatoren ikke virkede.

Vidnet fik i Sverige at vide, at der var forsøgt slettet oplysninger i SPAR. Han husker fort-sat ikke, hvem som nævnte det. Vidnet overvejede ikke at undersøge, om der var nogle personer, som ikke længere fremgik i SPAR. Det er svært at efterforske noget sådant. Vid-net fik at vide, at tiltalte var forsøgt slettet i SPAR, men at det ikke var lykkedes. Vidnet har ikke beskæftiget sig med, om SPAR var hostet på Virksomhed 6.

Domænet Hjemmeside 5 er registreret til et firma, som ejes af tiltalte. Vidnet ved ikke, om tiltalte har nogen forbindelse til Finland. Vidnet har ikke undersøgt, om ”Hjemmeside 32” har nogen tilk nytning til tiltalte, men der er tale om en navneser-ver. Navnet Udenlandsk virksomhed kunne godt tyde på, at det er tale om et hostingfirma, som formentlig hoster flere domæner. Vidnet har ikke under efter-forskningen overvejet at undersøge, om der skulle være flere domæner tilknyttet Hjemmeside 5. Vidnet ved ikke, hvad ”jailbait” betyder. Han ved ikke, hvor serveren til

- 33 -

Hjemmeside (underdomæne til hjemmeside 3) er placeret. Det er muligt, at serveren er hosted hos Amazon belig-gende i Japan. Vidnet ved ikke, om tiltalte har nogen forbindelse til Japan. Vidnet har ikke undersøgt, om tiltalte har haft forbindelse til en dansk person ved navn Person 28.

Efterforsker Vidne 9, Länskriminalpolisen, Stockholm, har som vidne supplerende forklaret blandt andet, at da han kom til Cambodja, var tiltaltes lejlighed blevet ransaget og udstyret beslaglagt. Vidnet så fotos fra tiltaltes lejlighed, som cambodjansk politi havde optaget under ransagningen. Vidnet hørte først om tilstedeværelsen af en Soekris-boks for et par uger siden.

De ledte efter lagringsmedier, bærbare og stationære computere, mens andet elektronisk udstyr ikke var så interessant. En Soekris-boks har en meget begrænset intern hukommelse, men man kan indføje et hukommelseskort i den. Boksen kunne godt have haft interesse i forbindelse med efterforskningen.

Log 2 viste, at der skete indtrængning i Virksomhed 6's systemer fra en computer, som samtidig forsøgte at tilgå Forurettede A/S' mainframe. Vidnet husker ikke, om der skete tyveri af filer fra Virksomhed 6 ved den lejlighed. Gerningsmanden forsøgte at anvende samme program-kode samtidigt mod både Virksomhed 6 og Forurettede A/S.

Vidnet har undersøgt Computer 1. Ved de undersøgelsesværktøjer, som svensk politi har anvendt, ville man automatisk kunne identificere, om der har været anvendt EFS-kryptering på computeren. Vidnet husker ikke, om man fandt spor efter EFS-kryptering, men man fandt ikke noget, som var af interesse for efterforskningen.

Vidnet deltager i efterforskningen i forbindelse med de nye sigtelser, der er rejst mod Person 21. Vidnet kan kun i begrænset omfang udtale sig herom, da efterforskningen stadig pågår, og Person 21 fortsat er sigtet i sagen. Der er tale om en sag, hvor Person 21 er fortsat med at anvende de oplysninger, som blev opnået ved den ulovlige indtrængning i Virksomhed 6.

Vidnet har ikke set tiltaltes visakort eller andre betalingskort i tiltaltes lejlighed i Cambo-dja. Så vidt vidnet har forstået, havde tiltalte en ven, som betalte en stor del for ham. Vid-net var til stede under en afhøring, hvor tiltalte blev spurgt til en fil, der hedder ”Filnavn 13” . Tiltalte blev ikke i den forbindelse spurgt til computerens F-drev.

Tiltaltes forklaring om, at de to fundne computere ikke var hans personlige computere, fik ikke vidnet til at tænke på, at der måske var en tredje computer. Vidnet opfattede tiltaltes

- 34 -

svar som et forsøg på ”at slå fra sig” , herunder da tiltalte gentog, at computerne blev a n-vendt som servere. Vidnet var af den opfattelse, at computerne var tiltaltes personlige computere, idet de i den krypterede container blandt andet fandt personlige dokumenter tilhørende tiltalte.

