UDSKRIFT AF ØSTRE LANDSRETS DOMBOG K E N D E L S E



Relaterede dokumenter
Tiltalte T2 blev anholdt den 5. juni 2013 i København og har siden været frihedsberøvet.

Rigsadvokaten Informerer Nr. 19/2009

UDSKRIFT AF ØSTRE LANDSRETS DOMBOG D O M

D O M. Sagen er i landsretten behandlet sammen med sagerne S , S og S

D O M. Forklaringer Der er i landsretten afgivet supplerende forklaring af tiltalte og vidnet B.

D O M. Retten i Herning har den 5. april 2017 under medvirken af nævninger afsagt dom i 1. instans ( /2016).

D O M. afsagt den 29. april Rettens nr /2014. Anklagemyndigheden. Mod. Tiltalte 1 (T1) Tiltalte 2 (T2)

UDSKRIFT AF ØSTRE LANDSRETS DOMBOG D O M

D O M. afsagt den 8. april Rettens nr /2014 Politiets nr. Anklagemyndigheden Mod. Tiltalte (T1) Tiltalte (T2) Arrestantsag

UDSKRIFf ØSTRE LANDSRETS DOMBOG DOM

HØJESTERETS KENDELSE afsagt torsdag den 15. november 2012

Afsagt den 28. August 2017 af Østre Landsrets 10. afdeling (landsdommerne M. Stassen, John Mosegaard og Peter Mortensen (kst.) med domsmænd).

HØJESTERETS DOM afsagt torsdag den 9. januar 2014

HØJESTERETS DOM afsagt onsdag den 11. februar 2015

HØJESTERETS KENDELSE afsagt onsdag den 21. december 2016

HØJESTERETS KENDELSE afsagt torsdag den 24. januar 2019

HØJESTERETS KENDELSE afsagt fredag den 7. oktober 2016

DOM. Afsagt den 3. september 2014 af Østre Landsrets 22. afdeling (landsdommerne Lene Jensen, Arne Brandt og Dorte Nørby (kst.) med domsmænd).

HØJESTERETS DOM afsagt tirsdag den 21. juni 2011

UDSKRIFT AF ØSTRE LANDSRETS DOMBOG D O M

HØJESTERETS KENDELSE afsagt mandag den 11. april 2016

D O M. Retten i Sønderborg har den 3. september 2015 afsagt dom i 1. instans (rettens nr. K /2015).

HØJESTERETS DOM afsagt onsdag den 12. juni 2019

HØJESTERETS DOM afsagt mandag den 30. december 2013

HØJESTERETS DOM afsagt fredag den 29. september 2017

S HT/PS UDSKRIFT AF ØSTRE LANDSRETS DOMBOG DOM

HØJESTERETS DOM afsagt onsdag den 15. maj 2019

HØJESTERETS KENDELSE afsagt fredag den 15. februar 2019

HØJESTERETS DOM afsagt mandag den 9. januar 2012

HØJESTERETS DOM afsagt mandag den 10. oktober 2016

HØJESTERETS DOM afsagt tirsdag den 15. maj 2018

D O M. Anklagemyndigheden har tillige anket dommen med endelig påstand om skærpelse af bøden.

HØJESTERETS KENDELSE afsagt tirsdag den 30. august 2016

Glostrup Rets dom af 31. maj 2017 ( /2017) er anket af tiltalte med påstand om frifindelse, subsidiært formildelse.

D O M. Afsagt den 15. april 2015 af Østre Landsrets 14. afdeling (landsdommerne Rosenløv, Lone Kerrn-Jespersen og Martin Broms (kst.) med domsmænd).

UDSKRIFT AF DOMBOGEN FOR GRØNLANDS LANDSRET

Anklagemyndigheden har påstået sagen fremmet og nedlagt påstand om bødestraf.

Østre Landsrets dom afsagt den 12. december 2016 af 14. afdeling i ankesag nr. S

UDSKRIFT AF ØSTRE LANDSRETS DOMBOG D O M

HØJESTERETS KENDELSE afsagt torsdag den 26. februar 2015

HØJESTERETS KENDELSE afsagt onsdag den 12. juni 2019

HØJESTERETS DOM afsagt onsdag den 20. marts 2019

HØJESTERETS DOM afsagt onsdag den 4. maj 2011

D O M. Hillerød Rets dom af 4. maj 2015 (8-55/2015) er anket af T med påstand om frifindelse, subsidiært

D O M. Afsagt den 19. januar 2018 af Østre Landsrets 13. afdeling (landsdommerne Frosell, John Mosegaard og Agnete Ergarth Skouv (kst.) med domsmænd).

