svenska hackare
En berättelse från nätets skuggsida
Daniel Goldberg/ Linus Larsson
Norstedts Besöksadress: Tryckerigatan 4 Box 2052 103 12 Stockholm www.norstedts.se Norstedts ingår i Norstedts Förlagsgrupp AB, grundad 1823 © 2011 Daniel Goldberg, Linus Larsson och Norstedts, Stockholm. Omslag: Miroslav Sokcic / Graphic Laundry E-boksproduktion: Elib AB 2011 ISBN e-bok 978-91-1-303344-0 ISBN tryckt utgåva 978-91-1-303044-9
Innehåll Prolog 7 Förord 11 Historien om Stakkato 15 Först in i framtiden 75 Ambassadhackaren från Malmö 103 Dataintrång som spor t 147 Utan ansikte 207 Hackandet blir politiskt 225 Till högstbjudande 277 Epilog 285 Tidslinje 291 Checklista för överlevare 294 Ordlista 297 Noter 305
Svenska_hackare_till_tryck_20110222.indd 5
2011-02-22 11:16:26
Svenska_hackare_till_tryck_20110222.indd 6
2011-02-22 11:16:26
Prolog »Jag tror jag har hittat någonting«
Dan Egerstad ställde ner sin öl på skrivbordet och slog sig ner framför datorn. Det var fredag kväll och mitt i sommaren 2007. Hans lägenhet låg ett stenkast från Möllevångstorget i södra Malmö och utanför fönstret rullade bilarna förbi på väg in mot staden. Han trummade med fingrarna mot skrivbordet i takt med den amerikanska rockmusiken som strömmade ur datorhögtalarna, tog en klunk öl och klickade igång ett par program. Snart skulle han ge sig av till en fest hos en kompis, men först ville han kolla en grej. Det var dags att se efter vad hans nya projekt hade gett för resultat. Den långa och gängliga 21-åringen försörjde sig som IT-konsult, drev hemsidor och programmerade åt småföretag runt om i staden. Jobbet skötte han i huvudsak hemifrån, via en av de tre datorer som stod uppkopplade mot det trådlösa nätverket i lägenheten. Det gav inga stora pengar, men det var tillräckligt. Dessutom fick han jobba på sina egna villkor och med någonting han tyckte om. Nästan fyra veckor hade gått sedan han dragit igång sitt senaste experiment, ett av många som pågick under kvällar och helger i den lilla lägenheten. Han hade anslutit en av sina datorer till Tor, ett digitalt nätverk byggt för att underlätta anonymitet på nätet. Ett verktyg för de som vill skicka eller ta emot information men hålla sin verkliga identitet hemlig. Frågan var: hur mycket av den informationen kunde Dan Egerstad fiska upp på vägen? Hans egen dator – ingen märkvärdig maskin utan en helt vanlig PC – var nu en nod i det 7
Svenska_hackare_till_tryck_20110222.indd 7
2011-02-22 11:16:27
svenska hackare
nätverket, en av flera punkter världen över som trafiken i Tor-nätet studsade igenom på väg till sin slutdestination. Allt för att göra det så svårt som möjligt att spåra den ursprungliga avsändaren. Med hjälp av ett program han skrivit själv kunde Dan Egerstad fånga informationen innan den skickades vidare och spara ned allting på sin hårddisk. Programmet var ett digitalt fiskenät som lagts ut tvärs över en flod av information. Varje sekund skannade det av uppgifterna som strömmade genom Dan Egerstads dator och sparade ned allt som stämde överens med de sökparametrar han ställt in. Nu var det dags att se vad som hade fastnat. Dan Egerstad tog en klunk öl till, knappade på tangentbordet och öppnade textfilen som innehöll den sparade informationen. Han hade inte hunnit fundera så mycket på resultatet, vilken typ av information som kunde tänkas ha fastnat i nätet. Textfilen skulle innehålla ett par mejl, kanske. Förmodligen en massa inloggningar på porrsajter. Oroliga webbsurfare använde ofta anonymiseringstjänster för att kolla på nakenbilder i smyg på jobbet, det var allmänt känt. Målet med projektet var att testa gränserna, röra runt lite i Tor och se vad som flöt upp till ytan. Men när uppgifterna i textfilen började rullas upp på skärmen hoppade han till. Det här var definitivt inte vad han hade väntat sig. Det var som om en dammlucka hade öppnats till nätets smutsiga undersida. Dan Egerstad förstod inte hur eller varför, men framför honom strömmade en flod av topphemlig information förbi på skärmen. Mejladresser och inloggningsuppgifter som tillhörde högt uppsatta chefer, politiker, journalister och tjänstemän världen över. Flera tusen topphemliga mejlkonton, samtliga med användarnamn och lösenord, nu prydligt nedsparade på en hårddisk i södra Malmö. I listan med kontouppgifter syntes storföretag, myndigheter, militära institutioner och ambassader. Ett brev där kung Carl XVI Gustaf artigt avböjde en inbjudan till en pianokonsert hos Rysslands ambassadör i Stockholm flöt förbi. Därefter ett meddelande från en direktör på ett av USA:s största börsbolag. Mängder av hemligheter, uppgifter som borde legat i tryggt förvar bakom tunga säkerhets8
Svenska_hackare_till_tryck_20110222.indd 8
2011-02-22 11:16:27
prolog
system. Dan Egerstad skrattade till. Vad var det han hade snubblat över? Ett par timmar senare slet han sig till sist från datorn och lämnade lägenheten. Han struntade i att han hade druckit och tog bilen ändå. Det var mörkt ute när Dan Egerstad öppnade porten till kompisens lägenhet i Söderkulla, ett par minuter längre bort i södra Malmö. Upphetsningen bubblade i magen när han sprang upp för trapporna i bostadshuset. Hemma i Dans egen lägenhet tuggade programmet vidare, nya uppgifter sparades ned på hårddisken. Att han ramlat över någonting stort var det ingen tvekan om. Men vad? Och varför? Kärnan i det gäng som Dan Egerstad umgicks med var också intresserade av teknik. Det var inte ovanligt att de pratade datorer och internet när de umgicks. På festen fanns det gott om annat folk att prata med, men Dan Egerstad hade svårt att släppa dagens stora upptäckt. Uppgifterna som tickat fram på skärmen hemma i lägenheten surrade hela tiden i hans bakhuvud. Han hade lovat sig själv att inte berätta för någon. Inte förrän han hade listat ut vad det var för någonting han snubblat över. Men ju senare det blev desto svårare var det att låta bli. Efter ytterligare ett par öl kunde han inte hålla sig längre. Dan Egerstad lutade sig fram till en kompis. Han pratade nära hans öra för att överrösta musiken. – Jag tror jag har hittat någonting, sa han, rösten gäll av upphetsning. Det kanske kan bli någonting häftigt.
9
Svenska_hackare_till_tryck_20110222.indd 9
2011-02-22 11:16:27
Svenska_hackare_till_tryck_20110222.indd 10
2011-02-22 11:16:27
Förord
Det här är en bok om människor, inte om maskiner. Om den brokiga skara personer som samlas under namnet hackare, och en inblick i en av vår tids mest mytomspunna subkulturer. För många är hackaren en skurk, en spion som ägnar sig åt dataintrång och sabotage. För andra är han, för det är oftast en han, en ensam och osäker tonåring med datorn och nätet som enda vänner. Hackaren framställs ofta som en magiker och en trollkarl, en person med nästan övernaturlig makt i den digitala världen. Hackaren är skurken bakom otaliga tidningslöpsedlar om dataintrång och sabotage på internet. Och han är monstret i garderoben som IT-säkerhetsproffsen hotar med för att skrämma ansvarstyngda chefer att satsa ytterligare ett par miljoner kronor i nya virusskydd. Men hackaren är också en hjältefigur och en fanbärare, en representant för den världsbild som präglat den digitala världen ända sedan de första kylskåpstunga datorsystemen rullades in på svenska universitet för snart femtio år sedan. Hackarens grundmurade tro på teknikens möjligheter – och sin egen självklara rätt att använda den som han vill – har satt sin prägel på allt från nittiotalets spirande hemdatorkultur, via 00-talets häftiga debatt kring fildelningssajten The Pirate Bay och dagens diskussioner om övervakning och digital politisk aktivism. Den generation svenskar som vuxit upp med kraftfulla datorer och blixtsnabba uppkopplingar på tonårsrummen har levt med den världsbilden sen barnsben. Med boken du nu håller i din hand vill vi ge en inblick i vad 11
Svenska_hackare_till_tryck_20110222.indd 11
2011-02-22 11:16:27
svenska hackare
som bäst kan beskrivas som den svenska digitala underjorden. Det är sanna historier från ett samtida Sverige i snabb och dramatisk förändring, ett Sverige där den etablerade makten får allt svårare att behålla kontrollen över tekniken och informationen. På vägen möter vi personerna bakom några av vår tids mest spektakulära dataintrång. Vi ville fråga oss varför. Vad det är som driver unga män att bryta sig in i topphemliga datorsystem och dra fram hemligstämplad information i ljuset utan att de själva har någonting att tjäna på det? Vad är det som får samma personer att sitta som fastklistrade vid sina datorer nätterna igenom för att ta sig förbi nästa lösenordsskyddade server i nätverket? Vad är det som får tonåringar utan det minsta intresse för politik att ta till vapen så fort fildelning och signalspaning kommer på tal? Svaren har vi sökt i en sluten kultur som tillåtits växa och utvecklas på sin egen kant i decennier. Den svenska hackarvärlden består av vitt skilda individer. Vissa av våra intervjuobjekt har själva valt att träda fram, andra har fällts i domstol mot sitt nekande. Ytterligare en grupp är fortfarande anonym och gömmer sig bakom flera lager av säkerhetsfunktioner, tillfälliga alias i slutna chattkanaler och mobiltelefoner som inte går att spåra. Kopplingarna mellan grupper och individer är många. Flera känner varandra, har mötts via chatt eller på diskussionsforum, bytt verktyg och diskuterat. Det är en hemlighetsfull värld, en liten krets av invigda där förtroendet och tystnadsplikten betyder allt. Om preskriberade brott och fall som hör det förflutna till talas det vitt och brett, men frågor om mer nutida händelser bemöts med tystnad. Ändå har många mot löfte om anonymitet sänkt garden och hjälpt oss i vårt arbete med denna bok. För detta riktar vi ett tack till alla dem som på egen begäran inte ens kan nämnas i en tacklista. Vissa hävdar att ordet hackares ursprungliga betydelse – en tekniskt kunnig person som entusiastiskt tar sig an utmaningar med en känsla för både elegans och precision – försvunnit i mediebruset. Samma personer klagar gärna på att ordet kidnappats av medierna och i dag endast används nedlåtande för unga vandaler som stjäl känslig information eller förstör dyrbara datorsystem i jakt på uppmärksamhet. 12
Svenska_hackare_till_tryck_20110222.indd 12
2011-02-22 11:16:27
förord
Vi hävdar att det ena inte utesluter det andra. Många av de personer vi möter i den här boken passar in lika bra i båda lägren. Den nyfikna tonåringen, den fildelande IT-aktivisten och den välbetalda säkerhetsexperten delar alla många grundläggande övertygelser och intressen. Det är lätt att avfärda hackarna som brottslingar. Men bakom de inte sällan pubertala angreppen på oskyldiga sajter och systemägare finns djupare drivkrafter. En instinktiv vilja att bemästra den teknik som ligger till grund för hur alltmer av vårt moderna samhälle fungerar, och en febrig besatthet av att reda ut hur allt ihop fungerar. Samma drivkrafter kan skönjas hos de aktivistgrupper som engagerar sig i frågor om informationsfrihet, nätneutralitet och övervakning. Alla delar de en positiv syn på den nya teknikens möjligheter och en djupt rotad misstro mot försök att kontrollera och ruta in den digitala världen. I den här boken använder vi begreppet hackare som ett samlingsnamn på dessa grupper. Berättelserna i den här boken är bara toppen av ett isberg. I dag genomsyrar den digitala tekniken hela vår existens. Enorma mängder information om vilka vi är, våra åsikter, inkomster, affärer och relationer finns lagrade i elektronisk form. Det gör att hackandet som fenomen bara blir viktigare att förhålla sig till. När svenska tonåringar under det tidiga 1990-talet klottrade ned CIA:s hemsida med svordomar gick det att vifta bort dem som vandaler. När vi i dag träffar personer som läser kvartalsrapporter från storföretag innan de når aktiemarknaden och tar över system som är kraftfulla nog att slå ut hela internet så är det annorlunda. År 2010 polisanmäldes 2 339 fall av dataintrång i Sverige, fler än någonsin tidigare och nästan fyra gånger så många som för fem år sedan. Men för varje dataintrång som offentliggörs sker tio gånger fler i det fördolda. I en alltmer uppkopplad värld borde detta vara en varningsklocka. För den som har makten över nätet har, i allt väsentligt, makten över våra liv. Linus Larsson & Daniel Goldberg Stockholm, januari 2011 13
Svenska_hackare_till_tryck_20110222.indd 13
2011-02-22 11:16:27
Svenska_hackare_till_tryck_20110222.indd 14
2011-02-22 11:16:27
Historien om Stakkato »Mitt liv hade varit bättre om jag bara hade spelat fotboll i stället«
Uppsala, 16 maj 2006
Kriminalinspektör Leif Eriksson sjönk ner i en stol inne på sitt arbetsrum. Ännu ett vittne, den här gången en 18-årig kvinna som stod närmare den misstänkte än de tidigare, satt mitt emot honom framför hans skrivbord. Klockan var kvart över tre på eftermiddagen, Leif Eriksson ställde en första fråga och kvinnan berättade. Hon hade träffat Philip Pettersson hösten 2004 och de hade blivit ett par. I början hade allt kretsat kring datorer, speciellt kring operativsystemet Linux. Snart hade hon förstått att han var mer än en duktig programmerare som gick första året på IT-gymnasiet i Uppsala. För honom tycktes allt handla om säkerhet, lösenord och om att ta sig in i främmande system. Eller åtminstone om att veta hur man gjorde. Även hon själv hade både intresset och kunskapen. Framför sin dator var hon kapabel till betydligt mer än den genomsnittlige användaren och redan under gymnasiet hade hon börjat extraknäcka som tekniker åt privatpersoner med datorproblem. Jo, han hade visat upp artiklarna, texter från amerikanska tidningar som berättade om hur en hackare hade tagit över gigantiska superdatorer i USA. Mest snack, hade hon trott först. Leif Eriksson lyssnade. Då och då sköt han in en fråga för att driva förhöret framåt. I ett år hade de varit ihop. Hela tiden återkom den där sidan av honom. En skrytsamhet och ett behov av att hela tiden behöva visa 15
Svenska_hackare_till_tryck_20110222.indd 15
2011-02-22 11:16:27
svenska hackare
upp bedrifter, alltid relaterade till IT-säkerhet, hemlig information och stängda servrar. De kom in på koden, den topphemliga från det stora företaget i USA som alla hade pratat om. Strax innan Philip Pettersson blev hennes pojkvän hade den stulits av någon som hade hackat företagets servrar. Leif Eriksson ställde frågan: Hade hon sett den själv? – Nej. Polismannen bläddrade bland sina papper och började läsa från en lista med alias hämtade från nätet. Kvinnan hjälpte till så gott hon kunde. Några var klasskompisar, andra kände hon inte till. Vilket namn använde Philip Pettersson? Rebel, även om det kunde stavas på många sätt. Och så det andra namnet, ett hemligt. – Något i stil med staket. En gång sa jag någonting som liknade hans nickname. Han blev tyst och konstig.1 San Diego, mars 2004.
I ett mörkt rum under San Diegos superdatorcentrum satt Abe Singer vid sitt skrivbord. Han var en kraftig man, med bockskägg och ett renrakat huvud som fick honom att påminna om en grovarbetare. Runt honom låg travar med papper. En flaska tequila och flera datorer stod uppställda i rummet. Inget exklusivt kontor, men han trivdes. I källarutrymmet kunde kan sköta sitt och det var nära till motorcykeln som varje dag stod parkerad utanför. Byggnaden ovanför var en gråblek kloss med tonade fönster och utgjorde superdatorcentrets lokaler. De vita parabolantennerna, flera meter i diameter, på husets tak gav det ett märkligt futuristiskt utseende. Abe Singer var säkerhetsansvarig på superdatorcentret. Från det underjordiska rum där han tillbringade det mesta av sin tid höll han utkik efter avvikelser i flödena av information som tydde på att någon obehörig tagit sig in. Datorsystemet han ansvarade för var ett av USA:s största, där forskare utförde beräkningar om allt från klimatförändringar till framtidens stridsflygplan. Det var fortfarande morgon när mejlprogrammet blinkade till. Som 16
Svenska_hackare_till_tryck_20110222.indd 16
2011-02-22 11:16:27
historien om stakkato
en av centrets mest framstående säkerhetsexperter var Abe Singer van vid en full inbox. Men det här brevet fick honom att reagera. Meddelandet var inte skrivet av en människa utan av ett program och innehöll en kort varning. Bara sekunder tidigare hade någonting ovanligt hänt i systemet, ett nätverk av hundratals datorer hopkopplade till en av världens största superdatorer. Någon hade skrivit ett kommando som med rätt lösenord skulle ge den inloggade fullständig makt över systemet. Kommandot kallas sudo, en förkortning av »superuser do«, och innebär att en vanlig användare ber att få byta identitet, uppge lösenord och därmed växa till superanvändare med fullständig och absolut makt, den mest betrodda rollen i ett datorsystem. Men lösenordet hade varit fel. Det var egentligen ingenting konstigt, men ändå en tydlig varningsklocka. Även den riktiga superanvändaren kunde ju slinta på tangenterna, men för säkerhets skull var programmet inställt för att skicka en varning till den säkerhetsansvariga när det hände. Abe Singer log för sig själv. Användaren som tycktes ha skrivit fel var en av centrets mest erfarna systemoperatörer och ett missat lösenord från honom såg man inte ofta. Han lyfte på luren och ringde kollegan för att ge en gliring. Stavfel? För ett ögonblick var det tyst i luren. – Det var inte jag, svarade kollegan med långsam röst. Utan att någonting mer behövde sägas förstod de båda vad det betydde. Någon som inte hörde hemma i systemet hade försökt ta sig in och gjort anspråk på makt. Abe Singer lade allt annat åt sidan och började gå igenom systemet för att följa främlingens kommandon.2 Flera tusen forskare hade tilldelats användarnamn och lösenord som gjorde att de kunde logga in på anläggningen i San Diego. Var och en hade rätt till en liten del av systemet, sin egen area där de kunde lagra mejl, spara filer och framför allt köra de extrema program som krävde den beräkningskapacitet som man här kunde erbjuda. Utanför det egna området skulle hela systemet vara låst för användaren. Så fungerar alla system som delas av flera personer. Utan denna 17
Svenska_hackare_till_tryck_20110222.indd 17
2011-02-22 11:16:27
svenska hackare
rangordning skulle vem som helst kunna läsa andras mejl, ta del av andras filer och till och med stänga av en anläggning som måste vara tillgänglig dygnet runt. Snabbt fick Abe Singer fram den viktigaste informationen om det misstänkta kontot. Anslutningen kom utifrån, någonstans på internet. Försöket att bli superanvändare hade skett på en central dator som används för att kontrollera stora delar av centret. Att ta över den skulle ge en inkräktare en utmärkt plats att jobba sig vidare från och ta kontroll över fler datorer. Filerna Abe Singer nu skummade igenom visade att intrångsförsöket hade kommit in via en mindre dator i nätverket, en vanlig skrivbordsmodell i en annan del av lokalerna. Dessutom – angriparen var fortfarande inloggad på systemet. Han rasslade ner ett kommando på tangentbordet. Ansluten. Svart text på vit bakgrund visade datorns namn. Nu blickade Abe Singer rakt in i samma dator som hackaren. På skärmen visade det sig bara genom en rad med text, men bakom uppkopplingen måste det sitta en människa, någon som är beredd att bryta sig in och kanske – om Abe Singer hade otur – både kunde och ville förstöra de system han tagit sig in i. Allt var stilla. Inkräktaren tycktes inte göra någonting. Vad väntade han på? Abe Singer avvaktade. Att avbryta uppkopplingen och slänga ut honom hade varit enkelt, men reglerna var strikta på den punkten: Det gäller att övervaka, inte att koppla bort. Den som har hittat ett hål att ta sig in genom kommer hitta det igen och komma tillbaka, den gången mer uppretad än tidigare. Därför är det klokare att iaktta, lära sig angriparens tekniker och taktik. Det här var en sådan situation. I några minuter stirrade Abe Singer på skärmen i väntan på att någonting skulle hända. Sedan bröts uppkopplingen. Hackaren var borta. I samma sekund utlöstes en kedja av mekanismer som hackaren riggat upp. Loggfilerna raderades, alla spår efter intrånget städades upp. Datorn han tagit sig in i skulle framstå som orörd. »Han måste ha märkt att han var upptäckt«, tänkte Abe Singer medan han gick tillbaka till loggfilerna och fortsatte leta. En tanke 18
Svenska_hackare_till_tryck_20110222.indd 18
2011-02-22 11:16:27
historien om stakkato
gnagde: Hade han gjort rätt som loggade in på den angripna maskinen? Erfarna hackare håller koll på vilka andra som är anslutna till en dator de håller på att utforska. Så snart en systemoperatör kommer i närheten vet de att de inte kan agera i hemlighet och drar sig tillbaka. Bara riktiga amatörer missar en sådan sak. Det var alltså ingen nybörjare Abe Singer hade att göra med. San Diegos superdatorcentrum höll vid den här tiden på att starta ett av världens mest kraftfulla datorsystem. När den internationella topplistan uppdaterades tre månader senare fanns bara 22 system i hela världen med större beräkningskraft än San Diego-centrets stolthet Data Star. Anläggningar av den här storleken är så snabba och kan hantera sådana informationsmängder att deras styrka beskrivs i helt andra termer än vanliga datorer. Bara utvalda forskare i universitets- och storföretagsvärlden kommer i närheten av dem, och de kostar tiotals miljoner kronor att köpa in och installera. San Diegocentret är en del av University of California, men en del av pengarna kommer från både det amerikanska försvarsdepartementet och myndigheten för avancerad försvarsforskning, DARPA.3 Att en unge med grundläggande datorkunskaper kommit över lösenordet till en enskild forskares konto kunde Abe Singer leva med, åtminstone tillfälligt. Riktigt farligt blev det först när någon tog sig längre än så, speciellt om inkräktaren fick tillgång till de servrar där ofantliga mängder forskningsdata fanns lagrad. Att sätta ett exakt värde på informationen som fanns lagrad i San Diego är svårt, men 2008 uppgavs forskningen som bedrevs med USA:s superdatorer vara värd sammanlagt 271 miljoner dollar.4 För att inte tala om skammen över att kronjuvelen skulle ha tagits över av en utomstående. Ännu tycktes det inte ha hänt. Vem – eller vilka – det än var som hade försökt ta sig förbi säkerhetsspärrarna så var det bara en del av systemet som var knäckt. En central del, men inte hela. Abe Singer satt med blicken klistrad vid skärmen och sökte efter ledtrådar som kunde hjälpa honom vidare. Snart började han se ett mönster kring det misstänkta kontot. Först hade lösenordet använts 19
Svenska_hackare_till_tryck_20110222.indd 19
2011-02-22 11:16:27
svenska hackare
för att logga in från ett av de universitet som superdatorcentret samarbetade med. Ingenting konstigt med det, en forskare kunde vara på besök i en annan stad och behöva komma åt sina filer hemma. Inloggningen gav dessutom bara tillgång till en begränsad del av systemet. Det märkliga var att samma lösenord strax därefter hade använts från en privat bredbandsuppkoppling. Adressen kunde spåras till den norra delen av USA:s stillahavskust, en halv kontinent bort. Sekunder senare hade den nu inloggade personen pepprat anläggningens olika delar med samma lösenord, ryckt i varje dörr för att se om den var öppen. På några av dem fungerade det och för varje gång hade han tagit sig ett steg längre in i universitets komplicerade väv av servrar och nätverk. Någonting var helt klart fel, men det slutade inte där. På flera andra ställen i systemet hittade Abe Singer spår efter en typisk angripare. Program som inte hörde hemma på en universitetsserver, filer med lösenord och privat information sparad på fel ställen. Allt pekade nu åt samma håll. Någon hade tagit sig långt in i åtminstone delar av superdatoranläggningen och arbetade frenetiskt för att lägga fler konton, mer information och ytterligare servrar under sin kontroll. Visst hade han hört rykten. Sedan slutet av 2003 hade superdatorcentra i hela USA utsatts för systematiska dataintrång som alla gick till på samma sätt. Varje gång användes ett enskilt lösenord för att ta sig in, serverns skydd knäcktes med specialskrivna program och en bakdörr installerades. Under våren 2004 fylldes de amerikanska universitetsnäten av larm om misstänkta attacker. Månaden efter intrånget i San Diego publicerade Stanford, det ansedda universitetet i teknikmeckat Silicon Valley, för första gången uppgifter om intrången offentligt. Hackaren – eller gruppen av hackare – tycktes särskilt leta efter de mest kraftfulla systemen, hette det i varningen. En skarp uppmaning, passande nog skriven i alarmerande röda bokstäver, riktades till systemoperatörer vid USA:s alla superdatoranläggningar: Se upp, någon försöker ta över just din maskin.5 Snart började de stora tidningarna få uppgifter om att något stort höll på att hända. Omkring 20 anläggningar hade fått sina säker20
Svenska_hackare_till_tryck_20110222.indd 20
2011-02-22 11:16:27
historien om stakkato
hetsspärrar knäckta, rapporterade Washington Post några dagar senare. Förutom San Diegos superdatorcentrum hade hackaren tagit sig in i National Center for Supercomputing Applications i Chicago och det amerikanska energidepartementets forskningsanläggningar i Chicago och i Idaho. De var några av de viktigaste datorcentren i USA:s forskarvärld. Flera av dem hade stängts av mer eller mindre i panik och varit borta från nätet i dagar medan de lagades. En oroad chefsforskare vid ett säkerhetsföretag presenterade nu en första skrämmande bild av vad intrången skulle kunna medföra. Anläggningar med denna kapacitet skulle, om de användes som vapen och riktades mot rätt mål, kunna slå till med fruktansvärd kraft. Var det någon som försökte slå ut hela internet?6 Den amerikanska superdatorvärlden stod på tå. Alla tillgängliga resurser sattes in för att spåra inkräktaren. Linköping, 15 juni 2004
Vid lunchtid, knappt tre månader efter upptäckten i San Diego, fick Leif Nixon besök i sitt arbetsrum, nummer 159, vid Nationellt Superdatorcentrum (NSC) i Linköping. Han satt som vanligt böjd över sitt tangentbord, men knackningarna på dörren fick honom att titta upp. Kollegan där utanför såg oroad ut. – Har du skapat kontot x_marty? frågade han. Det hade inte Leif Nixon gjort. Han var vid den här tiden system expert och arbetade med Monolith, Sveriges största superdator och en del av stadens universitet. Kollegan var känd som en sansad person och brusade sällan upp. Såg han orolig ut var det värt att ta på allvar.7 Kollegan nickade, lämnade Leif Nixons kontor och skyndade vidare genom korridoren. Ingen på centret ville kännas vid kontot x_marty. Teknikerna samlades för ett snabbt möte och återvände sedan till sina terminaler för att kartlägga vad de nu började bedöma som ett intrång. Leif Nixons tangentbord smattrade när han skrev in kommandon 21
Svenska_hackare_till_tryck_20110222.indd 21
2011-02-22 11:16:27
svenska hackare
för att undersöka hur superdatorn mådde. Snart hade han den grundläggande bilden klar för sig. Kontot med användarnamnet x_marty passade inte in i den komplexa struktur av filer, rättigheter och kataloger som utgjorde superdatorn. Hade kontot skapats på legitim väg skulle en kedja av oräkneliga processer ha dragit igång i systemets olika delar. Kataloger skulle ha bildats, filer ändrats. Superdatorn skulle ha makat på sig för att erbjuda ännu en användare plats i sitt inre. Inget av detta hade hänt. I stället hade kontot bara skjutits in som en kil i ett berg. Det fungerade, men var inte välkommet. Under natten hade en rutinmässig kontroll körts, en genomgång där systemet känt efter om alla delar var i synk med varandra. Det var då x_marty hade upptäckts. Leif Nixons oroade kollega var den som hade fått larmet. Superdatorn Monolith bestod av skåp efter skåp med datorer, hopkopplade för att fungera som en enda. Namnet var på klassiskt teknologmanér inspirerat av den mystiska monoliten i Stanley Kubricks science fiction-klassiker 2001: A Space Odyssey. Internationellt kvalade anläggningen inte ens in på topp 100-listan över världens superdatorer, men med svenska mått var den gigantisk. Bland användarna fanns SHMI :s forskningsavdelning, som använde systemet för att utföra komplicerade klimatberäkningar. Även svenska forskare vid universiteten kunde använda sig av superdatorn. Upplägget var okomplicerat: En forskare som betrotts med ett konto loggade in från sitt eget universitet, laddade upp programmet som skulle utföra beräkningen, ställde det i kön, loggade ut och väntade. Ett efter ett plockade superdatorn fram uppdragen och utförde dem snabbare än någon annan svensk dator hade kraft till. Därefter kunde forskaren återigen ansluta sig för att ladda hem resultatet. Varje sekund dygnet runt tuggade sig Monolith igenom uppdragen. Den simulerade atomer åt kvantkemister, beräknade hållfasthet åt fysiker. Någonstans i virrvarret av metall och information kunde den vid vilken given tidpunkt som helst genomföra en simulering som skulle kunna ligga till grund för ett Nobelpris eller en kommersiell produkt med potential att omsätta miljardbelopp. 22
Svenska_hackare_till_tryck_20110222.indd 22
2011-02-22 11:16:27
historien om stakkato
Expertisen om hur man bygger och driver superdatorer hade också gjort att privata intressen, inte minst militärteknologiska, hade ett stort intresse av vad som pågick på NSC. Faktum är att det kanske inte skulle ha funnits någon superdator i Linköping om det inte vore för JAS 39 Gripen.8 Den första beställningen på 30 Gripenplan 1983 gav Saabs militära sida ett behov av massiva datorsystem för avancerade beräkningar kring hållfasthet, elektromagnetiska fält och aerodynamik. Samma år köptes den första superdatorn in, en Cray-1 som fick smeknamnet »soffan« på grund av sin säregna form. Den drogs igång med hjälp av experter vid universitetet, och ställdes upp i Saabs lokaler bakom flera låsta dörrar, den sista skyltad »röd zon«. Utan tillgång till den röda zonen fanns det bara två sätt att logga in på datorn som utförde tidiga beräkningar kring bygget av Gripen: En larmad terminal bakom pansarglas på Linköpings universitet och en motsvarighet på KTH i Stockholm, enligt obekräftade uppgifter inrymd bakom en dörr med texten »städskrubb«. År 2004, när intrången upptäcktes, drev experterna vid NSC inte mindre än sju superdatorer hos Saab. Tidigt på eftermiddagen, ett par timmar efter att intrången upptäckts, kunde teknikerna i Linköping enas om några grundläggande slutsatser. Någon hade tagit sig in i systemet, fått tillräcklig makt över det för att skapa sitt eget användarkonto, men inte gjort det på rätt väg. Den första åtgärden var att stänga av inloggningsfunktionen. Helst skulle bara de angripna kontona blockeras, men gruppen bestämde snabbt att det var för osäkert. Ingen fick komma åt systemet innan allt var tätat. Den namnlöse angriparen hade lyckats göra sig till superanvändare på Monolith. Att få root, fullständig tillgång till ett system, kan en hackare lyckas med på två sätt. Antingen snokar han reda på det hemligaste lösenordet som bara en högt uppsatt, betrodd administratör ska känna till. Eller så lurar han systemet att dela med sig av makten och tillfälligt höja en vanlig användares status. Nu var det Leif Nixons jobb att ta reda på hur det hade gått till. Försiktigt gick han igenom den isolerade superdatorn, som en kriminaltekniker som 23
Svenska_hackare_till_tryck_20110222.indd 23
2011-02-22 11:16:27
svenska hackare
genomsöker en brottsplats i jakt på DNA eller fingeravtryck. Någonstans kunde en ledtråd gömma sig, ett spår som hackaren hade glömt att sopa igen, en bortglömd fil eller en loggningsfunktion som inte kopplats bort. Stängdes datorn av skulle sådana spår kunna gå förlorade. Det misstänkta kontot hade skapats tre dagar tidigare, på lördagen när bemanningen vid superdatorn var som lägst. Precis som i San Diego visade loggfilerna ett besynnerligt mönster. Inloggningarna hade omväxlande kommit från Johns Hopkins-universitetet i Baltimore i nordöstra USA, IT-fakulteten vid det israeliska Technionuniversitetet och från en vanlig svensk bredbandsuppkoppling. Strax därefter: Chalmers tekniska högskola och fyra separata enheter vid KTH i Stockholm. Det var en tydlig signal på att det här var något mer sofistikerat än en ensam person som råkat hitta lösenordet på en slarvigt hanterad papperslapp. Men just nu var en annan detalj viktigare. Inifrån Monolith hade x_marty-användaren upprättat anslutningar till fler svenska universitet. Av allt att döma var Monolith i Linköping bara en knutpunkt i en komplicerad väv av hackade system. Den osynlige angriparens tentakler spred sig över den svenska universitetsvärlden och vidare utanför landets gränser. Leif Nixon funderade. Ännu hade ingenting förstörts i systemet. Ingen hemsida hade bytts ut, inga filer hade raderats. Inte heller tydde någonting på att hackaren varit på jakt efter någon särskild information. Stora system hade visserligen hackats förr utan något tydligt syfte. Spänningen och prestigen räckte för många, det visste Leif Nixon. Att den som hade tagit sig in också hade upprättat anslutningar till fler universitet tydde på att även dessa fått lösenord stulna. Kanske var Monolith, trots sin superdatorstatus, inte den slutgiltiga trofén. Hackaren kunde vara på väg någon annanstans. En loggfil avslöjar, om den inte har rensats, varifrån en inkräktare kommer senast. Men en dator man kan logga in på kan man också använda som en katapult för att ta sig till nästa ställe. X_marty såg vid ett tillfälle ut att komma från Israel. Men till det israeliska systemet kunde han ha kommit från ett företagsnätverk i Japan. Och vari 24
Svenska_hackare_till_tryck_20110222.indd 24
2011-02-22 11:16:27
historien om stakkato
från loggade han in där? En hackad dator i Kazakstan? Kedjan kan gå flera varv runt jorden. Även om det slutliga målet finns i samma byggnad som hackaren så strömmar varje tecken och kommando han skriver genom kablar på Atlantens botten, via fiberkablar i Centralasien. Kedjan växer, bygger en sköld och gör spårningsarbetet oerhört tidskrävande. Varje server hackaren studsar genom blir ännu en dimridå att gömma sig bakom. Allt som behövs är fungerande konton på anläggningarna som utnyttjas. Med största sannolikhet var kontot på Technion i den israeliska kuststaden Haifa också hackat. Troligtvis användes Monolith för att maskera intrång till ytterligare ställen. Varje maskin kunde vara både ett mål och en gränsstation. Det mest uppseendeväckande var den privata bredbandsuppkopplingen. Om Leif Nixon hade arbetat på ett företag i stället för inom den akademiska IT-världen hade han troligtvis tänkt och agerat annorlunda. Att som IT-ansvarig blotta sig och öppet erkänna att man utsatts för dataintrång kan skrämma bort både kunder och samarbetspartner, ses som ett tecken på oduglighet och en god anledning för vilken kund som helst att gå till en konkurrent. IT-säkerhetsansvariga, med mer intresse för att hålla systemen täta än orderböckerna fulla, svär ofta över sådana principer. Att spåra intrång och täppa till luckor blir alltid lättare ju mer information som finns tillgänglig. Ingen krävde med andra ord att Leif Nixon skulle mörklägga det som hade hänt på Monolith. Han bestämde sig för att varna sina kollegor, både i Sverige och utomlands. Tekniker vid Johns Hopkinsuniversitetet i Baltimore och vid Technion i Haifa fick varsitt brev. Efter det slog han upp en webbläsare på skärmen och gick in på Chalmers hemsida för att hitta någon att kontakta. Väl inne på hemsidan förstod Leif Nixon att andra redan slagit larm, och att det var han som hade missat informationen. Varningstextens budskap var tydligt. Lösenord till stora delar av Chalmers nätverk hade stulits. Intrången hade nått långt in i universitets många IT-system. Och det värsta: Meddelandet hade legat där på hemsidan i flera veckor. Leif Nixon kände irritationen stiga. Varför hade ingen sagt någonting? För en tekniker hade det varit en enkel sak att se kopplingen till 25
Svenska_hackare_till_tryck_20110222.indd 25
2011-02-22 11:16:27
svenska hackare
NSC och skicka över informationen. Ett snabbt mejl med bifogade loggfiler hade varit tillräckligt. I stället hade personen som gömde sig bakom x_marty-kontot fått gott om tid på sig att utforska superdatorns delar, samla på sig information och testa alla knep för att ge sig själv större makt. Nu stod Monolith påslagen men avstängd från omvärlden som en brottsplats, allt för att behålla den i precis samma skick som den var när inkräktaren hade avslöjats. Leif Nixon fortsatte att leta efter spår från intrånget. Han satt som limmad vid sin kontorsstol och kunde knappt slita blicken från skärmen. Överallt syntes fler spår efter angriparen. Lunchtiden passerade. Hela eftermiddagen och en stor del av kvällen gick medan han granskade loggfilernas rader och sökte efter tecken på att fler centrala filer bytts ut eller diskret modifierats för att tjäna hackarens syften. Det var långt efter vanlig arbetstid när han yr av hunger och med svidande ögon reste sig, lämnade den röda tegelbyggnaden och tog cykeln hem för att snabbt få i sig mat. I huvudet malde tankarna. Vad hade gått fel? Vilken bakdörr hade lämnats öppen och vem var det som hade tagit makten över superdatorn? Han slängde i sig middagen. En kort stund senare var han tillbaka på kontoret och loggade in på Linuxdatorn i sitt arbetsrum. Den veckan skulle han jobba i över 80 timmar. Allt handlade om den ännu namnlöse inkräktaren. Informationen från Chalmers gav ändå viss vägledning. Kollegorna i Göteborg hade gått igenom systemets alla delar för att hitta och rensa bort bakdörrar som planterats av hackaren. Men den viktigaste ledtråden hittades paradoxalt nog vid anläggningens utgång, det program som anställda använde för att logga in på andra system, till exempel på superdatorn Monolith. Varje sådan uppkoppling körs via ett program som tar emot lösenordet och skickar det till systemet forskaren ska logga in på för godkännande. Denna uppgift sköttes precis som vanligt, men i bakgrunden pågick någonting helt annat. I det tysta hade programmet bytts ut mot hackarens modifierade version. Den kopierade varje lösenord och smusslade undan det till en väl dold dator någonstans i världen. Som en trojansk häst gav programmet intryck av att utföra sina funktioner precis som 26
Svenska_hackare_till_tryck_20110222.indd 26
2011-02-22 11:16:27
historien om stakkato
det skulle, men trålade i själva verket nätverket efter fler lösenord, dygnet runt. Hackaren kunde luta sig tillbaka och se hur listorna på hans egen server växte med fler och fler fullt fungerande inloggningsuppgifter. Leif Nixon undersökte motsvarande program på sin egen anläggning. Vid en första anblick såg allt ut att vara som vanligt. Programmets datumstämpel visade att ingen rört det på länge, men nu var han inte beredd att lita på någonting. Han letade upp ett program, specialskrivet för datorer som drabbats av intrång med avancerade funktioner för att upptäcka inkräktarens trick. Leif Nixon hade genomskådat bluffen. Till synes odramatiskt redovisades att programmet som varje lösenord passerar genom hade bytts ut. Tid: 02:09, natten mot söndagen den 12 juni 2004. Samma natt som x_marty hade uppstått. Datumet hade varit falskt, ett slugt trick för att hålla intrånget hemligt.9 Knepet kan liknas vid en brevbärare som hanterar tusentals kuvert. Varje gång han ska dela ut ett brev öppnar han först kuvertet, tar en kopia av brevet som han sparar, lägger tillbaka originalet och levererar det till adressaten. Högen med kopierade brev växer, men mottagaren har fått sitt kuvert och märker inte att någonting skulle vara fel. Liknelsen haltar något, eftersom brevbäraren skulle behöva bryta ett kuvert för att läsa innehållet. Spionprogrammet på Monolith lämnade inga sådana spår efter sig. Nu skulle hackaren rökas ut. Varje vrå av den svenska superdatorn undersöktes. De viktigaste lösenorden byttes ut, program som inkräktaren installerat togs bort och bakdörrar täpptes till. Dagen efter att intrånget upptäcktes lades en kort text ut på superdatorcentrets hemsida. Ingen idé att sitta och trycka på informationen. Alla korten skulle läggas på bordet. »Intrång – konton avstängda«, inledde det koncisa meddelandet. Centret gick nu ut med uppgifter om att en serie intrång de senaste dagarna hade utförts med hjälp av stulna lösenord. Chalmers tekniska högskola i Göteborg pekades ut som källan där spionprogrammet legat i bakgrunden och fiskat upp lösenord. Tills vidare skulle alla 27
Svenska_hackare_till_tryck_20110222.indd 27
2011-02-22 11:16:27
svenska hackare
användares konton stängas av och nya lösenord skickas ut. Det hade varit enkelt via mejl, men nu var Leif Nixon inte längre beredd att ta några risker. De nya kontouppgifterna skulle skickas med posten. Tills vidare fick forskarna klara sig utan tillgång till Monolith. Troligtvis var det aldrig hackarens mål att stänga eller förstöra systemen han tog över, men resultatet av hans intrång blev ändå att Sveriges spjutspetsanläggning blev obrukbar de där dagarna i juni. Leif Nixon och hans kollegor tvingades erkänna att spionprogrammet också hade ställt till det på andra system. Användare på Monolith loggade regelbundet in på universitet över hela landet. Den som kontrollerade servern dit lösenorden skickades hade därmed fått tillgång till fullt fungerande konton även där.10 Det kunde ha blivit slutet på incidenten. Lösenord byttes ut, spionprogram togs bort. En efter en sågades grenarna som angriparen hade suttit på av. Två hektiska dygn efter den där tisdagsförmiddagen kopplades Monolith upp mot internet och började återigen ta emot uppdrag från forskare. Det var den 18 juni, Leif Nixon hade som vanligt tagit cykeln till jobbet och i Portugal pågick fotbolls-EM. Det höll i tre dagar. Sedan ringde telefonen på Leif Nixons arbetsrum. – Jag får ett konstigt meddelande när jag loggar in, sa personen. Leif Nixon tryckte fast luren mellan axeln och huvudet för att få händerna fria till tangentbordet. Användarnamn. Lösenord. Enter. Hela hans skärm fylldes av en barnsligt ritad gubbe med en antenn i hatten och ett stort leende på läpparna. Bredvid figuren fanns ett meddelande på engelska riktat direkt till de ansvariga för superdatorn. »Att köra Linux är ett jättebra alternativ om du vill dela ditt konto med alla.«11 Ovanför och under gubben var meddelandet signerat: HASCH – Hackers against Swedish Computer Homos. Leif Nixon slängde på luren, sprang ut i den surrande, tempererade datahallen och slet ut nätverkskabeln som anslöt Monolith till internet. Ett klick hördes när kontakten drogs ut och superdatorn kopplades bort från omvärlden. Hur? De hade gjort allt rätt, bytt 28
Svenska_hackare_till_tryck_20110222.indd 28
2011-02-22 11:16:28
historien om stakkato \:/ ::O::: /:\ |. | ################# ################# $$$$$BEOWULF$$$$$ ########################## / ### ### \ / -x(_X_) \ \ (_o_0_) / \ l‘---._______/) / \ \ ##|## / / -------{ \ ‘----------’ / \|/ \_____________/ | | >*< | ‘------< |* >------. | |* | | | ____|*____ | | )/ \( /|\ | | ___/ \___ (__/ \__)
RUNNING LINUX IS ALWAYS A GREAT OPTION IF YOU WANT TO SHARE YOUR ACCOUNT WITH EVERYONE.