Konsulent Vidne 13, Rigspolitiet, har som vidne supplerende forklaret blandt an-det, at vidnet har udarbejdet bilag Q-9 og Q-10. Bilag Q-9 beskriver, hvordan Script 14 blev anvendt og bagdøren oprettet. Bilag Q-10 er en analyse af en PuTTY-fil. Script 10 var et script, der lettede gerningsmandens adgang til systemerne. Af bilag Q-11 kan man se, hvordan RACF-databas en blev ”stjålet” og downloadet til tiltaltes comp uter og til en computer i Phnom Penh den 10. april 2012.

Det er vidnets opfattelse, at man skal have en grafisk baseret grænseflade for at køre pro-grammet PuTTY. Han har ikke foretaget nærmere undersøgelser vedrørende dette efter sagen i byretten. B rugernavnet ”Profilnavn 4” siger ham ikke noget. Han var ikke bekendt med, at det var Person 21's brugernavn. Vidnets opgave var at kigge på PuTTY logfilerne. Han har ikke interesseret sig for den svenske sag.

Det var nogle andre, der var ansvarlige for at samle trådene i den danske og den svenske sag. Det er ikke nødvendigt med en Program 2-emulator for at hacke en mainframe. En Program 2-emulator er alene et øvelsesværktøj. Hvis man i forvejen ved, hvordan man skal gøre, har man ikke brug for en emulator. Angriberen lagrede de downloadede filer fra Bank 1 samme sted som de down-loadede filer fra Forurettede A/S.

Hvis der var fundet filer fra Virksomhed 6 samme sted, ville han formentlig have nævnt det i sin rapport.

De i byretten af den under byretssagen medtiltalte Tiltalte 2 og af vidnerne politiassistent Vidne 12, Vidne 11, Vidne 8 og Vidne 2 afgivne forklaringer er dokumenteret i medfør af retsplejelovens § 923.

Landsrettens begrundelse og resultat

Af landsrettens kendelse vedrørende skyldspørgsmålet fremgår:

” Alle nævninger (9) og alle dommere (3) udtaler:

Af de grunde, der er anført af byretten, tiltræder vi, at det er godtgjort, at Forurettede A/S i perioden fra den 13. februar 2012 til slutningen af august 2012 var udsat for hacking

- 35 -

og forsøg herpå, herunder at der i perioden blev kopieret og downloadet en stor mængde data, som indeholdt oplysninger fra blandt andet politiets registre og CPR.

Vi tiltræder endvidere – med samme begrundelse som byretten – at den ulovlige indtræn-gen i Forurettede A/S' systemer, der fandt sted fra den 7. april 2012, hvorefter store mængder stærkt personfølsomme data blev downloadet til en række udenlandske servere, er af en sådan karakter, at forholdet er omfattet af straffelovens § 263, stk. 3, jf. stk. 2, og at de forudgå-ende forsøg blandt andet den 13. og 14. februar 2012 på med samme formål at skaffe sig uberettiget adgang til Forurettede A/S' mainframe tillige indebærer en overtrædelse af straffelovens § 263, stk. 3, jf. stk. 2, jf. § 21.

Desuden tiltræder vi, at det udgør hærværk i betydeligt om-fang efter straffelovens § 291, stk. 2, at gerningsmanden i forbindelse med hackerangrebe-ne oprettede filer med programkoder (scripts) i Forurettede A/S' system og foretog ændringer i int er-netserverens konfigurationsfil, hvilket kompromitterede beskyttelsen af de oplysninger, der lå på mainframen, således at enhver med kendskab hertil kunne skaffe sig uberettiget ad-gang til personfølsomme oplysninger på mainframen.

Også efter oplysningerne for landsretten tiltrædes det, at det ikke er godtgjort, at de sy-stemmæssige ændringer, der blev foretaget i forbindelse med hackerangrebet mod Forurettede A/S, påvirkede driften af Forurettede A/S' systemer på en måde, så Forurettede A/S eller virksomhedens kunders a d-gang til systemerne blev forstyrret.

Vidne 10 har for landsretten forklaret, at Forurettede A/S' kunder har tabt penge i forbindelse med, at systemerne periodevis har været lukket ned for at installere de nødvendige patches.

Vi finder det ikke alene på baggrund af disse generelle oplysninger tilstrækkeligt godtgjort, at der ved hackerangrebet er fremkaldt om-fattende forstyrrelse i driften af systemerne, og at der således er sket en overtrædelse af straffelovens § 193.

Vi tiltræder således i det hele byrettens beskrivelse af hackerangrebets omfang og karakter samt byrettens konstatering af, hvilke bestemmelser i straffeloven som blev overtrådt i forbindelse hermed.