HØJESTERETS KENDELSE afsagt onsdag den 12. februar 2014

HØJESTERETS KENDELSE afsagt torsdag den 19. februar 2015

HØJESTERETS DOM afsagt onsdag den 19. august 2015

D O M. Anklagemyndigheden har påstået domfældelse i overensstemmelse med anklageskriftet samt skærpelse.

UDSKRIFT AF ØSTRE LANDSRETS DOMBOG D O M

Afsagt den 6. juni 2018 af Østre Landsrets 5. afdeling (landsdommerne Peter Mørk Thomsen, Ulla Langholz og Louise Falkenberg (kst.) med domsmænd).

UDSKRIFT AF ØSTRE LANDSRETS DOMBOG DOM

D O M. Afsagt den 28. april 2015 af Østre Landsrets 18. afdeling (landsdommerne Finn Morten Andersen, Ulla Staal og Jakob Groth-Christensen (kst.)).

Enkelte sager af mere generel interesse

HØJESTERETS KENDELSE afsagt tirsdag den 19. januar 2016

Retsudvalget REU Alm.del endeligt svar på spørgsmål 176 Offentligt

UDSKRIFT AF ØSTRE LANDSRETS DOMBOG D O M

HØJESTERETS KENDELSE afsagt tirsdag den 24. april 2012

HØJESTERETS KENDELSE afsagt tirsdag den 6. oktober 2015

Rigsadvokaten Informerer Nr. 17/2010

HØJESTERETS KENDELSE afsagt onsdag den 1. maj 2019

AM B2 Kilde: Emner: Stikord: Afgørelsestype: Offentlig Tilgængelig: Dato: Status: Udskrevet:

HØJESTERETS DOM afsagt fredag den 25. februar 2011

HØJESTERETS DOM afsagt fredag den 16. september 2011

D O M. afsagt den 23. april 2014

HØJESTERETS DOM afsagt torsdag den 30. september 2010

HØJESTERETS KENDELSE afsagt torsdag den 27. marts 2014

HØJESTERETS KENDELSE afsagt fredag den 14. januar 2011

HØJESTERETS KENDELSE afsagt tirsdag den 18. august 2015

Nyhedsbrev. Teknologi og outsourcing

Udlændings lovlige ophold her i landet

HØJESTERETS KENDELSE afsagt fredag den 16. november 2018

HØJESTERETS KENDELSE afsagt fredag den 22. februar 2019

Landsrettens begrundelse og resultat. Forhold 1 bank A

D O M. afsagt den 7. november 2017 af Vestre Landsrets 3. afdeling (dommerne Lars Christensen, Poul Hansen og Teresa Lund Tøgern (kst.

HØJESTERETS KENDELSE afsagt fredag den 12. juni 2015

Retsudvalget. REU alm. del - Svar på Spørgsmål 365 Offentligt. Folketinget. Retsudvalget. Christiansborg 1240 København K

HØJESTERETS KENDELSE afsagt tirsdag den 26. februar 2019

HØJESTERETS DOM afsagt mandag den 15. november 2010

UDSKRIFT AF ØSTRE LANDSRETS DOMBOG D O M

VEJLEDNING I UDFØRELSE AF STRAFFESAGER I HØJESTERET

D O M. afsagt den 31. oktober 2017 af Vestre Landsrets 4. afdeling (dommerne Ida Skouvig, Kirsten Thorup og Joy Winter (kst.) med domsmænd) i ankesag

HØJESTERETS KENDELSE afsagt onsdag den 17. februar 2010

D O M. afsagt den 25. februar 2016 af Vestre Landsrets 7. afdeling (dommerne Lars E. Andersen, Hanne Kildal og Anne-Mette Schjerning (kst.

HØJESTERETS KENDELSE afsagt torsdag den 23. februar 2017

HØJESTERETS KENDELSE afsagt tirsdag den 13. januar 2015

HØJESTERETS DOM afsagt tirsdag den 14. november 2017

HØJESTERETS KENDELSE afsagt mandag den 19. februar 2018

HØJESTERETS DOM afsagt onsdag den 5. oktober 2016

HØJESTERETS DOM afsagt torsdag den 15. november 2012

HØJESTERETS DOM afsagt fredag den 16. september 2011

Ved rettens kendelse af 26. november 2013 blev forfølgningen mod B og A udskilt til særskilt behandling, jf. retsplejelovens 706.

HØJESTERETS DOM afsagt fredag den 3. februar 2012

RETTEN I SØNDERBORG D O M. afsagt den 12. august Anklagemyndigheden mod T født Der har medvirket domsmænd ved behandlingen af denne sag.