vartenda lösenord, raderat varje manipulerat program. Hackaren började framstå som ett spöke. Eller som en svärm kackerlackor, gömda långt inne i en vrå dit inget gift når. Linköping, 24 juni 2004
År 2004 tog den svenska polisen emot 720 anmälningar om dataintrång. Ingen liknade den som den 24 juni lades på Linköpingpolisens bord. Utredarna drog direkt paralleller till en anmälan som Uppsala universitet hade lämnat in nästan en månad tidigare. Sedan kom anmälningarna en efter en. Den 28 juni ringde en tekniker vid Umeå universitet polisen och berättade att någon tagit sig in i ett 60-tal datorer knutna till universitetets institution för datavetenskap. Två dagar senare promenerade en anställd vid KTH i Stockholm in på Norrmalms polisstation och bad att få anmäla ett brott. Efter tips från Linköpings universitet hade KTH konstaterat att någon tagit sig in på systemen vid Institutionen för numerisk analys och datalogi. 29
Svenska_hackare_till_tryck_20110222.indd 29
2011-02-22 11:16:28
svenska hackare
Inkräktaren hade inte nöjt sig med ett vanligt konto utan sett till att skaffa sig root, fullständig tillgång till systemets funktioner. På några få dagar förändrades bilden av ett enstaka intrång på ett universitet till någonting mycket större. Konturerna av en hackarhärva av en omfattning som inte tidigare setts på svenska universitet började växa fram. En seriehackare tycktes härja, någon som aldrig gav upp, som aldrig tappade lusten och som redan hade lagt ner fler byten än någon annan svensk datorbrottsling lyckats med tidigare. Polisen satte samman en central grupp för att utreda brotten, under ledning av IT-brottssektionen vid Rikskriminalpolisen i Stockholm. Därmed flyttades samordningsansvaret från de lokala poliserna ute i landet till den specialiserade roteln, även om vissa lokala utredare, inte minst i Uppsala, skulle spela en roll under det kommande året. Det var en tydlig markering om att det här var någonting mer än ett vanligt IT-brott. Samtidigt började tekniker vid universiteten organisera sig. Mejltrafiken de första junidagarna efter att Leif Nixon gjort sin upptäckt var intensiv. Loggar skickades tvärs över landet, angripna filer jämfördes för att hitta mönster. Eftersom många av angreppen hade kommit från universitet i andra länder var ingen till en början säker på att det rörde sig om en svensk IT-brottsling. Sverige kunde mycket väl bara vara ett litet hörn på angriparens karta över kapade konton. Den teorin skulle snart visa sig vara både rätt och fel. Ju fler hackade lösenord som upptäcktes så kunde desto fler datorsystem, många på andra sidan jordklotet, antas ha hamnat i hackarens händer. Men ett ödesdigert misstag hade gjort att han hade lämnat ett spår efter sig, djupt inne i Uppsala universitets nätverk. Christian Nygaard var systemadministratör vid Matematiska institutionen på Uppsala universitet, ett av de system som knäcktes flera veckor innan en nationell brottsutredning startades. I sina egna servrar hade han hittat samma lösenordsstjälande spionprogram som Leif Nixon upptäckt i superdatorn Monolith. Men i Uppsalaservern fanns inte bara programmet. Gömd djupt i en diskret namngiven katalog låg källkoden, den text med instruktioner som ligger till grund 30
Svenska_hackare_till_tryck_20110222.indd 30
2011-02-22 11:16:28
historien om stakkato
för hur programmet fungerar. Källkoden kan liknas vid ritningen till ett hus som med millimeterprecision visar byggnadens konstruktion. En programmerare som vill dölja funktioner i ett program gör klokt i att radera sådana filer. Varför hackaren hade missat det är än i dag oklart. Kanske blev han avbruten mitt i brottet. Kanske glömde han helt enkelt bort det. Klart är att Christian Nygaard inte behövde titta länge på koden för att få några viktiga ledtrådar. I funktionen som skapats speciellt för att stjäla lösenord användes nämligen ordet »knark«. Inte av någon speciell anledning, vilket ord som helst hade fungerat. Men eftersom ord som detta inte syns i ett färdigt program – om man inte vet vad man letar efter – så roar sig vissa programmerare med att välja tramsiga alternativ. Christian Nygaard drog några snabba slutsatser av ordvalet: angriparen var ung, svensk och han kunde göra misstag. I koden fanns också adressen till den dator som användes för att samla in lösenorden. Namnet var inte utskrivet i klartext, utan hade maskerats till en sträng obegripliga tecken. Men med några enkla handgrepp kunde den göras läsbar. suckysuckyfivedollah.ath.cx
Adressen hade registrerats under ett falskt namn. Den såg ut att tillhöra Mike Heiler, en framstående agent inom FBI:s avdelning för bekämpning av IT-brottslighet. Namnet på servern var sannolikt en referens till den tecknade serien South Park, där den knubbiga karaktären Cartman efter ett slag mot huvudet tror att han är Ming-Lee, en vietnamesisk prostituerad som säger just denna replik. Scenen parafraserar den klassiska Vietnamfilmen Full Metal Jacket, men oavsett var inspirationen kom från så stämde ordvalet bra överens med bilden av en tonårig hackare som spydigt valde sina egna referenser när han skapade verktygen för sin räd av dataintrång.12 Var för sig sa de två ledtrådarna inte mycket om vem som gett sig på Uppsala universitets datorsystem. Men erfarna hackarjägare vet att det är små, till synes obetydliga detaljer som dessa som kan få en 31
Svenska_hackare_till_tryck_20110222.indd 31
2011-02-22 11:16:28
svenska hackare
utredning i rätt riktning. Christian Nygaard öppnade sin webbläsare, knappade in den speciella stavningen av dollar (»dollah«) tillsammans med ordet knark i Google och tryckte enter. Sökningen ledde till en artikel på en slovakisk webbserver som publicerats redan 2003. Artikeln, egentligen snarare en manual för en avancerad hackarmetod, var signerad »Rebel«. Nu fanns ett misstänkt namn. Tack vare att Rebel avslutade artikeln med hälsningar till andra hackare började konturerna av en krets växa fram. Ingenting av detta skulle räcka för en fällande dom, men det var åtminstone ett första spår. Den 16 juni, dagen efter intrången mot Monolith hade upptäckts, skickade Christian Nygaard vidare informationen han hade upptäckt. Leif Nixon i Linköping letade upp det modifierade programmet, knappade in ett kommando som sökte igenom filen efter ordet knark – och fick en träff. Nu rådde det ingen tvekan om att det var samma person som hackat båda systemen. Över hela Sverige testade administratörer samma sak. Mycket riktigt: Ordet knark återkom överallt. Vid tiotiden på förmiddagen den 18 juni 2004 damp ett mejl från USA ner i Leif Nixons inbox. Hans meddelande till Johns Hopkinsuniversitetet hade satt fart på kollegorna på andra sidan Atlanten. Oberoende av den svenska utredningen hade tekniker där börjat bygga nätverk mellan universitet och forskningsanläggningar där märkliga saker hände i datorsystemen. En organisation för hackarjakten hade vuxit fram efter Abe Singers upptäckt i San Diego och liknande larm på så gott som alla av de mest framstående superdatoranläggningarna i USA. »Jag har fått information om dig från en kontakt på Johns Hopkins-universitetet. Han säger att du har uppmärksammat dem på misstänkt trafik till några av era maskiner«, skrev amerikanen. »Jag har mer information du kan vara intresserad av. Vi har övervakat en maskin som vi vet har tagits över vid ett universitet här i USA. Vi har sett trafik mellan den maskinen och följande i Sverige.« En lista över fyra internetadresser följde. En av dem var den sven ska bredbandsuppkoppling Leif Nixon stött på tidigare. De två efterföljande hörde till Uppsala universitet respektive Chalmers. 32
Svenska_hackare_till_tryck_20110222.indd 32
2011-02-22 11:16:28
historien om stakkato
Den fjärde stod i samma byggnad som Leif Nixon satt i och innehöll superdatorcentrets webbserver, som alltså innehöll hemsidan, ansiktet utåt för NSC.13 Att sabotera en webbsida och ersätta den med hackarens eget föraktfulla eller obscena innehåll är den kanske mest kända formen av dataintrång. Mängder med sajter byttes redan under 1990-talet ut mot bilder på kvinnobröst, hackares hälsningar till sina kumpaner eller konkurrenter och länkar till mer eller mindre ljusskygga webbforum. Inte sällan passade angriparen på att håna systemadministratören för den bristande säkerheten och skryta om hur lätt det hade varit att ta sig förbi spärrarna. I debatten som följer efter ett sådant intrång argumenterar vissa för att det är rätt att ta sig an och sabotera en webbplats som inte skyddas tillräckligt. Resonemanget brukar dels bygga på att hackaren bara hjälper till att hitta säkerhetsluckor som andra ändå skulle ha utnyttjat, dels på att den sajtägare som inte kan skydda sig får skylla sig själv. »Slår ni sönder fönsterrutor för att visa att det går också?« brukar det irriterade svaret bli. Däremot är denna typ av angrepp inte den mest ansedda. Riktiga hackare, heter det ofta, förstör inte ett system han eller hon har tagit över. Att vanställa (»deface« på engelska) en webbplats är ett säkert recept för att bli utkastad, medan en mer mogen angripare hellre vill behålla sin tillgång till servern. Dessutom tyder sabotaget på ett barnsligt behov av uppmärksamhet, även utanför den slutna kretsen av säkerhetskunniga. Då och då tar även mer ansedda hackare till sådana grepp, men bara när det politiska målet anses helga medlen. Aldrig som en sport. Att Belate, som webbservern hette, hade utsatts för intrång var i sig ingen nyhet. Men inkräktaren hade inte lyckats knäcka tillräckligt många säkerhetsspärrar för att ta makten över hela maskinen. Däremot skulle mejlväxlingen som följde bli början på en världsomspännande jakt på den som hemsökte datorsystem över hela jordklotet och med samma knep lyckades ta sig in överallt, om och om igen. Mannen som hade skickat mejlet till Leif Nixon hette Jim Barlow 33
Svenska_hackare_till_tryck_20110222.indd 33
2011-02-22 11:16:28
svenska hackare
och skulle komma att bli den amerikanska universitetsvärldens inofficiella samordnare av undersökningen. Med titeln »head of security operations and incident response« på National Center for Supercomputing Applications vid Illinois-universitetet var det en naturlig roll. Till honom skulle andra systemoperatörer våga dela med sig av information och ledtrådar. Eftersom de första intrången i USA hade upptäckts månader innan den svenska universitetsvärlden vaknade fanns där redan den provisoriska organisationen på plats. Vad som hade börjat som spontana samtal från en tekniker till en annan hade utvecklats till regelbundna telefonkonferenser en gång i veckan där de berättade för varandra om vilka datorer som fallit offer sen sist, om den ihärdige hackarens senaste strategier, framgångar och bakslag. Kontaktnätet som uppstod i jakten sträckte sig över hela USA. Än i dag finns det kvar och medlemmarna kopplar fortfarande upp sig mot en telefonkonferens en gång i veckan för att rapportera misstänkta och bekräftade fall av hackarattacker.14 I takt med att fler anslöt sig kom mer av härvan upp i ljuset. Redan i april 2004 hade hundratals, kanske tusentals, hackade universitetsdatorer upptäckts. Samtliga anläggningar i TeraGrid-nätverket, som kopplar samman den amerikanska universitetsvärldens mest kraftfulla system, rapporterade nu intrång som alla visade upp slående likheter. Samma verktyg användes, likadana metoder och knep. Från samtliga anläggningar strömmade tusentals och åter tusentals lösenord in till en central server, kontrollerad av hackaren själv. Leif Nixon och Jim Barlow hade utbytt data och jämfört sina iakttagelser i tre dagar när svensken berättade om svenska synonymer till narkotika. »Det är min övertygelse«, skrev han i ett brev daterat den 21 juni, »baserat på variablernas namn, att programmeraren som skrev send it-funktionen är svensk. Att använda ›knark‹ på det sättet är svensk tonårsslang.«15 Sendit-funktionen var den kodsnutt som smugglade ut användarnamn och lösenord till en dator angriparen kontrollerade. Vid den här tidpunkten var hypotesen att hackaren var svensk ständigt närvarande. 34
Svenska_hackare_till_tryck_20110222.indd 34
2011-02-22 11:16:28
historien om stakkato
I USA var han inte längre namnlös. En dag i början av maj möttes användare anslutna till superdatorcentret i San Diego av ett märkligt meddelande. Plötsligt fylldes deras skärmar av en bild, ritad med vanliga tecken och bokstäver, som föreställde ett får som bajsade. »Reeetard y00 in sheeepie POOOH!« stod skrivet under fåret. Teckningen bar en signatur som tydde på att avsändaren led av storhetsvansinne: »BOW YOUR HEAD TO STAKKATO.« Stakkato. Namnet skulle om och om igen återkomma i spår och meddelanden som hackaren lämnade efter sig. Ursprunget är oklart. Men förutom en benämning på att framföra ett musikstycke stötvis delas namnet med en tysk hopphäst som beskrivs som en av de mest framstående hingstarna i världen, en referens som kanske åtminstone tilltalar den mest stereotypa hackaren: en ung man med fattigt socialt liv och ett enormt behov av att kompensera för detta genom sitt alter ego på nätet.
I IOOOOOOOOOOWN YOOOOOOOOOO!!! MUY TEHCNIQUE IZ NUMBAH ONNNEE U FOOOHL ^\ \ /\/\ \############ |OO| ##############| | -- baaaaah @############## \/ @ ############ @ ########## @@@@ /\ /\ @@@@@@ / \ / \ @@@@@@@@^^ ^^ ^^ ^^ ^--------- Reeetard y00 in sheeepie POOOH! ** EXTRA EXTRA : ADMINS SUCK EXTRA LARGE SPERM SOAKEN PENIZZZZZZZ ** \|/ _____ \|/ "#' / , o \ `#" /_| \___/ |_\ \___U_/ BOW YOUR HEAD TO STAKKATO
35
Svenska_hackare_till_tryck_20110222.indd 35
2011-02-22 11:16:28
svenska hackare
Illinois, juli 2004
Bland säkerhetstekniker som nu hjälptes åt att kartlägga hackarens framfart uppstod två läger. Det ena ville fokusera på att uppdatera servrarna, sätta in extra skyddsmekanismer och säkra nätverken mot intrång. Det andra lägret såg ett mönster som skilde attackerna från många andra: inkräktaren vägrade ge upp. I flera månader hade servrar tagits bort från nätet, gåtts igenom och lagats, men strax därefter kom hackaren alltid tillbaka. Han framstod som mer ihärdig och skickligare någon de sett förr. Efter varje åtgärd upptäcktes ett nytt hål, och fler konton stals. Vissa ville därför inte nöja sig med tekniska åtgärder. Personen bakom den mystiska suckysuckyfivedollah-servern och de hackade kontona skulle spåras och hittas. En människa måste gripas, tas bort från sin dator och fällas i domstol. Det skulle bli en jakt som pågick i flera månader och slutade på andra sidan jordklotet. Jim Barlow hade hört till dem som tidigt velat dra igång spårningsarbetet. Han konfronterade sina chefer med vad som höll på att hända och fick klartecken att göra spårandet till sin huvuduppgift. Efter en kort tids försök att jaga bort hackaren från ett ställe bara för att se honom dyka upp igen lades alltså strategin om. Datorn som samlade in lösenorden visade sig omöjlig att jaga, eftersom inkräktaren kunde byta ut den med några snabba kommandon på sitt tangentbord, var i världen han än befann sig. Den nya strategin gick i stället ut på att låta datorn vara kvar, övervaka den och på så sätt i varje sekund få samma information som dess ägare. Adressen pekade alltid till en server hackaren redan tagit över, en period till ett tjeckiskt företag inom verkstadsindustrin, för att senare flytta vidare. När den en tid våren 2004 var inställd att skicka lösenorden till en universitetsserver i USA passade Jim Barlow på. Datorn isolerades men plockades inte bort från nätet, allt för att Stakkato inte skulle märka att han var övervakad. Genom att försiktigt iaktta vad som skickades till den kunde Jim Barlow se intrångens omfattning och vilka anläggningar som läckte lösenord. Datorn som han nu kunde se rakt in i var som ett nervcentrum hos en världsomspännande organism, infekterad av kod och kontrollerad av dess skapare. 36
Svenska_hackare_till_tryck_20110222.indd 36
2011-02-22 11:16:28
historien om stakkato
Där fanns lösenord till svenska och amerikanska system, men även till anläggningar i andra delar av världen. Vid ett tillfälle ska tusentals lösenord från flera hundra datorer på ett svenskt universitet ha kommit in på bara några dagar. Varje gång lösenord till ett nytt system dök upp på maskinen skickade Jim Barlow och hans kollegor en skarp uppmaning till de drabbade om att rensa upp i servrarna.16 Det var då Jim Barlow fick sin idé. Med jämna mellanrum kopplade Stakkato upp sig mot servern och vittjade sitt nät genom att ladda hem de stulna lösenorden. Varje rad innehöll bara precis det som behövdes: Ett namn, datorns internetadress och ett lösenord. +-+
[email protected]’s password:fURpQQ,,5
+-+
[email protected]’s password:akS++4fM +-+
[email protected]’s password:vly558C*
Om Jim Barlow kontrollerade datorn som lösenorden skickades till kunde han också styra vad som skickades till den. Det gällde att vara nära, iaktta och lära sig, inte att försöka stöta bort någon som alltid skulle lyckas ta sig in igen. En dator sattes upp med ett enda syfte: att bli angripen. Bland säkerhetsforskare kallas det en honungsburk, en fälla som drar till sig hackare på samma sätt som en burk med honung lockar sötsugna djur. Den ska vara för lockande för att en hackare ska kunna motstå den och dessutom vara så dåligt skyddad att attacken går snabbt. Från hackarens perspektiv ser en honungsburk ut som vilken del av nätverket som helst, bara lite mer lockande. Omsorgsfullt skapades fullt fungerande konton på den fejkade maskinen som utformats för att se ut som en professors arbetsdator. Den kopplades till några andra delar av nätverket och gavs ett namn som inte skulle väcka misstanke. En morgon satte sedan Jim Barlow igång projektet. Han skrev in lösenordet på samma sätt som spionprogram* Uppgifterna ovan är fingerade för att skydda de angripna användarnas uppgifter, men är till formen identiska med den data som gick till den lösenordsinsamlande servern. 37
Svenska_hackare_till_tryck_20110222.indd 37
2011-02-22 11:16:28
svenska hackare
met gjorde och skickade diskret in det i floden av inloggningsuppgifter som strömmade till suckysuckyfivedollah-servern. För Stakkato såg det ut som vilken lösenordsstöld som helst. Jim Barlow lutade sig tillbaka och väntade. Mängder med liknande konton skickades varje dag. Fällan var gillrad. Skulle hackaren hugga på betet? Det tog två minuter. Sedan loggade någon in på honungsburken. Det var som om en fiskare hade kastat ut sin krok och en fisk hade störtat upp ur vattnet innan betet ens brutit vattenytan. Aldrig hade han väntat sig en så snabb reaktion. Med tanke på att nya lösenord stals hela tiden, hur hann hjärnan bakom intrången reagera direkt? Det fanns någonting maniskt, någonting skrämmande men också fascinerande över en sådan hunger efter en ny dator att knäcka. För första gången hade Jim Barlow nu direktkontakt med personen han jagade och kunde in i minsta detalj se vad han gjorde. På skärmen framför sig såg han nu, knapptryckning för knapptryckning, hur någon skrev in kommandon för att utforska datorn och hitta dess brister. Hackaren hittade en svaghet, körde ett program och växte till att bli superanvändare. Strax därefter började den inloggade söka efter fler öppna vägar till andra delar av forskningsnätverket, men tröttnade när det inte gav utdelning. En kort stund senare hade han loggat ut. Från hackarens synvinkel hade samma sak hänt hundratals gånger redan, men för Jim Barlow var det ett genombrott. Fällan hade fungerat och han hade lärt sig en hel del om metoderna, säkerhetsluckorna och verktygen som utgjorde grunden för intrången. Det gav värdefulla tips om vilka hål som behövde tätas och vilka nya lager av skydd som borde installeras. Men trots att han i en bemärkelse nyss stått öga mot öga med inkräktaren fanns det en fråga som var obesvarad: Varför? Varför lägger någon ner så många timmar och så mycket kraft på att knäcka dator efter dator? Vad ska dessa tusentals lösenord användas till? Var det fråga om en brottsling som sökte efter information att sälja på ljusskygga forum? Hade någon lejt honom för att bereda tillgång till superdatorernas makalösa beräkningskraft? Höll en främmande stat på att infiltrera nätverken för att kartlägga amerikansk 38
Svenska_hackare_till_tryck_20110222.indd 38
2011-02-22 11:16:28
historien om stakkato
forskning? Ingen av dessa förklaringar stämde in på mönstret. Personen som hemsökte systemen glufsade i sig allt, tog över varje tillgänglig maskin och sparade varje lösenord. Han – statistiken säger att det sällan rör sig om en kvinna – framstod som ett vilddjur, alltid hungrig på information, lösenord, tillgång, servrar, uppkopplingar. Men han verkade sakna ett syfte. Var allt en lek? Jim Barlow skakade av sig grubblerierna och fortsatte arbeta. En dag i början av maj satt han på en thailändsk restaurang i Urbana, Illinois, och åt lunch när hans mobiltelefon ringde. Han sköt undan tallriken och svarade. Samtalet kom från en kollega som hjälpte honom att övervaka datorn som samlade in lösenord. Han lät uppriven. – Har du kontaktinformation till nån på Cisco? skrek kollegan i luren. Cisco är ett av världens viktigaste IT-företag och har till stor del byggt internets infrastruktur. Företaget, med en omsättning på tiotals miljarder dollar varje år, levererar de nätverksväxlar och system som utgör stommen i internet. Så gott som all information som strömmar över nätet förmedlas genom Ciscos hårdvara. Hemligheterna på företagets servrar är värda gigantiska pengar. – Jodå, jag har kontakter där, svarade Jim Barlow som var bekant med en säkerhetsansvarig på företaget. – Jag behöver den informationen NU. Bland de kapade lösenorden, de flesta tillhörande forskare vid universitet, hade plötsligt en mängd konton till datorer knutna till adressen cisco.com börjat dyka upp. Med dessa uppgifter skulle Stakkato kunna få tillgång till åtminstone delar av ett företagsnätverk där topphemlig kod och företagshemligheter fanns lagrade. Jim Barlow skyndade tillbaka till sin arbetsplats där han hittade den upprörda kollegan som redan pratade i telefon med säkerhetspersonal på Cisco. Universitetsteknikerna lämnade över informationen de hade, Cisco tackade och sedan blev det tyst i några dagar. Sedan gjordes ett fynd på ett ryskt nätforum som måste ha skapat panik inne på nätverksföretaget. Publicerat helt öppet för vem som 39
Svenska_hackare_till_tryck_20110222.indd 39
2011-02-22 11:16:28
svenska hackare
helst att ladda hem låg där delar av källkoden bakom mjukvaran som styr nätverksväxlarna, de maskiner som håller reda på vilken information som ska vart på internet.17 På samma sätt som upptäckten av källkoden till Stakkatos spionprogram gav hans motståndare en chans att förstå hur hans verktyg fungerade, får den som kommer över Ciscos källkod unik insyn i hur företagets mjukvara är uppbyggd. Det är toppintressant både för konkurrenter som är ute efter att plagiera och för brottslingar som vill utnyttja svagheter som koden blottlägger. Ytterst kan det innebära att en brottsling får möjlighet att styra om internettrafiken som han vill och ta kontroll över nätets själva nervcentrum. Nätverksföretaget startade sin egen utredning och höll universitetsvärlden utanför. Under stor sekretess kopplade Cisco in FBI, som drog åtminstone en slutsats: koden hade laddats över till en server på Centrum för genomik och bioinformatik på Karolinska Institutet i Stockholm. Det skulle dock dröja innan denna koppling till Sverige blev känd. Sommaren kom och lösenorden fortsatte att strömma in. Jim Barlow och hans kollegor skapade fler honungsburkar där de kunde följa Stakkatos utveckling, men det riktiga arbetet bestod i spårningen. Arbetet var tidskrävande, och snårigt. Enligt Jim Barlow gömde sig Stakkato bakom upp till sju lager av hackade servrar. Hans väg in till en amerikansk superdator gick inte sällan via två eller tre europeiska universitet, över Atlanten till ett amerikanskt, tillbaka till Europa och sedan tillbaka till USA igen. Spårningsarbetet bestod i att be varje enskild anläggning att rota i sina loggfiler och berätta var inloggningen kom från. Proceduren upprepades gång på gång för varje ny server hackaren hade utnyttjat tills det inte fanns några fler servrar, tills internetadressen som dök upp inte längre såg ut som ett universitet eller en myndighet. Alltså tills det var en helt vanlig adress, med .se som sista del. Jim Barlow bokstaverade sig genom »Bredbandsbolaget« och förstod det som »broadband something«.18 En äkta internetadress, som den Jim Barlow kom fram till, är den känsligaste informationen som finns för en kriminell hackare. I sam40
Svenska_hackare_till_tryck_20110222.indd 40
2011-02-22 11:16:28
historien om stakkato
ma stund som den kommer i utredarens händer finns det i regel inga som helst tekniska hinder mot att koppla samman den med en riktig person. Det enda hackaren kan hoppas på är att det gått tillräckligt lång tid för att bredbandsföretaget inte längre ska ha kvar några loggfiler, eller att lagen sätter stopp för att personinformationen lämnas ut till polisen. Någon sådan tur hade inte personen bakom uppkopplingen från Bredbandsbolaget. Jakten hade gett resultat. Jim Barlows byte låg inom räckhåll, och alla spår pekade mot Sverige. Någon skulle få betala. Det var nu i slutet av juli och fyra månader hade gått sedan Abe Singer fick det första varningsmejlet. Rikskriminalpolisen, Stockholm, januari 2005
Polisinspektör Leif Eriksson hade tagit pendeltåget från Uppsala samma morgon. Nu satt han runt ett bord med kollegor från polisdistrikt i hela landet. Länspolisen i Stockholm var där såklart. Göteborg hade skickat personal, Linköping likaså. Någon hade kommit ända från Umeå. Alla som var där förstod att det var ett viktigt möte de hade kallats till. De närvarande hade en sak gemensamt: de arbetade i städer med stora universitet och hade minst en anmälan om dataintrång mot akademiska servrar i bokhyllan hemma på kontoret. Tre oklanderligt klädda män klev in i rummet. De talade engelska, presenterade sig som agenter vid FBI med IT-brottslighet (»cybercrime«, som de själva kallade det) som specialitet. De var här för att berätta om den verkliga omfattningen av vad de spridda svenska anmälningarna knappt kunde måla konturerna av. Metodiskt berättade de om vad de hade sett hända i USA. Intrång mot universitet. Superdatorer som fått sina säkerhetsspärrar knäckta. Mängder med lösenord stulna från både regeringsanknytna datorsystem och forskningsanläggningar. Och så koden från Cisco. Sammantaget en av de största datorintrångshärvorna i historien och spåren pekade hit, mot Sverige. 41
Svenska_hackare_till_tryck_20110222.indd 41
2011-02-22 11:16:28
svenska hackare
Ip-adresserna som fastnat i loggarna pekade tydligt på att allt utgick från ett vanligt svenskt hemmabredband. Den preliminära slutsatsen var att den fanns någonstans i Uppsalatrakten. Fram till den dagen hade ingen lokal polismyndighet kunnat eller velat ta på sig hela ansvaret för utredningen. IT-brott är svåra att utreda och kräver tålamod, tid och erfarna utredare. Materialet som ska sökas igenom är ofta oöverskådligt stort och det är inte alltid säkert att någon i slutändan fälls. I samma stund som hans hemstad nämndes förstod Leif Eriksson att alltihop skulle landa i hans knä. FBI-agenterna lämnade den information de hade, tackade för sig och åkte hem. Leif Eriksson svor tyst för sig själv. Kort efter mötet utsågs han till förhörsledare och kopplade in Uppsalas IT-specialiserade åklagare Chatrine Rudström. Hennes meritförteckning är gedigen, med erfarenhet av så väl åtal mot fildelare och virusskapare som internetspaning mot narkotikamisstänkta och åtal mot den så kallade Uppsalamaffians ledare Tjock-Steffe.19 Högen med anmälningar växte på polisstationen i Uppsala när utredare i andra städer gladeligen överlämnade dokumenten. I informationshögen som nu samlades på Leif Erikssons skrivbord fanns spåren efter hackaren tydligt redovisade. Det som återstod var att förbereda ett tillslag och hämta in den misstänkte till ett förhör. Nu skulle snaran runt hackarens hals dras åt. Uppsala, mars 2005
Philip Pettersson låg fortfarande och sov när en bil bromsade in framför porten till det ljusbruna sekelskifteshuset med burspråk i centrala Uppsala. Fyra män klev ur bilen. I händerna bar de portföljer. Alla utom en bar hölster med svarta pistoler av märket Sig Sauer. Fyra minuter över åtta hade de tagit sig upp genom trapphuset och hittat dörren, efter att ha retat upp en granne genom att banka på fel port. Kriminalinspektör Tony Möörk pressade fingret mot dörrklockan. Signalen bröt tystnaden i lägenheten. I sitt rum vaknade Philip Pet42
Svenska_hackare_till_tryck_20110222.indd 42
2011-02-22 11:16:28
historien om stakkato
tersson till av ljudet. Han hade suttit vid datorn till långt in på natten och kunde knappt se framför sig när han kastade av sig täcket och lunkade bort mot dörren. Det var en torsdag, den dag då städerskan brukar komma. Han skulle bara släppa in henne, sen kunde han somna om. Fortfarande klädd i kalsonger vred han om låset. I trapphuset hörde Tony Möörk låset rassla till och såg hur dörren öppnades. En normallång, 16-årig pojke med cendréfärgat hår stod mitt emot honom, yrvaken. Pojken försökte blinka tröttheten ur ögonen. – Det var från polisen. Vi har en order om husrannsakan. Du får klä på dig och följa med. I någon sekund stod Philip Pettersson bara där, fortfarande groggy från det snabba uppvaknandet. Tankarna for genom huvudet på honom. Han förstod genast vad det handlade om. Vad visste de? Vad trodde de att de visste? Att streta emot flera fullvuxna, beväpnade män med lagen på sin sida hade varit lönlöst. Philip Pettersson steg bakåt och poliserna gick in i lägenheten. Redan i hallen syntes det att här bodde en datorintresserad ungdom. Hela lägenheten var full av datorutrustning. På golvet slingrade sig nätverkskablar från rum till rum. Ingen vuxen fanns i lägenheten, bara Philip Pettersson och hans bror var hemma. Deras mamma var utomlands på arbete, berättade de. Tony Möörk var van vid husrannsakningar på adresser som polisen kommit över genom internetspaning. Mer än en gång hade det blivit fel. En siffra som bytts ut eller en tidsstämpel som inte stämde var allt som behövdes för att en helt oskyldig person skulle få sitt hem invaderat av poliser med anklagelser om barnporr eller bedrägerier. Röran av datorutrustning tydde på att så inte var fallet den här gången. »Det här kan nog vara rätt«, tänkte Tony Möörk medan han såg sig om. Philip Petterssons mun klibbade torrt och han bad att få ta ett glas vatten. »Visst.« Han gick mot köket, sträckte sig efter ett glas i skåpet och fyllde det under kranen. Hela tiden följde en av poliserna tätt inpå honom, tillräckligt nära för att hindra honom om han skulle springa mot någon av datorerna och försöka slita ur en strömka43
Svenska_hackare_till_tryck_20110222.indd 43
2011-02-22 11:16:29
svenska hackare
bel. När Philip Pettersson hade fått på sig kläder och lämnat över nycklarna till ytterdörren togs han ner för trapporna, ut på gatan till den väntande bilen. Han sjönk ned i baksätet och bilen rullade iväg norrut, mot polisstationen strax utanför stadskärnan. – Det här kommer du inte glömma. Du kommer komma ihåg det här ett tag, minns Philip Pettersson att en av dem ska ha sagt. Poliserna som var kvar började se sig om i hemmet. En imponerande våning mötte dem. Fem rum och två entréhallar på denna exklusiva adress mitt i stan. Och så datorer, överallt datorer och nätverksutrustning, cd-skivor, böcker om programmering och IT-säkerhet. På skrivbordet vid fönstret i Philip Petterssons rum stod hans bärbara dator, en laptop av märket HP i svart och silver. Det var en lånedator från skolan, hade pojken berättat innan han följde med ner för trapporna. Bredvid låg en portabel hårddisk, kopplad med en kabel till en av datorns portar. I Philip Petterssons rum stod ytterligare två datorlådor. Den ena saknade front och blottade den underliggande elektroniken, den andra liknade mest en halvt färdigbyggd systemenhet. På golvet i en garderob med öppning mot både hallen och Philip Petterssons rum surrade en server av det tysk-japanska märket Fujitsu-Siemens. Tony Möörk stegade vidare i lägenheten, öppnade garderober och luckor, kartlade systematiskt alla objekt som kunde ha någonting med dataintrång att göra. Rum efter rum letades igenom och hela tiden hittade poliserna mer utrustning. Sammanlagt fanns nio mer eller mindre fungerande datorer i lägenheten, alla utom en sammankopplade i ett nätverk anslutet mot internet. Både servern i garderoben och laptopen var påslagna. Philip Pettersson hade inte haft en chans att stänga av dem. Elva minuter efter att ringklockan ljudit drogs kabeln till internet ur. Det var en helt vanlig hemmauppkoppling från Bredbandsbolaget. Men över hela världen, på universitet, företag, myndigheter och superdatorcentrum, andades systemoperatörer ut. Klicket som hördes när kontakten drogs ur sin sockel skulle innebära slutet på en serie dataintrång av historiska proportioner. Fem år senare är händel44
Svenska_hackare_till_tryck_20110222.indd 44
2011-02-22 11:16:29
historien om stakkato
serna fortfarande ett ämne för utredningar, samtal och konferenser för superdatortekniker i San Diego, forskare i israeliska Haifa, systemadministratörer på Nasa och högt uppsatta IT-brottsutredare på FBI .20 Att koppla ner datorerna från internet var en ren säkerhetsåtgärd. Om Philip Pettersson visade sig vara den hackare de letade efter så skulle han ha allt att vinna på att radera sina filer och tömma datorerna på digitala bevis. Själv kunde han inte komma in i sitt rum medan husrannsakan pågick, men så länge hans nätverk var uppkopplat fanns det ändå en möjlighet att komma åt dem. Hackaren skulle kunna springa direkt från förhöret till vilken internetansluten dator som helst, logga in och börja radera filer, mitt under pågående razzia. Bredbandet var nu klippt och Tony Möörk blev den som fick ta sig an HP-datorn. Han satte sig på skrivbordsstolen. En videokamera riggades upp för att filma över hans axel och dokumentera allt som hände på skärmen. Datorn betraktades nu som en brottsplats, lika känslig som ett rum där någon mördats och ett kvarlämnat hårstrå kan innebära skillnaden mellan en fällande dom och att en mördare går fri. Han lade händerna på de mörka tangenterna och skrev ett första kommando. MOUNT
På skärmen visades de lagringsenheter som fanns anslutna. Nio rader. Den sista fick utredaren att titta en extra gång. Det var en slags behållare för information på den externa hårddisken bredvid datorn, ansluten och tillgänglig, men krypterad. Rycktes kabeln ut skulle det bli omöjligt att komma åt innehållet utan rätt lösenord. Upplägget var bräckligt och filerna på hårddiskarna behövde omedelbart säkerhetskopieras. Tony Möörk skapade en ny katalog (»polis») på en säker del av hårddisken, knappade ner ett kommando och data började strömma genom kabeln, in på datorns inbyggda hårddisk. Att kopiera filerna på det här sättet förstörde viktiga aspekter av 45
Svenska_hackare_till_tryck_20110222.indd 45
2011-02-22 11:16:29
svenska hackare
informationen och lämnade en röra av filer efter sig, utan datumangivelser som visar när de skapats och uppdaterats. Dessutom rasade felmeddelanden förbi på skärmen och visade att allt inte kom med. Som bevismaterial hade kopian gjort sig bäst i form av en exakt avbildning, med allt intakt. Men informationen på den krypterade hårddisken var som ett korthus. Ett enda misstag och allt kunde gå förlorat. Snabbkopieringen fick duga. De filer som ändå följde med skulle visa sig räcka långt. Det som nu landade i polisens egen katalog kan närmast beskrivas som en blåkopia av det senaste årets dataintrång mot datorsystem över hela världen. För första gången stod omfattningen av Stakkatos härjningar klar för polisen. Där fanns lösenordsfiler från tusentals servrar i Sverige, Japan, Tyskland, USA, Nederländerna, Frankrike och Schweiz. Färdigknäckta lösenord låg sorterade i ett välorganiserat system av kataloger, ett för varje ställe som hade råkat ut för intrång. I ett fönster på datorn syntes fortfarande spåren efter »John the Ripper«, ett program som knäcker krypterade lösenord, som just hade tuggat sig igenom den hemliga lösenordsfilen från en server på Uppsala universitets Biomedicinska Centrum. I datorn fanns källkoden till spionprogrammet som hade hittats på tusentals datorer. Där låg avancerade program vars enda syfte var att utnyttja svagheter i angripna system för att ge inkräktaren fullständig makt. Allt stämde. Filerna var identiska. Ordet knark syntes tydligt i koden och servernamnet suckysuckyfivedollah.ath.cx fanns kvar. Tecken för tecken stämde det med vad Leif Nixon hade hittat i Linköping, Jim Barlow i Illinois och Abe Singer i San Diego. Teckningen med det bajsande fåret låg där, liksom den hånfulla gubben som spreds på Leif Nixons anläggning. Men det mest spektakulära i datorn hade lätt gått den ouppmärksamme förbi. Det var två textfiler, som tycks ha fungerat som ett slags tillfälliga anteckningsböcker där någon klistrat in små stycken text. Informationen var osorterad, närmast kaosartad. Sida efter sida innehöll filerna lösenord, servernamn och detaljerade uppgifter om dator46
Svenska_hackare_till_tryck_20110222.indd 46
2011-02-22 11:16:29
historien om stakkato
systems uppbyggnad. Tillsammans var filerna över 14 000 rader långa, motsvarande ungefär 250 utskrivna A4-sidor. En gigantisk loggbok, sprängfull med säkerhetsklassad information. Lösenorden kom från superdatoranläggningar, universitet, enstaka privata företag. Men också från adresser som slutade på .mil och .gov, alltså delar av den amerikanska militären och statsförvaltningen. Där fanns detaljer om army.mil, den amerikanska arméns datorsystem, och nasa.gov. Flera av dem kunde kopplas till det amerikanska energidepartementet, med ansvar för säkerheten i landets kärnkraftverk. Adresser som slutar på .mil har en särskild status i IT-säkerhetskretsar. Eftersom bokstavskombinationen är reserverad för den amerikanska militärmakten signalerar den att servrarna används för att skicka topphemlig information. Den som utforskar vilka servrar som går att knäcka skapar sig lätt föreställningar om slutna bunkrar där generaler tar beslut om bombräder som kablas ut som order från en .mil-server till en annan. Långt in i den ena textfilen fanns en serveradress som slutade på hq.af.mil nedtecknad, tillsammans med vad som ser ut som ett lösenord. HQ signalerade att servern hörde till högkvarteret, med andra ord Pentagon. AF står för US Air Force, det amerikanska flygvapnet. Flygvapnet ansvarar givetvis för USA:s stridsflyg, men mindre känt är att det också ansvarar för landets försvar mot cyberkrigföring. Flygvapnets officiella uppdrag är att »flyga, strida och vinna ... i luften, rymden och cyberspace«.21 Om lösenordet var korrekt skulle det vara allt som behövdes för att logga in på Pentagon, läsa filer och kanske radera försvarets information.22 Till och med datorer hos den amerikanska försvarsministerns stab tycktes ha drabbats. I textmassan fanns lösenord till tre datorer vars internetadress slutade på osd.mil, där osd står för Office of the Secretary of Defence. Lösenordsfilen från åtminstone en av deras datorer låg på datorn, klar för lösenordsknäckarprogrammet att sätta tänderna i. Ett annat lösenord, som även det ser ut att ha snappats upp med hjälp av spionprogrammet, pekade mot en server hos den amerikanska arméns centralkommando för informationsteknik, USAISEC. 47
Svenska_hackare_till_tryck_20110222.indd 47
2011-02-22 11:16:29
svenska hackare
Användarnamnet är root, vilket tyder på att det stulna lösenordet skulle ge fullständig makt över åtminstone en del av den militära IT -centralens nätverk.23 Där fanns till och med lösenord till CERN i Schweiz, det forskningsinstitut som kanske är mest känt för sin partikelaccelerator, även känd som »Big bang-maskinen«. Långt senare, i september 2008, tog hackare kontroll över anläggningens webbserver, saboterade hemsidan och kallade CERN:s IT-tekniker för »skolbarn«.24 Händelsen slogs upp stort i media. Många frågade sig om det gick att lita på tekniker som inte ens hade koll på sin IT-säkerhet. Vad de inte visste var att lösenorden fyra år tidigare sparats ner på datorn i Uppsala. Strax därefter finns rad efter rad med lösenord till Fermilab, USA:s motsvarighet till CERN. Även det ryska institutet för högenergifysik såg ut att vara knäckt. Om Leif Nixon i Linköping hade varit på plats så hade han höjt på ögonbrynen åt rad 8 353. Där fanns lösenordet till ett för honom kusligt bekant användarnamn: x_marty. Och så Cisco. Den stulna koden innebar att brottet utvidgades till ännu en arena vid sidan av universiteten och myndighetsvärlden, till ett multinationellt storföretag. På datorn hittades förutom lösenordsfiler spår efter just den hemliga källkod som läckt knappt ett år tidigare. Till största delen innehöll de digitala anteckningarna bara lösryckta lösenord och adresser till servrar. Men här och där hade författaren lämnat små påminnelser till sig själv. På rad rad 7 115 stod det »LEK MER MED VT «, skrivet på svenska med stora bokstäver tillsammans med inloggningsuppgifter till Virginia Tech-universitetet i USA. I virrvarret av anteckningar fanns också två webbadresser till artiklar publicerade i Washington Post och den brittiska tekniktidningen The Register. Båda hade skrivits när de första intrången mot superdatorer i USA blev kända i april 2004. Detta är bara ett urval av de knäckta system som figurerar i röran. Listan kan göras betydligt längre. Textfilerna på Philip Petterssons dator utgör än i dag en av de absolut största samlingarna av topphemliga inloggningsuppgifter som någonsin hittats hos en misstänkt hackare. 48
Svenska_hackare_till_tryck_20110222.indd 48
2011-02-22 11:16:29
historien om stakkato
Delar av filerna innehöll primitiva teckningar med vad som ser ut som en logotyp för en uppdiktad hackargrupp. HACKERS AGAINST NUCLEAR KILLERS
You talk of times of peace for all, and then prepare for war. Logotyperna är omarbetade varianter av logotypen för WANK – Worms Against Nuclear Killers, en mycket tidigt form av datormask som spred sig över nätverk och infekterade den tidens datorer. Den upptäcktes första gången 1989 och tros vara den första formen av skadlig kod som skapats i ett uttalat politiskt syfte.25 Var logotyperna avsedda att placeras ut på någon av de hackade militära datorerna? Funderade Stakkato, hackaren som bara tycktes hungra efter fler lösenord och nya servrar, på att bli politisk? Något svar på den frågan finns inte. Inga kända spår efter meddelandet har hittats på de angripna servrarna. Kanske var allt inte bara en lek, kanske slog polisen till i tid, innan en sådan kampanj kunde dra igång. Frågan om en större plan går inte att undvika. Väntade hackaren på rätt tidpunkt för att dra igång en mer omfattande operation? Tanken svindlar. Om Philip Pettersson, eller någon av hans edsvurna, vid en och samma tidpunkt skulle skicka ut virus eller annan skadlig kod till alla de knäckta servrarna skulle konsekvenserna bli enorma för den amerikanska militären, forskningsanläggningar, teleoperatörer och storföretag. Oerhörda mängder data skulle kunna raderas, kommunikationssystem slås ut. En sådan attack skulle ge svallvågor över hela världen och förmodligen gå till historien som internets motsvarighet till 11 september. Redan tidigt i utredningen, när omfattningen av Stakkatos nät av hackade system stod klar för de tekniker som spårade intrången, växte en teori fram. Vad skulle hända, frågade de sig, om alla de gigantiska superdatorerna på ett givet kommando skulle starta en överbelastningsattack mot nätets mest centrala delar? Det är fullt möjligt att kapaciteten i en sådan attack hade räckt för att åtminstone tillfälligt slå ut de så kallade rootservrarna, som utgör grunden för systemet av 49
Svenska_hackare_till_tryck_20110222.indd 49
2011-02-22 11:16:29
svenska hackare
adresser på internet. Hade en sådan plan omsatts i verkligheten så hade internet slutat fungera. Inte en enskild sajt, inte ett nätverk av servrar eller ens ett lands anslutning, utan hela internet. Poliserna finkammade femrumslägenheten på allt som kunde användas för kommunikation på internet eller för att lagra information. Samtliga nio datorer lastades in i polisbilen. Från skrivbordet vid fönstret i Philip Petterssons rum togs den bärbara datorn, hans mobiltelefon och den externa hårddisken. Där låg även en CD-skiva märkt SUN OS 5.10 X86, ett avancerat operativsystem som ofta används för att driva riktigt stora servrar. Det är även känt under namnet Solaris, samma system som användes på flera av de knäckta servrarna på superdatorcentret i San Diego. Men polisen nöjde sig inte med datorer och hårddiskar. Bland de 85 beslagtagna objekten fanns även en skiva med Celine Dion (Philips mammas, betonar han i dag), brända CD-skivor med filmer, familjens Mac-dator i vardagsrummet och en iPod. Varje beslag lades i kuvert och märktes noggrant upp. Långt ifrån allt tillhörde Philip Pettersson, men polisen plockade med sig allt som kunde användas för att spara ned stulna filer från de system som intrången riktats mot. Polishuset, Uppsala, mars 2005
08:23. Bilresan till polisstationen hade tagit åtta minuter. Samman biten klev 16-åringen ur bilen och fördes in genom porten. Han möttes av Leif Eriksson. Good cop. Philip Pettersson noterade direkt att den hårda jargongen inte var förhörsledarens stil. – Vi ska prata lite. Men först ska du få lite frukost. Hackaren med de hastigt påkastade kläderna leddes bort till kafeterian. Polismannen köpte en cola och en macka. Medan Philip Pettersson tuggade i sig den malde tankarna. Förhör. Misstänkt för dataintrång, många dataintrång. Han hade lämnat lägenheten full med datorer, påslagna och inloggade. Poliserna skulle utan problem komma åt stora delar av den information han hade. 50
Svenska_hackare_till_tryck_20110222.indd 50
2011-02-22 11:16:29
historien om stakkato
09:45. Socialen hade kanske inte förstått riktigt vad det hela handlade om när polisen ringde. Men en minderårig var misstänkt för ett brott och en socialsekreterare hade kommit. Förhöret kunde börja. Philip Pettersson togs in i en ny del av byggnaden och slogs av hur det mest liknade ett konferensrum. Hela tiden den där forcerat trevliga inställningen. »Vi ska prata lite«. Philip Pettersson svarade på var han bodde (som de ju visste), var han gick i skolan (IT-gymnasiet, som de ju också visste), om hur länge han hade hållit på med datorer (länge, som de borde ha kunnat gissa sig till). – Sitter du ofta vid datorn sent på nätterna? undrade Leif Eriksson. Vad skulle han svara? Hela hans liv hade handlat om just det. »Det har hänt att han inte sovit en del nätter på grund av att han arbetat med datorn«, skulle polismannen senare skriva när han sammanfattade förhöret. Men det var den korta versionen Philip Pettersson berättade för polisen. I själva verket var han bara i sexårsåldern när hans pappa kom bärandes på familjens första dator, en tidig modell från Apple. Pappan gjorde klart att det inte var någon leksak han hade köpt, satte sig framför den svartvita skärmen och försökte komma igång med ett bokföringsprogram. Snart gav han upp. Hur han än lirkade så blev det ingen ekonomisk redovisning i prydliga kolumner. Philip Pettersson och hans två bröder fick ta över datorn och de började utforska den märkliga maskinen. Hela dagar kunde de sitta, testa sig fram och spela de få och enkla spel som fanns. Någonting i elektroniken under datorns beigefärgade hölje drog i Philip Pettersson, fick honom att sitta kvar. Ingen lärare fanns i närheten, inga böcker berättade hur han skulle göra. Det var bara ett barn och en maskin, komplicerad men alltid perfekt logisk för den som förstod. Fem år senare. Philip Pettersson var nu 11 år och den första Appledatorn hade ersatts av en nyare. Nu kunde skärmen visa färger och det nyfiket knappande barnet hade blivit en elvaåring med större kunskaper om datorer än de flesta vuxna. Natt efter natt kunde han bli sittande med händerna på tangentbordet, men just den här kvällen skulle han se på teve. De visade en dokumentär om Def Con, 51
Svenska_hackare_till_tryck_20110222.indd 51
2011-02-22 11:16:29
svenska hackare
världens största hackarkonferens som varje år arrangeras i Las Vegas. Över 2 500 personer – hackare och säkerhetsproffs uppblandade med diskret klädda FBI-agenter på jakt efter den senaste utvecklingen – var samlade för att höra föreläsningar om allt från datorvirus till låsdyrkar och elektromagnetiska vapen. Konferensens höjdpunkt är den så kallade capture the flag-tävlingen, där lag av hackare samlas i en sal, radar upp sina datorer bland cola-burkar och nätverkskablar för att sedan formligen överösa varandras servrar med attacker, allt för att knäcka motståndarens skydd. Tävlingen är ett slags hackandets proffsboxning, både show och sport på samma gång. För Philip Pettersson var det som att en ny värld öppnade sig när han såg hur ett av lagen, Ghetto Hackers, började få överhanden, tog sig förbi skydd efter skydd och till slut hade säkrat segern genom att hämta den virtuella flaggan i form av information på motståndarservern. När reportern intervjuade vinnarlaget kunde Philip Pettersson bara tänka på en sak: han ville bli som dem, kunna utnyttja svagheter i system och lära sig att överlista datorer i stället för att bara använda dem. Han ville bli en hackare. Direkt efter programmet satte sig Philip Pettersson och började söka på nätet efter kontaktuppgifter. Han hittade en adress till segrarna och skickade ett mejl. »How can I become a hacker?« Kanske blev den framstående amerikanska hackaren förvånad av att få kontakt med en svensk 11-åring, men han tog sig ändå tid att svara med två råd: Läs boken Hacking Exposed och lär dig programmera. Philip Pettersson lydde, köpte en tegelstenstjock instruktionsbok om programmeringsspråket C och började läsa. Ett av de första programmen han fick att fungera användes för att skapa karaktärer i ett slags rollspel, en annars tidskrävande syssla med papper, penna och tärningar. Tack vare programmeringen gick det nu blixtsnabbt och rollspelsvännerna såg imponerat på hur hans skapelse spottade ur sig nya karaktärer. Efter den dagen skulle Philip Pettersson aldrig släppa programmeringen. Han hade aldrig kunnat rita. Sport intresserade honom inte. Med bara en dator och sin egen intelligens kunde han nu skapa något helt eget, se program som 52