Spørgsmålet for landsretten drejer sig herefter alene om, hvorvidt det – som fastslået af byretten – var Tiltalte 1, der var gerningsmand eller en af ger-ningsmændene til hackerangrebet mod Forurettede A/S.

Det kan også efter oplysningerne for landsretten lægges til grund, at loginforsøgene mod Forurettede A/S, den efterfølgende uberettigede adgang til Forurettede A/S' mainframe, ændringerne i Forurettede A/S'

- 36 -

system samt download af filer og datasæt i al væsentligt er foregået fra Tiltalte 1's com-putere.

Tiltalte 1 har under sagen ikke bestridt, at hackerangrebet er udført blandt andet via hans computere, men han har forklaret, at hans computere har været fjernstyret under hele forløbet, og at hackerangrebet således ikke er udført af ham.

Det fremgår af sagens oplysninger, at dansk og svensk politi har foretaget en række under-søgelser og analyser af muligheden for fjernstyring af Tiltalte 1's computere. Undersø-gelserne er foretaget blandt andet på baggrund af de muligheder for fjernstyring, som Tiltalte 1 og vidnerne Vidne 4 og Vidne 3 har anvist eller omtalt.

Ingen af undersøgelserne har vist spor af eller tegn på fjernstyring, og undersøgelserne har snarere peget i retning af, at computerne var sat op på en sådan måde, at adgangen til i hvert fald uautoriseret (”uvenlig”) fjernstyring heraf ikke har været meget sandsynlig.

Det hører i den forbindelse med til vurderingen, at Tiltalte 1's IP-adresse i Cambodja blev tildelt dynamisk, således at IP-adressen ændrede sig med korte intervaller, og at computer-ne havde mange genstarter, hvilket hver for sig vanskeliggjorde muligheden for i hvert fald at etablere en stabil uautoriseret fjernstyringsadgang.

På baggrund af vidneforklaringerne fra ikke mindst Vidne 4 og Vidne 3, hvilke forklaringer ikke til fulde er imødegået af anklagemyndigheden, finder vi imidlertid – som byretten – ikke tilstrækkeligt grundlag for at udelukke, at der har eksiste-ret mulighed for fjernstyring af Tiltalte 1's computere, herunder en fjernstyring som Tiltalte 1 ikke havde givet tilladelse til.

Landsretten er således blevet forelagt tekniske løsninger til at kunne fjernstyre computere som Tiltalte 1's, og disse løsninger er ikke med den sikkerhed, der skal kunne danne grundlag for en domfældelse i en straffesag, ble-vet tilbagevist gennem den skete bevisførelse.

Vi finder i øvrigt, at det i overensstemmelse med Tiltalte 1's forklaring må lægges til grund, at i hvert fald den ene af Tiltalte 1's computere (”Computer 1”) var opsat til at virke som lab -computer med mulig tilgang fra an-dre af Tiltalte 1's computere.

Det er herefter uden betydning for sagen, om det kan læg-ges til grund, at Tiltalte 1 tillige var i besiddelse af andre computere, herunder en com-puter af mærket HP.

Anvendelsen af Tiltalte 1's computere i forbindelse med hackerangrebet mod Forurettede A/S og sandsynligheden for fjernstyring heraf skal herefter vurderes i lyset af sagens øvrige oplys-ninger.

- 37 -

På Tiltalte 1's bærbare computer (navngivet ”Computer 1”) er der fundet en række filer og datasæt, der med sikkerhed stammer fra tyveriet af filer og datasæt fra hackerangrebet mod Forurettede A/S. På samme comput er blev der tillige fundet filen ”Script 10” , der efter det oplyste indeholdt en programkode, der blev anvendt i forbindelse med den ulovlige adgang til Forurettede A/S' mainframe. Filerne er fundet på en krypteret container. Tiltalte 1 har forklaret, at han ikke havde kendskab til krypteringen, ligesom han ikke havde kendskab til hele ind-holdet af containeren.

Det kan på baggrund af de tekniske oplysninger i sagen lægges til grund, at adgang til den krypterede container forudsatte, at der ved enhver genstart af computeren manuelt blev indtastet et kodeord og i øvrigt, at filen indeholdende containeren manuelt blev åbnet. Når den krypterede container var åbnet, optrådte den som en almindeligt tilgængelig harddisk som computerens F-drev.

Såfremt computeren har været fjernstyret, og den krypterede container alene kunne åbnes af en udefrakommende person, ville computerens F-drev såle-des kun være tilgængelig og synlig, når fjernstyreren efter enhver genstart manuelt havde åbnet containeren.