UDSKRIFT AF ØSTRE LANDSRETS DOMBOG D O M

AM Ø Kilde: Emner: Stikord: Afgørelsestype: Offentlig Tilgængelig: Dato: Status: Udskrevet:

Hermed sendes besvarelse af spørgsmål nr. 300 (Alm. del), som Folketingets Retsudvalg har stillet til justitsministeren den 4. februar 2008.

Rigsadvokaten Informerer Nr. 2/2010

HØJESTERETS DOM afsagt fredag den 6. november 2015

Transkript:

UDSKRIFT AF ØSTRE LANDSRETS DOMBOG K E N D E L S E Afsagt den 17. juni 2015 af Østre Landsrets 9. afdeling (landsdommerne Karen-Anke Tørring, Peter Mørk Thomsen og Gerd Sinding (kst.) med nævninger). 9. afd. nr. S-3126-14: Anklagemyndigheden mod T (advokat Luise Høj, besk.) Frederiksberg Rets dom af 31. oktober 2014 (sags nr. 5591/2014) er anket af T med påstand om frifindelse. Anklagemyndigheden har påstået domfældelse efter anklageskriftet. Landsrettens begrundelse og resultat Alle nævninger (9) og alle dommere (3) udtaler: Af de grunde, der er anført af byretten, tiltræder vi, at det er godtgjort, at CSC Danmark A/S i perioden fra den 13. februar 2012 til slutningen af august 2012 var udsat for hacking og forsøg herpå, herunder at der i perioden blev kopieret og downloadet en stor mængde data, som indeholdt oplysninger fra blandt andet politiets registre og CPR. Vi tiltræder endvidere med samme begrundelse som byretten at den ulovlige indtrængen i CSC s systemer, der fandt sted fra den 7. april 2012, hvorefter store mængder stærkt personfølsomme data blev downloadet til en række udenlandske servere, er af en sådan karakter, at forholdet er omfattet af

- 2 straffelovens 263, stk. 3, jf. stk. 2, og at de forudgående forsøg blandt andet den 13. og 14. februar 2012 på med samme formål at skaffe sig uberettiget adgang til CSC s mainframe tillige indebærer en overtrædelse af straffelovens 263, stk. 3, jf. stk. 2, jf. 21. Desuden tiltræder vi, at det udgør hærværk i betydeligt omfang efter straffelovens 291, stk. 2, at gerningsmanden i forbindelse med hackerangrebene oprettede filer med programkoder (scripts) i CSC s system og foretog ændringer i internetserverens konfigurationsfil, hvilket kompromitterede beskyttelsen af de oplysninger, der lå på mainframen, således at enhver med kendskab hertil kunne skaffe sig uberettiget adgang til personfølsomme oplysninger på mainframen. Også efter oplysningerne for landsretten tiltrædes det, at det ikke er godtgjort, at de systemmæssige ændringer, der blev foretaget i forbindelse med hackerangrebet mod CSC, påvirkede driften af CSC s systemer på en måde, så CSC eller virksomhedens kunders adgang til systemerne blev forstyrret. Vidnet A har for landsretten forklaret, at CSC s kunder har tabt penge i forbindelse med, at systemerne periodevis har været lukket ned for at installere de nødvendige patches. Vi finder det ikke alene på baggrund af disse generelle oplysninger tilstrækkeligt godtgjort, at der ved hackerangrebet er fremkaldt omfattende forstyrrelse i driften af systemerne, og at der således er sket en overtrædelse af straffelovens 193. Vi tiltræder således i det hele byrettens beskrivelse af hackerangrebets omfang og karakter samt byrettens konstatering af, hvilke bestemmelser i straffeloven som blev overtrådt i forbindelse hermed. Spørgsmålet for landsretten drejer sig herefter alene om, hvorvidt det som fastslået af byretten var tiltalte, der var gerningsmand eller en af gerningsmændene til hackerangrebet mod CSC. Det kan også efter oplysningerne for landsretten lægges til grund, at loginforsøgene mod CSC, den efterfølgende uberettigede adgang til CSC s mainframe, ændringerne i CSC s system samt download af filer og datasæt i al væsentligt er foregået fra tiltaltes computere. Tiltalte har under sagen ikke bestridt, at hackerangrebet er udført blandt andet via hans computere, men han har forklaret, at hans computere har været fjernstyret under hele forløbet, og at hackerangrebet således ikke er udført af ham. Det fremgår af sagens oplysninger, at dansk og svensk politi har foretaget en række undersøgelser og analyser af muligheden for fjernstyring af tiltaltes computere. Undersøgelserne er foretaget blandt andet på baggrund af de muligheder for fjernstyring, som tiltalte og vidnerne J og P har anvist eller omtalt. Ingen af undersøgelserne har vist spor af eller tegn på fjernstyring, og undersøgelserne har snarere