Svenska_hackare_till_tryck_20110222.indd 52
2011-02-22 11:16:29
historien om stakkato
verkligen kunde utföra sysslor växa fram på skärmen. Varje gång han skrev ny kod och programmet gjorde precis det han ville så kom känslan, ett närmast euforiskt rus. Ändå var det som hackarna på teve han ville bli, inte vilken programmerare som helst. Redan i högstadiet hade han nått en nivå där han kunde skriva program som tog sig långt in i ett systems kärna och lurade det att göra som han ville. Så länge han körde ett sådant program på sin egen dator var det en oskyldig lek, ett pussel för en intelligent tonårings hjärna som skrek efter utmaningar utanför skolans tristess. Placerade på en främmande dator var de verktyg för grov brottslighet. Visst »lekte han runt lite«, men att göra någonting brottsligt var aldrig målet, säger han i dag. Allt kretsade kring att skapa, göra det omöjliga och klara av sånt som mjukvaruföretag lagt miljoner dollar på att förhindra. Det mesta av sin historia teg Philip Pettersson om när han satt ansikte mot ansikte med förhörsledaren. Leif Eriksson började fråga om hans datorer. Bit för bit beskrev Philip Pettersson sitt hemmanätverk. Servern i garderoben kallades Tako. Ja, den körde operativsystemet Linux. Den används för skolarbeten och för att kommunicera med andra i skolan. Lånedatorn? Klone hette den. Också Linux. Han kände hur frustrationen steg i takt med att Leif Eriksson började ställa frågor om avancerad teknik. Vad förstod han? Ska jag sitta här och berätta om distribuerade filsystem för någon som inte kan någonting om datorer? Vad tjänar det till? Ändå kom svaren, ett efter ett. Rebel, svarade Philip Pettersson när han fick frågan om sitt alias. Stakkato? »Han vet inte vem det är men känner till nicket«, antecknade Leif Eriksson. Sedan var den lätta uppvärmningen över. Den 17 maj hade någon hackat sig in i Uppsala universitets servrar. Hur gick det till? Philip Pettersson drog efter andan och började lägga fram sin berättelse. Två personer hade gjort det tillsammans. De var båda äldre hackare, den ena från Rumänien (»Nebunu») och en annan från Thailand. 53
Svenska_hackare_till_tryck_20110222.indd 53
2011-02-22 11:16:29
svenska hackare
Vad thailändaren hette visste han inte. Men det var han som hade byggt ett spionprogram som man kunde smyga in på en server och få tag på alla lösenord. I detta första förhör medgav Philip Pettersson att han hade tittat in på universitets server och blivit superanvändare (»root«). Förhörsledaren artikulerade adressen som alla lösenorden skickades till. »Sucky Sucky Five Dollah punkt ATH punkt CX«. Jo, Philip Pettersson kände till den, hade nog sett den någon gång. Det var thailändarens server det också. Det var han som kontrollerade den. I senare förhör har Philip Pettersson uppgett att Stakkato och thailändaren är samma person. Kanske var förhöret en långt större framgång för polisen än Leif Eriksson hade vågat hoppas. Philip Pettersson förnekade brott, beskrev sig som utnyttjad av någon som använde sig av hans dator för att ta sig vidare ut till de knäckta servrarna. Hela tiden var det därför hans spår dök upp i loggfilerna. Ändå var en första seger vunnen. De hade inget erkännande, men gott om beslagtagen datorutrustning som skulle finkammas på jakt efter bevismaterial. Kanske skulle det åtminstone ta slut nu. Dessutom beskrev Philip Pettersson faktiskt hur han varit med på ett hörn. Leif Eriksson avslutade förhöret med att ringa kammaråklagare Chatrine Rudström och fråga om pojken skulle häktas. Svaret blev nej. »Han säger att han känner sig utnyttjad av äldre i hackervärlden. Förhöret slut kl 11:50«, avslutas förhörsprotokollet. Philip Pettersson fördes ut till en väntande bil och kördes de åtta minuterna hem. I trapphuset mötte han Tony Möörk som höll på att bära ner det sista av bevismaterialet från lägenheten. Utan att säga mycket tog Philip Pettersson emot nycklarna till ytterdörren och gick in. En tom lägenhet mötte honom. Hans bärbara dator, servern i garderoben, den stationära i hans lillebrors rum, Philip Petterssons mobiltelefon, handdatorn, CD-skivor – de hade till och med tagit en färgglad iMac i vardagsrummet som han hade fått när han fortfarande gick i mellanstadiet. Sakta gick han från rum till rum. Utan datorerna var lägenheten inte sig lik. Den kändes tom, öde. Det var då det började gå upp för honom. Polismannen i bilen hade haft rätt. 54
Svenska_hackare_till_tryck_20110222.indd 54
2011-02-22 11:16:29
historien om stakkato
Den här dagen skulle han aldrig glömma. Hans liv hade förändrats för alltid innan han ens hade tagit studenten. På IT-gymnasiet i Uppsala hade klasskamraterna nyss kommit tillbaka från lunchrasten. En stol stod fortfarande tom och ingen i klassen visste ännu varför Philip Pettersson inte hade kommit den där morgonen. Han lämnade lägenheten och låste dörren efter sig, ville inte vara kvar på platsen som påminde honom om vad som just hade hänt. Den natten sov han hos en släkting. New York, maj 2005
I förhöret hade de flesta frågor handlat om dataintrånget mot Uppsala universitet. Först mot slutet hade Leif Eriksson tagit upp Cisco, det stora nätverksföretaget vars kod blivit stulen. Därför gick det inte upp för Philip Pettersson hur omfattande utredningen i USA hade varit. Den amerikanska utredningen förblev hemlig till den 10 maj 2005, två månader efter tillslaget i Uppsala, då USA vaknade upp till en udda toppnyhet på New York Times förstasida. INTERNET ATTACK IS CALLED BROAD AND LONG LASTING
Focus falls on Sweden Nyheten om att 100 motståndsmän hade dödats i västra Irak fick stå tillbaka för uppgifterna om hackarhärvan. I artikeln beskrivs hur FBI -agenter i mer än ett år försökt spåra hackaren som aldrig tycktes ge upp och hur spåren till slut lett till Sverige. I närmast beundrande ordalag uttalade sig anonyma säkerhetsexperter om hur smart Stakkato hade byggt sitt automatiska system för att stjäla lösenord och ta över fler anläggningar. Detta var också första gången som den verkliga omfattningen av intrången blev känd. FBI-utredare talade nu om tusentals datorer i upp till sju länder. Spridda rapporter det senaste året hade avslöjat intrång mot Cisco och superdatorer, men här visades hela pusslet upp för första gången. Allt hörde ihop, och väven var mer komplicerad än allmänheten tidigare hade känt till. 55
Svenska_hackare_till_tryck_20110222.indd 55
2011-02-22 11:16:29
svenska hackare
Förutom de redan kända intrången avslöjades nu att en hackare tagit sig in i datorer tillhörande White Sands Missile Range, USA:s största militära anläggning belägen i delstaten New Mexico. Det var här mänskligheten tog sitt första steg in i den nukleära tidsåldern när världens första atombombstest genomfördes den 16 juli 1945. Sedan dess har White Sands Missile Range fungerat som en skjutbana för några av USA:s mest fruktade vapen. Vad som finns på anläggningens datorer är topphemligt, men det är ingen vågad gissning att där finns beskrivningar av både nu existerande och framtida amerikanska vapensystem. Men den kanske allvarligaste uppgiften lyckades The New York Times aldrig bekräfta. En kemist vid University of California vars dator hackaren tagit över hade tidigt i intrångsserien fått meddelanden från en konstig användare med signaturen Stakkato. Breven var hånfullt skrivna och fullproppade dramatiska påståenden om vilka servrar hackaren hade tagit sig in i. »Patuxent River stängde helt ner sina nätverk«, skrev han. »De blev skiträdda när jag berättade att jag hade stulit ritningar till F-18.« Påståendet var sensationellt. Patuxent River är ett av det amerikanska flygvapnets högkvarter och ansvarar för att hålla den amerikanska marinens stridsflygplan i toppskick.26 Nu påstods att ritningarna till F-18, landets primära stridsflygplan som kostar upp till 57 miljoner dollar styck att tillverka, hade läckt till en oidentifierad hackare.27 När The New York Times ställde frågor om intrånget mot Patuxent River gav James Darcy, talesperson för den amerikanska flottan, ett svävande svar. Han förnekade inte att någon varit inne i servrarna. Men om något allvarligt hade hänt? Nej. Han antydde att hackarens påstående mest var tomt skryt. Men när vi i arbetet med denna bok granskat det omfattande utredningsmaterialet så faller pusselbitarna på plats. Vad The New York Times reportrar sannolikt inte kände till, och kanske inte heller cheferna vid flygvapnets högkvarter vid Patuxent River, var innehållet i den enorma textfil som hittats i Philip Petterssons dator i Uppsala. Där fanns ingen information om några amerikanska flygplan, men 56
Svenska_hackare_till_tryck_20110222.indd 56
2011-02-22 11:16:29
historien om stakkato
däremot åtta rader i en textfil med ett spektakulärt innehåll. Där stod den internetadress som Patuxent River Naval Air Systems Command använde. Där stod root, alltså superanvändare, som inloggningsnamn. Och ett lösenord. Med andra ord just den information en hackare skulle ha på sin dator om han verkligen hade tagit sig in i dessa militära datorer.28 Sedan dess har det varit tyst. Ingen har gripits eller åtalats för intrång mot Patuxent River. Att ett lösenord, som ser ut att kunna ge tillgång till det amerikanska marinflygets topphemliga datorsystem fanns i ett pojkrum i Sverige har aldrig tidigare rapporterats offentligt. Artikeln i The New York Times ger också en mindre smickrande bild än den klassiska av den – eller de – hackare som låg bakom serien av digitala inbrott. I den konventionella uppfattningen om en skicklig hackare ingår att han eller hon inte är ute efter att förstöra de besegrade systemen. Men kemisten i Kalifornien uppges här ha fått hela sin mejllåda, med över ett års korrespondens, raderad. Troligtvis var det en hämnd för att hon nedlåtande beskrivit honom som ett pittoreskt inslag inför sina kollegor, kommunikation som Stakkato tros ha kunnat läsa. Liknande uppgifter har flera gånger framkommit i arbetet med denna bok. Källor med mycket god insyn i utredningarna vittnar om vissa fall av raderade mejlkonton och försök till sabotage av hem sidor. Vid ett tillfälle ska en hel server vid ett amerikanskt universitet ha tömts på innehåll. Sådana händelser tycks undantagslöst ha föregåtts av en provokation, som att hackaren kastats ut eller internt beskrivits som en liten unge. Ren förstörelse är relativt ovanligt vid dataintrång. Det är inte bara en fråga om hackaretik. En förstörd server är obrukbar även för hackaren själv. Tömd på innehåll är den tekniskt död och därmed ointressant. Nyheten om dataintrången slog ner som en bomb. Kopplingarna till NASA, militära datorsystem och Cisco fick amerikanska medier att gå i spinn. Redan på förmiddagen stod CNN:s glasögonprydde teknikkorrespondent Daniel Sieberg i direktsändning och svarade på programledarens frågor om 16-åringen i Sverige. Snart vaknade även 57
Svenska_hackare_till_tryck_20110222.indd 57
2011-02-22 11:16:29
svenska hackare
svenska medier. Pliktskyldigt återgavs uppgifterna från den amerikanska tidningen, men ingen ny information framkom. Vem var tonåringen? Ännu hade ingen publicerat hans namn. Uppsala, maj 2005
Philip Petterssons närmaste vänner kände redan till razzian när händelsen plötsligt en dag blev en världsnyhet. Han hade fortsatt gå till skolan, till en början utan en egen dator eftersom den stod inlåst i polishusets avdelning för bevismaterial. För de pengar han kunde spara från studiebidraget köpte han den bästa han hade råd med. Det blev en hopplöst föråldrad laptop, långsam och med skralt minne, men den fungerade. Nu hade han visserligen en dator, men någonting hade förändrats. Intresset var som bortblåst och han kunde bli sittande i långa stunder framför skärmen utan att få någonting gjort. Känslan av att vara ett med maskinen, att kunna skapa vad som helst med bara tangenter, minne och sin egen tankeförmåga var som försvunnen. För första gången sedan han var sex år gammal kände han ingen passion för programmering. Gnistan hade slocknat. Samtidigt fortsatte utredningen. Nya förhör hölls. En fredagsförmiddag, en knapp månad efter razzian, klev Leif Eriksson in på gymnasieskolan, tog Philip Pettersson åt sidan och ställde uppföljningsfrågor i tio minuter. Den gången var polismannen ute efter ett lösenord till en krypterad del av Philip Petterssons server. Koden, 30 tecken lång och därmed värdig en säkerhetsklassad militär anläggning, uppgav han sig ha glömt bort. Leif Eriksson fick lämna skolan utan upplysningar. I juni 2006, mer än ett år efter razzian, hade utredarna hunnit gå igenom varenda fil de hittat på de beslagtagna datorerna, servrarna och CD-skivorna. Philip Pettersson kallades till det riktigt tunga förhöret. Vid sin sida hade han en försvarare från kändisadvokaten Leif Silberskys byrå. 14 fall av dataintrång lades på bordet. Anklagelserna var mycket specifika. Klockan 13:47 den 17 maj 2004 uppgavs han ha loggat in 58
Svenska_hackare_till_tryck_20110222.indd 58
2011-02-22 11:16:29
historien om stakkato
på en dator ägd av Matematiska institutionen på Uppsala universitet. Datorns namn var Brummelisa. (Ett udda namn kan tyckas, men i utredningen figurerar servernamn som »Spetsknypplerskor«, »Grillolja« samt på Umeå universitet »Lenin«, »Mao« och »Stalin«. Tekniker på KTH hade valt de mer vardagliga »Prisextra« och »Konsum« för sina maskiner.) Användarnamnet som användes vid intrånget var Johanna. Enligt förhörsprotokollet medgav Philip Pettersson först att han varit delaktig i intrången. Lösenorden sa han sig visserligen inte ha hackat själv. I stället var det någon annan, under förhöret bara kallad »han« som ska ha fixat fram dem. Senare betonade den misstänkte att han bara hade skapat programmet som stal lösenorden och följt med in på de spärrade datorerna för att se till att det fungerade. Inte med ett ord beskrev han vem eller hur många han arbetat med. Leif Eriksson, som ledde förhöret, lade fram ett papper på bordet. Det föreställde en utskrift av det polismännen vid razzian såg i den krypterade delen av hans hårddisk när de för första gången satte sig vid datorn. Philip Pettersson betraktade pappret en kort stund och bekräftade vad det föreställde. – Ni måste ha haft mycket kul när ni gick igenom detta, anmärkte han syrligt och tillade att många av de som dagligen loggade in på hans hemmanätverk hade tillgång till denna del av hårddisken. Klockan närmade sig tolv och förhöret hade hållit på sedan niotiden på morgonen. Leif Eriksson ställde en avslutande fråga, kanske av nyfikenhet, kanske för att det skulle hjälpa honom med utredningen. – Vad var syftet med alltihop? – Kul, blev svaret, kul att utforska och få uppleva saker när man är nyfiken.29 Ett och ett halvt år efter att The New York Times gjort honom till anonym världskändis öppnade Philip Pettersson glasporten till Uppsala tingsrätt, gick in i rättssalen och satte sig ner bredvid sin advokat. Det var januari 2007 och Philip Pettersson hade fyllt 18 år. Polisen och åklagaren hade tagit gott om tid på sig för att gå igenom hans 59
Svenska_hackare_till_tryck_20110222.indd 59
2011-02-22 11:16:29
svenska hackare
datorer och sammanställa ett åtal. Mycket i Philip Petterssons liv hade hunnit hända. Gymnasiet var snart slut och hans klasskompisar skulle gå vidare till högre utbildningar, jobb eller resor. Ett halvår efter razzian hade förhållandet med flickvännen – hon som hade kallats in som vittne av Uppsalapolisen – tagit slut. Vad hon hade sagt hade han redan sett i protokollet. Hennes uppgifter skulle inte figurera alls i rättegången, men det skavde extra mycket att veta att just hon av alla människor hade suttit där ansikte mot ansikte med förundersökningsledaren och pratat om honom. »Virrigt«, var ordet Philip Pettersson senare skulle använda för att beskriva det hon hade sagt. Utredningsmaterialet var stort, närmare 1 000 sidor, men kammaråklagare Chatrin Rudströms upplägg var enkelt. För det första utelämnades alla intrång i USA och andra länder. I stället gällde åtalet intrång mot universiteten i Uppsala, Stockholm, Umeå och Linköping samt Karolinska institutet, KTH och Nationellt Superdatorcentrum. Strategin var att ta detaljer ur universitetens loggar om vilka stulna konton som använts och att para ihop dem med lösenord i den gigantiska textfil som hittats i Philip Petterssons dator. För första gången stod nu den misstänkte storhackaren, tonåringen som snart skulle gå ut gymnasiet, ansikte mot ansikte med de tekniker vars system han påstods ha tagit sig in i. På plats fanns Leif Nixon från NSC i Linköping och Christian Nygaard, den tekniker vid Uppsala universitet som upptäckt ordet »knark« i koden. Även polismannen Tony Möörk var där för att vittna. Philip Pettersson upprepade sin version av förloppet. Hans dator kanske hade använts, och visst hade han skrivit några av programmen. Men det var andra hackare, äldre personer från länder långt borta, som hade begått själva brotten via hans dator. Det var därför filen fanns där. Det var så det hade gått till när tusentals stulna lösenord hade placerats på hans hårddisk. Ja, han ingick i en grupp av hackare. Thailändaren Stakkato och rumänen Nebunu beskrevs återigen som hjärnorna bakom det hela. Åklagarsidan hade förberett för en riktig show. Förutom lösenord hade inspelade sekvenser från dataintrång hittats på Philip Pettersons 60
Svenska_hackare_till_tryck_20110222.indd 60
2011-02-22 11:16:29
historien om stakkato
dator. De låg sparade i en katalog med namnet »funny sessions« och visade hur en främmande dator angreps, hur personen vid tangentbordet använde knep och trick för att knäcka säkerhetsskydd och få makt över det angripna systemet. Filmen visades upp för rätten. Planen var att låta de närvarande förundras över den unge hackarens kunskaper. I efterhand talar flera närvarande om hur lugnt Philip Pettersson talade, hur klart han uttryckte sin historia. Själv minns han rättegången som en lång frustration över att inte kunna göra sig förstådd. Målet var någonting helt annat än vanliga helgslagsmål och bilstölder som tingsrätten ofta hanterade. Tidvis gick diskussionerna in på frågor som skulle vara helt främmande även för de flesta datorkunniga, och där satt en rad nämndemän helt utan specialutbildning med uppdraget att fatta beslut som skulle avgöra en ung människas framtid. Några av frågorna de ställdes inför var dessa: Om en mycket avancerad användare startar ett visst program i operativsystemet Linux, som ingen av dem troligtvis ens hade sett, gör han det då för att själv skriva in någonting i en fil, eller bara för att läsa den? Har en kriminell thailändare någonting att vinna på att låta sin internettrafik gå via en persondator i Uppland? Två veckor senare frikände tingsrätten Philip Pettersson på samtliga åtalspunkter. Ingen betvivlade att hans dator varit navet i en utdragen serie av avancerade intrång. Men vem hade utfört handlingen? Tingsrättens bedömning var klar. Någon annan, kanske den vid det här laget beryktade thailändaren, kunde ha gjort det via hans uppkoppling. Domen är en parodi på IT-kunskap. Tingsrätten famlar sig fram genom tekniska begrepp, kommer med absurda påståenden som att lägenheten i Uppsala skulle ha »det snabbaste bredbandet i hela världen« och tycks inte förstå skillnaden mellan ord som kod och program. Adressen till servern som samlade in lösenorden skrivs ut på flera olika sätt i domen, samtliga felaktiga. Dessutom är tingsrättens slutsats en enda stor självmotsägelse. Att Philip Pettersson var den skyldige kunde inte styrkas. Ändå skulle den uppsjö av datorer som beslagtagits från hans pojkrum inte lämnas tillbaka. 61
Svenska_hackare_till_tryck_20110222.indd 61
2011-02-22 11:16:29
svenska hackare
– Man kunde nästan läsa ett budskap mellan raderna, säger en poliskälla som arbetade med utredningen till oss. – De ville säga: »Vi förstår inte det här. Överklaga.« Det kunde ha tagit slut där. Philip Pettersson skulle ha gått ut gymnasiet, sökt till universitetet och med åren skulle minnet av poliser som genomsöker hans hem och timslånga utfrågningar om dataintrång ha bleknat. Men domen överklagades och i Svea hovrätts pompösa lokaler på Riddarholmen i Stockholm var det ingen som trodde på förklaringarna Philip Pettersson lade fram. Han låg fortfarande och sov hemma i Uppsala när hans telefon pep till. Yrvaket plockade han upp den. Ett nytt sms: »Jag beklagar.« En kompis hade sett nyheten om att hovrätten funnit honom skyldig innan han själv fick höra om domen. Det strängaste straff en svensk domstol kan ge för dataintrång är två års fängelse. Hovrätten beslutade att han inte skulle låsas in, men dömde honom till villkorlig dom, vilket ändå var strängare än vad åklagaren hade krävt. När åtal väcktes i tingsrätten 2006 hade Chatrine Rudström visat sig redo att acceptera ungdomstjänst på grund av hackarens låga ålder.30 Hovrätten såg ingen anledning att ta så lätt på brotten. Den största tyngden som vilade på Philip Pettersson inför rättegången var ändå skadeståndskraven. Tillsammans krävde universiteten honom på 392 000 kronor för allt arbete som lagts ner på att rensa efter intrången, byta ut stulna lösenord och säkra upp hackade servrar. Nationellt Superdatorcentrum försökte sig också på att räkna ut vad superdatorn, som centret lagt tiotals miljoner på i inköpskostnad, kostade att äga under de dagar den stod nedkopplad efter intrånget. Hovrätten avfärdade vissa av kraven men slog fast att Philip Pettersson skulle betala 160 000 kronor, plus ränta, i skadestånd. Tidigt våren 2010 hade Philip Pettersson fortfarande inte börjat betala. För varje dag växer skulden i takt med att räntan tickar på. Finns Nebunu och Stakkato? Är de verkliga människor som Philip Pettersson hävdar eller fantasifoster som han använde för att skylla 62
Svenska_hackare_till_tryck_20110222.indd 62
2011-02-22 11:16:30
historien om stakkato
ifrån sig? Enligt tingsrätten kan de mycket väl existera och vara de verkliga hjärnorna bakom attackerna. Hovrätten säger visserligen inte rakt ut att de är påhittade, men viftar ändå undan förklaringen med de två mystiska karaktärerna. En granskning av det omfattande materialet som omger Stakkatoutredningen visar att åtminstone Nebunu figurerar som en person, skild från Philip Pettersson eget alter ego i hackarvärlden. En artikel om avancerade tekniker för att utnyttja säkerhetshål som Philip Pettersson skrivit och publicerat på nätet avslutas med hälsningar till flera alias, troligtvis vänner som delar samma intresse eller skickliga hackare som Philip Pettersson såg upp till. En av dem är Nebunu. Även koden till programmet Kebab, signerat med Philip Petterssons alias Rebel, innehåller en sådan hälsning. Programmet beskrivs som en parasit vars enda syfte är att ge en hackare möjlighet att fjärrstyra en knäckt dator. Här och där i den beslagtagna datorn finns utskrifter från anonyma chattkanaler med formuleringar som »NEBUNU UND REBEL OWNZ DICH «, ett hopkok av engelska, tyska och allmän nätslang som kan översättas till »Nebunu och Rebel äger dig«. Dessutom finns det än i dag texter om avancerat hackande på nätet, signerade med namnet Nebunu och en rumänsk mejladress. I minst en av dessa skickar författaren en hälsning till »Rebel«. Fram till 2002 drev någon som kallade sig Nebunu en hemsida om hackande med tips om hur ett lyckat intrång genomförs. Sedan raderades den från nätet och tycks inte ha återkommit. Mycket tyder på att Nebunu finns på riktigt.31 Men det är Stakkato som genom hela processen har utmålats som den verkliga kraften bakom intrången. Namnet figurerar på flera ställen i textfilerna på Philip Petterssons dator, många gånger i form av olagligt skapade konton på de angripna universitetsservrarna. Så gott som varje gång har dessa konton bokstaven q som lösenord. Däremot saknas referenser till honom i tredje person av den typ som finns kring Nebunu. Ord står mot ord. Men klart är att om Philip Petterssons version av sanningen stämmer så kan två personer ha suttit lutade över sina 63
Svenska_hackare_till_tryck_20110222.indd 63
2011-02-22 11:16:30
svenska hackare
tangentbord någonstans i världen när polisen stormade in i Uppsalalägenheten. Kanske följde de i detalj vad som hände med den dator de utnyttjat för att stjäla tusentals konton från några av världens mest mytomspunna datorsystem. Kanske fick de sedan kalla fötter, bytte namn eller slutade med sin kriminella verksamhet och hoppades att Philip Pettersson skulle få skulden för alltihop. Kanske existerar Stakkato inte, mer än som ännu en sida av en ung svensk hackares komplexa identitet i nätets undre värld. Efter hovrättens dom ställde Philip Pettersson upp på korta intervjuer, men ingen tidning publicerade hans riktiga namn. För läsarna blev han i stället känd som Uppsalahackaren, 19-åringen eller, som i Aftonbladet, »Superhackaren«.32 Uppgivet pratade han med journalister om hur lite domstolen förstått av tekniken. – Det är en total tragedi för vårt rättssamhälle att en domstol kan döma någon med bevisning som domstolen inte förstår. Den har bara automatiskt lyssnat på vad åklagaren säger och på några expertvittnen från Rikskrim med tre veckors datautbildning, sade han. Med domen registrerad såg han inte längre någon anledning att hålla tillbaka sitt förakt för hela det rättsväsende som nu fällt honom. – Åklagaren och hennes kumpaner säger till exempel att det är väldigt konstigt att man har ett lösenordsknäckningsprogram, att det är konstigt med säkerhetsprogram som följer med de flesta Linuxdistributioner. Flera år senare beskriver han hovrätten som ett gäng pensionärer och minns särskilt en av nämndemännen, en äldre herre med stödkrage. Genom hela rättegången satt han med huvudet lutat lätt åt sidan, enligt närvarande med ögonen nätt och jämnt öppna, medan han lyssnade på vittnesmål och tog del av bevisning på en så hög teknisk nivå att knappt en ingenjör med examen i datavetenskap skulle hänga med i alla detaljer. För Philip Pettersson blev han symbolen för en vuxenvärld som inte begrep en bråkdel av allt han visste om datorer och nu hade satt spår i hans liv som aldrig skulle försvinna. De hade inte vuxit upp på 64
Svenska_hackare_till_tryck_20110222.indd 64
2011-02-22 11:16:30
historien om stakkato
nätet. De hade inte som barn upptäckt en helt ny värld, en Narniagarderob av sammankopplade datorer, kod och servrar, en plats där logik och intelligens kunde skapa vad som helst och där vilket ställe som helst på jorden var lika tillgängligt som gården utanför fönstret. De äldre hade aldrig lärt känna någon utan att veta hur han eller hon såg ut, bara genom vännens ord, kod och kunskap. Det var hans värld de försökte döma, tvinga in i sin egen fyrkantiga låda av lagar, begränsningar och spärrar. – De har förstört min framtid innan jag ens är vuxen, sa han till en reporter och lovade att försöka ta hackarhärvan till Högsta domstolen. Det gjorde han också, men fick avslag. Därmed slogs domen fast och den riktigt allvarliga processen kunde börja, den del som rörde intrången i USA. Tusentals maskiner hos NASA, Cisco och militären – affärshemligheter, militära servrar, superdatorer i världsklass. Washington DC, november 2007
Medan svenska åklagare och poliser lade pusslet kring universiteten pågick ett intensivt arbete i USA. Vad som hade börjat som spridda utredningar av FBI på tre orter – San Diego, Chicago och Springfield i Illinois – slogs samman när det stod klart att intrången hade utförts på samma sätt, med samma verktyg och att det sannolikt var samma person eller grupp som låg bakom. Agenter i det mytomspunna högkvarteret i J Edgar Hoover-byggnaden i Washington DC tog över och samordnade utredningen. Internt på FBI kom fallet att kallas Major Case #216, ett slags beteckning som ges till utredningar som är så omfattande att de involverar lokala FBI-kontor runt om i landet. Minst 60 FBI-anställda agenter och experter inom IT-säkerhet på över 20 lokala kontor beräknas ha arbetat med att spåra intrången till Uppsalalägenheten.33 Mark Culp, chef för FBI:s avdelning för cyberbrottslighet i San Diego, var en av de första att höra talas om Stakkato. Det var till honom larmet gick när Abe Singer upptäckt en inkräktare på super65
Svenska_hackare_till_tryck_20110222.indd 65
2011-02-22 11:16:30
svenska hackare
datorcentret vid University of California och redan i april 2004 fick han de första signalerna som tydde på en samordnad serie av intrång. I dag bekräftar han att FBI i början var långt ifrån säkra på att det var en enskild person som var i farten. En högst levande hypotes var att en främmande statsmakt lade stora resurser på att ta sig långt in i amerikansk IT-infrastruktur. – Det var ett särskilt oroväckande fall innan vi kände till hackarens motiv, skriver han till oss i ett mejl. – Tidigt ställde vi oss frågan om detta bara var en unge eller om någon med mer ondskefullt uppsåt låg bakom. Jag tror vi alla nu har dragit slutsatsen att det bara var en unge. När utredningen riktade strålkastaren mot Sverige och FBI-agenterna började känna sig säkra på att en tonåring låg bakom alltihop drog många en suck av lättnad. Samtidigt uppstod ett nytt problem. Att ställa en minderårig, utländsk medborgare inför rätta för brott som kan ge upp till tio års fängelse är ingen liten sak. Händelserna i Uppsala tingsrätt och Svea hovrätt följdes därför noga av de mest initierade agenterna och säkerhetsexperterna som levt med Stakkato intrången och dess efterdyningar i flera år. Högsta domstolens nej blev startskottet. Den 6 maj 2009 publicerade det amerikanska justitiedepartementet ett dokument på sin hemsida. De amerikanska myndigheterna väcker åtal mot en svensk man, »även känd som Stakkato«, stod att läsa i dokumentet. Anklagelserna var grova. Tre fall av dataintrång, två mot NASA och ett mot Cisco. Dessutom anklagades Philip Pettersson för industrispionage genom att ha kopierat och spritt Ciscos hemliga kod. Fyra av de fem brotten ska alla ha begåtts under en vecka i maj 2004, vid samma tid som Ciscokoden dök upp på den ryska webbplatsen. Det femte, ett intrång mot datorer på NASA, var daterat den 22 oktober. Då hade utredare i USA redan fått upp ögonen för ynglingen i Sverige. Konturerna av en enorm utredning målades upp. Mängder med brottsbekämpande myndigheter hade deltagit i spaningen, allt från IT -brottssektionen på FBI till Secret Service, alltså den myndighet som bland annat ansvarar för presidentens säkerhet. 66
Svenska_hackare_till_tryck_20110222.indd 66
2011-02-22 11:16:30
historien om stakkato
Samarbetet mellan FBI och svensk polis var mer intimt än vad som tidigare har varit känt. Redan sommaren 2004 upprättades kontakter och amerikansk polis hölls hela tiden uppdaterad om hur adressen i Uppsala spårades, hur polisen slagit till den där morgonen i mars 2005 och hur Philip Pettersson tagits in på förhör. Faktum är att det var ett tips från FBI som ledde den svenska polisen rätt.34 Från amerikanskt håll följde man hur koden från Cisco spreds över nätet. En nedladdning ska ha skett via University of Colorado, där hackaren förpackade filerna på ett behändigt sätt och sedan förde ut dem ur landet till en server på Karolinska Institutet. Karolinska Institutets tekniska system är tätt knutna till KTH, varför det från FBI-håll antogs att intrånget hade med KTH att göra. Därifrån iakttogs kopplingen till en privat uppkoppling från Bredbandsbolaget. Denna information lades till KTH:s polisanmälan långt efter att den hade lämnats in. Texten är på engelska och kommer direkt från FBI. År 2006 flög FBI in tre agenter, specialiserade på IT-brottslighet, till Sverige. Från Arlanda åkte de till polisstationen i Uppsala, mötte sina svenska kollegor och satte sig ner i ett förhörsrum. Philip Pettersson steg in i lokalen för att frågas ut ännu en gång. På väg in såg han sig om och noterade hur de annars vardagligt klädda poliserna i dag stoltserade i kavaj. Finbesök från Amerika i lilla Uppsala. För Philip Pettersson var detta ett i en lång rad av förhör, men mycket var annorlunda. De tre männen – artiga, välvårdade – kunde prata teknik på en nivå som Philip Pettersson aldrig hade stött på inom den svenska polisen, minns han. Han ignorerade tolken och pratade engelska direkt med agenterna. Allt han sa översattes sedan till svenska för att de andra närvarande inte skulle missa något. Under nästan en hel dag, sex timmar enligt Philip Pettersson, frågades han ut om intrången i USA, om universiteten, om Cisco och om NASA -servrarna. När förhöret var över fick den misstänkte underteckna ett referat, amerikanerna tackade för sig och åkte hem. Ännu några pusselbitar hade lagts på plats. Tre år senare skulle de komma till användning när åtalet väcktes i USA. 67
Svenska_hackare_till_tryck_20110222.indd 67
2011-02-22 11:16:30
svenska hackare
I en amerikansk domstol skulle Philip Pettersson riskera tio års fängelse och 250 000 dollar i böter för vart och ett av de fem brotten. Processen hade nått helt nya nivåer.35 Världspressen vaknade igen och Philip Petterssons namn dök upp i nyhetsmedier över hela jordklotet. Många mindes ännu de spektakulära hacken. Själv hade han nåtts av nyheten när han en morgon satt och klickade sig runt på Upsala Nya Tidnings sajt, i samma rum som polisen stormat flera år tidigare. Klumpen i magen kom tillbaka. Skulle historien aldrig ta slut? Hovrättens fällande dom hade varit ett hårt slag, och ännu hade han ingen aning om hur han skulle kunna betala det skadestånd han var skyldig universiteten. Men Philip Pettersson hade ändå sett det som ett tydligt slut, en punkt där processen var över. Inga fler timslånga förhör, inga rättegångsdatum. Datorer hade blivit intressanta igen, inte bara en påminnelse om det som hade hänt. Gymnasietiden var över och han hade börjat studera datavetenskap på Uppsala universitet. Och så började allt om igen. Tonåren var över sett till hans födelsedatum, men alla händelser levde vidare. – Det finns inte en chans att jag åker till USA. Chansen att jag blir utlämnad är ännu mindre. Ska jag sitta tio år i svenskt fängelse för det här? Det är absurt, beklagade Philip Pettersson sig för en svensk IT -tidning.36 Nästa steg skulle ligga långt utanför Philip Petterssons egen kontroll. Ärendet Stakkato blev en fråga som hanterades på diplomatisk nivå två stater emellan sedan USA bett Sverige om hjälp för att dra information ur Philip Pettersson. Åtalet som väcktes i USA skulle visa sig vara en ren formalitet. Syftet var aldrig att få honom åtalad i amerikansk domstol. Faktum var att Stockholm och Washington hade förhandlat om att flytta över fallet till Sverige sedan tidigt i utredningen. Resultatet blev att USA lämnade över en formell förfrågan till Sverige om att ta över målet och åtala Philip Pettersson för brotten i en svensk domstol. Kammaråklagare Chatrine Rudström satte den 4 december 2009 sin signatur på ett brev adresserat till det amerikanska justitiedepartementet.37 »Jag skriver till er för att bekräfta att Sverige har beslutat att 68
Svenska_hackare_till_tryck_20110222.indd 68
2011-02-22 11:16:30
historien om stakkato
acceptera er förfrågan«, skrev hon och lovade att själv följa fallet och ta ett beslut om åtal. »Fallet har lämnats över till polismyndigheter för den nödvändiga utredningsprocessen.« När man läser brevet slås man av den förhållandevis mjuka, nästan förlåtande tonen. Chatrine Rudström betonar att Philip Pettersson bara var 16 år gammal när brotten begicks och att han redan har dömts för dataintrång vid samma tid. Även om bevisen skulle visa sig vara övertygande, skriver hon, är det inte säkert att det blir ett åtal. Lagen tillåter att minderåriga slipper undan med hänvisning till att de redan fällts för liknande brott. Sveriges budskap till USA var att »Visst, vi kan ta över målet. Ni slipper handskas med det, men lita inte på att det går till domstol.« Ett avslutande »boys will be boys« är egentligen det enda som saknas för att brevet helt skulle tona ner sannolikheten för en ny rättegång. Amerikanerna accepterade. Sedan den 29 januari 2010 är Philip Pettersson inte misstänkt för något brott i USA.38 »Bara för att någonting bryter mot lagen så innebär det ju inte att det är helt fel.«
Kvällsluften i Uppsala är tung av fukt när vi möter Philip Pettersson. Vi har stämt träff utanför hamburgerrestaurangen Max glasdörrar vid Stortorget. Staden laddar för SM-finalen i bandy och en stor rund ljustavla mitt på torget sveper sitt sken över asfalten. Några minuter efter utsatt tid kommer han gående, vi skakar hand och sneddar över torget till ett kafé. Philip Pettersson ställer ner sin kaffekopp på bordet. Han är 21 år gammal, har börjat studera på ett av de universitet han har dömts för att ha hackat. Men för honom är historien långt från avslutad. Tonen är avspänd och intelligent när han talar. Då och då ler han när minnen från karusellen som pågått de senaste åren dyker upp, speciellt är det tekniska detaljer som får honom på gott humör. Ibland lyfter han blicken mot taket för att tänka efter. Philip Pettersson har aldrig tidigare pratat öppet om det händelse 69
Svenska_hackare_till_tryck_20110222.indd 69
2011-02-22 11:16:30
svenska hackare
förlopp som förändrade hans liv. Bortsett från korthuggna citat i samtal med journalister över telefon har han hållit sig i bakgrunden, låtit processen gå vidare med hopp om ett snabbt och smärtfritt slut. Nu, på ett fik bara ett par hundra meter från polishuset i Uppsala och med skadeståndskravet fortfarande hängande över sig, vill han bryta tystnaden. Försöka förklara vem han är och varför saker blev som de blev. Sedan några veckor har vi haft kontakt via mejl. Vi har diskuterat var vi ska träffas och försökt hitta en lämplig tid som inte krockar med hans studier. Tidigt säger han att han kan prata med oss om hur tillslaget gick till och hur den utdragna rättsprocessen legat som ett ok på hans axlar i flera år. Däremot vill han inte gå in på exakt vad han gjorde när intrången ägde rum. Vi accepterar. När vi träffas är det amerikanska åtalet är ännu inte avgjort. Han smakar på kaffet och börjar berätta. Jag minns en gång när jag gick i sjuan. Jag kunde inte särskilt mycket då, men jag gick in i chattkanalen #hack.se. De allra flesta där kunde mer än jag då, allt jag hade gjort var egentligen att installera Linux på min dator. De dissade mig ganska brutalt när jag försökte skaffa polare där och jag insåg att jag inte kunde så mycket, att jag borde sätta mig ner och lära mig så att jag sen, om några år, skulle kunna vara den som ser ner på dem. På så sätt kan lite mobbning vara bra, bara man tar det konstruktivt. Vissa skulle nog stötas bort av en sådan sak och inte komma tillbaka. Det är en ganska hård värld och folk på internet är inte alltid så trevliga. Men om man lägger sig ner och gråter för att någon är taskig mot en på nätet så kanske man inte passar in. Det där blev annorlunda sen. Någon gång när jag gick i åttan eller nian var det någon snubbe i samma kanal som var rätt kaxig och otrevlig mot dem han inte kände. Vi började prata och han ville mobba mig lite. Han gav mig en utma70
Svenska_hackare_till_tryck_20110222.indd 70
2011-02-22 11:16:30
historien om stakkato
ning, sa »visa hur du kan utnyttja den här buggen« – något enkelt buggigt program – och jag visade att jag kunde göra det på många fler sätt än han hade tänkt på. Plötsligt ändrades hans sätt, han blev schysst och vi blev ganska bra polare efter det där. Men, ja. Jag har nog själv varit likadan. Den internationella hackarscenen – den undre världen så att säga – är väldigt hierarkisk. Först är man ingen och man försöker hänga med de som är bättre än en själv. Man blir förnedrad, kommer tillbaka när man har lärt sig mer och då kommer man upp på samma nivå. Det finns folk där som jag aldrig har träffat IRL men som jag har känt i åtta år. Då blir det på riktigt, liksom. Det finns de som försöker hacka sig in i system, men många bara programmerar bakdörrar och sådant. Det är en väldigt komplex värld, det finns inget ställe där alla hänger utan det är snarare olika celler, grupper med tre-fyra polare som litar på varandra och delar precis all information de har, oavsett om det är någonting från system de hackat eller ett nytt program för att knäcka system. Dessa celler är kopplade till varandra och tillsammans blir de så att säga hackarscenen. Visst finns det de som gör det för egen vinning, men för de flesta är det bara en typ av utmaning. Det finns de som lyckas hacka värsta top secret-systemen men bara sitter inloggade och låter det vara. Det är en fjäder i hatten. Högst smäller det att hacka .mil. Det är det fetaste. Efter det kommer .gov, eller riktigt stora företag som Cisco, Microsoft eller AT&T . Hela tiden, från när jag var liten, har datorer egentligen varit det enda jag har hållit på med. Så var det på gymnasiet också. Då hade jag visserligen flickvän, och det tar ju en del tid. Men förutom det, bara datorer. Jag gick knappast till skolan varje dag, men jag skötte den ändå och fick bra betyg, flest MVG. Det enda jag någonsin fått IG i är idrott. Så det 71
Svenska_hackare_till_tryck_20110222.indd 71
2011-02-22 11:16:30
svenska hackare
har aldrig varit något problem, men det hände ofta att jag gick till skolan efter att ha sovit i tre timmar, kom hem och somnade. Sedan vaknade jag någon gång på kvällen och satt och grejade med datorn hela natten. Allt hände på nätterna. Det är väl för att det är så tyst och lugnt då, man slipper bli störd. När jag koncentrerade mig ordentligt på programmeringen så kunde jag hamna »in the zone« och om någon knackade på dörren eller om det var liv utanför så tappade jag det. Annars vet jag inte varför nätterna är så speciella. Min mamma – hon är läkare – var ganska ofta utomlands och jobbade. Så jag hade ju ingen som sa åt mig att jag borde gå och lägga mig. Ändå var jag inte frustrerad över skolan. För att bli det måste man ha utgångspunkten att man är där för att lära sig någonting, och jag har alltid sett det som att åtminstone gymnasiet bara är ett dagis för större barn. Jag hade ganska kul, umgicks med mina kompisar. Vi hade ju laptops på ITgymnasiet så vi satt mest där och surfade. Men om man tror att man ska få någon slags erfarenhet och en massa nyttig kunskap så får man vänta tills man kommer till universitetet. Minst. Så varför datorer. Om en dator pajar så finns det alltid en anledning till det, och man kan fixa det. Allt är deterministiskt, så att säga. Och sen är det hela onlinevärlden. När man tillbringar tid i chattrum blir man dömd efter sina meriter, inte på grund av hur man ser ut eller hur mycket pengar man har, bara på ens kunskap och på hur man beter sig. På sätt och vis är det ett slags perfekt samhälle. När man väl har kommit in på den banan går det inte att bara lämna den och börja använda datorn »som vanligt folk«. Man har sett den andra sidan, att det finns någonting bakom alltihop. Då vill man bara lära sig mer om hur alltihop fungerar. Senare på gymnasiet, efter att jag hade blivit raidad, tap72
Svenska_hackare_till_tryck_20110222.indd 72
2011-02-22 11:16:30
historien om stakkato
pade jag helt gnistan ett tag. Jag kunde inte få någonting gjort med datorer. Det är tragiskt vad det här har gjort för min framtid, men datorer är ju min passion. Ett par gånger har jag tänkt att mitt liv hade varit bättre om jag hade spelat fotboll när jag var liten i stället för att hålla på med datorer. Gnistan kom tillbaka efter hovrättens dom. Då kändes det som att allt skulle bli bra igen. Jag ville ju bara att det skulle försvinna. Då hade jag börjat studera datavetenskap på Uppsala universitet. Några av studenterna gick ju där redan när intrången skedde. Alla studenters lösenord hade ju fått bytas ut och inte alla tyckte att jag var en bra person direkt. Så nej, jag kände mig inte så välkommen. Andra tyckte bara att det var ballt. De ser det inte som att domen innebär att jag helt saknar etik och moral. Bara för att någonting bryter mot lagen så innebär det ju inte att det är helt fel. Dataintrång är ju ett väldigt speciellt brott. Det hade varit annorlunda om jag hade blivit dömd för barnporrbrott eller någonting sådant. Åklagaren och förhörsledaren har hela tiden uttryckt sig som att jag är en dålig människa, att jag skulle sitta där och ha dåligt samvete. Men några av killarna från rikskrim visade snarare en slags respekt. Han hade ju suttit och gått igenom materialet de hittade på min dator och man får en annan uppfattning när man förstår det. Han måste ha spenderat många timmar med att rota runt i materialet och tyckte nog det var roligare än hans andra arbetsuppgifter. Så jag menade det verkligen när jag sa »Ni måste ha haft mycket kul« där under förhöret. Jag var på ett till förhör nyligen. Det gällde det där amerikanska. Om den drar igång nu så vore det … Det skulle vara stressande, men jag skulle inte gå under. Jag är ganska van. Efter universitetet får vi se om jag tar ett legitimt jobb i Sverige. Ärligt talat känns det som att jag lever i fördröjd 73
Svenska_hackare_till_tryck_20110222.indd 73
2011-02-22 11:16:30
svenska hackare
exil. Jag utbildar mig här och tanken är att jag ska kunna få en schysst lön. Men ett jobb i Sverige skulle, med tanke på skadeståndet, som mest ge mig 10 000 i månaden. Nej, jag tror inte jag blir kvar länge till. Kanske åker jag till Tyskland, var som helst där de inte förföljer mig. Jag känner mig faktiskt förföljd här. Jag skulle kunna tänka mig att arbeta som programmerare. Eller någonting med säkerhet. Philip Pettersson är dömd till villkorlig dom för sju fall av dataintrång mot svenska universitet. Sommaren 2010 lades förundersökningen om intrång mot NASA och Cisco ned, med hänvisning till den tidigare domen. Han nekar fortfarande till anklagelserna och står fast vid sin berättelse om thailändaren Stakkato och rumänen Nebunu. Våren 2010 har han ännu inte börjat betala skadestånd till universiteten.
74
Svenska_hackare_till_tryck_20110222.indd 74
2011-02-22 11:16:30
Först in i framtiden Från en källare i Alvik till världens bästa IT-land En myt är att riktiga hackare är sådana typer som MIT-hackarna. Det är lögn. MIT-hackarna var nördar utan liv med låg imponansfaktor. Sen kom man på att hackare kanske var sådana typer som bröt sig in i datorsystem. Fast där stötte man också på problem. Det gick helt enkelt inte att kategorisera båda typerna som hackare. FÖR DET ÄR JU SÅ JÄVLA UPPENBART. HACKARE SOM INTE HACKAR ÄR INGA HACKARE. ALLTSÅ. HACKARE HACKAR!
– Arga Unga Hackare, 200539 Kvällen den 22 april 1980 var det fullsatt i hörsal E7 på Kungliga Tekniska Högskolan i Stockholm. Omkring 200 svenska datorentusiaster, de flesta av dem unga män, hade tagit plats för att närvara vid den nybildade datorföreningen ABC-klubbens första årsmöte. En förväntansfull stämning låg i luften. Kallelsen till mötet hade lockat med att klubbens eget kommunikationsprogram skulle visas upp för första gången. Ingen visste exakt vad det innebar, men i bänkraderna tisslades och tasslades det om att någonting extraordinärt var på gång. På scen fanns klubbens nytillträdde ordförande Gunnar Tidner och mötesordförande Odd Rolander, båda slipsprydda ingenjörer i fyrtioårsåldern och mer än ett decennium äldre än de flesta i publi75
Svenska_hackare_till_tryck_20110222.indd 75
2011-02-22 11:16:30
svenska hackare
ken. På bordet intill stod en knubbig liten gulvit ABC-80-dator, vid den här tiden Sveriges i särklass mest populära hemdator. En extra skärm var inkopplad och vänd mot publiken. Bredvid datorn stod ett av Televerkets modem och en telefon. I det övre vänstra hörnet på den annars nattsvarta datorskärmen blinkade en svagt lysande grön rektangel. Den visade att datorn var påslagen och redo att ta emot kommandon. Några mil bort, i ett radhus i Täby norr om Stockholm, stod ännu en ABC-80 och väntade på instruktioner. Mait Tidner, ABC-ordföranden Gunnar Tidners fru, vandrade in i arbetsrummet och slog sig ned framför datorn. Bredvid den stod ett modem, snarlikt det som befann sig på scenen i hörsalen på KTH. Hon slog på datorn, anslöt modemet och knäppte på skärmen, precis som hon och Gunnar kommit överens om tidigare. Hon skrev in ett par kommandon och tryckte enter. Ett kort budskap rullade fram på skärmen. MONITORN LADDAD. VÄNTAR PÅ ANROP.
På KTH rätade Gunnar Tidner till slipsen och klev fram till datorn på scen. Sorlet från publiken tystnade när han böjde sig ned och började knappa på tangentbordet. RUN T80PRT LOAD ABCMIN RUN
Han tryckte ned entertangenten. *** HALF DUPLEX *** skrevs ut på skärmen. Den gröna markören blinkade. Gunnar Tidner harklade sig, lyfte på telefonluren och slog numret hem till radhuset i Täby. Efter tre ringsignaler hörde han ett välbekant väsande, klickande och pipande ljud när modemet klickade igång. Han tryckte in A-knappen på modemet och lade ned telefonluren. Pipandet övergick i ett knastrande brus när de två datorerna fick kontakt. Plötsligt började nya tecken rulla fram över skärmen. Publiken spärrade upp ögonen. 76
Svenska_hackare_till_tryck_20110222.indd 76
2011-02-22 11:16:30
först in i framtiden
ABC-80 MONITOR KL 20:19 VAD VILL DU GÖRA?