På den krypterede container er der blandt en meget stor mængde data (ca. 245.000 filer) fundet i hvert fald omkring 1.100 personlige dokumenter tilhørende Tiltalte 1, der da heller ikke har bestridt at have anvendt containeren.

Da Tiltalte 1 således med sikkerhed har anvendt den pågældende container, er det ikke meget trovær-digt, at han var ubekendt med, at der, hver gang computeren blev genstartet, blandt andet manuelt skulle indtastes et kodeord for at få adgang til containeren.

Som anført af byretten blev containeren i øvrigt skabt på computeren den 16. november 2010, hvilket er samme dag, som Tiltalte 1 navngav computeren ”Computer 1” , og samme dag som der på comp u-terens skrivebord blev etableret en genvej til chatprogrammet Program 12. Det var efter tiltaltes forklaring for landsretten desuden samme dag, som tiltalte installerede Styresystem 4 på com-puteren.

Vi er derfor enige med byretten i, at Tiltalte 1's forklaring om, at han ikke selv installerede og bevidst benyttede den krypterede container, må tilsidesættes som utrovær-dig.

På den krypterede container blev der desuden fundet filer hidrørende fra et hackerangreb begået mod det svenske selskab Virksomhed 6, der er en svensk virksomhed, der varetog funktio-ner i Sverige, der minder om de funktioner, som Forurettede A/S varetager i Danmark.

Tiltalte 1 er i Sverige – sammen med Person 21 – fundet skyldig i at have foretaget ulovlig dataindtrængen i Virksomhed 6. Hackerangrebene mod Virksomhed 6, der blev påbe-

- 38 -

gyndt i 2010, har stået på i samme periode, som hackerangrebene mod Forurettede A/S fandt sted, og det er således filer fra dette hackerangreb, der blev fundet på samme krypterede container og i samme mappe, som filerne downloadet fra Forurettede A/S. Det er derfor allerede af denne grund nærliggende at antage, at i hvert fald en af gerningsmændene i de to sager er den samme.

At der er tale om samme gerningsmand, bestyrkes yderligere af en fil (Log 2) fun-det på Tiltalte 1's computer. Filen er en logfil fra programmet PuTTY, der typisk an-vendes til fjernstyring af servere. Det er på baggrund af denne logfil sammenholdt med logoplysninger fra FTP-serveren i Virksomhed 6 og oplysninger fra Forurettede A/S muligt at konkludere, at der den 4. marts 2012 blev opnået uberettiget adgang til Virksomhed 6's FTP-server og ulovligt downloadet en række filer, og at der på samme tidspunkt fra helt samme computer blev foretaget 50 forgæves forsøg på login på Forurettede A/S' FTP -server.

Af en anden logfil (Log 3) fra programmet PuTTY fundet på Tiltalte 1's computer fremgår det, at gerningsmanden under hackerangrebet mod såvel Virksomhed 6 i Sverige som Forurettede A/S anve ndte blandt andre samme domæne i Cambodja (”Domæne”) til dow n-load af filer.

Hackerangrebene mod Virksomhed 6 og Forurettede A/S har i øvrigt en række andre fællestræk i forhold til de angrebsværktøjer, der blev anvendt under angrebene, og den måde, som gerningsman-den eller gerningsmændene opererede på i relation til blandt andet eskalering af egne ret-tigheder i den hackede mainframe. Vi finder det herefter helt ubetænkeligt at lægge til grund, at gerningsmanden bag hackerangrebet mod Forurettede A/S er den samme som i hvert fald en af de gerningsmænd, der stod bag hackerangrebet mod Virksomhed 6 i Sverige.

På Tiltalte 1's bærbare computer er der i den krypterede container, i en mappe navngivet ”Mappe” , hvor der også lå stjålne filer fra Forurettede A/S, fundet en tekstfil indeholdende en chat, der den 13./14. februar 2012 fandt sted mellem personer benævnt i tekstfilen som ”Profilnavn 1” og ”Profilnavn 2” .

Tekstfilen er interessant, idet der er en så tæt sammenhæng mellem indholdet af samtalen mellem personerne i chatten og de an-grebsforsøg mod Forurettede A/S, der fandt sted på samme og efterfølgende tidspunkter, at det kan lægges til grund, at disse personer stod bag i hvert fald det indledende hackerangreb mod Forurettede A/S i februar 2012.

I chatten er der således referencer til brugernavne, domæner og andet, som – samtidig med at chatten fandt sted – blev anvendt under angrebsforsøgene, ligesom i hvert fald den af personerne benævnt som ”Profilnavn 1” viser at besidde et indgående kendskab til mainframes og styresystemet Program 1, som må antages at være en forudsætning

- 39 -

for at kunne opnå uberettiget adgang til en mainframe. Som det er anført af byretten, er-kendte Tiltalte 2, at han var den ene deltager i chatten og ophavsmand til den tekst, der står ud for ”Profilnavn 2” .