- 3 peget i retning af, at computerne var sat op på en sådan måde, at adgangen til i hvert fald uautoriseret ( uvenlig ) fjernstyring heraf ikke har været meget sandsynlig. Det hører i den forbindelse med til vurderingen, at tiltaltes IP-adresse i Cambodja blev tildelt dynamisk, således at IP-adressen ændrede sig med korte intervaller, og at computerne havde mange genstarter, hvilket hver for sig vanskeliggjorde muligheden for i hvert fald at etablere en stabil uautoriseret fjernstyringsadgang. På baggrund af vidneforklaringerne fra ikke mindst J og P, hvilke forklaringer ikke til fulde er imødegået af anklagemyndigheden, finder vi imidlertid som byretten ikke tilstrækkeligt grundlag for at udelukke, at der har eksisteret mulighed for fjernstyring af tiltaltes computere, herunder en fjernstyring som tiltalte ikke havde givet tilladelse til. Landsretten er således blevet forelagt tekniske løsninger til at kunne fjernstyre computere som tiltaltes, og disse løsninger er ikke med den sikkerhed, der skal kunne danne grundlag for en domfældelse i en straffesag, blevet tilbagevist gennem den skete bevisførelse. Vi finder i øvrigt, at det i overensstemmelse med tiltaltes forklaring må lægges til grund, at i hvert fald den ene af tiltaltes computere ( Flechette ) var opsat til at virke som lab-computer med mulig tilgang fra andre af tiltaltes computere. Det er herefter uden betydning for sagen, om det kan lægges til grund, at tiltalte tillige var i besiddelse af andre computere, herunder en computer af mærket HP. Anvendelsen af tiltaltes computere i forbindelse med hackerangrebet mod CSC og sandsynligheden for fjernstyring heraf skal herefter vurderes i lyset af sagens øvrige oplysninger. På tiltaltes bærbare computer (navngivet Flechette ) er der fundet en række filer og datasæt, der med sikkerhed stammer fra tyveriet af filer og datasæt fra hackerangrebet mod CSC. På samme computer blev der tillige fundet filen BrowBack.sh, der efter det oplyste indeholdt en programkode, der blev anvendt i forbindelse med den ulovlige adgang til CSC s mainframe. Filerne er fundet på en krypteret container. Tiltalte har forklaret, at han ikke havde kendskab til krypteringen, ligesom han ikke havde kendskab til hele indholdet af containeren. Det kan på baggrund af de tekniske oplysninger i sagen lægges til grund, at adgang til den krypterede container forudsatte, at der ved enhver genstart af computeren manuelt blev indtastet et kodeord og i øvrigt, at filen indeholdende containeren manuelt blev åbnet. Når den krypterede container var åbnet, optrådte den som en almindeligt tilgængelig harddisk som computerens F-drev. Såfremt computeren har været fjernstyret, og den krypterede container alene kunne åbnes af en udefrakommende person, ville computerens F-drev således kun være tilgængelig og synlig, når fjernstyreren efter enhver genstart manuelt havde åbnet containeren. På den krypterede container er der blandt en meget stor mængde data (ca. 245.000 filer) fundet i hvert fald omkring 1.100 personlige dokumenter tilhørende tiltalte, der da heller ikke har bestridt at have anvendt containeren. Da tiltalte således med sikkerhed har an-