Datorn på scenen i KTH:s hörsal var nu ansluten till ABC-80-datorn hemma i Täby. Texten som syntes på skärmen hade skickats tvärs över Stockholm via telefonnätet. Åskådarna lutade sig framåt i stolarna. Modemets visslande fortsatte. Gunnar Tidner fortsatte att knappa på tangentbordet. GET, skrev han och tryckte J för att bekräfta. Sedan TAKDROPP.BAS och enter. Datorn sög åt sig informationen och skickade den vidare. I Täby började datorn på skrivbordet framför Mait Tidner att surra. ÖVERFÖRING KLAR! skrevs ut på skärmen på KTH . Gunnar Tidner kunde nästan höra hur publikens ögonbryn höjdes. Han letade raskt upp filen TAKDROPP.BAS i datorns minne och startade programmet. Skärmen fylldes av tecken. Tillsammans skapade de en bild, en husfasad sedd framifrån men byggd av bokstäver och siffror i stället för pixlar. Taket, väggarna och fönsterkarmarna bestod av bokstäver, siffror och symboler. Under taket hängde ett tjockt lager vårsnö. Varje snöflinga representerades av tecknet #. Gunnar Tidner log stolt. Snöflingorna föll sakta ned från taket och längs med husfasaden. Det droppade från taket. TAKDROPP.BAS. Ett sus gick genom lokalen. Spridda applåder hördes. Medlemmarna i ABC-klubben utgjorde vid den här tiden gräddan i den svenska datorvärlden. Många av de närvarande använde dagligen de avancerade datorsystemen på Stockholms universitet eller KTH. Ändå var alla överens om att de just bevittnat en revolution. Gunnar Tidner hade visat att en hemdator, en simpel ABC-80, kunde användas för att skicka och ta emot filer över telenätet. Det var funktioner som tidigare varit förbehållet universitetens och storföretagens datorsystem, maskiner som kostade flera miljoner kronor att underhålla och som bara fick användas av utvalda experter. Få hade vågat föreställa sig att deras egna hemdatorer var kapabla till sådana storverk. 77
Svenska_hackare_till_tryck_20110222.indd 77
2011-02-22 11:16:30
svenska hackare
Gunnar Tidner log stolt och fortsatte knappa på tangenterna. Han hade ett trumfkort kvar att visa upp. MESS, skrev han och tryckte enter. Sedan J för att bekräfta. Snötaket försvann från skärmen och nya tecken rullade fram. ETT ÖGONBLICK... MESSAGE SKRIVA MEDDELANDE TILL VARANDRA
Han fortsatte skriva. HEJ MAIT, KAN DU LÄSA DETTA? KOM. Datorn surrade i ett par sekunder, modemet skickade ny information över telenätet. JA DET KAN JAG KOM, syntes på skärmen. Ordet chatt var inte uppfunnet än. Men Sveriges första chattprogram var precis vad Gunnar Tidner nu demonstrerade. DE HAR VALT MIG TILL ORDFÖRANDE KOM, skrev han som svar. Ett skratt spred sig genom hörsalen. Åskådarna skruvade på sig av förtjusning. Möjligheterna som nu öppnade sig var enorma. För 78
Svenska_hackare_till_tryck_20110222.indd 78
2011-02-22 11:16:30
först in i framtiden
första gången fanns ett sätt att skicka information mellan två hemdatorer utan att behöva disketter eller kassettband. Det var inte längre nödvändigt att sitta i samma rum, eller ens i samma land, för att prata eller byta filer med varandra. Det kliade i de unga datorentusiasternas fingrar. Efter demonstrationen förklarade Gunnar Tidner och Odd Rolander syftet med dagens möte. ABC-klubbens styrelse ville skapa en egen datacentral för medlemmarna, en digital mötesplats för att dela med sig av program, byta erfarenheter och åsikter. Gunnar Tidners program skulle bli grunden i systemet. Beslutet klubbades omedelbart igenom och med det föddes Monitorn, Sveriges första elektroniska anslagstavla utanför myndigheternas och storföretagens kontroll. Den svenska hackaren hade blivit en organiserad figur.40 Kontakt
I januari 1981, nästan ett år efter den första demonstrationen på KTH, kopplade Gunnar Tidner upp Monitorn, hemdatorföreningen ABCklubbens elektroniska mötesplats. Hårdvaran ställdes i klubblokalen, en fönsterlös källare i Alviks medborgarhus, och var uppkopplad 24 timmar om dygnet. Nästan omedelbart började medlemmarna klaga på att det alltid tutade upptaget när de försökte koppla upp sig.41 Monitorn var Sveriges första ideella BBS. En BBS, Bulletin Board System, är enkelt uttryckt ett slags föregångare till det vi i dag kallar för internet. I sin enklaste form består en BBS, populärt kallad en bas eller bräda, av en ensam dator ansluten till telenätet via ett modem. Andra användare kan ansluta till systemet, ladda upp eller ner filer och lämna meddelanden. System med flera telefonlinjer lät flera användare ansluta samtidigt, chatta och kanske till och med spela spel mot varandra. På Monitorn kunde ABC-pionjärerna prata med varandra och dela egna, hemsnickrade program. Gunnar Tidner visste det inte då, men hans skapelse skulle få enorm betydelse för den svenska datorkulturens utveckling. Den praktiska nyttan med de tidiga baserna var i början nära nog noll. Hastighe79
Svenska_hackare_till_tryck_20110222.indd 79
2011-02-22 11:16:30
svenska hackare
terna var så låga att det gick snabbare att skicka disketter med posten än att flytta filer över telenätet. Men för tiotusentals datorentusiaster i Sverige var Monitorn en våt dröm på väg att bli verklighet. Maskinerna i den dammiga källarlokalen i Alvik symboliserade en svindlande framtidsvision. De sammankopplade ABC-80-datorerna skapade tillsammans en ny värld, en parallell dimension bestående av ettor och nollor där den fysiska verkligheten saknade betydelse. En värld av kod, kreativitet och blixtsnabb kommunikation som var tillgänglig oavsett var på jordklotet man befann sig. På 1970-talet så tedde sig fortfarande tanken på en egen hemdator overklig för de flesta. Bara ett drygt decennium tidigare hade det verkat lika absurt som att äga sitt eget kärnkraftverk. Ännu tidigare var den rådande världsbilden att en handfull jättelika datorcentraler, strategiskt utplacerade på storföretag och universitet runt om i världen, skulle försörja hela världens befolkning med beräkningskapacitet. »Det finns en världsmarknad för kanske fem datorer«, ska IBM -chefen Thomas Watson enligt sägnen ha sagt under det tidiga fyrtiotalet. Citatets äkthet är föremål för ständig diskussion men det fångar perfekt dåtidens bild av vart datorvärlden var på väg.42 Hemdatorn representerade ett radikalt avsteg från den modellen. Den gav den enskilda användaren kontroll över ett eget system. Datorn blev en personlig ägodel, inte en hyrd tjänst som förmedlades till de redan insatta av storföretag eller universitet. Det gjorde dator ägandet till en hobby, att jämföra med bilar, musik eller måleri. I USA lanserades de första datorerna för hemmabruk i mitten av 1970-talet. ABC -80 blev den svenska motsvarigheten, en knubbig liten svensktillverkad hemdator speciellt framtagen för att nå en bred publik. Den brun-vita maskinen med sina karaktäristiskt rundade hörn, vita och ljusröda tangenter lanserades den 24 augusti 1978. ABC-80 såg inte mycket ut för världen, men den var billig – prislappen på 6 900 kronor var överkomlig även för en svensk medelklassfamilj – och så enkel att nästan vem som helst kunde använda den.43 Succén lät inte vänta på sig. I december 1983 hade tillverkaren Luxor levererat mer än 40 000 ABC-datorer. För en marknad som 80
Svenska_hackare_till_tryck_20110222.indd 80
2011-02-22 11:16:31
först in i framtiden
tidigare omfattat ett fåtal storföretag och universitet runt om i Sverige var siffrorna hisnande.44 ABC-klubben, med Gunnar Tidner som första ordförande, blev snabbt den givna mötesplatsen för de svenska datoranvändarna. Redan i slutet av 1980 hade klubben mer än 1 300 medlemmar.45 Nästan omedelbart började en säregen kultur att växa fram kring de nya maskinerna. Lockelsen i att utforska hur datorn fungerade, förstå sig på det komplexa förhållandet mellan komponenterna i maskinen, det som matades in och vad som till slut syntes på skärmen, utövade en nästan magisk dragningskraft på användarna. Medlemmarna i ABC-klubben lärde sig att komponera kod och skriva egna program. Tjusningen i att få datorn att svara på instruktioner – hur banala de än var – var enorm. Dessutom var de kassettbandspelare och diskettstationer som följde med de tidiga datorerna perfekta för att lagra sina alster, dela med sig och visa upp dem för andra. Mötesplatser som Monitorn gjorde att de inte ens behövde befinna sig i samma stad för att träffas och prata med varandra. De mest hängivna entusiasterna kallade sig själva för hackers, hackare på svenska. Ordet hade myntats mer än tjugo år tidigare vid MIT , Massachusetts Institute of Technology, i USA . Medlemmarna i universitetets modelljärnvägsklubb kallade där en snillrik lösning på ett elektroniskt problem för ett hack. En person som tyckte mer om att mixtra med de elektroniska anslutningar som drev modelljärnvägen än att köra själva tågen kallades för en hacker. Ända sedan dess har begreppet varit en titel som tekniker och datorentusiaster världen över applicerat på sig själva med stolthet. En hackare är någon som rör sig obehindrat mellan sammankopplade datorsystem, en person som tar sig an utmaningar med entusiasm och har förmågan att finna nya, imponerande och eleganta lösningar på tekniska problem.46 Pionjärerna i ABC-klubben var i huvudsak matematiker och ingenjörer med rötter i stordator- och universitetsvärlden. Men under 1980-talet blommade datorkulturen ut i helt nya riktningar. 1983, samma år som punkgruppen Ebba Grön splittrades, lanserades Commodore 64 i Sverige. Commodore 64 är världens mest sålda hemda81
Svenska_hackare_till_tryck_20110222.indd 81
2011-02-22 11:16:31
svenska hackare
tor med mer än 100 000 sålda exemplar bara i Sverige. Till utseendet var Commodore 64, och många av de konkurrerande maskinerna som dök upp på marknaden ungefär samtidigt, snarlik den svenska ABC -80-datorn. Men nu var målgruppen inte längre ingenjörer och universitetsstudenter utan helt vanliga tonåringar. Det dröjde inte länge innan samma digitala upptäckarglädje som fört samman entusiasterna i ABC-klubben hade slagit klorna i en yngre generation. Precis som KTH var mötesplatsen för ABC-entusiasterna så blev nu högstadie- och gymnasieskolorna knutpunkter i den groende subkulturen. Det byttes spel och program, knöts kontakter och delades erfarenheter. I mötet mellan skolungdomarna och datortekniken så hände någonting viktigt. Hemdatorn blev ett sätt för tekniskt begåvade ungdomar att hitta gemenskap och grupptillhörighet. Ett par år tidigare hade den svenska punkrörelsen lyft ett föraktfullt långfinger mot vuxenvärlden. Nu fanns en digital motsvarighet, någonting att enas kring för de som inte passade in i skolans fotbollslag eller var särskilt intresserade av att meka med mopeder. I mitten av 1980-talet började allt fler tonårsrum runt om i Sverige att lysas upp av det svagt grönskimrande skenet från datorskärmar. Tiotusentals ungdomar offrade sin nattsömn för att utforska sina nya maskiner, spela spel, programmera och vrida och vända på datorerna för att se vad tekniken var kapabel till. BBS -världen blev kittet som band de unga datorentusiasterna samman. ABC-klubbens Monitorn var först, men ett par år senare var den digitala värld som Gunnar Tidner och de andra ABC-entusiasterna gläntat på dörren till fullständigt förändrad. Mot slutet av 1980-talet fanns tusentals baser i Sverige. Majoriteten drevs inte av teknikintresserade ingenjörer utan av ungdomar, personer som fortfarande gick i grundskolan och inte ens var gamla nog att köpa folköl. Att dra igång en egen BBS var en smal sak. Allt som behövdes för att starta upp det egna närområdets lilla datorcentral var en hemdator och en telefonlinje som kunde ta emot inkommande anslutningar. I gengäld väntade ära och berömmelse bland andra datorentusiaster på orten. Den som drev en egen bas – systemoperatören – var gud 82
Svenska_hackare_till_tryck_20110222.indd 82
2011-02-22 11:16:31
först in i framtiden
och allsmäktig på sitt eget system, alltid med första tjing på nya program, spel och annan information som laddades upp till basen. För användarna var det en förhäxande känsla att koppla upp sin dator mot telefonnätet, höra modemets väsande och pipande när det etablerade kontakt och sen börja utforska vad som fanns på andra sidan. Att ringa runt på baserna var ett äventyr. De unga pionjärerna var upptäcksresande i den nya, outforskade digitala värld som låg gömd i telefonnätets koppartrådar och mellan tusentals uppkopplade hemdatorer runt om i Sverige. Många ur den nya generationen av datorentusiaster kallade sig också hackare, men ordet klingade nu mer av tonårsaktig uppstudsighet än av ingenjörsmässigt teknikintresse. Stämningen på baserna var kreativ, kaosartad och upprymd, som en digital fritidsgård helt fri från vuxna där ingenting var förbjudet. Där var skolgårdens krav på rätt kläder, rätt utseende och rätt vänner som bortblåsta. Användarnas verkliga identiteter byttes mot »handles«, korta och fantasifulla smeknamn som representerade dem på baserna. I teorin var det ett enkelt sätt att skilja olika personer från varandra. I praktiken var det långt mycket viktigare än så. Ett handle var ett artistnamn, ett högst personligt varumärke att vårda ömt och utveckla över tid. Kulturen som växte fram hade en stark lokal prägel. Dels spreds nummer till baserna oftast via hörsägen, på skolgårdarna och i kompiskretsen. Men dåtidens skyhöga samtalstaxor satte också stopp för längre anslutningar bortom den egna orten. Till kulturen hörde också en tonårsmässig fascination för det förbjudna. Visst fanns det diskussioner om politik, film, musik och andra vardagligheter på baserna. Men mer spännande var textfiler med bombrecept, instruktioner för att tillverka droger av bananskal och trädgårdsväxter, porrbilder och piratkopierade spel och program. De baser som kunde skryta med de största utbudet av åtråvärda filer växte snabbt i anseende, och personerna bakom dem blev kändisar i den lilla världen av invigda. Den nya generationen tog med sig många av skolgårdens normer ut på baserna. Hackarna organiserade sig i grupper med fantasifulla namn, en slags datorvärldens motsvarighet till ungdomsgäng. De 83
Svenska_hackare_till_tryck_20110222.indd 83
2011-02-22 11:16:31
svenska hackare
som specialiserade sig på piratkopiering och att knäcka de kopieringsskydd som omgärdade kommersiella spel och program kallade sig för »crackers«. De som var mer intresserade av själva nätverket som band datorerna samman än maskinerna i sig fick namnet »phreakers« (en kombination av orden phone och freak). De lade sin tid på att lista ut hur telefonnätet fungerade och kunde utnyttjas för att ringa gratis. Några försökte vara snabbast med att komma över de senaste spelen, vissa tänjde gränserna för den tidens primitiva grafik, allt för att bygga ryktet kring den egna gruppen och sitt handle. Men för många var det mest kittlande av allt själva jakten på information, att försöka ta sig förbi säkerhetsspärrar och få en inblick i vad som gömde sig på de låsta datorsystem som tillhörde storföretag och myndigheter. Juristerna föredrog en annan benämning på deras hobby: dataintrång. Vid den här tidpunkten låg etablissemanget långt efter vad gällde den digitala utvecklingen. Många företag och myndigheter hade sina datorsystem uppkopplade mot telenätet, men säkerhetstänkandet var i de allra flesta fallen lika med noll. Det gjorde det enkelt för de unga hackarna att leta rätt på intressanta byten och ta sig in på system där de inte hörde hemma. På vissa baser spreds listor med telefonnummer och inloggningsuppgifter till intressanta system. Datorvärlden var jungfrulig mark och knappt något företag tog säkerhetsfrågan på speciellt stort allvar. Hackandet fick vissa av ungdomarna att sluta med allt de tidigare gjort med sina datorer. Ingenting kunde mäta sig med den nya upptäckten. Att spela spel, programmera eller rita grafik framstod plötsligt som bottenlöst banalt när maskinen som tidigare varit en leksak, eller på sin höjd ett hobbyredskap, kunde användas för detta. Topphemlig information och tillgång till platser de aldrig skulle ha sett. Alla som i barnaålder har smugit sig in i ett övergivet hus eller spionerat på de vuxnas fester kan förstå spänningen, den där kittlande upplevelsen att ta del av något hemligt. Under 1980- och 1990-talen började så en ny typ av brottsanmälningar att dyka upp i polisens register. Ofta handlade det om rena pojkstreck: telefonhackare som utnyttjade operatörernas växelsystem 84
Svenska_hackare_till_tryck_20110222.indd 84
2011-02-22 11:16:31
först in i framtiden
för att ringa gratis eller crackargrupper som delade ut piratkopierade spel och program till sina bekanta. Men snart började mer allvarliga fall att dyka upp bland polisanmälningarna. Under 1990-talet briserade tre omfattande dataintrångsfall i Sverige som fick ordentligt med uppmärksamhet både på hemmaplan och internationellt. Samtliga hade en sak gemensamt: gärningsmännen var unga män med rötterna i den svenska hemdator- och BBS-världen. Konflikt
Klockan närmade sig sex på morgonen på CNN:s huvudkontor i Atlanta, USA. Webbreportern Wayne Drash, 25 år gammal och med sitt första riktiga journalistjobb efter universitetet, hade redan varit på plats i snart en timme. Utanför var staden på väg att vakna, men det märkte Wayne Drash knappt alls. Ett ensamt litet fönster var det enda som fanns i den trånga städskrubb som cheferna rensat ut för att göra plats åt honom och CNN:s nybildade webbredaktion. Här stod lysrören i taket för belysningen dygnet runt. CNN var en av de första nyhetsorganisationerna att satsa på journalistik över webben. Målet var enkelt – på webben skulle CNN erbjuda samma omedelbara nyhetsbevakning som man gjorde över tv-nätet, snabbt, rakt på sak och dygnet runt. Redan i augusti 1995 hade sajten cnn.com kopplats på för första gången. Enligt den interna historieskrivningen var projektet så banbrytande att till och med självaste Bill Gates, Microsofts grundare, hade tittat in för en rundtur kort efter premiären. Med påtaglig stolthet hade CNN-chefen Ted Turner visat IT-miljardären runt i lokalerna och berättat för honom om den nya värld som var på väg att öppna sig, hur läsarskaran och reklamintäkterna bara skulle bli större ju fler människor som skaffade sig datorer. Vissa säger att Bill Gates blev så imponerad att han erbjöd sig att köpa den nykläckta webbredaktionen på stående fot, men att Ted Turner tackade nej. Wayne Drash skrev nyheter för internet. Det gjorde även honom till något av en pionjär, en av de första journalisterna av sitt slag. Men 85
Svenska_hackare_till_tryck_20110222.indd 85
2011-02-22 11:16:31
svenska hackare
den här morgonen, på plats framför datorn och inklämd i den lilla städskrubben, var det inte mycket med jobbet som kändes särskilt glamoröst. Wayne Drash gäspade och försökte blinka tröttheten ur ögonen. Han tog en slurk kaffe ur pappmuggen han höll i handen. Svart, storlek medium, från Dunkin’ Donuts. Allt var precis som vanligt. Klockan kvart i sex ringde redaktionens tipstelefon. Wayne Drash sträckte sig över skrivbordet och svarade. I andra änden fanns en röst med utländsk brytning. Wayne tyckte att den lät europeisk. Ett par år senare skulle han få en svensk granne och notera likheten. – CIA:s webbsajt har blivit vandaliserad, sa rösten i luren utan att presentera sig närmare. – Svenska hackare har slagit till igen. Wayne Drash blev inte förvånad. Att hackargrupper ringde in tips till redaktionen för att uppmärksamma sina hyss på nätet var inte ovanligt. Det fanns helt enkelt inte särskilt många andra än CNN att kontakta för att snabbt få ut en nyhet på webben. Men att tipsaren pekade ut CIA som offret fick honom ändå att bli intresserad. Det är trots allt inte varje dag som den amerikanska underrättelsetjänsten blir hackad, tänkte Wayne Drash. – Vem är du? Vad har ni gjort? svarade han. – Det är nog bäst att du ser efter själv, sa rösten och luren lades på. Wayne Drash lade ned telefonen. Han sträckte sig efter musen, klickade igång sin webbläsare och surfade in på CIA:s hemsida. »Welcome to the Central Stupidity Agency«, löd rubriken på sidan. »STOP LYING BO SKARINDER!!!« stod skrivet i stora, svarta bokstäver på raden under. Budskapet upprepades på svenska. »SLUTA LJUG BO SKARINDER!!!« Därefter följde länkar till tidningen Playboy, hackerz.org, den svenska demogruppen Triads hemsida och undergroundtidningen Flashback Magazine. Längre ned på sidan tog hackargruppen Power Through Resistance på sig ansvaret för attacken, öste ur sig en uppsjö svordomar och bad slutligen CIA dra åt helvete. Wayne Drash gjorde det som en nyhetsjournalist gör bäst – bet 86
Svenska_hackare_till_tryck_20110222.indd 86
2011-02-22 11:16:31
först in i framtiden
ihop och hamrade fram en nyhetstext. Det tog knappt två timmar för CIA att koppla bort den hackade sidan på nätet. Vid tiotiden på morgonen kablade CNN ut nyheten om vad som hade hänt, och CIA :s talesman Rick Oborn tvingades bestämt förneka att den amerikanska underrättelsetjänsten tidigare hade haft något som helst att göra med åklagare Bo Skarinder eller svenska datorbanditer.47 Attacken mot CIA:s webbsajt var kulmen på en flera år lång rättsprocess som innefattade intrång mot hundratals företag och myndigheter både i Sverige och utomlands, anklagelser om grova bedrägerier och företagsspioneri. Bo Skarinder var den åklagare som ledde rättegången mot Swedish Hackers Association, SHA, en av 1990-talets mest uppmärksammade hackargrupper. Historien hade tagit sin början fyra år tidigare, då allmänheten för första gången fick en skymt av den svenska datorkulturens ljusskygga undersida. »Datoriserat spioneri mot USA«, stod att läsa på Dagens Nyheters förstasida den 19 april 1992. »Swedish Hackers Association, SHA, en välorganiserad svensk hackargrupp, har under flera år obehindrat kunna gå in i och ut ur det amerikanska försvarets datorer. De har till exempel tillträde till ett av Pentagons system för elektronisk post«, fortsatte texten. NASA, Pentagon, Regeringskansliet och det svenska försvaret pekades alla ut som offer.48 Fyra unga svenskar utgjorde kärnan i SHA. De kallade sig för Mr Big, Zaphod, Lixom Bah och Nimh. Alla var svenska tonåringar uppvuxna i BBS-världen. De skiljde sig inte nämnvärt från de tiotusentals andra ungdomar som spenderade nätterna framför grönskimrande datorskärmar runt om i Sverige, men hade tidigt fått smak på storskaliga dataintrång. SHA drev egna baser där användarna bytte stulna kreditkortsnummer, lösenord och personuppgifter. Gruppen samlade systematiskt på sig information från hackade system runt om i både Sverige och i utlandet. Förutom ovan nämnda företag och institutioner säger sig killarna även ha haft tillgång till datorsystem hos SE-Banken, SMHI, KTH och Försvarets forskningsanstalt.49 Redan 1991 hade polisen fått upp ögonen för SHA. Det sedan en systemadministratör på KTH slagit larm om att killarna i gruppen 87
Svenska_hackare_till_tryck_20110222.indd 87
2011-02-22 11:16:31
svenska hackare
använt skolans datasal i ett av sina projekt. I april året därefter slogs alltså ett av gruppens intrång upp stort i svenska tidningar. Via en lucka i dataföretaget DIAB:s system hade medlemmarna i SHA lyckats komma över telefonnummer och inloggningsuppgifter för hemliga system hos bland andra det svenska försvaret, regeringen och polisen. Angreppet var extra pikant då DIAB, som nästan femton år tidigare varit en av huvudleverantörerna bakom ABC-80-datorn, nu profilerade sig som ett säkerhetsföretag. Flera av medlemmarna i SHA anhölls och blev föremål för omfattande polisutredningar.50 Uppmärksamheten runt SHA blev startskottet för det första medie drevet kring den svenska datorkulturen. Kvällspressen gjorde stora intervjuer med unga databrottslingar och miljoner svenskar fick bekanta sig med begrepp som baser, dataintrång och hackare. Samma år visade SVT ett kulturreportage som förklarade ord som scenen, hackare, BBS och demo (»som en musikvideo, fast på data«) för tittarna. Medierna förhöll sig ofta till den framväxande hackarkulturen med samma roade men oförstående fascination som vuxna ofta visar inför sina tonåringars musiksmak, även om en viss oro ändå lyser igenom i inslagen om de unga datorgenierna. Ibland framställdes SHA och andra grupper som hot mot den rådande världsordningen, vid andra tillfällen kallades deras förehavanden för oskyldiga pojkstreck som kunde få allvarliga konsekvenser.51 Rättegången mot SHA inleddes först i september 1996. Utanför Sverige hade den knappast väckt något större intresse om det inte vore för den spektakulära protest som hackarnas supportrar iscensatt när de saboterade CIA:s hemsida samma månad. Mr Big, Lixom Bah, Nimh och Zaphod åtalades för bland annat dataintrång, företagsspioneri och grovt bedrägeri. En femte medlem i gruppen åtalades för omfattande telefonbedrägerier. Enligt Televerket och den amerikanska operatören AT & T var han skyldig nästan 200 000 kronor i uteblivna samtalsintäkter. En månad senare dömdes männen till villkorliga fängelsestraff, dryga dagsböter och hundratusentals kronor i skadestånd.52 Ungefär samtidigt landade ett annat fall hos polisens IT-brottsgrupp. Det rörde en 20-årig phreakare som gick under namnet De88
Svenska_hackare_till_tryck_20110222.indd 88
2011-02-22 11:16:31
först in i framtiden
mon Phreaker. Från sitt pojkrum hade han nästan helt lyckats slå ut USA :s nödnummer 911. Demon Phreaker ringde upp amerikanska larmcentraler och uppgav sig vara en tekniker. På obruten engelska bad han om att bli kopplad till en särskild larmstation, men när operatören skickade honom vidare förblev linjen upptagen eftersom att samtalet inte gick att koppla ned. Demon Phreaker blockerade den ena linjen efter den andra och lyckades på så vis slamma igen stora delar av det amerikanska larmsystemet. År 1996 kontaktades den svenska IT-brottsgruppen av utredare från FBI. Med Televerkets hjälp spårades Demon Phreaker till en lägenhet i Göteborg, där den unge telefonhackaren bodde tillsammans med sin familj. Vid husrannsakan väntade sig polisen att hitta mängder med avancerad datorutrustning, men det visade sig att samtalen gjorts från en vanlig knapptelefon. Demon Phreaker var begåvad med ett extremt sifferminne. Med långa nummerlistor i huvudet hade han satt mängder av amerikanska larmstationer ur spel. Under ett par veckor i februari hade Demon Phreaker ringt 60 000 telefonsamtal till ett värde av två miljoner kronor. Kostnaden lades på omkring 3 000 ovetande amerikanska telekunders räkningar. Kostnaderna för att reparera luckorna i det amerikanska larmsystemet var långt större. De svenska utredarna såg inte särskilt allvarligt på intrången. Men amerikanska FBI kallade 20-åriga Demon Phreaker från Göteborg för ett hot mot nationens säkerhet.53 Nittiotalets tredje stora dataintrångshärva började nystas upp under hösten 1996, bara ett par månader efter att rättegången mot SHA inletts. Efter en omfattande utredning, som återigen gjordes tillsammans med Televerket och agenter från FBI, slog polisens ITbrottsgrupp till mot en lägenhet i Järna utanför Södertälje. Därifrån hade en grupp ungdomar i 20-årsåldern, via datorsystemen på Uppsala universitet, lyckats ta sig in i topphemliga system som tillhörde bland andra det amerikanska flygvapnet och rymdstyrelsen NASA. Enligt de amerikanska utredarna hade angriparna försökt installera främmande programvara på systemen och på så vis stjäla topphemlig information. 89
Svenska_hackare_till_tryck_20110222.indd 89
2011-02-22 11:16:31
svenska hackare
Det hade tagit mer än tre år för polisen och de drabbade företagen att reda ut den härva av system som gruppen, under namnet Fragglarna, lyckats ta sig in i. Kostnaderna för att täppa till de säkerhetsluckor de rotat fram uppgick till flera miljoner kronor. Den här gången krävde FBI att de svenska databrottslingarna skulle utlämnas till USA och åtalas för sabotage. Om de svenska myndigheterna sagt ja hade det kunnat innebära amerikanska fängelsestraff på upp till 60 år, men efter erkännanden slapp de inblandade undan med villkorliga domar och dagsböter.54 »För att alla sa att det inte skulle gå«
För det svenska rättsväsendet var alla tre fallen förbryllande. SHA, Demon Phreaker och Fragglarna hade orsakat skador för miljontals kronor. De amerikanska myndigheterna, måltavlorna för attackerna, talade om hot mot rikets säkerhet. Men oavsett hur mycket polisens utredare grävde i fallen så hittades inget djupare syfte med intrången. Ingen av grupperna drevs av någon illvilja gentemot sina offer. Ingen främmande makt låg och lurade bakom de svenska ungdomarna. Det verkade inte heller finnas något klart vinstintresse bakom attackerna. Dessutom: flera av gärningsmännen hade reagerat med förvåning när de greps och åtalades för vad de hade gjort. Varken polisen, domstolen eller journalisterna fick något bättre svar på frågan om varför än en axelryckning. »Vi är intresserade av datorer«, var hur SHA förklarade det hela. »För att alla sa att det inte skulle gå«, svarade Fragglarna på samma fråga. Det hela påminde mer om bus och vandalism än organiserad brottslighet. 55 På 1990-talet pratade säkerhetsexperter gärna om »hacking for fame«. Etablissemanget likställde de unga datorentusiasterna med graffitimålare, högljudda hårdrockare eller vilken annan obekväm tonårskultur som helst. Det stämde också bra med hur hackarna själva uttryckte sig. Piratkopierade spel spreds för att ge kredd och skapa uppmärksamhet kring den egna gruppen. Hemsidor hackades på löpande band och dekorerades med nakenbilder, tramsiga förolämpD
D
90
Svenska_hackare_till_tryck_20110222.indd 90
2011-02-22 11:16:31
först in i framtiden
ningar och flitiga referenser till gruppens namn och medlemmar. En tonårsaktig upprorsstämning var tongivande i hackarkulturen. De unga datorentusiasterna var kungar i den nya världen. Att göra narr av myndigheterna och företagen var lika naturligt som att himla med ögonen åt sina föräldrars musiksmak. Men bakom hackarnas framfart dolde sig också djupare drivkrafter. Ingenjörerna i ABC-klubben, skolgårdarnas spelpirater och tonårshackare som SHA, Fragglarna och Demon Phreaker skiljde sig radikalt från varandra. Samtidigt förenades de av ett antal mycket grundläggande övertygelser och värderingar. Deras relation till sina datorer påminde om den som unga killar har till sina mopeder, eller den som ursprungshackarna vid MIT hade till sin modelljärnväg. Datorn var ett verktyg att meka med, någonting som skulle förbättras och förändras. Det var inte någon samhällsomstörtande ideologi eller vilja att sabotera som drev på de tidiga hackarna, bara en lust att vända och vrida på tekniken, att förstå hur telenäten fungerade eller se vilken hemlig information som låg dold på nästa lösenordsskyddade server. På samma vis drevs inte crackargrupperna av en fientlighet mot de kommersiella programbolagen. Att piratkopieringen kunde skada upphovsmännen var det få som reflekterade över. Men att kopiera och sprida information vidare var så grundläggande att det närmast sågs som en självklarhet. Vid den amerikanska hackarkonferensen Hacker’s Conference år 1984 myntade författaren Stewart Brand talesättet »Information wants to be free«.56 Begreppet har blivit en klyscha, men har ändå stor betydelse: Å ena sidan vill informationen vara dyr, eftersom den är så värdefull. Rätt information vid rätt tidpunkt förändrar ditt liv. Å andra sidan vill information vara gratis [eller »fri«, förf. anm.], eftersom kostnaden för att sprida den blir lägre och lägre. Så dessa två sidor står mot varandra.
91
Svenska_hackare_till_tryck_20110222.indd 91
2011-02-22 11:16:31
svenska hackare
Precis som universum rör sig mot oordning så strävar kod och information efter spridning och frihet, att kopieras och manipuleras och utvecklas. Det är inbyggt i datorteknikens väsen, det digitala uppmuntrar delning och samarbete, missgynnar låsning och kontroll. De tidiga hemdatorerna såldes tillsammans med bandspelare och diskettstationer, perfekta för att kopiera och sprida vidare program och spel. Kärnan i BBS-kulturen var möjligheten att dela information med varandra, snabbt och över långa avstånd. De amerikanska försvarsforskare som under 1960-talet drog de första kablarna i vad som senare skulle bli internet arbetade efter samma principer. Syftet var att bygga ett system robust nog för att stå emot kärnvapenanfall, att se till att informationen alltid kom fram oavsett vilka hinder som lades i dess väg. Precis som Sovjetunionens paradgator är stalinism omsatt i stadsplanering kan datortekniken betraktas som en fysisk manifestation av den liberala, lätt anarkistiska hackarkulturen. Öppenhet och fri spridning av information är kärnvärden som finns inpräntade i nätets DNA. För Fragglarna behövdes ingen djupare motivation än »för att alla sa att det inte skulle gå«. För hackarna i SHA var det onödigt att ge någon djupare förklaring än »vi är intresserade av datorer«. Enligt dem och alla andra som betraktade cyberrymden som sitt eget digitala verkstadsgolv var det ju precis vad allting handlade om. Att plocka isär, förbättra och undersöka, se till att informationen kom fram oavsett vilka hinder som låg i vägen. Att denna världsbild befann sig på kollisionskurs med samhällets övriga maktstrukturer var uppenbart. Hur förhåller sig vinstdrivande företag till en värld där produkter kan kopieras till oändlighet och spridas med ljusets hastighet? Hur hanterar myndigheterna och rättsväsendet teknik vars själva nervsystem är byggt för att motverka kontroll och regler? Det var i den motsättningen hackarkulturen uppstod. Konflikten kan spåras ända till den digitala teknikens gryning, till sjuttiotalets USA och några av datorvärldens i dag mäktigaste och mest inflytelserika individer. I det soliga Kalifornien bildades år 1975 den legendariska dator92
Svenska_hackare_till_tryck_20110222.indd 92
2011-02-22 11:16:31
först in i framtiden
klubben Homebrew Computer Club. Med på klubbträffarna fanns många av dagens absoluta toppnamn inom datorvärlden. Bill Gates, Microsofts grundare och en av världens rikaste män, rörde sig i kretsarna kring klubben. Steve Jobs och Steve Wozniak, som senare grundade datorjätten Apple, var båda medlemmar. Det var även hackarlegenden John Draper, även känd under sitt handle Captain Crunch. John Draper var en phreaker, fascinerad av att utforska hur telefonsystemet fungerade. Enligt legenden hade han lärt sig att vissla de exakta frekvenser som användes för att koppla fram samtal i det amerikanska telenätet och kunde på så vis ringa över hela världen utan att betala ett öre. Själv hävdar han att han en gång lyckades koppla fram ett samtal till Vita huset och fick tala med självaste president Richard Nixon. Innan han la på luren berättade John Draper att toalettpappret var slut i Los Angeles. Sitt smeknamn fick han efter att ha upptäckt att en leksaksvisselpipa tagen ur ett paket Captain Crunch-flingor kunde frambringa just den frekvens som behövdes för att koppla fram ett telefonsamtal. Efter flera duster med rättvisan och ett par år i fängelse blev John Draper senare en av datorjätten Apples första anställda. Det sägs att han ska han ha delat med sig av sina kunskaper till bolagets vd och grundare Steve Jobs, mannen som senare skulle skapa Macintoshdatorn, iPod och iPhone.57 Medlemmarna i Homebrew Computer Club träffades regelbundet för att diskutera teknik och byta erfarenheter i det framväxande Silicon Valley, den del av San Francisco-området som i dag huserar företag som Apple, Google, Cisco och Intel. Ofta hölls träffarna på restaurangen The Oasis i området Menlo Park, vid andra tillfällen i någon av medlemmarnas garage eller vardagsrum. Det pratades programmering, affärsmöjligheter och knöts kontakter. Men klubbens kanske viktigaste bidrag till historien var att det var här som konflikten mellan hackarkulturens värdegrund och de kommersiella intressenas vilja att kontrollera och låsa in för första gången ställdes på sin spets. Huvudpersonen i det dramat var ingen mindre än Bill Gates. Microsofts första produkt hette Altair BASIC och kom redan 1975. Det var ett av de första kommersiella programprojekten för den nya 93
Svenska_hackare_till_tryck_20110222.indd 93
2011-02-22 11:16:31
svenska hackare
hemdatormarknaden. Altair BASIC licensierades till datortillverkare och återförsäljare vilket gjorde att Microsoft kunde ta provision på varje såld kopia. Redan från början var planen att tjäna pengar på mjukvaran. På mitten av 1970-talet var det en ny idé. Praxis var att programvara för hemdatorer skrevs av och för entusiaster och delades fritt bland användarna. Få hade ens tänkt tanken att försöka tjäna pengar på hemdatorprogram. Det var hårdvaran som kostade pengar, mjukvara skrev man själv eller delade med andra glada amatörer. Naturligtvis skulle Altair BASIC visas upp för medlemmarna i Homebrew Computer Club. Men efter en av de första demonstrationerna plockade en av de närvarande med sig ett exemplar av programmet och gav det till en annan medlem i klubben, en hackare vid namn Dan Sokol. Efter en stunds pillande lyckades han lista ut hur programmet kunde kopieras och skred omedelbart till verket. Till nästa klubbmöte hade han med sig en papplåda fylld med ett femtiotal piratkopierade exemplar av Altair Basic. De närvarande klubbmedlemmarna tog belåtet för sig. Dan Sokol hade blivit världens första kända crackare. Bill Gates blev vansinnig. Att utveckla Altair Basic hade tagit mer än ett år och kostat över 40 000 dollar. Nu spreds programmet som en löpeld bland datorklubbar och entusiaster, men ingen verkade ha en tanke på att betala för sig. Vid slutet av 1975 såldes flera tusen Altair 8800-datorer i månaden, men bara ett par hundra exemplar av Altair Basic hade sålts i handeln. Intäkterna så långt innebar att varje utvecklingstimme varit värd mindre än två dollar. Bill Gates gav utlopp för sin frustration i en artikel med rubriken »An Open Letter to Hobbyists«, som publicerades i Homebrew Computer Clubs nyhetsbrev och i datortidningen Computer Notes. Där anklagade han entusiasterna för stöld och menade att kopieringen satte stopp för utvecklingen av nya program.58 »Ni förhindrar att bra programvara skrivs och produceras. Vem har råd att utföra professionellt arbete utan att få betalt? Vilken hobbyanvändare kan lägga tre år på att programmera, leta buggar och 94
Svenska_hackare_till_tryck_20110222.indd 94
2011-02-22 11:16:31
först in i framtiden
skriva dokumentation, för att sedan ge bort resultatet gratis?« skriver Gates i artikeln. »I allt väsentligt är det stöld ni håller på med.« Reaktionen blev omedelbar och kraftig. De flesta tyckte att Bill Gates var tokig. För många var själva tanken på att betala för kod främmande. Hobbyisterna hade inte bett om kommersiella programbolag; att ingen ville ersätta Bill Gates för hans mödor var hans eget problem. Men fröet till en debatt som pågår än i dag var sått. För första gången gick kommersiella intressen emot hackarnas utopiska världsbild. Entusiasterna delades upp i två läger. De som såg affärsmöjligheterna i den nya kulturen och de som ville bevara datorvärlden fri från kontroll och kommersiella intressen. I konflikten kring Altair Basic fann hackaren en ny roll – den som fanbärare och förkämpe för den digitala världens ursprungsbefolkning och mot de kommersiella intressenas vilja att kontrollera och kolonisera cyberrymden. I flera decennier fick hackarna hållas. De utvecklade sin egen syn på teknik, etik och möjligheterna som skulle erbjudas när allting till slut fungerade som det var tänkt. Visioner om en värld där allt var ihopkopplat ställdes mot verklighetens krånglande maskiner och omvärldens ointresserade miner. Under hela 1980-talet hade datorintresset något obskyrt över sig, en framtoning av någonting kufigt och svårbegripligt. Först under det tidiga 1990-talet började synen på datoranvändandet förändras och den teknik som entusiasterna filat på i decennier fick sitt breda genomslag. I Sverige skulle ett mycket speciellt mejl komma att markera starten för den nya eran. Etablissemanget klampar in
Fri, 4 Feb 1994 09:51 Subject: From PM Carl Bildt/Sweden to President Clinton Dear Bill, Apart from testing this connection on the global Internet system, I want to congratulate you on your decision to end 95
Svenska_hackare_till_tryck_20110222.indd 95
2011-02-22 11:16:31
svenska hackare
the trade embargo on Vietnam. I am planning to go to Vietnam in April and will certainly use the occasion to take up the question of the MIAs. Sweden is – as you know – one of the leading countries in the world in the field of telecommunications, and it is only appropriate that we should be among the first to use the Internet also for political contacts and communications around the globe. Yours, Carl 1994 skrev statsminister Carl Bildt historia med världens första mejl två regeringschefer emellan. Noga räknat var mejlet inte mycket mer än en pr-kupp. Bill Clinton läste sannolikt aldrig Carl Bildts meddelande, och svaret till den svenska regeringen knåpades ihop av en anställd i Clintonadministrationen med ansvar för Vita husets mejladress. Men som startskott för den svenska IT-reformen i mitten av 1990-talet passade det utmärkt. Ett drygt decennium efter att Gunnar Tidner kopplat upp Monitorn så hade dator- och informationsteknik blivit orden på alla svenskars läppar. Sverige genomled i början av 1990-talet sin värsta ekonomiska kris på mer än 50 år. Hundratusentals svenskar blev arbetslösa, fastighetsmarknaden kollapsade och räntan sköt i höjden. För både politiker och näringslivet var informationstekniken en av få ljuspunkter i tillvaron. När arbetet med att lyfta Sverige ur krisen satte igång beslutade regeringen att ge informationstekniken en nyckelroll. Datorer och IT skulle bli hörnstenar i den nya svenska ekonomin – med statligt stöd och finansiell uppbackning skulle Sverige ta täten i den digitala tidsåldern. Den nybildade IT-kommissionen, tillsatt av statsminister Carl Bildt, fick uppdraget att göra verklighet av den visionen. Att projektet var ambitiöst gick inte att ta miste på. Kommissionens första betänkande hade den storslagna titeln »Vingar åt människans förmåga«. 96
Svenska_hackare_till_tryck_20110222.indd 96
2011-02-22 11:16:31
först in i framtiden
Snart var bollen i rullning. Miljarder kronor pumpades in i forskningsprojekt med anknytning till internet, svenska skolor fick datorer och kopplades upp, telenätet förstärktes och byggdes ut för att klara högre datahastigheter. På sikt skulle blixtsnabb internetaccess bli en lika naturlig del av den svenska infrastrukturen som elektricitet och vatten. Målet var glasklart: en dator i varje hem och världens mest IT-kunniga befolkning.59 Det stora genomslaget kom tack vare den så kallade hem-PC-reformen, som inleddes 1997 på initiativ av dåvarande skatteminister Thomas Östros. Projektet innebar att anställda kunde hyra en dator via sin arbetsgivare och betala genom ett bruttoavdrag på lönen. Det blev nyckeln för att uppfylla regeringens vision. Plötsligt låg dyrköpta datorer och internetabonnemang inom räckhåll för genomsnittliga svenska löntagare. Nu skulle surfandet, spelandet och mejlandet sätta fart, resonerade politikerna. Datorvanan, den skulle komma automatiskt om bara en tillräckligt stor del av befolkningen bänkade sig länge nog framför den tidens beiga lådor och klumpiga skärmar. Hem-PC-initiativet lyfts ofta fram som katalysatorn bakom Sveriges tillväxt som IT-nation. Flera miljarder kronor ur statens kassa öronmärktes för att subventionera svenskarnas datorköp. 1995 fanns knappt 25 datorer per 100 invånare i Sverige. Fem år senare hade den siffran mer än fördubblats. Under samma tidsperiod gick Sverige från att vara det nionde till att vara det fjärde datortätaste landet i världen. Samtidigt passerade vi USA på analysföretaget IDC:s lista över världens ledande IT-nationer. Bara under 1998 levererades mer än en halv miljon statligt subventionerade datorer med internetpaket till svenska hushåll.60 På många sätt fungerade det utmärkt. Att peka och klicka blev allmänbildning och den jäsande IT-bubblan fick företagen att skrika efter datorkunnig personal. IT-företagen sköt upp som svampar ur jorden, horder av unga människor utan formell utbildning fick prestigefyllda jobb som kodknackare, ofta med bättre lön än sina föräldrar. Bara ett par år senare kraschade allting spektakulärt. Miljarder kronor försvann när IT-bubblans fantasikonstruktioner gick omkull. 97
Svenska_hackare_till_tryck_20110222.indd 97
2011-02-22 11:16:32
svenska hackare
Tusentals IT-konsulter och internetexperter blev arbetslösa och flera av den nya teknikens mest hängivna förespråkare fick löpa gatlopp i pressen. Men svenskarnas relation till datorer och internet hade förändrats för alltid. Från att ha varit en obskyr subkultur var datorer och IT på väg att bli en del av svenskarnas vardag. Vid den här tiden hade internet tagit över som det huvudsakliga sättet att ansluta datorer till varandra. Vad som börjat som ett amerikanskt forskningsprojekt hade vuxit till ett globalt, världsomspännande kommunikationsnät dit allt fler system kopplades upp. Målet var inte på långa vägar det internet vi är så vana vid i dag. Projektet föddes i Kalifornien under det sena 1960-talet som ett amerikanskt forskningsprojektet med namnet Arpanet. Tanken var att koppla ihop militärens och universitetens datorsystem i ett system robust nog att stå emot ett kärnvapenkrig. För att lyckas med det gjordes öppenhet och decentralisering till projektets ledstjärnor. Arpanet skulle inte ha någon mitt, inga kritiska knutpunkter och inget centralt högkvarter. På så vis skulle kommunikationen fortsätta fungera även ifall att delar av nätet slogs ut.61 Nätet växte snabbt. I mitten av 1970-talet drogs de första transatlantiska kablarna som kopplade upp universitet och högskolor i Europa. I början av 1980-talet knöt flera svenska högskolor och universitet ihop SUNET, Swedish University Network, ett rikstäckande nät som kopplades vidare ut mot det bredare internet. 1990 avslutade det amerikanska försvaret formellt Arpanet-projektet. Men internet levde vidare, lika decentraliserat som från början och nu dessutom inte längre knutet till någon enskild myndighet. I samma veva öppnades internet för en bred publik och miljoner privatpersoner världen över tog nyfiket sina första steg ut på nätet. I Sverige var finansmannen Jan Stenbeck först ut. 1991 började han genom bolaget Swipnet, senare Tele2, att erbjuda privatpersoner och företag anslutning till internet. Till en början kostade anslutningarna tusentals kronor i månaden, men intresset var stort och priserna sjönk snabbt. Fem år senare hade drygt en miljon svenskar regelbunden tillgång till nätet.62 98
Svenska_hackare_till_tryck_20110222.indd 98
2011-02-22 11:16:32
först in i framtiden
Dagens dynamiska webbsidor med välpolerad grafik, sökmotorer och dominerande kommersiella aktörer var långt borta – den tidiga webben bestod av text och enstaka bilder på enfärgade grå bakgrunder. Merparten av informationen kom från glada amatörer. Men känslan av att blixtsnabbt kunna utbyta information världen över med hjälp av datanäten var hisnande. Den digitala upptäckarglädje som ett decennium tidigare bitit sig fast i pionjärerna i ABC-klubben började nu koppla greppet om en stor del av världens befolkning. Samtidigt blev det alltmer uppenbart att BBS-världen var på väg in i en evolutionär återvändsgränd. Internet var ett världsomspännande digitalt nätverk som möjliggjorde blixtsnabb kommunikation med så gott som världens alla hörn. Vem behövde då lokala, isolerade databaser? Under 1990-talets andra hälft minskade antalet aktiva baser drastiskt. Vissa började erbjuda sina användare internetåtkomst mot betalning och förvandlades så småningom till renodlade internetleverantörer. Andra flyttade sin verksamhet till webben, vissa mer framgångsrikt än andra. Den amerikanska datorjätten AOL, som på 1990-talet anslöt miljontals amerikaner till internet, utvecklades ur BBS :en Quantum Link. Men för majoriteten av baserna väntade en stilla död då användarna övergav dem för att i stället ge sig ut och utforska internet. Där möttes veteranerna, de hackare som under decennier odlat sin egen kultur, av miljontals nya användare. Majoriteten av dem saknade grundläggande kunskaper om både datorer och kommunikationsteknikens historia.63 För datorvärldens ursprungsbefolkning var utvecklingen chockartad. På bara ett par år hade deras värld gått från välbevarad hemlighet till allmän angelägenhet. Datorer slutade vara en nördig och perifer subkultur och blev plötsligt någonting spännande, till och med häftigt. Plötsligt var tonåringar med rötterna i BBS-världen de som kunde mest om precis de saker som alla ville hålla på med. Folk som aldrig hade sett åt dem tidigare ville nu ha hjälp att få igång sina datorer eller bygga hemsidor. Vissa tog steget från att syssla med datorer som en hobby till välbetalda jobb som IT-tekniker, samtidigt som deras baser tynade bort i skuggan av det framväxande internet. 99
Svenska_hackare_till_tryck_20110222.indd 99
2011-02-22 11:16:32
svenska hackare
När etablissemanget gav sig ut på nätet fanns det emellertid sällan tid att reflektera över datorvärldens historia, kultur och normer. Visserligen hade internet uppstått i samma teknikerstyrda kretsar som den tidiga datorkulturen hade gjort. På det tidiga internet rådde en gemenskap som liknade den man hittade i BBS-världen. Användarna hjälptes åt att bygga nytt och förbättra. Nätet skapades av användarna som ett hobbyprojekt utan koppling till vinstdrivande företag eller enskilda myndigheter. Men det internet som nu växte fram var någonting helt annat. Bredbandsleverantörernas marknadsföring förde tankarna till hur det talats om kabel-tv ett par år tidigare. Nätet framställdes som en underhållningskanal, ännu ett medium där samma gamla storföretag kunde leverera varor och tjänster. Några tekniska förkunskaper var det inte tal om, snarare arbetade internetföretagen hårt för att göra det så enkelt som möjligt för gemene man att ge sig ut på webben. Minnet av 1990-talets tidiga hackargrupper och spektakulära dataintrångsfall bleknade i ljuset av IT-bubblan, och visionerna av den sköna nya multimediavärld som IT-bolagen målade upp. En flerfilig motorväg lades tvärs över den svenska datorkulturens känsliga ekosystem. Den fick helt enkelt maka på sig när näringslivet tryckte gasen i botten. Nu öste riskkapitalisterna pengar över de nya, heta IT-bolagen. Hisnande belopp investerades i osannolika satsningar som Boo.com och Letsbuyit. Konsultbolag som Icon Medialab och Framtidsfabriken haussades till skyhöga nivåer på börsen. Samtidigt gjorde etablissemanget allt för att få fotfäste på nätet. 1994 slog Aftonbladet som första svenska tidning upp portarna till sin webbplats. Konkurrenterna följde raskt efter. Jättar som Telia och Posten spenderade hundratals miljoner kronor i elektroniska mötesplatser som Passagen och Torget. År 1996 utsågs internetpaketet till årets julklapp. Samma år dömdes medlemmarna i hackargruppen Swedish Hackers Association till fängelse och hundratusentals kronor i böter. Men hackarkulturen levde kvar och fortsatte att utvecklas, parall ellt med att etablissemanget fick upp ögonen för den nya tekniken. 100
Svenska_hackare_till_tryck_20110222.indd 100
2011-02-22 11:16:32
först in i framtiden
En ny generation entusiaster växte fram i kölvattnet av IT-reformen. Runt om i Sverige packade ivriga tonåringar upp nyblanka och skattesubventionerade hem-PC-anläggningar med ögonen fulla av upphetsning. Hundratusentals tonårsrum lystes återigen upp av surrande datorskärmar och dovt blinkande bredbandsmodem nätterna igenom. Precis som ett decennium tidigare fanns det många som inte nöjde sig med att använda familjens PC som det var tänkt. Det vreds och vändes på maskinerna och entusiasterna började utforska vad som gömde sig på internet, med samma fascination för det förbjudna och samma nyfikenhet efter vad som gömde sig på nätets låsta delar. Flera av personerna vi möter i denna bok startade sin bana som hackare just här, framför tjocka skärmar och tidiga hemdatorer delvis betalda av en regering som var mån om att ge Sverige en tätposition i vad som kallades för den nya ekonomin. På många sätt såg det ut som att historien upprepade sig. 1980-talet hade skapat slutna hackarnätverk och grupper som begick intrång mot några av världens mäktigaste institutioner. Snart skulle 2000-talets motsvarigheter sticka upp sina huvuden. Men det fanns en avgörande skillnad. Internets intåg i hemmen, i näringslivet och hos myndigheterna förändrade förutsättningarna i grunden. Många av profetiorna om en ständigt uppkopplad värld hade slagit in och intrången var inte längre en lek, som det trots allt var när SHA och de andra 1990-talsgrupperna knäckte sina första servrar. Hackande på 00-talet var blodigt allvar. Hundratals miljoner personer världen över använde nu mejl dagligen både i det privata och yrkeslivet. Obeskrivliga mängder hemligheter lagrades på nätet. Tjugo år efter att Gunnar Tidner kopplat upp ABC-klubbens första BBS hade internet blivit allmängods. Den digitala världens portar stod vidöppna. För hackarna hade spelplanen blivit oändligt mycket större än tidigare.