Uanset at tekstfilen tilsynel a-dende ikke findes i sin originale form, og at den optræder som kopieret ind i sig selv flere gange, finder vi efter filens indhold og sammenhængen i den chat, der gengives i filen, at der ikke er holdepunkter for at antage, at tekstfilen ikke repræsenterer den chatsamtale, der fandt sted.

Herefter, og i øvrigt af de grunde, som byretten har anført, lægges det til grund, at chatten med det angivne indhold og på det angivne tidspunkt fandt sted mellem Tiltalte 2 på den ene side og en person benævnt ”Profilnavn 1” på den anden side, herunder at kaldenavnene i chatten er blevet ændret ved brug af Program 8, som også er blevet fundet på Tiltalte 1's computer.

Chatten mellem Tiltalte 2 og ”Profilnavn 1” foregår hovedsageligt på engelsk og i b e-grænset omfang på dansk. ”Profilnavn 1” kommer flere gange under chatten med ref e-rencer til sin bopæl i Cambodja og hans tilhørsforhold til Sverige, herunder at han er regi-streret i SPAR, der svarer til det danske CPR, og det er således nærliggende at antage, at ”Profilnavn 1” er svensk statsborger med bopæl i Cambodja.

I chatten henviser ”Profilnavn 1” til brugernavnet ”Brugernavn 4” , som svarer til det brugernavn, der er tilknyttet den Program 2-emulator, der var installeret på Tiltalte 1's stationære computer, og som der fandtes genveje til på computerens skrivebord.

Af chatsamtalen fremgår det endvidere, at ”Profilnavn 1” oplyser at have uploaded en fil (Filnavn 17) til internetsiden Hjemmeside 33, hvilken fil er sikret af politiet og fundet indholdsmæssigt identisk med en fil (Filnavn 18) fundet i den krypterede container på Tiltalte 1's bærbare computer. Endelig henviser ”Profilnavn 1” flere gange til domænet ”Hjemmeside (underdomæne til hjemmeside 3)” .

Det fre m-går af sagens opl ysninger, at domænet ”Hjemmeside 5” er registreret af selskabet ”Udenlandsk virksomhed” , der blev oprettet den 11. maj 2010 med Tiltalte 1 som registreret ejer. Tiltalte 1 har forklaret, at det er ham, der har navngi-vet selskabet, og at Udeladt 2 betyder ny verdensorden.

I oplysninger fra an-dre chatkonversationer fremgår det, at brugeren ”Kaldenavn 9” (eller en variant heraf) i adskillige tilfælde henviser til domænet Hjemmeside (underdomæne til hjemmeside 3). Tiltalte 1 har erkendt, at det er ham, der optræder som ”Kaldenavn 9” (eller en variant heraf) under nogle, men dog ikke alle af disse chatkonversationer.

I chatten mellem ”Profilnavn 1” og ”Profilnavn 2” er der desuden et ordret citat, der utvivlsomt hidrører fra en artikel fra inter-nettet (”Real Programmers don’t use Program 35”), hvilket helt enslydende citat også optræder i en chatsamtale den 29. marts 2012 mellem ”Kaldenavn 9” og Person 21 (”Kaldenavn 20”). Efter en samlet vurdering af navnlig disse oplysninger, samt de af byretten i øvrigt anførte om-

- 40 -

stændigheder, tiltræder vi, at det er godtgjort, at det er Tiltalte 1, der optræder som ”Profilnavn 1” under chatsamtalen med Tiltalte 2. Der er herefter allerede på denne ba g-grund meget, der peger i retning af, at det var Tiltalte 1, der er svensk statsborger og havde bopæl i Cambodja, der stod bag eller i hvert fald medvirkede til hackerangrebet mod Forurettede A/S.

I den forbindelse bemærkes, at Person 21, der efter det oplyste er svensk statsborger med bopæl i Sverige, har været frihedsberøvet i Sverige i perioden fra den 15. april til 19. juni 2012, i hvilken forbindelse han efter det oplyste ikke har haft adgang til nogen form for computere.

Der er imidlertid også andre oplysninger i sagen, der peger i retning af, at Tiltalte 1's computere ikke har været fjernstyret af andre, men at hackerangrebet, der var omfattende og teknisk særdeles kompliceret, er udført af Tiltalte 1 selv.