- 4 vendt den pågældende container, er det ikke meget troværdigt, at han var ubekendt med, at der, hver gang computeren blev genstartet, blandt andet manuelt skulle indtastes et kodeord for at få adgang til containeren. Som anført af byretten blev containeren i øvrigt skabt på computeren den 16. november 2010, hvilket er samme dag, som tiltalte navngav computeren Flechette, og samme dag som der på computerens skrivebord blev etableret en genvej til chatprogrammet mirc. Det var efter tiltaltes forklaring for landsretten desuden samme dag, som tiltalte installerede Windows på computeren. Vi er derfor enige med byretten i, at tiltaltes forklaring om, at han ikke selv installerede og bevidst benyttede den krypterede container, må tilsidesættes som utroværdig. På den krypterede container blev der desuden fundet filer hidrørende fra et hackerangreb begået mod det svenske selskab Logica, der er en svensk virksomhed, der varetog funktioner i Sverige, der minder om de funktioner, som CSC varetager i Danmark. Tiltalte er i Sverige sammen med MG fundet skyldig i at have foretaget ulovlig dataindtrængen i Logica. Hackerangrebene mod Logica, der blev påbegyndt i 2010, har stået på i samme periode, som hackerangrebene mod CSC fandt sted, og det er således filer fra dette hackerangreb, der blev fundet på samme krypterede container og i samme mappe, som filerne downloadet fra CSC. Det er derfor allerede af denne grund nærliggende at antage, at i hvert fald en af gerningsmændene i de to sager er den samme. At der er tale om samme gerningsmand, bestyrkes yderligere af en fil (SEMBSN.log) fundet på tiltaltes computer. Filen er en logfil fra programmet PuTTY, der typisk anvendes til fjernstyring af servere. Det er på baggrund af denne logfil sammenholdt med logoplysninger fra FTP-serveren i Logica og oplysninger fra CSC muligt at konkludere, at der den 4. marts 2012 blev opnået uberettiget adgang til Logicas FTP-server og ulovligt downloadet en række filer, og at der på samme tidspunkt fra helt samme computer blev foretaget 50 forgæves forsøg på login på CSC s FTP-server. Af en anden logfil (crapt5.log) fra programmet PuTTY fundet på tiltaltes computer fremgår det, at gerningsmanden under hackerangrebet mod såvel Logica i Sverige som CSC anvendte blandt andre samme domæne i Cambodja ( phnompenh.gov.kh ) til download af filer. Hackerangrebene mod Logica og CSC har i øvrigt en række andre fællestræk i forhold til de angrebsværktøjer, der blev anvendt under angrebene, og den måde, som gerningsmanden eller gerningsmændene opererede på i relation til blandt andet eskalering af egne rettigheder i den hackede mainframe. Vi finder det herefter helt ubetænkeligt at lægge til grund, at gerningsmanden bag hackerangrebet mod

- 5 CSC er den samme som i hvert fald en af de gerningsmænd, der stod bag hackerangrebet mod Logica i Sverige. På tiltaltes bærbare computer er der i den krypterede container, i en mappe navngivet CPR, hvor der også lå stjålne filer fra CSC, fundet en tekstfil indeholdende en chat, der den 13./14. februar 2012 fandt sted mellem personer benævnt i tekstfilen som My Evil Twin og Advanced Persistent Terrorist Threat. Tekstfilen er interessant, idet der er en så tæt sammenhæng mellem indholdet af samtalen mellem personerne i chatten og de angrebsforsøg mod CSC, der fandt sted på samme og efterfølgende tidspunkter, at det kan lægges til grund, at disse personer stod bag i hvert fald det indledende hackerangreb mod CSC i februar 2012. I chatten er der således referencer til brugernavne, domæner og andet, som samtidig med at chatten fandt sted blev anvendt under angrebsforsøgene, ligesom i hvert fald den af personerne benævnt som My Evil Twin viser at besidde et indgående kendskab til mainframes og styresystemet z/os, som må antages at være en forudsætning for at kunne opnå uberettiget adgang til en mainframe. Som det er anført af byretten, erkendte KT, at han var den ene deltager i chatten og ophavsmand til den tekst, der står ud for Advanced Persistent Terrorist Threat. Uanset at tekstfilen tilsyneladende ikke findes i sin originale form, og at den optræder som kopieret ind i sig selv flere gange, finder vi efter filens indhold og sammenhængen i den chat, der gengives i filen, at der ikke er holdepunkter for at antage, at tekstfilen ikke repræsenterer den chatsamtale, der fandt sted. Herefter, og i øvrigt af de grunde, som byretten har anført, lægges det til grund, at chatten med det angivne indhold og på det angivne tidspunkt fandt sted mellem KT på den ene side og en person benævnt My Evil Twin på den anden side, herunder at kaldenavnene i chatten er blevet ændret ved brug af programmet Pidgin, som også er blevet fundet på tiltaltes computer. Chatten mellem KT og My Evil Twin foregår hovedsageligt på engelsk og i begrænset omfang på dansk. My Evil Twin kommer flere gange under chatten med referencer til sin bopæl i Cambodja og hans tilhørsforhold til Sverige, herunder at han er registreret i SPAR, der svarer til det danske CPR, og det er således nærliggende at antage, at My Evil Twin er svensk statsborger med bopæl i Cambodja. I chatten henviser My Evil Twin til brugernavnet APT2011, som svarer til det brugernavn, der er tilknyttet den Hercules-emulator, der var installeret på tiltaltes stationære computer, og som der fandtes genveje til på computerens skrivebord. Af chatsamtalen fremgår det endvidere, at My Evil Twin oplyser at have uploaded en fil (XtermMeJCL) til internetsiden Pastebin.com, hvilken fil er sikret af politiet og fundet indholdsmæssigt identisk med en fil (Xterme.jcl) fundet i den krypterede container på tiltaltes bærbare computer. Endelig henviser My Evil Twin flere gange til domænet riviera.thelatticeteam.com. Det fremgår af sagens oplysninger, at domænet thelatticeteam.com er registreret af selskabet Novusordoseclorum Distributed Holding Ltd, der blev oprettet den 11. maj 2010 med tiltalte som registreret ejer. Tiltalte har forklaret, at det er ham, der har navngivet selskabet, og at