101
Svenska_hackare_till_tryck_20110222.indd 101
2011-02-22 11:16:32
Svenska_hackare_till_tryck_20110222.indd 102
2011-02-22 11:16:32
Ambassadhackaren från Malmö »Iran ville ha min hjälp«
Malmö, sommaren 2007
Dan Egerstads ljusa kalufs stod på ända. Den unge IT-konsulten var tillbaka framför datorn, lätt bakfull efter gårdagens fest. Det var förmiddag och varmt i lägenheten i Malmö. På skärmen framför honom rullade fortfarande informationen han upptäckt på sin dator under gårdagskvällen. Det var en lång lista med lösenord, användarnamn och adresser till datorsystem som borde vara bland de bäst skyddade i världen. Hela brev, med avsändare och mottagare som inte hade en aning om att deras kommunikation nu låg på en hårddisk hos en 21-årig IT-konsult i Malmö. Det hela kändes obehagligt. Som att han vikt undan gardinerna för att snegla bakom nätets välordnade fasad och upptäckt någonting bortom hans vildaste fantasi. En mörk flodvåg av hemligstämplad information, fritt flödande och öppen för vem som helst att ta del av. I går, på festen med vännerna, hade Dan Egerstad varit upprymd över fyndet. Nu var han orolig. Vad hade han snubblat över? Och vad skulle han göra av alltihop? Dan Egerstad såg ut som en typisk datorkunnig svensk kille. Han var lång och gänglig, med ett piggt, lite näsvist utseende. Som ung bar han glasögon, men synfelet hade sedan ett par år rätats ut med hjälp av en laserbehandling i Istanbul. Inte sällan gick han klädd i jeans och en rutig skjorta som han gärna rullade upp ärmarna på när det blev för varmt. Datorer var och hade alltid varit hans främsta in103
Svenska_hackare_till_tryck_20110222.indd 103
2011-02-22 11:16:32
svenska hackare
tresse. Han kunde inte minnas en tid då tangentbordsknattret, hårddiskens surrande och skärmens bleka sken inte varit en del av hans liv. På ett personligt plan, utanför betald arbetstid, var det framför allt IT-säkerhet som lockade. Frågor om hur man skyddade hemliga digitala uppgifter från att hamna i fel händer – eller tog sig in på platser där man inte var välkommen. Någonting drev honom att utforska, att undersöka gränserna för vad som var möjligt på nätet. Vilka spärrar gick att ta sig förbi? Vilka regler kunde böjas för att få maskinerna att göra som han ville? Det kunde handla om experiment han utförde på sina egna maskiner, att undersöka säkerhetsluckor han hade upptäckt eller bara diskutera teoretiska exempel med andra säkerhetsintresserade. Det var en besatthet som var svår att beskriva för de icke-insatta. Att överlista datorsystemens digitala vägspärrar gav honom en känsla av oövervinnerlighet. Ruset vid ett lyckat hack var nästan euforiskt. Det hände att Dan Egerstad blev sittande nätterna igenom framför datorn. Nu lutade han sig tillbaka framför skrivbordet men behöll ögonen på skärmen. Rad för rad gick han igenom textfilen på skärmen framför honom. Server: Ryssland.se. Därefter prydligt redovisade användarnamn och lösenord. Den ryska ambassaden i Stockholm är en fästningsliknande byggnad, en stor grå koloss omgiven av ett bastant järnstängsel mitt emot DN-skrapan på Kungsholmen. Informationen Dan Egerstad hade framför sig kunde ta honom rakt in i hjärtat av det komplexet. Han var bara ett par knapptryckningar bort från att läsa all mejl som skickades och togs emot av tjänstemän och diplomater där inne. En rad till med ett servernamn som slutade på ».ir«. Var inte det Iran? En snabb kontroll på nätet bekräftade det. Uppgifterna som hade sparats på hans dator gjorde det möjligt att läsa mejl till och från de anställda på utrikesdepartementet i Teheran. Dan Egerstad funderade. Han satt på en bomb som han inte hade en aning om hur han skulle hantera. Skulle han lyfta på luren och säga som det var? Hur skulle säkerhetschefen på Rysslands ambassad i Stockholm, en av de mest hårdbevakade i Sverige, reagera på en 104
Svenska_hackare_till_tryck_20110222.indd 104
2011-02-22 11:16:32
ambassadhackaren från malmö
ung, okänd man som ringer och säger att han kan läsa deras mejl? Borde Dan Egerstad kontakta media? Berätta för andra på nätet vad han snubblat över? Ringa till polisen? »Hör av dig till Must«, föreslog en kompis. Men att vända sig till den svenska militära underrättelsetjänsten skulle innebära att han gav sig ut på ännu grumligare vatten. Ord som spionage, hot mot rikets säkerhet, började snurra i hans huvud. Det hela var absurt, som plockat ur en billig deckarroman. Åtgärderna fick dröja ett tag. Först behövde han skaffa sig en klar uppfattning om vad som hade hänt. Dan Egerstad hade inte gjort något olagligt. Åtminstone trodde han inte det själv. Det var kanske det mest obegripliga med alltihop. En av de tre datorerna i hans lägenhet hade fått ihop allt detta utan att han själv gjort något mer än att lyssna lite extra noga på bruset från informationshavet ute på internet. Allt hade startat som ett experiment, en slags nyfiken lek med säkerheten på internet. Skriptet, den programsnutt som var upphov till den minst sagt prekära situation som Dan Egerstad nu befann sig i, var hans egen skapelse. Bara den senaste timmen hade det tuggat sig igenom mer information än vad som ryms på flera normalstora hårddiskar. Programmet var skrivet för att lyssna och för att sålla, för att snabbt gräva sig igenom ett kaos av osorterad data på jakt efter nålarna i höstacken, de små kodsträngar hans dator kände igen som inloggningsinformation till mejlkonton. Några dagar tidigare hade han anslutit sin dator till ett digitalt nätverk byggt för att underlätta anonymitet på nätet, ett verktyg för de som vill skicka eller ta emot information men hålla sin verkliga identitet hemlig. Nätverkets princip var enkel. I stället för att skicka information, till exempel ett mejl, direkt från avsändare till mottagare så tog systemet omvägar. Informationen studsades fram och tillbaka över internet, från dator till dator och ibland flera varv runt jorden. Till slut skapades en så lång kedja av olika kontakter att det blev så gott som omöjligt att avgöra vem som i slutändan kommunicerade med vem. När informationen nådde sin slutdestination var källan höljd i dunkel. Den ursprungliga avsändaren skyddades bakom flera 105
Svenska_hackare_till_tryck_20110222.indd 105
2011-02-22 11:16:32
svenska hackare
lager av andra, som kärnan i en lök, vilket också gett namn åt nätverket. The Onion Router, Tor. Tor utvecklas och drivs ideellt av volontärer i hela världen. Det marknadsförs ofta som ett ovärderligt verktyg för kinesiska dissidenter som vill slippa förbi den statliga censuren, eller som ett sätt för whistleblowers att slå larm om korruption och maktmissbruk. Mycket riktigt finns det gott om exempel där nätverket använts i sådana syften. Men mellan de anslutna datorerna strömmar också piratkopierade filmer och barnpornografi. I september 2006 slog polis i Tyskland till mot sju internetoperatörer och tog ett tiotal servrar i beslag som misstänktes innehålla barnporr. Inget olagligt material hittades på hårddiskarna, men på åtminstone några av dem fanns mjukvaran som används för att ansluta till Tor. Någon hade använt datorerna och Tor-nätverket för att sprida filmer och bilder utan att bli upptäckt.64 Dan Egerstad hade suttit och planerat en föreläsning när han fick idén till sitt experiment. Som IT-konsult specialiserad på säkerhet hände det att han höll presentationer för företag som behövde lära sig mer om dataintrång, kryptering och hur man skyddar digital information från nyfikna men objudna gäster. Den här gången skulle det handla om mejl. Dan Egerstad visste att varje föreläsning var en show, hur torrt ämnet än kunde tyckas vara. Det handlade om underhållning och undervisning på samma gång. Därför ville han krydda sitt framträdande med ett litet avslöjande. Att en försvinnande liten andel av alla mejlanvändare krypterar sina brev är allmänt känt för säkerhetsexperter. Dessutom är det en gammal sanning att elektroniska brev som inte krypteras är ungefär lika privata som vykort när de studsar fram och tillbaka mellan datorer och nätverksväxlar. För en person med grundläggande hackarkunskaper och tillgång till rätt delar av nätverket var det en relativt enkel match att bygga ett system för att lyssna av information på vägen, på samma vis som en brevbärare enkelt kan smygläsa vykort innan de lämnas av hos mottagaren. Föreläsningens höjdpunkt skulle bli när han själv berättade vad han lyckats gräva fram på nätet. »Kolla här«, tänkte han säga till pu106
Svenska_hackare_till_tryck_20110222.indd 106
2011-02-22 11:16:32
ambassadhackaren från malmö
bliken. »Jag undersökte helt vanlig mejltrafik och hittade allt detta. Nästa gång ni skickar ett mejl utan kryptering, tänk på vem som kan titta över er axel.« Sedan skulle han redovisa exakt hur många procent av de brev han undersökt som hade varit krypterade. Det var i sådana stunder han trivdes bäst, när han hade en alldeles egen sanning att berätta. Någon skulle bli imponerad, en annan skrämd och någon skulle få skämmas över ett misstag. För att kunna göra en sådan undersökning behövde han direkt tillgång till information som strömmar över nätet. Att bryta sig in i en server eller ett nätverk för att komma åt den hade varit direkt kriminellt, så det var uteslutet. Men genom att koppla upp sig på Tor-nätverket gjorde han sig till en del av den kedja av datorer som användes för att göra avsändaren anonym. Det kan ju inte vara olagligt att lyssna av data som någon frivilligt skickar via min dator, resonerade han. Med hjälp av vänner på nätet hade han snabbt satt upp fem anslutningspunkter, spridda i Europa, USA och Asien. Det innebar att hans datorer fungerade som noder, de knutpunkter i Tor-nätet som tog emot och skickade trafik vidare till sin slutdestination. Alla ställdes de in så att vem som helst skulle kunna skicka sin data via dem. Samtidigt låg ett av hans program i bakgrunden och spanade efter sådant som såg ut som mejltrafik. Den informationen sparades ned lokalt och sorterades automatiskt på hans hårddisk. Dan Egerstad lät servrarna jobba på i några veckor innan han vittjade sitt nät. Vad hade han väntat sig för fångst? Privata mejl kanske. Inloggningsuppgifter till ett gäng hotmail.com- och gmail.com-konton, där avsändaren inte hade mer än sin värdighet att förlora på att någon tjuvläste. Därför kunde han nu knappt tro vad han såg framför sig. Allt som allt kunde han räkna till omkring 3 000 lösenord, prydligt sorterade och nedsparade. Där fanns inloggningsuppgifter till mejlkonton hos multinationella storföretag, forsknings- och försvarsinstitut i Indien, ett brittiskt visumkontor i Nepal, närmare 40 av Kazakstans ambassader runt om i världen. Några av dem hade kopplingar till Sverige, som den indiska ambassaden i Stockholm. Resten var spridda över världen, till synes helt utan anknytning till 107
Svenska_hackare_till_tryck_20110222.indd 107
2011-02-22 11:16:32
svenska hackare
hans eget hemland. Listan fortsatte med en rad konsulat och ambassader i New York och Washington. Lösenord till mejlkonton hos journalister vid stora, internationella tidningar. Även hela brev dök upp i flödet. Dan Egerstad log när han läste brevet från den svenska kungen till Rysslands ambassadör i Stockholm. Den unge IT-konsulten sträckte på sig framför datorn. Han hade hittat något stort, så mycket var klart. En enorm källa av topphemliga uppgifter som av någon anledning hade landat på hans hårddisk i lägenheten i Malmö. Nu gällde det att agera. Det var dags att formulera en plan. Experimentet med Tor-nätverket var långt ifrån det första som Malmökillen hade dragit igång. En stor del av hans liv hade präglats av intresset för datorer. Dan Egerstad var knappt tonåring när han fick sin första Amiga, en populär speldator från det sena 1980-talet. Men att spela var inte det som lockade mest. Rastlöst började han i stället utforska vad datorn kunde göra, hur han kunde få den att lyda kommandon och köra hans egna program. Dan Egerstad var uppvuxen i Kulladal i södra Malmö, en välartad stadsdel med villor och minigolfbanor, kanske mest känd för att Per Albin Hansson föddes där 1885. I samband med att den svenska staten under 1990-talet plöjde ner miljarder i hem-PC-projektet byttes Dan Egerstads speldatorer ut mot mer kraftfulla maskiner. En dag slog Dan Egerstads far till och investerade i två stycken splitter nya datorer. En av dem ställdes upp i Dan Egerstads rum och blev hans första egna PC. Det var ett fullt logiskt beslut – redan då var den unge Malmökillen skickligare än sina föräldrar på att använda datorn. Visst spelade han fortfarande, men ännu mer spännande var det att få maskinen att göra sådant som det inte fanns någon manual till. Vid den här tiden var den nya hem-PC:n ett vidunder av kraft, långt mer kapabel än vad som tidigare hade varit inom räckhåll för en hemmaanvändare. Dan Egerstad började tillbringa mer och mer tid instängd på sitt rum framför skärmen. Han fick så småningom möjlighet att koppla upp sig mot internet med den tidens långsamma 108
Svenska_hackare_till_tryck_20110222.indd 108
2011-02-22 11:16:32
ambassadhackaren från malmö
surrande modem. En ny värld öppnade sig. Mest lockade chattkanaler där hemlighetsfulla människor, anonyma hackare och andra i utkanten för det lagliga umgicks och utbytte information. Dan Egerstad blev som besatt av att lära sig mer och att bli bekant med de som kunde lära honom det han behövde kunna. Själv vågade han aldrig blanda sig i några olagligheter. Dan Egerstad ville bli ett välbetalt IT -proffs, inte en kriminell hackare. Men att lyssna och lära sig var han duktig på. Han fascinerades av nätets mörka sidor, den makt och kontroll som skickliga hackare utövade. Ändå ledde intresset inte in på den vanliga vägen, till en IT-utbildning på universitet och ett välordnat jobb som konsult på ett stort företag. Efter tre års naturvetenskaplig linje på gymnasiet försökte sig Dan Egerstad på att studera vid Mälardalens högskola i Västerås. Men den inrutade tillvaron passade honom inte. Vid sidan av studierna hade han börjat ta konsultuppdrag i liten skala. Snart hoppade han av skolan, flyttade till Malmö och satsade på att arbeta, först som frilansande konsult knuten till ett mindre säkerhetsinriktat företag och senare med egna projekt. Långt ifrån allt byggde på hans kunskaper om IT-säkerhet. Han drev en rad hemsidor och webbprojekt som lockade besökare och gav honom intäkter från reklam. Dessutom lade en han del tid på en tevespelsbutik som han drev med några vänner. Vid sidan om det tog han på sig andra uppdrag. Bland annat erbjöd han företag att under kontrollerade former försöka hacka sig in i deras system. Luckorna han hittade rapporterades till arbetsgivaren som täppte till dem innan någon annan hann ta sig in. Det var så han trivdes bäst att arbeta. Som sin egen chef, fri att tacka ja eller nej till uppdrag och sova så länge han ville om morgnarna. Dessutom – den grå vardagen som IT-konsult på ett storföretag rimmade illa med Dan Egerstads bild av säkerhetsproffset som en hjälte. Han ville bli en äventyrare och outsider, någon som jobbade på sina egna villkor. Inte en stressad och överarbetad konsult i grå kostym. Dan Egerstad är på många sätt en typisk produkt av hem-PC-reformen. Även innan staten började satsa på att göra datorn till ett själv109
Svenska_hackare_till_tryck_20110222.indd 109
2011-02-22 11:16:32
svenska hackare
klart inslag i de svenska hemmen använde många datorer, inte minst på sina arbetsplatser. Men den personliga datorn innebar någonting mer än bara praktisk tillgång till ett tangentbord och en beräkningsenhet. Den gjorde att folk började betrakta sin dator som någonting annat än ett arbetsredskap. Hem-PC:n blev en privat ägodel för nöje och kommunikation, nätuppkopplingen blev en förlängning av det egna medvetandet. Till stor del användes hem-PC-datorerna till sådant som i vanlig bemärkelse inte kan sägas vara »nyttigt«. Man spelade spel, slösurfade, småpratade med andra användare och skickade mejl bara för att det gick. Men den nära relationen till maskinen skapade en affektion för datorer som drev på kunskapsutvecklingen och experimentlustan. Nyckeln var att datorn var ens egen, inte någonting man delade med andra eller hade till låns på jobbet. 24 timmar om dygnet, sju dagar i veckan stod den där, tillgänglig oavsett om den för stunden användes eller inte. Svenskens relation till datorn blev intim. Samtidigt representerar Dan Egerstad, tillsammans med alla de andra ungdomar som växte upp med en hem-PC på rummet, den andra sidan av samma mynt. Många vägrade acceptera gränserna som satts upp för datoranvändandet. Ju större deras kunskaper om den nya tekniken blev, desto mer skavde de tekniska gränser och juridiska spärrar som präglade vad som gick eller inte gick, var tillåtet eller ej, i den digitala världen. De ville tänja på reglerna, ha mer information och större möjligheter att bygga om efter sitt eget sinne. »Det slutar med mig död, i fängelse eller något ännu värre«
Dan Egerstad arbetade fortfarande som frilansande IT-konsult från sin lägenhet i södra Malmö. Nu, med den mystiska lösenordslistan framför sig på skärmen, hade han bestämt sig för att slå larm. Det bästa han kunde göra under omständigheterna var att ta kontakt med lösenordens ägare och berätta vad han hade upptäckt. Ju förr desto bättre, resonerade han. Visst var lösenordslistan spännande, men det här handlade om någonting betydligt allvarligare än Dan Eger110
Svenska_hackare_till_tryck_20110222.indd 110
2011-02-22 11:16:32
ambassadhackaren från malmö
stad hade varit med om tidigare. Det gällde att rädda sig själv undan misstanken. Genom att visa sig samarbetsvillig hoppades han minska risken att han själv anklagades för någonting olagligt. Dan Egerstad drog igång sin webbläsare och började leta fram kontaktuppgifter för lösenordens ägare. Responsen blev inte vad han hade väntat sig. Gång på gång ringde han upp flera av namnen på listan för att berätta vad han hittat. Topphemlig information från deras datornätverk fanns fritt tillgänglig på internet. Han erbjöd sig till och med att ställa upp gratis och hjälpa dem att täppa till det vidöppna säkerhetshålet. Överallt var svaret avvisande, nästan oartigt. Ingen ville kännas vid problemet. Alla han nådde fram till var antingen oförstående eller trodde att han ljög. »Det stämmer inte, det där är omöjligt«, svarade en IT-ansvarig vid en av ambassaderna. »Jag förstår inte vad du pratar om«, minns han att en annan ska ha sagt. Varför ville ingen lyssna? Av allt att döma kunde vem som helst göra samma sak som han själv hade gjort: avlyssna Tor, hitta samma lösenord och ta sig in på diplomaternas mejlkonton. Ändå ville ingen ens höra vad han hade att säga. Tanken på att bara radera informationen lockade, att fortsätta jobba som om ingenting hade hänt och glömma hela historien. Men det vore farligt. Hade han lyckats hitta lösenorden så skulle någon annan snart göra samma sak, kanske någon med mindre ädla syften än han själv. Dessutom skulle han missa en chans att skapa riktigt stora rubriker. Dan Egerstad förstod att historien om de hackade ambassadkontona kunde få rejält med genomslag i media. Spelade han sina kort väl kunde det säkert finnas en del plats för honom i artiklarna också. Den unge IT-konsulten visste mycket väl vilka underverk lite uppmärksamhet från tidningarna kunde göra för hans karriär. Faktum är att han spelat samma höga spel en gång tidigare. I december 2006, knappt ett år tidigare, upptäckte Dan Egerstad att hans privata bredbandsuppkoppling var märkligt långsam. Han ställde upp en dator för att kontrollera vad det var som slammade igen anslutningen och fick närmast en chock när han såg att 4 000 111
Svenska_hackare_till_tryck_20110222.indd 111
2011-02-22 11:16:32
svenska hackare
grannars privata surfande gick direkt via hans egen maskin. En felkonfigurerad nätverksväxel hos Telia låg bakom. Det var ingen stor miss, men en hackare som visste vad han gjorde kunde enkelt utnyttja luckan för att se rakt in i grannarnas internettrafik. Dan Egerstad försökte informera Telia om problemet, men tog också tillfället i akt och hörde av sig till några tidningar. Snart fick Telias presschef svettas vid sin telefonlur när journalister ville veta om det stämde att Malmöbornas bredband kunde avlyssnas. Så gott som alla stora tidningar hade framställt Dan Egerstad som den unga, begåvade IT-säkerhetsexperten som tvingat telekomjätten att förnedrat erkänna sitt misstag. Själv hade han kunnat luta sig tillbaka och njuta av berömmelsen. Det var en succé han gärna ville upprepa. Men skulle reportrarna tro på honom den här gången? Även om han hade haft rätt förr skulle det inte gå att bara ringa upp och säga som det var. Han behövde lägga fram bevis. Skulle han våga lämna över lösenorden till någon annan? Var det ett brott att dela med sig av uppgifterna? Den här krutdurken var för stor för att inte behandlas med största varsamhet. I nästan två månader höll Dan Egerstad allting hemligt, berättade inte för någon vad han kommit över. Han fortsatte försöka ta kontakt med ambassaderna, men ingen han ringde tog honom på allvar. Någon gång ska han till och med ha avfärdats som telefonförsäljare. Till slut tappade Dan Egerstad tålamodet. Om ingen ville lyssna så fick han helt enkelt ta saken i egna händer. Att bara hålla tyst om allt var inget alternativ, så i stället började han förbereda en sajt. Dan Egerstad drog själv slutsatsen att han inte gjort någonting olagligt. Något dataintrång var det inte, för han hade ju faktiskt inte loggat in på något av kontona själv. Uppgifterna hade kommit till honom, strömmat genom hans dator på väg någon annanstans. Han hade bara gläntat på dörren för att se vad som fanns bakom den. Ändå tycktes det oansvarigt att lägga ut alltihop på webben. För att känna sig säker satte Dan Egerstad upp två regler. Dels fick 100 lösenord räcka. Det var tillräckligt många för att väcka uppmärksamhet, men ändå bara en bråkdel av alla han kommit över. Ett kort tag över112
Svenska_hackare_till_tryck_20110222.indd 112
2011-02-22 11:16:32
ambassadhackaren från malmö
vägde han att i stället välja 1 337 stycken. Dessa siffror kan utläsas som leet, en omskrivning av »elite«. Det är ett uttryck som används mer eller mindre ironiskt på nätet, som ett berömmande ord för framstående personer eller anmärkningsvärda händelser. Dessutom skulle han utelämna alla journalister (»det handlar om källskydd och sånt«) och företag (»det ger stor skada, och de kan stämma mig«) från listan. Kvar blev myndigheter och ambassader – de som borde ha vetat bättre. Framför sig hade han nu en lista med 100 konton sorterade i fyra kolumner: Myndighetens namn, serverns adress, själva mejladressen och ett lösenord. Allt som behövdes för att komma åt mängder av topphemliga uppgifter. Publiceringen skulle ske helt öppet på den nya webbadress, www.derangedsecurity.com, som Dan Egerstad registrerat. Namnet hade dubbel betydelse. Det signalerade att hemsidan handlade om IT -säkerhet på ett lite vilt, rubbat (»deranged») sätt. Dessutom gav det en ledtråd om vem upphovsmannen var. De två första bokstäverna i domännamnet, DE för Dan Egerstad, skrevs ut versalt. I övrigt stod Malmöbons namn ingenstans på sajten. Ovanför själva listan klistrade Dan Egerstad in en text på engelska han skrivit själv. Den var tänkt som en förklaring till varför han gjorde det han gjorde. Ja, det är på riktigt och de fungerar när vi publicerar det här. Så varför i hela världen skulle någon publicera sådan här information? För att, ärligt talat, så kommer jag inte ringa Irans president och berätta att jag har tillgång till alla deras ambassader. Jag är rubbad, (»DEranged«), inte självmordsbenägen. Han har ju bomber och sånt. Det var inte en rakt igenom kaxig text som introducerade besökaren till det topphemliga materialet. Snarare är tonen ursäktande. Dan Egerstad tycktes vilja säga att det inte fanns något alternativ till det dramatiska offentliggörandet: »Erfarenheten säger mig att även om jag skulle kontakta alla på den här listan så skulle de flesta inte lyssna, 113
Svenska_hackare_till_tryck_20110222.indd 113
2011-02-22 11:16:32
svenska hackare
eller kanske bara beskylla mig för att vara en ond hackare, och ingen annan skulle få veta om det här.« Han tog också upp möjligheten att radera informationen och gå vidare, men avfärdade den snabbt: Jag kan inte kasta bort det, för det är bara en tidsfråga innan någon annan får tag på samma information. Eller vänta, är det någon annan som har den redan? Hur länge har de haft den? Och vad gör de med den? Att sälja uppgifterna skulle förmodligen ge mig ganska bra med pengar, men det är inte min stil och jag är säker på att folk har försvunnit för mindre än så. Jag har testat varje tänkbart scenario i mitt huvud. Det slutar alltid med mig död, i fängelse eller något ännu värre. Så åt helvete med alltihop. Här är allt du behöver för att läsa hemliga mejl och fucka upp allvarliga internationella affärer. Texten var skriven med en närmast uppgiven ton. Kanske ville Dan Egerstad visa att publiceringen var en sista åtgärd, inte ett spontant tilltag och ett ogenomtänkt sätt att få strålkastarljuset riktat mot sig själv. Däremot framgick det tydligt att Malmöbon förstod tyngden i den lista som skulle följa. »Jag skulle vilja påminna alla att det är ett allvarligt brott att använda någonting av det här«, skrev han och fortsatte, ironiskt eller inte: »Jag litar på att ingenting av detta kommer att användas, någonsin!« Han fortsatte med upplysningen om att inga lösenord fanns sparade på hårddiskar i hans lägenhet och att polisen vid en razzia bara skulle hitta en massa öl. Hårddisken där den uppsnappade informationen tidigare fanns lagrad var redan utmonterad, tömd och sönderslagen när publiceringen skedde. »Nu ska vi se hur många arga mejl jag hinner få innan Mr Bush ger mig en gratis semester till Guantanamo Bay.« Allt var färdigt. Lösenorden skulle läggas ut och hela världen skulle 114
Svenska_hackare_till_tryck_20110222.indd 114
2011-02-22 11:16:32
ambassadhackaren från malmö
få se vad han hade hittat. Det var tidigt på eftermiddagen torsdagen den 30 augusti 2007. Han skrev ett kort brev som skulle gå till några utvalda journalister. »Regeringar och ambassader hackade« var ämnesraden. Om 10 minuter, kl 15:15 kommer DErangedSecurity.com att publicera en lista med exakt 100 fungerande lösenord till e-postkonton för ambassader och myndigheter över hela världen. Enjoy =) //D Dan Egerstad klickade på knappen som fick brevet att gå iväg och strax därefter på en annan knapp som skickade ut listan på webben. Han lyfte händerna från tangentbordet och väntade på att telefonen skulle ringa. Trots att han inte hade skrivit ut sitt namn eller telefonnummer på sajten så var derangedsecurity.com helt öppet registrerad i hans namn. Det var en smal sak för vem som helst med grundläggande internetkunskaper att få fram hans kontaktinformation. Det skulle dröja till kvällen innan det första samtalet kom. Först vid åttatiden ringde mobilen och Dan Egerstad svarade. Direkt bekräftade han för journalisten att det var han som låg bakom publiceringen. Att dölja sin identitet skulle bara vara löjligt, menade han. Någon skulle ändå snoka upp honom. Några febrila timmar följde. Förvånade ambassadtjänstemän fick samtal från reportrar som sökte kommentarer till publiceringen. Stämde uppgifterna? Vad skulle de göra nu? »Vi vet inte. Återkom i morgon«, blev svaret. Förvirringen var total tills den första artikeln dök upp på nätet sent på kvällen mot torsdagen.65 Det fick andra svenska medier att vakna. TT kablade ut nyheten strax efter klockan tio på kvällen under rubriken »Svensk IT -konsult hackar ambassader«. Aftonbladet fokuserade på brevet från det svenska kungahuset till Rysslands ambassad. »Hovets brev utlagt på nätet« blev rubriken.66 Det var en sanning med modifikation, eftersom Dan Egerstad aldrig hade publicerat några brev. Däremot hade hovets artiga svar på den ryska ambassadens inbjudan till 115
Svenska_hackare_till_tryck_20110222.indd 115
2011-02-22 11:16:32
svenska hackare
en pianokonsert dykt upp bland den brokiga massa av information som landat på Dan Egerstads hårddisk. Hela natten fortsatte samtalen till Dan Egerstads mobiltelefon. Även internationella medier uppmärksammade hans lösenordslista. Om och om igen fick han förklara varför han inte kunde ha hanterat upptäckten på något annat sätt. Uppmärksamheten är det enda skyddet, sa han: »Det räddar mig själv ur skiten.«67 Varje journalist som ringde fick svar på sina frågor. Malmöhackaren bjöd på målande citat som tidningarna sen direkt använde i sina texter. Men en sak vägrade han svara på. Inte för någon berättade han hur han kommit över uppgifterna. Han höll tyst om både Tor och om experimentet han satt igång hemma i lägenheten. Ambassaderna skulle få en ärlig chans att rätta till felet innan han släppte några detaljer. Omtänksamt, kan tyckas. Men det gjorde det också svårt för utomstående att begripa hur killen som nu dominerade medierna kunde säga att han inte hade begått något brott. Han hackade ju ambassader och skröt om det. Lösenorden var bevis nog. Men ambassadpersonalen kom inte till Dan Egerstad för hjälp, som han hade hoppats. Lokala lagar borde räcka för att ta hand om Malmöbons upptåg, lät den indiska ambassaden meddela.68 De enda som var beredda att prata med honom var iranierna. Från ambassadens håll har det aldrig bekräftats offentligt, men Dan Egerstad hävdar bestämt att en tjänsteman från den iranska ambassaden ringde upp honom kort efter att säkerhetsluckan offentliggjordes och med artig röst bad att få veta hur det hela gått till. – Jag gav dem uppgifter om vad jag har gjort och instruktioner för hur de kan åtgärda det, sa Dan Egerstad stolt strax efteråt.69 På Dan Egerstads vid det här laget världsberömda lösenordslista fanns inte ett enda som tillhörde en svensk myndighet eller diplomatisk utpost. Dan Egerstad har aldrig velat bekräfta om detta beror på att det inte fanns några svenska lösenord i informationen som strömmade genom Tor-nätverket, eller om han för sin egen säkerhet valde bort dem när han plockade ut 100 stycken för publicering. En mycket stor del av dem gick i stället till länder i Centralasien. 116
Svenska_hackare_till_tryck_20110222.indd 116
2011-02-22 11:16:33
ambassadhackaren från malmö
Till exempel fanns där inte mindre än 36 lösenord till uzbekiska ambassader och konsulat, samt ett till landets utrikesdepartement. Åtta lösenord gick till Kazakstans ambassad i Moskva. Det är därför inte förvånande att Dan Egerstads publicering snabbt nådde långt utanför Sveriges gränser. Indiens Sverigeambassad är inrymd i en större lägenhet i korsningen mellan Adolf Fredriks Kyrkogata och Drottninggatan mitt i Stockholm. Jämfört med fortet som utgör den ryska ambassaden är det ett anspråkslöst ställe. Den saffransröda, gröna och vita flaggan vajar från fasaden över Drottninggatans promenadstråk, men i övrigt är det svårt att notera att huset rymmer en diplomatisk utpost för världens näst största land. När Dan Egerstad lade ut sin lista på nätet arbetade ett 20-tal personer där inne. I de flesta av våningens rum satt minst två personer, på visumavdelningen fick fem personer trängas i ett litet rum. Någon hade haft oturen att hamna bakom en hylla i ett rum som också rymde ett improviserat kök med diskbänk och mikrovågsugn. Bara de högsta diplomaterna hade egna kontor. Där inne var möblerna, i övrigt ett hopplock som inte alltid matchade så väl, av högre klass. Det var här telefonerna började gå varma den första kvällen efter att Dan Egerstad hade publicerat sin lösenordslista. Indien är i dag en av världens främsta IT-nationer. Att döma av hur personalens datorer och mejlkonton sköttes på ambassaden var det svårt att tänka sig. En assistent var i regel den som tog hand om det tekniska. Då och då kom en man in och hjälpte till när bredbandet krånglade. Det är därför inte svårt att förstå ambassadledningens första reaktion när nyheten kom: tystnad. Frågor om mejlen hänvisades till Telia som stod för abonnemanget. Ingen information om vad som inträffat gick ut till de anställda. När ambassadtjänstemännen kom in på jobbet dagen efter publiceringen tog några av dem saken i egna händer, de lusläste alla artiklar som hade skrivits och sökte upp Dan Egerstads lösenordslista på webben. Genom att jämföra det användarnamn som fortfarande fanns ute på nätet med uppgifterna i sina egna mejlprogram kunde de dra slutsatsen att åtminstone de själva inte var drabbade. Medan det tisslades över borden fortsatte 117
Svenska_hackare_till_tryck_20110222.indd 117
2011-02-22 11:16:33
svenska hackare
ambassadören och de högst uppsatta diplomaterna i våningen att tiga på sina arbetsrum. Inget möte hölls med den oroade personalen. Inget internt meddelande skickades ut. Över huvud taget nämnde inte cheferna det som hade hänt. Det berättar personer som vid den tiden arbetade på ambassaden. Desto mer fart blev det bakom kulisserna. Med på Dan Egerstads lista fanns bland annat konton som tillhörde det indiska försvars departementet och det statligt ägda Defence Research and Development Organisation (DRDO), en av Asiens största vapentillverkare. Utåt gjordes allt för att tona ned allvaret i det som hade hänt. Kontot som fanns med på listan användes sällan, sa det indiska försvarsdepartementets företrädare till tidningen Indian Express. Men några timmar efter att nyheten nått landets tidningar hade DRDO stängt sina mejlservrar för all inkommande och utgående trafik. Det indiska utrikesdepartementet kopplade tillfälligt bort ambassadernas mejlkonton från nätet. Till indiska journalister sa företrädare för försvarsdepartementet att en grundlig utredning skulle genomföras, medan utrikesdepartementet lade locket på och vägrade att kommentera händelsen.70 Även från ryskt håll gjordes försök att tona ner de läckta lösenorden. Efter att först ha vägrat att ens medge att någonting läckt ut trädde Roman Mironov, förste ambassadsekreterare på ryska ambassaden i Stockholm, fram i svensk teve och bekräftade att uppgifterna var korrekta. Han var dock snabb med att tillägga att det rörde sig om lösenord som inte längre var aktuella. Ingenting i efterspelet ger stöd åt detta påstående. Att uppgifterna från de indiska ambassaderna var korrekta skulle snart bevisas på ett uppseendeväckande sätt. Att rysk korrespondens med det svenska hovet fanns bland den information som kunde avlyssnas bekräftades redan samma dag som lösenorden lades ut. Klart är alltså att uppgifterna ledde in på aktiva mejlkonton som ej var avsedda för någon annan än ambassadens egen personal.71 Däremot kan det läckta lösenordet redan ha bytts ut när Roman Mironov gjorde sitt uttalande. Både den indiska och den ryska am118
Svenska_hackare_till_tryck_20110222.indd 118
2011-02-22 11:16:33
ambassadhackaren från malmö
bassaden anlitade Telia som leverantör av mejltjänster, och telejätten reagerade mycket snabbt när de fick kännedom om listan. Redan under kvällen då nyheten började spridas fick koncernsäkerhetschefen Håkan Kvarnström larm om vad som hade hänt och såg personligen till att lösenorden byttes ut. Det var enkelt gjort, men betydde inte att läckan var begriplig. Dan Egerstad hade ännu inte berättat hur han kommit över lösenorden, och på Telia förstod man ingenting. – Jag har aldrig sett någonting liknande. Det normala är att en operatör drabbas och att det rör många kunder. Det här är precis tvärt om, sa Håkan Kvarnström kort därefter.72 Flera ambassader i Washington fanns med på Dan Egerstads lista. Däremot inga lösenord till amerikanska ambassader i andra länder. Men det hindrade inte amerikanska myndigheter från att sätta ned foten. Servern där lösenordslistan hade lagts ut var belägen i Texas, i webbhotellet The Planets stora serverhall. Tidigt i september, bara dagar efter publiceringen, kopplade driftföretagets tekniker bort sidan från nätet. Strax därefter bekräftade The Planet att det skett efter påtryckningar från amerikanska myndigheter, med största sannolikhet FBI.73 Tillslaget betydde lite för att hålla de känsliga uppgifterna borta från nätet. Listan fanns redan återpublicerad i mängder av forum och bloggar. Men påtryckningarna mot The Planet var en tydlig markering från USA:s håll. Dan Egerstads lista var sprängstoff, på tok för farlig för att ignorera. Strax efter att listan lades ut på nätet gjorde Manu Pubby, journalist vid tidningen Indian Express, just det som Dan Egerstad starkt hade avrått från. Han ville slå fast att svenskens uppgifter var korrekta och skickade därför ett mejl till Indiens ambassadör i Kina, en av de mejladresser som fanns med på listan. Därefter loggade han in med lösenordet från derangedsecurity.com och hittade sitt eget brev på ambassadörens mejlkonto. Enligt svensk lag är det ett solklart exempel på dataintrång, jämförbar med skandalen som skakade Folkpartiet inför valet 2006 då partimedlemmar loggade in på Socialdemokraternas intranät med uppgifter som kommit på vift. Men den indiska journalisten nöjde sig inte med att använda inloggningen för att bekräfta 119
Svenska_hackare_till_tryck_20110222.indd 119
2011-02-22 11:16:33
svenska hackare
att uppgifterna på Dan Egerstads lista stämde. I sin artikel beskriver han ogenerat vilka konton han tagit sig in på och vad han hittat bland diplomaternas och tjänstemännens brev. Information om en indisk parlamentsledamots besök i Beijing. Fullständiga anteckningar från ett möte mellan en högt uppsatt indisk regeringsföreträdare och Kinas utrikesminister. Affärshandlingar, officiell korrespondens, personliga brev och telefonnummer från landets försvarsforsknings akademi och den statliga vapentillverkaren DRDO. Brev från indiska studenter som skrivit till landets ambassad i Berlin för att fråga om det är säkert för en indier att vistas i landet efter uppgifter om trakasserier mot utlänningar i Tyskland. Allt lyckades han ta del av med hjälp av Dan Egerstads uppgifter, och allt redovisades öppet i en artikel publicerad i en av landets största tidningar.74 Som försvarskorrespondent var Manu Pubby van vid att skriva om ämnen som rörde den indiska militären. Rutinmässigt lät han program bevaka en mängd källor på nätet och söka efter begrepp som tydde på att uppgifterna kunde vara någonting för honom att skriva om. Bland annat sökte programmet efter »National Defence Academy«, landets främsta utbildningssäte för officerare på väg in i det indiska försvaret. Minuter efter att Dan Egerstad hade publicerat sina uppgifter hade Manu Pubby, på andra sidan jordklotet, därför sajten uppe på sin skärm. Han kunde knappt tro det han såg framför sig. Instinktivt ville den indiska journalisten avfärda det hela som en bluff. – Så jag bestämde mig för att logga in och det jag hittade var enormt. Jag var fortfarande inte hundra procent säker så jag ringde upp ett par politiker och tjänstemän vars mejl och namn nämndes i korrespondensen. De berättade för mig att informationen stämde, berättar han för oss i en mejlintervju. Manu Pubby beskriver reaktionen timmarna efter att tidningen nått läsarna som ett ramaskri på högsta politiska nivå. På regeringens order stängdes mejlservrar hos försvars- utrikes och forskningsdepartementen ner. Flera regeringsanknytna webbplatser sveptes med av bara farten och var borta från nätet i timmar innan de kunde återstäl120
Svenska_hackare_till_tryck_20110222.indd 120
2011-02-22 11:16:33
ambassadhackaren från malmö
las. Larm gick ut till ambassader och konsulat i hela världen. Samtidigt arbetade tekniker inom landets gränser febrilt med att få alla de läckta lösenorden utbytta och systemen säkrade. Indisk teve nappade på nyheten redan samma morgon. Tekniskt oerfarna tevejournalister kämpade med att själva testa kontona, men misslyckades och fick helt enkelt lita på uppgifterna i Indian Express. Till slut lyckades en reporter på en engelskspråkig kanal ta sig in på en av de mindre känsliga adresserna och använde det han hittade som grund för tevesändningar hela dagen. Enligt Manu Pubby ska till och med regeringens högsta säkerhetsrådgivare redan samma dag ha kopplats in och fått rapporter om det inträffade. Däremot hölls ingen politisk ledare i Indien ansvarig för läckan. Vid den här tiden var det ännu okänt vad som orsakat den, och svenskens publicering betraktades som ett säkerhetshot från en utländsk källa. Uppmärksamheten lyfte samtidigt frågan om IT-säkerhet långt upp på den politiska agendan. Landets premiärminister Manmohan Singh ska, vid offentliga framträdanden en kort tid efter att nyheten exploderade, ha nämnt vikten av att hålla digital information säker, även om han inte direkt hänvisade till Dan Egerstad eller lösenordspubliceringen. Manu Pubby klarade sig utan åtal. Indisk polis frågade aldrig ut honom om varför han utnyttjat de från Sverige läckta lösenorden.75 Nätets smutsiga undersida
I den intensiva medierapporteringen kring lösenordslistan hamnade en viktig detalj snabbt i skymundan. Få journalister tog sig tid att reflektera över varför de känsliga uppgifterna hade kunnat fiskas upp ur Tor-nätet från första början. För Dan Egerstad, självutnämnd hackare och yrkesverksam säkerhetsspecialist, var den frågan det mest obegripliga av allting. Om en tjänsteman vid en myndighet i Teheran behövde läsa sin mejl när han var på resa så fanns det ingen anledning i världen att göra det via Tor. Säkra anslutningar, krypterad text, strikta regler och tekniska blockeringar kring elektronisk kommuni121
Svenska_hackare_till_tryck_20110222.indd 121
2011-02-22 11:16:33
svenska hackare
kation borde vara en självklarhet på den nivån, inte minst i ett land med så mäktiga fiender som Iran. I ett sådant fall gjorde Tor, som skickade breven genom system långt bortom regeringens kontroll, ingenting alls för att öka säkerheten. Det rev snarare upp stora hål i den. Tor skyddade nämligen inte informationen som skickades över nätverket, bara vem som var avsändaren och mottagaren. Nätverket gjorde det nästintill omöjligt att avgöra vem som kommunicerade med vem. Men, vilket Dan Egerstad nu bevisat bortom allt tvivel, själva innehållet i de mejl som skickades över nätverket låg vidöppet. Därför verkade det ytterst osannolikt att personerna bakom de knäckta kontona var de som använde Tor. Varför skulle de vilja hålla sin identitet hemlig när deras egna namn och mottagarens adress enkelt kunde utläsas av till- och från-fälten i mejlen? De är bara dumma, var Dan Egerstads första tanke. De förstår inte hur Tor fungerar, begriper inte att de lämnar lösenorden och själva breven vidöppna. »Idioter.« Men känslan av att förklaringen inte var så enkel fanns kvar. Visst kunde en eller ett par personer begå det misstaget, men inte alla. Inte överallt, inte på en så hög politisk nivå och framförallt inte samtidigt. Någonstans måste det finnas en annan förklaring. 3 000 användarkonton låg sparade på Dan Egerstads hårddisk. Att så många toppdiplomater samtidigt missförstått hur anonymitetsnätverket Tor fungerade var inte möjligt. Förklaringen nådde honom som ett knytnävslag i magen. Om inte diplomaterna själva använder Tor för att logga in på sina mejlkonton så måste det vara någon annan som gör det. Det enda rimliga var att informationen han snubblat över redan kontrollerades av någon annan, någon som tog sig in på de drabbade systemen i smyg och gjorde allt för att dölja sin verkliga identitet. Med den insikten föll bitarna på plats. Informationen som landat på den unge Malmöbons hårddisk läckte inte direkt från ambassaderna utan från en annan hackare, någon som redan skaffat sig tillgång till de topphemliga lösenorden på egen hand. Någon som brutit sig in på tusentals av världens mest topphemliga datorsystem och nu gömde sig i Tor-nätverkets virrvarr av anonyma anslutningar för 122
Svenska_hackare_till_tryck_20110222.indd 122
2011-02-22 11:16:33
ambassadhackaren från malmö
att tyst kunna förmedla den stulna och topphemliga informationen vidare. Dan Egerstad kände sig som en inbrottstjuv som märker att någon annan redan brutit upp ytterdörren. Tanken var svindlande. Det var någon annan som lyssnade. För en vanlig nätanvändare framstår internet som en relativt civiliserad plats. Visst stöter de flesta surfare på aggressiva kommentarer då och då. Visst kan skräppost där någon försöker kränga suspekt medicin eller potenshöjande medel vara oroväckande. Men bortsett från det, och en och annan kvällstidningslöpsedel om bedragare på Blocket, ser det mesta på webben ut att vara under kontroll. De vanliga sajterna fungerar smärtfritt och är lika väldesignade som vanligt. Det som lagras i lösenordsskyddade system framstår som låst för utomstående besökare. Det gratulationsmejl som en mormor i Borås skickar till barnbarnen i Stockholm på födelsedagen stannar mellan avsändare och mottagare. Samma sak gäller de kontouppgifter du själv skickar till din bank eller de interna företagsmejl som studsar bland PC-datorerna på din arbetsplats. När Dan Egerstad började granska det som rörde sig under ytan på Tor-nätverket var det som att vräka omkull en stenbumling i skogen. Ovansidan är torr och len, men när den vänds upp och ned blottas dess undersida, kletig av gyttja med maskar och gråsuggor. Han hade hittat ett parallellt nät byggt på en störtflod av stulna uppgifter. Vem som låg bakom det gick inte att se. Men ju mer han tänkte på det desto tydligare och mer skräckinjagande blev bilden. En massiv underjordisk databas av hackad information, stulen från diplomater, politiker och myndigheter världen över. Digitalt spionage av en sällan skådad kaliber. Teorin är i det närmaste omöjlig att bekräfta. De personer som kan tänkas använda Tor-nätet för att skicka stulen och topphemlig information fram och tillbaka över världen håller sig av förståeliga skäl så långt borta från offentlighetens ljus det bara går. Men några av reaktionerna på Dan Egerstads publicering ger ändå en antydan om att andra redan kände till luckan. Dagen efter publiceringen för123
Svenska_hackare_till_tryck_20110222.indd 123
2011-02-22 11:16:33
svenska hackare
sökte journalisten Kim Zetter vid tekniktidningen Wired ta kontakt med några av de hackade kontonas ägare. Till bland andra Ken Chan på det Hong Kong-baserade forskningsinstitutet One Country Two Systems skickade hon en kort varning om vad som hade inträffat och bad om en intervju. Mellan raderna i det hånfulla men sockersöta meddelande hon fick till svar dolde sig en kuslig sanning. from:
[email protected] Dear Kimsey, I really appreciate your concern for my email account. You are cute, and i love you. :) I look forward to be seeing you soon. Take care. Sincerely, Ken. Svaret hade skickats från en anonym Gmail-adress och kom alltså inte från Ken Chan själv. Ändå var det tydligt att avsändaren redan läst breven till forskaren i Hong Kong. Till och med adressen ken