Tiltalte 1 har forklaret, at den ene af hans computere (”Computer 1”) var sat op so m en lab-computer, der via fjernstyring blev anvendt af en række personer, som han ikke har ønsket at oplyse identiteten på. Det var som tidligere anført på denne computer, at der i en krypteret container blev fundet en lang række filer med direkte tilknytning til hackerangre-bet.

På computerens skrivebord, som kommer frem ved at logge på som computerens mest benyttede bruger (Brugernavn 10), er der et link til en Program 2 -emulator, der efter det oply-ste er et program, der gør det muligt på en normal computer at installere og anvende pro-grammer designet til mainframe-computere.

Tiltalte 1 har i byretten forklaret, at emu-latoren er installeret af en af computerens øvrige brugere, og at han ikke selv har anvendt programmet, som han dog har set køre. I landsretten har Tiltalte 1 forklaret, at han ikke forud for sagen har haft kendskab til Program 2-emulatoren, og at han ikke havde hæftet sig ved, at der var oprettet et link hertil på hans computer.

På baggrund af Tiltalte 1's forklaringer for by- og landsret må det i første række lægges til grund, at han har givet udtryk for den opfattelse, at hans computere har været anvendt og misbrugt til hacking af Forurettede A/S af en person, som Tiltalte 1 har givet tilladelse til at fjernstyre computeren (”venlig fjernstyring”), og at computeren således ikke har været fjernstyret af personer, der er ukendte for Tiltalte 1 (”uvenlig fjernstyring”).

For land s-retten har Tiltalte 1 imidlertid supplerende eller i hvert fald præciserende navnlig gjort gældende, at computerne må have været fjernstyret i det skjulte (”uvenlig fjernstyring”).

Vi finder, at det ikke er meget sandsynligt, at Tiltalte 1, der efter det oplyste besidder et indgående kendskab til computere, ikke i en periode fra omkring den 13. februar til 28. august 2012 ville have opdaget den uautoriserede fjernstyring, herunder at han fra tid til

- 41 -

anden blandt andet ikke havde adgang til sit F-drev, der indeholdt filerne i den krypterede container, og som derfor først ville være tilgængelig, når der var indtastet et kodeord, som han ifølge egne oplysninger ikke kendte. Det ville tillige være usædvanligt, at en anonym hacker, der ikke i øvrigt har efterladt sig spor, blandt andet ville oprette et link til en Program 2-emulator på Tiltalte 1's skrivebord.

Det er imidlertid lige så usandsynligt, at Tiltalte 1's computere har været fjernstyret og misbrugt af personer, som Tiltalte 1 havde givet fjernadgang til computerne.

Tiltalte 1 har således ikke på nogen måde kunnet give en rimelig forklaring på, hvorfor hans computere skulle have været fjernstyret og mis-brugt i den aktuelle sammenhæng af personer i hans bekendtskabskreds, og det forekom-mer os helt usandsynligt, at noget sådan ville kunne finde sted uden Tiltalte 1's kend-skab og billigelse, herunder at Tiltalte 1 efterfølgende ikke skulle have en interesse i at hjælpe politiet med at identificere den eller de pågældende gerningsmænd, der i givet fald skulle have misbrugt Tiltalte 1's tillid og bidraget til, at han blev fængslet og dømt på et uretmæssigt grundlag.

Tiltalte 1 var på anholdelsestidspunktet også i besiddelse af en anden computer. På denne anden computer (navngivet ”Computer 2”) er der på en diskenhed af harddisken i n-stalleret et Styresystem 1 operativsystem samt den omtalte Program 2-emulator.

Det fremgår af en PuTTY-log fra den 7. april 2012, at gerningsmanden den pågældende dag foretog login på Forurettede A/S' mainframe, og at maskinen, der blev logget ind fra, identificerede sig selv med na v-net ”Profilnavn 5” , hvilket er identisk med den lokale installation af operativsystemet Program 1, som er fundet på Tiltalte 1's computer.

Det fremgår endvidere, at gerningsmanden an-vendte brugernavnet ”Brugernavn 4” , der som anført blev henvist til i chatten mellem ”Profilnavn 1” og ”Profilnavn 2” . Der er på den stationære computer desuden fundet en række filer navngivet blandt andet ”Filnavn 19” , ligesom det er konstateret, at 7 af de IP-adresser, der blev anvendt i angrebet mod Forurettede A/S, kan knyttes til den pågældende harddisk.

Endelig blev der på en anden diskenhed tilknyttet denne compu-ter fundet en programkode (Script 14), der efter det oplyste er anvendt af gerningsman-den i forbindelse med hackerangrebet.