- 6 Novus Ordo Seclorum betyder ny verdensorden. I oplysninger fra andre chatkonversationer fremgår det, at brugeren tlt (eller en variant heraf) i adskillige tilfælde henviser til domænet riviera.thelatticeteam.com. Tiltalte har erkendt, at det er ham, der optræder som tlt (eller en variant heraf) under nogle, men dog ikke alle af disse chatkonversationer. I chatten mellem My Evil Twin og Advanced Persistent Terrorist Threat er der desuden et ordret citat, der utvivlsomt hidrører fra en artikel fra internettet ( Real Programmers don t use Pascal ), hvilket helt enslydende citat også optræder i en chatsamtale den 29. marts 2012 mellem tlt og MG ( dirox ). Efter en samlet vurdering af navnlig disse oplysninger, samt de af byretten i øvrigt anførte omstændigheder, tiltræder vi, at det er godtgjort, at det er tiltalte, der optræder som My Evil Twin under chatsamtalen med KT. Der er herefter allerede på denne baggrund meget, der peger i retning af, at det var tiltalte, der er svensk statsborger og havde bopæl i Cambodja, der stod bag eller i hvert fald medvirkede til hackerangrebet mod CSC. I den forbindelse bemærkes, at MG, der efter det oplyste er svensk statsborger med bopæl i Sverige, har været frihedsberøvet i Sverige i perioden fra den 15. april til 19. juni 2012, i hvilken forbindelse han efter det oplyste ikke har haft adgang til nogen form for computere. Der er imidlertid også andre oplysninger i sagen, der peger i retning af, at tiltaltes computere ikke har været fjernstyret af andre, men at hackerangrebet, der var omfattende og teknisk særdeles kompliceret, er udført af tiltalte selv. Tiltalte har forklaret, at den ene af hans computere ( Flechette ) var sat op som en lab-computer, der via fjernstyring blev anvendt af en række personer, som han ikke har ønsket at oplyse identiteten på. Det var som tidligere anført på denne computer, at der i en krypteret container blev fundet en lang række filer med direkte tilknytning til hackerangrebet. På computerens skrivebord, som kommer frem ved at logge på som computerens mest benyttede bruger (brugeren A ), er der et link til en Herculesemulator, der efter det oplyste er et program, der gør det muligt på en normal computer at installere og anvende programmer designet til mainframe-computere. Tiltalte har i byretten forklaret, at emulatoren er installeret af en af computerens øvrige brugere, og at han ikke selv har anvendt programmet, som han dog har set køre. I landsretten har tiltalte forklaret, at han ikke forud for sagen har haft kendskab til Hercules-emulatoren, og at han ikke havde hæftet sig ved, at der var oprettet et link hertil på hans computer. På baggrund af tiltaltes forklaringer for by- og landsret må det i første række lægges til grund, at han har givet udtryk for den opfattelse, at hans computere har været anvendt og misbrugt til hacking af CSC af en person, som tiltalte har givet tilladelse til at fjernstyre computeren ( venlig fjernstyring ), og at computeren således ikke har været fjernstyret af personer, der er ukendte for tiltalte ( uvenlig fjernstyring ). For landsretten har tiltalte imidlertid supplerende eller i hvert fald præciserende navnlig