[email protected] anspelade på den intervju journalisten hade bett om. Kanske hade skämtaren snabbt tagit tillfället i akt och loggat in på Ken Chans konto direkt efter att lösenordet offentliggjorts dagen innan. Kanske hade inkräktaren haft tillgång till kontot redan tidigare.76 Svarthattar och vithattar
Varför valde Dan Egerstad att publicera lösenorden öppet? Enligt honom själv ville han att säkerhetsluckan skulle åtgärdas. Det skulle sannolikt aldrig ha hänt om han bara raderat informationen, försökt glömma det han snubblat över och gått vidare. Men det fanns ännu ett alternativ. Lika enkelt som att publicera listan hade det varit att utnyttja informationen för egen vinning. Rätt köpare skulle betala bra pengar för att kunna läsa mejl till och från Irans utrikesdepartement. Intern korrespondens mellan indiska försvarsutvecklare vore guld värd för en konkurrent eller vapenhand124
Svenska_hackare_till_tryck_20110222.indd 124
2011-02-22 11:16:33
ambassadhackaren från malmö
lare som gör affärer med Indien. Dessutom skulle Dan Egerstad själv enkelt ha kunnat logga in på kontona, väl skyddad med teknik som Malmöhackaren behärskade, för att själv ladda hem korrespondensen som fanns lagrad där. Om han inför kontonas ägare kunde bevisa att han laddat hem deras hemliga dokument kunde han använt denna situation för utpressning. Sådana dataintrång sker, och det blir vanligare och vanligare att hackare utnyttjar sina tekniska kunskaper för att tjäna pengar. För att förstå varför detta aldrig var aktuellt för Dan Egerstad måste man förstå en grundläggande uppdelning mellan två typer av hackare. Den första gruppen har fått sitt namn efter hjälten i vilda västern-filmer som ofta känns igen på sin vita hatt. En vithatt, eller i hackarsammanhang »white hat hacker«, begår inte brott, skadar inte någon och tjänar inte pengar på brottslighet. Därmed inte sagt att en vithatt inte är en hackare. Även dessa personer lägger sina liv på att lära sig begå intrång i datorsystem, att komma åt lösenord, information och att hitta säkerhetshål som gör att data kan läcka ut. Men till skillnad från en »black hat hacker« använder vithattarna sina kunskaper för att rätta till felen. Många av dem arbetar som säkerhetsspecialister. De anlitas för att under kontrollerade former utföra penetrationstester, verkliga intrångsförsök med syftet att upptäcka säkerhetshål. När en vithatt upptäcker en säkerhetsbrist informerar han eller hon den drabbade. Först när en lagning av säkerhetshålet finns tillgänglig släpper hackaren information om säkerhetshålet. Black hats är den totala motsatsen, hackare som fullt medvetet begår grova brott med hjälp av sina datorer. Det kan handla om storskaliga dataintrång för nöjes skull, om en samlarmani kring lösenord och hemligstämplad information. Men också om rent kommersiell verksamhet, om utpressning och industrispionage. Vissa svarthattar tycks inte vara ute efter någonting annat än uppmärksamhet kring sitt alias på nätet. Det är dessa som saboterar webbsidor och utan egentligt syfte släpper långa listor med lösenord på nätet. Sådana figurer står för en mindre del av hackarkulturen och är inte särskilt väl ansedda, varken av de svarthattar som tjänar pengar på sina intrång 125
Svenska_hackare_till_tryck_20110222.indd 125
2011-02-22 11:16:33
svenska hackare
eller de vithattar som vill livnära sig på att täta säkerhetsluckor och förbättra säkerheten på nätet. Dan Egerstad såg sig själv som en »grey hat«, en gråhatt någonstans mitt emellan white hats och black hats. En sådan hackare har i regel samma mål som en vithatt, men är då och då beredd att tänja de juridiska gränserna för sin verksamhet. En gråhatt kan till exempel ge sig på ett datorsystem och identifiera dess luckor bara för att se till att de blir lagade. Vissa i denna hybridgrupp ser sig själva som en slags Robin Hood-typer som anser sig ha rätt att bryta mot lagar eftersom syftet är gott. Gråhatten vill väl, men vägrar att alltid hålla sig inom ramarna. Bilden av tonårshackaren som en digital rättvisekämpe i lagens utkanter härstammar från 1980-talet, då Hollywood fick upp ögonen för den nya subkulturen och började producera filmer och teveserier med unga datorgenier i huvudrollerna. Kanske mest uppmärksammad blev filmen Wargames, som hade premiär 1983. I den går huvudpersonen David Lightman, gestaltad av Matthew Broderick, från att hacka sig in i gymnasieskolans nätverk från sitt stökiga pojkrum till att vara på vippen att starta ett kärnvapenkrig genom att bryta sig in i superdatorn WOPR. Under filmens gång jagas han av sammanbitna FBI -agenter, flyr från en hemlig militärbas i Klippiga bergen, blir ihop med skolans snyggaste tjej och räddar till slut världen från undergång. Kanske ville Dan Egerstad uppnå någonting liknande med sin publicering. Han ville bli en hjälte, hackaren som räddar världen från de illvilliga skurkar som gömmer sig i nätets bakvatten. Det och mycket annat i Dan Egerstads berättelse skiljer honom från andra hackare. Ofta drivs de av en vilja att utforska och nästla sig in på platser där de inte är välkomna. I den mån de är intresserade av att dra uppmärksamhet till sig så görs detta ofrånkomligen till deras alter egon på nätet, aldrig deras verkliga personer. Dan Egerstad råkade bara snubbla över en säkerhetslucka som av allt att döma redan användes av någon annan. Han ville få ambassadernas mejlkonton säkrade – klassiskt white hat-beteende – och betonade om och om igen att han inte själv hackat något system för att komma 126
Svenska_hackare_till_tryck_20110222.indd 126
2011-02-22 11:16:33
ambassadhackaren från malmö
över uppgifterna. Samtidigt drevs han av en uppenbar lust att dra uppmärksamhet till sig själv och sin professionella verksamhet som IT -konsult. Därav beslutet att öppet lägga ut de uppgifter han kommit över på en webbsida, registrerad i sitt eget namn. Det är om inte kriminellt så åtminstone ett mycket kontroversiellt beteende – och typiskt för en grey hat. Dan Egerstad ställer sig inte helt på de präktigt laglydigas sida. Men inte heller vill han kopplas ihop med de direkt kriminella. Han befinner sig i gråzonen mellan dem och kan därmed hamna i konflikt med båda sidorna. När den första uppståndelsen hade lagt sig började svenska tidningar fråga etablerade experter vid de stora IT-säkerhetsbolagen om det verkligen var så smart att ge vem som helst tillgång till 100 topphemliga mejlkonton. Svaret blev, föga förvånande, nej. – Man kan tänka att starka politiska krafter kan använda det här i fel syfte, sa Per Hellqvist, säkerhetsexpert vid antivirusföretaget Symantec, och fick medhåll av flera kollegor.77 Efter våra intervjuer har vissa av Sveriges mest namnkunniga experter på IT-säkerhet uttryckt sig i nästan beundrande ordalag om Dan Egerstads bedrifter. Men i offentliga uttalanden var kritiken mot den unge säkerhetskonsulten stundtals mycket hård. Det gällde inte själva avslöjandet, även om det kan sägas ha kommit till genom en form av avlyssning. Det som rörde upp känslorna var att Dan Egerstad lagt ut sin lösenordslista öppet på nätet. Det var oansvarigt och helt enkelt för farligt, hette det. Dan Egerstad försvarade sig alltid genom att berätta om hur många ambassader han försökt ringa utan att få någon uppmärksamhet för sin upptäckt. Men faktum kvarstod: Det räckte med att något av de 100 lösenorden fortsatte fungera några minuter efter att han hade lagt ut dem på nätet så kunde vem som helst komma över stora mängder topphemlig information. Tid är en närmast obetydlig variabel här. Att logga in och ladda hem flera års lagrade mejl går mycket fort om angriparen sitter vid en snabb uppkoppling. Samtidigt utsattes Dan Egerstad för någonting som närmast liknade en hatkampanj från andra hackargrupper. I kommentarer på 127
Svenska_hackare_till_tryck_20110222.indd 127
2011-02-22 11:16:33
svenska hackare
nätet utmålades han som en uppmärksamhetstörstande nybörjare. Han gjorde det »för egen vinning, inget annat«, skrev någon. »I denna värld är cred och respekt allt. Först utföra gärningen för att sedan hävda att detta gjordes för att ›rädda världen‹ från alla onda hackers. Dubbelmoral!«78 När någon under julhelgen 2007 tog sig in på servern där fotbollsklubben IFK Göteborgs hemsida fanns lagrad så tillägnades hacket »Dan Egertard«, en hånfull lek med Dan Egerstads namn och det engelska ordet för efterbliven, retard. »Hoppas du brinner i helvetet«, var hackarnas hälsning till honom. Det fanns flera anledningar till att glåporden började hagla. Först och främst var Dan Egerstad sannolikt inte den första som upptäckt hur många topphemliga lösenord man enkelt kunde fiska upp ur Tornätverket – bara den första som bestämt sig för att prata om det offentligt. Det stora anonymiseringsnätverket kan ha varit en källa för insatta personer att ösa hemlig information ur under lång tid. Nu, när storföretag och ambassader febrilt undersökte sin egen IT-säkerhet i kölvattnet av Malmökillens publicering, fanns en risk att lösenordsfloden började sina. Stämmer det att inloggningarna Dan Egerstad såg inte var ambassadtjänstemän som läste sin mejl på ett klumpigt sätt utan andra hackare som utnyttjade Tor för att slussa hemligheter fram och tillbaka så sätter det händelsen i ett helt nytt ljus. Men det som kanske stack mest i ögonen var den häpnadsväckande uppmärksamhet den unga killen från Malmö fick från tidningar och debattörer över hela världen. Hans namn dök upp i nyhetsflödet från stora, internationella tidningar som Washington Post. I Australien tryckte en av Sydneys största tidningar en artikel som närmast kan beskrivas som ett idolporträtt under rubriken »The Hack of the Year«. Tidningen Wired bevakade utvecklingen i detalj. Sådan uppmärksamhet är drömmen för den som försöker skapa sig ett namn inom IT-säkerhet och få fler välbetalda uppdrag. Dan Egerstad ställde upp på intervjuer från alla håll, hade alltid en dramatisk one-liner på lager och eldade på uppmärksamheten om det han hade gjort. Etablerade säkerhetsföretag försöker göra samma sak hela tiden. Med jämna mellanrum släpper de rapporter och pressmeddelanden som 128
Svenska_hackare_till_tryck_20110222.indd 128
2011-02-22 11:16:33
ambassadhackaren från malmö
berättar om hoten på nätet och om hur bedragarna blir alltmer sofistikerade i sina metoder för att lura vanliga användare. Då och då får de en journalist att nappa, men ingen av dem har varit i närheten av den mediala bomb som Dan Egerstad skapade. Hans egen baktanke var inte svår att se. Uppståndelsen skulle göra honom till en stjärna, uppdragen skulle ramla in och fakturorna han skickade sina kunder skulle bli allt fetare. Dessutom visade Dan Egerstad aldrig minsta tvekan över att det han gjort varit rätt. På alla bilder från den här tiden, och det är en hel del, visar han antingen upp ett leende eller en fokuserad, skärpt blick. Det går knappt att hitta ett enda citat där han vacklar eller verkar rädd för det händelseförlopp han dragit igång. Med strålkastarljuset rakt i ansiktet växte han, och arbetade hårt för att få vara kvar på scenen i några minuter till. Kanske stämmer Dan Egerstads egen berättelse – publiceringen var noga genomtänkt och skedde i brist på andra alternativ. Men för många bar den unge IT-konsultens självsäkra leende en bismak av hybris. Han verkade se sig själv som osårbar, trots den juridiska gråzon han försatt sig själv i med hjälp av lösenordslistan. Karusellen fortsatte när Dan Egerstad, en och en halv vecka efter att lösenordslistan först publicerats, gick ut och avslöjade hur han hade kommit över allt ihop. Att det var just via Tor-nätet han hade upptäckt lösenorden hade Dan Egerstad inte berättat tidigare. Själv menar han i efterhand att det var för att ge ambassaderna en chans att rätta till felet först. Men beslutet att hålla på de kanske smaskigaste uppgifterna i hela historien, själva förklaringen till hur han gått tillväga, kan också ses som ett medvetet försök att hålla medierna på halster. Det nya avslöjandet gav mycket riktigt tidningarna ännu en berättelse att rapportera om, och återigen riktades ljuset mot Malmökillen. Samtidigt som stora delar av IT-världen slog volter av upphetsning över Dan Egerstads publicering fanns det en man som svor högt av irritation. Hans namn var Roger Dingledine, och det var han som hade skapat Tor-nätet. Roger Dingledine är en legendar i vissa kret129
Svenska_hackare_till_tryck_20110222.indd 129
2011-02-22 11:16:33
svenska hackare
sar. I sex år har han varit Tor-projektets chef och förgrundsfigur, och en återkommande gästföreläsare vid konferenser runt om i världen. Bland tekniker och foliehattar är han en hjälte, mannen som vigt sitt liv åt att skydda vårt privatliv på nätet. Men utanför de inbitnas skara är han i det närmaste helt okänd. Kanske beror det på hans framtoning. Vid första anblick ser Roger Dingledine ut som en karikatyr av en datornörd, med långt stripigt hår uppsatt i en tofs och tjocka, runda glasögon. Han går ofta klädd jeans, med en sliten ryggsäck över ena axeln och en illgrön t-shirt med en stiliserad Tor-logga över bröstet. När han pratar blandar han avancerade tekniska uttryck med intern hackarhumor och teknikerslang. För de som hänger med är han både underhållande och insiktsfull. För utomstående är han obskyr och svårbegriplig. Runt om i världen pratades det efter Dan Egerstads avslöjande mer om Tor än någonsin tidigare. Men i uppståndelsen framstod Roger Dingledines skapelse som ett ljusskyggt nät för spioner och gangsters snarare än ett verktyg för att göra världen bättre. Syftet med Tor var och hade alltid varit att underlätta anonym kommunikation, oavsett vilken typ av kommunikation det rörde sig om. Roger Dingledine visste mycket väl att hans skapelse inte kunde skilja på stulna e-postlösenord, hemlig kommunikation mellan näringslivstoppar eller känslig information som smugglades ut ur Kina av politiska dissidenter. Allt var bara information, ettor och nollor som behandlades likadant av tekniken oavsett vad de bar med sig för innebörd. Roger Dingledine visste också att den säkerhetslucka Dan Egerstad hade påvisat egentligen inte hade någonting med ett fel i Tor-nätet att göra. Att informationen i den trafik som slussades genom nätet kunde avlyssnas hade varit känt sedan starten. Det var just därför Roger Dingledine själv alltid påpekade att Tor var till för anonymisering, inte kryptering. Nätet gjorde det möjligt att dölja din plats på jorden men gjorde ingenting för att skydda innehållet i den information du skickade genom det. Tor-organisationen varnade sedan flera år tillbaka för just den typ av läckor som Dan Egerstad nu påvisat, via både sin webbplats och de instruktionsfiler som hörde nätverket till. 130
Svenska_hackare_till_tryck_20110222.indd 130
2011-02-22 11:16:33
ambassadhackaren från malmö
Men allt det var som bortblåst med Dan Egerstads beryktade lösenordslista på bordet. Runt om i världen gjorde nu representanter från Tor allt de kunde för att svara på frågor och bemöta kritik mot nätverket i forum, bloggar och chattkanaler. På många håll utmålades Tor som skurken i dramat, trots att nätverket självt inte bar skulden till det Dan Egerstads avslöjat. För Roger Dingledine var det tydligt att förtroendet för hans livsverk nu riskerade att bli rejält tilltufsat, helt i onödan. När vi träffar Roger Dingledine ett par år senare minns han fortfarande den uppmärksammade lösenordslistan tydligt. Han är på plats i Stockholm för att föreläsa om Tor på Internetdagarna, en konferens för den svenska webb- och internetbranschen. När vi ställer frågor om Dan Egerstad så spar han inte på krutet. – Det var någon tidning som utsåg honom till »the hacker of the year«, vilket känns väldigt märkligt. Det jag minns är att han aldrig, inte en endaste gång, tog kontakt med oss för att berätta vad han hade hittat. I mina ögon var han inte ute efter någonting annat än uppmärksamhet, säger Roger Dingledine. Hade Dan Egerstad velat förbättra Tor-nätet hade det varit en enkel match att ta kontakt med organisationens representanter, menar Roger Dingledine. – Jag vet fortfarande inte varför han valde att publicera. Det enda jag vet är att syftet inte var att göra Tor säkrare. Då hade han bara behövt höra av sig, säger han. Dan Egerstad försvarar sitt avslöjande med att det hjälpte till att täta en allvarlig säkerhetsbrist. Roger Dingledine håller inte med. Resultatet av publiceringen var inte ett säkrare internet utan att Tor smutskastades utan anledning, menar han. – Visst, allt som får folk att börja fundera över de här frågorna är bra. Men det handlar också om hur man väljer att vinkla det. Mycket av det som skrevs efter det handlade om att Tor gjort fel och det stämmer inte alls. Folk fick fel bild av vad Tor är och vill vara, säger han. – Jag har också hört talas om hemliga nätverk där spioner och gangsters byter hemligheter med varandra. Men det betyder inte att 131
Svenska_hackare_till_tryck_20110222.indd 131
2011-02-22 11:16:33
svenska hackare
de använder sig av Tor. Vi är en liten organisation som finansieras av donationer. Om maffian eller underrättelsetjänsten vill kommunicera anonymt så har de oändligt mycket större resurser än vad vi har. De har förmodligen redan byggt långt mer avancerade system än Tor som varken du eller jag känner till, fortsätter Roger Dingledine. Men den stora frågan kvarstår. Vad var det egentligen Dan Egerstad hittade djupt begravet i Tor-nätets gytter av anonym trafik? Vi måste fråga två gånger innan Roger Dingledine medger att han inte har något svar. Exakt vad som sker i Tor-nätets virrvar av anslutningar vet ingen, inte ens dess upphovsman och skapare. – Det är omöjligt att svara på. Jag vet faktiskt inte, säger Roger Dingledine.79 Ytterligare en som fick upp ögonen för historien om den svenska ambassadhackaren var amerikanen Hugh Thompson. Han är något så ovanligt som en talkshowstjärna i bästa Jay Leno-stil, men med ett program som helt och hållet handlar om datorer och IT. Programmet The Hugh Thompson Show, komplett med eget husband och entusiastisk studiopublik, sänds varje vecka på den amerikanska jätteoperatören AT&T:s webbsända tevekanal Tech Channel. Med sin begynnande flint och sina tunnbågade glasögon fyller Hugh Thompson rutan väl, med vilt gestikulerande och ett excentriskt högt röstläge. I oktober 2007 var Dan Egerstad gäst i programmet. Han hade fått frågan att resa till New York och medverka i programmet när han fortfarande satt hemma i Malmö. Han tackade ja direkt. Visst var han medveten om att det inte var riskfritt för honom att åka utomlands. Svenska myndigheter hade ännu inte visat några tecken på att inleda en rättssak mot honom, men andra länder kunde mycket väl betrakta hans lösenordslista som en allvarlig säkerhetsrisk. Det framgick inte minst av hur snabbt USA agerat för att få webbservern med lösenorden bortkopplad från nätet. Men lockelsen var för stor. Dan Egerstad packade sin väska och gick ombord på flyget till New York. Inga agenter väntade på honom vid gränsen och han släpptes in. Kanske var det först när han kom 132
Svenska_hackare_till_tryck_20110222.indd 132
2011-02-22 11:16:33
ambassadhackaren från malmö
till studion på Manhattan som han insåg vilken uppståndelse hans publicering hade väckt på andra sidan Atlanten. Hugh Thompsons husband hade skrivit en låttext till hans ära som sjöngs medan han till publikens applåder gick in på scenen och skakade hand med programledaren. De få kritiska frågor han fick framstod som pliktskyldigt ställda. Här var Dan Egerstad en stjärna, någon som överlistat världens säkerhetstjänster och öppet redovisade vem han var, vad han hade gjort och varför. Än en gång upprepade han svaren han gett så många gånger förr. Nej, han hade inte brutit mot några lagar. Ja, han ville bara få säkerhetshålet lagat. Hugh Thompsons entusiasm visste inga gränser. Dan Egerstad hyllades och ställde till och med upp och dansade till husbandets toner när eftertexterna rullade. När kamerorna hade stängts av följde svensken med programledaren för att äta middag. En hel grupp veteraner inom amerikansk IT-säkerhet hade samlats kring bordet. Dan Egerstad fick skaka hand med några av sina idoler och hela kvällen filosoferade de kring säkerhetsluckan han hittat. Här fick han stöd för sin tanke att det uppgifterna han hade hittat redan var stulna. »Det här är inte legitima inloggningar. Det kan inte vara det«, minns han att en av de närvarande sa. Det var en belåten Dan Egerstad som återvände hem till Malmö efter USA-resan. Kuppen såg ut att ha lyckats. Han hade blivit en världsberömd mästerhackare. Regeringar och storföretag över hela världen hade fått byxorna nerdragna av en tidigare okänd svensk ITkonsult. Lyckoruset varade till måndagen den 12 november, när han en kylig höstmorgon gick ner på gatan för att parkera om bilen. Tillslaget
Fortfarande yrvaken klev Dan Egerstad ner för trapporna knappt påklädd. Hans ljusa kalufs stod på ända och han försökte gnugga tröttheten ur ögonen. Som vanligt hade han blivit sittande framför datorskärmens ljus långt in på småtimmarna. Det var bilen som stod felparkerad och behövde flyttas senast klockan åtta. Så snart det var klart kunde han gå upp igen och somna om. 133
Svenska_hackare_till_tryck_20110222.indd 133
2011-02-22 11:16:33
svenska hackare
När han öppnade porten möttes han av fem civilklädda poliser med allvarliga miner. – Dan Egerstad? frågade en av dem. Malmökillen nickade förvånat till svar. Varför polisen valde att slå till mot hackaren först mer än två månader efter att han lagt ut lösenorden är ett mysterium. Om och om igen hade han helt öppet berättat vad han hade gjort och inte en enda gång hade han gjort någonting för att dölja sin identitet. Alla fakta fanns på bordet. Det enda rättsväsendet behövde göra var att slå fast om publiceringen kunde klassas som ett brott – eller en legitim åtgärd för att förbättra säkerheten på nätet. Men nu, två månader senare, stod de där utanför Dan Egerstads dörr och krävde att få söka igenom hans lägenhet. Poliserna kom inte från Malmöpolisen, i stället hade de fem poliserna kört ner till Malmö ända från Rikskriminalpolisens IT-brottssektion i Stockholm. Den centrala polismakten tar ibland hand om utredningar ute i landet som är så tekniskt avancerade att specialistkunskap behövs för att utreda dem. Dessutom hamnar grov organiserad brottslighet i regel i Rikskriminalens knä, liksom fall som är svåra att placera rent geografiskt. Till exempel när brottsplatsen kan sägas vara »på internet«. Men kopplingen till andra länders regeringar och ambassader – »främmande makt« som det kallas – gjorde också att den svenska polisen kopplade in Säkerhetspolisen. Minst en av de fem personerna utanför Dan Egerstads port den där novembermorgonen var en agent från Säpo. Samma personer följde med till polisstationen och deltog senare vid förhöret med Malmökillen.80 Säpo lade dock locket på och vägrar än i dag bekräfta att de var delaktiga i utredningen. Dan Egerstad fick lämna ifrån sig nycklarna till sin lägenhet. Han fördes till en civil polisbil, placerades i baksätet och kördes till polisstationen för utfrågning. Samtidigt började de kvarvarande poliserna gå igenom hans hem. De sökte efter datorutrustning, allt som kunde innehålla information om hur ynglingen använt det hackade mate134
Svenska_hackare_till_tryck_20110222.indd 134
2011-02-22 11:16:33
ambassadhackaren från malmö
rialet. Hade han samarbetat med någon? Vem hade fått se de läckta uppgifterna först? Arbetade han på någons uppdrag? Att hitta datorer i lägenheten var ingen utmaning. Dan Egerstads hem var fullt av teknisk utrustning. Där fanns externa lagringsenheter, en dator kopplad till teven som mest användes för att visa film och en bärbar arbetsdator. Intryckt i ett elskåp hittade poliserna en server med inte mindre än åtta hårddiskar. Systematiskt samlade poliserna in allt av intresse de kunde hitta i lägenheten. Utrustningen lastades i bilar och kördes tvärs genom Sverige till IT-brottsektionens lokaler i polishuset på Kungsholmen i Stockholm. Där kopierades innehållet på samtliga hårddiskar för att säkra bevis till en framtida rättegång. Dan Egerstads puls steg när polisbilen svängde in framför polisens tegelbyggnad i centrala Malmö. Ända sedan han tog beslutet att lägga ut lösenorden på nätet hade han vetat att det här skulle kunna hända. Samtidig var han fast i sin övertygelse: det var inget brott han begått. Lösenorden hade tryckts in på hans dator av andra. Han hade inte hackat något system, inte stulit någon information. Ändå satt han snart i ett av polisens förhörsrum och fick fråga efter fråga om vad han hade gjort och i vilket syfte. Inga av de utredare som var närvarande vid förhöret har i efterhand velat kommentera vad som sades. Men Dan Egerstads egen berättelse målar upp bilden av att poliserna gång på gång försökte bevisa att han själv hade loggat in på kontona, något han genom hela processen förnekat att han gjort. Det hade i sånt fall varit ett solklart fall av dataintrång, straffbart med upp till två års fängelse enligt svensk lag. Kanske hade det även räckt för att få den unge Malmöbon åtalad i något av de andra länder vars ambassader fanns med på lösenordslistan. På bordet i förhörsrummet låg utskrifter av sådant som Dan Egerstad hade publicerat på webben. Han fick, dokument för dokument, bekräfta att han var upphovsmannen bakom dem. Dan Egerstad har alltid hävdat att minst en av personerna från Säpo var närvarande vid förhöret, något som bekräftas av våra källor inom polisen. Frågorna Säpoagenten ställde vid förhöret ska ha 135
Svenska_hackare_till_tryck_20110222.indd 135
2011-02-22 11:16:34
svenska hackare
visat på betydligt större kunskap om datorer och teknik än de från den vanliga polisen, enligt Dan Egerstad. De rörde specifika tekniska detaljer om vilka program han använt och hur lösenorden hade filtrerats fram ur den gigantiska datamassa som passerade genom serv rarna i Tor-nätverket. Hur många servrar hade Dan Egerstad använt sig av? Vem hade hjälpt till med servrarna i USA och i andra länder? Själva ska Säpoutredarna ha varit mycket hemlighetsfulla, har Dan Egerstad berättat. – Vem är du? frågade han vid ett tillfälle en av de Säpoagenter som fanns med i förhörsrummet. – Du kan kalla mig Micke, blev svaret. Drygt två timmar senare var förhöret över och Dan Egerstad släpptes. Han lämnade förshörrummet, gick ut genom portarna på polisstationen och vandrade långsamt söderut genom Malmö. Det var kallt ute. Jackan hade Dan Egerstad glömt hemma. Han huttrade i den fuktiga novemberluften och höll armarna tätt inpå kroppen för att hålla värmen uppe. Väl hemma fann han en lägenhet barskrapad på teknik. Alla datorer och lagringsenheter som polisen hade kunnat hitta var bortplockade, inte ens Dan Egerstads arbetsdator fanns kvar. Hade hela situationen vält över ända? I ett slag hade hjälten som utmålats som godhjärtad och djärv hackare blivit föremål för allvarliga brottsanklagelser. Han stod utan datorer och hade blivit av med viktiga företagsdokument som han förvarat i lägenheten. Nu återstod bara att vänta på att rättsväsendet skulle tröska hans fall genom byråkratin. Ville det sig illa väntade ett fängelsestraff runt hörnet. Under dagarna som följde skulle medierna återigen fyllas av nyheter om ambassadhackaren. Reportern vid Sydney Morning Herald i Australien, han som utmålat Dan Egerstad som årets hackare bara några dagar tidigare, fick nu i hast skriva en ny text. Även från USA hörde reportrar av sig och hackaren fick ännu en gång tala ut om vad som inträffat. Men sedan uppståndelsen kring razzian lagt sig blev det tyst. De kommande åren hölls några ytterligare förhör. Förundersökningen flyttades runt mellan olika utredare hos polisen. 136
Svenska_hackare_till_tryck_20110222.indd 136
2011-02-22 11:16:34
ambassadhackaren från malmö
När poliserna gick igenom datorerna de beslagtagit i Dan Egerstads lägenhet dök ett nytt namn upp i förundersökningen. Fidde Arasimowicz, en muskulös Malmökille med rakat huvud och en örn tatuerad på bröstet. Dessutom en god vän till den brottsmisstänkte hackaren. I en loggad konversation på en av Dan Egerstads datorer kunde poliserna se hur Fidde Arasimowicz hade skickat över ett dokument med rubriken Operation Barnamord. Texten beskrev i detalj hur en terrorist skulle gå till väga för att döda varje barn i hela Halmstad, en slags manual för ett gigantiskt blodbad. Föga förvånande höjde poliserna på ögonen. Våren 2009 fick Fidde Arasimowicz ett samtal han inte hade väntat sig. En polisman ringde och meddelade barskt att han skulle infinna sig vid ett förhör. De hade hittat någonting som kunde vara besvärande för honom. På plats vid polisstationen i Karlskrona, vid ett bord med en polis från Rikskrim i Stockholm och en tystlåten Säpoagent, fick han veta vad det gällde. Fidde Arasimowicz kunde dock förklara sig. För polisen berättade han att han inte bara var intresserad av tatueringar och att lyfta skrot. Han var även blivande yrkesofficer, stationerad vid Blekinge flygflottilj utanför Ronneby. Dokumentet med rubriken Operation Barnamord hade han skrivit på Militärhögskolan i Halmstad, som en studie för att lära sig militärteoretisk strategi bortom den väster- och österländska konventionella bilden. Texten var inte på något vis hemligstämplad, och han såg ingenting konstigt i att visa den för en kompis över nätet. – Taget ur sitt sammanhang ser det rätt illa ut när man läser ett sådant dokument från Försvarsmakten. Det är ju en utbildning i hur exempelvis terrorister kan tänka. Vi skulle agera på ett icke-konventionellt sätt för att vända på det västerländska tankesättet och redovisa det i orderform. Tyvärr så förekommer sådant i verkligheten, berättar han för oss. Polismannen fortsatte med sina frågor medan mannen från Säpo teg. Loggfilerna de hittat hos Dan Egerstad visade också att de två hade chattat om Tor och om hur Dan Egerstad hade kommit över sina uppgifter. Fidde Arasimowicz svarade på deras frågor och beto137
Svenska_hackare_till_tryck_20110222.indd 137
2011-02-22 11:16:34
svenska hackare
nade att han inte hade någonting med uppgifterna som Dan Egerstad plockat ur Tor att göra. Det var bara ännu ett samtalsämne bland många, två vänner emellan. Efter en knapp timme var poliserna nöjda. Fidde Arasimowicz fick veta att han inte var misstänkt för någonting, lämnade förhörslokalen och hörde aldrig av dem igen.81 Dan Egerstad har ännu inte fått tillbaka den utrustning som polisen beslagtod vid tillslaget mot hans lägenhet. I skrivande stund har fortfarande inget åtal väckts. Det är inte särskilt förvånande eftersom Dan Egerstads publicering sätter frågan om dataintrång på sin spets. Kan man göra intrång i sin egen dator? Lösenorden hade ju strömmat in där av sig själva, visserligen som små strängar i en gigantisk informationsflod, men ändå utan att han tagit över något system eller brutit sig in där han inte var välkommen. Var det kriminellt att använda program för att filtrera information som ändå flödade genom den egna datorn för att få fram det mest intressanta? Svensk lag beskriver dataintrång som en handling där någon »olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling«. Är det olovligt att rota i sådant som skickas till en utan att man ber om det? Borde Dan Egerstad ha förstått att lösenorden fanns där för att någon annan redan hade stulit dem, och bröt han därför mot lagen när han befattade sig med stulet, om än digitalt, gods? Eller är det själva publiceringen, som mycket väl kunde hjälpa andra – kanske någon med mer illasinnade avsikter än han själv – att logga in och läsa diplomaters brev, som är olaglig? En uppfattning bland utredarna var att kammaråklagare Håkan Roswall, berömd inte minst från rättegången mot The Pirate Bay, inte själv var säker när han bestämde sig för att inleda en förundersökning. Två och ett halvt år efter tillslaget mot Dan Egerstads lägenhet har inget åtal väckts. Spionringen och spöknätet
Fingrar på ett tangentbord någonstans i världen skriver in ett stulet lösenord. En signal skickas iväg över internet, via hundratals sam138
Svenska_hackare_till_tryck_20110222.indd 138
2011-02-22 11:16:34
ambassadhackaren från malmö
mankopplade datorer och genom kablar som sträcker sig flera varv runt jorden innan den når sitt mål. Personen vid tangentbordet får tillgång till det knäckta mejlkontots innehåll. Allt sker via Tor, ett enormt nätverkt byggt för anonym kommunikation. Både det stulna lösenordet och innehållet i den knäckta mejlboxen kan läsas av någon med tillräcklig kunskap om hur internet fungerar. Men vems fingrar det är som smattrar över tangentbordet på andra sidan jorden går inte att slå fast. Användarens identitet är omöjlig att urskilja i Tor-nätverkets världsomspännande snårskog av anslutningar. Med största sannolikhet var det en serie av sådana händelser som Dan Egerstad snubblade över när han kopplade upp sina datorer för att avlyssna informationen som strömmade genom Tor. I dag ifrågasätter få att de lösenord som strömmade genom hans dator redan var stulna och utnyttjades av någon annan. Men en enorm fråga står fortfarande obesvarad: Vem var det som använde de stulna uppgifterna för att logga in på knäckta konton? Att enstaka lösenord kommer på avvägar är ingenting ovanligt. Men Dan Egerstad fiskade upp enorma mängder stulen information ur anonymiseringsnätverket. På kort tid fick hans program tag på flera tusen lösenord till topphemliga konton. Det är mycket osannolikt att enskilda individer hade letat upp dem och nu läste brev till Irans utrikesdepartement och den indiska försvarshögskolan för sitt eget nöjes skull. Omfattningen av Dan Egerstads upptäckt tyder på en enorm, systematisk och världsomspännande avlyssningsapparat som kontrollerades av någon eller några med betydligt mindre oskyldiga syften än experimentlusta och teknikintresse. I mars 2009 avslöjades just en sådan spionring, vilket gav en hisnande inblick i en av internets mörkaste hörn. En grupp forskare vid universitetet i kanadensiska Toronto offentliggjorde då en rapport om vad de kallade för GhostNet, spöknätet. Utredningen som ledde fram till avslöjandet hade inletts efter uppgifter från Dalai Lamas stab om att deras datorer betedde sig märkligt. Det är inte förvånande att hans exilregering är vaksam på tecken som tyder på att den övervakas. Som det självständighetssträvande Tibets andlige ledare 139
Svenska_hackare_till_tryck_20110222.indd 139
2011-02-22 11:16:34
svenska hackare
ses Dalai Lama som en fiende av regimen i Beijing. Sedan 1959 lever han i exil i norra Indien. Ännu på 2000-talet är striden mellan Kinas krav på kontroll av Tibet och tibetanernas vilja till självstyre en högst levande konflikt. De kanadensiska forskarna kunde snart slå fast att tibetanernas datorer hade infekterats av ett spionprogram som kallas Gh0st Rat, där Rat står för Remote Administration Tool. Det kan låta oskyldigt, men installerat på en dator mot ägarens vilja är det ett kraftfullt verktyg för avancerad avlyssning. Gh0st Rat kan spela in varje tangentbordstryckning, öppna datorns hela hårddisk för utomstående eller starta webbkameror och mikrofoner för inspelning – och skicka resultatet till angriparen som på tryggt avstånd kan luta sig tillbaka och se vad som händer framför den hackade datorn. I fiktionens värld har programmet en berömd motsvarighet. Funktionerna är närmast identiska med Asphyxia, mjukvaran som Stieg Larssons hjältinna Lisbeth Salander använder för att ta över sina offers datorer i Millenniumtrilogin. Upptäckten på tibetanernas datorer var sensationell, inte minst med tanke på att de flesta av servrarna som spionprogrammet rapporterade till låg i Kina. Men det slutade inte där. I tio månader kartlade forskarna i Toronto hur programmet spridits över världen innan de släppte sin rapport. Minst 1 295 datorer i 103 länder hade infekterats och kunde avlyssnas. Spåren ledde österut. Även dessa delar av GhostNet såg ut att kontrolleras av servrar i Kina.82 Det rörde sig om en mycket omfattande och sofistikerad attack, riktad direkt mot datorer som var toppintressanta för ett större lands underrättelsetjänst. Upp mot en tredjedel av de infekterade datorerna hörde till utrikesdepartement, ambassader, mediehus och stora frivilligorganisationer. Irans utrikesdepartement lyftes särskilt fram, liksom sju indiska ambassader, bland annat den i Washington.83 Förutom den tibetanska exilregeringen tycks Taiwan ha varit ett eftertraktat mål. Landet stod för den enskilt största gruppen med inte mindre än 148 infekterade datorer. Även USA hade fått ett stort antal datorer infekterade, och en maskin vid Natos Europahögkvarter i 140
Svenska_hackare_till_tryck_20110222.indd 140
2011-02-22 11:16:34
ambassadhackaren från malmö
Belgien kunde avlyssnas. Men i övrigt tycktes spionnätet fokusera på länderna i södra Asien, som en båge runt Kinas gränser. GhostNet beskrevs av forskarna som ett enormt spionnätverk med förgreningar över hela världen. Misstankar riktades direkt mot den kinesiska regimen, men trots att programmen kontrollerades via datorer i Kina var de kanadensiska författarna försiktiga med att slå fast vem som låg bakom GhostNet. – Det kan lika gärna vara CIA eller ryssarna. Det är en väldigt ljusskygg värld vi lyfter på locket till, sa Ronald Deibert, en av forskarna bakom avslöjandet. Han fick medhåll av företrädare för den kinesiska regimen som föga förvånande förnekade all inblandning i nätverket. I debatten som följde presenterades snabbt teorin att servrar i Kina hade hackats och att de användes för att kontrollera nätverket utan att deras ägare ens visste om det. Det skulle innebära att Kinas regering inte alls var inblandad och att förövarna kunde befinna sig i en helt annan del av världen.84 Likheterna mellan listan som Dan Egerstad lade ut på nätet 2007 och den som de kanadensiska forskarna sammanställde nästan två år senare är slående. Irans utrikesdepartement finns där och flera av ambassaderna är desamma. Dessutom ledde tre av de lösenord svensken hade kommit över just till konton knutna till dalailama.com, den tibetanska andlige ledarens officiella domän. Tor figurerar visserligen inte i den kanadensiska rapporten, men det är fullt tänkbart att de ljusskygga personerna bakom avlyssningen kom över lösenord till konton som de fortsatte att vittja, hela tiden via det välkända anonymiseringsnätverket. Sannolikt var dessa personer tillräckligt kunniga för att begripa att lösenorden därmed kunde hamna i andras händer. Men det spelar liten roll att stulen information stjäls en gång till. Nart Villeneuve, en av utredarna som avslöjade GhostNet, berättar att han mycket väl kände till Dan Egerstads lista när han granskade spionringen. Även han slogs av de många likheterna i vilka attackerna riktades mot. Däremot är han långt ifrån säker på att det var just GhostNet som Malmökillen hade ramlat över. 141
Svenska_hackare_till_tryck_20110222.indd 141
2011-02-22 11:16:34
svenska hackare
– Målen tycks vara liknande, men det finns flera grupper som agerar på liknande sätt och mot liknande mål, berättar han för oss i ett mejl. Gläntade svensken på dörren till en internationell spionhärva, kanske med kopplingar till någon av världens mäktigaste underrättelsetjänster? Det är inte bara det stora antalet ambassader och utrikesdepartement som Dan Egerstads lista och GhostNet har gemensamt. Även tidsmässigt stämmer de båda upptäckterna kusligt bra överens. Forskarna vid Torontouniversitetet har spårat de första infektionerna i nätverket till den 22 maj 2007. Det var strax därefter, under sommarmånaderna 2007, som de första lösenorden började fastna i Dan Egerstads servrar. Några säkra bevis för att det var just GhostNet som Dan Egerstad upptäckte finns inte, men om teorin stämmer så kunde spionskandalen ha stoppats redan 2007 – om de ansvariga på de drabbade myndigheterna och ambassaderna försökt spåra intrånget vidare i stället för att tysta ner det. När de kanadensiska forskarna släppte uppgifterna om den vidsträcka avlyssningen så beskrevs GhostNet som ett aktivt nät utan några tecken på att vara på väg att läggas ner. Slutet på showen
Dan Egerstad lutar sig tillbaka i sin högryggade skrivbordsstol. Han sitter i det nya kontoret, ett vitmålat rum på bottenvåningen av ett hus i södra Malmö, ett stenkast från Möllevångstorget. Kontoret är prydligt och rent. På hans skrivbord står bara hans bärbara dator, några kartonger splitter nya HTC-mobiler till kollegorna på företaget och två små, svarta högtalare som han stänger av medan vi pratar. Utanför är det vår i luften, sommaren 2010 börjar närma sig. Nästan tre år har gått sedan Dan Egerstad kopplade upp sina servrar för att lyssna av Tor-nätet och ramlade över den information som gjorde honom uppmärksammad världen över, men som också gjorde honom till föremål för en omfattande och pågående brottsutredning. Dan Egerstad själv är inte orolig för att bli åtalad. Däremot minns 142
Svenska_hackare_till_tryck_20110222.indd 142
2011-02-22 11:16:34
ambassadhackaren från malmö
han i detalj hur razzian gick till den där novembermorgonen. Det senaste förhöret med polisen hölls för ett halvår sen. Då hade han hittat en post-it-lapp i brevlådan med en begäran att ta kontakt med polisen. – De sa bara att »vi kan ingenting om datorer. Nu ska vi få det här överstökat, det ska gå fort«, berättar han. Det finns flera delar i den märkliga berättelsen som ingen öppet bekräftar utom Dan Egerstad själv. Till exempel ska Säpos utredare under det första förhöret ha förklarat det sena ingripandet med att andra länder börjat utöva påtryckningar mot Sverige för att få honom gripen. Kontakter med den indiska journalisten som loggade in på flera av kontona ska av polisen ha tolkats som att de två var sammansvurna. Dessutom ska en person som uppgav sig arbeta för Säpo ha ringt upp honom bara ett par timmar efter att hans flygbiljett till USA, för framträdandet i The Hugh Thompson Show, bokades. Mannen varnade honom för att åka. Hans säkerhet kunde inte garanteras i USA, ska han ha sagt. Kanske kommer några av dessa påståenden bekräftas eller dementeras när sekretessen kring den i skrivande stund ännu pågående förundersökningen hävs. Den unge Malmökillen ångrar fortfarande inte att han tryckte på knappen som skickade ut lösenorden på nätet, trots problem med rättsskipande myndigheter och den massiva kritiken från etablerade säkerhetsexperter och hackare. Glåporden tycks rinna av honom. Stolt visar han ett mejl från en kund som känt igen hans namn och frågar om det verkligen är den Dan Egerstad hon står i kontakt med. – Det är alltid kul med uppmärksamhet, säger han. Det är omöjligt att inte ana en viss besvikelse i hans röst. Den som söker efter Dan Egerstads namn på nätet kommer att få mängder av träffar. Långa diskussionstrådar och hundratals tidningsartiklar tillägnas det han gjort. Några av världens främsta experter på ITsäkerhet har uttalat sig om fallet. Vissa med beundran i rösten, andra i fördömande ordalag. Sommaren och hösten 2007 var Dan Egerstad namnet på allas läppar i IT-säkerhetsbranschen. Men det var några år sedan. I dag är Dan Egerstad egenföretagare 143
Svenska_hackare_till_tryck_20110222.indd 143
2011-02-22 11:16:34
svenska hackare
med ett litet IT-konsultföretag baserat i Malmö. Visserligen är kontoret han sitter i fräscht. Men det är ingen arbetsplats för en världsstjärna. Uppdragen han i dag utför åt sina kunder skiljer sig inte väsentligt från vad Dan Egerstad sysslade med innan han lade ut den ökända lösenordslistan på webben. Då publiceringen skedde jobbade Dan Egerstad hårt för att synas så mycket som möjligt. Men vad han än hoppades på för resultat av sina många utspel kring lösenords listan så har de stora effekterna uteblivit. På kontoret i Malmö rullar dagarna på som vanligt. – Några nya kontakter på nätet har det gett, vd:ar på stora antivirusföretag som man aldrig hade träffat annars. Det ser väl bra ut. Men rent affärsmässigt har det egentligen inte gett så mycket. Inga nya affärskontakter eller så, säger han. Än i dag finns Dan Egerstads lösenordslista kvar på webben. Hans egen sajt är nedlagd sedan länge, men över hela världen spreds listan blixtsnabbt på bloggar och i diskussionsforum, många av dem fortfarande aktiva. Med största sannolikhet är lösenorden nu ändrade och listan gör ingen skada. Att listan lever kvar är snarare att betrakta som en påminnelse om en av de senaste årens mest spektakulära säkerhetshändelser. Publiceringen kunde ha ställt till betydligt mer skada om Dan Egerstad hade lagt ut alla de uppgifter han säger sig ha hittat. Då skulle vem som helst ha fått tillgång till betydligt mer än de 100 konton han publicerade. Vilka de övriga företagen och myndigheterna som syntes i informationsflödet var vill Dan Egerstad inte avslöja. Han uppger att flera inloggningar, med lösenorden fullt läsbara, till mejlkonton hos stora, internationella medier syntes i loggfilerna. Vad han aldrig tidigare har berättat offentligt var att där även fanns försök till inloggningar hos en tidning som är minst sagt välkänd för en svensk publik. Veckorna innan han lade ut lösenordslistan såg Dan Egerstad hur Aftonbladets mejlservrar attackerades med tusentals inloggningsförsök. Om och om igen skickades nya lösenord, servern meddelade att de var felaktiga, men nästa sekund försökte användaren igen med 144
Svenska_hackare_till_tryck_20110222.indd 144
2011-02-22 11:16:34
ambassadhackaren från malmö
en ny gissning. Det var en tydlig signal om en pågående attack mot tidningens servrar. Metoden kallas »brute force«, råstyrka, och innebär att ett skyddat system bombarderas med inloggningsförsök i förhoppningen om att hitta rätt lösenord. Med hjälp av fritt tillgängliga program och en vanlig PC kan en hackare testa tusentals lösenordskombinationer automatiskt och på kort tid skaffa sig tillgång till ett låst system, förutsatt att lösenorden inte är för långa eller komplicerade. Klart var att någon försökte ta sig in på mejlkonton som tillhörde anställda på Aftonbladet. För att angriparna inte skulle kunna spåras skickades attackförsöket via Tor, och syntes därför när Dan Egerstad började spana i trafiken. Hur han skulle tolka att någon riktade en attack mot Sveriges största tidning visste Dan Egerstad inte då. Dessutom var andra uppgifter i informationsfloden betydligt mer intressanta, tyckte han. Men några månader efter att hans egen lösenordslista lagts ut på nätet hände något som kunde förklara attacken mot Aftonbladet. Det hade blivit vinter och svenskarna firade in det nya året 2008.