Hertil kommer – som også anført af byretten – at politiet i forbindelse med undersøgelsen af Tiltalte 1's computere har konstateret, at der i downloadede udtræk af Schengen In-formationssystem er foretaget en række søgninger. En gennemgang af disse søgninger vi-ser, at der i de stjålne filer er foretaget en række personspecifikke søgninger med relation til navnlig Tiltalte 1's fødselsdato og navn.

- 42 -

Tiltalte 1 kan desuden sættes i forbindelse med kaldenavnet ”Kaldenavn 9” , der i forskellige chatkonversationer har omtalt forhold og omstændigheder, der når disse sammenholdes med sagens øvrige oplysninger, har tilknytning til hackerangrebet mod Forurettede A/S.

Tiltalte 1 har i nogle tilfælde erkendt, at det er ham, der optræder som ”Kaldenavn 9” i chatten, hvilket navnlig synes at være tilfældet, hvis der er oplysninger i chatkonversationen i øvrigt, der utvetydigt peger på ham. Tiltalte 1 har således i landsretten forklaret, at han deltog som ”Kaldenavn 9” i en chat med Person 22.

Chatten er på tiltaltes computer tidsstemplet til 5. januar 2011, men oplysninger i sagen peger på, at computeruret har gået forkert. I chatten omtaler Tiltalte 1 blandt andet et hackerangreb foretaget mod svenske myndigheders mainframe begået et år forud for chatten, hvor han ifølge chatten skulle havde været inde at hente op-lysninger fra blandt andet det svenske CPR og kriminalregistret.

Konfronteret med denne chat har Tiltalte 1 i landsretten forklaret, at denne ikke skal tages alvorligt, da det hele blev sagt for sjov. Under en anden chatsamtale, der ifølge tidsstemplingen fandt sted den 4. august 2011, omtaler en ukendt person ”Kaldenavn 9” som ”Kaldenavn 38” .

Tiltalte 1 har e r-kendt, at det er ham, der optræder som ”Kaldenavn 9” i chatsamtalen, og at det således også er ham, der under chatsamtalen udtaler, at han er den eneste hacker i Cambodja. Også dette er iføl-ge Tiltalte 1's forklaring s agt for sjov.

I andre chatkonversationer, hvor ”Kaldenavn 9” eller en variant heraf (Kaldenavn 9, Kaldenavn 10 eller Kaldenavn 11) optræder, har tiltalte nægtet, at det er ham, der skriver som ”Kaldenavn 9” . Det drejer sig om en række chatkonversationer med et belastende indhold i fo r-hold til de nne sag.

Som eksempler kan nævnes en chat, hvor ”Kaldenavn 10” i en chat med ”Kaldenavn 20” (Person 21) den 9. marts 2012, hvor der tales om det svenske SPAR, skriver: ”… btw vi har varit på danske motsvarigheten oxo … har en del anvandernamm iaf men inga loseno rd … de verkar iaf inte kora revoke :)” .

I den samme chat skriver ”Kaldenavn 10” , at strø m-men hos ham tidligere har været væk i 18 timer, og der henvises til domænet ”Domæne” . I chatten findes tillige henvisninger til brugerkontoen ”Brugernavn 4” .

I en a n-den chat mellem brugeren ”Brugernavn 14” og ”Kaldenavn 9” den 14. juli 2011 sker der en drøftelse af salg af sårbarheder, hvor ”Kaldenavn 9” oplyser, at han er blevet tilbudt 100.000 USD for salg af en enkelt sårbarhed. I den samme chat udtaler ”Kaldenavn 9” , at han på grund af computerp roblemer havde været nødt til at geninstallere et ”clean system” .

Af oplysningerne fra efterforskni n-gen i sagen fremgår det, at der skete en reinstallation af Styresystem 4 på Tiltalte 1's compu-ter den 11. juli 2011.

Endelig finder vi det som byretten påfaldende, at hackerangrebet mod Forurettede A/S, der bortset fra perioden fra den 22. april til 16. juni 2012 havde fundet sted kontinuerligt siden februar 2012, ophørte efter tiltaltes anholdelse, selv om muligheden for uberettiget adgang fortsat bestod helt frem til den 6. marts 2013, hvor den sidste af de programkoder, der var oprettet

- 43 -

til at etablere den uberettigede adgang, blev fjernet af Forurettede A/S. Det er i den forbindelse uden betydning, at det ikke teoretisk kan udelukkes, at der efterfølgende kan være skabt en ikke kendt uberettiget adgang af andre via eksempelvis FTP-serveren, idet det afgørende er, at hackerangrebet ophørte i den form og på den måde, som havde været gerningsmandens modus siden april 2012.