- 7 gjort gældende, at computerne må have været fjernstyret i det skjulte ( uvenlig fjernstyring ). Vi finder, at det ikke er meget sandsynligt, at tiltalte, der efter det oplyste besidder et indgående kendskab til computere, ikke i en periode fra omkring den 13. februar til 28. august 2012 ville have opdaget den uautoriserede fjernstyring, herunder at han fra tid til anden blandt andet ikke havde adgang til sit F- drev, der indeholdt filerne i den krypterede container, og som derfor først ville være tilgængelig, når der var indtastet et kodeord, som han ifølge egne oplysninger ikke kendte. Det ville tillige være usædvanligt, at en anonym hacker, der ikke i øvrigt har efterladt sig spor, blandt andet ville oprette et link til en Hercules-emulator på tiltaltes skrivebord. Det er imidlertid lige så usandsynligt, at tiltaltes computere har været fjernstyret og misbrugt af personer, som tiltalte havde givet fjernadgang til computerne. Tiltalte har således ikke på nogen måde kunnet give en rimelig forklaring på, hvorfor hans computere skulle have været fjernstyret og misbrugt i den aktuelle sammenhæng af personer i hans bekendtskabskreds, og det forekommer os helt usandsynligt, at noget sådan ville kunne finde sted uden tiltaltes kendskab og billigelse, herunder at tiltalte efterfølgende ikke skulle have en interesse i at hjælpe politiet med at identificere den eller de pågældende gerningsmænd, der i givet fald skulle have misbrugt tiltaltes tillid og bidraget til, at han blev fængslet og dømt på et uretmæssigt grundlag. Tiltalte var på anholdelsestidspunktet også i besiddelse af en anden computer. På denne anden computer (navngivet Metaverse ) er der på en diskenhed af harddisken installeret et Linux operativsystem samt den omtalte Hercules-emulator. Det fremgår af en PuTTY-log fra den 7. april 2012, at gerningsmanden den pågældende dag foretog login på CSC s mainframe, og at maskinen, der blev logget ind fra, identificerede sig selv med navnet manvssys, hvilket er identisk med den lokale installation af operativsystemet z/os, som er fundet på tiltaltes computer. Det fremgår endvidere, at gerningsmanden anvendte brugernavnet APT2011, der som anført blev henvist til i chatten mellem My Evil Twin og Advanced Persistent Terrorist Threat. Der er på den stationære computer desuden fundet en række filer navngivet blandt andet Kriminalregistret.txt, ligesom det er konstateret, at 7 af de IPadresser, der blev anvendt i angrebet mod CSC, kan knyttes til den pågældende harddisk. Endelig blev der på en anden diskenhed tilknyttet denne computer fundet en programkode (koki-script), der efter det oplyste er anvendt af gerningsmanden i forbindelse med hackerangrebet. Hertil kommer som også anført af byretten at politiet i forbindelse med undersøgelsen af tiltaltes computere har konstateret, at der i downloadede udtræk af Schengen Informationssystem er foretaget en række søgninger. En gennemgang af disse søgninger viser, at der i de stjålne filer er foretaget en række personspecifikke søgninger med relation til navnlig tiltaltes fødselsdato og navn. Tiltalte kan desuden sættes i forbindelse med kaldenavnet tlt, der i forskellige chatkonversationer har omtalt forhold og omstændigheder, der når disse sammenholdes med sagens øvrige oplysninger,

- 8 har tilknytning til hackerangrebet mod CSC. Tiltalte har i nogle tilfælde erkendt, at det er ham, der optræder som tlt i chatten, hvilket navnlig synes at være tilfældet, hvis der er oplysninger i chatkonversationen i øvrigt, der utvetydigt peger på ham. Tiltalte har således i landsretten forklaret, at han deltog som tlt i en chat med FN. Chatten er på tiltaltes computer tidsstemplet til 5. januar 2011, men oplysninger i sagen peger på, at computeruret har gået forkert. I chatten omtaler tiltalte blandt andet et hackerangreb foretaget mod svenske myndigheders mainframe begået et år forud for chatten, hvor han ifølge chatten skulle havde været inde at hente oplysninger fra blandt andet det svenske CPR og kriminalregistret. Konfronteret med denne chat har tiltalte i landsretten forklaret, at denne ikke skal tages alvorligt, da det hele blev sagt for sjov. Under en anden chatsamtale, der ifølge tidsstemplingen fandt sted den 4. august 2011, omtaler en ukendt person tlt som my evil friend. Tiltalte har erkendt, at det er ham, der optræder som tlt i chatsamtalen, og at det således også er ham, der under chatsamtalen udtaler, at han er den eneste hacker i Cambodja. Også dette er ifølge tiltaltes forklaring sagt for sjov. I andre chatkonversationer, hvor tlt eller en variant heraf (tlt, tlt- eller tlt_) optræder, har tiltalte nægtet, at det er ham, der skriver som tlt. Det drejer sig om en række chatkonversationer med et belastende indhold i forhold til denne sag. Som eksempler kan nævnes en chat, hvor tlt- i en chat med dirox (MG) den 9. marts 2012, hvor der tales om det svenske SPAR, skriver: btw vi har varit på danske motsvarigheten oxo har en del anvandernamm iaf men inga losenord de verkar iaf inte kora revoke :). I den samme chat skriver tlt-, at strømmen hos ham tidligere har været væk i 18 timer, og der henvises til domænet phnompenh.gov.kh. I chatten findes tillige henvisninger til brugerkontoen APT2011. I en anden chat mellem brugeren jude-bear og tlt den 14. juli 2011 sker der en drøftelse af salg af sårbarheder, hvor tlt oplyser, at han er blevet tilbudt 100.000 USD for salg af en enkelt sårbarhed. I den samme chat udtaler tlt, at han på grund af computerproblemer havde været nødt til at geninstallere et clean system. Af oplysningerne fra efterforskningen i sagen fremgår det, at der skete en reinstallation af Windows på tiltaltes computer den 11. juli 2011. Endelig finder vi det som byretten påfaldende, at hackerangrebet mod CSC, der bortset fra perioden fra den 22. april til 16. juni 2012 havde fundet sted kontinuerligt siden februar 2012, ophørte efter tiltaltes anholdelse, selv om muligheden for uberettiget adgang fortsat bestod helt frem til den 6. marts 2013, hvor den sidste af de programkoder, der var oprettet til at etablere den uberettigede adgang, blev fjernet af CSC. Det er i den forbindelse uden betydning, at det ikke teoretisk kan udelukkes, at der efterfølgende kan være skabt en ikke kendt uberettiget adgang af andre via eksempelvis FTP-serveren, idet det afgørende er, at hackerangrebet ophørte i den form og på den måde, som havde været gerningsmandens modus siden april 2012. Uanset at vi således som byretten ikke helt har kunnet udelukke muligheden for fjernstyring af tiltaltes computere, så foreligger der således en lang række øvrige oplysninger i sagen, der i hvert fald