145
Svenska_hackare_till_tryck_20110222.indd 145
2011-02-22 11:16:34
Svenska_hackare_till_tryck_20110222.indd 146
2011-02-22 11:16:34
Dataintrång som sport »Total digital dödsanarki på alla håll«
Stockholm, 1 januari 2008.
Klockan hade passerat två på natten. Fyrverkerierna hade precis slutat smälla över huvudstaden. Berusade nyårsfirare vinglade hem genom Stockholmsnatten och tomma champagneflaskor skräpade på gatorna. Någonstans blinkade en webbserver till och gav ifrån sig ett dovt surrande i en annars tyst och nedsläckt serverhall. Internet under nyårsnatten påminner om Stockholms tunnelbana en tidig söndagsmorgon. Få kvällar är det lika glest på nätet, även de mest inbitna har annat för sig. Servern var TV3:s hemvist på nätet, webbplatsens ankare i den fysiska världen. I maskinen fanns den kod som utgjorde tevekanalens hemsida. Det var den som avgjorde hur sajten såg ut och fungerade, vad som visades för en besökare på www.tv3.se. Nu, bara timmar in på det nya året, hade den fått ovälkommet besök. Från någonstans i Sverige hade en anonym angripare anslutit till systemet med stulna inloggningsuppgifter. Nya instruktioner skickades till maskinen i serverhallen. Klockan 02:18 den 1 januari 2008 byttes TV3:s startsida ut mot ett hånfullt budskap. Sidan avslutades med ett hot: Det bör även tilläggas att vi inom kort kommer att bjuda på total digital dödsanarki på alla möjliga håll och kanter – Lev väl och välkomna in i det nya året! 85
147
Svenska_hackare_till_tryck_20110222.indd 147
2011-02-22 11:16:34
svenska hackare
Tevekanalens tekniker kallades in. Drygt tre timmar senare, klockan 05:31, var den värsta skadan reparerad. Den som på nyårsmorgonen gick in på tv3.se möttes i stället av en tom startsida. Hackarnas meddelande var bortraderat. Ytterligare ett par timmar senare var hemsidan helt återställd.86 Men det hotfulla budskapet var inte bara tomma ord från personer som hellre ägnade nyårsnatten åt att bryta sig in på webbservrar än att skåla in det nya året. Fler intrång skulle följa med samma signatur. Först ut var Sveriges största tidning. 148
Svenska_hackare_till_tryck_20110222.indd 148
2011-02-22 11:16:35
dataintrång som sport
Klockan närmade sig elva på kvällen den 2 januari 2008. Luften var kylig utanför Aftonbladets lokaler i södra Stockholm. Erik tittade ut genom fönstret.* Framför honom avtecknade sig Globen mot natthimlen, längre bort Johanneshovsbron och stadsljusen vid Södermalm och Hornstull. Stockholm var fortfarande yrvaket efter nyårshelgen. Men inne på Aftonbladets redaktion jobbade kvällspassets journalister som vanligt. Erik var reporter på sportredaktionen. Han satt vid fönstren längst in i lokalen och hade därmed bättre utsikt än de flesta av tidningens medarbetare. Den här kvällen var ett femtontal personer inne på sporten. Fyra reportrar, ett tiotal redigerare och redaktörer. Det var en långsam nyhetskväll. Sporten var på väg ut med kvällens sista webbnyhet. Den amerikanska sprinterkungen Justin Gatlin skulle överklaga sin dopningsavstängning hos det internationella friidrottsförbundet. Bakom Erik satt nöjesredaktionen. Deras sista publicering för kvällen skulle bli en grej om sommarens musikfestivaler, hårdvinklad på »festivalkriget« för att få till lite nyhetskänsla. Om ett par timmar skulle tidningens första morgonupplaga lämnas till tryck. Erik hamrade vidare på tangentbordet. Två minuter över elva plingade det till i mejlboxen. Han klickade fram den på skärmen och höjde på ögonbrynen. Anders Gerdin? Vad ville den avgående chefredaktören honom? On Wed, 02 Jan 2008 23:02:35 +0100 »Anders Gerdin« wrote: Grupprunk på personal toan om 10 min, dom som inte kommer får lägre lön och indragen semester. När en stor nyhetshändelse inträffar uppstår en speciell stämning på en tidningsredaktion. Ofta är TT först med informationen. En ny*
Erik heter egentligen någonting annat. 149
Svenska_hackare_till_tryck_20110222.indd 149
2011-02-22 11:16:35
svenska hackare
hetsflash, en korthuggen sammanfattning av det som hänt landar samtidigt hos alla tidningens medarbetare. Det går ett sus genom lokalen. En väl inarbetad arbetsprocess drar igång. Reportrarna lyfter sina telefoner, redaktörerna ropar ut artikelbeställningar och diskuterar vinklar. Tempot går från halvfart till högsta hastighet inom loppet av ett par minuter. Det här var ungefär likadant. Erik såg sig omkring i lokalen. Alla hade fått samma mejl, det förstod han direkt. Den sömniga kvällslunken ersattes av förvåning. Häpna leenden, vissa garvade högt. Någon busvisslade. Kollegor vinkade fram förbipasserande till sina datorskärmar. Skämtade Anders Gerdin? Svårt att tro. Bara två dagar tidigare hade han, efter tio år som chefredaktör på Aftonbladet, lämnat över rodret till sin efterträdare Jan Helin. Otänkbart att hans sista avsked till redaktionen skulle vara ett obscent sexmejl. Vad var det som höll på att hända?87 Oscar Edholm, Aftonbladets IT-chef, visste redan svaret på den frågan. Aftonbladets IT-avdelning satt i huset bredvid, sammanbundet med redaktionsbyggnaden via en gångbro. Här var aktiviteten febril. Det var inte Anders Gerdin själv som skickat mejlet. Tidningens datorsystem var utsatt för attack. Strax efter klockan tio på kvällen hade anonyma angripare offentliggjort mer än tusen användarnamn och lösenord för tidningens anställda på webbforumet Flashback. Bland de drabbade fanns flera av tidningens mest profilerade skribenter. Även Oscar Edholms eget användarkonto låg vidöppet för nyfikna besökare. Läckan var graverande. Vem som helst kunde logga in på de drabbade kontona, läsa anställdas mejl och skicka egna meddelanden i deras namn. Nästan omedelbart efter publiceringen hade tidningen fått tips om det inträffade. Men katastrofen var redan ett faktum. Hackare i systemet. Den värsta tänkbara mardrömmen för en ITansvarig. Ofattbara mängder känslig information kunde hamna i fel händer. Det dröjde inte länge innan Oscar Edholms telefon började ringa. Andra medier hade också fått tips om lösenordslistan och ville ha 150
Svenska_hackare_till_tryck_20110222.indd 150
2011-02-22 11:16:35
dataintrång som sport
svar. Stämde det? Vad hade läckt? Vad skulle de göra nu? Oscar Edholm var inte journalist, men att det här var en nyhet förstod han mycket väl. Strax efter midnatt publicerade TT sitt första telegram om intrånget. För en reporter på Sydsvenskan förklarade Edholm så gott han kunde vad som hade hänt: – Det är inte mejlservern som har hackats, som det påstås, utan den externa åtkomsten av intranätet. Och där har vissa haft samma lösenord som till mejlen, sade han. På frågan om det läckt ut några hemligheter hade han inget svar.88 Strax före midnatt drog tidningens tekniker i nödbromsen. Aftonbladets mejlsystem kopplades bort från nätet, alla anslutningar som inte kom inifrån huset stängdes ned. Det var en nödåtgärd för att ge lite andrum. Redan nu stod det klart att ett digert arbete låg framför Aftonbladets IT-avdelning. Samtliga lösenord måste bytas ut. En grundlig analys av intrången väntade. Hur hade hackarna tagit sig in? Hur kunde tidningen förhindra att det hände igen? Men inloggningsuppgifterna låg kvar på nätet, långt bortom Aftonbladets kontroll. Som IT-ansvarig var Oscar Edholm van vid att tjata på bolagets anställda om att ta IT-säkerhetsfrågor på allvar. Använd inte samma lösenord på flera ställen. Byt ofta, välj något mer svårknäckt än ett förnamn eller personnummer. Men han visste att människor sällan höll så hårt på företagets lösenordspolicy som de borde. Mycket riktigt visade det sig att flera av lösenorden till Aftonbladets datorsystem fungerade även på andra håll. Snart deklarerade Aftonbladets modeprofil Sofi Fahrman på sin Facebooksida att hon gillade »lättöl och porr«. Från Ian Vännman, känd för att uttala sig i tidningen om datorer och internet, skickades ett meddelande till en kvinnliga bekant med frågan »tar du den i tvåan?«. Tevechefen Elsa Falk fick sin profilbild utbytt mot ett obscent fotografi på en mansstjärt. På andra håll hånades Oscar Edholm för sitt val av lösenord: »Anakin«, Darth Vaders barndomsnamn i Star Wars-filmerna. Det dröjde inte länge innan hans glasögonprydda ansikte klippts in på filmskurkens kropp med ljussvärdet i högsta hugg. »May the password be with you«, löd undertexten. 151
Svenska_hackare_till_tryck_20110222.indd 151
2011-02-22 11:16:35
svenska hackare
Morgonen därpå hade den uppspelta stämningen på Aftonbladets redaktion förbytts i allvar. Nu började den verkliga omfattningen av attacken stå klar. Bortom skadegörelsen och pojkstrecken på Facebook fanns en betydligt allvarligare sida av det som inträffat. Källskyddet, journalistyrkets grundlagsskyddade ryggrad, hamnade snart i blickfånget. Det hade tagit knappt en timme för Aftonbladet att stänga ner sina mejlsystem efter att inloggningsuppgifterna offentliggjorts. Tidningen hade vid det här tillfället över 300 anställda journalister. Ingen visste hur länge hackarna hade haft tillgång till informationen innan den publicerades. Ingen visste hur många som hunnit logga in innan tidningen stängde ned systemen – eller vilka uppgifter som fanns lagrade på de drabbade kontona. Ett ofrånkomligt faktum stod klart för Aftonbladets journalister. Någon hade skaffat sig full tillgång till all mejlkommunikation in och ut från redaktionen. Anonyma källor kunde ha fått sin identitet röjd. En storm av frågor riktades mot Aftonbladet. – Vi kan inte garantera någonting, svarade tidningens informationschef Olof Brundin på en direkt fråga om huruvida källskyddade uppgifter hade hamnat i fel händer.89 Den svenska webbens stolta undersida
Attackerna mot TV3 och Aftonbladet de där nätterna i början av 2008 blev startskottet för den mest uppseendeväckande våg av dataintrång som Sverige någonsin utsatts för. Under några kalla vintermånader hackades flera miljoner användarkonton runt om i landet. Enorma mängder känsliga uppgifter läckte från några av Sveriges mest tongivande företag och webbsajter. IT-ansvariga arbetade dygnet runt för att täta intrången, säkerhetsexperter kallades in och miljoner kronor lades ner på att städa upp efter sporthackarnas framfart. De osynliga inkräktarna lyckades ta sig förbi till synes vilka spärrar som helst innan de ett par månader senare försvann spårlöst. De kallade sig för Vuxna Förbannade Hackare (VFH). Att de låg bakom intrången var svårt att ta miste på. Gruppens namn upprepa152
Svenska_hackare_till_tryck_20110222.indd 152
2011-02-22 11:16:35
dataintrång som sport
des gång på gång i de meddelanden som offentliggjorde attackerna mot både TV3:s hemsida och Aftonbladets intranät. På TV3:s hackade webbplats hade gruppen lämnat efter sig en slags programförklaring. Meddelandet var nästan överdrivet aggressivt till tonen: VÅRT MÅL ÄR ETT KREATIVT, KÄRLEKSFULLT OCH MER LEVANDE SAMHÄLLE ÄN DEN DEPRIMERANDE SÖRJA VI KLETAR RUNT I. MYNDIGHETER, SKOLOR, MEDIA, RELIGION OCH ANNAT SKIT SOM ENDAST FINNS TILL FÖR ATT KUVA DEN ENSKILDE INDIVIDEN – ALLT JÄMNAR VI MED MARKEN I HOPP OM EN BÄTTRE MORGONDAG. O SEN TYCKER VI SJÄLVKLART OM ATT JÄVLAS OCKSÅ.
Klockan 22:19 den 2 januari 2008 offentliggjorde VFH sitt intrång hos Aftonbladet i ett inlägg på webbforumet Flashback. En som reagerade lite extra var en av Oscar Edholms närmaste medarbetare, Aftonbladets tekniske affärsutvecklare Ian Vännman. Det var nämligen han som var avsändaren. Som för att vrida om kniven lite extra hade hackarna tagit sig in på hans Flashbackkonto och använt det för att gå ut med de hackade lösenorden: Att ändra förstasidan är standard och skittråkigt! Vi vill göra nått annat ist. Någonting ANNORLUNDA, NÅGONTING SOM TAR HÅRT . Vad sägs om att ge ut alla lösenord till alla anställda på aftonbladet till allmänheten så de också får läsa deras mail? logga in på aftonbladets intern-sidaoch tom koppla upp sig mot deras interna nät genom VPN? Skulle inte det varaannorlunda och inte så tråkigt? Därefter följde sammanlagt 1 030 lösenord till användarkonton som tillhörde Aftonbladets anställda. Förutom en rad profilerade skribenter fanns den avgående chefredaktören Anders Gerdin, tidningens 153
Svenska_hackare_till_tryck_20110222.indd 153
2011-02-22 11:16:35
svenska hackare
vd Carl Gyllfors, webbchefredaktören Kalle Jungkvist, informationsdirektören Olof Brundin och marknadsdirektören Pontus Ogebjer bland de drabbade. Påståendena i meddelandet var häpnadsväckande. I nästan två års tid sade sig VFH ha gått in och ut ur tidningens mejlsystem. Förutom full koll på alla mejl som flödade in och ut från Aftonbladet hade gruppen möjlighet att när som helst ändra tidningens löpsedel på webben, hävdade de. Även Aftonbladets annonssystem och tipstjänsten 71000 låg under angriparnas kontroll. Gruppen sa sig sitta på mängder av känslig information och varnade för att de när som helst kunde läcka den till allmänheten. Meddelandet avslutades med ännu ett hot. Språket påminde om det i texten från TV3-hemsidan. Vi äger faktiskt ganska mycket här på nätet. Myndigheter, tidningar, register, stora företag, banker whatever och vi kommer under året att bevisa det. Skribenterna på Flashback flockades kring uppgifterna som hungriga vargar. Åtta minuter efter att VFH lagt ut lösenorden kom det första svaret på nätforumet. Efter det strömmade inläggen in. Klockan 22:42 bekräftade signaturen Murdocen att inloggningsuppgifterna fungerade. Två minuter senare konstaterades att tidningens affärsutvecklingschef Helena Westin hade 404 olästa mejl i sin inbox och »en massa jävla julhälsningar«. Kort därefter redovisades innehållet i personaldirektören Bengt Olssons mejlbox offentligt. Tonen i diskussionstråden var i det närmaste euforisk. Aftonbladet hade fallit. Nu hyllades VFH som hjältar. »Respekt«, »Mycket imponerande!«, »Helt sjukt underbart!« var några av omdömena. Diskussionstråden blev snabbt den mest populära på Flashback. »Bra jobbat! Nu ska vi se om Aftonbladet verkligen vågar skriva att de själva blivit ägda«, skrev signaturen Teh_pwnerer klockan 22:53, en dryg halvtimme efter att inloggningsuppgifterna offentliggjorts. Två dagar senare fanns 2 785 svar i tråden. 154
Svenska_hackare_till_tryck_20110222.indd 154
2011-02-22 11:16:35
dataintrång som sport
För att förstå reaktionen på attacken måste man förstå Flashback – skrävlarnas tummelplats. Den svenska webbens stolta undersida. För de hackare som söker uppmärksamhet är det självklart att det är här intrång ska avslöjas och hemliga uppgifter läggas ut. Flashback är Sveriges överlägset största diskussionsforum, med fler än 400 000 registrerade användare och mer än 23 miljoner inlägg i arkivet. Mest känt är forumets skvalleravdelning. Det var här den misstänkta för barnamordet i Arboga hängdes ut med namn och bild kort efter polisens ingripande. När kvällstidningarna på sina löpsedlar berättade att en känd artist stod misstänkt för hustrumisshandel var det Flash backs användare som avslöjade att personen bakom rubrikerna var popstjärnan Papa Dee, som senare friades från en del av misstankarna men fälldes för ringa misshandel.90 Diskussionen på Flashback styrs av få men benhårda principer. Håll dig till ämnet, bryt inte mot lagen, skräpa inte ner med reklam, avslöja inte andra forumanvändares verkliga identitet. I övrigt är det mesta tillåtet.91 I forumet figurerar allt från nynazister till människor som försvarar pedofilers rättigheter, sida vid sida med hemmafixare som ställer frågor om målarfärg och kakel. Det är också på Flashback som uppspelta tonårshackare hetsar varandra till nya attacker och skryter om sina stordåd. I nästan femton års tid har Flashback fört ett arkiv över hackade webbsidor, både i Sverige och utomlands. I arkivet finns bland annat CIA:s hemsida som den såg ut den 20 september 1996, då svenska hackare lade upp texten »Stop lying Bo Skarinder« som en protest mot rättegången mot Swedish Hackers Association. Likaså är det kutym bland skandinaviska hackargrupper att lämna en eller flera länkar till Flashback på de sajter man tar sig in på. Vill man att hela Sverige ska känna till vem som blivit hackad är det här intrånget ska offentliggöras. Flashbacks historia sträcker sig lika långt tillbaka i tiden som det svenska internet. Under det tidiga 1990-talet drog journalisten och fanzine-redaktören Jan Axelsson igång tidningen Flashback, ett magasin tillägnat »undergroundkultur« som skulle utmana och våga röra om i grytan. Syftet var att ifrågasätta och provocera, att värna 155
Svenska_hackare_till_tryck_20110222.indd 155
2011-02-22 11:16:35
svenska hackare
om yttrandefriheten i en värld som Jan Axelsson tyckte blev alltmer benägen att göra inskränkningar på området. Särskilt många tidningar blev det aldrig. Fyra nummer av Flashback gavs ut mellan 1993 och 1997. Kanske mest uppmärksammat blev det tredje, där Jan Axelsson publicerade namn, adress och telefonnummer till ett stort antal dömda våldtäktsmän. Några av de utpekade anmälde Flashback för förtal och Jan Axelsson dömdes i hovrätten att betala 50 000 kronor i skadestånd för psykiskt lidande. I stället fokuserade Jan Axelsson på det framväxande internet. 1995 lanserades nyhetsbrevet Flashback News Agency som snabbt blev ett av landets mest lästa med över 120 000 prenumeranter.92 Ett återkommande inslag var länkar till hackade sajter. Fler tjänster följde: ett webbhotell som erbjöd utrymme till »personer, organisationer och andra som av olika anledningar haft problem att hitta någonstans att ha sina hemsidor«, tjänster för anonym webbsurf, verktyg för att skapa falska personnummer och annat. I juni 1998 gav Jan Axelsson, genom det nybildade skivbolaget Flashback Records, ut skivan »Uffe was a Nazi!«. Där samlades gamla inspelningar med popstjärnan Ulf Ekberg, som innan framgångarna med popgruppen Ace of Base varit aktiv i rasistiska och nynazistiska punkband. I maj 2000 startades Flashbacks diskussionsforum. Det blev snabbt den självklara mötesplatsen för svenska nätanvändare med ett intresse för webbens undersida. Redan från starten var Flashback en retsam nagel i ögat på det svenska etablissemanget. År 2000 försvann sajten från nätet under drygt sju månader efter påtryckningar från S-politikern Björn Fries. Bakgrunden var den nynazistiska organisationen Nationalsocialistisk front, vars hemsida drevs på Flashbacks webbhotell. Tre år senare fälldes Flashback i marknadsdomstolen för att ha länkat till sajter som sålde olagliga piratkort för avkodning av kabelteve. Dusterna med rättvisan cementerade bilden av Jan Axelsson som det fria ordets kanske mest outtröttlige förkämpe. I februari 2001, under samma period som Flashback var bortkopplat från internet, tilldelades han det svenska Mensapriset »för det idoga kämpandet för oinskränkt yttran156
Svenska_hackare_till_tryck_20110222.indd 156
2011-02-22 11:16:35
dataintrång som sport
defrihet trots häftiga protester från såväl myndigheter och media som den allmänna opinionen«. Aftonbladet har alltid varit ett kärt diskussionsobjekt på forumet. Under åren har debattörerna på Flashback odlat ett sällsamt hatkärleksförhållande till kvällstidningen och dess läsare. Att klaga på Aftonbladets reportrar är en favoritsysselsättning, att peka ut faktafel och anklaga »Aftonhoran« för att fara med osanning närmast slentrian. Samtidigt är forumskribenterna av allt att döma bland kvällstidningens mest flitiga läsare. I en av forumets mest välbesökta trådar har en grupp hängivna skribenter ända sedan i april 2007 hjälpts åt att lägga ut låst material från aftonbladet.se och dagens tidning i digitalt format. »För att rädda träd!« som trådskaparen Spermhare skriver. I april 2010 låstes tråden eftersom det bröt mot forumets regler, enligt Flashback efter påtryckningar från tidningen. Då hade diskussions tråden 12 008 inlägg som hade visats över två miljoner gånger. »Det är vårt allra heligaste«
Inne på Aftonbladets redaktion var tidningens reportrar först osäkra på hur dataintrånget skulle hanteras. Var det läge att haka på nyheten med uppföljningar? Kanske bättre att tiga ihjäl det hela? Bara ett par timmar efter attacken var mediedrevet i full gång. Landets största tidningar fylldes av artiklar om intrånget. Även Aftonbladet bestämde sig snart för att anfall var bästa försvar. I en stort uppslagen artikel dagen efter intrånget informerade tidningen sina läsare om att intrånget nu var föremål för en polisanmälan. Den följdes av en intervju med Oscar Edholm som pedagogiskt förklarade för läsarna vad som hänt. Dagen därpå sträckte chefredaktör Jan Helin ut en hand. »Aftonbladet bjuder in hackare på kaffe«, var rubriken i tidningen den 6 januari 2008. Jan Helin hade bestämt sig för att ta tjuren vid hornen. Han var intresserad av att förstå hackarna, skrev han. Vad som drev VFH att ge sig på Aftonbladet? Vad det var som gjort dem så upprörda? Klockan tre på söndagen och måndagen lovade han att 157
Svenska_hackare_till_tryck_20110222.indd 157
2011-02-22 11:16:35
svenska hackare
vara tillgänglig för ett möte. Det skulle bli kaffe, bullar och en diskussion om Aftonbladets roll och ansvar i samhället: Jag bläddrar i de senaste dagarnas tidningar som jag varit ansvarig utgivare för och försöker se vad som gjort VFH så förbannade. Är det vårt avslöjande av biståndsskandalen i Tanzania? Är det storyn om att några av Sveriges mest kända personer kommer att vittna i ett våldtäktsmål mot en svensk världsstjärna? Är det vår ingående skildring av tragedin i Rödeby? Vårt avslöjande att hemliga försvarsdokument legat och skräpat på ett bibliotek? Är det de skakande bilderna på popikonen Britney Spears när hon förs i ambulans till psyket? Vår förbehållslösa och översvallande glädje över Charlotte Kalla? Jag är nytillträdd chefredaktör för Aftonbladet och på riktigt intresserad av vad i vår journalistik som gör Vuxna Förbannade Hackare så upprörda att de begår brott. Därför säger jag så här: Kom och hälsa på mig på redaktionen i dag klockan 15.00, eller på måndag samma tid. Vi kan göra något så omodernt men mysigt som att dricka eftermiddagskaffe. Jag ska med spänning lyssna på er och förklara hur jag ser på saken. Chefredaktören avslutade med ett löfte om att hackarna skulle få vara anonyma. Utspelet eldade på snacket om intrånget. På Flashback möttes inbjudan av förvåning. Vem trodde Jan Helin att han var? VFH hade ägt Aftonbladet, visat bortom allt tvivel vem som bestämde. Enligt god hackartradition skulle tidningen nu lägga sig platt och erkänna sig besegrad. I stället gick Jan Helin på offensiven, utmålade hackarna som skurkar och försökte dra igång en debatt om rätt och fel. 158
Svenska_hackare_till_tryck_20110222.indd 158
2011-02-22 11:16:35
dataintrång som sport
Dessutom – var chefredaktören ärlig i sitt utspel? Skulle poliser stå gömda i Aftonbladet-huset, redo att gripa hackarna så fort de klev in på redaktionen? Och framför allt, skulle någon nappa på inbjudan? Föga förvånande dök ingen upp. Jan Helin fick dela bullarna med en ensam frilansfotograf som begett sig till redaktionen i jakt på ett scoop. Men kanske blev utspelet ändå en pr-seger. I texten framställs VFH i det närmaste som terrorister. Aftonbladet, Jan Helin själv och tidningens läsare utmålades som offer för vandaler och brottslingar: VFH :s nya uppgifter visar ytterligare en sak: De kan nu ha
tillgång till information som är källskyddad enligt svensk grundlag. På ren svenska: journalisters kontakter med källor. Det är vårt allra heligaste. I den stund Vuxna Förbannade Hackare skulle få för sig att sprida sådan information riktar sig deras attack inte längre mot Aftonbladet. Då är det dig som medborgare VFH ger sig på. Din rätt att vara skyddad som källa om du vänder dig till en journalist för att få en orättvisa eller oförrätt granskad. I texten gav chefredaktören sken av att Aftonbladet togs på sängen av intrången, att attacken var plötslig och oväntad som en blixt från klar himmel. Men i själva verket visste Aftonbladet betydligt mer om intrången och angriparna än man signalerade utåt. Redan två år tidigare hade de första attackerna skett mot tidningens datorsystem. De hade varit föremål för en omfattande utredning, både hos polisens IT-brottsrotel och tidningens egna teknikexperter. Mycket i den senaste attacken pekade på kopplingar till det tidigare fallet. I takt med att Oscar Edholm och tidningens IT-avdelning fortsatte gräva pekade spåren allt längre bakåt i tiden, till en sommarkväll 2006. Då, som nu, hade tidningens IT-avdelning väckts till en plötslig kris situation mitt i natten.
159
Svenska_hackare_till_tryck_20110222.indd 159
2011-02-22 11:16:35
svenska hackare
Stockholm, 18 juni 2006
Den första attacken mot aftonbladet.se hade inträffat redan sommaren 2006. Den gången var det Martin, säkerhetsexpert på företaget Sentor, som blev först att slå larm.* Han arbetade hemifrån, uppkopplad mot Sentors nätverk och vidare ut mot kunderna från sin lägenhet i Stockholm. Den här morgonen hade han nattpasset. Aftonbladet stod på bevakningslistan. Martin var en digital säkerhetsvakt. Hans uppgift var att bevaka och skydda, se till att upptäcka och slå larm om eventuella försök att stjäla kundernas känsliga information innan det var för sent. På datorskärmen framför honom rullade löpande information om all trafik in och ut ur de system han satts för att övervaka. Den där tidiga sommarmorgonen i juni ringde larmklockorna för fullt. Sentor är ett av Sveriges mest välrenommerade säkerhetsföretag. Bolaget grundades 1998 och har i dag kontor i Stockholm, Malmö och London. Sentors specialitet är övervakning, djuplodande säkerhetsanalyser och utredningar av omfattande dataintrång. Säkerhetsföretag som Sentor är IT-världens privatspanare som kallas in i hemlighet av storföretagen för att rensa upp när det otänkbara har inträffat. När Socialdemokraternas intranät utsattes för intrång inför riksdagsvalet 2006 var det Sentor som fick uppdraget att utreda incidenten. Bolagets exakta kundlista är av naturliga skäl belagd med tung sekretess. Sentors uppdragsgivare skyltar ogärna med vad de råkat ut för. Ett av Sentors erbjudanden heter Säkerhet 24/7. Det innebär att företagets experter övervakar kundens system dygnet runt. Händer något oväntat analyseras det i detalj av den jourhavande teknikern. Bedöms intrånget vara äkta genomförs en rad tester och säkerhetsexperten slår larm om det inträffade. Det var just en sådan incident som dök upp på Martins datorskärm den natten. Strax efter treslaget på morgonen, söndagen den 18 juni 2006, larmade Sentors övervakningssystem om ett misstänkt intrång i servern *
Martin vill inte figurera med sitt namn i boken och heter egentligen någonting annat.
160
Svenska_hackare_till_tryck_20110222.indd 160
2011-02-22 11:16:35
dataintrång som sport
transfer3.aftonbladet.se, en av knutpunkterna i Aftonbladets annonssystem. Hemifrån gjorde Martin en snabb analys av det inträffade. Okända angripare hade lyckats ta sig in på annonsservern och fått kontroll över systemet. Vilka uppgifter som läckt ut var fortfarande oklart, men att intrånget var värt att ta på allvar rådde det ingen tvekan om. Transfer3 var den server som Aftonbladet använde för att kommunicera med och ta emot filer, till exempel annonsmaterial, från reklamköpande kunder. Martin fortsatte sin analys av intrånget, samtidigt som solen kröp allt högre upp på himlen. Bara ett par timmar senare ringde telefonen hos Aftonbladets Ian Vännman. I andra änden fanns en av Martins kollegor på Sentor. Meddelandet var kort och koncist: Transfer3 hade blivit hackad. Från klockan två på morgonen och framåt hade flera olika ip-adresser anslutit till tidningens system. Av allt att döma hade de inget där att göra. Ian Vännman agerade snabbt. Han informerade Aftonbladets ITchef Oscar Edholm om vad som inträffat. Även Anders Bjarby på företaget Infomaker, som byggt Aftonbladets annonssystem, kopplades in i utredningen. Tillsammans började de nysta i loggfilerna från Transfer3. Först gällde det att förstå exakt vad som inträffat. Efter det skulle säkerhetshålen tätas. Det stod snart klart att angriparna tagit sig långt in i tidningens datorsystem. De hade gjort sig till superanvändare med full tillgång till funktionerna på annonsservern, vilket i sin tur gav tillgång till mängder av känsligt material: korrespondens mellan Aftonbladet och tidningens annonskunder, bilder, texter och annat material som skickades till tryck. Åtminstone i teorin hade hackarna under natten haft full möjlighet att publicera eget material på annonsplats i Aftonbladet, både i den tryckta tidningen och på webben. Tipstjänsten 71000, dit läsare kunde skicka anonyma nyhetstips till tidningen, låg också under hackarnas kontroll. Det gav dem insyn i korrespondensen mellan Aftonbladet och hemliga uppgiftslämnare. »Läsa nyheterna före alla andra«, som Vuxna Förbannade Hackare skadeglatt konstaterade vid ett senare tillfälle. Aftonbladets egen ut161
Svenska_hackare_till_tryck_20110222.indd 161
2011-02-22 11:16:35
svenska hackare
redning slog fast att inloggningsuppgifterna hade spridits vidare till andra personer natten efter intrånget, troligen via webbforum eller i chattkanaler. I Aftonbladets loggfiler syntes tydligt hur ip-adresser från Kina, USA och Tyskland kopplat upp sig och rotat runt på annonsservern dagarna efter intrånget. Dessutom hade de sannolikt kommit över de inloggningsuppgifter som Aftonbladets kunder använde för att ladda upp annonsmaterial till Transfer3. Risken var överhängande att obehöriga inkräktare nu rotade runt på konton som tillhörde Aftonbladets annonsköpande kunder. Vem visste vilka andra system som lösenorden fungerade i? Privata mejlkonton? Interna företagsnät? När Oscar Edholm och de andra på tidningens IT-avdelning summerade sin utredning verkade det hela nästan ofattbart. I hemlighet hade hackarna grävt sig långt förbi säkerhetsspärrarna och slagit rot, som ett ogräs, djupt in i tidningens datorsystem. Oscar Edholm stod inför ett dilemma. Det var dags att låsa porten. Att hindra hackarna från att fortsätta rota runt i systemen var högsta prioritet. Men hur skulle han gå tillväga? Att helt koppla bort tidningens förbindelser med omvärlden var otänkbart. Då skulle Aftonbladets webbsajt stå stilla, kontakten med tryckeriet brytas och reportrarnas mejl vara otillgänglig. Samtidigt kunde han inte lämna allt för mycket öppet eftersom risken för att hackarna skulle upptäcka nya kryphål då skulle öka. Det var den IT-ansvariges ständiga balansgång. Hur mycket säkerhet kunde han kosta på sig innan verksamheten slutade fungera? Det bestämdes att åtminstone tipstjänsten 71000 och tidningens annonsflöden skulle isoleras. Samtliga externa konton som kunde användas för att ladda upp eller ned material från Transfer3 kopplades bort och nya lösenord mejlades ut till användarna. Oscar Edholm gav Infomakers utredare den mödosamma uppgiften att gå igenom annonssystemet i jakt på nya säkerhetsluckor. Men att helt koppla bort systemen vågade han inte. »Jag låter det vara uppe och har säkrat upp allt som jag kan hitta«, skrev han senare i en rapport till polisens utredare. Samtidigt fortsatte utredningen av attacken. Annonsserverns log162
Svenska_hackare_till_tryck_20110222.indd 162
2011-02-22 11:16:35
dataintrång som sport
gar finkammades i jakt på spår efter angriparna. På ett kinesiskt diskussionsforum hittade Anders Bjarby på Infomaker exakt samma kod som hackarna lämnat efter sig på Aftonbladets servrar, komplett med instruktioner för hur den skulle användas. Till och med filnamnen som använts var likadana som på den kinesiska sajten. Av det drog Anders Bjarby en omedelbar slutsats. Det var inga proffs som Aftonbladet hade att göra med, snarare nyfikna tonåringar som gett sig ut på alldeles för djupt vatten. I korrespondensen mellan Infomakers och Aftonbladets utredare utmålades hackarna som töntar och »script kiddies«, nedlåtande slang för hackare som förlitar sig på färdigskrivna kodsträngar och andras hårda arbete i sina attacker.93 Snart kom nästa genombrott. I loggarna från den hackade annonsservern lyckades Anders Bjarby isolera två ip-nummer. Båda kom från Sverige, båda hade anslutit till Aftonbladets annonsserver under natten till den 18 juni i samband med att attackerna satte igång. Vad ännu bättre var: den ena ip-adressen ledde till en webbsida. Därifrån var det en enkel match att leta sig vidare. Med hjälp av adressregistret nic.se hittade Anders Bjarby ett namn på sajtens ägare. Ett par googlingar senare började bilden av den misstänkte stå klar. Det var en man, 29 år gammal, bosatt i en mindre ort i Småland. Dessutom: Anders Bjarby konstaterade att han varit aktiv i ett antal Linux- och hackarforum på nätet där diskussionerna om säkerhetsbrister och dataintrång gick varma. Var det här hjärnan bakom alltihop? Allt verkade stämma. Anders Bjarby lade ihop pusselbitarna och hade snart en teori klar: 29-åringen hade snubblat över verktygen som använts mot Aftonbladet på ett webbforum och bestämt sig för att prova själv. Anders Bjarby mejlade sina fynd till Oscar Edholm på Aftonbladet. Med all säkerhet skulle ett rejält skrämselskott räcka för att få stopp på angreppen, menade han. Lyckades tidningen få till ett erkännande så skulle allt vara löst: Mitt förslag är att någon på Aftonbladet juridiskt kunnig person kontaktar [mannen i Småland], får hans knän att skaka och tänder att skallra samt ber honom om information 163
Svenska_hackare_till_tryck_20110222.indd 163
2011-02-22 11:16:35
svenska hackare
om var han fått tillgång till den här informationen och på vilket sätt han har nyttjat den samt om han känner till om och hur och när andra har utnyttjat den. På så sätt bör vi (om vi vill) kunna rota djupare i det här ärendet och kanske kunna komma åt själva källan. Riktigt så hårt gick inte Oscar Edholm fram. Men uppgifterna om den misstänkte lämnades ändå till polisen tillsammans med en anklagelse: 29-åringen var »i högsta grad inblandad« i intrånget, slog IT-chefen fast. Den 30 juni 2006, knappt två veckor efter de första larmen om intrånget i Aftonbladets datorsystem, lämnade Oscar Edholm in en polisanmälan till söderortspolisen i Stockholm. Ärendet hamnade hos Jim Keyzer, IT-brottsutredare vid länskriminalpolisen i Stockholm. Han var en erfaren utredare med några av de senaste årens mest uppmärksammade IT-brott i sin meritförteckning. Jim Keyzer var en av dem som utredde fildelningssajten The Pirate Bay och skulle få en central roll när härvan kring bedrägerierna mot Nordeas nätbank nystades upp i början av 2007. Under sensommaren och hösten gick Jim Keyzer igenom loggarna från intrånget, pratade med Aftonbladet och Infomakers utredare för att skaffa sig en bild av det inträffade. Det var ett omfattande detektivarbete med ett enda syfte, att hitta spår som ledde fram till en ensam dator och personen bakom tan gentbordet. Jim Keyzer drog snart samma slutsats som Anders Bjarby på Infomaker hade gjort: det bästa spåret var de två ip-nummer som han lyckats identifiera och plocka fram ur den hackade serverns loggfiler. Jim Keyzer ville dock bekräfta det hela på egen väg innan han gick vidare. Som polisman hade han befogenheter som Aftonbladets egna utredare saknade och kunde därför begära ut information om de misstänkta ip-adresserna direkt från bredbandsoperatörerna. Den ena visade sig leda till säkerhetsföretaget Sentor – det stämde med uppgifterna från Aftonbladet om att Martin var den som först upptäckt intrånget. Hans egna tester den där natten den 18 juni hade sannolikt gett avtryck i annonsserverns loggar. 164
Svenska_hackare_till_tryck_20110222.indd 164
2011-02-22 11:16:35
dataintrång som sport
Den andra ip-adressen var registrerad hos Bredbandsbolaget och ledde till den 29-åring som Aftonbladet redan pekat ut i sin internutredning. Uppgifterna stämde på pricken med vad Anders Bjarby på Infomaker hade fått fram tidigare under sommaren. Bredbands abonnemanget var registrerat på en man med samma namn, bosatt på samma ort. Hans dator hade anslutit till Aftonbladets annonsserver samma natt som intrånget genomförts. Dessutom hade han IT -säkerhet och Linux som specialintresse. Men till skillnad från Aftonbladets utredare var rättsväsendet inte redo att peka ut 29-åringen som en misstänkt gärningsman riktigt än. Klart var att hans dator spelat en roll i attacken mot Aftonbladet – att den hade använts för att ansluta till tidningens system stod bortom allt tvivel – men att 29-åringen själv suttit bakom tangentbordet fanns det än så länge inga bevis för. Den 1 december 2006 bestämde Jim Keyzer att det var dags för ett förhör. Åklagaren hade bestämt sig för att inte peka ut 29-åringen som misstänkt riktigt än. Förhöret skulle i stället handla om hans datorutrustning och den misstänkta ip-adressen, med syftet att få klarhet i varför de båda hade dykt upp i loggarna från Aftonbladets system. Innan det fanns mer bevis att gå på fick brottsmisstankarna vänta. Jim Keyzer lyfte på luren, slog numret och väntade. Några signaler gick fram, sedan hördes en röst i den andra änden. Polismannen förklarade kort vad ärendet rörde. Mannen berättade utan omsvep att han hade en Linuxdator hemma. Den fungerade som server för hans egen webbsida, stod gömd i garderoben och var påslagen och uppkopplad i stort sett hela tiden. Varför den hade synts i samband med attacken mot Aftonbladet kunde han däremot inte svara på. Dessutom nekade han bestämt till att ha haft kontakt med Aftonbladets webbsajt under de aktuella dagarna. Han kunde en del om Linux, ja. Anledningen var att han nyligen påbörjat en datorutbildning. Men hackare var han absolut inte. Jim Keyzer lyssnade uppmärksamt. Än så länge hade förhöret inte gett honom något nytt att gå på. Uppgifterna stämde, men ingenting som smålänningen sa tydde på att 165
Svenska_hackare_till_tryck_20110222.indd 165
2011-02-22 11:16:35
svenska hackare
han varit inblandad i intrånget mot Aftonbladet. Åtminstone inte medvetet. Nästa fråga. Använde mannen något slags programvara för att surfa anonymt på nätet? Ja, svarade han. Under våren hade han anslutit sin Linuxserver till nätverket Tor. Men för en månad sedan hade han tagit bort mjukvaran. Varför? Den gjorde datorn långsammare, svarade mannen. Tor. Jim Keyzer suckade. Då var det spåret rökt. Nätverket som gör folk anonyma dök upp i ännu en utredning. Som Dan Egerstad några månader tidigare hade avslöjat använde någon nätverkets vindlingar för att i hemlighet avlyssna mejlkorrespondens mellan mängder av diplomater och storföretag. Nu stod det klart att även hackarna som tagit sig in i Aftonbladets datorsystem gjort likadant. Genom att ansluta via Tor hade de gjort sig osynliga för både tidningens övervakningssystem och polisens utredare. De enda spåren pekade på smålänningens dator. Men han hade bara haft oturen att vara den sista knutpunkten i den långa kedja av anslutningar som ledde fram till Aftonbladets system. Med största sannolikhet hade han själv ingenting med attacken att göra.94 Jim Keyzer brydde sig inte ens om att anteckna någonting om varför 29-åringen hade kopplat sin dator till Tor. Att ansluta till nätverket är i sig inte på något vis kriminellt, och anledningarna kan vara flera. Kanske ville han bara testa hur det omtalade anonyma nätet fungerade. Kanske drevs han av en vilja att hjälpa andra genom att upplåta sitt bredband till trafik i nätverket. Kanske var han, som så många andra, bara ute efter att ladda hem musikfiler i fred utan att skivbranschens piratjägare skulle komma honom på spåren. Oavsett vilket var det nu så gott som omöjligt för Jim Keyzer att reda ut var ifrån angreppen egentligen hade kommit. Troligtvis visste 29-åringen inte ens vad som hade pågått – att hans dator var den sista länken i en lång kedja maskiner som utnyttjades för att genomföra ett allvarligt dataintrång. Visst fanns en teoretisk möjlighet att det faktiskt var 29-åringen själv som suttit bakom tangentbordet den där natten. Men det var i så fall omöjligt för Jim Keyzer att bevisa. Det var en sak 166
Svenska_hackare_till_tryck_20110222.indd 166
2011-02-22 11:16:36
dataintrång som sport
att kunna peka på att en viss dator använts i attacken. En helt annan att knyta maskinen till rätt användare. Den 8 december 2006, nästan ett halvår efter de första attackerna mot Aftonbladet men bara en vecka efter förhöret med 29-åringen, beslutade åklagaren att förundersökningen skulle läggas ned. Med Smålandsspåret slopat fanns inga andra uppgifter att gå vidare med. Tor dolde angriparnas verkliga identitet lika effektivt som silkesvantar döljer fingeravtryck vid ett inbrott. Inte heller Aftonbladets egen utredning gav några ytterligare resultat. Utåt tystades intrången ned – ingen information gick ut till media eller tidningens läsare om det som inträffat. Jim Keyzer fick bittert konstatera, som i så många andra ouppklarade dataintrångsfall, att angriparna lyckats smita utan att lämna några spår efter sig. Oscar Edholm, de anställda på Aftonbladets IT-avdelning och Anders Bjarby på Infomaker hjälptes åt att lappa säkerhetshålen i tidningens system så gott det gick. Allt de kunde göra var att hålla tummarna för att det skulle hålla hackarna utelåsta. Vilka det än var som hade gett sig på tidningens system så förblev gruppen på fri fot.95 Stockholm, januari 2008
Två år senare hade Oscar Edholms mardröm återkommit. Det var nu i slutet av januari 2008 och nästan en månad hade gått sedan Vuxna Förbannade Hackare lagt ut lösenorden till Aftonbladets datorsystem på nätet. Internutredningen var avslutad och ännu en polisanmälan inlämnad. Oscar Edholm och de anställda på tidningens IT-avdelning hade återigen tvingats lägga ned hundratals timmar på att gå igenom systemen, leta säkerhetshål och säkra upp efter hackarnas framfart. Han insåg besviket att de åtgärder som vidtagits nästan två år tidigare inte hade varit nog. Allt Oscar Edholm kunde göra nu var att försöka minimera skadorna efter attacken. Uppmärksamheten tärde. Dataintrånget mot Aftonbladet hade sparkat igång en häftig debatt om IT-säkerhet och vikten av källskydd på internet. Runt om på nätet hånades Oscar Edholm för sitt 167
Svenska_hackare_till_tryck_20110222.indd 167
2011-02-22 11:16:36
svenska hackare
eget val av lösenord och på nätverkssajten Linkedin hade någon tagit sig in på hans profil och bytt hans namn till »Blåst Edholm«. Glåporden haglade medan andra, som journalistförbundets ordförande Agneta Lindblom Hulthén, beskrev hacket som ett »angrepp på demokratin« – ett angrepp som det hade varit Oscar Edholms jobb att stoppa.96 Det hela kändes hopplöst. Oscar Edholm hade försökt hantera det som inträffat med öppenhet och ärlighet. Han hade ställt upp på flera intervjuer, berättat i både Aftonbladet och andra medier om vad som gått fel och hur tidningen nu tänkte förbättra säkerheten. Men det verkade elda på snarare än lugna ned debatten. Ju mer han försökte förklara och kommentera det inträffade desto mer högljutt blev hatet och föraktet. Inte ens att erkänna att han gjort fel verkade ge någon effekt. Flera av de anställda på tidningens IT-avdelning mådde mycket dåligt av uppmärksamheten. I dag vill Oscar Edholm ogärna prata om händelserna, men i ett mejl till oss medger han att han fortfarande, flera år efter attackerna, får en olustig känsla när VFH kommer på tal. Inte heller 2008 ledde spåren efter angriparna någon vart. Tillsammans med Jim Keyzer konstaterade Oscar Edholm att hackarna ännu en gång, liksom vid intrånget år 2006, anslutit till tidningens servrar genom Tor. Med läxan från den omfattande utredningen två år tidigare i minnet bestämde de sig för att inte ödsla mer tid på att jaga någon som gjort sig praktiskt taget osynlig. Det fanns inga spår att gå vidare med och både Aftonbladets internutredning och polisens förundersökning lades ned.97 Många frågetecken kring attacken finns kvar. Aftonbladet har fortfarande inte gett något definitivt svar på den kanske viktigaste frågan i hela fallet, hur länge VFH ruvade på de knäckta lösenorden innan de publicerades på Flashback. I klartext: Under hur många dagar, veckor eller månader kunde okända och osynliga angripare i hemlighet spionera på Aftonbladets journalister innan de själva avslöjade sin närvaro och slängdes ut ur systemen? Oscar Edholm, Aftonbladets ledning och VFH själva är sannolikt de enda som vet svaret på den 168
Svenska_hackare_till_tryck_20110222.indd 168
2011-02-22 11:16:36
dataintrång som sport
frågan, och samtliga tiger som muren. Men med hjälp av polisens förundersökning och de spår som hackarna lämnat efter sig på nätet går det att resonera sig fram till ett par möjliga scenarion. I samtal med polisen har Oscar Edholm uppgett att ett första lyckat intrång hos Aftonbladet upptäcktes redan i november 2007. Då stals ett antal användarnamn och lösenord ur tidningens databas. Ännu en lyckad attack upptäcktes i december samma år, då en stor mängd kontouppgifter läckte ut. Förutsatt att systemen inte knäckts ännu tidigare utan Aftonbladets vetskap innebär det att VFH hade tillgång till åtminstone delar av tidningens datorsystem i nästan två månader innan uppgifterna offentliggjordes på Flashback och kontona stängdes ned. Enligt VFH:s egen beskrivning så var intrången betydligt mer omfattande än så. Gruppen säger sig ha vandrat in och ut ur tidningens mejlsystem under hela två års tid. Trots Oscar Edholms och IT -avdelningens hårda arbete ska Aftonbladet inte ha lyckats hålla dem borta från systemen i mer än ett par dagar efter att de första intrången upptäcktes 2006. Även skydden runt publiceringssystemet för Aftonbladets löpsedel på webben, en av Sveriges mest välbesökta webbsidor, säger de sig ha överlistat. Det är svårt att bedöma sanningshalten i de påståendena. Men en detaljerad jämförelse, brev för brev, mellan det som VFH lagt ut på nätet och det som finns i polisens egen utredning, ger ändå en tydlig fingervisning. Strax efter att lösenorden lades ut på Flashback så redogjorde gruppen också i detalj för korrespondensen mellan Aftonbladets och Infomakers utredare under sommaren 2006, bland annat de mejl där hackarna utmålades som okunniga amatörer. Klart är alltså att de vid publiceringstillfället i januari 2008 hade tillgång till interna mejl ur Aftonbladets system sedan nästan två år tillbaka, skrivna långt innan deras intrång blev kända för allmänheten. Hur kunde gruppen ha tillgång till två år gamla mejl som skickats mellan utredare på Aftonbladets IT-avdelning? Det finns flera tänkbara förklaringar. En är att VFH passade på att gräva fram gamla mejl från de knäckta mejlkontona när de tog sig in i Aftonbladets 169
Svenska_hackare_till_tryck_20110222.indd 169
2011-02-22 11:16:36
svenska hackare
system för andra gången i slutet av 2007. Det är inte alls otänkbart att breven låg kvar i systemen. Det är heller inte otänkbart att gärningsmännen varit nyfikna på hur de själva hade jagats efter de första intrången. Medlemmarna i gruppen kan teoretiskt sett också ha vänt sig till polisen, begärt ut utredningen om sina egna brott, skrivit av breven och presenterat dem som resultatet av ett hack. Eller så stämmer hackarnas egen version av historien. Mejlen mellan Aftonbladets och Infomakers utredare kunde läsas av VFH redan då de skickades 2006, efter att säkerhetsluckan skulle ha stängts. Det skulle innebära att gruppen vandrat in och ut ur tidningens system i nästan två års tid, läst vad högt uppsatta personer på Aftonbladet skrev till varandra – och till polisens utredare – långt efter att tidningen trodde sig ha säkrat upp systemen. Om ett mejlkonto var knäckt under den här perioden hade angriparna med största sannolikhet tillgång till fler. Hemligstämplade uppgifter som lagrades på journalisternas mejlkonton under den tiden kan då ha hamnat i orätta händer. När Aftonbladet skrev om »superhackaren« Stakkato från Uppsala år 2007 såg VFH i så fall på inifrån tidningens datornätverk. Likaså när tidningen berättade om Dan Egerstad och beskrev Tor-nätet för sina läsare, samma nätverk som Vuxna Förbannade Hackare använde för att dölja sina egna identiteter djupt inne i Aftonbladets system. Tidningens ledning är i dag mycket ovillig att tala om fallet Vuxna Förbannade Hackare. I vårt arbete med den här boken har vi gång på gång sökt Aftonbladets IT-chef Oscar Edholm för att få veta mer. Han har konsekvent avböjt att svara på konkreta frågor om attackerna. Det samma gäller tidningens informationschef Olof Brundin. Vid tidpunkten för attackerna, då mediedrevet kring Aftonbladet och det brutna källskyddet rasade som värst, kallade han intrånget för »oerhört allvarligt« och lovade att tidningen skulle gå till botten med saken, tillsammans med polisens utredare.98 Drygt två år senare tonar han ned attackerna och jämför dem med ett inbrott i källaren: – Vi har haft inbrott många gånger. Ibland i källaren, ibland digi 170
Svenska_hackare_till_tryck_20110222.indd 170
2011-02-22 11:16:36
dataintrång som sport
talt. Flera bilar i garaget har blivit plundrade på stereo etc., skriver han i ett mejl till oss.99 Efter flera månader av propåer går Aftonbladet ändå med på en kort telefonintervju. Men de få svar som Olof Brundin ger oss är mycket korthuggna. – Vi vet väldigt, väldigt mycket. Men mer än så kan jag inte säga. Då röjer jag en del av det tillvägagångssätt vi använt oss av för att ta reda på det, säger Olof Brundin. Frågan om hur länge hackarna egentligen var inne i tidningens system vägrar Aftonbladet fortfarande att svara på. Olof Brundin är noga med att varken dementera VFH:s egen version – att de hade insyn i tidningens system från 2006 ända till den spektakulära publiceringen på Flashback 2008 – eller att dela med sig av någon ny information om vad som verkligen hände. – De var inne alldeles för länge. I övrigt har jag inga kommentarer, säger han.100 Men trots att tidningen utåt tiger om vad som verkligen hände vintern 2008 har intrånget blivit en del av den interna jargongen. Än i dag händer det att anställda skämtar med varandra när någon har glömt bort sitt lösenord. »Testa Anakin!«101 »Ett angrepp på demokratin«
Det var attackerna mot TV3 och Aftonbladet som gjorde Vuxna Förbannade Hackare till kändisar. Men det var inte de första intrången som gruppen hade tagit på sig. Fredagen den 15 september 2006, bara två dagar innan riksdagsvalet, genomfördes en hackarattack mot det socialdemokratiska ungdomsförbundet SSU:s hemsida. Förutom en stor Folkpartiet-logotyp och ett hånfullt budskap om att »byta ut sin skitpolitik« riktat till den dåvarande SSU-ordföranden Anna Sjödin publicerades också förbundets medlemslista öppet för vem som helst att ladda hem. Förbundssekreteraren Mattias Vepsä reagerade mycket starkt på attacken, kanske inte helt oförutsett med tanke på att valrörelsen var i full gång. »Det är ett angrepp på demokratin«, sa 171
Svenska_hackare_till_tryck_20110222.indd 171
2011-02-22 11:16:36
svenska hackare
han vid en blixtinkallad presskonferens kort efter intrånget. Varken SSU eller polisen lyckades dock komma angriparna på spåren.102 Ingenstans på SSU:s hackade sajt, eller i någon av de efterföljande diskussionerna, förekommer namnet Vuxna Förbannade Hackare. Först ett par månader senare, under nyårsnatten 2007, dök gruppens namn upp i offentlighetens ljus för första gången. Ett par timmar efter tolvslaget den 1 januari 2007, exakt ett år innan attacken mot TV 3:s hemsida, tog sig VFH in på LO :s webbserver och bytte ut sidan mot sitt eget budskap. Både tonen och tillvägagångssättet känns igen från de intrång som gruppen senare genomförde. »Efter hatobjekt ett kommer hatobjekt två«, löd budskapet på sajten. »Under 2007 kommer LO fortsätta kämpa för att alla ska få samma usla lön! Medlemsavgifter osv kommer gå till att fortsätta smutskasta småföretagare. Gott nytt år!« Sidan var signerad med »Vuxna Förbannade Hackare – det slutar inte här«. Längre upp i texten tog gruppen på sig ansvaret för attacken mot SSU som inträffat ett par månader tidigare, tillsammans med en hånfull hälsning till polisen. »När vi hackade SSU så lämnade vi fyra påhittade spår för att kontrollera hur snabba ni var. Tyvärr hittade ni bara ETT av dem och sprang iväg och beslagtog datorer hos en helt oskyldig stackars kille! Skäms på er!« Mycket riktigt hade polisen följt upp ett spår den gången. På egen hand kunde SSU spåra en av anslutningarna i attacken till en dator i ett studentrum vid Blekinge tekniska högskola. Polisen kallades in och en husrannsakan genomfördes. Den 24-årige student som ägde datorn plockades in och förhördes om attacken. Det kunde dock aldrig bevisas att han själv varit inblandad. I stället drogs slutsatsen att studentens dator även den var hackad. De verkliga angriparna hade använt den som ytterligare en sköld för att dölja sina egna identiteter. Ska man tro VFHs egen berättelse rörde det sig till och med om ett medvetet villospår. En av de personer som kopplades in i utredningen vid Blekinge tekniska högskola var Anders Carlsson, universitetsadjunkt på skolans sektion för datavetenskap och en av högskolevärldens tunga 172
Svenska_hackare_till_tryck_20110222.indd 172
2011-02-22 11:16:36
dataintrång som sport
auktoriteter på IT-säkerhetsområdet. Anders Carlsson har i mer än tio års tid arbetat med den svenska polisens utbildningar inom IT -säkerhet, med skräddarsydda kurser för försvarsmakten och polisväsendet i ämnen som nätverkssäkerhet, digital bevissäkring och kvalificerat underrättelsearbete på internet. Många av de svenska poliser som i dag arbetar med IT-relaterade brott har vid något tillfälle undervisats av Anders Carlsson, likaså flera av Sveriges främsta ITsäkerhetsexperter. Nu, med uppgifterna om VFH:s intrång på sitt skrivbord, bestämde han sig för att försöka hjälpa till. Med hjälp av systemloggarna från intrånget hos SSU, via elevdatorn på Blekinge Tekniska Högskola, kunde Anders Carlsson dra två slutsatser. Genom att analysera de elektroniska fingeravtryck som angriparnas webbläsare lämnat efter sig kunde han konstatera att tre separata maskiner hade använts i attacken. Två PC-datorer som körde operativsystemet Linux och en Mac-dator med operativsystemet OS X . Det tydde på att tre personer varit delaktiga. Visserligen är det möjligt att flera individer satt samlade framför varje datorskärm eller deltog via exempelvis ett chattprogram. Men spåren efter just de här tre maskinerna fanns utmärkta i systemloggarna. Det här var verktygen som hackarna hade använt sig av. Däremot var det omöjligt att ta reda på var i världen maskinerna befann sig, eller vem det var som suttit vid tangentborden. Alla geografiska spår var skickligt dolda med hjälp av Tor-nätet, precis som vid attacken mot Aftonbladets system ett år senare. Den andra slutsatsen kom när Anders Carlsson började titta närmare på den kod som använts vid attacken. Tvärt emot vad Aftonbladets utredare kommit fram till så kunde han snabbt konstatera att det inte var några vanliga tonårsvandaler han hade att göra med. Attacken utnyttjade en säkerhetslucka som han själv inte kände till sedan tidigare. Koden som hackarna använde sig av var sannolikt skräddarsydd. Dessutom hade gruppen sopat igen spåren efter sig på ett skickligt vis. Anders Carlsson kunde inte låta bli att fascineras av loggarna han såg framför sig. Ur ett tekniskt perspektiv var angreppet utsökt genomfört. Antingen var det här personer med mycket god 173
Svenska_hackare_till_tryck_20110222.indd 173
2011-02-22 11:16:36
svenska hackare
kännedom om SSU:s system sedan tidigare, eller så rörde det sig om en grupp mycket skickliga individer som visste precis vad de höll på med. – Det var inte någonting de bara hade plockat hem från nätet. Det här var top of the line. Jag fick anstränga mig för att klura ut exakt hur det hade gått till, säger Anders Carlsson i dag. Vuxna Förbannade Hackare. För de insatta var gruppens namn en uppenbar blinkning. Ett par år tidigare hade den tidigare relativt okända gruppen Arga Unga Hackare över en natt blivit mytomspunna megakändisar i Hackarsverige. Genom att hacka mejlen hos filmbranschens intresseorganisation Antipiratbyrån lyckades gruppen avslöja en infiltratör med täcknamnet Rouge, som på filmindustrins begäran planterat bevis för piratkopiering på internetoperatören Bahnhofs servrar. Avslöjandet blev en rejäl brandfackla i den pågående piratdebatten, en fråga som redan letat sig bort från hackarvärldens slutna kretsar och ut i den stora världen, till tidningarnas debattsidor och löpsedlar. Arga Unga Hackare blev hjältar i den svenska datorvärlden, en hackargrupp som gjorde skillnad på riktigt. De var piratrörelsens egna gerillasoldater, en digital attackstyrka som gjorde nattliga räder på fientligt territorium. Och en självklar inspiration för alla de unga entusiaster som törstade efter att tillhöra hackarelitens exklusiva gemenskap. Det gällde även Vuxna Förbannade Hackare: »Vi har ingen som helst koppling till AUH. Likheten av namnval valde vi utav respekt för vad de står för och lyckats med. Vi hoppas att aktioner likt denna gör att fler folk blir inspirerade till att hacka, så som vi blivit av AUH«, skrev Vuxna Förbannade Hackare senare. Men till skillnad från sina förebilder verkade VFH sakna en specifik agenda. Attacken mot Aftonbladet påminde mer om en barnslig provokation. Gruppens attack på medieetablissemanget var en återgång till nidbilden av tonårshackaren med stort självhävdelsebehov, utan djupare drivkrafter än att synas och höras. Hackarna skred till verket för att de kunde, ett långfinger rakt upp i maktens ansikte utan eftertanke eller reflektion. Mönstret står i bjärt kontrast till hur Stakkato uppträtt efter sin 174
Svenska_hackare_till_tryck_20110222.indd 174
2011-02-22 11:16:36
dataintrång som sport
intrångsserie några år tidigare. Han jagade också troféer att visa upp. Utredare som spårade honom efter intrången mot universiteten talar om ära och berömmelse som den främsta drivkraften, men det handlade om att söka respekt i en sluten, hemlighetsfull krets. Andra hackare skulle se och imponeras. Det fanns aldrig en tanke på att offentliggöra intrången utanför en liten grupp väl införstådda gelikar. VFH sökte bred uppmärksamhet på Sveriges största forum och fick via riksmedia en miljonpublik att imponeras eller förfasas över deras brott. Inte heller Dan Egerstads publicering av de ytterst känsliga uppgifter han plockat ur Tor-nätverket följde samma mönster. Hans resonemang kring publiceringen byggde i grunden på en vilja att skydda – tanken var att publiceringen skulle få de drabbade ambassaderna och företagen att vakna upp och börja ta säkerhetsfrågan på allvar. Dessutom hymlade Dan Egerstad aldrig med vem han var. Allt skedde under hans verkliga namn, och publiceringen drog också uppmärksamhet till honom själv och hans verksamhet som IT-säkerhetskonsult. Vuxna Förbannade Hackare höll sina verkliga identiteter hemliga, men den politiska agenda som gruppen sa sig ha var papperstunn och verkade sakna någon djupare motivation än att skapa uppmärksamhet och förstöra för ett vagt definierat etablissemang. I själva verket tycktes gruppen till stor del drivas av en vilja att få Aftonbladet, tidningen de sa sig hata, att skriva om dem. Frustrationen lyser igenom i det meddelande som gruppen lade ut när lösenorden publicerades: OK. Att hacka tv3 på deras födelsedag var tydligen inget stort. Aftonbladet skriver hellre om en ful jävla hundjävel som springer från smällare?! Härregud! Vi får helt enkelt prova på någonting annat för att nå ut till vårat förfallande samhälle. Vad sägs om någonting annorlunda? Enbart för att VI ÄR ANNORLUNDA OCH KOMMER FÖRBLI ANNORLUNDA !
175
Svenska_hackare_till_tryck_20110222.indd 175
2011-02-22 11:16:36
svenska hackare
I april 2007 lade polisen ned sin förundersökning om dataintrånget hos SSU. Anders Carlsson och polisen i Blekinge tvingades bistert konstatera att man inte hade några spaningsuppslag att gå vidare med, varken efter medlemmarna i gruppen eller de tre andra spår som VFH sa sig ha lämnat kvar i SSU:s datorsystem. Inte heller utredningen av intrånget mot LO:s webbplats gav några resultat.103 Hackarvågen
Begreppet copycat är välkänt inom kriminologin. Det syftar på brott som inspireras av och utförs på samma vis som ett brott någon annan begått tidigare. Särskilt vanligt är fenomenet vid fall som får stor uppmärksamhet i media. Ett exempel är den amerikanska skolmassakern i Columbine år 1999, som sägs ha inspirerat ett antal liknande fall i både USA och resten av världen. Copycat-fenomenet används gärna som ett argument mot att ge brottslingar och brottsliga gärningar stor uppmärksamhet i media. Risken att någon annan inspireras och begår liknande handlingar minskar om tidningar och teve undviker att ägna så mycket uppmärksamhet åt förövarna, heter det. Attackerna mot Aftonbladet och TV3 var två perfekta exempel. Båda fallen väckte rejäl uppståndelse och alla de stora tidningarna nämnde angriparnas namn. Precis som vid rättegången mot hackargruppen Swedish Hackers Association under 1990-talet så fylldes tidningarna av reportage om IT-säkerhet och digital brottslighet. Fascination blandades med krigsrubriker och högljudda varningar på sant kvällstidningsmanér. VFH utmålades om vart annat som terrorister och som tekniska trollkarlar, med närmast obegränsad makt över internet. Nya stjärnor hade fötts på hackarhimlen. Mängder av unga, teknikintresserade män ville bli som dem. Månaderna efter intrången mot Aftonbladet sköljde en våg av hackarattacker över Sverige. Aldrig tidigare har så många svenska företag drabbats av dataintrång på så kort tid, och aldrig som en del i vad som nu i allt högre grad liknade en offentlig tävling, hackande som ett slags åskådarsport. Flashback var skådeplatsen för spektaklet. 176
Svenska_hackare_till_tryck_20110222.indd 176
2011-02-22 11:16:36
dataintrång som sport
Mängder av grupper, flera som aldrig hade synts till tidigare, tävlade om att publicera de känsligaste och mest häpnadsväckande uppgifterna på forumet. Diskussionstrådarna fylldes av en strid ström av stulna databaser och knäckta lösenordslistor. Allt skedde utan minsta omtanke om de drabbade företagen. För hackarna själva var det en lek, någonting att sysselsätta sig med framför datorn under de kalla vintermånaderna. Men för de drabbade företagen var det blodigt allvar. Runt om i Sverige kämpade IT-ansvariga för att säkra upp sina system – och slet sitt hår när de plötsligt och utan förvarning fick påhälsning av hånfulla tonårshackare med sabotage i sinnet. Miljoner konton knäcktes och spreds öppet på nätet. Kostnaderna för att reparera skadegörelsen uppgick till flera miljoner kronor. Hundratusentals svenskar drabbades på ett eller annat vis av intrången. Den första måltavlan var communitysajten Bilddagboken, en av Sveriges mest välbesökta webbplatser med mer än en miljon medlemmar. Strax efter midnatt den 11 januari 2008 började en lista med mer än 235 000 användarnamn och inloggningsuppgifter till konton på Bilddagboken att cirkulera på Flashback. Bilddagbokens administratörer stängde ned sajten i panik samma dag, men skadan var redan skedd. Under flera veckor kunde Flashbackskribenterna roa sig med att lägga ut privata meddelanden och chattloggar från hackade användarkonton för allmän beskådan. Tusentals svenska tonåringar kunde bara se på när deras privata mejl och funderingar lades ut och häcklades på nätet. För 23-åriga Sara i Härnösand började det när hon väcktes av ett samtal klockan två på natten. Det var en vän som ringde. Hon lät upprörd: »Varför kallar du mig hora?« Sara förstod ingenting, men snart hörde fler bekanta av sig. Alla hade de fått mejl från Saras adress, fulla med obscena ord och anspelningar. Uppgifter om att Sara sålde sex blandades med extrema politiska budskap. Det var då sambandet gick upp för henne. Hon hade använt samma lösenord till Bilddagboken som till sin mejladress och nu frossade hackarna och deras efterföljare i allt de kunde hitta. Brev skickades till så gott som alla i adressboken, till vänner, gamla arbetsgivare och till föräld177
Svenska_hackare_till_tryck_20110222.indd 177
2011-02-22 11:16:36
svenska hackare
rarna. Snart hade någon rotat fram hennes kontokortsuppgifter och beställde porrfilm från nätbutiken cdon.com i hennes namn. En hel dag ringde hon förkrossad runt till alla som fått breven för att berätta hur det hade gått till.104 Även kända namn dök upp i databasen, och de tycktes utöva en särskild dragningskraft på de som kom över den. För teveprofilen Adam Alsing medförde hacket mot Bilddagboken att någon kunde ta kontroll över hans mejladress och lägga ut en kopia av samtliga meddelanden på nätet. Dessutom skickades hotfulla budskap till flera namn i hans adressbok. Bland andra programledarkollegan Gry Forsell och föräldrarna i sonens hockeylag fick frågan »tar du den i tvåan«* via mejl.105 Ett par dagar senare drabbades vimmelsajten efterfesten.com och spelsajten gamepassion.se av liknande intrång. Hundratusentals medlemmars inloggningsuppgifter redovisades öppet på Flashback. Bland de konton som visades upp fanns de som tillhörde artisten Basshunter, kändisfotografen Bingo Rimér och ett antal journalister på Expressen och TV4.106 En knapp månad senare kom nästa attack. Företaget Mecenat jobbar sedan 1998 på uppdrag av Centrala studiestödsnämnden med att ta fram och ge ut Sveriges två mest spridda förmånskort för skol elever – CSN-kortet och Mecenatkortet. Korten ger förmåner och rabatter på inköp hos vissa företag. Dessutom accepteras de på vissa håll som ett slags studentlegitimation. Mer än en miljon studenter finns bokförda i Mecenats databas, tillsammans med personnummer, adressuppgifter och kontaktinformation. Den 26 januari 2008 släcktes Mecenats webbsida ned och byttes ut. Den här gången gick inte inspirationen från VFH att undgå. Sajten pryddes plötsligt av en stor *
Med tiden har en säregen kultur och humor, inte sällan av det obscena slaget, utvecklats på Flashback. Att ställa frågan »tar han/hon/du den i tvåan?« i både tänkbara och otänkbara sammanhang hör närmast till traditionen, inte minst när kända människor kommer på tal (sedan en tid tillbaka bestraffas frågan med en omedelbar varning från moderatorn om den ställs i Flashbacks skvalleravdelning). »Tvåan« används ofta utanför Flashback som en signal till andra införstådda och en hälsning till forumets skribenter.
178
Svenska_hackare_till_tryck_20110222.indd 178
2011-02-22 11:16:36
dataintrång som sport
bild på en leende Jan Helin, samma fotografi som Aftonbladet använt till artikeln där chefredaktören bjöd in VFH på fika. »Anakin och Data-Janne hackar CSN«, löd undertexten. »›Vi ska ha en miljon‹ säger de till Aftonbladet i en exklusiv intervju.« Signaturen Anakin var självfallet ännu en referens till Aftonbladets IT-chef Oscar Edholm och hans ökända lösenordsval.107 Hela Mecenats databas var stulen, uppgav hackarna. Uppgifter om nästan en miljon svenskar fanns i deras händer, men ingenting hade offentliggjorts. I stället skulle hacket betraktas som en varning och en läxa. »CSN/Mecenat kanske borde förbättra sin säkerhet eftersom de just nu är en fara både för er som studenter och sig själva«, skrev de som kallade sig Anakin och Data-Janne. För de säkerhetsansvariga på Mecenat fanns inte mycket annat att göra än bita i det sura äpplet. Samtliga användarkonton skulle bytas ut, meddelade Mecenat ett par dagar efter intrånget. Alla studenter med konton hos CSN och Mecenat, 930 000 stycken, fick nya inloggningsuppgifter skickade till sig. I väntan på att bytet skulle genomföras stängdes sajten ned. »Om man lyssnar på dem som har gjort det här så verkar syftet vara att visa att vi inte har tillräckligt bra säkerhet. Vi hoppas att det stannar vid det«, sa Mecenats vd Jonas Levin sammanbitet till en journalist.108 Ingenting tyder på att VFH hade någonting med dessa intrång att göra. De signerades med andra alias och flera av dem genomfördes på ett sätt som kräver betydligt mindre kunskap än vad personerna bakom hacket mot Aftonbladet tycktes ha haft. Däremot råder det ingen tvekan om att de inspirerats av den vid det här laget mytomspunna gruppen. VFH hade fått en lång svans av efterföljare och lärjungar. Omfattningen av attackerna började nu till och med sätta Flashback i gungning. Forumet hamnade nu mitt i allmänhetens blickfång. Mängder av tidningsartiklar skrevs om hackarnas framfart. Nästan samtliga pekade ut Flashback som den gemensamma nämnaren. Visst hade forumet varit i hetluften flera gånger tidigare, men en sådan här anstormning av känsliga uppgifter hade de ansvariga aldrig tidigare varit tvungna att befatta sig med. Även bland användarna växte frustrationen över vad som höll på att hända. Antalet skribenter 179
Svenska_hackare_till_tryck_20110222.indd 179
2011-02-22 11:16:36
svenska hackare
och läsare i forumets IT-säkerhetsdel rusade i höjden efter att hackarvågen drog igång. På kort tid gick IT-säkerhetsforumet från att vara en relativt avskild del av Flashback till att bli en av forumets mest besökta avdelningar. Forumets veteraner reagerade med bestörtning på anstormningen av nya användare. Röster höjdes om att Flashback var på väg att förvandlas till något sämre, från ett faktiskt diskussionsforum till en informationskanal där högljudda och skrytsamma hobbyhackare tävlade om uppmärksamheten. – Jag tror många äldre medlemmar också upplevde att nivån sjönk dramatiskt i kvalitet just efter VFH-hacken på grund av stormen av nyreggade, stressade, oförstående och pseudointresserade, säger en 21-åring från Göteborg som var moderator och ansvarig för Flashbacks IT-säkerhetsforum under större delen av 2008. – »Registrerad januari 2008« blev lite av en symbol för, vad ska man säga, slödder? fortsätter han. I samband med hacket mot Bilddagboken satte Flashbacks moderatorer ned foten för första gången. En länk till en fil som innehöll samtliga meddelanden på Adam Alsings mejlkonto plockades bort från sajten, den tillhörande diskussionstråden rensades från känsliga inlägg och låstes för vidare inlägg. Admin, det konto som tillhör den högst ansvarige för forumet, skrev i en förklaring till beslutet: Orsaken till att vi plockade bort länken är att den enligt vår juridiska bedömning är olaglig. Även om länken ligger på en annan webbplats så är det Flashback som sprider länken. Det hade varit helt annorlunda om filen varit upplagd på en befintlig och existerande blogg eller någon etablerad webbplats. Vår uppgift är att hela tiden se till att forumet ligger på rätt sida av lagen. Vi lägger ner förhållandevis stora pengar på konsultation hos advokater. I meddelandet märks en tydlig frustration över användarnas beteende. För Flashback var det A och O att hålla sig på rätt sida om lagen. Idén med forumet hade alltid varit att kompromisslöst värna 180
Svenska_hackare_till_tryck_20110222.indd 180
2011-02-22 11:16:36
dataintrång som sport
om yttrandefriheten, men det var inte samma sak som att medvetet sprida uppgifter som klart och tydligt hade stulits. Nu tycktes forumets ägare oroa sig för ännu en situation liknande den som inträffade under det tidiga 2000-talet, då Flashback kopplades bort från nätet efter anklagelser om juridiska övertramp. Då var anledningen en nynazistisk hemsida som drevs via Flashbacks webbhotell. Skulle ett gäng högljudda tonårshackare ställa till med så mycket bekymmer att sajten stängdes ned igen? Vid det här laget hade medierna vaknat på allvar. Inom loppet av bara ett par månader hade mängder av vanliga svenskar drabbats av hackargruppernas framfart. Data- och tekniktidningarna beskrev attackerna som en »hackarvåg« som svepte över Sverige. Det hela fick IT -säkerhetsföretagen att vädra morgonluft. Flera av dem tog tillfället i akt att göra reklam för sig själva och sina produkter. Tidningar och tevesoffor gästades av experter från de stora säkerhetsföretagen. De talade inlevelsefullt om hur viktigt det var att ta IT-säkerhetsfrågor på allvar, att både företag och privatpersoner borde skydda sig med de senaste antivirusprogrammen och säkerhetslösningarna. Allra helst från deras egna arbetsgivare, så klart. En av de som passade på med ett debattinlägg var IT-konsulten Anders Wallenquist. Han var aktiv i yrkesföreningen Dataföreningen, med ett särskilt intresse för frågor som rörde IT-säkerhet. Dataföreningen är den kanske främsta samlingspunkten för svenska IT -proffs. Mer än 20 000 svenskar är medlemmar. Den 25 januari postade Anders Wallenquist ett inlägg på Dataföreningens webbplats under rubriken »Dataföreningen sitter på lösningen för att förhindra nästa hackarvåg«. Med avstamp i attackerna mot Aftonbladet och Bilddagboken argumenterade han för den tekniska lösningen OpenID, en öppen standard för att hantera lösenord på webben. I stället för att varje sajt, med mer eller mindre bristfällig säkerhet, lagrade sina användares lösenord så innebär OpenID att en central, betrodd organisation hanterar dem. Hackarvågen hade gett Dataföreningen ett guldläge, menade Anders Wallenquist. Nu hade organisationen för Sveriges 181
Svenska_hackare_till_tryck_20110222.indd 181
2011-02-22 11:16:36
svenska hackare
IT -proffs en chans att profilera sig som en säker hamn för oroliga företag och börja erbjuda säkerhetstjänster baserade på tekniken. Vad vore mer naturligt för ett IT-proffs än att lägga sitt lösenord hos Dataföreningen? frågade Anders Wallenquist i en retorisk fråga. Säkerhetstjänster med Dataföreningen som avsändare skulle kunna ge föreningen både nya intäkter och rejält med varumärkeskännedom.109 Inlägget lästes med intresse, inte bara av Dataföreningens medlemmar. Den 28 februari 2008, nästan två månader efter attacken mot Aftonbladet och fyra veckor efter Anders Wallenquists inlägg hos Dataföreningen, dök Vuxna Förbannade Hackare upp på nätet igen. Rubriken på inlägget, återigen postat på Flashback, borde ha fått varje svenskt IT-proffs att hicka till av förskräckelse:
Skrattretande säkerhet (Dataföreningen) Ni vet hur ont i magen man kan få när man skrattar för mycket? Det var ungefär så vi kände när vi läste att Dataföreningen sitter på lösningen för att förhindra nästa hackarvåg då vi haft tillgång till dfs:s servrar i flera år. Visst är det kul? Meddelandet innehöll en länk till en textfil. I den fanns mejladresser och krypterade lösenord till Dataföreningens samtliga 24 000 medlemmar runt om i Sverige. Databasen var stulen ur föreningens datorsystem, rakt framför näsan på några av Sveriges främsta IT-experter. Namnen på listan utgjorde den absoluta gräddan i IT-Sverige. Där fanns anställda hos Rikspolisstyrelsen, Försvarsmakten, Skatteverket, Tullverket och riksdagen. Dessutom IT-ansvariga på stora företag som Handelsbanken, SE-banken, Folksam och Nordea. VFH hade stuckit kniven rakt i den svenska IT-elitens hjärta. Att lösenorden var krypterade ska inte tolkas som att de var oanvändbara för dem som kom över dessa. Med hjälp av knäckarprogram som vem som helst kan ladda hem från nätet kan miljoner alternativ testas mot den krypterade textsnutten tills programmet hittar rätt. Så snart filen fanns ute på forumet drog Flashbackmedlemmarna igång 182
Svenska_hackare_till_tryck_20110222.indd 182
2011-02-22 11:16:36
dataintrång som sport
sina program. Över hela Sverige surrade datorer medan de tuggade sig igenom lösenorden och ett efter ett dök de upp; färdiga lösenord i klartext, knäckta och nu utlagda på forumet för vem som helst att använda. Bara ett par minuter efter publiceringen skickade SITIC, Sveriges IT -incidentcentrum, ut ett blixtmeddelande om attacken. SITIC är en myndighet med det yttersta ansvaret för att informera och samordna samhällets respons vid omfattande elektroniska attacker. Blixtmeddelanden är reserverade till akuta varningar och skickas ut till högt uppsatta säkerhetsexperter och IT-ansvariga runt om i Sverige. Att VFH:s senaste tillslag var allvarligt gick inte att ta miste på. »Att dekryptera dessa hashar är enkelt och går väldigt fort. Risken är stor om användarna använder samma användarnamn och lösenord på andra system«, varnade myndigheten i utskicket.110 Klockan halv fem på torsdagseftermiddagen, knappt en timme efter publiceringen, informerades Dataföreningens vd Annica Bergman om vad som inträffat. Kort därefter kopplades föreningens webbplatser bort från nätet, en panikåtgärd för att förhindra hackarna från att använda de läckta lösenorden. Under kvällen höll Dataföreningen ett blixtinkallat styrelsemöte. Vid det laget hade nästan 5 000 av de 24 000 användarkontona knäckts, enligt den snabbt växande diskussionstråden på Flashback. Ett fyrtiotal poliser, anställda på Säpo, och hundratals högt uppsatta chefer i IT-Sverige såg med förskräckelse hur deras inloggningsuppgifter postades på internet. Redan samma dag gick Dataföreningen ut med en offentlig uppmaning till sina medlemmar om att ta intrånget på största allvar. – Om man använt samma lösenord i andra sammanhang så ska man byta det så snart som möjligt, sa Dataföreningens ordförande Rolf Berntsson.111 Det dröjde till midnatt innan det slutade ringa i Annica Bergmans mobiltelefon. Först efter klockan två på natten kände hon att hon gjort allt hon kunde som vd och avslutade den kaotiska arbetsdagen. Samtidigt fortsatte föreningens tekniker att arbeta för att säkra upp servrar och minimera skadorna hela natten. 183
Svenska_hackare_till_tryck_20110222.indd 183
2011-02-22 11:16:37
svenska hackare
Attacken mot Dataföreningen drog också ned byxorna på några av Sveriges mest profilerade IT-säkerhetsexperter. Samma personer som tjänade stora pengar på att agera säkerhetskonsulter åt företagskunder och gärna syntes i offentliga sammanhang för att prata om vikten av IT -säkerhetsfrågor hade nu själva fallit offer för hackarnas framfart. Predrag Mitrovic, tidigare säkerhetschef på svenska Microsoft, var en av dem som fick sitt lösenord knäckt. Per Hellqvist på Symantec, som bara ett par veckor tidigare gått till hårt angrepp mot Aftonbladet i SVT:s Aktuellt efter VFH:s andra attack under året, var en annan. Redan innan hans eget lösenord hade knäckts gick han ut och beklagade att han inte valt ett så starkt som han borde. Trots allt så försörjde han sig på att predika god säkerhet för andra. »Jag kommer nog få på skallen för det här«, konstaterade han i ett samtal med en journalist.112 Dataföreningen kallade in externa säkerhetskonsulter för att få hjälp med att täta luckorna i systemen. Tillsammans arbetade de dag och natt med att gå igenom loggarna, spåra buggar och ta hackade servrar ur bruk. Föreningen tvingades också byta alla lösenord i sina system och skicka ut nya, via papperspost, till sina mer än 20 000 medlemmar runt om i Sverige. Ett par månader efter intrånget konstaterades att notan för efterarbetet landat på ungefär en miljon kronor – stora pengar för en förening som får in ungefär 15 miljoner kronor om året i medlemsavgifter.113 »Det kändes som ett gammalt fenomen«
Under vintern och våren 2008 staplades polisanmälningarna om dataintrång på hög hos Rikskriminalpolisens IT-brottssektion i Stockholm. Utredarna stod aningslösa inför den plötsliga anstormningen. Aldrig tidigare hade så många framstående sajter, företag och myndigheter fallit offer för hackarnas framfart under så kort tid. De mest omfattande attackerna, de mot TV3, Aftonbladet och Dataföreningen, hade alla namnet Vuxna Förbannade Hackare som gemensam nämnare. Men inget av de fall som polisen tog tag i ledde någon 184
Svenska_hackare_till_tryck_20110222.indd 184
2011-02-22 11:16:37
dataintrång som sport
vart. Spåren pekade alltid rakt ut i Tor-nätets virrvarr av anonyma anslutningar. Ingenstans verkade hackarna ha lämnat någonting efter sig. Ingen kod, inga namn, inga hälsningar eller budskap som kunde avslöja vem som låg bakom attackerna. I fallet med Stakkato i Uppsala hade de hälsningar som hackaren lämnat efter sig varit en viktig pusselbit i den omfattande utredningen. Ordet »knark« hade förekommit i hackarens kod, vilket gjorde att de drabbade högskolorna kunde konstatera att en svensk tonåring sannolikt var inblandad. I fallet med VFH fanns inga sådana ledtrådar. Klart var att gruppen bestod av en eller flera svenskar, samt att det fanns en koppling till webbforumet Flashback. I övrigt hade spåren sopats igen med en sällan skådad precision. Polisens utredare skakade på huvudet åt gruppen. Antingen hade VFH en väldig tur, eller så visste de precis vad de gjorde. Anders Ahlqvist var biträdande sektionschef vid Rikspolisens ITbrottssektion och en av de högst ansvariga för arbetet mot internetrelaterad brottslighet. Efter mer än tio års tjänstgöring var han en av Sveriges mest erfarna IT-poliser och hade utrett allt från storskaliga internetbedrägerier till personangrepp på Facebook. Men attackerna signerade VFH förbryllade honom. Vid den här tidpunkten arbetade polisen efter devisen att 1980- och 1990-talens uppstudsiga tonårshackare hörde till en svunnen tid. Liksom alla andra subkulturer hade nätets mer ljusskygga element vuxit upp. Vissa var nu högt uppsatta IT-proffs på svenska företag och myndigheter. Vissa av dem hade fortsatt syssla med säkerhetsfrågor, men på rätt sida av lagen. Det hörde inte till ovanligheterna att polisen nu samarbetade med säkerhetsproffs som bara ett par år tidigare funnits bland de tonåringar som jagades för att ha spridit piratkopierat material eller tagit sig in i system där de inte var välkomna. Därmed inte sagt att databrottsligheten hade försvunnit. Snarare hade hackarna vuxit upp och lärt sig att slå mynt av sina kunskaper. Vid tidpunkten då VFH dök upp på scenen var polisens övertygelse att 2000-talets hackare hade mer gemensamt med den organiserade brottsligheten än med tonårsvandaler. Hackargrupperna verkade nu 185
Svenska_hackare_till_tryck_20110222.indd 185
2011-02-22 11:16:37
svenska hackare
långt bortom offentlighetens strålkastarljus, hette det. Antingen arbetade de med politiska förtecken eller för att tjäna pengar genom att sälja känslig information till högstbjudande. Det handlade om industrispionage och annan allvarlig brottslighet, inte uppmärksamhetstörstande skadegörelse. Ett liknande budskap hamrades in i marknadsföringen från de kommersiella säkerhetsföretagen, som nu sa sig slåss mot någonting som närmast liknade en digital maffia. Anledningen är inte svår att förstå. När hackare stjäl pengar i stället för att utföra uppvisningsattacker så blir investeringar i säkerhetslösningar och konsulttimmar en ren besparing om de leder till att en attack kan undvikas, ett säkert sätt för företagen att tjäna mer pengar. Vuxna Förbannade Hackare passade inte alls in i det mönstret. Gruppen tycktes drivas av precis samma bekräftelsebehov och vilja att skryta som den gamla skolans hackargrupper. För Anders Ahlqvist var det som en gammal relik plötsligt hade vaknat till liv och börjat röra på sig igen. – På 1990-talet var de här fame-hacken ganska vanliga. I dag förutsätter vi att hackarna är mer välorganiserade och inte syns lika mycket som förr. Men det enda syftet för den här gruppen verkade vara uppmärksamhet. Det kändes som ett gammalt fenomen, säger han till oss sommaren 2010. Attacken mot Dataföreningen blev inte föremål för en särskilt omfattande polisutredning. Efter intrånget hos Aftonbladet år 2006 visste polisen vad de hade att vänta sig. Spåren ledde ut i Tor-nätverket och förundersökningen fick läggas ned utan resultat. Trots de många polisanmälningarna mot VFH skedde inte heller någon särskild samordning av fallen. All uppståndelse till trots rörde det sig i grund och botten om vandalism, resonerade polisen. Hackarnas framfart hade lyft fram en hel del pinsamheter i dagsljuset. Mängder av känsliga uppgifter hade stulits. Men det verkade inte finnas något djupare uppsåt än att förstöra och ställa till med besvär. För en poliskår som redan hade svårt att hinna med alla fall var prioritering en nödvändighet. Av de många angreppen under vintern blev det i stället attacken mot Bilddagboken, ett intrång som inte utförts av 186
Svenska_hackare_till_tryck_20110222.indd 186
2011-02-22 11:16:37
dataintrång som sport
VFH , som fick mest uppmärksamhet av polisen. Den blev också en väckarklocka för de som tidigare avfärdat hackargruppernas framfart som inget mer än irriterande men ofarligt tonårsbus. Ett av de hundratusentals konton som spreds från Bilddagboken tillhörde en polisman i Östergötland. Mannens inloggningsuppgifter visade sig snart fungera även på hans privata mejladress. När Flashbackanvändarna gav sig på kontot uppdagades det att polismannen använt sin privata mejl för att lagra mycket känslig information ur sekretessbelagda brottsutredningar. På mejlkontot fanns namn, personnummer och bilder på flera misstänkta våldtäktsmän. Dessutom ljud- och textfiler som tillhörde polisens utredningsmaterial. Det var uppgifter som aldrig skulle ha förekommit utanför polisens sekretesskyddade register. Nu dröjde det inte många minuter innan materialet hade laddats upp på en amerikansk filserver och länkats från Flashback. Även namn och bild på flera helt oskyldiga personer i polisens arkiv läckte samtidigt. Även dessa hängdes ut på nätet och pekades ut som våldtäktsmän.114 Polismannen ifråga blev föremål för en internutredning – att lagra sekretessbelagda uppgifter på ett privat mejlkonto var ett solklart brott mot regelverket – men klarade sig undan med en varning. I ett försök att få tag på personerna bakom publiceringen lämnade polisen i Östergötland, via Rikspolisens IT-brottssektion i Stockholm, en förfrågan till den amerikanska federala polisen om hjälp. Genom att få ut uppgifter om vem som laddat upp informationen på filservern i USA hoppades man kunna spåra hackarna. Dessutom gjordes försök att kontakta forumet Flashbacks moderatorer för att be om hjälp med att få tag på personerna som först laddat upp inloggningsuppgifterna till Bilddagboken. Föga förvånande kammades noll på båda fronter. Från Rikspolisen i Stockholm kom beskedet att de amerikanska polismyndigheterna varken hade tid eller lust att bistå i ärendet. Från Flashback hördes inte ett knyst. Att avslöja de verkliga personerna som dolde sig bakom användarkonton på forumet vore ett direkt brott mot reglerna och forumets själva kärnvärden.115 187
Svenska_hackare_till_tryck_20110222.indd 187
2011-02-22 11:16:37
svenska hackare
Bristen på konkreta bevis fick polisen att formulera sin egen teori om vilka det var som låg bakom attackerna. När VFH dök upp på webben under vintern 2008 låg IT-frågorna redan högt på samhällets agenda. Rättegången mot fildelningssajten The Pirate Bay väntade runt hörnet. Debattens vågor gick höga kring den så kallade FRA -lagen, som skulle ge nya och utökade befogenheter för signalspaning till Försvarets radioanstalt. I massmedierna rasade diskussionerna om »storebrorssamhället«. Allmänhetens förtroende för myndigheterna och etablissemangets närvaro i den digitala världen tycktes aldrig ha varit mindre. Det var i det sammanhanget som polisens IT-experter betraktade den pågående hackarvågen. Strängt taget kunde Anders Ahlqvist och hans kollegor inte ens bevisa att gruppen VFH verkligen fanns på riktigt, mer än som en efterhandskonstruktion och en gemensam signatur på Flashback. I dag pratar Anders Ahlqvist om VFH på samma vis som militära myndigheter beskriver terrornätverk och extremistgrupper.116 En utspridd och löst sammansatt organisation helt utan central ledning, men med ett vagt definierat gemensamt mål som samlingspunkt och ledstjärna. VFH blev en symbol, menar han. Det var en mask som flera olika individer, kanske helt utan koppling till varandra, kunde gömma sig bakom för att ta på sig intrång och attacker, nätets motsvarighet till terrordåd drivna av missnöje och frustration. Det var en protestaktion och en manifestation mot vad hackarna betraktade som sin gemensamma fiende – massmedierna som roffade åt sig alltmer av uppmärksamheten på internet, och myndigheterna som försökte kontrollera cyberrymden med nya lagar och regler. – På internet utgav man sig för att vara en välorganiserad grupp. Vis av erfarenhet har jag en viss skepsis mot vad som står på internet. Det diskuterades om det kunde vara något slags paraply, en paroll som flera använde under samma tidsperiod. Ett slags missnöjesyttring generellt mot samhället, säger Anders Ahlqvist. Sedan våren 2008 har polisens IT-utredare inte stött på gruppens namn igen. Det är ytterligare en anledning till att VFH skiljer sig från mängden, menar han. 188
Svenska_hackare_till_tryck_20110222.indd 188
2011-02-22 11:16:37
dataintrång som sport
– Vanligen fortsätter det att röra på sig, personer dyker upp igen och det viskas om saker här och där. Att det bara tar tvärstopp sådär är ovanligt. Det får mig att känna mig skeptisk till att det verkligen var en och samma personer, säger Anders Ahlqvist. Historien om Ikaros
Medan polisen ännu famlade med de utredningar som dragits igång lades fler sajter till listan över fällda byten. Men Vuxna Förbannade Hackare, som dragit igång vågen och själva stått för de mest häpnadsväckande attackerna, höll sig i bakgrunden. Bortsett från ett kortfattat inlägg i samband med attacken mot Dataföreningen hade det nu varit tyst från gruppen i snart tre månader. I mängder av diskussionstrådar på Flashback spekulerades det friskt. Vilka var medlemmarna? Vad var nästa måltavla? Det vreds och vändes på gruppens kortfattade programförklaringar, fanns där något djupare budskap? Flashbackskribenterna kan grovt delas in i två läger. Den ena sidan fördömde publiceringarna och kallade VFH för effektsökande tonåringar. Den andra försvarade gruppen och menade att hackarvågen var början på något stort. En revolution kanske? Ett sätt för hackarna, nätets ursprungsbefolkning, att ta tillbaka makten över internet, att visa vem som verkligen bestämde i den digitala världen? Men trots de häftiga diskussionerna var det ingen som verkade veta någonting om vilka som ingick i gruppen eller vad de planerade för framtiden. VFH hade nu nått en närmast legendarisk status bland Flashbackfolket. Men själva vägrade de envist att svara på frågor eller delta i diskussionerna. Den 19 mars bröts tystnaden. I ett inlägg på Flashback aviserade VFH ett »zine«, en textfil med artiklar skrivna av medlemmarna. Det var, liksom den hackarkultur gruppen tycktes representera, ett eko från en svunnen tid på nätet. Ända sedan 1980- och 1990-talen hade det hört kulturen till att hackargrupper producerade digitala tidningar. Ett zine var lika mycket en klottervägg som en användarhandbok. Djupt tekniska analyser blandades med vardagligt svammel, poesi 189
Svenska_hackare_till_tryck_20110222.indd 189
2011-02-22 11:16:37
svenska hackare
och inlägg i krönikeform, ofta för att framhålla den egna gruppens förträfflighet. Det hela liknade den fanzine-kultur som grodde kring kulturformer som serier, litteratur och musik under slutet av 1900-talet, men distribuerat i digital form över nätet. Det var en kulturyttring kring hackandet och tekniken, ett manifest och en programförklaring. Vuxna Förbannade Hackares zine uppgavs vara det andra i ordningen. Det första hade inte lagts ut offentligt på nätet utan bara släppts »UND3R T3H GR0UND« (läs »i underjorden»), skrev gruppen. Men nu var målet att nå en större publik. Texten inleddes med en hälsning till Flashbackskribenterna. Liksom tidigare var tonen upprymd och tonårsaktig: Vi vet att många unga kommer läsa detta och det glädjer oss. Ge fan i skolan, lär dig det du vill. Bortse från dina vänner. Stäng av datorn. Se dig omkring och granska världen. Inse hur jävla fucked den är. Kom ihåg att datorer och internet är skapade av människan. Världen är en lekplats. De som tar livet på alltför stort allvar är de som inte lyckas. Detta nummer tillägnas de som väljer att inte följa strömmen. De som inte festar varje helg för att alla andra gör det. De som skiter i skolan och lär sig något vettigt i stället. Men mest av allt, till alla er som mår så jävla dåligt. Textfilen fortsatte med ny information kring intrånget hos TV3 under nyårsnatten. Nu sa sig Vuxna Förbannade Hackare ha haft tillgång till tevekanalens datorsystem ändå sedan 2005. Som bevis fanns en namnfil från tevekanalens datorsystem inklippt i texten. Den visade exakt hur systemet såg ut och fungerade vid en viss tidpunkt, i det här fallet den 29 augusti 2005, klockan 10:27 på morgonen. Stämde uppgifterna hade hackarna rotat runt i tevekanalens datorsystem i över två år innan de valde att avslöja sig själva med attacken mot webbsidan under nyårsnatten 2008. Dessutom gav VFH för första 190
Svenska_hackare_till_tryck_20110222.indd 190
2011-02-22 11:16:37
dataintrång som sport . k n 4
Berusade på kunskap och kärlek till livet V r ber vi er stiga in F Q i vårt hem i den digitala underjorden.... H.k "@Ca[ vfh zine #2 - 2008.03.19 Q 6, _, v6,]mcJV`JaJ_3}. â œSometimes the most positive thing #z!a%?$q,ndQw2YY7!_ you can be in a boring society !_D?$2?$$g]@WW?Ts%?$q,. is absolutely negative.â [ ] [ C0nt3NtZ ] [ ] [ 01 Introduktion ................................. ] [ 02 Redh4XXi0nen ................................. ] [ 03 Varför Vuxna Förbannade Hackare? ............. ] 04 Media, januari och allmän dekadens ........... ] [ 05 TV3 .......................................... ] [ 06 Aftonbladet .................................. ] [ 07 Dataföreningen och IT-experternas kompetens .. ] [ 08 Avslut och framtid ........................... ] [ ............... ] [ ....... ] [ __a%! ..._