Uanset at vi således – som byretten – ikke helt har kunnet udelukke muligheden for fjern-styring af Tiltalte 1's computere, så foreligger der således en lang række øvrige oplys-ninger i sagen, der i hvert fald samlet set helt oplagt og entydigt godtgør, at hackerangrebet mod Forurettede A/S er foretaget i hvert fald under medvirken af Tiltalte 1.

Den omstændighed, at det ikke helt kan udelukkes, at der foruden Tiltalte 1 og til dels domfældte Tiltalte 2 kan have været yderligere medgerningsmænd involve-ret i hackingen af Forurettede A/S, er uden betydning for vurderingen af de beviser i sagen, der samlet set utvivlsomt godtgør Tiltalte 1's centrale involvering.

Med disse bemærkninger og af de grunde, der i øvrigt er anført af byretten, finder vi Tiltalte 1 skyldig i overensstemmelse med byrettens bevisresultat.

Vi finder i øvrigt anledning til at bemærke, at selv om det kunne lægges til grund – som anført af byrettens mindretal – at det ikke var godtgjort, at det var Tiltalte 1, der udførte hackerangrebet, men at han havde kendskab hertil, så indebærer et sådan kendskab til ulov-lige aktiviteter foregået via computere, som Tiltalte 1 havde stillet til rådighed, et med-virkensansvar i forhold til de ulovlige aktiviteter, således at Tiltalte 1 efter straffelovens § 23 – i det omfang et sådant medvirkensansvar i øvrigt er dækket af beskrivelsen i den rejste tiltale – vil kunne ifalde strafansvar efter de samme bestemmelser.

T h i b e s t e m m e s:

Tiltalte 1 findes skyldig i overensstemmelse med byrettens bevisresultat. ”

Samtlige nævninger (9) og dommere (3) udtaler vedrørende sanktionen:

Strafferammen for overtrædelse af de pågældende bestemmelser er fængsel indtil 6 år. Sa-gen er den hidtil alvorligste af sin karakter, hvor der i forbindelse med angrebet, der fore-

- 44 -

gik systematisk og havde en lang tidsmæssig udstrækning, blev downloadet en betydelig mængde stærkt personfølsomme oplysninger til servere i Tyskland, Cambodja og Iran. Efter det oplyste er de stjålne filer endnu ikke lokaliseret, og der er derfor fortsat risiko for, at de stærkt personfølsomme oplysninger stadig kan tilgås med potentiel stor skadevirk-ning for de berørte personer. Hertil kommer, at angrebet, der var teknisk meget komplice-ret, har forårsaget omkostningskrævende skadevirkning på Forurettede A/S' systemer.

Der foreligger ikke oplysninger i sagen om, at oplysningerne er solgt eller videregivet til tredjemand eller andre stater. Tiltalte 1 er desuden ikke tidligere straffet for tilsvarende kriminalitet, idet det bemærkes, at denne sags forhold er begået forud for Svea Hovrätts dom af 25. september 2013, hvor Tiltalte 1 blev idømt 1 års fængsel. Straffen skal såle-des tillige fastsættes under hensyn til grundsætningen i straffelovens § 89, således at der tages højde for, at Tiltalte 1 i Sverige allerede er idømt fængsel i 1 år for et tilsvarende forhold begået mod Virksomhed 6 i Sverige.

Stemmeafgivelsen

Med disse bemærkninger er der afgivet 4 stemmer for at fastsætte straffen til fængsel i 4 år og 6 måneder, 5 stemmer for at fastsætte straffen til fængsel i 4 år og 9 stemmer for at stad-fæste straffen på fængsel i 3 år og 6 måneder.

Efter udfaldet af stemmeafgivelsen følger det af retsplejelovens § 216, stk. 2, at de for til-talte ugunstigste stemmer skal regnes sammen med de nærmeste mindre ugunstige stem-mer, således at der er 9 stemmer for fængsel i 4 år og 9 stemmer for fængsel i 3 år og 6 måneder. Da der således forligger stemmelighed, træffes afgørelsen efter det for tiltalte gunstigste resultat, jf. § 931, stk. 3, sidste pkt., således at byrettens straffastsættelse stadfæ-stes i medfør af de af byretten citerede bestemmelser.

Udvisningsspørgsmålet

Samtlige nævninger og dommere har af de grunde, der er anført af byretten, stemt for at stadfæste byrettens bestemmelse om udvisning.

T h i k e n d e s f o r r et :

Byrettens dom stadfæstes.

- 45 -

Tiltalte skal betale sagens omkostninger.