- 9 samlet set helt oplagt og entydigt godtgør, at hackerangrebet mod CSC er foretaget i hvert fald under medvirken af tiltalte. Den omstændighed, at det ikke helt kan udelukkes, at der foruden tiltalte og til dels domfældte KT kan have været yderligere medgerningsmænd involveret i hackingen af CSC, er uden betydning for vurderingen af de beviser i sagen, der samlet set utvivlsomt godtgør tiltaltes centrale involvering. Med disse bemærkninger og af de grunde, der i øvrigt er anført af byretten, finder vi tiltalte skyldig i overensstemmelse med byrettens bevisresultat. Vi finder i øvrigt anledning til at bemærke, at selv om det kunne lægges til grund som anført af byrettens mindretal at det ikke var godtgjort, at det var tiltalte, der udførte hackerangrebet, men at han havde kendskab hertil, så indebærer et sådan kendskab til ulovlige aktiviteter foregået via computere, som tiltalte havde stillet til rådighed, et medvirkensansvar i forhold til de ulovlige aktiviteter, således at tiltalte efter straffelovens 23 i det omfang et sådant medvirkensansvar i øvrigt er dækket af beskrivelsen i den rejste tiltale vil kunne ifalde strafansvar efter de samme bestemmelser. T h i b e s t e m m e s: Tiltalte findes skyldig i overensstemmelse med byrettens bevisresultat. ----- Samtlige nævninger (9) og dommere (3) udtaler vedrørende sanktionen: Strafferammen for overtrædelse af de pågældende bestemmelser er fængsel indtil 6 år. Sagen er den hidtil alvorligste af sin karakter, hvor der i forbindelse med angrebet, der foregik systematisk og havde en lang tidsmæssig udstrækning, blev downloadet en betydelig mængde stærkt personfølsomme oplysninger til servere i Tyskland, Cambodja og Iran. Efter det oplyste er de stjålne filer endnu ikke lokaliseret, og der er derfor fortsat risiko for, at de stærkt personfølsomme oplysninger stadig kan tilgås med potentiel stor skadevirkning for de berørte personer. Hertil kommer, at angrebet, der var teknisk meget kompliceret, har forårsaget omkostningskrævende skadevirkning på CSC s systemer. Der foreligger ikke oplysninger i sagen om, at oplysningerne er solgt eller videregivet til tredjemand eller andre stater. Tiltalte er desuden ikke tidligere straffet for tilsvarende kriminalitet, idet det bemær-

- 10 kes, at denne sags forhold er begået forud for Svea Hovrätts dom af 25. september 2013, hvor tiltalte blev idømt 1 års fængsel. Med disse bemærkninger er der afgivet 4 stemmer for at fastsætte straffen til fængsel i 4 år og 6 måneder, 5 stemmer for at fastsætte straffen til fængsel i 4 år og 9 stemmer for at stadfæste straffen på fængsel i 3 år og 6 måneder. Da der således forligger stemmelighed, træffes afgørelsen efter det for tiltalte gunstigste resultat, jf. retsplejelovens 931, stk. 3, sidste pkt., således at byrettens straffastsættelse stadfæstes i medfør af de af byretten citerede bestemmelser. Samtlige nævninger og dommere har af de grunde, der er anført af byretten, stemt for at stadfæste byrettens bestemmelse om udvisning. T h i k e n d e s f o r r et : Byrettens dom stadfæstes. Tiltalte skal betale sagens omkostninger. (Sign.) Udskriftens rigtighed bekræftes. Østre Landsret, den 17. juni 2015 Susanne Kristiansen souschef

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback